INCIDENT RESPONSE

Gestione degli incidenti

Supporto nella gestione e nella risoluzione degli incidenti informatici

Nel contesto di un servizio di sicurezza digitale, la gestione degli incidenti è un processo critico per affrontare e risolvere le minacce informatiche e le violazioni della sicurezza in modo efficiente.

Questo processo inizia con la rilevazione dell’incidente, che può avvenire tramite il monitoraggio costante, con sistemi di rilevamento delle intrusioni o dalle segnalazioni interne.

Il team

Una volta individuato l’incidente, è essenziale isolare immediatamente la fonte del problema per evitare ulteriori compromissioni dei dati e danni ai propri sistemi informatici.

Il team di risposta agli incidenti, composto da esperti di sicurezza informatica, membri del personale IT e rappresentanti delle funzioni coinvolte, viene riunito immediatamente per coordinare le azioni necessarie.

identificazione

L’Incident Response è un processo costituito da 6 fasi:

  • Preparazione;
  • Rilevamento e identificazione;
  • Isolamento;
  • Bonifica;
  • Ripristino;
  • Verifica post attacco.

 

La preparazione è l’attività che precede l’attacco informatico. Procedure operative e Incident Response Plan vengono definiti in questa fase. Inoltre, l’Incident Response Team ha il compito di monitorare il corretto funzionamento dei sistemi aziendali.

Rilevamento e identificazione, invece, sono le prime azioni che si mettono in atto in caso di minaccia informatica. Durante il rilevamento si riconosce la presenza di un incidente di sicurezza informatica mentre con l’identificazione si eseguono tutte le indagini forensi per determinare tipologia e portata dell’attacco. L’identificazione, inoltre, include l’accertamento del numero di sistemi e account infetti, oltre che la preparazione di un piano d’azione per rispondere all’incidente.

Gli standard di gestione degli incidenti informatici raccomandano, quindi, una volta stabilita la tipologia di attacco, d’isolare i sistemi infetti subito dopo il rilevamento.

Bonifica, invece, comprende le attività che devono essere eseguite in maniera tempestiva e massiva immediatamente dopo l’isolamento. La ragione è semplice. É indispensabile impedire all’hacker di reagire con una contromossa. Blocco di domini e IP corrotti, cambio di password e reinstallazione dei sistemi compromessi, ad esempio, sono alcune delle azioni necessarie in queste fasi.

Una volta rimossa la minaccia, infine, si può procedere al ripristino.

Le attività post attacco consistono in verifiche e monitoraggi dell’ambiente IT. Esse, infatti, hanno la funzione di accertare che il sistema e la rete siano stati bonificati completamente. In questa fase si utilizzano strumenti di monitoraggio. Inoltre, è importante svolgere attività di prevenzione e audit

Attiva le notifiche! 😀 OK No grazie