Un modello di piano di risposta agli incidenti attuabile
Una guida introduttiva alla creazione di un solido piano di risposta agli incidenti, progettato specificamente per le aziende con implementazioni basate su cloud.
Che cos'è la risposta agli incidenti (Incident Response)? Una guida rapida per i SOC
La risposta agli incidenti è un approccio strategico per rilevare e rispondere agli attacchi informatici con l'obiettivo di ridurre al minimo il loro impatto sui sistemi IT e sull'azienda nel suo complesso.
Team di esperti Wiz
11 minuti letti
Che cos'è la risposta agli incidenti?
La risposta agli incidenti è un approccio strategico per rilevare e rispondere agli attacchi informatici. Comprende una serie coordinata di procedure per aiutarti a rilevare, rimuovere e riprenderti dall'impatto di una minaccia in modo organizzato, efficiente e tempestivo. Inoltre, copre le misure di preparazione e messa a punto, come piani e playbook documentati, strumenti e tecnologie, test e revisioni, per garantire il raggiungimento di questi obiettivi.
La risposta agli incidenti è una parte di Gestione degli incidenti, che si riferisce al modo più ampio in cui si gestisce un attacco, che coinvolge Dirigenza, Team legali, HR, Comunicazioni, e il più ampio Reparto IT.
Questa guida si concentra essenzialmente sulla risposta agli incidenti. Ma copre brevemente altri aspetti della gestione degli incidenti, in quanto'È importante che un'organizzazione adotti un approccio olistico alla gestione degli incidenti futuri.
Lasciare'Iniziamo esaminando alcuni concetti di base.
I team di risposta agli incidenti devono agire rapidamente nel caso in cui'richiamato in azione. Quindi non possono permettersi incomprensioni che richiedono tempo e che possono sorgere a causa dell'uso scorretto della terminologia. Quella's perché hanno bisogno di capire esattamente cosa costituisce un incidente di sicurezza e in che modo si differenzia da termini simili come Evento di sicurezza e attacco.
Un Evento di sicurezza È la presenza di un comportamento insolito della rete, come un picco improvviso di traffico o un'escalation dei privilegi, che potrebbe essere l'indicatore di una violazione della sicurezza. Tuttavia, non'significa necessariamente che hai un problema di sicurezza. A seguito di ulteriori indagini, potrebbe rivelarsi un'attività perfettamente legittima.
Un incidente di sicurezza è costituito da uno o più eventi di sicurezza correlati con un potenziale impatto negativo confermato, ad esempio la perdita o l'accesso non autorizzato ai dati, intenzionale o accidentale.
Unattaccoè una violazione premeditata della sicurezza con intento malevolo.
Tipi di incidenti di sicurezza
Dovresti essere adeguatamente preparato per diversi tipi di incidenti, qualunque sia la loro natura. Quindi tu'Sarà necessario considerare una serie di scenari. Questi includono diversi tipi di applicazioni e infrastrutture sottostanti, ma, soprattutto, diversi tipi di attacco.
I più comuni di questi sono:
Denial-of-service (DoS): Un tentativo di inondare un servizio con richieste fasulle, rendendolo così non disponibile per gli utenti legittimi.
Compromissione dell'applicazione: Un'applicazione che'è stato violato, utilizzando tecniche quali SQL injection, Scripting tra siti (XSS)e avvelenamento della cache, al fine di danneggiare, eliminare o esfiltrare i dati o eseguire altre forme di codice dannoso.
Ransomware: Un tipo di malware che utilizza la crittografia per bloccare l'accesso ai dati. L'aggressore chiede quindi un riscatto in cambio delle chiavi di crittografia.
Violazione dei dati: Una violazione della sicurezza che comporta specificamente l'accesso non autorizzato a dati sensibili o riservati.
Man-in-the-middle (MitM): Una forma moderna di intercettazione telefonica in cui un avversario intercetta segretamente lo scambio di dati tra due parti e manipola la comunicazione tra di loro.
Di conseguenza, è necessario sviluppare una profonda comprensione dei diversi tipi di attacco e delle potenziali vulnerabilità dei sistemi. Questo ti aiuterà a formulare procedure di risposta e identificare i requisiti di strumenti e tecnologia. Allo stesso tempo, ti aiuterà a migliorare le tue difese di sicurezza e a ridurre il rischio che si verifichi un incidente grave.
In vista dell'adozione diffusa del cloud, la risposta agli incidenti si sta evolvendo per affrontare le sfide poste dai nuovi tipi di minacce e dai diversi modelli di distribuzione delle applicazioni.
Tuttavia, molte organizzazioni si affidano ancora a procedure di risposta agli incidenti obsolete. Devono quindi rimanere adeguatamente preparati adattando le loro strategie di risposta alla nuova superficie di attacco. Ad esempio, tramite:
Garantire che il team di risposta agli incidenti riceva una formazione sufficiente per comprendere l'ambiente IT basato su cloud
Implementazione di strumenti che'è specificamente progettato per la natura complessa e dinamica del cloud
Utilizzo dei dati di telemetria disponibili dal provider di servizi cloud (CSP)
Una linea d'azione formalmente documentata è una componente essenziale di qualsiasi solida strategia di risposta agli incidenti, in quanto fornisce una chiara tabella di marcia per la gestione degli incidenti e garantisce'adeguatamente attrezzati per farlo.
Come regola generale, il materiale di risposta agli incidenti è costituito da tre tipi di documenti, come segue.
Criteri di risposta agli incidenti
Le politica Il documento dà il via alla tua iniziativa, fungendo da modello generale per la tua strategia di risposta agli incidenti.
Cerca il consenso dei responsabili decisionali senior presentando il business case per la risposta agli incidenti. Impone la creazione di un team di risposta agli incidenti e di un programma di risposta agli incidenti a tutti gli effetti. Dovrebbe essere approvato dal team di leadership, dandoti l'autorità di portare avanti la tua missione.
Si tratta di un unico documento che fornisce il trampolino di lancio per una documentazione più dettagliata orientata agli aspetti pratici del processo di risposta agli incidenti.
Le Piano di risposta agli incidenti Approfondisce il documento di policy spiegando in modo più dettagliato le misure da adottare per la gestione degli incidenti di sicurezza informatica. Copre l'intero ciclo di vita della risposta con piani di massima su come:
Rileva e classifica un incidente di sicurezza
Determinare il funzionamento completo dell'attacco
Limita l'impatto sui tuoi sistemi IT e sulle operazioni aziendali
Elimina la minaccia
Ripristino dall'incidente
Inoltre, stabilisce:
Preparativi si'farà in previsione di un attacco
Proposte di attività post-incidente per analisi e revisioni
Un piano di risposta agli incidenti è anche un unico documento, che stabilisce le basi che supportano i playbook di risposta agli incidenti.
In termini generali, un playbook di risposta agli incidenti è un documento che fornisce un insieme altamente dettagliato di procedure per la gestione di un tipo specifico di incidente.
Ogni playbook è adattato alle diverse circostanze. Ad esempio, tu'd in genere crea una serie di playbook per diversi vettori di attacco. Tuttavia, è anche possibile utilizzare un playbook per fornire istruzioni per un ruolo specifico nel team di risposta agli incidenti. Questo è un luogo comune nel più ampio processo di gestione degli incidenti. Ad esempio, tu'd In genere crea playbook per i team legali e di PR per aiutarli a soddisfare i requisiti di conformità e gestire le comunicazioni.
Il team di risposta agli incidenti
Il team di risposta agli incidenti è un gruppo interfunzionale di persone responsabili dell'orchestrazione dell'operazione di risposta agli incidenti.
È composto da una vasta gamma di ruoli lavorativi all'interno dell'organizzazione e di solito include quanto segue:
Sponsor esecutivo.Un membro dell'alta dirigenza, come il Chief Security Officer (CSO) o il Chief Information Security Officer (CISO), che funge da sostenitore dell'iniziativa di risposta agli incidenti. Spesso si assumono la responsabilità di segnalare i progressi alla tua azienda'.
Responsabile della risposta agli incidenti: Il team leader, che sviluppa e perfeziona la strategia di risposta agli incidenti e coordina l'attività. Si assumono la responsabilità e l'autorità generali durante tutto il processo di risposta.
Team di comunicazione: Rappresentanti dei tuoi dipartimenti di pubbliche relazioni, social media e risorse umane, insieme a portavoce e blogger aziendali, che sarebbero responsabili di tenere informato il personale, i clienti, il pubblico e le altre parti interessate sugli sviluppi.
Team legale: Rappresentanti legali designati, che si occupano della conformità e delle implicazioni penali di un incidente, nonché di potenziali violazioni del contratto.
Team tecnico.Persone appartenenti ai team IT e alle operazioni di sicurezza, adeguatamente qualificate per svolgere le attività tecniche necessarie per rilevare, analizzare, contenere e rimuovere la minaccia.
Ciclo di vita della risposta agli incidenti
Un ciclo di vita della risposta agli incidenti ben strutturato e sistematico è fondamentale per una gestione efficace degli incidenti, in quanto fornisce un processo passo dopo passo per affrontare un attacco. Tuttavia, non si'È necessario ricominciare da zero per sviluppare il proprio ciclo di vita della risposta, poiché sono disponibili numerosi framework per guidare l'utente attraverso il processo.
Questi includono:
NIST 800-61: Guida alla gestione degli incidenti di sicurezza informatica
Ciclo di risposta agli incidenti SANS 504-B
ISO/IEC 27035 Series: Tecnologia dell'informazione - Gestione degli incidenti di sicurezza delle informazioni
Sulla stessa linea, Wiz ha recentemente pubblicato un Modello di piano di risposta agli incidenti quella'rivolti specificamente ai responsabili della protezione cloud pubblico, Cloud ibrido e multicloud Distribuzioni.
Sebbene ogni framework di risposta agli incidenti adotti un approccio leggermente diverso, tutti suddividono essenzialmente il ciclo di vita nelle fasi successive.
Preparazione
Il momento peggiore per iniziare a lavorare su una strategia di risposta è proprio quando si verifica un incidente, poiché è necessario agire rapidamente per ridurre al minimo i danni e ridurre le interruzioni dell'attività. Quella'Ecco perché la preparazione è così importante.
La fase di preparazione della risposta agli incidenti garantisce che tutto sia pronto in anticipo in modo da poter rispondere a un incidente senza ritardi. Esso comprenderà disposizioni quali:
La formazione del team di risposta agli incidenti
Un inventario aggiornato delle risorse per assicurarti di avere tutte le basi coperte
Acquisizione dei dati di registro per supportare l'analisi della sequenza temporale dopo un incidente
Approvvigionamento di attrezzature per il rilevamento rapido e il contenimento
Implementazione di un sistema di tracciamento dei problemi per l'escalation dei casi e il monitoraggio dei progressi
Misure di emergenza per ridurre al minimo le interruzioni delle operazioni aziendali
Formazione sulla risposta agli incidenti
Esercizi di test di risposta agli incidenti
Copertura assicurativa cyber
Scoperta
La fase di rilevamento adotta un approccio metodico per identificare se si è verificato o sta per verificarsi un incidente di sicurezza. I primi segni di un attacco includono:
un numero elevato di tentativi di accesso non riusciti
Richieste di accesso al servizio insolite
Escalation dei privilegi
accesso bloccato ad account o risorse
Asset di dati mancanti
sistemi a funzionamento lento
un arresto anomalo del sistema
Tuttavia, il rilevamento è uno degli aspetti più impegnativi della risposta agli incidenti, in quanto comporta la correlazione di informazioni provenienti da una serie di fonti per confermare che tali eventi rappresentano un vero e proprio incidente di sicurezza. Le fonti possono includere:
Telemetria del carico di lavoro
Telemetria disponibile da un CSP
Intelligence sulle minacce di terze parti
Feedback dagli utenti finali
Altre parti nella catena di fornitura del software
Indagine/Analisi
La fase di analisi degli eventi imprevisti comprende una serie sistematica di passaggi per determinare la causa principale dell'attacco, il probabile impatto sulle distribuzioni e l'azione correttiva appropriata.
Come per la fase di rilevamento, si tratta di mettere insieme i dati degli eventi provenienti da diverse fonti di log per creare un quadro completo dell'incidente.
Arginamento
Lo scopo della fase di contenimento è quello di:
Riduci al minimo il raggio di esplosione di un attacco
Limita l'impatto sui tuoi sistemi IT e sulle operazioni aziendali
Guadagna tempo prima di intraprendere un'azione correttiva più completa
I metodi variano a seconda del tipo di incidente. Ad esempio, per contenere un attacco Denial-of-Service (DoS), è necessario'd implementare misure di rete, come il filtraggio degli indirizzi IP. Ma, in molti altri casi, si'd isolare le risorse per prevenire il movimento laterale dell'attacco. Il modo in cui tu'D fare questo dipende dal tipo di infrastruttura. In un ambiente IT tradizionale, uno strumento di sicurezza come il rilevamento e la risposta degli endpoint (EDR) sarebbe il metodo più efficiente. Ma in un ambiente basato su cloud,'In genere è più semplice modificare le impostazioni del gruppo di sicurezza della risorsa tramite il piano di controllo.
Suggerimento professionale
Did you know? Gartner recognizes cloud investigation and response automation (CIRA) as an indispensable technology in the cybersecurity landscape. Gartner views CIRA as a strategic investment for organizations looking to fortify their security posture in the cloud. Simply put, the shift to cloud computing brings unprecedented opportunities but also introduces new risks.
Estirpazione
L'eradicazione è la fase in cui si rimuove completamente la minaccia in modo che's non più presenti In qualsiasi luogo all'interno della rete dell'organizzazione.
I modi per liberare i tuoi sistemi da una minaccia includono:
Rimozione di codice dannoso
Reinstallazione delle applicazioni
Segreti a rotazione, ad esempio credenziali di accesso e token API
Blocco dei punti di ingresso
Applicazione di patch alle vulnerabilità
Aggiornamento dei modelli IaC (Infrastructure-as-Code)
Ripristino dei file allo stato precedente all'infezione
Esso'È inoltre fondamentale eseguire la scansione dei sistemi interessati e non interessati dopo la correzione, per garantire che non siano rimaste tracce dell'intrusione.
Revisione post-incidente
La fase di revisione offre l'opportunità di perfezionare la strategia di risposta in modo da'essere meglio attrezzati per gestire potenziali incidenti in futuro. Dovrebbe prendere in considerazione il modo in cui hai risposto all'incidente, il feedback del team di risposta agli incidenti e l'impatto dell'incidente sulle operazioni aziendali.
Di seguito sono riportati i tipi di domande che dovresti porre durante la revisione:
La nostra documentazione è stata sufficientemente chiara?
Le informazioni erano accurate?
I membri del team di risposta agli incidenti hanno compreso i loro ruoli e le loro responsabilità?
Quanto tempo ci è voluto per completare le diverse attività?
Abbiamo bisogno di ulteriori misure per prevenire incidenti simili in futuro?
Ci sono state lacune nei nostri strumenti di sicurezza?
Abbiamo commesso errori che hanno ritardato i tempi di recupero?
L'incidente ha rivelato una violazione dei requisiti di conformità?
Continuità aziendale e ripristino di emergenza (BCDR)
Continuità aziendale (BC) è la serie di misure di emergenza che l'organizzazione deve adottare per mantenere in esecuzione le operazioni cruciali durante un periodo di interruzione, ad esempio un incidente di sicurezza. Ripristino di emergenza (DR), d'altra parte, è l'insieme delle disposizioni che prendi per ripristinare i sistemi alla normalità, con il minimo di tempi di inattività e impatto sulla tua attività.
Entrambe le discipline sono quindi parte integrante del successo della tua risposta. Tuttavia, devono coordinarsi con la tua strategia di gestione degli incidenti per:
Assicurarsi di attivare le procedure BCDR nel punto più appropriato del ciclo di vita della risposta
Riduci al minimo il rischio di persistenza delle minacce
Per raggiungere questi obiettivi, è necessario tenere in debita considerazione:
La sicurezza di qualsiasi sistema di failover
Pratiche igieniche di backup per prevenire l'infezione
Priorità di recupero
Dipendenze di sistema
Strumenti e tecnologie
Lo strumento giusto è una manna dal cielo quando ci si trova di fronte a un incidente di sicurezza in tempo reale e si ha bisogno di affrontare la minaccia il più rapidamente possibile. Quindi, per concludere,'Ho elencato alcuni degli strumenti e delle tecnologie che'avranno bisogno di una risposta efficace agli incidenti, insieme al ruolo che svolgono nel ciclo di vita della risposta.
Technology
Description
Role in response lifecycle
Threat detection and response (TDR)
A category of security tools that monitor environments for signs of suspicious activity and provide remediation capabilities to contain and eradicate threats. Examples of TDR technology include endpoint detection and response (EDR) and cloud detection and response (CDR).
Detection, investigation, containment, and eradication
Security information and event management (SIEM)
An aggregation platform that enriches logs, alert, and event data from disparate sources with contextual information, thereby enhancing visibility and understanding for better incident detection and analysis.
Detection and investigation
Security orchestration, automation and response (SOAR)
A security orchestration platform that integrates different security tools, providing streamlined security management through a unified interface. Allows you to create playbooks to perform predefined automated responses.
Detection, investigation, containment, and eradication
Intrusion detection and prevention system (IDPS)
A traditional defense system that detects and blocks network-level threats before they reach endpoints.
Detection and investigation
Threat intelligence platform (TIP)
An emerging technology that collects and rationalizes external information about known malware and other threats. TIP helps security teams quickly identify the signs of an incident and prioritize their efforts through insights into the latest attack methods adversaries are using.
Detection, investigation, containment, and eradication
Risk-based vulnerability management (RBVM)
A security solution that scans your IT environment for known vulnerabilities and helps you prioritize remediation activity based on the risk such vulnerabilities pose to your organization.
Containment and eradication
Wiz per l'IR nativo per il cloud
Wiz offre un servizio completo Soluzione Cloud Detection and Response (CDR) per aiutare le organizzazioni a rilevare, analizzare e rispondere in modo efficace agli incidenti di sicurezza negli ambienti cloud. Ecco gli aspetti chiave di Wiz'Approccio alla risposta agli incidenti nel cloud:
Rilevamento delle minacce contestualizzato: Wiz mette in correlazione le minacce tra i segnali in tempo reale e l'attività del cloud in una vista unificata, consentendo ai difensori di scoprire rapidamente i movimenti degli aggressori nel cloud. Questa contestualizzazione consente di assegnare priorità agli avvisi e ridurre i falsi positivi, affrontando il problema dell'affaticamento degli avvisi che molti team di sicurezza devono affrontare.
Monitoraggio nativo del cloud: La piattaforma monitora gli eventi del carico di lavoro e l'attività del cloud per rilevare minacce note e sconosciute e comportamenti dannosi. Questo approccio cloud-native è fondamentale, poiché le soluzioni di sicurezza tradizionali spesso lottano con la natura dinamica degli ambienti cloud.
Playbook di risposta automatizzata: Wiz fornisce playbook di risposta pronti all'uso progettati per analizzare e isolare le risorse interessate utilizzando funzionalità native per il cloud. Inoltre, automatizza la raccolta delle prove, consentendo ai team di sicurezza di muoversi rapidamente attraverso le fasi di contenimento, eliminazione e recupero.
Grafico di sicurezza per l'analisi della causa principale: Wiz'Security Graph offre l'analisi automatizzata della causa principale e del raggio di esplosione, essenziale per la risposta agli incidenti. Aiuta a rispondere a domande critiche come il modo in cui una risorsa è stata compromessa e quali potenziali percorsi potrebbe intraprendere un utente malintenzionato nell'ambiente. Ulteriori informazioni->
Analisi forense del cloud: Wiz migliora le sue capacità forensi fornendo un modo automatizzato per raccogliere prove importanti quando una risorsa potrebbe essere stata compromessa. Ciò include la copia dei volumi delle macchine virtuali, il download di pacchetti forensi con log e artefatti e l'uso di sensori di runtime per visualizzare i processi su container o macchine virtuali.
Valutazione del raggio di esplosione: Il Security Graph consente ai team IR di identificare rapidamente l'ambito dell'impatto, tracciare i percorsi di attacco e individuare la causa principale degli incidenti. Ciò è particolarmente utile per comprendere il potenziale impatto aziendale di una risorsa compromessa. Ulteriori informazioni->
Monitoraggio del runtime: Wiz monitora continuamente i carichi di lavoro alla ricerca di attività sospette in fase di esecuzione, aggiungendo contesto all'analisi del raggio di esplosione. Ciò include il rilevamento di eventi sospetti eseguiti da account del servizio computer o utenti specifici.
Data detection and response (DDR) is a cybersecurity solution that uses real-time data monitoring, analysis, and automated response to protect sensitive data from sophisticated attacks that traditional security measures might miss, such as insider threats, advanced persistent threats (APTs), and supply chain attacks.
Enterprise cloud security is the comprehensive set of practices, policies, and controls used by enterprises to protect their data, applications, and infrastructure in the cloud.
A data risk assessment is a full evaluation of the risks that an organization’s data poses. The process involves identifying, classifying, and triaging threats, vulnerabilities, and risks associated with all your data.
In this guide, we’ll break down why AI governance has become so crucial for organizations, highlight the key principles and regulations shaping this space, and provide actionable steps for building your own governance framework.