Gestione incidenti cyber

Gestire un incidente cyber significa seguire un processo strutturato per limitare i danni, bonificare l’infrastruttura e prevenire futuri attacchi.

Alcune delle fasi per gestire un incidente cyber sono:

Identificazione, ovvero capire cos’è accaduto e cosa sta succedendo realmente.
• Rilevare comportamenti anomali (Log, allarmi SIEM, intervistare utenti che segnalano problemi)
• Verificare gli indicatori di compromissione (IoC)
• Classificare l’incidente in conformità alla tassonomia ACN
• Creare un Output a conferma dell’incidente, indicando livello di criticità e i sistemi coinvolti.

Contenimento, ovvero limitare i danni e la diffusione per evitare che l’attacco avanzi ulteriormente
• Isolare le macchine sospette
• Bloccare account compromessi
• Disconnettere servizi da Internet, se necessario
• Applicare patch
• Cambiare credenziali compromesse
• Rafforzare configurazione firewall e/o regole di rete (VLAN)

Pulizia, ovvero rimuovere il problema alla radice.
• Eliminare il malware/backdoor
• Chiudere vulnerabilità sfruttate
• Cancellare utenti malevoli
• Ripulire configurazioni compromesse

Ripristino, ovvero ritornare alla normalità in sicurezza solo dopo aver validato i sistemi
• Ripristinare sistemi da backup sicuri
• Monitorare attentamente eventuali nuove anomalie
• Verificare integrità dei dati

Infine, è buona prassi creare o aggiornare i seguenti documenti interni:
• Procedura dettagliata di Incident Response
• Playbook di risposta alle minacce