Rispondere a una violazione

Lo scenario
Devo attuare una risposta immediata a una violazione.

Il processo di risposta a una minaccia si svolge in quattro step.

1.Identificazione

Viene effettuata una 5Ws Investigation per ottenere tutte le informazioni sull’origine della violazione.

Con questa analisi si identificano i soggetti coinvolti (Who), cosa è stato effettivamente danneggiato o perso (What), quali sono i componenti danneggiati (Where), quando è stata riscontrata una violazione (When) e perché si è verificata (Why).

2.Contenimento

Una volta individuata la porzione di sistema violata, che normalmente consiste in un insieme di macchine in rete, la si isola dal resto dell’infrastruttura informatica aziendale per evitare ulteriori danni dovuti alla diffusione della minaccia.

Il contenimento deve avvenire seguendo una strategia che dipende dalla tipologia di attacco.

3.Eliminazione

Si tratta di un insieme di azioni correttive volte a rimuovere gli artefatti di una minaccia che potrebbero essere i malware stessi, gli account di sistema compromessi o le vulnerabilità. Per queste ultime si ricorre all’installazione delle patch appropriate.

Queste azioni devono essere compiute su tutti gli elementi trovati nella fase di Identificazione.

4.Ripristino operatività

I sistemi sono riportati alla loro operatività originale e sono riparate le eventuali vulnerabilità aggiuntive.

Viene poi fornito un report di tutte le attività svolte. Il documento comprende le informazioni sulla natura del breach e le relative vulnerabilità e su come quest’ultime sono state identificate e risolte dal nostro team. Il report contiene inoltre delle raccomandazioni da seguire per ridurre il rischio che una minaccia simile si ripresenti in futuro.