Incident Response è l’insieme di procedure necessario per reagire in maniera efficace ai principali incidenti che possono accadere nell’ambito della sicurezza informatica, minimizzando i danni e ripristinando la piena operatività di tutte le risorse aziendali nel minor tempo possibile. Tale approccio si struttura in azienda grazie ad un vero e proprio piano di incident response (IRP) gestito da un apposito team multidisciplinare, il CSIRT (Computer Security Incident Response Team), che contiene tutte le istruzioni operative per automatizzare il più possibile le procedure di emergenza da attivare in caso di incidente.
Reagire dunque bene e prima che sia troppo tardi. Reagire con un piano preciso in grado di ridurre al minimo i danni e massimizzare la capacità di tornare operativi. Prendendo tra le mani gli ultimi report sui numeri degli attacchi cyber e sugli impatti del fenomeno ransomware sulle aziende (qui il caso del Quantum Ransomware e degli effetti devastanti avuti in tutto il mondo) non serve una particolare intelligenza per capire quanto sia delicata e decisiva l’essenza stessa dell’incident response in questa fase anche dal punto di vista normativo. Nel 2021 l’Italia è stata il secondo Paese in Europa per il valore delle multe legate alla non compliance rispetto al GDPR. Furto di dati, mancata segnalazione del data breach alle autorità competenti e, soprattutto, incapacità di capire come e cosa è successo alla propria rete.
Incident Response, parte tutto, o quasi, da una sonda
Un tema, quello della capacità di rispondere in maniera corretta ed efficace agli incidenti, su cui da tempo è al lavoro una eccellenza internazionale della cybersecurity come NetWitness, parte del Gruppo RSA. Una società che sta guidando la rivoluzione XDR, (qui tutti i dettagli sui più recenti annunci in questo senso) vanta tra le sue file alcuni dei massimi esperti internazionali di cyber security e sta macinando tassi di crescita record e che da tempo vive una conseguente fase di rafforzamento del management.
Numeri e progressioni che partono da un approccio unico al fenomeno mai così contemporaneo dell’incident response. Numeri che affondano le loro radici anche e soprattutto in un posizionamento tecnologico unico su cui ci racconta tutto Alessio Alfonsi, Security Advisory Systems Engineer – Threat Detection & Response at RSA Security uno dei talenti di NetWiness.
«Guidare un mondo complesso e delicato come quello dell’incident response – racconta Alfonsi – è per NetWitness un onore ma anche una missione che si cerca di alimentare grazie a idee, soluzioni e strategie chiare. L’incident response è una strategia in cui nessun aspetto può essere dato per scontato. In mezzo a tanti punti chiave, quello della “threat detection”, ovvero della capacità di “individuare le minacce”, per capire bene di cosa si tratti è probabilmente uno dei più importanti ed è su questo fronte che con il team di prevendita lavoriamo a fondo anche e soprattutto grazie ad uno strumento vitale per noi come le sonde FPC».
Incident Reponse e Sonde FPC, un binomio vitale e unico
«Immaginiamo di avere una villetta che vogliamo difendere e proteggere – racconta Alfonsi -. Oggi è diventato sempre più comune avere delle telecamere che ci consentono di guardare in remoto e registrare quello che succede per verificare se è in corso o c’è stata qualche infrazione. Le sonde FPC ci permettono proprio di fare questo tipo di attività all’interno di una infrastruttura di Rete. Ci permettono insomma di capire che cosa è successo sulla nostra rete, se c’è qualcosa che non ci torna. Queste registrazioni consentono di andare a verificare se quello che è successo era qualcosa che ci aspettavamo o se abbiamo qualche tipo di attaccante in casa. Il nostro team di Incident Response ne ha un grosso vantaggio soprattutto a livello di visibilità. Differentemente da altre tipologie di tool, l’analisi del traffico di rete fatta a questo livello è qualcosa che ci permette davvero di capire se l’attaccante è ancora in casa, cosa ha fatto e prendere in modo cosciente delle decisioni sulle azioni da fare. È qualcosa che va a differenziare notevolmente la capacità dell’incident response. Registrazioni dunque ma anche notifiche e interventi real time per cercare di anticipare quello che sta succedendo e avere capacità di capire, prima, se un attaccante sta sollecitando il nostro perimetro IT».
Incident Reponse e Sonde FPC i benefici
Vantaggi dunque ma anche poteri, nuovi, grandi nelle mani degli amministratori di sistema, che occorre saper maneggiare. «Aumento di visibilità significa avere nuovi dati e nuovi strumenti da utilizzare, capire… seguire – spiega Alfonsi -. Un tool in grado di analizzare i flussi principali andrà a dare a IT e CIO delle informazioni che dovranno essere analizzate insieme ai propri analisti. Quindi se da una parte la visibilità è fondamentale, dall’altra parte non si ha più la scusa del “non me ne sarei potuto accorgere”. Normativa alla mano – chiarisce Alfonsi – non c’è una legge che ti obbliga ad avere una tecnologia di questo tipo in casa ma allo stesso tempo è contro legge non dichiarare gli incidenti di cui ci si è accorti. Una sonda di questo tipo è dunque una sicurezza e un valore straordinario. Va immaginata come una sorta di “moviola”. Ti permette di andare a vedere quello che è successo. Lei intercetta tutto quanto, lasciando la possibilità all’analista di lavorarci in un secondo momento. Ma bisogna sapere che tutto… vuol dire tutto».
Incident Response e sonde FPC, l’eccellenza di NetWitness
Venendo nello specifico al caso NetWitness, l’uso di questo tipo di sonde da parte della multinazionale americana affonda le sue radici in una storia nata più di venti anni fa da un progetto di ricerca con l’intelligence americana.
«In Italia abbiamo avuto il primo cliente dieci anni fa, quando ancora molti non conoscevano proprio questa tecnologia – racconta Alfonsi -. La maturità e l’esperienza maturate in questi 10 anni fa la differenza sul prodotto stesso oggi. Abbiamo infatti “educato” queste sonde a lavorare su flussi anche estremamente voluminosi, in real time e a dare dei dati straordinari in mano ad un analista. Non solo, la registrazione che queste sonde producono consente di ricostruire dei contenuti, di offrire dei campioni di malware all’analista, di fare l’analisi anche del traffico cifrato. Queste capacità sono abbastanza uniche sul mercato, richiedono delle capacità elaborative notevoli, scalabilità…. Nel momento in cui si sta gestendo un incidente, questo è un grosso vantaggio. È fondamentale mettere a disposizione degli analisti dei motori di correlazione live, che in pratica funzionano applicando una serie di filtri e logiche per le necessità dell’analista. Solo dei bravi analisti possono ostacolare la bravura degli attaccanti ma se gli analisti hanno tra le mani strumenti efficaci è anche meglio».
Sonde FPC, la semplicità dei dati per andare a caccia di ciò che non conosco
Un’ altra capacità del prodotto formato NetWitness è la semplicità con cui presenta i dati. «La registrazione del flusso di dati è qualcosa di estremamente vasto – spiega ancora Alfonsi -, mette a disposizione una montagna di dati, con cui si rischia davvero l’effetto boomerang a cui ho accennato in precedenza. La difficoltà è quella di cercare in questa montagna un attacco, senza sapere che tipo di attacco, chi sono gli attaccanti. È sfidante. La soluzione aiuta a togliere dal mio focus tutto ciò che conosco, per far vedere tutto quello a cui non avevamo fatto caso, permettendo di fare approfondimenti. Il bravo analista, in realtà, cerca nei dati qualcosa che non conosce a prescindere. Alla fine, non si troverà subito l’ago nel pagliaio, si troveranno tanti problemi applicativi, ma man a mano che si lavora grazie a queste sonde, come ci ha raccontato un cliente di recente, si arriva al punto. Ovviamente occorre avere innanzitutto delle competenze su quello che succede in casa, dei servizi erogati dalle varie macchine a propria disposizione. Il cliente stesso, infatti, ci disse una cosa molto importante: parliamo di una soluzione che ci ha costretto a farci delle domande importanti e a crescere, a metterci a studiare.
Nella vita come nella security bisogna avere paura di ciò che non si conosce – conclude Alfonsi -, ma se si riesce ad accendere la luce, grazie a soluzioni come le nostre sonde, il ventaglio di ciò che non conosciamo continua a ridursi clamorosamente».