Un attacco informatico richiede un’azione immediata, multipla e rapida. Mobilitati il più rapidamente possibile, i Cyber Security Analyst e i loro team fanno le prime mosse con un obiettivo principale, ovvero prendere le misure dell’aggressione in corso. Qual è la natura dell’attacco? Chi sono gli aggressori? Qual è la loro strategia? Soprattutto, come chiudere il maggior numero possibile di varchi per evitare che colpiscano il cuore dell’organizzazione, causando una massiccia perdita di dati che potrebbe richiedere diversi mesi per porvi rimedio? Sono tutte domande cruciali che devono essere affrontate il prima possibile.
Contestualizzare l’attacco e comprendere la strategia dell’aggressore
In questa prima fase della risposta è opportuno, per non dire vitale, stabilire il più rapidamente possibile una valutazione complessiva. È particolarmente importante ricordare qui l’importanza di un’articolazione stretta e attiva tra la macchina e l’essere umano. Se l’Intelligenza Artificiale e il Machine Learning sono di grande interesse quando si tratta di contrastare un attacco, il cervello umano è di primaria importanza. È quindi urgente contestualizzare l’attacco, cercare di capire gli obiettivi e la strategia degli aggressori, ma anche sapere chi sono, quali sono le loro motivazioni e da dove vengono. Quest’azione dovrebbe essere compiuta da almeno un analista, nella maggior parte dei casi da due, in modo che i punti di vista possano essere confrontati e arricchiti. In alcuni casi di attacchi particolarmente massicci e delicati, è possibile mobilitare un team 24 ore al giorno, 7 giorni su 7. È quella che potremmo definire la parte sommersa dell’iceberg, cioè tutte le azioni che vengono intraprese dai tecnici.
Il legame con il cliente è essenziale
C’è anche una parte più visibile: il legame con il cliente, che, in un contesto del genere, è essenziale. La comprensione dell’attacco richiede discussioni approfondite con i team dell’organizzazione colpita, che si trovano di fronte all’attacco e possono rimanerne spiazzati. Rassicurare, assistere, ricercare, guidare sono le missioni affidate ai Cyber Security Analyst che hanno il compito di tenere i contatti con il cliente.
Talvolta l’attacco è piuttosto classico, senza sfumature: è bianco o nero, e quindi abbastanza facile da contrastare. Non appena si verifica e il cliente lo segnala, gli analisti si recano sul posto e fanno una sintesi di ciò che i team dell’azienda pensano sia successo. Cosa è stato scoperto? Quali sono i fatti? Si cerca quindi di raccogliere il maggior numero di informazioni possibili, per agire in fretta.
Indagini approfondite
In molti casi, l’attacco rientra in un formato classico, che gli esperti di difesa informatica hanno già incontrato e per il quale dispongono di risposte standard. Ma in altri casi, ad esempio quando un attacco è massiccio, è necessario procedere con metodo per fornire una risposta più personalizzata. In questo caso, si produce una linea temporale molto precisa degli eventi che si sono verificati. Quale macchina è stata colpita? Ci sono stati movimenti laterali? Quando si è verificato l’attacco? A quale stazione? L’azienda è stata attaccata dalla porta d’ingresso? Dalla porta sul retro?
In alcuni casi, il cliente dispone di un Security Operation Center (SOC), che consente agli analisti di accedere a dati tecnici chiari. Altre volte, bisogna andare alla ricerca di una serie di dettagli, indagare, ricostruire il puzzle. Ciò può richiedere molto tempo, a volte settimane. Conoscere la strategia degli attaccanti è essenziale, perché grazie a un’ottima conoscenza dei gruppi APT attivi è possibile indentificarli e trovare le risposte. In alcuni incidenti dove molte credenziali sono state compromesse, diventa molto difficile l’identificazione della fonte; è perciò importante aumentare la presenza di analisti nei team. È necessaria un’intelligenza collettiva, ma anche la capacità di rilevamento di più persone.
Questo mix permette alle squadre di fare una valutazione complessiva una volta che l’attacco è stato contenuto e tutto è tornato alla normalità. Che cosa è successo? Come è successo? Il firewall è stato coinvolto? L’autenticazione è stata violata? È stato utilizzato un ransomware o la vulnerabilità deriva da un’applicazione? Nel compiere questa valutazione, gli analisti cercano di agire con metodo e di rimanere orientati ai fatti e ai processi. Soprattutto, non giudicano mai le aziende. Un attacco può essere molto traumatico per un’organizzazione e il ruolo degli analisti – al di là della dimensione tecnica del lavoro – è quello di rassicurare, sostenere e aiutare. E lavorare affinché la valutazione effettuata al termine delle operazioni consenta all’organizzazione di recuperare tutti i dati e di ripartire.
A cura di Massimiliano Galvagna, Country Manager Italia di Vectra AI
