Close Menu
    Trending

    Violazione dati: agire in fretta è la chiave

    By 6 Mins Read

    Paolo Cecchi di SentinelOne condivide otto best practice che aiutano i leader aziendali a rispondere efficacemente ad una violazione dei dati

    violazione-dati

    Nel suo articolo, che condividiamo di seguito, Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, condivide alcuni consigli utili da seguire in caso di violazione dei dati. Da sempre SentinelOne promuove un approccio proattivo agli incidenti informatici e sottolinea l’importanza di identificare gli indizi e la conservazione dei dati per gestire efficacemente la situazione.

    Buona lettura!

    Avete subito una violazione dati? 8 passaggi per una risposta efficace

    Le violazioni di dati sono oggi oggetto di grande attenzione. Capire come prevenirle e agire quando si verificano è essenziale. Un’azienda preparata ha un “incident response plan” (IRP) da mettere in atto in caso di violazione, partendo dalla comunicazione immediata ai consulenti legali, per poi disporre di un team capace di rispondere agli incidenti.

    In questo articolo, vengono fornite indicazioni chiave e best practice per una gestione efficace delle violazioni, tra cui i passaggi chiave per rispondere con tempestività.

    Cos’è una violazione dei dati?

    È un accesso non autorizzato o l’esposizione di informazioni sensibili o riservate. Può essere causata da molteplici fattori, tra cui hacking, attacchi malware, insider malintenzionati o persino da un semplice errore umano. Indipendentemente dalla loro origine, le ripercussioni delle violazioni di dati sono spesso pericolose e di vasta portata, in quanto possono causare la fuga di informazioni personali o finanziarie e la perdita di fatturato e fiducia nel brand.

    Questi i passaggi da seguire in caso di incidenti di sicurezza

    La strategia di risposta si basa su processi strutturati progettati per identificare e gestire gli incidenti di cybersecurity che vengono predisposti con un certo anticipo. Le organizzazioni ben preparate devono infatti collaborare con i responsabili della sicurezza e i direttori delle divisioni business per mappare i rischi aziendali e specifici del settore, delineando un piano di risposta su misura per ogni esigenza. Si tratta di piani che documentano formalmente i ruoli e le responsabilità di ognuno, determinano i criteri di soglia per definire un incidente e pianificano il contenimento, la continuità operativa e il ripristino delle attività.

    In caso di violazioni, i leader devono agire subito e le fasi qui indicate possono agevolare.

    1. Coinvolgere i consulenti legali e gestire gli incidenti

    Le organizzazioni sono chiamate a destreggiarsi in un complesso quadro di obblighi legali e di piani di comunicazione sia interni che esterni. Anche se spesso variano a seconda della nazione o del settore, questi obblighi di solito comportano la notifica alle persone colpite, l’informazione alle autorità competenti e l’adozione di misure per ridurre al minimo la diffusione e attenuare i rischi futuri. Inoltre, le aziende potrebbero dover divulgare i dettagli della violazione agli enti di controllo, a seconda delle conformità applicabili. Occorre informare subito il consulente legale interno o esterno di un potenziale evento di cybersecurity e subito dopo serve rivolgersi al proprio vendor di servizi di incident response.

    1. Mantenere in rete gli endpoint interessati

    Dopo aver subito una violazione, i responsabili della sicurezza possono adottare un approccio basato sulla conservazione dei dati. A tal fine, non bisogna disattivare gli endpoint che si teme siano stati compromessi. La RAM contiene prove preziose, ma quando i sistemi vengono spenti, la memoria RAM viene persa in modo permanente.

    1. Disconnettersi dalla rete

    Scollegare dalla rete i sistemi sospetti di essere stati compromessi è possibile farlo in vari modi:

    • Per gli endpoint gestiti da SentinelOne – Mettere in quarantena i sistemi sospetti in modo che possano connettersi unicamente alla piattaforma SentinelOne.
    • Per gli endpoint gestiti da altri vendor – Disconnettere le reti cablate e disattivare tutta la connettività wireless.
    • Per tutti gli endpoint – Valutare di segmentare la rete compromessa dalla rete protetta per consentire le operazioni aziendali per le reti non compromesse.
    1. Individuare e conservare le prove

    Occorre rilevare le potenziali fonti di prova nei firewall, i sistemi di rilevamento delle intrusioni (IDS), le reti private virtuali (VPN), le soluzioni antivirus (AV), i registri degli eventi. Assicurarsi che siano configurati in modo da conservare le prove e che non si annullino i registri vecchi.

    1. Raccolta degli indicatori di compromissione e dei campioni

    È importante tracciare gli indicatori noti (IOC) e i campioni di codice maligno in quanto possono includere indirizzi IP o domini sospetti, hashtag, script PowerShell, eseguibili dannosi, richieste di riscatto e qualsiasi altro elemento utile a una indagine.

    1. Predisporre il ripristino dei sistemi

    Prepararsi a ripristinare la funzionalità della rete tramite qualsiasi soluzione di backup, se applicabile. È importante conservare le immagini forensi dei sistemi compromessi prima di ripristinare le versioni corrette.

    1. Elaborazione di una cronologia

    Preparare una cronologia degli eventi sospetti noti che mostri quando si ritiene che l’attacco sia iniziato e l’attività dannosa identificata più di recente.

    1. Identificare gli endpoint

    Cercare di identificare gli endpoint che hanno mostrato attività sospette, in particolare identificando il primo sistema colpito (paziente zero) e le potenziali fonti di esfiltrazione.

    Comprendere le fasi post violazione e come mitigare le violazioni future

    La parte difficile di una violazione dati non è la conservazione delle prove, né il ripristino del sistema o le implicazioni finanziarie. Quando i dati sensibili vengono compromessi, possono causare gravi danni alla reputazione dell’azienda ed erodere la fiducia dei clienti. Per evitare violazioni di dati servono solide misure di sicurezza. Le best practice includono:

    • Investire in valide soluzioni come l’extended detection and response (XDR) e la managed detection and response (MDR), per garantire un approccio alla difesa.
    • Implementare sistemi di crittografia o l’autenticazione a più fattori (MFA) o il controllo degli accessi basato sui ruoli (RBAC), per impedire l’accesso non autorizzato.
    • Condurre audit di sicurezza regolari per identificare e risolvere le vulnerabilità.
    • Monitorare regolarmente il traffico di rete per identificare e rispondere alle minacce.
    • Delineare un piano di risposta agli incidenti, sviluppare partnership con esperti di cybersecurity e fornire training ai dipendenti sulla sicurezza dei dati e sulle best practice.

    Conclusioni

    Le violazioni dei dati sono state oggetto di attenzione da parte degli organi stampa. Capire come prevenirle e cosa fare quando si verificano è essenziale per il successo di ogni organizzazione. Un’azienda ben preparata ha un piano di risposta agli incidenti (IRP) pronto per essere attuato in caso di violazione. Questi piani prevedono la comunicazione immediata con i consulenti legali, seguita dall’impegno di un team di risposta agli incidenti. SentinelOne promuove un approccio proattivo, sottolineando l’importanza di identificare gli indizi e la conservazione dei dati per gestire efficacemente la situazione.

    di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne

    Share.

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati