SICUREZZA INFORMATICA

Il fattore tempo negli incidenti di sicurezza informatica: best practice

L’introduzione dell’automazione di alcune prassi di gestione degli incidenti, specialmente quelle più ripetitive e standardizzate, permette la contrazione del tempo di risposta, di ripristino e il conseguente contenimento dei danni economici e reputazionali che ogni organizzazione sperimenta durante un incidente di sicurezza. Ecco perché

11 Apr 2022
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Gli attacchi legati alla sicurezza informatica sono numerosi e diversificati, ma anche progressivamente più dannosi e dirompenti, tanto da essere oggi una “costante della cronaca giornalistica”.

In aggiunta emergono frequentemente nuovi tipi di incidenti e quindi si rendono necessarie non solo capacità di protezione preventive basate sui risultati delle valutazioni del rischio, ma anche capacità di risposta agli incidenti per rilevarli e gestirli rapidamente, riducendo al minimo la perdita e la distruzione di dati, mitigando i punti deboli sfruttati e ripristinando i servizi IT.

L’introduzione dell’automazione di alcune delle prassi di gestione degli incidenti, specialmente quelle più ripetitive e standardizzate, permette la contrazione del tempo di risposta, di ripristino e il conseguente contenimento dei danni economici e reputazionali che ogni organizzazione sperimenta durante un incidente di sicurezza.

Il tempo rappresenta, quindi, un fattore critico e strategico del processo di gestione degli incidenti.

Il processo di incident handling

“Un incidente di sicurezza informatica è una violazione o una minaccia imminente di violazione delle pratiche di sicurezza standard, dei criteri di utilizzo accettabili o delle politiche interne di una organizzazione in materia di sicurezza informatica” (fonte: NIST 800-61).

Saper gestire gli eventi/ incidenti di sicurezza è una capacità cruciale per qualsiasi organizzazione pubblico privata, piccola, media o grande, perché gli attacchi spesso compromettono i dati personali e aziendali ed è fondamentale rispondere rapidamente ed efficacemente quando si verificano violazioni della sicurezza.

Per poter gestire gli incidenti è necessario preparare in anticipo un piano di risposta comprensivo di tecnologie, organizzazione, processi e persone adeguatamente preparate.

Un piano di risposta agli incidenti di sicurezza (Incident response plan) è un piano scritto e documentato con fasi distinte che aiuta i professionisti IT e il personale a riconoscere e ad affrontare un incidente di sicurezza informatica che può consistere in una violazione dei dati o in un attacco informatico con finalità che variano al variare degli attaccanti e delle loro motivazioni. Gestire correttamente un piano di risposta agli incidenti comporta aggiornamenti e formazione regolari.

Il National Institute of Standards and Technology (NIST) nel 2012 ha pubblicato la Guida alla gestione degli incidenti di sicurezza (Computer security Incident Handling Guide – NIST 800-61 r2).

in relazione alle sue responsabilità statutarie ai sensi della legge federale sulla gestione della sicurezza delle informazioni (FISMA) del 2002 e da allora queste raccomandazioni costituiscono uno standard.

Il processo di risposta agli incidenti del NIST è un’attività ciclica caratterizzata dall’apprendimento continuo e dai progressi per scoprire come proteggere al meglio l’organizzazione. Comprende sei fasi principali: preparazione, rilevamento, analisi, contenimento/eradicazione, recupero e miglioramento (lessons learned).

Ma creare solo un piano di risposta può non essere sufficiente come misura isolata se non inserita in un sistema organizzativo di misure.

Ad esempio, il Payment Card Industry Data Security Standard – PCI DSS (standard proprietario per la sicurezza informatica gestito dal PCI Security Standards Council, fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc n.d.r.), richiede (requisito 12) che le aziende finanziarie non solo compilino il piano ma che provvedano anche a:

  1. testare il piano di risposta agli incidenti almeno una volta l’anno (12.10.2 );
  2. assegnare ad alcuni dipendenti la disponibilità 24 ore su 24, 7 giorni su 7 per affrontare i casi incidente (12.10.3);
  3. formare adeguatamente e regolarmente il personale con responsabilità di risposta agli incidenti (12.10.4);
  4. impostazione di avvisi da sistemi di rilevamento delle intrusioni, prevenzione delle intrusioni e monitoraggio dell’integrità dei file (12.10.5);
  5. implementare un processo per aggiornare e gestire il piano di risposta agli incidenti in base al settore e ai cambiamenti organizzativi (12.10.6).

La criticità di avere un piano omnicomprensivo di misure è anche legato al numero degli eventi incidente che una organizzazione che una organizzazione sperimenta ed al numero di eventi che riesce a prevenire o a trattare “per tempo”. Riccardo Baldanzi, CEO di 7Layers, spiega che in tema di risoluzione degli incidenti di sicurezza una delle principali sfide affrontate è l’elevato numero di incidenti trattato dal SOC/MDR: “Riceviamo ogni giorno circa 800 milioni di eventi, di cui solo 12600 sono alerts e 770 vengono poi trasformati in incidents. Grazie all’intelligenza artificiale, di questi 770, 620 vengono “accelerati” e solo 150 vengono scalati all’analista esperto”.

L’automazione nel processo di incident handling

Per velocizzare i processi di gestione incidenti le organizzazioni sono spesso ricorse all’incremento di risorse umane nei team di security per il monitoraggio e le indagini specifiche.

Tuttavia, attività ripetitive e time-consuming spesso portavano gli analisti dei SOC a non potersi concentrare sugli attacchi più sofisticati, dove invece l’intervento dell’essere umano fa una grande differenza.

Una soluzione recente risiede nell’introduzione di elementi di automazione di alcuni dei sotto processi di gestione degli incidenti, quali, la raccolta delle informazioni dai sistemi di frontiera (information gathering), il processo di arricchimento / validazione dei dati (enrichment), la classificazione dell’evento (labelling).

L’introduzione di algoritmi di automazione permette di accelerare le attività ripetitive, di velocizzare quindi il rilevamento della minaccia e sotto certe condizioni operative e di contesto, permette di introdurre una risposta automatica.

Non si tratta solo di sistemi di Security Orchestration, Automation and Response (SOAR) ma di introdurre anche sistemi intelligenti e automatici di analisi che velocizzano le attività di triage dell’evento di sicurezza permettendone la classificazione eventuale in “incidente di sicurezza” e consentendo l’eventuale attuazione di una prima risposta automatizzata.

Il tutto avviene grazie ad algoritmi di machine learning che dopo un appropriato tempo di apprendimento sanno operare in modo ottimizzato rispetto al “caso” di investigazione che devono analizzare e grazie ad algoritmi di AI che invece supportano l’analista di sicurezza nella “deduzione” che l’evento in studio sia effettivamente classificabile come incidente di sicurezza, scatenando il resto delle automazioni per l’eventuale fase di risposta e mitigazione.

Riccardo Baldanzi spiega che per contenere i tempi di analisi si possono adottare le capacità della AI: “che mappa il processo di ragionamento umano e imita il giudizio di un’analista, liberandolo da attività ripetitive, potenziando la collaborazione tra analisti e migliorando le decisioni di escalation integrando la conoscenza del contesto locale. L’intelligenza artificiale include indagini avanzate e integrate, permettendo di esaminare più sorgenti dati, tra cui EDR, NGFW, SIEM, IPS, EPP per identificare comportamenti dannosi reali nel tuo ambiente. Grazie all’analisi retrospettiva rivaluta costantemente la probabilità di una minaccia man mano che più informazioni vengono raccolte dai sensori di sicurezza. Poiché l’analista virtuale utilizza l’automazione nelle decisioni, può richiamare eventi accaduti in passato e correlare qualsiasi nuova informazione raccolta per arricchire gli incidenti per l’escalation e la remediation”.

È importante precisare la differenza fra machine learning e AI perché sono spesso usati come termini sinonimi ma non lo sono. L’Intelligenza Artificiale (AI) è un campo delle scienze che tenta di imitare l’intelligenza umana in un computer o in una macchina, ovvero cercano di creare sistemi informatici in grado di pensare e comportarsi proprio come gli esseri umani, ma a velocità più elevate e con maggiore potenza di elaborazione, per supportare gli esseri umani in compiti che richiedono forme tradizionali di intelligenza.

Gli algoritmi di AI sono chiamati a “deduzioni” cioè a creare nuovi concetti a partire da dati e informazioni sottoposte all’algoritmo.

Invece il “machine learning” letteralmente “l’apprendimento delle macchine”, noto come apprendimento automatico, è considerato un sottocampo dell’intelligenza artificiale, perché non crea un’intelligenza autonoma, ma costituisce un sistema di supporto che apprendere più rapidamente per svolgere un lavoro migliore nel portare a termine un compito particolare (Fonte Colorado State University EDU program).

Le differenze principali tra AI e Machine learning risiedono negli obiettivi, processi, ambiti e applicazioni in cui sono utilizzati (si rimanda per approfondimenti alla pagina della CSU EDU).

Il contenimento del tempo di detection come fattore decisivo

L’automazione introdotta all’interno di un processo di gestione incidenti consente il contenimento di molti degli indici di performance del SOC:

  • Mean time to detect (MTTD)
  • Mean time to acknowledge (MTTA)
  • Mean time to recovery (MTTR)
  • Mean time to contain (MTTC)
  • Mean time between failures (MTBF)

e l’indice che misura la disponibilità dei sistemi (comprese le terze parti) oltre naturalmente a consentire la compliance dei tema di sicurezza ai livelli di SLA concordati per le loro attività, sia in relazione alle policy interne sia rispetto ad eventuali SLA legati ad attività di outsourcing.

Alcuni dei vantaggi dell’introduzione di algoritmi di automazione nel processo di gestione incidenti sono legati alla minimizzazione di inefficienze legate ai “falsi positivi” (eventi che apparentemente sembrano incidenti ma non lo sono, come i falsi allarmi), alle erroneee comunicazioni fra le risorse, o alla scarsità stessa di personale; ma è soprattutto il consumo di tempo legato ad alcune attività ripetitive e “noiose” da svolgere da parte del personale che può essere migliorato.

Riccardo Baldanzi chiarisce in questo senso: “è cruciale agire in tempi rapidi per limitare il numero di sistemi compromessi, bloccando repentinamente le attività dell’attaccante”.

Anche lo stress che grava sui temi di security è una componente che può aumentare la possibilità di errore anche in relazione all’ansia del fattore tempo da contenere.

Infine, si deve considerare che anche gli attaccanti hanno da tempo iniziato ad usare sistemi automatici di attacco e quindi automatizzare una parte della gestione incidenti consente almeno di “pareggiare i conti” e “liberare” i team di sicurezza dei SOC che possono dedicarsi a quelle minacce 0-day (le minacce di nuova concezione) che richiedono investigazioni approfondite e/o impegnative e a cui solo l’intelletto umano può dare risposta.

Contributo editoriale sviluppato in collaborazione con Gruppo Fastweb

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4