SOS Cyber

Il servizio di SOS Cyber è per molti noto con il nome di Incident Response nell’accezione definita dal National Institute of Standard and Technology – NIST.

La nostra filosofia è frutto di quanto emerge quotidianamente. Le minacce aumentano di complessità a ritmi esponenziali, dunque, la probabilità che un incidente possa verificarsi cresce di pari passo. Se non possiamo prevedere quando un incidente avverrà, avere a disposizione un partner pronto a intervenire in caso di necessità, tuttavia, è una condizione facilmente pianificabile. Ecco come Sicuritalia ha strutturato il proprio intervento.

Quali sono le principali complessità da affrontare in caso di un Cyber Attack?

• Una scarsa conoscenza e mappatura dei processi, delle risorse, dei dati comporta di non avere un piano definito in caso di incidente
• Nessuna assegnazione delle priorità nella gestione e nel trattamento delle risorse e dei dati
• Non vi è un Decision Maker, incaricato da parte del cliente, al governo del processo di gestione
• Mancanza di un chiaro obiettivo nella risposta agli incidenti
• Non vi è un piano di discussione ben strutturato: tutti vogliono condividere la propria opinione causando rallentamenti nelle varie fasi del processo
• Situazione generale di stress e di disordine che comporta anche inconsistenza nella comunicazione interna ed esterna.

Serve avere un piano strutturato da attivare in caso di emergenza.

In cosa consiste il supporto in caso di incidente?

L’attività di Cyber Incident Response è l’insieme delle procedure utilizzate per rispondere ad un attacco informatico.

Per un’azienda, un incidente che comporta la violazione dei sistemi informatici rappresenta un momento estremamente delicato, in cui la gestione della fase di Incident Response richiede competenza ed efficacia, a partire dagli aspetti tecnici fino a quelli legali.

Si tratta di un servizio che mira a produrre il quadro dettagliato dell’incidente e a risolverlo.
Il servizio copre l’intero ciclo investigativo dell’incidente, dalla raccolta delle prove in loco all’identificazione di ulteriori tracce di compromissione e alle preparazione di un piano di riparazione. 

A loro volta, le singole attività di Incident Response vengono svolte seguendo le linee guida NIST e sono articolate nelle seguenti fasi principali:

• Detection e attivazione della Var Room
• Rilevamento e analisi, volta ad identificare gli effetti reali e potenziali degli incidenti per assegnare le priorità in base alla gravità dell’incidente stesso
• Contenimento ed eliminazione: chiariti gli elementi dell’attacco si procede al blocco del propagarsi della minaccia e all’eliminazione del rischio. Ove il cliente possegga un “contingency plan” verrà utilizzato a completamento delle operazioni di Sicuritalia.
• Recovery: il recovery non viene effettuato dal team Sicuritalia. Trattandosi di un’attività sistemistica, si lascia la naturale operatività al partner e/o al team scelto dal cliente
• Post Incidente: si tende a recuperare e condensare tutte le informazioni utili ad evitare un ripetersi dell’attuale situazione. È anche una fase di Learning.
• Report Finale, che comprende l’investigazione sull’incidente, l’analisi forense e la proposizione di soluzioni future (chiedere report finale)