News

Che cos’è la fase di eradication e perché è fondamentale nel processo di incident response

Il termine “eradication” si riferisce alla terza fase di un incident response, nella quale gli esperti di un Security Operations Center intervengono per eliminare la minaccia dai sistemi e ripristinare la normale operatività.

Eradication: una fase cruciale nel processo di incident response

Ripartire dopo un attacco informatico grazie all’incident response

Un piano di incident response progettato correttamente aiuta a prevedere, prioritizzare e rispondere con efficacia e tempestività agli incidenti di cybersecurity. Ogni fase è cruciale per la buona riuscita della procedura e, se attuato in modo efficiente, un corretto incident response può permettere a un’azienda di ripartire dopo un attacco informatico.

In assenza di un piano di incident response, l’impatto derivante da una violazione o da un attacco informatico aumenta in modo esponenziale. Un’azienda impreparata dal punto di vista della cybersecurity rischia infatti pesanti conseguenze operative: il blocco degli endpoint, la perdita di dati sensibili, un grave danno economico, e soprattutto il fermo operativo, che può durare diversi giorni o persino settimane.

Di fronte a questo scenario, assume notevole importanza il ruolo di un incident response svolto con tempestività da un team di esperti, specialmente per quanto riguarda la fase di eradication (“eliminazione”). L’eradication è la fase dell’incident response in cui la minaccia viene eliminata concretamente dai sistemi, che vengono quindi ripristinati allo stato precedente all’attacco.

Dove si trova la fase di eradication nell’incident response

Ma quali sono le fasi di un incident response, e dove si trova la fase di eradication? Ecco un breve schema che riassume un piano di incident response secondo la classificazione del NIST Cybersecurity Framework:

  1. Preparation
  2. Detection and analysis
  3. Containment, eradication and recovery
  4. Post-incident activity

L’attività di eradication si trova quindi nel cuore dell’incident response, in una fase che il NIST integra dal punto di vista concettuale con le azioni di contenimento (containment) e ripristino (recovery). Il framework del NIST evidenzia quindi come la fase di eradication sia a tutti gli effetti un punto cruciale del processo di risposta a un incidente informatico, in quanto punta a ripristinare il corretto funzionamento dei sistemi.

Il ruolo di un Security Operations Center nella fase di eradication

Un team di esperti attivo in tempo reale

Come illustrato finora, l’incident response è una procedura fondamentale per il corretto ripristino dell’attività aziendale. Tuttavia, è altrettanto importante che questa procedura sia svolta da esperti di IT e cybersecurity, figure che possono essere ritrovate in un Security Operations Center (SOC).

Nel processo di incident response è infatti necessario il contributo complessivo di sistemisti, analyst, esperti di cybersecurity e networking, figure chiave in ciascuna delle fasi della procedura di risposta. Un SOC agisce infatti come un ecosistema di professionalità qualificate, che collaborano per valutare la situazione in tempo reale e intervenire nel modo più corretto a seconda delle circostanze.

Il SOC diventa fondamentale quando entrano in gioco tecnologie come EDR, MDR ed MXDR, soluzioni che monitorano endpoint (e altri punti critici) e generano alert in risposta alle minacce. Tuttavia, questi avvisi si rivelano inutili se non è presente un’orchestrazione da parte di un team di specialisti in grado di interpretare gli alert e attuare le procedure corrette.

Interpretazione dei segnali ed eradication mirata

Oltre a fornire un mix di competenze che si rivela essenziale nelle fasi di ripristino dei sistemi, il SOC offre anche un maggiore controllo sulle soluzioni di monitoraggio degli endpoint come il Managed Extended Detection and Response. In questo modo, un SOC può vedere da subito i segnali di una violazione, come ad esempio l’initial access di un aggressore (la prima intrusione) o un credential dump (il furto di credenziali dell’utente).

Dopo aver identificato i primi segnali, gli esperti del SOC possono intervenire istantaneamente eseguendo un’analisi forense alla ricerca di persistenze, ossia di minacce nascoste che lasciano una “porta aperta” nel sistema, tramite la quale un aggressore può introdursi senza destare sospetti. Le persistenze includono sia malware che software leciti, considerati del tutto attendibili ma sfruttati in modo malevolo.

Una volta individuate le persistenze, viene attuata l’eradication, che consiste nella “pulizia” di un endpoint violato, nel ripristino delle password, e nell’applicazione di patch e modifiche al firewall. Tutto questo senza interrompere l’attività del clientee spesso isolando solo le aree in cui avviene l’eradication. Se l’attacco non viene affrontato tempestivamente, è richiesto l’isolamento di interi sistemi per settimane.

In assenza di un SOC, un’azienda potrebbe non avvertire i segnali nascosti e accorgersi di un attacco solo dopo aver scoperto file criptati o fallito l’autenticazione ai sistemi aziendali. L’intervento del SOC deve quindi essere tempestivo per evitare gravi danni all’azienda; ciò è possibile solamente quando la gestione della cybersecurity è affidata totalmente a un partner IT che monitora costantemente la situazione.

Un approccio ibrido di cybersecurity rende più efficace l’eradication

Nei paragrafi precedenti, è stato introdotto il concetto di “ecosistema di sicurezza” per definire un Security Operations Center, un centro operativo composto da esperti di cybersecurity e networking, analyst e sistemisti. Queste figure lavorano costantemente per sorvegliare le tecnologie, armonizzare i processi e qualificare gli eventi.

La combinazione di competenze umane, processi semi-automatizzati e tecnologie innovative, un approccio che potremmo definire come “sicurezza ibrida”, è sicuramente uno dei maggiori punti di forza di un Security Operations Center all’avanguardia. Questo approccio si applica efficacemente a tutte le fasi dell’incident response, inclusa la fase di eradication, per la quale molti provider di servizi IT non forniscono supporto.

L’importanza di affidare la cybersecurity a un partner IT

Appare quindi chiara l’importanza rivestita da un partner IT con SOC dedicato nella risposta efficace agli attacchi informatici.

  • Un partner IT esperto in ambito cybersecurity possiede personale con competenze elevate, in grado di armonizzare i processi e orchestrare le tecnologie per offrire un servizio sempre puntuale.
  • Un team di cybersecurity, specie se all’interno di un SOC attivo 24/7, può garantire un servizio tempestivo, con possibilità di intervento anche nelle ore serali/notturne e durante il weekend, quando si intensifica l’attività dei criminali informatici.
  • Un partner IT con SOC dedicato offre soluzioni di cybersecurity aziendali su misura, in grado di offrire protezione degli endpoint e di altri punti critici in rete, nonché servizi come Vulnerability Assessment (analisi delle vulnerabilità aziendali) e strumenti di threat intelligence.

Grazie a una strategia di sicurezza a 360 gradi, che si occupa di prevenzione, protezione e gestione del servizio, un’azienda è protetta in qualsiasi momento e può dedicarsi al proprio business senza il timore di fermi operativi che potrebbero compromettere lavoro svolto e reputazione sul mercato.

Investire in cybersecurity, oltre a essere generalmente una spesa minore rispetto all’eventuale danno economico a seguito di un attacco, è un passo concreto verso una maggiore stabilità operativa e verso la continuità di business.

Contattaci per approfondire le soluzioni di sicurezza più adatte alla tua azienda

Richiedi una consulenza