Quando si verifica un attacco informatico, la maggior parte degli aspetti della minaccia non è sotto il controllo dell'organizzazione bersaglio. Questi aspetti vanno dall'identità del bersaglio, alle motivazioni, al luogo e al momento in cui avviene l'attacco, all'equipaggiamento e all'abilità dell'attaccante e, soprattutto, alla persistenza dell'attaccante nel raggiungere l'obiettivo finale.
L'unica cosa che un'organizzazione può controllare è la rapidità con cui riesce a rilevare e rispondere a un attacco.
Ridurre il tempo e l'accesso degli aggressori alle risorse critiche è un investimento fondamentale per la mitigazione del rischio. Meno tempo un attaccante ha accesso alle risorse, meno probabile sarà il danno o l'impatto sull'organizzazione. La riduzione del tempo di accesso aumenta anche i costi degli aggressori e li costringe a sviluppare nuove tecniche e modalità di adattamento per raggiungere i loro obiettivi. Più tempo impiega un attacco per avere successo, minore è il ritorno sull'investimento per l'attaccante. Ecco perché un processo di risposta agli incidenti maturo offre il vantaggio di una risposta più rapida per ridurre il tempo in cui un attaccante ha accesso alle risorse dell'organizzazione.
Metriche di risposta agli incidenti: misurare il rischio nel tempo
Tutto in un piano di risposta agli incidenti maturo deve essere orientato a limitare il tempo e l'accesso dei criminali informatici durante un attacco. Il modo in cui viene misurata la risposta agli incidenti deve essere direttamente correlato a questo requisito. Il tempo è un criterio efficace per misurare quantitativamente e comunicare il valore di un investimento in persone, processi e tecnologie come forma di mitigazione del rischio aziendale.
A livello organizzativo, il tempo di permanenza, ossia la durata della permanenza di un attore di minacce in un ambiente fino a quando non viene individuato e rimosso, può essere misurato con precisione nel corso di un'indagine approfondita.
Dopo l'infezione iniziale, tutte le violazioni seguono lo stesso schema: gli aggressori ottengono un accesso privilegiato, estendono la compromissione alla rete e rubano o distruggono i dati. Ciò consente di capire chiaramente dove i criminali informatici trascorrono il loro tempo nel ciclo di vita dell'attacco.
Il tempo di permanenza fornisce una metrica di alto livello che è quantificabile e può essere sfruttata per calcolare l'efficacia di una strategia di sicurezza e della postura complessiva. Molte organizzazioni tengono traccia dei benchmark di settore relativi al tempo di permanenza, pubblicati in rapporti che possono essere utilizzati come base significativa con cui misurarsi.
Per misurare le persone, i processi e la tecnologia in un gruppo operativo di sicurezza, le metriche temporali basate sulla visibilità, l'efficacia degli strumenti e le prestazioni del team funzionano bene per misurazioni semplici. Queste includono tre aree chiave del tempo.
Tempo di rilevamento
Il tempo necessario per rendersi conto dell'esistenza di un problema in un ambiente e per lanciare un allarme. Sebbene sia spesso la metrica più citata, rilevare un incidente non equivale a sapere cosa è importante. Questa metrica aiuta a comprendere la portata della superficie di attacco e la rapidità con cui gli strumenti di rilevamento e i cacciatori di minacce possono individuare un problema.
Tempo di conoscenza/riconoscimento. Il tempo che intercorre tra l'emissione di un allarme e il momento in cui un analista riconosce l'allarme come un rischio e inizia un'indagine. Mentre il time-to-detect fornisce la consapevolezza delle minacce, il time-to-know è fondamentale per la consapevolezza dei rischi.
La maggior parte dei centri operativi di sicurezza (SOC) è sommersa di avvisi e fatica ad assegnare priorità e gravità agli incidenti. Ciò significa che si spreca tempo per indagare sui falsi allarmi. Il time-to-know fornisce indicazioni sull'efficacia degli strumenti per assegnare priorità alle minacce con dati significativi nel contesto del rischio.
Tempo di risposta/rimedio. Questo aiuta a capire le prestazioni del team e la capacità di limitare il tempo di accesso all'ambiente da parte degli aggressori.
L'obiettivo principale della risposta agli incidenti è ridurre il tempo di permanenza degli aggressori come forma di mitigazione del rischio, ma le organizzazioni devono prima definire il livello di rischio da mitigare.
Se avete bisogno di migliorare le vostre operazioni di sicurezza e di potenziare le vostre capacità di risposta agli incidenti, scoprite i servizi di consulenza di Vectra per una gamma di offerte personalizzate in base alle esigenze specifiche della vostra organizzazione.