Come accennato nel mio blog precedente, l'obiettivo principale della risposta agli incidenti è ridurre il tempo di permanenza degli aggressori come forma di mitigazione del rischio, ma le organizzazioni devono prima definire il livello di rischio da mitigare. È importante considerare la maturità e le capacità di risposta agli incidenti in relazione alle minacce rilevanti per l'azienda e alla portata dell'impatto che queste minacce possono creare. I requisiti di consapevolezza del rischio aziendale definiscono le metriche e le spese di sicurezza per ottenere tempi di risposta adeguati.
Nel 2013, James Webb, CISO dell'Appalachian State University, ha proposto un modello di maturità di risposta agli incidenti su un asse temporale, che Vectra ha adottato ed evoluto come parte della nostra pratica di consulenza sulla sicurezza.
Questo modello considera due capacità fondamentali per il successo della risposta agli incidenti:
Consapevolezza/visibilità delle minacce
La capacità di disporre di informazioni accurate e affidabili sulla presenza degli attori delle minacce, sulle loro intenzioni, sulle loro attività storiche e sul modo in cui le difese si relazionano con loro. Il time-to-detect e il time-to-know sono fondamentali.
Agilità di risposta/prestazioni
La capacità di isolare, sradicare e riportare alla normale operatività l'azienda in modo rapido e sufficiente. Ciò implica il tempo di risposta.
La maggior parte dei framework di maturità della sicurezza implica l'adozione di strumenti per fornire funzionalità lineari come un approccio di sicurezza a strati. Questa metodologia porta potenzialmente a sovrapposizioni e ridondanze, che spesso hanno un impatto negativo sulla consapevolezza delle minacce e sull'agilità di risposta. Inoltre, evidenzia i compromessi tra le capacità di rilevamento e di risposta che si verificano a ogni livello di maturità.
Mettendo in relazione questi due attributi con il processo di risposta agli incidenti, è possibile definire e misurare la maturità e la capacità nei cinque stadi del modello di maturità in base al livello di consapevolezza del rischio desiderato.
Livelli di maturità della risposta agli incidenti
1. Reattivo/ad-hoc
Questoè l'approccio "whack-a-mole", in cui l'organizzazione risponde alle minacce solo dopo che sono emerse. L'individuazione delle minacce interne avviene solitamente da una fonte esterna. Purtroppo, troppe organizzazioni si affidano ancora a questo metodo di risposta quando scoprono una risorsa compromessa. Il ripristino del sistema dai backup consente di essere agili e di recuperare rapidamente le funzioni aziendali. Tuttavia, la consapevolezza delle minacce è bassa e non si ha una reale conoscenza di come il sistema sia stato compromesso o del perché e per cosa sia stato utilizzato dopo la compromissione.
2. Basato su strumenti e firme
In questa fase, le organizzazioni adottano strumenti che cercano potenziali compromissioni nell'ambiente. Si tratta spesso di strumenti basati sulle firme, come il software antivirus e il sistema di rilevamento e prevenzione delle intrusioni (IDPS), che forniscono alcuni avvisi automatici su potenziali compromissioni da parte di minacce note. Anche la bonifica di questi sistemi compromessi è guidata da strumenti progettati per ripulire un sistema dalla compromissione, il che, per inciso, non è una buona idea. L'agilità inizia a diminuire e porta a un approccio di risposta ad hoc.
3. Guidato dal processo
In questa fase, le organizzazioni adottano ruoli, processi e strutture di governance formali per la risposta agli incidenti. Spesso include più fonti di rilevamento delle minacce e correlazioni di allarmi che corrispondono alle fasi del ciclo di vita dell'attacco. Per molte organizzazioni, questo è lo stato ideale delle operazioni. Gli attacchi vengono rilevati, analizzati e affrontati in modo economico e ripetibile. Sebbene i processi formalizzati rallentino l'agilità, sono irrilevanti perché il volume degli attacchi tende a essere basso e la maggior parte degli incidenti è costituita da errori interni benigni degli utenti o da violazioni delle policy. La principale carenza di questo modello è che per gestire gli attacchi mirati non bastano dei buoni processi.
4. Guidati dall'intelligenza
Per molte grandi organizzazioni, la risposta agli incidenti basata sull'intelligence è un obiettivo importante a causa della prevalenza degli attacchi mirati. Questo livello di risposta agli incidenti richiede una comprensione più dettagliata e aggiornata degli attori delle minacce, compresi i loro obiettivi e le loro motivazioni, nonché il loro profilo di strumenti, tattiche e procedure (TTP). Per raggiungere questo obiettivo, è consigliabile una correlazione con basi di conoscenza esterne come il framework MITRE ATT&CK . La conoscenza della disposizione degli avversari viene quindi utilizzata per progettare le difese di sicurezza e i controlli di rilevamento in modo da poter intraprendere azioni discrete per interrompere, degradare e negare la capacità degli avversari di raggiungere i loro obiettivi.
5. Difesa predittiva
Conosciuta anche come difesa attiva, questa fase rappresenta la convergenza dei processi di risposta agli incidenti e un'architettura difensiva adattiva che può essere utilizzata per mettere in difficoltà gli avversari quando entrano, operano e si muovono all'interno di ambienti protetti. Una delle caratteristiche principali di questo modello sono le capacità che consentono l'inganno e la negazione delle operazioni da parte degli avversari. La caccia alle minacce è la massima espressione di una difesa proattiva.
Allineamento del piano di risposta agli incidenti
Se il tempo è il fattore più importante nella risposta agli incidenti, il tempo è anche denaro. L'entità della spesa e la consapevolezza delle minacce o l'agilità necessaria per ridurre il rischio aziendale dipendono dalle esigenze specifiche di un'organizzazione. Tali esigenze variano in base alle dimensioni, al settore e ai requisiti di conformità.
La definizione delle priorità nella gestione dell'incidente è forse il punto decisionale più critico nel processo di risposta agli incidenti. La definizione delle priorità richiede la comprensione della minaccia e del rischio per l'organizzazione. La classificazione del rischio determina il livello di maturità necessario per l'organizzazione.
Scegliere il livello appropriato
Il livello di maturità che un'organizzazione deve raggiungere per la risposta agli incidenti si basa sui requisiti di tale capacità. Le minacce, i rischi e i requisiti di conformità specifici del settore determinano le esigenze di un'organizzazione. L'analisi delle esigenze di altre organizzazioni dello stesso settore aiuta a identificare un buon punto di partenza per un livello di maturità target.
Ad esempio, una piccola azienda che opera nel settore della logistica non avrà gli stessi requisiti, o la stessa capacità, di rispondere agli incidenti di cybersecurity di una grande organizzazione aziendale del settore finanziario o di un ente governativo. Al contrario, le organizzazioni con marchi molto riconosciuti o proprietà intellettuale di valore devono migliorare la consapevolezza delle minacce, andando a caccia di aggressori in modo proattivo e mantenendo l'agilità necessaria per rispondere rapidamente alle minacce individuate. Questo va al di là di un piano mantenuto, di ruoli e responsabilità concreti, di linee di comunicazione e di procedure di risposta. Un piano e un processo formale di security operations center (SOC) non sono sufficienti per affrontare il rischio di attacchi mirati.
Se avete bisogno di migliorare le vostre operazioni di sicurezza e di potenziare le vostre capacità di risposta agli incidenti, scoprite i servizi di consulenza di Vectra per una gamma di offerte personalizzate in base alle esigenze specifiche della vostra organizzazione.