Incident response

backgroud-texture-bg-1

Siamo consci del fatto che gli incidenti di sicurezza sono inevitabili. Per questo motivo, prepararsi adeguatamente ad affrontarli è un elemento chiave per una sicurezza efficace. Sophos offre soluzioni native del cloud e basate sull’IA che sfruttano le tecnologie dei SophosLabs (il nostro team globale di esperti di data science) per proteggere le aziende dagli attacchi informatici.

Anche Sophos è una delle 600.000 organizzazioni protette dai prodotti Sophos. I nostri piani di incident response si focalizzano su come comunicare in maniera sicura e affidabile quando è in corso un incidente, sui ruoli necessari per una risposta efficace e su come reagire ai vari tipi di incidente, analizzandone i livelli di gravità e inviando le dovute notifiche a clienti ed enti normativi pertinenti.

Basandoci sulle linee guida della NIST 800-61 Computer Security Incident Handling Guide (Guida alla gestione degli incidenti di sicurezza informatica), abbiamo sviluppato piani di Incident Response che vengono controllati e aggiornati frequentemente per garantire il rispetto della conformità agli standard di settore.

Il nostro team di professionisti di cybersecurity altamente qualificati sviluppa e gestisce il migliore servizio di incident response a livello globale, che include monitoraggio a 360 gradi dei sistemi, rilevamento avanzato delle minacce, automazione della risposta, gestione degli incidenti, analisi forensi e accesso a esperti esterni. Siamo gli utenti più assidui dei prodotti Sophos, e proprio per questo motivo siamo convinti che le nostre tecnologie, unite all’esperienza dei team di prodotto e dei SophosLabs, ci collocano in una posizione strategica unica, che ci permette di rispondere in maniera efficace agli incidenti di cybersecurity.

Panoramica del nostro programma di incident response

La mission di Sophos è difendere le persone dal cybercrimine, sviluppando prodotti e servizi potenti e intuitivi che garantiscono alle organizzazioni di qualsiasi dimensione la cybersecurity più efficace in assoluto. Essere in grado di rispondere adeguatamente a un’ampia selezione di potenziali incidenti di sicurezza è fondamentale per raggiungere questo obiettivo. In pratica, per poter proteggere i clienti, il nostro programma di incident response deve essere in grado di tutelare i nostri prodotti e la nostra azienda.

Sophos utilizza la definizione di incidente di sicurezza fornita nella NIST 800-61: “una violazione o una minaccia imminente di violazione dei criteri di sicurezza informatica, dei criteri di utilizzo accettabile o delle pratiche di sicurezza standard”. Si tratta di una definizione volutamente ampia, che ci consente di ottimizzare le operazioni per accelerare i tempi di risposta, identificare eventuali ambiti da migliorare e garantire ai clienti massima trasparenza. Questa definizione consente anche di identificare le fughe di dati, che potrebbero non essere incluse in una definizione che si concentra solo sugli attacchi confermati come tali.

Come identifichiamo gli incidenti

Sophos identifica o scopre gli incidenti di sicurezza in vari modi, ad esempio:

  • Opzioni di monitoraggio della sicurezza, spesso nei nostri stessi prodotti o in metodi complementari da noi sviluppati.
  • Segnalazioni nell’ambito dei programmi Bug Bounty.
  • Risultati dei test di penetrazione.
  • Analisi delle vulnerabilità.
  • Analisi di codici e applicazioni.
  • Ricerca e dati di intelligence sulle minacce.
  • Notifiche dei clienti.

Per segnalare un potenziale incidente di sicurezza, vedi il nostro Programma di divulgazione responsabile.

Indagine e analisi

Dopo l’identificazione o la segnalazione verificata di un incidente, utilizziamo inizialmente i canali di comunicazione che abbiamo definito per semplificare la condivisione di informazioni tra i membri del team di incident response.

L’ordine del giorno standard di un meeting di indagine e analisi nell’ambito dell’incident response prevede come minimo i seguenti punti:

  • Determinazione dei fatti attuali.
  • Aggiornamento dello stato di azione.
  • Accordo sulle azioni successive da intraprendere.
  • Conferma della valutazione dello stato di gravità dell’incidente: Gravità 1/2/3.
  • Determinazione di data e ora del meeting successivo.
  • Compilazione del verbale sulla cronologia dell’incidente, includendo azioni e decisioni.

Valutazione del livello di gravità

Abbiamo quattro livelli di gravità per gli incidenti.

Livelli di gravità degli incidenti

Livello di gravitàDescrizione
0Incidente critico, con massimo impatto.
1Incidente molto grave, ad alto impatto.
2Incidente grave, con un impatto significativo.
3Incidente minore, a basso impatto.


I nostri incident response manager stabiliscono la gravità di un incidente in base al potenziale impatto che potrebbe avere sull’azienda e sui clienti. Per determinare la gravità di un incidente, attingiamo a vari criteri di valutazione delle minacce, tra cui: l’impatto sui clienti, l’impatto funzionale, l’impatto sulle informazioni, la capacità di recupero, la quantità e la classificazione dei dati, i cybercriminali responsabili e infine l’impatto commerciale. La gravità dell’incidente viene valutata nuovamente nei momenti chiave del processo di risposta, e il livello di gravità viene modificato secondo necessità.

Ruoli e responsabilità

Nelle prime fasi di un incidente, viene identificato un singolo incident response manager, in base al livello di gravità assegnato all’incidente stesso. Se si richiede un intervento 24/7, questo ruolo può essere ricoperto da più persone a rotazione. Avere un unico incident response manager ci aiuta a orientarci in maniera chiara e trasparente, permettendoci di agire immediatamente e comunicare in maniera efficace.

A seconda della natura dell’incidente, occorrono ruoli diversi. Alcuni dei ruoli più comuni includono:

Ruoli e responsabilità per l’incidente

RuoloResponsabilità
IR ManagerPrende decisioni sul livello di gravità, sull’escalation, sulla creazione di un team completo di incident response, nonché sull’avvio e sull’esecuzione delle indagini.
Sponsor esecutivoComunica con il Senior Management Team (SMT) secondo necessità e approva la decisioni relative all’incident response per i casi con livello di gravità 0/1.
Team IRUn team interfunzionale con la responsabilità di svolgere indagini e analisi e di isolare gli incidenti di sicurezza informatica.
Responsabile del programma IRSovrintende a tutti i piani di incident response e alla preparazione del team interfunzionale, assicurando l’aggiornamento continuo del piano di IR e della documentazione, nonché lo svolgimento di controlli a cadenza regolare.
Protezione dei dati e comunicazioni ai clientiPrende decisioni sulle notifiche ai clienti e altre comunicazioni esterne.


Isolamento, rimozione e recupero

L’obiettivo dell’isolamento è arrestare le conseguenze di un incidente prima che possa causare ulteriori danni. Una volta isolato l’incidente, possiamo dedicarvi il tempo necessario per risolvere il problema in maniera completa.

Dopo l’isolamento dell’incidente, potrebbe essere necessario rimuoverne i componenti e gli effetti secondari. Per gli incidenti di sicurezza mirati a Sophos, dobbiamo considerare le risorse dell’azienda e quelle dei nostri prodotti, inclusa la nostra linea di soluzioni cloud.

Le più comuni attività di rimozione includono:

  • Modifiche della configurazione o del codice/hotfix.
  • Sostituzione o disattivazione dei sistemi.
  • Rimozione di funzionalità.
  • Pulizia della qualità dei dati.
  • Disattivazione degli account utente compromessi.
  • Identificazione e mitigazione di tutte le vulnerabilità soggette a exploit.

Nella fase di recupero, i tecnici Sophos ripristinano i sistemi alle normali attività, confermandone il regolare funzionamento e (se applicabile) correggendo le vulnerabilità per prevenire incidenti simili in futuro. La nostra cultura e il nostro approccio all’innovazione in qualità di azienda focalizzata sulla sicurezza e sul cloud ci aiutano a riprendere rapidamente le attività. Ci affidiamo alle nostre capacità di integrazione e distribuzione continua nell’intero ambiente aziendale e re-implementiamo costantemente i sistemi su larga scala con la massima rapidità.

Notifiche ai clienti

L’autenticità è uno dei più importanti valori aziendali di Sophos. Per onorare questo valore, sostenuto dalla mission della nostra azienda di proteggere chi si affida a noi, informiamo i clienti il prima possibile qualora i loro dati dovessero essere coinvolti in un incidente o in un caso di violazione confermato.

Attività dopo la risoluzione dell’incidente

Una volta gestito e risolto un incidente, ci concentriamo sulle lezioni che possiamo apprendere dal caso appena concluso. Organizziamo sessioni di analisi retrospettiva, durante le quali discutiamo di come abbiamo gestito l’incidente e della sua causa originaria. Basandoci su questi confronti, ottimizziamo e miglioriamo le nostre procedure di gestione degli incidenti e potenziamo il nostro profilo di sicurezza per prevenire e rilevare più rapidamente incidenti simili in futuro.

Come utilizziamo i nostri strumenti per rispondere agli incidenti

Il Sophos Global Security Operations Center (GSOC) monitora ininterrottamente gli avvisi generati dalle nostre infrastrutture e individua proattivamente eventuali anomalie nell’intero ambiente. Per ottenere questi livelli di visibilità, implementiamo e monitoriamo vari strumenti di rilevamento, inclusa la suite completa di prodotti next-gen di Sophos.

  • Sophos Intercept X Advanced with EDR abbina a Endpoint Detection and Response (EDR) le funzionalità di Intercept X, combinandole in una soluzione con un unico agente, per aiutarci a contrastare un’ampia gamma di minacce. Live Discover e Live Response ci permettono di identificare rapidamente le minacce, avviare una risposta entro pochi minuti, acquisire snapshot di analisi approfondita da remoto e arginare i problemi isolando gli endpoint compromessi. Con gli snapshot di analisi approfondita possiamo identificare ulteriori indicatori di compromissione e artefatti. Gli artefatti di rete vengono quindi bloccati dal nostro Sophos Firewall. Per saperne di più su come utilizziamo i dati forniti da Intercept X, vedi https://news.sophos.com/en-us/2018/12/03/hunting-for-threats-with-intercept-x-and-the-windows-event-collector/
  • Sophos Firewall utilizza la prevenzione delle intrusioni per prevenire e rilevare i più recenti exploit di rete. Con i nostri firewall siamo in grado di bloccare domini, URL e indirizzi IP dannosi, e possiamo analizzare i file sospetti che vengono trasferiti sulla rete attraverso l’ambiente cloud sicuro dei SophosLabs. In alcune aree della rete possiamo inoltre implementare la modalità di individuazione, con la quale il firewall agisce come un sensore di rete per la compilazione di report sugli eventi IDS e sulle attività della rete.
  • Con la progressiva migrazione dei nostri workload verso il cloud, avevamo bisogno di uno strumento che offrisse visibilità. Utilizziamo Sophos Optix per aiutarci a identificare e valutare i servizi cloud pericolosi l’azienda, nonché per ricevere notifiche proattive sui comportamenti sospetti. Ci permette di rispondere a domande importanti quali: a chi appartiene? Con chi comunica? Quali sono i ruoli e le autorizzazioni utilizzate? Quali sono le regole e i gruppi di sicurezza utilizzati? La capacità di visualizzare rapidamente la rete e i ruoli utilizzati dalle sue risorse ci permette di identificare eventuali problemi con la massima efficienza.
  • Sophos sfrutta un’ampia selezione di sistemi ed è in grado di raccogliere dati da vari prodotti Sophos e non Sophos,. Sebbene possa essere difficile ottenere informazioni contestuali su alcuni sistemi durante la fase di rilevamento e analisi di un incidente, è fondamentale recuperare i giusti dati nel modo più rapido ed efficiente possibile, in modo da poter prendere decisioni informate. Le API di Sophos Central ci consentono di sfruttare il pieno potenziale di Sophos Central e dei partner di integrazione: https://news.sophos.com/en-us/2019/12/19/unlocking-the-power-of-sophos-central-api/.