Esercitazioni di sicurezza

Le esercitazioni di sicurezza mettono alla prova le dinamiche di un team o l’efficacia di un processo. Si tratta di simulazioni con discussione, nell’ambito delle quali i principali stakeholder discutono le varie fasi di un ipotetico incidente informatico al fine di valutare le strategie di risposta, identificarne eventuali punti deboli e migliorare il livello di preparazione. Questi esercizi aiutano le organizzazioni a ottimizzare i piani di incident response, nonché a migliorare la comunicazione e incrementare la resilienza contro le minacce in circolazione.

backgroud-texture-bg-2

Perché le esercitazioni di sicurezza sono importanti?

  • Identificazione dei punti ciechi: le esercitazioni di sicurezza informatica ti aiutano a individuare i punti ciechi prima che possano essere scoperti e sfruttati dai cybercriminali.
  • Analisi del profilo di sicurezza: con le esercitazioni di sicurezza informatica puoi valutare il tuo profilo di sicurezza e trovare nuovi modi per ottimizzarlo.
  • Analisi delle comunicazioni: le esercitazioni di sicurezza informatica possono mettere in luce eventuali problemi di comunicazione tra team o reparti che potrebbero limitare la tua capacità di contrastare gli attacchi.
  • Conformità: svolgere esercitazioni di sicurezza informatica e documentarle sono due requisiti di preparazione all’incident response inclusi nei programmi di sicurezza per molti settori disciplinati da normative estremamente rigide.

Tipi di esercitazioni di sicurezza informatica

Scenari Rapid-Fire (attacco lampo)

Secondo ISACA, uno scenario Rapid-Fire è un attacco “di livello meno profondo, che deve essere capito e discusso in maniera semplice e veloce”. Richiede pochissima (o nessuna) preparazione e dura circa 10-30 minuti.

Gli scenari Rapid-Fire possono coinvolgere membri del team di livello aziendale basso, medio e alto, con vari background. Queste persone possono analizzare diversi scenari di sicurezza e ciascun membro del team può assumere il ruolo di incident responder.

Scenari Technical-Only (solo tecnici)

Gli scenari Technical-Only durano tipicamente da una a due ore. Questi scenari promuovono discussioni tecniche approfondite e richiedono una pianificazione dettagliata. Permettono ai membri del team di valutare gli aspetti tecnici di un incidente di sicurezza.

Uno scenario Technical-Only prevede di solito un evento iniziale. Man mano che l’evento si svolge, la tua organizzazione può aggiungere altri dettagli. Questo può aiutare i membri del team a prepararsi per gli attacchi complessi.

Scenari Full-Stakeholder (tutti gli stakeholder)

Gli scenari Full-Stakeholder sono un’estensione degli scenari Technical-Only. Si focalizzano su problemi tanto tecnici quanto non tecnici, e sulla logistica.

Tipicamente, durano da due a quattro ore. Possono coinvolgere membri del team tecnico, ma anche professionisti legali, di marketing e HR.

Gli scenari Full-Stakeholder sono ideali per le organizzazioni che vogliono migliorare la comunicazione tra i propri team o reparti. In un’esercitazione di tipo Full-Stakeholder potrebbe essere consigliabile coinvolgere sia personale tecnico che non tecnico. I partecipanti dei vari team o reparti avranno così la possibilità di lavorare insieme per risolvere un problema di sicurezza.

Per questo scenario, alcune organizzazioni chiedono ai propri team o reparti di intervenire in momenti diversi. In questo modo, i team o dipartimenti potranno essere maggiormente coinvolti, come succederebbe nel caso di un incidente di sicurezza reale.

Da chi vengono svolte le esercitazioni di sicurezza?

Terze parti

I servizi che offrono esercitazioni di sicurezza informatica di terze parti coordinano e gestiscono gli scenari e offrono spunti per le discussioni. Organizzarli ed eseguirli richiede un impegno minimo o inesistente da parte dell’azienda.

Una terza parte può personalizzare le esercitazioni in base alle esigenze della tua organizzazione o del tuo ambiente. Si impegnerà a conoscere la tua organizzazione e le difficoltà che affronta in materia di sicurezza. Provvederà quindi a sviluppare un’esercitazione di sicurezza su misura per la tua organizzazione e i vari team o reparti.

Self-service

La tua organizzazione può creare autonomamente esercitazioni di sicurezza personalizzate. Sviluppare e implementare queste esercitazioni può essere un processo oneroso sia in termini di costi che di tempi. Tuttavia, puoi personalizzare le tue esercitazioni di cybersecurity in base alla tua azienda e al suo ambiente.

Con le esercitazioni di cybersecurity personalizzate, i partecipanti possono scoprire quali sono le sfide di sicurezza affrontate dalla tua organizzazione. Le esercitazioni possono, ad esempio, includere sistemi che i partecipanti utilizzano ogni giorno, per renderle più “realistiche” e promuovere un maggiore coinvolgimento da parte del team. Inoltre, tutto questo promuove la collaborazione dei partecipanti per identificare e risolvere problemi specifici che possono influire direttamente sulla tua organizzazione, nonché sui suoi dipendenti e clienti. 

Come si svolgono le esercitazioni di sicurezza di Sophos?

Sophos sviluppa esercitazioni di sicurezza informatica personalizzate in base al team o al reparto. Durante un’esercitazione, iniziamo solitamente con un problema di sicurezza secondario, e incoraggiamo i partecipanti a condividere potenziali approcci e idee gli uni con gli altri. Successivamente, utilizziamo questi “risultati” per evidenziare la gravità del problema.

Offriamo scenari di cybersecurity che le organizzazioni possono utilizzare per sviluppare le proprie esercitazioni e svolgerle. Inoltre, forniamo i seguenti consigli per aiutarti a muovere i primi passi con le esercitazioni di sicurezza:

Identifica i target dell’esercitazione

Stabilisci chi deve essere coinvolto, e successivamente sviluppa il tuo scenario di cybersecurity. Ad esempio, se vuoi mettere alla prova il tuo team di sicurezza informatica, opta per uno scenario di sicurezza complesso.

Comparativamente, se l’esercitazione è rivolta al tuo team IT o DevOps, scegli un problema che i partecipanti capiranno e al quale dedicheranno il tempo, l’impegno e l’attenzione che merita.

Scegli i partecipanti giusti

Nel tuo scenario di sicurezza puoi coinvolgere un solo team o reparto, oppure più team o reparti. Uno scenario che prevede la partecipazione di un solo team ti permette di osservare come risponderanno i singoli dipendenti a un attacco informatico. Allo stesso tempo, includere diversi team o reparti favorisce la collaborazione tra vari stakeholder per risolvere un incidente di sicurezza.

Decidi quando coinvolgere i vari partecipanti

Considera quando i diversi team o reparti devono essere coinvolti nel tuo scenario di sicurezza. Ad esempio, in caso di compromissione delle informazioni sull’identità all’interno della tua organizzazione, potresti dover coinvolgere i membri del team o reparto legale per garantire il rispetto del GDPR e di altri requisiti sulla tutela dei dati.

Spesso è utile coinvolgere nello scenario di sicurezza almeno una persona di ogni team o reparto dell’organizzazione. Questo può aiutare a promuovere la collaborazione e la comunicazione interfunzionale tra i vari team e reparti dell’organizzazione.

Stabilisci quanti partecipanti devono essere coinvolti

Assicurati che il tuo scenario includa partecipanti in grado di interagire reciprocamente e collaborare per raggiungere obiettivi comuni. Nei nostri scenari, coinvolgiamo spesso fino a 25 partecipanti a vari livelli di un team o reparto, oppure diversi team o reparti. Quando decidi quanti partecipanti coinvolgere nelle tue simulazioni sulla sicurezza informatica, considera le dimensioni della tua organizzazione e la struttura dei tuoi team e reparti.

Gestisci le tempistiche della tua esercitazione

Concedi ai partecipanti abbastanza tempo per completare la tua esercitazione. Sophos cerca di evitare sessioni di simulazione troppo lunghe. Questo è perché può essere difficile per i partecipanti coordinare i propri orari e partecipare a una sessione che duri più di qualche ora.

Preparare i materiali

Usa una presentazione PowerPoint o altri materiali per introdurre il tuo scenario. Solitamente, il team Sophos utilizza le presentazioni PowerPoint per le simulazioni a tavolino, con diapositive che mostrano una progressione di eventi e con domande che i partecipanti possono prendere in esame. Normalmente per queste esercitazioni limitiamo le dimensioni della maggior parte dei nostri PowerPoint a 20 diapositive.

Definisci la storia della tua esercitazione

Sviluppa una storia ipotetica e personalizza le informazioni che includi a seconda delle esigenze. I casi discussi recentemente nelle news possono catturare l’attenzione dei partecipanti. Per le storie più lunghe, puoi inserire nei log e nei sistemi degli indizi che i partecipanti dovranno trovare e seguire.

Allinea la tua esercitazione con le competenze dei partecipanti

Crea un’esercitazione di sicurezza informatica in linea con la maturità delle competenze di sicurezza dei tuoi partecipanti. Ad esempio, una storia dettagliata può essere utile per i partecipanti dotati di un elevato livello di conoscenza ed esperienza in materia di cybersecurity. In altre situazioni potrebbero essere più idonei scenari generici, di livello meno profondo.

Se sviluppi una narrazione dettagliata, assicurati che sia realistica. Ad esempio, se vuoi coinvolgere un ambito specifico della tua organizzazione o rete, procurati informazioni consultando qualcuno che lavora in quel campo. Potrai così sviluppare uno scenario che risulta congeniale per il tuo target.

Chiedi feedback ai partecipanti

Chiedi ai partecipanti se hanno idee che puoi includere nella tua esercitazione. Nella maggior parte dei casi, i partecipanti saranno in grado di condividere informazioni che riguardano i problemi di sicurezza che affrontano ogni giorno. Puoi utilizzare questi problemi per sviluppare uno scenario che aiuti i partecipanti a trovare modi per risolverli in futuro.

Mappa il tuo scenario

Crea un diagramma di flusso di come potrebbe svolgersi la tua simulazione di attacco. Ti aiuterà a individuare eventuali lacune nella tua storia.

Oltre a questo, ti consigliamo di chiedere feedback ai membri dei vari team e reparti in grado di comprendere i temi trattati nella tua storia. Queste persone possono aiutarti a risolvere eventuali problemi e a realizzare una simulazione realistica.

Crea domande di discussione

Prendi nota di tutte le domande che emergono durante l’evoluzione della tua storia. Queste domande possono favorire la discussione tra i partecipanti alla simulazione.

Controlla la tua storia

Esamina il tuo scenario più volte, prima di presentarlo ai partecipanti. Può essere difficile stabilire quanto tempo occorrerà ai partecipanti per completare la tua simulazione. Se hai dubbi sulla quantità di tempo richiesta, pecca per eccesso di prudenza. Se la tua presentazione è vicina al tempo disponibile ai partecipanti o lo supera, cambiala secondo necessità.

Crea l’atmosfera giusta per la tua esercitazione

All’inizio dell’esercitazione, incoraggia il coinvolgimento di tutti i partecipanti. La simulazione offre a tutti i partecipanti l’opportunità di far sentire la propria voce per aiutare la tua organizzazione a migliorare il profilo di sicurezza. Se i partecipanti comunicano e collaborano, l’esercitazione sarà utile per tutti.

Modera l’esercitazione

Se moderi l’esercitazione, resisti alla tentazione di partecipare. In questo ruolo, puoi fornire ai partecipanti lo scenario e aiutarli a orientarsi al suo interno. Puoi anche concedere ai partecipanti del tempo per discutere vari argomenti della storia e condividere domande e suggerimenti.

Monitora eventuali problemi

Assicurati che ci sia qualcuno che prenda appunti per documentare eventuali problemi che potrebbero emergere durante l’esercitazione. Potrai così ottenere approfondimenti sulle questioni che altrimenti influirebbero negativamente sull’efficacia della tua storia.

Fai attenzione all’orario

Imposta un timer per la tua esercitazione e attieniti alle tempistiche. Assicurati che i partecipanti rispettino il programma e ricorda loro di continuare a lavorare sulla storia man mano che si evolve.

Valuta i tuoi risultati

Una volta terminata l’esercitazione, valuta i risultati e come possono essere integrati nelle operazioni quotidiane della tua organizzazione. Per esempio, se hai completato il test basandoti sui requisiti di conformità, puoi creare un PDF che contiene le informazioni di cui hanno bisogno gli auditor.

Puoi anche offrire ai partecipanti l’opportunità di controllare i risultati che hai ottenuto e svolgere di nuovo la stessa esercitazione in futuro. In questo modo, sarà possibile confermare se le modifiche apportate hanno contribuito a risolvere i problemi emersi durante l’esercitazione iniziale.

Esempio di esercitazione di sicurezza

Quella che segue è un’esercitazione che Sophos ha creato ed eseguito internamente.

Scopri di più

Risorse per le esercitazioni di sicurezza informatica

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti offre risorse utili per aiutare le organizzazioni a condurre le proprie esercitazioni di sicurezza informatica. Puoi accedere a oltre 100 CISA Tabletop Exercise Packages (CTEP, ovvero Pacchetti di esercitazioni di sicurezza informatica della CISA), realizzati per un’ampia selezione di scenari, inclusi:

  • Cybersecurity: ransomware, minacce da parte di personale interno, phishing, compromissione dei sistemi di controllo industriale (ICS) e altri scenari di cybersecurity.
  • Sicurezza fisica: sparatorie in corso, speronamento di veicoli, ordigni esplosivi improvvisati (IED), sistemi aeromobili senza equipaggio (UAS) e altri scenari relativi alla sicurezza fisica.
  • Convergenza tra cybersecurity e sicurezza fisica: impatto fisico dovuto a vettori di minacce informatiche, e impatti informatici dovuti a vettori di minacce fisiche.

Oltre a questi, la CISA offre modelli preimpostati che puoi utilizzare per sviluppare autonomamente le tue esercitazioni di sicurezza informatica.

 

Autore: Luke Groves | Senior Manager | Red Team, Cybersecurity

Data: settembre 2023