I Security Incident, o incidente di sicurezza, è un qualsiasi tentativo o effettivo accesso non autorizzato, uso, divulgazione, modifica o distruzione di informazioni e dati di proprietà di un’organizzazione. Essendo un aspetto molto importante e di prioritaria importanza per un’azienda IT, sono molte le società che decidono di gestire la loro sicurezza in outsourcing, affidandosi a professionisti specializzati. In virtù della criticità dei processi coinvolti, la scelta del partner giusto è fondamentale. Risulta quindi necessario affidarsi a un’azienda con una comprovata esperienza alle spalle nella complessa tematica di Security Incident. WESTPOLE rientra tra di esse, offrendo una serie di servizi su misura per “tranquillizzare” le aziende. Abbiamo intervistato i loro esperti cercando di capire quali sono gli eventi più comuni che possono verificarsi e com’è possibile scongiurarli.
Quali servizi offrite in questo specifico ambito?
È importante conoscere le minacce informatiche che oggi ci circondano e la loro evoluzione ed in base a questo offriamo diversi tipi di servizi. Mi soffermerei su due principali che sono:
- Security monitoring
- Analysis & Mitigation
Il primo prevede il monitoraggio degli eventi che si succedono all’interno della infrastruttura del cliente. Il perimetro di tale infrastruttura oggi è diventato molto “liquido” in quanto si ha necessità di accedere alle informazioni da qualsiasi ubicazione e che risiedono in cloud privati o pubblici o all’interno della infrastruttura del cliente.
Utilizziamo delle sonde specifiche che ci permettono di analizzare il traffico telematico in ambito security e quindi di avvertire il cliente in caso di eventi anomali e di aiutarlo eventualmente nella gestione di questi eventi/incidenti. Utilizziamo anche soluzioni di Endpoint and Detection Response che ci permettono di analizzare i comportamenti anomali degli utenti stessi attraverso tecnologie innovative quali machine learning o intelligenza artificiale.
Il secondo servizio prevede invece la correlazione di eventi che se presi singolarmente non desterebbero sospetti, ma correlati tra di loro attraverso l’utilizzo di tecniche avanzate permette di evidenziare attacchi informatici più sofisticati e quindi agire in modo mirato.
Quali sono gli eventi più comuni che possono verificarsi e rientrano nella sfera dei Security Incident?
Il veicolo di maggiore infezione oggi è la posta elettronica e tramite questa si prova ad impadronirsi dei device degli utenti come porta di ingresso verso i sistemi e le informazioni del cliente e successivamente cercare di recuperare le utenze amministrative dei sistemi.
Quando un cliente vi chiama per risolvere un problema di sicurezza come procedete? Ci può raccontare quali sono le fasi propedeutiche e le procedure che seguite? Quali strumenti utilizzate?
Intanto è necessario tracciare tutte le attività che si eseguono per permettere poi una analisi post mortem più approfondita. È necessario instaurare un team congiunto che permetta di comprendere e circoscrivere il problema in modo di contenere i danni e di isolare quei sistemi che sono stati “attenzionati” dagli attaccanti ed eventualmente compromessi. In questa fase è necessario comprendere anche quali sistemi di sicurezza già possiede ed analizzare gli eventi che tali sistemi presentano.
Essendo certificati ISO27001 abbiamo delle procedure e dei protocolli specifici per la gestione degli incidenti e che prevedono la rilevazione dell’incidente, l’analisi, il contenimento e la remediation. Successivamente si procede ad un’analisi post mortem per comprendere la causa e tutti i movimenti che l’attaccante ha eseguito.
Gli strumenti utilizzati sono sonde che analizzano il traffico di rete e di software specifici che sono installati sui device per analizzare il comportamento degli stessi.
Come sono cambiati nel corso del tempo i Security Incident?
Sono cambiate le minacce ed il modo di attaccare le infrastrutture dei clienti da parte degli hacker. La diffusione di internet ed i social network permette agli attaccanti di avere molte informazioni con il minimo sforzo. Inoltre, gli attaccanti prima volevo farsi notare e mostrare a tutti il loro operato, invece, oggi, essendo diventato un business molto remunerativo, gli hacker tendono a nascondersi e a non farsi notare da strumenti di sicurezza eventualmente introdotti. L’altro aspetto importante è che una volta i perimetri aziendali erano ben definiti mentre oggi sono più vaporizzati in quanto ci sono delle infrastrutture ibride con Data Center propri, applicazioni in cloud privati o pubblici, ecc.
Qual è il Vostro background nell’ambito dei Securiy Incident? Quali sono i vostri maggiori clienti e cosa vi chiedono?
Abbiamo clienti sia della pubblica amministrazione che del mondo privato e di diversi settori merceologici. I clienti solitamente ci chiedono di renderli sicuri. Purtroppo, non è così facile e quello che diciamo sempre è che la sicurezza è un processo e quindi non è sufficiente uno strumento tecnologico a risolvere tutto.
Abbiamo sviluppato una metodologia che ci permette prima di “conoscere” il cliente, sia dal punto di vista del business che svolge, sia dal punto di vista delle normative e degli obblighi di legge a cui è soggetto. Segue la realizzazione e l’applicazione di un piano di sicurezza che prevede sia elementi organizzativi che tecnologici e, in particolare, anche la formazione degli utenti perché anch’essi sono anelli della catena di un’azienda e se un anello è debole lo diventa tutta la catena.
Ci può raccontare un problema complesso che siete riusciti a risolvere (magari, se possibile, citando anche il nome del cliente)?
Purtroppo, non possiamo fare nomi di cliente per la riservatezza, ma posso raccontare uno degli ultimi casi. Il cliente aveva perso completamente il controllo della propria infrastruttura in quanto gli attaccanti erano entrati in possesso di una utenza privilegiata e con questa avevano disabilitato gli endpoint di sicurezza e reso indisponibili tutti i sistemi aziendali.
Abbiamo dovuto quindi effettuare il ripristino dei sistemi al momento temporale più vicino al primo evento che poi ha generato l’incidente. Abbiamo effettuato ovviamente un’analisi per comprendere quale fosse il vettore d’attacco e come gli hacker si fossero introdotti all’interno del perimetro aziendale e le debolezze di sicurezza che il cliente possedeva.
Abbiamo quindi realizzato un piano di sicurezza triennale che permetta al cliente alla fine del periodo di avere una sicurezza gestita. Sottolineo che ciò non vuol dire che non si avranno più incidenti di sicurezza informatica, ma che il cliente sarà in grado di prevenirli ed eventualmente contenerli.
Scritto da Michele Onorato – Chief Information Security Officer & BU Manager 
{{cta(‘3f76c1ae-3e3e-4eac-af2b-9cb27929dc76′,’justifycenter’)}}
