Home topics Cos'è la risposta agli incidenti? Cos'è la risposta agli incidenti?
Un piano di risposta agli incidenti formale consente ai team di sicurezza informatica di limitare o prevenire i danni da attacchi informatici o violazioni della sicurezza.
Vista ingrandita di un grattacielo
Cos'è la risposta agli incidenti?

La risposta agli incidenti (a volte indicata come risposta agli incidenti di sicurezza informatica) si riferisce ai processi e alle tecnologie di un'organizzazione per rilevare e rispondere alle minacce informatiche, alle violazioni della sicurezza o agli attacchi informatici. L'obiettivo della risposta agli incidenti è quello di prevenire gli attacchi informatici prima che si verifichino e di ridurre al minimo i costi e le interruzioni aziendali conseguenti a qualsiasi attacco informatico che si verifichi.

Idealmente, un'organizzazione definisce i processi e le tecnologie di risposta agli incidenti in un piano di risposta agli incidenti (IRP, incident response plan) formale che specifica esattamente in che modo i diversi tipi di attacchi informatici devono essere identificati, contenuti e risolti. Un piano di risposta agli incidenti efficace può aiutare i team di sicurezza informatica a rilevare e contenere le minacce informatiche e ripristinare i sistemi interessati più rapidamente e ridurre i mancati introiti, le sanzioni normative a altri costi associati a tali minacce. Il report Cost of a Data Breach 2022 di IBM ha riscontrato che le organizzazioni con dei team di risposta agli incidenti e dei piani di risposta agli incidenti regolarmente testati hanno avuto un costo medio di violazione dei dati inferiore di 2,66 milioni di dollari rispetto alle organizzazioni senza team di risposta agli incidenti e piani di risposta agli incidenti.
Cosa sono gli incidenti di sicurezza?

Un incidente di sicurezza, o evento di sicurezza, è qualsiasi violazione digitale o fisica che minacci la confidenzialità, integrità o disponibilità dei sistemi informativi o dei dati sensibili di un'organizzazione. Gli incidenti di sicurezza possono andare dagli attacchi informatici intenzionali da parte di hacker o utenti non autorizzati alle violazioni involontarie della politica di sicurezza da parte di utenti autorizzati legittimi.

Alcuni degli incidenti di sicurezza più comuni includono:

Ransomware. Il ransomware è un tipo di software dannoso, o malware, che blocca i dati o il dispositivo informatico di una vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'aggressore. Secondo il report Cost of a Data Breach 2022 di IBM, gli attacchi ransomware sono aumentati del 41% tra il 2021 e il 2022.

Scopri di più sul ransomware.

Phishing e ingegneria sociale. Gli attacchi di phishing sono messaggi digitali o vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano abilmente messaggi di phishing in modo che abbiano caratteristiche grafiche e sonore che li facciano sembrare provenienti da un'organizzazione o da un individuo affidabile o credibile, a volte anche da un individuo che il destinatario conosce personalmente.

Secondo il report Cost of a Data Breach 2022 di IBM, il phishing è la causa più costosa, e la seconda più comune, delle violazioni dei dati. È anche la forma più comune di ingegneria sociale - una classe di attacco che mira alle debolezze umane piuttosto che alle vulnerabilità della sicurezza digitale per ottenere un accesso non autorizzato a dati o asset personali o aziendali sensibili.

Scopri di più sull'ingegneria sociale.

Attacchi DDoS. In un attacco DDoS (distributed denial-of-service), gli hacker ottengono il controllo a distanza di un gran numero di computer e se ne servono per sovraccaricare di traffico la rete o i server di un'organizzazione presa di mira, rendendo tali risorse non disponibili per gli utenti legittimi.

Scopri di più sugli attacchi DDoS.

Attacchi alla supply chain. Gli attacchi alla supply chain sono attacchi informatici che si infiltrano in un'organizzazione presa di mira attaccando i suoi venditori, ad es. rubando dati sensibili dai sistemi dei fornitori oppure utilizzando i servizi di un venditore per distribuire malware. Nel luglio del 2021, i criminali informatici hanno sfruttato una falla nella piattaforma VSA di Kaseya  (link esterno a ibm.com) per diffondere un ransomware ai clienti sotto forma di un aggiornamento software legittimo. Anche se la frequenza degli attacchi alla supply chain è in aumento, secondo il Cyber Resilient Organization Study del 2021 di IBM, solo il 32% delle organizzazioni ha dei piani di risposta agli incidenti preparati per questa specifica minaccia informatica.

Scopri di più sulla sicurezza della supply chain.

Minacce interne. Esistono due tipi di minacce interne. Gli utenti interni malintenzionati sono dipendenti, partner o altri utenti autorizzati che compromettono intenzionalmente la sicurezza delle informazioni di un'organizzazione. Gli utenti interni negligenti sono utenti autorizzati che compromettono involontariamente la sicurezza perché non rispettano le procedure consigliate di sicurezza, ad esempio utilizzando password vulnerabili o archiviando dati sensibili in posti non sicuri. 

Scopri di più sulle minacce interne.
Come funziona la risposta agli incidenti

Pianificazione della risposta agli incidenti

Come accennato in precedenza, gli sforzi di risposta agli incidenti di un'organizzazione sono guidati da un piano di risposta agli incidenti. Tali piani sono di norma creati ed eseguiti da un team di risposta agli incidenti di sicurezza informatici (CSIRT, computer security incident response team) composto dalle parti interessate provenienti da ogni parte dell'organizzazione - il CISO (chief information security officer), il SOC (security operations center) e il personale IT, ma anche rappresentanti della dirigenza esecutiva, del dipartimento legale, delle risorse umane, della conformità normativa e della gestione dei rischi.

Un piano di risposta agli incidenti di norma include

  • i ruoli e le responsabilità di ogni membro del CSIRT;
  • le soluzioni di sicurezza — software, hardware e altre tecnologie — da installare in tutta l'azienda;
  • un piano di business continuity che descrive le procedure per ripristinare i sistemi e i dati critici interessati il più rapidamente possibile in caso di interruzione;
  • una metodologia di risposta agli incidenti dettagliata che definisce i passi specifici da intraprendere in ciascuna fase del processo di risposta agli incidenti (vedi di seguito) e chi se ne deve occupare;
  • un piano di comunicazione per informare sugli incidenti i dirigenti, i dipendenti e i clienti dell'azienda e anche le forze dell'ordine;
  • le istruzioni per raccogliere le informazioni e documentare gli incidenti per i riesami retrospettivi e (se necessario) i procedimenti legali. 

Non è raro che il CSIRT elabori dei piani di risposta agli incidenti differenti per i diversi tipi di incidente poiché ognuno di essi potrebbe richiedere una risposta a sé stante. Secondo il Cyber Resilient Organization Study del 2021 di IBM, la maggior parte delle organizzazioni ha dei piani di risposta agli incidenti specifici attinenti agli attacchi DDoS, a malware e ransomware e al phishing, e quasi la metà di esse ha dei piani per le minacce interne.

Alcune organizzazioni integrano i CSIRT interni con partner esterni che forniscono servizi di risposta agli incidenti. Questi partner spesso lavorano su contratto e forniscono assistenza con diversi aspetti del processo di gestione degli incidenti, comprese la preparazione e l'esecuzione dei piani di risposta agli incidenti.

Il processo di risposta agli incidenti

La maggior parte dei piani di risposta agli incidenti segue anche lo stesso quadro di riferimento generale di risposta agli incidenti basato sui modelli di risposta agli incidenti sviluppati dal SANS Institute, dal NIST (National Institute of Standards and Technology) e dalla CISA (Cybersecurity and Infrastructure Agency).

Preparazione. Questa prima fase della risposta agli incidenti è anche una che non prevede interruzioni, per garantire che il CSIRT disponga sempre delle procedure e degli strumenti migliori possibili per rispondere al fine di eseguire le attività di identificazione, contenimento e ripristino da un incidente il più rapidamente possibile ed entro interruzioni aziendali minime.

Servendosi di una regolare valutazione dei rischi, il CSIRT identifica le vulnerabilità di rete, definisci i diversi tipi di incidenti di sicurezza che rappresentano un rischio per la rete e assegna una priorità a ciascuno di questi tipi in base al suo potenziale impatto sull'organizzazione. Sulla base di tale valutazione dei rischi, il CSIRT può aggiornare i piani di risposta agli incidenti esistenti oppure formularne di nuovi.

Rilevamento e analisi. Durante questa fase, i membri del team di sicurezza monitorano la rete per rilevare eventuali attività sospette e potenziali minacce. Analizzano dati, notifiche e avvisi raccolti dai log dei dispositivi e da diversi strumenti di sicurezza (software antivirus, firewall) installati sulla rete, filtrando i falsi positivi e valutando e assegnando la priorità agli avvisi in ordine di gravità.

Oggi, la maggior parte delle organizzazioni utilizza una o più soluzioni di sicurezza - quali SIEM (security information and event management) ed EDR (endpoint detection and response) - per aiutare i team di sicurezza a monitorare e analizzare gli eventi in tempo reale e ad automatizzare i processi di rilevamento e risposta agli incidenti. (Per ulteriori informazioni, vedi "Tecnologie di risposta agli incidenti" di seguito.)

Il piano di comunicazione entra in gioco anche durante questa fase. Dopo aver determinato di che tipo sia la minaccia o la violazione con cui sta avendo a che fare, il CSIRT informa il personale appropriato prima di passare alla fase successiva del piano di risposta agli incidenti. 

Contenimento. Il team di risposta agli incidenti adotta delle misure per impedire alla violazione di arrecare ulteriori danni alla rete. Le attività di contenimento possono dividersi in due categorie:

  • Le misure di contenimento a breve termine si concentrano sulla prevenzione della diffusione dall'attuale minaccia isolando i sistemi interessati, ad esempio mettendo offline i sistemi infettati.
  • Le misure di contenimento a lungo termine si concentrano sulla protezione dei sistemi non interessati implementando intorno ad essi dei controlli di sicurezza più rigidi, ad esempio separando i database sensibili dal resto della rete.

In questa fase, il CSIRT potrebbe anche creare dei backup dei sistemi interessati e di quelli non interessati per evitare ulteriori perdite di dati e per acquisire prove scientifiche dell'incidente per studi futuri. 

Eradicazione. Una volta contenuta la minaccia, il team passa a una riparazione totale e a una completa rimozione della minaccia dal sistema. Ciò comporta l'eradicazione in modo attivo della minaccia stessa - ad es. distruggendo il malware o estromettendo un utente non autorizzato o malintenzionato dalla rete - e riesaminando sia i sistemi interessati che quelli non interessati per assicurarsi che non rimanga alcuna traccia della violazione. 

Ripristino. Quando è sicuro di aver eradicato del tutto la minaccia, il team di risposta agli incidenti ripristina il normale funzionamento dei sistemi interessati. Ciò può comportare l'implementazione di patch e la ricostruzione dei sistemi dai backup e il ripristino online dei sistemi e dei dispositivi riparati.

Riesame post-incidente. Nel corso di ogni fase del processo di risposta agli incidenti, il CSIRT raccoglie le prove della violazione e documenta i passi che intraprende per contenere ed eradicare la minaccia. In questa fase, il CSIRT riesamina queste informazioni per comprendere meglio l'incidente. Il CSIRT cerca di determinare la causa ultima dell'attacco, identificare come sia riuscita a violare la rete e risolvere le vulnerabilità in modo che non si verifichino futuri incidenti di questo tipo. 

Il CSIRT riesamina anche cosa ha funzionato e cerca opportunità per migliorare sistemi, strumenti e processi per rafforzare le iniziative di risposta ali incidenti contro attacchi futuri. A seconda delle circostanze della violazione, anche le forze dell'ordine potrebbero essere coinvolte nell'indagine post-incidente. 
Tecnologie di risposta agli incidenti

Come accennato in precedenza, oltre a descrivere i passi che i CSIRT devono intraprendere nel caso in cui si verificasse un incidente di sicurezza, i piani di risposta agli incidenti di norma descrivono le soluzioni di sicurezza di cui i team di risposta agli incidenti devono disporre per eseguire o automatizzare i flussi di lavoro chiave di risposta agli incidenti, quali la raccolta e la correlazione dei dati di sicurezza, il rilevamento degli incidenti in tempo reale e la risposta agli attacchi in corso.

Alcune delle tecnologie di risposta agli incidenti più comunemente utilizzate includono:

  • SIEM (security information and event management): SIEM aggrega e correla i dati degli eventi di sicurezza da strumenti di sicurezza interni eterogenei (ad es. firewall, rilevatori di vulnerabilità, feed di intelligence sulle minacce) e dai dispositivi sulla rete. SIEM può aiutare i team di risposta agli incidenti a contrastare il cosiddetto 'affaticamento da avvisi' mediante degli indicatori delle minacce effettive dall'enorme volume di notifiche generato da questi strumenti.
  • SOAR (security orchestration, automation and response): SOAR consente ai team di sicurezza di definire dei playbook - ossia dei flussi di lavoro formalizzati che coordinano le diverse operazioni e i diversi strumenti di sicurezza in risposta agli incidenti di sicurezza - e di automatizzare parte di tali flussi di lavoro laddove possibile.
  • EDR (endpoint detection and response): EDR è un software progettato per proteggere automaticamente gli utenti finali, i dispositivi endpoint e gli asset IT di un'organizzazione dalle minacce informatiche che superano il software antivirus e altri strumenti di sicurezza degli endpoint tradizionali. EDR raccoglie continuamente i dati da tutti gli endpoint sulla rete, li analizza in tempo reale per rilevare eventuali prove di minacce informatiche note o sospette ed è in grado di rispondere automaticamente per evitare o ridurre al minimo i danni derivanti dalle minacce che identifica.
  • XDR (extended detection and response): XDR è una tecnologia di sicurezza informatica che unifica sicurezza, punti di controllo, fonti di dati e telemetria e analytics nell'intero ambiente IT ibrido (endpoint, reti, cloud privati e pubblici) per creare un singolo sistema aziendale centrale per la prevenzione, il rilevamento e la risposta alle minacce. XDR è una tecnologia ancora emergente che ha il potenziale di aiutare i team di sicurezza e i SOC (security operations center) già sovraccarichi a fare di più con meno eliminando i silos tra gli strumenti di sicurezza e automatizzando la risposta lungo l'intera catena d'attacco della minaccia informatica.
  • UEBA (user and entity behavior analytics): UEBA utilizza l'analytics comportamentale, gli algoritmi di machine learning e l'automazione per identificare comportamenti di utenti e dispositivi anomali e potenzialmente pericolosi. UEBA è particolarmente efficace nell'identificare le minacce interne - utenti interni malintenzionati oppure hacker che utilizzano credenziali di utenti interni compromesse - che possono eludere altri strumenti di sicurezza perché simulano il traffico di rete autorizzato. La funzionalità UEBA è spesso inclusa nelle soluzioni SIEM, EDR e XDR.
  • ASM (attack surface management): le soluzioni ASM automatizzano il rilevamento, l'analisi, la correzione e il monitoraggio continui delle vulnerabilità e dei potenziali vettori d'attacco in tutti gli asset della superficie di attacco di un'organizzazione. ASM può scoprire asset di rete precedentemente non monitorati e mappare le relazioni tra gli asset.
Soluzioni correlate
Team di risposta agli incidenti X-Force

Assicurati la protezione di sicurezza di cui la tua organizzazione ha bisogno per migliorare la preparazione alle violazioni con un abbonamento contrattuale al servizio di risposta agli incidenti di IBM Security. Collaborando con il nostro team specializzato di consulenti IR, avrai dei partner fidati che ti aiuteranno a ridurre il tempo necessario per rispondere a un incidente, limitare al minimo il suo impatto e aiutarti a recuperare più velocemente, prima ancora che si sospetti un incidente di sicurezza informatica.

Esplora i servizi di risposta agli incidenti
SOAR (Security Orchestration, Automation and Response)

Il rilevamento delle minacce è solo una metà dell'equazione di sicurezza. È necessaria anche una risposta intelligente agli incidenti a fronte del crescente volume di segnalazioni, dei molteplici strumenti e delle carenze di personale. Accelera insieme ad IBM la risposta agli incidenti con l'automazione, la standardizzazione dei processi e l'integrazione con gli strumenti di sicurezza esistenti.

Esplora le soluzioni di sicurezza SOAR
Servizi di risposta e rilevamento gestito

Con il crescente numero di computer portatili, desktop e lavoratori remoti, i sofisticati criminali informatici hanno ancora più porte aperte per entrare nella tua organizzazione. Da questi punti d'ingresso, spesso possono procedere in profondità e inosservati. IBM fornisce una funzionalità chiavi in mano di prevenzione, rilevamento e risposta rapida alle minacce attiva 24x7 e pronta all'uso che si avvale di intelligence sulle minacce e ricerca delle minacce proattiva per identificare e riparare le minacce avanzate.

Esplora il rilevamento e la risposta gestiti
EDR (endpoint detection and response)

Le tendenze al lavoro da remoto e un aumento dell'interconnettività degli endpoint ha portato a un aumento delle attività dannose. Riduci i carichi di lavoro degli analisti sfruttando una EDR moderna e basata sull'AI che può automatizzare il blocco e l'isolamento delle minacce malware e ransomware.

Scopri di più su IBM Security ReaQta
Workshop IBM Security Framing and Discovery

Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.

Esplora IBM Security Framing
Risorse Workshop IBM Security Framing and Discovery

Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.

 Sei passi per la risposta agli incidenti

Sviluppa una solida strategia per rispondere alle tue sfide di risposta agli incidenti

 Cosa è il ransomware?

Il ransomware è un malware che tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento di un riscatto.

 Cosa sono le minacce dall'interno?

Le minacce interne si verificano quando gli utenti autorizzati intenzionalmente o accidentalmente espongono dati o asset di rete sensibili.

 X-Force Threat Intelligence Index

Comprendi i rischi di attacco informatico con una visione globale del panorama delle minacce.

 Cost of a Data Breach

Il Cost of a Data Breach Report analizza gli impatti finanziari e le misure di sicurezza che possono aiutare la tua organizzazione ad evitare una violazione dei dati o, nel caso se ne verificasse una, a ridurne i costi.