Dell EMC Forum
Sicurezza
 

10/10/2017

Share    

Incident response e controllo dell'intera infrastruttura

Perché una strategia di risposta agli incidenti non può fare a meno di un controllo totale delle risorse IT aziendali.

© aytuncoylum – Fotolia.com

Oggi che i disservizi dei sistemi informatici e le violazioni dei dati portano a danni ingenti a numerose aziende, la capacità di agire tempestivamente in caso di incidente informatico risulta sempre più essenziale. Tuttavia le strategie di prevenzione e risoluzione di tali incidenti si rivelano spesso poco efficienti e inefficaci perché da un lato manca la visione d’insieme sull’infrastruttura IT e dall’altro il tempo per dedicarsi allo studio di un piano di interventi che tutti sperano di non dover mai applicare.

Con G DATA Total Control Business le aziende riprendono il controllo. Per definizione, pensare a come gestire un’incidente informatico significa riflettere su cosa fare nel peggiore dei casi. Un argomento scomodo, poiché richiede di uscire dalla propria ‘comfort zone’ e quindi, soprattutto per le aziende di piccole e medie dimensioni, di non cullarsi più nell’illusione di essere un obiettivo di scarso interesse per i cybercriminali; mentre i team IT devono capire che una verifica della resilienza dell’infrastruttura contro eventuali minacce può mettere il loro operato in cattiva luce. Comunque sia è ormai il tema dell’Incident Response e del controllo dell’intera infrastruttura IT è un argomento che deve essere affrontato. L’abitudine ad adottare strategie di sicurezza adeguate solo a posteriori di un danno va abbandonata perché, secondo alcuni osservatori dei fenomeni di cyber criminalità, esistono ormai solo due tipologie di aziende: quelle che sanno di aver subito una violazione e quelle che non lo sanno.

Identificare rischi e scenari
Un punto di partenza per l’analisi dei rischi possono essere le nuove normative (una su tutte il GDPR) che prevedono un innalzamento generale del livello di sicurezza in azienda, ma che non sono certamente esaustive: la conformità alle normative non esclude che si subisca una violazione o compromissione dei sistemi informatici, al contrario. Spesso si fa il minimo indispensabile per essere in regola con gli adempimenti richiesti, ma si lasciano scoperti altri fronti: le ondate ransomware degli scorsi mesi hanno rappresentato decisamente un brusco risveglio per numerose organizzazioni. Un’infezione ransomware porta spesso caos e confusione nell’operatività quotidiana. In molti ambienti moderni non esistono o quasi procedure di fall-back e recovery che non si basino su tecnologie IT. Se forse alcune organizzazioni possono tornare a carta e penna per garantire un minimo livello di servizio, sebbene ad un ritmo molto più ridotto, per la maggioranza delle realtà ciò è impossibile. Sviluppare strategie di Incident Response che prevedano un back-up dei dati e dei sistemi rilevanti su altre macchine e la tutela dei sistemi di fall-back è essenziale per reagire al meglio a questo tipo di incidenti.

Un nuovo parametro: Maximum Tolerable Downtime
Lo scenario ‘worst case’ deve anche contemplare il tempo massimo di disservizio tollerabile (MTD - Maximum Tolerable Downtime), un concetto che trova origine nel risk management e che ha un impatto diretto sulla strategia di risposta a eventuali incidenti. L’MTD varia a seconda del tipo di attività svolta dall’organizzazione: nei laboratori d’analisi afferenti al pronto soccorso, per esempio, il downtime tollerabile è vicino a zero, poiché i risultati delle analisi vanno forniti in pochi minuti. In aziende orientate alla produzione e vendita di prodotti o servizi, l’MTD può essere definito anche come tempo massimo dopo il quale l’indisponibilità di un servizio può impattare sulle vendite, un dato che può variare sensibilmente di stagione in stagione. Occorre quindi una panoramica completa degli asset critici e dell’infrastruttura IT: senza sapere quali servizi e quali macchine sono da considerare di rilevanza critica e quindi quali parti della rete richiedono un’attenzione speciale, una qualsiasi strategia di Incident Response è destinata a fallire. Per condurre analisi sui processi di rete e sui sistemi essenziali è necessario concedersi tempo, che non sempre è appannaggio del responsabile IT, spesso fagocitato dal daily business reattivo a fronte delle minacce provenienti dall’esterno.

Strumenti di sicurezza integrata
All’analisi dei rischi infrastrutturali interni bisogna abbinare una verifica delle opportunità di infiltrazione che la nostra infrastruttura offre ad attaccanti esterni. I cybercriminali mirano in genere a ottenere un vantaggio tattico/strategico (per esempio usando i sistemi IT di un’organizzazione ignara per sferrare attacchi altrove) e/o economico (furto di dati e segreti industriali, attacchi ransomware, danni d’immagine all’organizzazione per favorire la concorrenza e altro ancora). Come abbiamo visto, per proteggersi in modo efficace e proattivo non basta un antivirus, ma è necessario avvalersi di strumenti di sicurezza integrati che riconsegnino allo staff IT la piena visibilità e quindi la gestibilità dell’intera infrastruttura attraverso una console centralizzata centralizzata. Strumenti che forniscono informazioni in tempo reale, utili per assicurare agli amministratori di sistema massima reattività in caso di incidente e tempo per analizzare i rischi non già minimizzati attraverso la suite di sicurezza e monitoraggio. Poter limitare il campo a scenari che costituiscono una minaccia immediata ai dati detenuti in azienda e alla sua produttività senza dover continuamente spegnere incendi virtuali è il primo passo verso una buona strategia di Incident Response. G DATA Total Control Business è la risposta di G DATA alle esigenze di tutte le aziende del segmento PMI che scelgono di beneficiare della sicurezza come processo integrato prendendo le distanze dalla complessità cagionata dall’adozione di un singolo baluardo per ogni singola minaccia.

L’innovativa suite di sicurezza e monitoraggio assicura una protezione affidabile contro gli attacchi esterni ed un monitoraggio costante dell’infrastruttura essenziale per la produttività aziendale, includendo la manutenzione della stessa attraverso una piattaforma di patch management e network monitoring che semplifica e velocizza la chiusura di vulnerabilità come quelle sfruttate da WannaCry e Petya e la verifica costante dello stato operativo dei sistemi più importanti per la produttività aziendale. La suite integra altresì una piattaforma per la gestione dei dispositivi mobili, spesso strumenti che veicolano infiltrazioni esterne nella rete aziendale, trattati alla stregua di un qualsiasi altro client di rete, e consente di gestire attraverso una console centralizzata la gestione di tutte le policy di sicurezza da applicarsi a tutti i dispositivi che accedono alla rete, indipendentemente dal rispettivo sistema operativo. Infine la suite è dotata di una funzionalità di back-up di tutti i sistemi al fine di replicare dati e macchine essenziali, onde ripristinare il servizio in un batter d’occhio in caso di grave incidente informatico. Con G DATA Total Control Business l’azienda si dota anche di una risposta agli adempimenti normativi imposti dal nuovo regolamento europeo per la protezione dei dati (GDPR). Regolamento che ogni azienda è invitata a rispettare per non incorrere nelle pesantissime sanzioni come quelle previste a partire dal maggio 2018.

 

TORNA INDIETRO >>