Gli esperti di InfoSecurity lo ripetono da tempo: dal momento dell'ingresso in rete di un attaccante a quello del rilevamento dell'attività dannosa deve passare il minor tempo possibile. Il cosiddetto time to detect, infatti, è direttamente proporzionale ai danni che i cyber criminali riusciranno a causare alla business productivity.

I gruppi criminali cercano di prolungare il più possibile il time to detect con vari espedienti, dall'uso di malware fileless e strumenti legittimi come PowerShell, fino alle soluzioni di ghosting e alla disattivazione degli antimalware. Per non parlare del fatto che si muovono sempre più velocemente.

In questo scenario diventa sempre più importante saper reagire il più velocemente possibile a un attacco. Netskope sottolinea che nelle 24 ore critiche che seguono ad un attacco si devono eseguire cinque passi fondamentali. Entro la prima ora è fondamentale confermare di aver subito l'attacco e comunicalo alle parti interessate. È n lavoro che spetta agli analisti, che analizzando gli alert devono saper determinare con precisione se l'incidente è effettivamente una violazione o se è un falso positivo.

Parte di questa attività comporta anche il processo di revisione necessario per appurare se i dati sono a rischio o sono stati compromessi, e per ricostruire il livello di penetrazione in rete degli attori criminali: quali parti dell'infrastruttura, delle applicazioni e dei servizi cloud hanno raggiunto?

Quando ci sono le risposte inequivocabili a queste domande, che devono essere formulate entro la prima ora, è il momento di emanare l'alert interno, avvisare il board, rimuovere l'accesso ai sistemi compromessi e/o isolare l'ambiente per limitare la propagazione dell’attacco.

Siamo al secondo passaggio della to do list. Il lavoro svolto fin qui dovrebbe aver fatto comprendere quale strategia difensiva adottare. A seconda del tipo di attacco bisognerà procedere in maniera differente. Il caso più semplice è quello dell'attacco ransomware: l’attaccante si farà vivo e indicherà i termini del riscatto.

Altre tipologie di attacco sono più subdole, quindi più difficili da rilevare. Sono i casi, per esempio, di un data leak o di una compromissione causata da un attacco di tipo zero-day: se la minaccia è sconosciuta è difficile individuarla e probabilmente sarà anche più sofisticata. In questo caso non è da escludere un threat actor di tipo APT.

Il problema di questa seconda fase è che, a prescindere dalla minaccia, dovrebbe già essere pronto e ben testato il piano di risposta, frutto di lavoro di prevenzione svolto accuratamente prima che si verificasse l'attacco.

Siamo al terzo passaggio: la gestione della crisi, con l'annuncio pubblico dell'attacco. La fase di remediation è ancora in corso, ma è necessario comunicare alle persone colpite e alle autorità cosa è successo per evitare di incorrere in multe salate. Dato che la fase è molto delicata, occorre lavorare a stretto contatto con il team di comunicazione per fornire messaggi puntuali, che non devono dare un falso senso di sicurezza ma non devono nemmeno generare panico.

Siamo alla fine del primo giorno di attacco: è il momento di andare a casa e riposarsi. Il lavoro non è finito, ma le persone stanche prendono decisioni sbagliate. Quando l'incidente è sotto controllo e le comunicazioni sono state effettuate, non c'è più nulla di imminente da fare.

Il quinto e ultimo passo è un'incognita, perché è difficile da dire che cosa accadrà dopo le prime 24 ore. È probabile che ci saranno vulnerabilità da chiudere, il ripristino dai sistemi di backup da avviare. In questa fase è importante prepararsi per ulteriori potenziali attacchi. Il fatto che sia avvenuto un attacco non significa che la cosa non si ripeterà per settimane o mesi. Anzi, una volta che un incidente diventa pubblico, l'azienda diventa una facile preda perché vulnerabile e impegnata nel ripristino dell'operatività. Inoltre, se gli attaccanti hanno comprato le credenziali o l'exploit di accesso alla rete da un IAB c'è la possibilità che la compravendita non fosse esclusiva, e che altri attaccanti stiano allestendo un attacco.

Questo è anche il momento ideale per un debreefing e una revisione dei piani di incident response alla luce di quanto accaduto, per evitare che si ripeta.