FireEye evidenzia l’importanza dei servizi di Incident Response, oggi fondamentali per poter analizzare le minacce e adempiere adeguatamente alle normative.
L’Incident Response consente ad un’azienda di essere preparata sia per l’ignoto che per il noto ed è, inoltre, un metodo affidabile per identificare un incidente di sicurezza immediatamente quando si verifica stabilendo, in aggiunta, una serie di buone pratiche per fermare un’intrusione prima che essa causi danni.
Qualsiasi incidente che non è contenuto e gestito in maniera adeguata può portare ad un problema molto più grande che può a sua volta condurre ad una dannosa violazione dei dati o addirittura al collasso del sistema. Rispondere pertanto rapidamente ad un incidente aiuterà un’azienda a ridurre al minimo le perdite, a mitigare le vulnerabilità sfruttate, a ripristinare i servizi e i processi e a ridurre i rischi che gli incidenti futuri potranno comportare.
Daniele Nicita, Consulting System Engineer di FireEye
Molte aziende che si occupano di Incident Response (IR) sono agnostiche di tecnologia. Mandiant però è diversa in quanto ha la possibilità di utilizzare sia la tecnologia di sicurezza fornita dai propri clienti sia di sfruttare lo stack tecnologico di FireEye. Anni di utilizzo della tecnologia di FireEye per aumentare la visibilità, la velocità e migliorare l’accuratezza dei servizi IR hanno dimostrato il valore di avere una tecnologia su misura per supportare gli sforzi di risposta.
La tecnologia di FireEye consente l’avvio delle indagini, anche da remoto, di incidenti informatici entro poche ore, riducendo il tempo di risposta e le spese. Il red team di Mandiant, il team di Incident Response, utilizza un mix di tecnologie per soddisfare le esigenze investigative del cliente e molte di queste hanno anche capacità difensive, che aiutano a proteggere l’ambiente da ulteriori attacchi durante l’indagine.
Nicita
In molte occasioni ci troviamo ad affrontare carenze notevoli nella tecnologia del cliente come ad esempio le soluzioni di Endpoint Detection, IDPS e SIEM e che dobbiamo necessariamente affrontare.
Ad esempio le soluzioni EDR spesso non sono disponibili o non sono state utilizzate completamente anche se sono indispensabili per tracciare un attaccante e ottenere le prove della sua attività; le soluzioni IDPS, che sono onnipresenti, sono efficaci nell’identificare le prime fasi dell’attività di un’intrusione ma sono spesso limitate nella loro capacità di rilevare attività post-sfruttamento; le soluzioni SIEM spesso non sono in scala per poter aggregare tutte le fonti di log provenienti dai sistemi presenti nell’ambiente.
FireEye possiede la tecnologia per consentire un’attività di Incident Response efficace permettendo alle aziende di essere al sicuro da eventuali attività malevole esterne.
Nicita
Recentemente siamo stati contattati da un’azienda multinazionale con decine di migliaia di endpoint, per una presunta violazione. Entro quattro ore dall’invio di una notifica al cliente da parte di terze parti, avevamo implementato una tecnologia proprietaria in 18.000 sistemi e avevamo identificato le prove di una compromissione. Sei giorni dopo abbiamo completato la maggior parte dell’indagine compresa l’analisi approfondita di 80 endpoint. Undici giorni dopo averci contattati il cliente è tornato ad effettuare la sua solita attività lavorativa.