In uno scenario in rapida evoluzione, le imprese, soprattutto le più piccole, possono trovarsi disorientate. Senza un reparto IT debitamente formato, e senza il supporto di un consulente qualificato, è facile rimanere sguarniti, indifesi contro le minacce odierne.
Nonostante tutto questo, le imprese sono oggi ancora poco consapevoli dei rischi che corrono e della possibilità di subire un attacco che potrebbe distruggere o compromettere le normali attività di business.
Secondo Kaspersky oltre la metà delle richieste di Incident Response viene fatto dopo l’attacco, mentre sarebbe preferibile rilevarlo durante la fase iniziale. Nel 2018, circa il 56% delle richieste di Incident Response prese in esame dagli esperti di sicurezza di Kaspersky è avvenuto solo quando le conseguenze dell’attacco subito erano ormai evidenti, come il trasferimento non autorizzato di denaro, le workstation criptate da ransomware e la mancata disponibilità del servizio.
Il 44% delle richieste, invece, è stato elaborato nella fase iniziale dell’attacco evitando ai clienti di subire gravi conseguenze. Questi alcuni dei risultati del nuovo Incident Response Analytics Report di Kaspersky.
È dunque importante abbandonare l’opinione comune secondo la quale i servizi di Incident Response servano solo nei casi in cui un attacco informatico abbia già causato dei danni e ci sia bisogno di indagare in modo più approfondito. Tuttavia, come dimostrano casi pratici sviluppati lo scorso anno, è emerso che questo servizio può essere utilizzato non solo come strumento investigativo ma anche come strategia per rilevare un attacco durante la sua fase iniziale, in modo da prevenirne i danni.
Nel 2018, il 22% delle procedure di IR è stato avviato dopo il rilevamento in rete di un’attività potenzialmente pericolosa e un ulteriore 22% dopo che un file malevolo è stato rilevato all’interno della rete. Senza altri segni di violazione, entrambi i casi suggeriscono che ci sia un attacco in corso. Tuttavia, non tutti i team di sicurezza aziendale sono in grado di sapere se gli strumenti di sicurezza automatizzati abbiano già rilevato e bloccato l’attività malevola, o se sia solo l’inizio di un’operazione malevola più ampia e invisibile al’interno della rete per la quale si rende necessario l’intervento di specialisti esterni. A seguito di una valutazione errata, l’attività dannosa si trasforma in un grave attacco informatico con conseguenze reali.
Secondo gli esperti è importante delegare gli aspetti di security ad almeno un esperto all’interno dell’azienda. È inoltre necessario implementare sistemi di backup per le attività critiche e rispondere in modo tempestivo ad un attacco informatico, mettendo in prima linea il gruppo interno di IR e, successivamente, rivolgersi ad esperti esterni per gli incidenti più complessi.
Serve inoltre sviluppare un piano IR con linee guida e procedure dettagliate per i diversi tipi di attacco e introdurre corsi di sensibilizzazione per educare i dipendenti alle tematiche di “igiene digitale” e spiegare come riconoscere ed evitare e-mail o link potenzialmente dannosi.
Non di meno occorre implementare procedure di gestione delle patch per l’aggiornamento del software e condurre regolarmente dei security assessment dell’infrastruttura IT dell’azienda.