Una violazione dati può avere conseguenze disastrose per un’azienda, ma è possibile arginare i danni se si agisce rapidamente. Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, ci mostra alcune delle best practice da adottare in caso di una violazione dati.
Ma di cosa si tratta esattamente? Una violazione dati è un accesso non autorizzato a risorse private o l’esposizione di informazioni sensibili o riservate. Le cause di una violazione dati sono molteplici, dall’hacking e gli attacchi malware, agli insider malintenzionati, fino al semplice errore umano. Indipendentemente dalla loro causa, le ripercussioni delle violazioni di dati sono spesso pericolose e di vasta portata, in quanto possono causare la fuga di informazioni personali o finanziarie e la perdita di fatturato e fiducia nel brand.
Come fare per rimediare a una violazione dati?
In caso di una violazione dati, confermata o sospetta, bisogna agire tempestivamente per evitare la trapelazione di ulteriori informazioni. È inoltre importante collaborare con i responsabili della sicurezza e i direttori delle divisioni business per mappare i rischi aziendali e specifici del settore, delineando un piano di risposta su misura per ogni esigenza. Avere una strategia sul quale fare affidamento durante i periodi di crisi è fondamentale per ripristinare velocemente il servizio e contenere i danni. Ecco quindi 8 delle best practice da adottare in caso di una violazione dati.
Coinvolgere i consulenti legali e gestire gli incidenti
Una violazione dati conivolge non solo l’azienda, ma anche la legge, dato che le organizzazioni devono aderire a normative e piani di comunicazione sia interni che esterni. Sebbene questi obblighi possano variare in base al Paese o al settore, solitamente includono la notifica delle persone coinvolte, l’informazione delle autorità competenti e l’adozione di misure per ridurre la diffusione e mitigare i rischi futuri. È inoltre fondamentale informare immediatamente il consulente legale interno o esterno in caso di potenziale incidente di sicurezza, e successivamente contattare il proprio fornitore di servizi di incident response.
Mantenere attivi i dispositivi coinvolti
Per scoprire la causa della violazione dati, bisogna individuare e conservare le prove, tramite un approccio basato sulla conservazione dei dati. Contrariamente a quanto si possa pensare, non bisogna bisogna disattivare i dispositivi che si teme siano stati compromessi, in quanto la RAM contiene risorse preziose che andrebbero perse nel caso il dispositivo venisse spento.
Disconnettersi dalla rete
Nonostante mantenere attivi i dispositivi sia una buona pratica, lo stesso non si può dire del rimanere connessi in rete. Più a lungo il dispositivo rimane connesso alla rete, più informazioni verranno violate, quindi bisogna essere proattivi e agire rapidamente.
Per scollegare dalla rete i sistemi che si sospetta siano stati compromessi si può agire in diversi modi. Per quanto riguarda i dispositivi gestiti da SentinelOne, sarà sufficiente metterli in quarantena in modo che possano connettersi unicamente alla piattaforma SentinelOne. Invece, per quanto riguarda i dispositivi gestiti da altri vendor, sarà necessario disconnettere le reti cablate e disattivare tutta la connettività wireless. In generale, la regola da seguire è quella di segmentare segmentare la rete compromessa dalla rete protetta per consentire le operazioni aziendali per le reti non compromesse.
Individuare e conservare le prove
Naturalmente, per scoprire la causa della violazione dati, bisogna rilevare le potenziali prove nei firewall, i sistemi di rilevamento delle intrusioni (IDS), le reti private virtuali (VPN), le soluzioni antivirus (AV) e i registri degli eventi. Questi devono essere configurati in modo da conservare le prove e non cancellare automaticamente i registri dopo un certo lasso di tempo.
Raccolta degli indicatori di compromissione e dei campioni
Gli indicatori di compromissione (IOC), ossia un’anomalia osservata in una rete o all’interno di un sistema che indica con alta probabilità un’intrusione, e i campioni di codice maligno possono svelare la causa di una violazione dati, quindi è importante tenerne traccia. Questi possono infatti includere indirizzi IP o domini sospetti, hashtag, script PowerShell, eseguibili dannosi, richieste di riscatto e qualsiasi altro elemento utile a una indagine.
Predisporre il ripristino dei sistemi
Per ripristinare i sistemi compromessi a volte è necessario utilizzare backup, quindi mantenerli aggiornati e, soprattutto, sicuri è di fondamentale importanza. È inoltre importante conservare le immagini forensi dei sistemi compromessi prima di ripristinare le versioni corrette.
Elaborazione di una cronologia
Le indagini si possono semplificare se viene preparata una cronologia degli eventi sospetti noti, in grado di mostrare quando si ritiene che l’attacco sia iniziato e individuare l’attività dannosa identificata più di recente.
Identificare i dispositivi compromessi
Infine, identificare e isolare tempestivamente i dispositivi che hanno mostrato attività sospette, in particolare identificando il primo sistema colpito (paziente zero) e le potenziali fonti di esfiltrazione, permette di contenere il danno e ripristinare più rapidamente l’operatività dei sistemi.
Imparare dai propri errori: come mitigare le violazioni future
La parte più ardua di una violazione dati non è la conservazione delle prove, il ripristino del sistema o le implicazioni finanziarie, ma dover contendere con le implicazioni che ne derivano, ossia i gravi danni alla reputazione dell’azienda e la perdita di fiducia dei clienti.
SentinelOne suggerisce di mettere in atto solide misure di sicurezza, come investire in soluzioni di extended detection and response (XDR) e managed detection and response (MDR), implementare sistemi di crittografia, autenticazione a più fattori (MFA) e controllo degli accessi basato sui ruoli (RBAC) per impedire l’accesso non autorizzato, codurre audit di sicurezza e stabilire un piano di incidenti response.
Per maggiori informazioni, vi invitiamo a consultare il sito web di SentinelOne.
- Cervelli, Riccardo (Autore)