Response time in caso di violazione dei dati? Al di là delle misure di sicurezza adottate, le aziende impiegano in media 191 giorni per rilevare un data breach e almeno 66 giorni per arginare i danni. (Fonte: Ponemon Institute Cybersecurity Report - 2017).
Gli hacker sono sempre più preparati a livello tecnologico e strategico: nel corso del 2018 sono cresciuti sia gli attacchi che i data breach. Questo a dispetto dell’entrata in vigore del GDPR. Gli esperti raccontano come aziende americane ed europee, pur avendo recepito le indicazioni normative, continuano ad avere difficoltà a gestire correttamente i loro livelli di sicurezza e a garantire un response time allineato ai rischi.
Scopri cosa può fare il Continuous Vulnerability Assessment per la tua azienda
Al di là della dimensione o del settore di riferimento, infatti, qualunque organizzazione che si appoggia a una rete informatica (più o meno complessa) connessa ad Internet è esposta al rischio di una violazione dei dati. A fare la differenza è il tempo di risposta a queste violazioni. Il response time è la chiave di volta della sicurezza, consentendo alle aziende di rilevare in un arco temporale il più ridotto possibile ogni eventuale violazione.
I casi di data breach più significativi del 2018
Una fotografia dei data breach più significativi che hanno caratterizzato gli ultimi 12 mesi evidenziano aziende che operano nei settori più disparati. Ecco un elenco:
- Hotel Marriott. Hotel Marriot ha subito la violazione dei dati per almeno 500 milioni di ospiti. La più grande catena alberghiera al mondo è stata vittima dell’hacking che, illegalmente, ha esposto l’intero database delle prenotazioni degli Starwood Hotels & Resorts. I dati sottratti? Indirizzi, numeri di telefono, numeri di passaporto, numeri di carte di pagamento e rispettiva data di scadenza. Il response time? 48 mesi (le violazioni sono state rilevate solo nel settembre 2018, a distanza di 4 anni dal primo attacco).
- MyFitnessPal. MyFitnessPal, l’app sulle abitudini alimentari di proprietà dell’azienda Under Armor, alla fine del febbraio 2018 è stata hackerata con conseguente furto di dati di 150 milioni di utenti, relativi a nomi utente, indirizzi mail e password. Anche se il portavoce aziendale ha dichiarato che l’azienda non ha subito furti in merito ai dati delle carte di pagamento (raccolte separatamente) la brand reputation ha subito un bel contraccolpo.
- Quora. Era il novembre 2018 quando Quora, il social network grazie al quale gli utenti possono pubblicare domande e risposte su qualunque argomento, ha subito un data breach. 100 milioni di profili social sono stati compromessi dagli hacker, che si sono appropriati di nomi, indirizzi e-mail, password crittografate, oltre alla lista di domande e risposte degli utenti.
- Facebook. Facebook ha scoperto lo scorso settembre che i diari di 50 milioni di utenti erano stati violati dal cybercrime. Gli aggressori hanno sfruttato una vulnerabilità nel codice di Facebook per rubare i token di accesso e utilizzarli per prendere possesso degli account delle persone. A essere colpita, in dettaglio, la modalità “Visualizza come” (funzionalità che consente alle persone di vedere in che modo il proprio profilo viene visualizzato da un altro utente).
- Google+. Nel 2018 il caso più clamoroso è stato il data breach che ha portato Big G a decidere di chiudere il proprio social network. Nel marzo 2018 erano stati violati 500.000 profili. A dicembre 2018 il data breach è salito a quota 52,5 milioni di utenti. Il time response non ha aiutato il colosso di Mountain View a gestire la crisi. Al punto da far decidere al CDA un cambio di passo, togliendosi dal ramo del social business.
La capacità delle aziende di rispondere opportunamente in caso di incidenti con data breach, limitando i danni e l’impatto degli stessi sul business e sull’operatività, è oggi molto limitata.
Response time: cosa fare in caso di crisi
Più un sistema ha un response time contenuto, più è rapido il rilevamento di una violazione, l’identificazione delle cause e la conseguente reazione, finalizzata a rimuovere falle e vulnerabilità a infrastrutture, sistemi e dispositivi, contenendo così gli effetti e ripristinando la governance allo stato originario. Nel mirino aziende, istituzioni ed enti pubblici: gli hacker sono diventati molto sofisticati e spesso impiegano diverse tecniche combinate per raggiungere il loro obiettivo. Oltre a sfruttare vulnerabilità zero-day (per le quali non esiste ancora una patch di sicurezza), gli attacchi combinano spear phishing, malware fileless (residente solo nella memoria RAM) e ransomware. Dietro le quinte operano squadre che agiscono con scopi ben precisi e in modo molto determinato e coordinato. La loro azione può protrarsi per un arco di tempo che può durare diversi mesi se non addirittura anni. Se i sistemi di response time non sono efficaci, prima di scoprire una violazione l’azienda può subire ingenti danni non solo in termini economici ma anche reputazionali.
Cosa devono fare le aziende, dunque?
- Definire un piano di risposta agli incidenti (IRP – Incident Response Plan)
- Scegliere gli strumenti di supporto alla sicurezza
- Stabilire strategie di ripristino allineate al business
IRP (Incident Response Plan): limitare i danni
Per limitare i danni e preservare il business e/o la mission dell’organizzazione diventa fondamentale la definizione di un Incident Response Plan, allineato alle disposizioni del GDPR in materia di sicurezza informatica e protezione dei dati. Il piano è parte integrante del response time perché implica un insieme di procedure e di risorse utilizzate per reagire ad incidenti informatici. Un’azienda, quando subisce l’attacco di un hacker (che si tratti di un malintenzionato operante all’esterno dell’organizzazione o di un insider), la prima cosa che deve verificare è se sono stati violati i dati personali (data breach). Attraverso sistemi di monitoraggio e di identificazione è possibile così verificare se ci siano stati casi di accesso, copia ed utilizzo non autorizzato dei dati sensibili da parte del cybercrime. Non a caso, questo tipo di dati viene chiamato anche l’oro digitale dell’economia online.
Continuous Vulnerability Assessment: i benefici della smart automation
Gli strumenti per identificare un incidente informatico oggi sono soluzioni automatizzate che effettuano sia il monitoraggio delle reti che il rilevamento di intrusioni (intrusion detection). A seconda della disponibilità di budget si può scegliere tra IDS (Intrusion detection system), SIEM (Security Information Event Management) e NGAV (Next Generation Antivirus). Si tratta di software progettati per collezionare e analizzare tutti i flussi di dati provenienti dai sistemi e dalla rete come, ad esempio, log, connessioni di rete, processi in esecuzione, chiamate di sistema, modifiche al file system e via dicendo. Il problema di queste soluzioni è che i sistemi di alert sono impostati su base periodica: ogni tanto i responsabili dei sistemi analizzano le segnalazioni per decidere, a campione, se e quando intervenire. L’ideale, invece, è ricorrere a una soluzione di Continous Vulnerability Assesment (CVA) in quanto funzionanti a modalità continua, con criteri di identificazione e di segnalazione estremamente più mirati ed evoluti. Algoritmi specificatamente progettati, effettuano un controllo continuo di reti, sistemi, dispositivi, dati e applicazioni, rilevando ogni tipo di eventuale anomalia, scostamento dalla norma, rivelando in tempo reale un’intrusione nella rete o un’infezione da malware.
Response time anche per le procedure di ripristino
Una volta rilevato un incidente, l’organizzazione deve reagire nel più breve tempo possibile. Il response time all’incidente dipende dalla policy aziendale adottata. Può essere:
- Gestita internamente all’organizzazione. Nel caso ci si affidi alle risorse interne, la squadra dovrebbe essere diretta da una persona esperta nel campo dell’incident response. Il candidato ideale oltre ad avere un’ottima preparazione tecnica deve possedere buone doti manageriali e comunicative. Questo perché in caso di una falla alla sicurezza bisogna interagire con diverse business unit, interne o esterne all’organizzazione come, ad esempio, il management, l’ufficio legale, gli amministratori di rete e di sistema oppure consulenti e società esterne eventualmente chiamate ad intervenire nella gestione dell’incidente.
- Affidata ad un’azienda esterna specializzata in questo settore. Quando un’azienda non ha le risorse e le competenze per condurre internamente una risposta ad un incidente, esternalizzare le procedure di ripristino aiutano a minimizzare il response time. Affidandosi a un MSSP (Managed Security Service Provider). È possibile avvalersi di tutte le abilità tecniche ed organizzative indispensabili in tutte le fasi: di investigazione e di ripristino dei sistemi compromessi, con un response time allineato alle SLA concordate.
Per scoprire come mettere in sicurezza la tua infrastruttura scarica gratuitamente l’eBook “Cosa può fare il Continous Vulnerability Assessment per la tua azienda”