Panoramica della risposta agli eventi imprevisti

La risposta agli eventi imprevisti è la pratica di analisi e correzione di campagne di attacco attive nell'organizzazione. La risposta agli eventi imprevisti fa parte della disciplina delle operazioni di sicurezza (SecOps) ed è principalmente reattiva in natura.

La risposta agli eventi imprevisti ha la maggiore influenza diretta sul tempo medio complessivo per riconoscere (MTTA) e il tempo medio per correggere (MTTR) che misurano il livello di prestazioni delle operazioni di sicurezza in grado di ridurre il rischio dell'organizzazione. I team di risposta agli eventi imprevisti si basano principalmente su buone relazioni di lavoro tra team di ricerca, intelligence e gestione degli eventi imprevisti (se presenti) per ridurre effettivamente i rischi. Per altre informazioni, vedere Metriche SecOps.

Per altre informazioni sui ruoli e sulle responsabilità delle operazioni di sicurezza, vedere Funzioni SOC cloud.

Processo di risposta agli eventi imprevisti

Il primo passaggio consiste nell'avere un piano di risposta agli eventi imprevisti che includa processi interni ed esterni per rispondere agli eventi imprevisti della cybersecurity. Il piano deve illustrare in dettaglio il modo in cui l'organizzazione deve:

• Risolvere gli attacchi che variano a seconda del rischio aziendale e dell'impatto dell'evento imprevisto, che può variare da un sito Web isolato che non è più disponibile per la compromissione delle credenziali a livello di amministratore.
• Definire lo scopo della risposta, ad esempio un ritorno al servizio o gestire aspetti legali o pubblici dell'attacco.
• Classificare in ordine di priorità il lavoro che deve essere svolto in termini di numero di persone che devono lavorare sull'evento imprevisto e sulle loro attività.

Vedere l'articolo sulla pianificazione della risposta agli eventi imprevisti per un elenco di controllo delle attività da considerare, incluso nel piano di risposta agli eventi imprevisti. Dopo aver eseguito il piano di risposta agli eventi imprevisti, testarlo regolarmente per i tipi più gravi di attacchi informatici per garantire che l'organizzazione possa rispondere in modo rapido ed efficiente.

Anche se il processo di risposta agli eventi imprevisti di ogni organizzazione può essere diverso in base alla struttura organizzativa e alle funzionalità e alla cronologia, prendere in considerazione il set di raccomandazioni e procedure consigliate in questo articolo per rispondere agli eventi imprevisti di sicurezza.

Durante un evento imprevisto, è fondamentale:

• Mantenere la calma

  Gli eventi imprevisti sono estremamente dirompenti e possono diventare emotivamente carichi. Mantenere la calma e concentrarsi sulla priorità degli sforzi sulle azioni più importanti per prime.

• Non fare alcun danno

  Verificare che la risposta sia progettata ed eseguita in modo da evitare la perdita di dati, la perdita di funzionalità critiche per l'azienda e la perdita di prove. Evitare decisioni che possono danneggiare la capacità di creare sequenze temporali forensi, identificare la causa radice e apprendere lezioni critiche.

• Coinvolgere il reparto legale

  Determinare se prevede di coinvolgere le forze dell'ordine in modo da poter pianificare le procedure di indagine e ripristino in modo appropriato.

• Prestare attenzione quando si condividono informazioni sull'evento imprevisto pubblicamente

  Verificare che tutto ciò che si condivide con i clienti e il pubblico si basa sul consiglio del reparto legale.

• Ottenere assistenza quando necessario

  Acquisire esperienza e esperienza approfondite durante l'analisi e la risposta agli attacchi da parte di utenti malintenzionati sofisticati.

Come la diagnosi e il trattamento di una malattia medica, l'indagine e la risposta alla cybersecurity per un evento imprevisto importante richiede la difesa di un sistema che è entrambi:

• Importante in modo critico (non può essere arrestato per lavorare su di esso).
• Complesso (in genere oltre la comprensione di una persona).

Durante un evento imprevisto, è necessario raggiungere questi saldi critici:

• Velocità

  Bilanciare la necessità di agire rapidamente per soddisfare gli stakeholder con il rischio di decisioni affrettate.

• Condivisione di informazioni

  Informare gli investigatori, gli stakeholder e i clienti in base alla consulenza del reparto legale per limitare la responsabilità ed evitare di impostare aspettative irrealistiche.

Questo articolo è progettato per ridurre il rischio per l'organizzazione per un evento imprevisto di cybersecurity identificando gli errori comuni per evitare e fornire indicazioni sulle azioni che è possibile intraprendere rapidamente per ridurre i rischi e soddisfare le esigenze degli stakeholder.

Nota

Per altre indicazioni sulla preparazione dell'organizzazione per ransomware e altri tipi di attacchi a più fasi, vedere Preparare il piano di ripristino.

Procedure consigliate per la risposta

La risposta agli eventi imprevisti può essere eseguita in modo efficace sia dal punto di vista tecnico che da quello operativo con queste raccomandazioni.

Nota

Per indicazioni più dettagliate sul settore, vedere guida alla gestione degli eventi imprevisti per la sicurezza del computer NIST.

Procedure consigliate per la risposta tecnica

Per gli aspetti tecnici della risposta agli eventi imprevisti, ecco alcuni obiettivi da considerare:

• Provare a identificare l'ambito dell'operazione di attacco.

  La maggior parte degli avversari usa più meccanismi di persistenza.

• Identificare l'obiettivo dell'attacco, se possibile.

  Gli utenti malintenzionati persistenti restituiscono spesso l'obiettivo (dati/sistemi) in un attacco futuro.

Ecco alcuni suggerimenti utili:

• Non caricare file in scanner online

  Molti avversari monitorano il conteggio delle istanze su servizi come VirusTotal per l'individuazione di malware mirato.

• Valutare attentamente le modifiche

  A meno che non si affronti una minaccia imminente di perdita di dati aziendali critici, ad esempio l'eliminazione, la crittografia e l'esfiltrazione, bilanciare il rischio di non apportare la modifica con l'impatto aziendale previsto. Ad esempio, l'arresto temporaneamente dell'accesso a Internet dell'organizzazione potrebbe essere necessario per proteggere gli asset critici dell'azienda durante un attacco attivo.

  Se sono necessarie modifiche in cui il rischio di non eseguire un'azione è superiore al rischio di eseguirlo, documentare l'azione in un log delle modifiche. Le modifiche apportate durante la risposta agli eventi imprevisti sono incentrate sull'interruzione dell'attacco e possono influire negativamente sull'azienda. Sarà necessario eseguire il rollback di queste modifiche dopo il processo di ripristino.

• Non indagare per sempre

  È necessario assegnare una priorità spietata alle attività di indagine. Ad esempio, eseguire solo analisi forensi sugli endpoint usati o modificati dagli utenti malintenzionati. Ad esempio, in un evento imprevisto importante in cui un utente malintenzionato ha privilegi amministrativi, è praticamente impossibile analizzare tutte le risorse potenzialmente compromesse (che possono includere tutte le risorse dell'organizzazione).

• Condividere informazioni

  Verificare che tutti i team di indagine, inclusi tutti i team interni e gli investigatori esterni o i fornitori di assicurazioni, convidano i propri dati, in base al consiglio del reparto legale.

• Accedere alle competenze appropriate

  Verificare di integrare le persone con una conoscenza approfondita dei sistemi nell'indagine, ad esempio personale interno o entità esterne come fornitori, non solo generalisti della sicurezza.

• Prevedere funzionalità di risposta ridotte

  Pianificare il 50% del personale che opera al 50% della capacità normale a causa di stress situazione.

Una delle aspettative principali da gestire con gli stakeholder è che non si potrebbe mai essere in grado di identificare l'attacco iniziale perché i dati necessari per l'identificazione sono stati eliminati prima dell'avvio dell'indagine, ad esempio un utente malintenzionato che copre le proprie tracce in sequenza del log.

Procedure consigliate per la risposta alle operazioni

Per gli aspetti relativi alle operazioni per la sicurezza (SecOps) della risposta agli eventi imprevisti, ecco alcuni obiettivi da considerare:

• Rimanere concentrati

  Verificare di mantenere l'attenzione sui dati aziendali critici, sull'impatto sui clienti e prepararsi per la correzione.

• Garantire la chiarezza del coordinamento e del ruolo

  Stabilire ruoli distinti per le operazioni a supporto del team di crisi e verificare che i team tecnici, legali e di comunicazione siano informati tra loro.

• Mantenere la prospettiva aziendale

  È consigliabile considerare sempre l'impatto sulle operazioni aziendali sia da azioni antagoniste che da azioni di risposta personalizzate.

Ecco alcuni suggerimenti utili:

• Prendere in considerazione il sistema ICS (Incident Command System) per la gestione delle crisi

  Se non si ha un'organizzazione permanente che gestisce gli eventi imprevisti di sicurezza, è consigliabile usare ICS come struttura organizzativa temporanea per gestire la crisi.

• Mantenere intatte le operazioni quotidiane in corso

  Assicurarsi che le normali operazioni secops non siano completamente affiancate per supportare le indagini sugli eventi imprevisti. Questo lavoro deve ancora essere fatto.

• Evitare spese sprecate

  Molti eventi imprevisti importanti comportano l'acquisto di costosi strumenti di sicurezza sotto pressione che non vengono mai distribuiti o usati. Se non è possibile distribuire e usare uno strumento durante l'indagine, che può includere l'assunzione e la formazione per più personale con i set di competenze necessari per gestire lo strumento, rinviare l'acquisizione fino al termine dell'indagine.

• Accedere a competenze approfondite

  Verificare di avere la possibilità di inoltrare domande e problemi a esperti approfonditi su piattaforme critiche. Questa possibilità potrebbe richiedere l'accesso al sistema operativo e al fornitore di applicazioni per sistemi critici per l'azienda e componenti a livello aziendale, ad esempio desktop e server.

• Stabilire flussi di informazioni

  Impostare indicazioni chiare e aspettative per il flusso di informazioni tra i leader di risposta agli eventi imprevisti senior e gli stakeholder dell'organizzazione. Per altre informazioni, vedere Pianificazione della risposta agli eventi imprevisti.

Procedure consigliate per il ripristino

Il ripristino dagli eventi imprevisti può essere effettuato in modo efficace dal punto di vista sia tecnico che operativo seguendo queste raccomandazioni.

Procedure consigliate per il ripristino tecnico

Per gli aspetti tecnici del ripristino da un evento imprevisto, ecco alcuni obiettivi da considerare:

• Non far bollire l'oceano

  Limitare l'ambito della risposta in modo che l'operazione di ripristino possa essere eseguita entro 24 ore o meno. Pianificare un fine settimana per tenere conto delle contingenze e delle azioni correttive.

• Evitare distrazioni

  Rinviare investimenti per la sicurezza a lungo termine, ad esempio l'implementazione di nuovi sistemi di sicurezza di grandi dimensioni e complessi o la sostituzione di soluzioni antimalware fino a dopo l'operazione di ripristino. Tutto ciò che non ha un impatto diretto e immediato sull'operazione di ripristino corrente è una distrazione.

Ecco alcuni suggerimenti utili:

• Non reimpostare mai tutte le password contemporaneamente

  Le reimpostazioni delle password devono concentrarsi prima sugli account compromessi noti in base all'indagine e sono potenzialmente account di amministratore o di servizio. Se richiesto, le password utente devono essere reimpostate solo in modo risolto e controllato.

• Consolidare l'esecuzione delle attività di ripristino

  A meno che non si affronti una minaccia imminente di perdere dati critici per l'azienda, è consigliabile pianificare un'operazione consolidata per correggere rapidamente tutte le risorse compromesse (ad esempio host e account) rispetto alla correzione delle risorse compromesse man mano che vengono trovate. La compressione di questo intervallo di tempo rende difficile per gli operatori di attacco adattarsi e mantenere la persistenza.

• Usare gli strumenti esistenti

  Ricercare e usare le funzionalità degli strumenti distribuiti prima di provare a distribuire e apprendere un nuovo strumento durante un ripristino.

• Evitare di saltare fuori il tuo avversario

  Come pratico, è necessario adottare misure per limitare le informazioni disponibili agli avversari sull'operazione di ripristino. Gli avversari hanno in genere accesso a tutti i dati di produzione e alla posta elettronica in un grave incidente di cybersecurity. In realtà, la maggior parte degli utenti malintenzionati non ha tempo per monitorare tutte le comunicazioni.

  Microsoft Security Operations Center (SOC) usa un tenant di Microsoft 365 non di produzione per comunicazioni e collaborazione sicure per i membri del team di risposta agli eventi imprevisti.

Procedure consigliate per il ripristino delle operazioni

Per gli aspetti operativi del ripristino da un evento imprevisto, ecco alcuni obiettivi da considerare:

• Avere un piano chiaro e un ambito limitato

  Collaborare con i team tecnici per creare un piano chiaro con ambito limitato. Anche se i piani possono cambiare in base all'attività antagonista o a nuove informazioni, è consigliabile lavorare diligentemente per limitare l'espansione dell'ambito e intraprendere più attività.

• Avere una proprietà chiara del piano

  Le operazioni di ripristino coinvolgono molte persone che eseguono molte attività diverse contemporaneamente, quindi designare un progetto responsabile per il processo decisionale chiaro e informazioni definitive per fluire tra il team di crisi.

• Gestire le comunicazioni degli stakeholder

  Collaborare con i team di comunicazione per fornire aggiornamenti tempestivi e gestione delle aspettative attive per gli stakeholder dell'organizzazione.

Ecco alcuni suggerimenti utili:

• Conoscere le funzionalità e i limiti

  La gestione di eventi imprevisti di sicurezza principali è molto complessa, molto complessa e nuova a molti professionisti del settore. È consigliabile prendere in considerazione l'esperienza di organizzazioni esterne o servizi professionali se i team sono sopraffatti o non si sono sicuri di cosa fare dopo.

• Acquisire le lezioni apprese

  Creare e migliorare continuamente manuali specifici del ruolo per SecOps, anche se si tratta del primo evento imprevisto senza procedure scritte.

Le comunicazioni di livello esecutivo e di amministrazione per la risposta agli eventi imprevisti possono essere complesse se non praticate o previste. Assicurarsi di disporre di un piano di comunicazione per gestire la creazione di report sullo stato di avanzamento e le aspettative per il ripristino.

Processo di risposta agli eventi imprevisti per SecOps

Prendere in considerazione queste indicazioni generali sul processo di risposta agli eventi imprevisti per il personale e secops.

1. Decidere e agire

Dopo che uno strumento di rilevamento delle minacce, ad esempio Microsoft Sentinel o Microsoft Defender XDR, rileva un probabile attacco, crea un evento imprevisto. La misurazione del tempo medio di conferma (MTTA) della velocità di risposta SOC inizia con il momento in cui il personale della sicurezza rileva l'attacco.

Un analista a turno viene delegato o assume la proprietà dell'evento imprevisto ed esegue un'analisi iniziale. Il timestamp per questo è la fine della misurazione della velocità di risposta MTTA e inizia la misurazione del tempo medio di correzione (MTTR).

Poiché l'analista proprietario dell'evento imprevisto sviluppa un livello di attendibilità sufficiente per comprendere la storia e l'ambito dell'attacco, può passare rapidamente alla pianificazione e all'esecuzione di azioni di pulizia.

A seconda della natura e dell'ambito dell'attacco, gli analisti possono pulire gli artefatti di attacco man mano che passano (ad esempio messaggi di posta elettronica, endpoint e identità) o possono creare un elenco di risorse compromesse per pulire tutti contemporaneamente (noto come Big Bang)

• Pulisci mentre vai

  Per la maggior parte degli eventi imprevisti tipici rilevati all'inizio dell'operazione di attacco, gli analisti possono pulire rapidamente gli artefatti man mano che li trovano. Questa pratica mette l'avversario in uno svantaggio e impedisce loro di andare avanti con la fase successiva del loro attacco.

• Prepararsi per un Big Bang

  Questo approccio è appropriato per uno scenario in cui un antagonista si è già stabilito e ha stabilito meccanismi di accesso ridondanti all'ambiente. Questa procedura viene spesso osservata negli eventi imprevisti dei clienti esaminati dal team di risposta agli eventi imprevisti Microsofts. In questo approccio, gli analisti dovrebbero evitare di interrompere l'avversario fino alla completa individuazione della presenza dell'utente malintenzionato, perché la sorpresa può aiutare a interrompere completamente l'operazione.

  Microsoft ha appreso che la correzione parziale spesso punta a un avversario, che offre loro la possibilità di reagire e rendere rapidamente peggiore l'incidente. Ad esempio, l'utente malintenzionato può diffondere ulteriormente l'attacco, modificare i metodi di accesso per eludere il rilevamento, coprire le tracce e infliggere danni al sistema e la distruzione per vendetta.

  La pulizia del phishing e dei messaggi di posta elettronica dannosi può spesso essere eseguita senza tipping off l'utente malintenzionato, ma la pulizia del malware host e il recupero del controllo degli account ha un'alta probabilità di individuazione.

Queste decisioni non sono facili da prendere e non c'è alcun sostituto per l'esperienza nel fare queste chiamate di giudizio. Un ambiente di lavoro collaborativo e una cultura nel SOC consente agli analisti di sfruttare l'esperienza dell'altro.

I passaggi di risposta specifici dipendono dalla natura dell'attacco, ma le procedure più comuni usate dagli analisti possono includere:

• Endpoint client (dispositivi)

  Isolare l'endpoint e contattare l'utente o le operazioni IT/helpdesk per avviare una procedura di reinstallazione.

• Server o applicazioni

  Collaborare con le operazioni IT e i proprietari di applicazioni per organizzare una rapida correzione di queste risorse.

• Account utente

  Recuperare il controllo disabilitando l'account e reimpostando la password per gli account compromessi. Queste procedure possono evolversi man mano che gli utenti passano all'autenticazione senza password usando Windows Hello o un'altra forma di autenticazione a più fattori (MFA). Un passaggio separato consiste nello scadere di tutti i token di autenticazione per l'account con Microsoft Defender per il cloud App.

  Gli analisti possono anche esaminare il numero di telefono del metodo MFA e la registrazione del dispositivo per assicurarsi che non venga dirottato contattando l'utente e reimpostando queste informazioni in base alle esigenze.

• Account di servizio

  A causa del rischio elevato di un servizio o di un impatto aziendale, gli analisti devono collaborare con il proprietario dell'account del servizio del record, eseguendo il fallback sulle operazioni IT in base alle esigenze, per organizzare una rapida correzione di queste risorse.

• Messaggi e-mail

  Eliminare l'attacco o la posta elettronica di phishing e talvolta cancellarli per impedire agli utenti di recuperare i messaggi di posta elettronica eliminati. Salvare sempre una copia del messaggio di posta elettronica originale per cercare in seguito l'analisi post-attacco, ad esempio intestazioni, contenuto e script o allegati.

• Altro

  È possibile eseguire azioni personalizzate in base alla natura dell'attacco, ad esempio revocando i token dell'applicazione e riconfigurando server e servizi.

2. Pulizia post-evento imprevisto

Poiché non si traggono vantaggio dalle lezioni apprese fino a quando non si modificano le azioni future, integrare sempre tutte le informazioni utili apprese dall'indagine in SecOps.

Determinare le connessioni tra eventi imprevisti passati e futuri dagli stessi attori o metodi di minaccia e acquisire queste informazioni per evitare ritardi di lavoro e analisi manuali in futuro.

Questi apprendimento possono assumere molte forme, ma le procedure comuni includono l'analisi di:

• Indicatori di compromissione (IoC).

  Registrare eventuali IoC applicabili, ad esempio hash di file, indirizzi IP dannosi e attributi di posta elettronica nei sistemi di intelligence per le minacce SOC.

• Vulnerabilità sconosciute o senza patch.

  Gli analisti possono avviare processi per garantire che le patch di sicurezza mancanti vengano applicate, le configurazioni errate vengano corrette e i fornitori (incluso Microsoft) siano informati delle vulnerabilità "zero day" in modo che possano creare e distribuire patch di sicurezza.

• Azioni interne, ad esempio l'abilitazione della registrazione sugli asset che coprono le risorse locali e basate sul cloud.

  Esaminare le baseline di sicurezza esistenti e prendere in considerazione l'aggiunta o la modifica dei controlli di sicurezza. Ad esempio, vedere la Guida alle operazioni di sicurezza di Microsoft Entra per informazioni sull'abilitazione del livello di controllo appropriato nella directory prima che si verifichi l'evento imprevisto successivo.

Esaminare i processi di risposta per identificare e risolvere eventuali lacune rilevate durante l'evento imprevisto.

Risorse di risposta agli eventi imprevisti

• Pianificazione per il soC
• Playbook per indicazioni dettagliate sulla risposta ai metodi di attacco comuni
• Risposta agli eventi imprevisti di Microsoft Defender XDR
• Microsoft Defender per il cloud (Azure)
• Risposta agli eventi imprevisti di Microsoft Sentinel
• Il team di risposta agli eventi imprevisti Microsoft condivide le procedure consigliate per i team e i responsabili della sicurezza
• Le guide alla risposta agli eventi imprevisti Microsoft aiutano i team di sicurezza ad analizzare le attività sospette

Risorse chiave per la sicurezza Microsoft

Risorsa	Descrizione
Report sulla difesa digitale Microsoft 2023	Un report che comprende l'apprendimento da esperti di sicurezza, professionisti e difensori di Microsoft per consentire alle persone ovunque di difendersi dalle minacce informatiche.
Architetture di riferimento per la cybersecurity Microsoft	Un set di diagrammi di architettura visiva che mostrano le funzionalità e l'integrazione di Microsoft con le piattaforme cloud Microsoft, ad esempio Microsoft 365 e Microsoft Azure e piattaforme cloud e app di terze parti.
Download dell'infografica minuti importanti	Panoramica del modo in cui il team SecOps di Microsoft esegue la risposta agli eventi imprevisti per attenuare gli attacchi in corso.
Operazioni di sicurezza di Azure Cloud Adoption Framework	Linee guida strategiche per i leader che stabiliscono o modernizzare una funzione operativa di sicurezza.
Procedure consigliate per la sicurezza Microsoft per le operazioni di sicurezza	Come usare al meglio il centro SecOps per spostarsi più velocemente rispetto agli utenti malintenzionati destinati all'organizzazione.
Modello di Microsoft Cloud Security per architetti IT	Sicurezza tra servizi cloud Microsoft e piattaforme per l'accesso alle identità e ai dispositivi, la protezione dalle minacce e la protezione delle informazioni.
Documentazione sulla sicurezza Microsoft	Indicazioni aggiuntive sulla sicurezza di Microsoft.