Quando si verifica un incidente di sicurezza, i tuoi team sanno esattamente cosa fare?Un piano di risposta agli incidenti fa la differenza tra un evento di sicurezza contenuto e una violazione catastrofica. Negli ambienti cloud, la risposta agli incidenti richiede procedure specifiche per la revoca delle credenziali, l'isolamento delle risorse, la conservazione delle prove forensi e l'indagine tra servizi che differiscono sostanzialmente dalla gestione degli incidenti in locale.
Punti chiave
- Pianifica prima di averne bisogno:Un piano di risposta agli incidenti creato durante un incidente non è un piano: è panico.
- Cloud IR è diverso da quello locale:Non è possibile "tirare il cavo di rete". La risposta agli incidenti cloud utilizza l'isolamento basato su API, la revoca delle credenziali e l'analisi forense basata su snapshot.
- NIS2 richiede una notifica 24 ore su 24:Le entità essenziali e importanti devono avvisare le autorità entro 24 ore di un incidente significativo.
- Esercitati attraverso esercizi da tavolo:Un piano che non è mai stato testato fallirà quando conta di più.
- Automatizzare dove possibile:Le azioni di contenimento automatizzate (isolare l'istanza, revocare le credenziali, bloccare l'IP) riducono i tempi di risposta da ore a minuti.
Struttura del piano di risposta agli incidenti
| Sezione | Indice | Proprietario |
|---|---|---|
| 1. Campo di applicazione e obiettivi | Quali incidenti sono coperti, obiettivi del piano, requisiti di conformità | CISO/Responsabile sicurezza |
| 2. Ruoli e responsabilità | Struttura del team IR, percorsi di escalation, catena di comunicazione | CISO/Responsabile sicurezza |
| 3. Classificazione degli incidenti | Livelli di gravità, criteri di classificazione, tempi di risposta | SOC Capofila |
| 4. Rilevazione e analisi | Come vengono rilevati gli incidenti, procedure di indagine iniziale | SOC Squadra |
| 5. Contenimento | Procedure di contenimento a breve e lungo termine | Squadra IR |
| 6. Eradicazione e recupero | Rimozione della causa principale, ripristino del sistema, verifica | Team IR + Ingegneria |
| 7. Attività post-incidente | Lezioni apprese, miglioramento dei processi, conservazione delle prove | CISO/Responsabile sicurezza |
| 8. Piano di comunicazione | Notifica interna, reporting normativo, comunicazione al cliente | Legale + Comunicazioni |
Procedure di risposta agli incidenti specifici del cloud
Risposta alla compromissione delle credenziali
Quando le credenziali IAM vengono compromesse, eseguire immediatamente: 1) Revoca tutte le sessioni attive per l'identità compromessa, 2) Disabilita l'utente IAM o disattiva le chiavi di accesso, 3) Esamina CloudTrail/Registro attività per le azioni intraprese con le credenziali compromesse, 4) Identifica tutte le risorse create, modificate o a cui si accede, 5) Verifica i meccanismi di persistenza (nuovi utenti IAM, ruoli o policy creati dall'autore dell'attacco), 6) Ruota tutte le credenziali che potrebbero essere state esposte. Automatizza i passaggi da 1 a 2 fino ai playbook SOAR per una risposta inferiore al minuto.
Risposta dell'istanza compromessa
Quando un'istanza EC2 o Azure VM viene compromessa: 1) Isolare l'istanza sostituendo il relativo gruppo di sicurezza con un gruppo di quarantena (non consentire traffico in entrata/uscita), 2) Creare snapshot di tutti i volumi collegati per l'analisi forense, 3) Acquisire dump della memoria se possibile (richiede strumenti preinstallati), 4) Esaminare i metadati dell'istanza per l'esposizione delle credenziali, 5) Analizzare le connessioni di rete e il trasferimento dei dati in VPC Log di flusso, 6) NON terminare l'istanza: perderai prove volatili.
Risposta di esfiltrazione dati
Quando viene rilevata un'esfiltrazione di dati: 1) Identificare l'origine dei dati e l'ambito di accesso, 2) Bloccare il percorso di esfiltrazione (revocare l'accesso, bloccare l'IP/dominio di destinazione), 3) Determinare a quali dati è stato effettuato l'accesso e potenzialmente esfiltrati, 4) Valutare se sono stati coinvolti dati personali (GDPR trigger di notifica di violazione), 5) Conservare le prove (log CloudTrail, log di accesso S3, flusso VPC Logs), 6) Avviare procedure di notifica normativa, se necessario.
NIS2 Requisiti di segnalazione degli incidenti
| Periodo | Requisito | Contenuto |
|---|---|---|
| 24 ore | Preallarme | Notifica iniziale all'autorità competente. Includere: causa sospetta, potenziale impatto transfrontaliero, servizi interessati |
| 72 ore | Notifica dell'incidente | Relazione dettagliata: valutazione della gravità, impatto, indicatori di compromissione, misure di riparazione iniziali |
| 1 mese | Rapporto finale | Rapporto completo: analisi delle cause profonde, azioni correttive intraprese, impatto transfrontaliero, lezioni apprese |
Struttura del team di risposta agli incidenti
- Comandante dell'incidente:Coordina la risposta generale, prende decisioni sul contenimento e sull'escalation
- SOC Analisti:Individuazione iniziale, triage e indagine
- Risponditori all'incidente:Indagini tecniche approfondite, analisi forensi ed esecuzione di contenimento
- Ingegneria/DevOps:Ripristino del sistema, distribuzione delle patch, modifiche alla configurazione
- Legale:Notifica normativa, valutazione della responsabilità, conservazione delle prove
- Comunicazioni:Comunicazione interna ed esterna, notifica al cliente
- Sponsor esecutivo:Autorità decisionale aziendale, allocazione delle risorse, comunicazione esecutiva
Testare il piano di risposta agli incidenti
Esercizi da tavolo
Gli esercizi pratici guidano il team IR attraverso uno scenario realistico senza toccare i sistemi di produzione. Il facilitatore presenta uno scenario in evoluzione: allerta iniziale, risultati delle indagini, fattori scatenanti dell’escalation, decisioni di contenimento e requisiti di comunicazione. Il team discute cosa farebbe in ogni fase, rivelando lacune nelle procedure, responsabilità poco chiare e strumenti mancanti. Condurre esercizi pratici trimestralmente.
Simulazioni tecniche
Le simulazioni tecniche testano strumenti e procedure rispetto a scenari di attacco realistici. Esempi: attivare un rilevamento GuardDuty e verificare che il playbook SOAR venga eseguito correttamente, simulare la compromissione delle credenziali e cronometrare la risposta dal rilevamento al contenimento, eseguire un accesso controllato ai dati e verificare che gli avvisi DLP si attivino in modo appropriato. Condurre simulazioni tecniche semestralmente.
In che modo Opsio supporta la risposta agli incidenti
- Sviluppo del piano IR:Realizziamo piani di risposta agli incidenti personalizzati per il tuo ambiente cloud con runbook specifici per il cloud.
- Risposta automatica:Implementiamo playbook SOAR che eseguono azioni di contenimento in pochi secondi.
- Funzionalità IR 24 ore su 24, 7 giorni su 7:Il nostro team SOC fornisce capacità di prima risposta con escalation a specialisti IR senior.
- NIS2 supporto per la segnalazione:Aiutiamo a preparare e inviare notifiche normative entro NIS2 tempi.
- Facilitazione da tavolo:Progettiamo e facilitiamo esercizi pratici basati su scenari di minaccia realistici per il tuo settore.
- Supporto post-incidente:Analisi delle cause profonde, implementazione delle soluzioni correttive e miglioramento dei processi dopo ogni incidente.
Domande frequenti
Qual è l'elemento più importante di un piano di risposta agli incidenti?
Ruoli e comunicazione chiari. Durante un incidente, la confusione su chi fa cosa fa perdere tempo critico. Ogni membro del team dovrebbe conoscere il proprio ruolo, il percorso di escalation e le proprie responsabilità di comunicazione prima che si verifichi un incidente. Le procedure tecniche sono importanti ma inutili se la squadra non è coordinata.
Come posso conservare le prove negli ambienti cloud?
Le prove sul cloud sono volatili: le istanze possono essere terminate, i log possono essere ruotati e le configurazioni possono cambiare. Conserva le prove: abilitando la registrazione immutabile di CloudTrail con convalida dell'integrità, creando snapshot EBS/disco prima di qualsiasi riparazione, acquisendo metadati dell'istanza e processi in esecuzione, esportando i log pertinenti in un account di archiviazione separato e bloccato e documentando tutte le azioni di risposta con timestamp.
NIS2 richiede un piano di risposta agli incidenti?
SÌ. NIS2 L'Articolo 21(2)(b) richiede capacità di "gestione degli incidenti", che necessitano di un piano di risposta agli incidenti documentato, di un team IR addestrato e di capacità dimostrate di rilevamento e segnalazione degli incidenti. Il requisito dell’allarme tempestivo 24 ore su 24 richiede specificamente processi e canali di comunicazione prestabiliti.