INCIDENT RESPONSE
L’Incident Response (IR), anche chiamato SOC di livello 2, è un servizio che sfocia nella sfera operativa presa in prestito dal CERT (Computer Emergency Response Team) o dal CSIRT (Computer Security Incident Response Team).
Gli esperti di IR analizzano le segnalazioni del SOC di livello 1 e le integrano con altre informazioni di Threat Intelligence in loro possesso e con dati relativi agli asset IT coinvolti nell’incidente, come configurazioni, processi gestiti o altro. Tutto questo fornendo infine assistenza nelle procedure di recovery dagli incidenti di sicurezza informatica individuati dal SOC 1.
Una volta raccolte tutte le informazioni necessarie, infatti, gli specialisti IR definiscono l’attività di risanamento e la gestiscono lavorando in sinergia sia con i responsabili dei sistemi IT sia con gli analisti del SOC di livello 1. Questo lavoro di squadra permette di risolvere problematiche molto specifiche e di suggerire agli esperti del SOC i cambiamenti da effettuare sui sistemi di sicurezza e di monitoraggio per farsi trovare pronti di fronte a future nuove minacce e rischi.
VULNERABILITY ASSESSMENT
Il servizio di Vulnerability Assessment offerto da un SOC è attribuito ad un livello 3, più specializzato nell’analisi proattiva. L’obiettivo è quello di esaminare la sicurezza di applicazioni, database, network, computer, attraverso una serie di Penetration test. Grazie a questi test, è possibile stimare i rischi della sicurezza e del rispetto le normative, come il GDPR, prevenendo danni reputazionali ed economici ed evitando la paralisi del lavoro.
L’insieme degli ulteriori servizi attribuibili ad un SOC può essere molto ampio, e dipende dalla centralità che il SOC ricopre all’interno dell’azienda. Oggi, infatti, il ruolo del Security Operation Center si è sviluppato sempre di più, inglobando al suo interno attività non propriamente tipiche del SOC.
Per questo è necessario fare un ulteriore approfondimento, parlando meglio della simbiosi tra SOC e CERT.
LA SINERGIA TRA SOC E CERT
Non si può parlare di SOC senza citare i Computer Emergency Response Team (CERT).
I CERT sono unità funzionali sorte direttamente dal bisogno di gestire situazioni di crisi nel digitale. Come abbiamo accennato poco fa, la loro sfera d’azione si accosta alle tradizionali funzioni di risposta all’incidente (response), di cui talvolta si appropriano anche i SOC più evoluti (SOC di livello 2).
Ma un CERT non è solo questo: nel tempo, il campo di azione si è ampliato e dalla semplice risposta all’incidente è passato alla readiness, ovvero la capacità di fornire nuovi standard di attività, servizi e funzioni per far sì che la sicurezza di un’organizzazione sia pronta a schivare futuri attacchi cibernetici. La readiness agisce quindi come prevenzione del problema, e la response come contrattacco o rimedio appena il rischio di una minaccia si concretizza in un incidente di sicurezza.
In realtà, come abbiamo detto, molti centri operativi per la sicurezza sono stati potenziati con servizi e attività prese in prestito dalle funzioni del CERT. In ogni caso, non c’è dubbio che SOC e CERT hanno molti punti in comune e, anzi, la loro sinergia può essere fortemente strategica. Ne è un esempio proprio la gestione del SIEM: una tecnologia che è sì gestita dal Security Operation Center ma che sfrutta le funzioni di readiness del CERT nel riconoscere e rilevare tecniche e tattiche in uso da criminali informatici e gruppi hacker.
Un altro esempio è l’attività di Threat Intelligence, altro baluardo del CERT che viene talvolta attribuita al SOC: ulteriore dimostrazione dei punti di contatto e della forte sinergia fra le due sfere del Computer Emergency Response Team e del Security Operation Center.
TIPI DI ATTACCHI INFORMATICI CHE UN SOC POTREBBE EVITARE
Un attacco nell’ambito della sicurezza informatica comprende qualunque manovra da parte di individui o di organizzazioni che colpiscono sistemi informatici, infrastrutture o dispositivi elettronici tramiti azioni malevoli, quali furto, alterazione o distruzione di specifici obiettivi.
Il SOC è estremamente utile per evitare determinati tipi di attacchi o, se dovessero verificarsi, per inviare una risposta tempestiva evitando danni consistenti. Di seguito una serie di attacchi informatici che implicano utenti, siti web e i fornitori stessi.
- Malware: indica un programma che viene installato su un computer all’insaputa dell’utente, con l’obiettivo di renderlo vulnerabile ad attacchi. Per cercare di prevenire l’installazione di questo tipo di software, è consigliata l’attivazione di un buon antivirus.
- Ransomware: Si tratta di una tipologia di malware dalle gravi conseguenze. Una volta installato, blocca completamente il sistema operativo dell’utente, richiedendo il pagamento di un “riscatto” (ransom). Tuttavia, anche in caso di pagamento, non si ha la completa certezza che l’hacker restituisca tutti i dati personali.
- Adware: Molti servizi online e programmi gratuiti contengono delle pubblicità. Alcune di queste portano a siti concreti altre, invece, conducono a siti sospetti o all’installazione inconsapevole di malware e virus, che rendono vulnerabili ad attacchi esterni.
- Attacchi tramite cookie: I cookie sono dei file di testo inviati da un sito al computer dell’utente. I file in sé non creano problematiche, implicano solo la profilazione dell’utente. Eppure, un hacker può sfruttare le vulnerabilità dei siti per intercettare questi cookie e appropriarsi degli account e credenziali di accesso dell’utente.
- DDoS: con Distributed Denial of Service, solitamente abbreviato con DDoS, si intende un attacco che provoca l’interruzione di un servizio. Le vittime dirette di questo tipo di attacchi sono i fornitori, mentre i singoli utenti sono vittime indirette, poiché vengono coinvolti nell’attuazione dell’attacco stesso. Infatti, gli hacker installano nei dispositivi degli utenti dei programmi che inviano molteplici di richieste ai server, i quali interrompono il loro servizio.· Si tratta degli attacchi più allarmanti e difficili da contrastare, in quanto non sono prevedibili e l’attacco coinvolge diverse parti del sistema. Per questo, per contrastarli, è necessaria la presenza di un team di esperti in grado di utilizzare tecniche differenti allo stesso tempo.
- Phishing: con questo termine si indica una truffa realizzata a danno di un utente con l’obiettivo di impossessarsi delle credenziali di accesso ad account di servizi online come e-mail personali e conti bancari. Gli hacker preparano delle pagine Web che replicano i portali di accesso a cui l’utente è iscritto e ottengono così il nome utente e password.
- Data Breach: il termine indica il rendere pubbliche le credenziali di accesso degli utenti. In certi casi, dopo un attacco informatico nei confronti di un fornitore, le informazioni personali degli utenti vengono rese note e i malintenzionati possono approfittarne. Altre volte, invece, un hacker può organizzare un attacco mirato per impossessarsi dei dati di un singolo utente. Ne consegue che gli account non siano più protetti, in quanto le password non sono più sicure e chiunque può accedervi. I singoli utenti hanno possono proteggersi da questo tipo di attacchi utilizzando una password diversa per ogni servizio utilizzato. Di conseguenza, in caso di attacco, solo un account sarebbe compromesso. Inoltre, è opportuno cambiare immediatamente password degli account coinvolti in seguito ad un attacco.
- SQL injection: questo tipo di attacco danneggia i siti web, e consiste nell’inserimento di parti di codice malevolo all’interno del linguaggio SQL proprio del sito. In base al codice modificato, un hacker può accedere a diverse informazioni, come le credenziali degli utenti.
- Sniffing: Hacker esperti possono essere in grado di inserirsi in una rete locale per catturarne il traffico. Per esempio, possono essere in grado di collegarsi alla rete Wifi di un’abitazione e accedere ai vari dispositivi connessi.
- Doxing e attacchi personali: Un sistema poco sofisticato ma comunque molto efficace per impossessarsi di informazioni personali è il doxing. Consiste nell’ottenere con l’inganno i dati sensibili chiedendo ai diretti interessati o effettuando ricerche incrociate. Una volta ottenute queste informazioni, un malintenzionato può utilizzarle per impossessarsi degli account degli utenti.