1. Competenze professionali:

2. Coordinamento e cooperazione:

3. Elaborazione delle prove:

•Prove digitali: quali registri, registrazioni, file informatici e componenti di sistemi informatici. Come memoria o disco rigido.

·Materiali cartacei: come documenti stampati, appunti scritti a mano, relazioni cartacee, ecc.

•Se è coinvolto un reato penale, il personale dovrà essere composto da professionisti con esperienza nelle forze dell'ordine e il ruolo del CISSP è quello di supportare e soddisfare qualsiasi richiesta di questi professionisti.

Quando si risponde agli incidenti, la raccolta di prove digitali è estremamente importante. Le prove digitali sono spesso effimere, pertanto devono essere raccolte il più rapidamente possibile per garantire l'integrità delle prove.

Per garantire l'integrità delle prove, ecco alcune migliori pratiche:

•Digital Forensics and Incident Response (DFIR) è un processo che prevede la raccolta e l'analisi di prove digitali per indagare e rispondere agli incidenti di sicurezza.

•La gestione delle prove digitali richiede il rispetto di determinati processi e standard, come ISO/EC 27037:2012 e NISTSP 800-86.

•È molto importante mantenere una buona catena o custodia, inclusa la registrazione di tutti i processi delle prove, dalla raccolta all'analisi, per garantire l'integrità e l'affidabilità delle prove.

La natura distribuita e la portata globale del cloud computing presentano sfide uniche per l’analisi forense digitale. Quando si raccolgono prove da ambienti cloud, è necessario considerare le questioni legali e tecniche, comprese le questioni relative alla sovranità e alla giurisdizione dei dati

•Precisione:

•Autenticità:

•Comprensibilità:

•Convincente:

•Obbiettivo:

•Ammissibile:

1. Acquisizione dei dati

2.Intervista

3.Interrogatorio

4. Richieste esterne

•Strumenti forensi: questi strumenti includono software e apparecchiature per il tracciamento e la gestione dei casi, postazioni di lavoro e aree di lavoro segregate e dedicate al lavoro forense per prevenire la contaminazione delle prove oggetto di indagine. Alcuni strumenti specifici possono includere blocchi di scrittura e drive imager, contenitori Faraday e strumenti di registrazione video e audio.

Passaggi procedurali generali per l'analisi forense:

La natura del cloud computing rende la raccolta delle prove più difficile e potrebbero sorgere problemi giurisdizionali.

Principalmente rilevamento e generazione di avvisi.

Una volta rilevata un'intrusione, vengono intraprese una serie di azioni proattive, ad esempio: implementazione di regole firewall per bloccare il traffico dannoso, ripristino dei file allo stato precedente alla corruzione e persino arresto di applicazioni, servizi o server per prevenire ulteriori intrusioni.

IDS e IPS possono essere distribuiti come varianti basate su rete (NIDS e NIPS) o basate su host (HIDS e HIPS).

• Rilevamento basato su modelli comportamentali, osservando se il traffico si discosta dalle linee di base previste

•Rilevamento basato sulle firme, che analizza il traffico di rete o l'attività dell'host alla ricerca di modelli di attacco noti.

Troppi falsi positivi non sono una buona cosa. Pertanto, quando si utilizzano IDS e IPS, è necessario calibrarli in base all’attività di base di una specifica organizzazione ed evitare il più possibile attacchi DoS accidentali.

1. Centralizzazione: aggregare i file di registro sparsi in diversi sistemi in una libreria centrale per l'analisi e il monitoraggio.

2. Standardizzazione: conversione dei dati di registro generati da sistemi diversi in un formato coerente per la ricerca e la correlazione.

3 Correlazione e rilevamento: correlazione tramite dati speciali per rilevare i confini del sistema alle società di sicurezza che operano nel sistema.

4. Avvisi: una volta che i dati sono stati analizzati ed elaborati, SIEM genererà automaticamente avvisi per spingere gli analisti a indagare, migliorando l'efficienza del rilevamento e della risposta agli incidenti di sicurezza.

Definizione del punto di riferimento: un monitoraggio efficace richiede una serie di misure di base per il confronto continuo, che può basarsi su un quadro di conformità riconosciuto (come PCI-DSS, NIST SP 800, ecc.) o su una linea di base di sistema (come CIS).

Automazione: per il monitoraggio continuo, affidati a strumenti automatizzati come gli strumenti EDR (Endpoint Detection and Response) e gli strumenti UEBA (User and Entity Behavior Analysis).

Frequenza: la frequenza del monitoraggio dovrebbe essere determinata in base alla priorità di controllo e ai costi valutati. Ciò richiede la valutazione dei rischi e dell’utilizzo delle risorse.

Metriche appropriate: le metriche definite per un programma di monitoraggio continuo dovrebbero fornire informazioni utilizzabili sull’efficacia dei controlli. Ciò richiede la garanzia che i parametri siano misurabili in modo che possano essere monitorati e migliorati.

Piano d'azione chiaro: se durante il monitoraggio vengono rilevati problemi, dovrebbe esserci un piano d'azione chiaro per risolverli. Ciò include la risoluzione dei problemi, la risoluzione e il follow-up.

Equilibrio tra costi e valore: il costo di un programma di monitoraggio continuo dovrebbe essere bilanciato rispetto al valore ottenuto da esso. Ciò richiede una valutazione globale dei benefici attesi rispetto ai costi di implementazione per garantire che l’investimento sia giustificato.

Una violazione dei dati avviene quando informazioni sensibili vengono trasmesse illegalmente e lasciano una rete. Gli aggressori possono sfruttare porte, protocolli e servizi standard, come posta elettronica, FTP o HITTP, per inviare dati. A volte mascherano addirittura le loro attività camuffando i dati come fonti di dati comuni ad alto traffico, come il traffico HTTP.

Gli strumenti DLP possono identificare e gestire tipi specifici di dati, come la scansione della rete per dati sensibili sconosciuti archiviati sulla rete, l'identificazione di dati sensibili trasferiti attraverso la rete e la generazione di avvisi quando si tenta di copiare file da file condivisi. Questi strumenti possono bloccare temporaneamente tale operazione e chiedere all'utente di confermare se desidera veramente inviare il file, oppure possono addirittura impedire del tutto tale operazione.

L'obiettivo della sorveglianza demografica è identificare i dati che entrano nella rete e impedire che i messaggi contenenti dati sensibili, come le e-mail, entrino nella rete.

Le strategie per il monitoraggio dell'ingresso e dell'uscita fisica includono l'ispezione dei supporti fisici che entrano ed escono dalla struttura per garantire che la trasmissione dei dati non violi le politiche dell'organizzazione.

Brix è una fonte critica di informazioni per le attività di applicazione della sicurezza, compreso il monitoraggio continuo e la risposta agli incidenti (IR). Framework come IS027001 e NIST SP 800-53 possono essere utilizzati per sviluppare una strategia di registrazione. NIST SP 800-92 fornisce i requisiti fondamentali per la gestione dei dati di registro di sicurezza e i processi per standardizzare e disaggregare le informazioni raccolte.

Un'azienda o un'organizzazione deve determinare quali eventi devono essere registrati e quali eventi possono essere ignorati. Ciò deve essere valutato rispetto ai rischi e alle strategie di sicurezza per garantire che i dati di registro non siano né ridondanti né privi di informazioni critiche.

I registri devono registrare dettagli sufficienti per ricostruire le operazioni sul sistema informativo, compreso chi ha eseguito le operazioni, cosa hanno fatto e quando hanno avuto luogo. I punti dati comuni includono ID utente o processo, timestamp, identificatori di dispositivi, nomi di oggetti, identificatori di policy, ecc.

I dati di registro possono contenere informazioni sensibili, pertanto è necessario garantirne la riservatezza e l'integrità. È possibile proteggere l'integrità dei supporti di memorizzazione dei dati scrivendo file di registro su supporti di memorizzazione ad alta integrità, come i dischi WORM. Per i registri delle applicazioni che potrebbero contenere informazioni riservate, l'accesso deve essere limitato per proteggere la riservatezza dei dati.

Il volume dei dati di registro aumenta nel tempo, richiedendo la pianificazione della capacità. Per i registri locali archiviati sul server, è possibile implementare un periodo di conservazione più breve per risparmiare spazio. I log archiviati in uno strumento SIEM possono essere conservati per mesi, anni o addirittura per sempre. I dati di registro possono anche essere archiviati utilizzando metodi di archiviazione offline a basso costo per fornire costi inferiori e un accesso più lento.

L'intelligence sulle minacce è una strategia preventiva che aiuta i professionisti della sicurezza a identificare e prevedere minacce e aggressori che potrebbero prendere di mira le loro organizzazioni. Questa intelligence può essere integrata con SIEM e SOAR e le fonti includono, a titolo esemplificativo, fornitori di intelligence sulle minacce commerciali, agenzie governative (come CISA negli Stati Uniti), centri di condivisione e analisi delle informazioni di settore (ISAC) e deep web, dark web web, social media o blog, ecc.

La caccia alle minacce è una strategia di difesa proattiva che utilizza analisi manuali e strumenti automatizzati per trovare e analizzare i dati sulle minacce per rilevare e difendersi in modo proattivo dalle minacce all'interno e all'esterno dell'organizzazione. Ciò può essere fatto ai seguenti tre livelli:

UEBA è una soluzione di sicurezza che utilizza l'apprendimento automatico e modelli di analisi statistica per definire una linea di base del comportamento normale o previsto di utenti ed entità con sistemi informativi. Qualsiasi deviazione da questa linea di base prevista verrà contrassegnata come sospetta e utilizzata come input per altri strumenti di sicurezza per ulteriori analisi.

In questo contesto, le entità si riferiscono ad attori non umani nella rete, incluso l'hardware (come router e server), nonché processi software, thread o demoni. Un utente è un utente umano che accede e interagisce con un sistema informativo.

UEBA fornisce un monitoraggio e un'adattabilità della sicurezza più granulari, consentendo la personalizzazione delle policy di sicurezza in base alle esigenze specifiche di ciascuna organizzazione. Questo approccio può evitare restrizioni e impatti inutili sulle attività aziendali legittime, migliorando al tempo stesso il rapporto costo-efficacia degli strumenti di sicurezza.

I risultati del monitoraggio generati da UEBA possono servire come input utile per altri strumenti di sicurezza come SOAR o IPS, attivando risposte automatizzate e controlli di sicurezza. Ad esempio, se viene rilevata una macchina potenzialmente infetta, potrebbe attivare misure di quarantena di rete o sospendere le credenziali di accesso di un utente per limitare il potenziale danno che un'attività dannosa può arrecare a un'organizzazione.

La configurazione è il primo passo nella gestione della configurazione. Ciò comporta in genere l'utilizzo di un'immagine di base pre-approvata che soddisfi le esigenze dell'organizzazione in termini di configurazione hardware e software, consentendo una rapida implementazione di sistemi operativi e software. Ciò riduce i tempi di installazione e i possibili errori.

Per effettuare un provisioning efficace, le organizzazioni devono avere una chiara comprensione di tutte le proprie risorse, inclusi hardware, software, servizi cloud e altro ancora. Ciò può essere ottenuto attraverso il controllo proattivo e reattivo dell’inventario delle risorse. Il controllo proattivo dell'inventario registra informazioni dettagliate man mano che vengono acquistati hardware e software, mentre il controllo reattivo dell'inventario aggiunge risorse sconosciute all'inventario non appena vengono scoperte.

Dopo aver compreso tutte le risorse, un'organizzazione può impostare una linea di base, ovvero un insieme stabilito di standard organizzativi utilizzati per garantire che i sistemi siano configurati per soddisfare tali standard. Tuttavia, le linee di base non sono statiche. Man mano che le funzioni del sistema, le versioni del sistema, le applicazioni patch e gli ambienti operativi cambiano, potrebbe essere necessario modificare la baseline. Ciò richiede un processo di gestione delle modifiche attentamente progettato per garantire che le modifiche alla linea di base siano attentamente pianificate, testate e implementate.

•Guide di implementazione tecnica per la sicurezza dell'Agenzia per i sistemi informativi della difesa (STIG DISA)

•Parametro CIS

•Guida fornita dai fornitori (es: Microsoft, Alibaba Cloud, ecc.)

•automazione:

Si tratta di un principio di sicurezza delle informazioni incentrato sull'idea che solo coloro che devono accedere a informazioni specifiche a causa di responsabilità lavorative o requisiti di missione dovrebbero avere accesso a tali informazioni. In poche parole, se qualcuno non ha bisogno di utilizzare le informazioni per la propria funzione lavorativa, non dovrebbe avervi accesso.

Questo è un altro principio di sicurezza delle informazioni che enfatizza la limitazione il più possibile dell'accesso degli utenti, garantendo loro solo i diritti minimi di cui hanno assolutamente bisogno per svolgere il proprio lavoro. In questo modo si riduce il rischio che potrebbe derivare dall'abuso dei privilegi o dalla compromissione del sistema.

Si riferisce alla separazione delle diverse fasi di un processo aziendale tra più persone per evitare che una persona disponga di troppe autorizzazioni o capacità, riducendo così il rischio di minacce interne e attività fraudolente.

Il controllo multiplayer significa che è necessaria più di una persona per eseguire un'azione o un compito. Ciò non significa necessariamente che queste persone abbiano gli stessi o diversi privilegi, ma solo che, per motivi di equilibrio, l’azione o il compito devono essere eseguiti da più persone.

Anche il controllo M-Di-N è simile al controllo multi-persona, ma richiede solo che M di N persone in grado di eseguire attività correlate lavorino insieme per completare il processo.

Le autorizzazioni operative (autorizzazioni) solitamente concesse agli utenti nel sistema. Queste autorizzazioni possono includere la lettura, la scrittura, la modifica di file, l'esecuzione di programmi, l'accesso a risorse specifiche, ecc.

Si tratta di un account con privilegi particolarmente elevati nel sistema, solitamente un amministratore di sistema o un account superutente. Le autorizzazioni di questi account possono includere la modifica delle impostazioni di sistema, l'installazione di software, la gestione degli account utente, ecc.

•Configurazione: gli utenti che richiedono un accesso privilegiato devono essere sottoposti a controlli rigorosi per garantire che abbiano esigenze legittime e siano affidabili.

•Utilizzo: gli account privilegiati dovrebbero avere passaggi di autenticazione aggiuntivi, come l'autenticazione a più fattori obbligatoria, l'utilizzo dell'account dovrebbe essere limitato nel tempo e scadere automaticamente e tutte le operazioni dovrebbero essere registrate.

•Verifica: è necessario eseguire regolarmente controlli di registro automatici o manuali degli account privilegiati per rilevare eventuali comportamenti insoliti o sospetti.

·Deprovisioning: quando si esegue il deprovisioning di un account privilegiato, è meglio prima sospendere o disattivare l'account e poi condurre una revisione per determinare se è necessario effettuare il deprovisioning permanente dell'account.

1) Fornisce opportunità di formazione trasversale, offrendo ai dipendenti la possibilità di migliorare le proprie competenze e fornendo maggiore flessibilità all'organizzazione.

2) Mitigare le minacce interne come le frodi.

È un accordo firmato tra un'organizzazione e un fornitore, che stabilisce gli indicatori di disponibilità e prestazione che i prodotti o servizi forniti dal fornitore devono soddisfare, nonché le responsabilità e gli obblighi di entrambe le parti. In genere, gli SLA conterranno clausole penali per garantire che il fornitore possa rispettare i propri impegni e anche per incoraggiarlo a fornire prodotti o servizi migliori.

1) Tipi di supporti: inclusi documenti cartacei, unità disco rigido (HDD), unità a stato solido (SSD) e archiviazione in ambienti cloud.

2) Classificazione dei dati: classificare i dati in base alla politica di classificazione dell'organizzazione per gettare le basi per la selezione di misure di controllo adeguate.

3) Etichettatura e contrassegno: tutti i supporti devono essere etichettati per mostrare il livello di classificazione dei dati in essi contenuti. In diverse circostanze, per contrassegnare è possibile utilizzare filigrane, intestazioni/piè di pagina di file o metadati.

4 Elaborazione: gli utenti dovrebbero essere formati sui livelli di classificazione e sulle procedure di elaborazione dei media. Le procedure di trattamento possono includere come gestire i dati sensibili, rispettare i requisiti di distruzione, ecc.

·Implementare controlli di sicurezza: applicare le misure di controllo di sicurezza necessarie in base alla classificazione dei dati, registrare i processi e le procedure corrispondenti e formare gli utenti.

•Principio del privilegio minimo: limitare l'accesso ai media e implementare misure di sicurezza fisica.

•Protezione fisica: concentrarsi sulla protezione fisica per affrontare potenziali rischi, come apparecchiature smarrite o rubate. Controlli compensativi, come la crittografia del disco, garantiscono la riservatezza dei dati.

•Transport Butterfly: garantisce la sicurezza dei media in transito attraverso crittografia, verifica dell'hash e misure di protezione fisica.

•Disinfezione e smaltimento: scegliere il metodo di disinfezione e smaltimento appropriato in base alle proprie esigenze, come copertura, smagnetizzazione, distruzione fisica o frantumazione crittografica. Nelle soluzioni di archiviazione cloud, la cancellazione crittografica può essere l’unico metodo di sicurezza praticabile.

•Gestione dei fornitori: garantire che i fornitori di servizi di distruzione rispettino i contratti e gli accordi sul livello di servizio, compresi gli standard di sicurezza fisica e i requisiti assicurativi.

•Eventi: elementi osservabili, come operazioni regolari. Di solito non è richiesta alcuna azione aggiuntiva.

• Incidenti: eventi non pianificati che hanno un impatto negativo sull'organizzazione e richiedono che il personale IT, operativo e di sicurezza investiga e ponga rimedio congiuntamente.

•Documentare gli strumenti, le risorse e i processi necessari per identificare, classificare e rimediare all'impatto di un incidente.

•Contiene le definizioni del tipo di incidente, il personale del team di risposta agli incidenti, i ruoli e gli stipendi, le risorse richieste e i processi di gestione degli incidenti

•Il quadro di risposta agli incidenti enfatizza la pianificazione anticipata degli incidenti e lo sviluppo di strategie di risposta adeguate. Come ad esempio: TL, NIST, ISACA

•Categorizzare e stabilire le priorità in base alla criticità, all'impatto e all'urgenza.

Molte organizzazioni utilizzano (P0-P5) per classificare gli incidenti. P0 è il più critico e P5 è il meno critico test ed esercizi di risposta agli incidenti:

•Testare il piano in situazioni non di emergenza per identificare lacune, sviste o problemi.

•Ridurre la confusione o gli sprechi durante un incidente reale formando i membri del team di risposta agli incidenti sulle loro responsabilità attraverso esercitazioni.

•Garantire un coordinamento adeguato con i fornitori di servizi esterni per consentire all'organizzazione di continuare a operare.

•Il piano di risposta agli incidenti dovrebbe identificare i principali fornitori di servizi esterni o terze parti e documentare le informazioni di contatto.

•Chiarire i ruoli e le responsabilità delle terze parti in modo che i team interni e le terze parti possano collaborare per gestire gli incidenti.

1) Identificare i processi IR che necessitano di miglioramento;

2) Affrontare la causa sottostante o principale per evitare che l'incidente si ripeta.

1•Ispezione statica dei pacchetti (senza stato): questa è la prima generazione di firewall che si concentra sul filtraggio basato su regole delle informazioni sull'intestazione dei pacchetti.

2. Firewall con stato: basato sulla prima generazione, il firewall di seconda generazione aggiunge la comprensione del contesto di comunicazione (stato) e fornisce una protezione più flessibile e intelligente.

3. Web application firewall (WAF) e gateway API: questi tipi specifici di firewall non corrispondono direttamente a una determinata generazione di firewall, ma sono soluzioni dedicate per scenari applicativi specifici (come applicazioni Web e API).

4. Firewall basato su host: anche questo non corrisponde direttamente a una certa generazione di firewall, ma è una protezione implementata su un singolo host per fornire un ulteriore livello di sicurezza oltre il firewall di rete.

5. Next Generation Firewall (NGFW): spesso considerata la terza generazione di firewall, integra molteplici funzionalità di sicurezza. Come firewall con stato, gateway API, rilevamento delle intrusioni e servizi VPN, ecc., Fornendo un firewall di sicurezza di rete più completo

Questo concetto nasce nelle reti definite dal software (SDN) e negli ambienti cloud e non è direttamente correlato a una specifica generazione di firewall. Sono funzionalmente simili ai firewall ma sono più flessibili e scalabili negli ambienti virtualizzati.

1. Funzione: rileva tentativi di intrusione nel sistema.

2. Digitare:

3. Come funziona: un dispositivo passivo che analizza il traffico o l'attività e rileva attività che corrispondono a schemi dannosi o si discostano dal funzionamento normale o previsto del sistema.

4. Risposta: genera un avviso che richiede l'intervento umano.

1. Funzione: rileva e reagisce ai tentativi di intrusione nel sistema.

2. Digitare:

3. Come funziona: un dispositivo attivo che analizza il traffico o l'attività e rileva attività che corrispondono a modelli dannosi noti o che si discostano dal funzionamento normale o previsto del sistema.

•Risposta: intraprende automaticamente azioni preventive, come l'implementazione di nuove regole del firewall.

1. NIDS/NIPS

2.HIDS/HIPS

•Costi inferiori

•Conoscenze specialistiche

•Controllo inferiore

•Rischio che terzi vengano presi di mira

•Ulteriori spese generali di gestione di terze parti

•Security Operations Center (SOC): operazioni SOC parzialmente o completamente esternalizzate

•Digital Forensics and Incident Response (DFIR): come estensione della sorveglianza continua, fornita da MSSP

Threat intelligence: fornisce informazioni sulle potenziali minacce per l'organizzazione, che possono essere combinate con il monitoraggio continuo, la valutazione del rischio e la tecnologia SOAR

è un ambiente isolato con capacità limitata di connettersi a risorse esterne alla sandbox.

•Analisi dei virus: esegue malware in macchine virtuali isolate. Prevenire l'infezione di altri sistemi

•Prova di concetto: sperimentare in un ambiente isolato senza compromettere l'integrità dei dati del sistema di produzione

Controlla il comportamento di runtime dell'applicazione attraverso un insieme restrittivo di regole

Esempio: il sistema iOS di Apple impedisce alle app di accedere a dati e funzionalità

Aggiungi un ulteriore livello di sicurezza al tuo smartphone

Sul telefono dell'utente viene installata un'applicazione specifica che consente l'accesso ai dati organizzativi ma limita l'accesso ai dati esterni

•Informazioni utilizzate per rilevare o raccogliere tentativi non autorizzati di accesso a dati e sistemi informativi

Gli honeypot sembrano essere risorse preziose, ma in realtà non contengono dati importanti.

•Distrarre gli aggressori e proteggere obiettivi di alto valore

•Raccogliere informazioni sugli aggressori come l'indirizzo IP

•Ci sono questioni legali riguardanti l'uso di honeypot/honeynets in diverse giurisdizioni, in particolare per quanto riguarda l'intrappolamento

• Fornisce un modo semplice per distribuire e monitorare i dispositivi honeypot

•Gestire le sfide legali legate agli honeypot ed evitare problemi di intrappolamento

•Gli avvisi generati possono essere integrati negli strumenti SIEM o SOAR

I primi software anti-virus (A/V), man mano che le minacce si evolvevano, sono stati gradualmente sostituiti da software anti-malware (A/M)

Adotta un modello di difesa a più livelli per garantire che il traffico e le attività vengano scansionati accuratamente per rilevare comportamenti indesiderati

Può essere distribuito su risorse critiche come server di posta elettronica, server di condivisione file e strumenti di monitoraggio della rete

•Soluzione Endpoint Detection and Response (EDR): combina funzionalità A/M, firewall host, monitoraggio dell'integrità dei file e UEBA

•Servizio Managed Detection and Response (MDR): combina funzionalità di rilevamento con servizi di sicurezza di terze parti per affrontare i rischi per la sicurezza degli endpoint

• Strumenti basati sulle firme: trova file specifici o modelli di attività associati a malware noto

•Rilevamento euristico: si basa sull'analisi statistica dei modelli di attività per rilevare comportamenti potenzialmente dannosi

• Azioni post-rilevamento: mettere in quarantena file o sistemi interessati, generare avvisi

•Integrazione degli avvisi: integrazione con gli strumenti SIEM per il monitoraggio e la risposta centralizzati o con SOAR per la risposta automatizzata agli incidenti

• Rileva e rispondi agli incidenti più velocemente

•Se configurato correttamente, l'errore umano può essere eliminato dal processo decisionale

La natura “scatola nera” del processo decisionale: è difficile individuare gli errori o comprenderne i risultati, quindi agire in base agli avvisi può essere difficile. Dovremmo essere cauti quando abbiamo a che fare con le nuove tecnologie.

•Caccia alle minacce: ricerca di minacce che potrebbero sfruttare vulnerabilità sconosciute.

•Scansione delle vulnerabilità: rileva automaticamente le vulnerabilità conosciute, come configurazioni non sicure o software senza patch.

•Confronto Rosso-Blu: la squadra rossa conduce test mirati su risorse specifiche e la squadra blu conduce la difesa.

•Penetration test e bug bounty: test manuali per individuare le vulnerabilità.

•Automatizzare i processi e i flussi di lavoro di gestione delle vulnerabilità utilizzando gli strumenti SOAR.

1) Creare una richiesta di modifica: documentare lo scopo, la logica, la persona responsabile, le risorse richieste e l'impatto previsto della modifica.

2) Revisione del cambiamento: il comitato di controllo del cambiamento o il comitato consultivo del cambiamento (CCB o CAB) conduce una revisione per valutare il valore aziendale, l'impatto e i potenziali rischi del cambiamento.

3) Approvazione della modifica: eseguita dalla persona responsabile secondo il piano registrato.

4) Coordinare le questioni di sicurezza: garantire che vengano seguiti i processi pertinenti durante l'approvvigionamento e l'implementazione del nuovo hardware.

•Modifiche standard: basso rischio, improbabile impatto negativo, pre-approvate. Ad esempio: applica patch standard, aggiungi risorse standard e installa software approvato.

•Cambiamenti normali: richiedono un processo completo di gestione dei cambiamenti. L'implementazione è pianificata in base alle riunioni periodiche del Comitato per il Cambiamento.

•Cambiamenti di emergenza: rispondere alle emergenze, come gli incidenti di sicurezza. È possibile adottare processi decisionali semplificati o processi più leggeri per bilanciare sicurezza e velocità.

Pertinente agli obiettivi di sicurezza della disponibilità, identificare le risorse e le funzioni critiche attraverso l'analisi dell'impatto aziendale (B/A) e progettare strategie di ripristino per bilanciare esigenze e costi di disponibilità.

•Recovery Time Objective (RTO): il tempo necessario per ripristinare un sistema o un processo utilizzando procedure di emergenza.

•Recovery Point Objective (RPO): quantità di perdita di dati che può essere tollerata in caso di disastro.

•Tempo di inattività massimo tollerato (MTD o MAD): il tempo in cui un'organizzazione può sopravvivere senza che una risorsa o un processo siano disponibili per l'uso.

•Backup completo: il backup di tutti i dati richiede più tempo e occupa più spazio.

• Backup incrementale: esegue il backup dei dati modificati dall'ultimo backup completo o incrementale. È il metodo più veloce ma richiede più tempo per il ripristino.

•Backup differenziale: esegue il backup di tutti i dati che sono cambiati dall'ultimo backup completo, più velocemente e con requisiti di archiviazione inferiori.

Conserva almeno tre copie dei dati, due copie vengono archiviate localmente o in loco, inclusa la copia dei dati master, e una copia viene archiviata in un backup remoto offline.

Integrità e riservatezza del backup:

•Servizi cloud, come Software as a Service (SaaS), configurati per alta disponibilità, replica automatica dei dati e persistenza dei dati

•Utilizzare l'infrastruttura come servizio (laas) o la piattaforma come servizio (paas) come soluzione di storage di backup.

•Valutare il compromesso tra perdita di controllo fisico dei dati e risparmio sui costi quando si utilizzano i servizi cloud. Crittografare i dati prima di archiviarli in un ambiente cloud può essere una misura di sicurezza efficace.

•Sito freddo: struttura vuota, richiede la configurazione di attrezzature e servizi, tempi di ripristino più lunghi e costi inferiori.

•Sito caldo: dispone di alcune attrezzature e richiede un certo grado di costruzione.

·Sito caldo: dispone delle stesse strutture e degli stessi dati del sito principale, è costoso ma aiuta a soddisfare RTO o RPO a breve termine.

· Vantaggi: metadati integrati per siti multi-elaborazione. Ha un'elevata affidabilità.

•Svantaggi: Costi di affitto, personale e attrezzature più elevati.

Si riferisce alla capacità del sistema di resistere ai guasti e si basa su una progettazione che tiene conto dei guasti e incorpora azioni correttive.

Fornisci ridondanza e reindirizzamento dinamico attraverso tecnologie quali bilanciatori del carico o clustering per garantire la disponibilità continua del sistema.

Una funzione nella tecnologia di rete che dà priorità al traffico importante, come i dati mission-critical o urgenti.

Secondo i livelli dell'Uptime Institute, diversi livelli di data center possono fornire diversi gradi di uptime garantito in caso di interruzioni.

Sistemi che possono tollerare guasti hardware, software o di elaborazione dati e continuare a funzionare, come sistemi RAID e database.

1. I professionisti della sicurezza sono spesso responsabili della risposta iniziale alle situazioni di disastro.

2. Le azioni necessarie per rispondere a un disastro variano a seconda del tipo di disastro. Le persone hanno capacità decisionali limitate durante le situazioni di stress, quindi è meglio disporre di piani di risposta e di azione pre-approvati nei piani di ripristino di emergenza e di continuità aziendale.

3. Alcuni dei compiti che devono essere affrontati nel piano includono:

4 Documentare tutte le operazioni per supportare le revisioni post-disastro e fornire le prove necessarie per azioni assicurative o legali.

•Include dipendenti e dirigenti che necessitano di conoscere informazioni sull'incidente e su come partecipare alla risposta.

•I metodi di comunicazione possono essere attivi (come un albero telefonico) o passivi (come i messaggi pubblicati su un sito web).

•La modalità di comunicazione scelta deve tenere conto della criticità della persona che la riceve e del messaggio trasmesso.

•Include clienti, pubblico, partner commerciali e fornitori colpiti da emergenze organizzative.

•Obblighi legali o contrattuali possono dettare il modo in cui vengono condotte le comunicazioni con le parti interessate esterne, come le informative sulla privacy in caso di violazione dei dati.

•Utilizzare metodi di comunicazione attivi e passivi a seconda dei casi, come avvisare in modo proattivo i clienti o inviare nuove richieste.

•La comunicazione segue il principio a una sola voce: l'organizzazione dovrebbe avere una voce unificata quando comunica con gli stakeholder esterni (come i media o il pubblico) e questo principio dovrebbe essere incluso come parte della formazione.

•Simile a una valutazione del rischio, l'obiettivo principale è identificare gli impatti e dare priorità alle risposte.

•È necessario determinare la natura e la fonte del disastro (causato dall'uomo o naturale) e la priorità delle azioni di ripristino (come l'evacuazione del personale o l'arresto graduale e il trasferimento delle apparecchiature in strutture di backup).

•Il processo di valutazione potrebbe essere in corso e la squadra di risposta deve identificare gli impatti attuali e possibili futuri dell'evento o del disastro.

• Dovrebbero essere comunicati al management e ai decisori per determinare la giusta direzione d'azione.

•Se esiste un buon piano BCDR, la risposta dovrebbe seguire determinate procedure o passaggi ed essere adattata al disastro specifico.

• Queste misure devono dare priorità alla vita, alla salute e alla sicurezza, considerando anche l'impatto sui clienti, gli obblighi normativi e i costi diretti e indiretti (come perdita di ricavi e danni alla reputazione).

•Dopo il ripristino, valutare l'impatto complessivo del disastro o dell'evento.

•La valutazione dovrebbe includere il costo finanziario complessivo per l'organizzazione (compresi i costi di ripristino e qualsiasi perdita di attività o produttività), nonché informazioni su come migliorare le operazioni di emergenza e di continuità in futuro.

•La registrazione e l'applicazione delle lezioni apprese verranno discusse in maggior dettaglio nei capitoli successivi.

•Ripristinare il sito o la struttura originale colpita dal disastro.

•Ripristinare le funzioni aziendali critiche.

•Ripresa dei normali livelli di servizio nei luoghi chiave.

•Testo dei raccoglitori di funghi specifici nei piani C e DR.

•E il ruolo del team di sicurezza nel ripristinare i servizi IT e garantire i controlli di sicurezza.

•I team HR, finanziari e legali possono svolgere un ruolo chiave in alcuni tipi di disastri.

•Garantire che la conoscenza rimanga aggiornata.

•Condurre regolari esercitazioni antincendio o di evacuazione.

•Condurre test ed esercitazioni di routine del piano BC o DR per la formazione trasversale e l'aggiornamento delle conoscenze del personale chiave.

•Revisione regolare dei piani BC e DR

•Revisione formale dopo il completamento del recupero

• Sfruttare le lezioni apprese per ottimizzare piani e processi

•Identificare i punti di forza e di debolezza del piano

•Analizzare l'impatto del comportamento dei dipendenti sul processo di recupero

•Condurre autopsie e analisi delle cause profonde

•Identificare i punti di forza di un piano o di una risposta

•Identificare potenziali opportunità di miglioramento

•Applicare le informazioni raccolte al programma BCDR e ai miglioramenti dei processi

•Il test BCDR più semplice

•Discutere i piani con le varie parti interessate

• Esaminare le informazioni e i processi chiave

•Esercizi pratici in scenari di vita reale

•Operazioni sul campo con attori chiave

•Identificare potenziali problemi e ipotesi

• Simile ad un'esercitazione antincendio

•Risposta a scenari specifici

•Verificare l'obiettivo del tempo di ripristino (RTO) e l'obiettivo del punto di ripristino (RPO)

•Testare contemporaneamente i sistemi attivi e quelli di backup

•Garantire che i sistemi di backup possano sopportare il carico effettivo

•Scoprire errori di configurazione o problemi di backup dei dati

•Simula un vero disastro

•Costi elevati, che potrebbero incidere sulle normali operazioni

•Identificare tutti i problemi nei piani e nei processi BCDR

1. Cambiamenti nei requisiti di sicurezza durante le operazioni di emergenza, fornire suggerimenti per cambiamenti nei requisiti di sicurezza per implementare o gestire misure per far fronte ai nuovi requisiti

2. Guida alle modifiche ai piani BC e DR

3. Progettare scenari di test ed esercitazioni

• Aree pubbliche: strade, marciapiedi, ingressi, parcheggi

• Ingressi e uscite della sede: reception, porta d'ingresso, area di carico e scarico

•Strutture esterne: generatore di riserva, utenze, parcheggi

•Strutture operative: uffici, sale riunioni

•Strutture ad alta sicurezza: data center, caveau, SCIF

•Controlli preventivi: controlli progettati per prevenire il verificarsi di incidenti di sicurezza. Ad esempio, i sistemi di controllo degli accessi, le recinzioni e le serrature possono impedire l'accesso alla struttura a persone non autorizzate.

•Controllo delle minacce: creando potenziali minacce, i potenziali aggressori avranno paura di attaccare, riducendo così la possibilità di incidenti di sicurezza. Ad esempio, le telecamere di sicurezza e i segnali di pericolo possono far sentire i potenziali aggressori come se fossero osservati, riducendo la probabilità di commettere un crimine.

•Controlli di rilevamento: misure di controllo utilizzate per rilevare tempestivamente gli incidenti di sicurezza. Ad esempio, telecamere di sicurezza, sistemi di rilevamento delle intrusioni (IDS) e sensori di movimento possono rilevare intrusioni non autorizzate o comportamenti anomali.

• Controlli compensativi: controlli che forniscono protezione aggiuntiva quando altri controlli non riescono a prevenire o rilevare completamente gli incidenti di sicurezza. Ad esempio, il personale di sicurezza può essere utilizzato per condurre pattuglie temporanee quando i sistemi di controllo degli accessi falliscono.

Controlli di ripristino: controlli che aiutano a ripristinare le normali operazioni dopo un incidente di sicurezza. Ad esempio, i generatori di backup e i piani di ripristino di emergenza possono ripristinare le operazioni delle strutture critiche dopo un incidente.

•Controlli direttivi: controlli che dirigono il comportamento all'interno di un'organizzazione prescrivendo regole e procedure. Ad esempio, la formazione sulla sicurezza, le politiche e le procedure operative possono guidare i dipendenti a seguire pratiche sicure.

•Controlli correttivi: controlli che adottano misure per riparare danni o correggere errori dopo che si è verificato un incidente di sicurezza. Ad esempio, le indagini post-evento, i controlli di sicurezza e le azioni correttive possono aiutare le organizzazioni a risolvere i problemi di sicurezza e impedire che incidenti simili si ripetano.

•Controlli fisici: barriere, recinzioni

•Controllo tecnico: lettore di carte d'identità

•Controlli amministrativi: politiche e procedure

•Utilizzare il paesaggio per garantire la sicurezza fisica

•L'illuminazione svolge un ruolo importante nel scoraggiare i comportamenti criminali

•Considerare la posizione e i materiali delle finestre in base alle esigenze di sicurezza della struttura

In queste strutture in genere i dipendenti sono stazionati permanentemente e sono oggetto di controllo di sicurezza fisica da parte dell'organizzazione. Dobbiamo prestare attenzione alle misure di controllo come la protezione antincendio e il controllo ambientale per garantire la sicurezza del personale e delle attrezzature.

•Rilevazione ed estinzione incendi: predisporre strade per la rilevazione di incendi e fumi e utilizzare spruzzi d'acqua, estintori a gas e altri metodi per ridurre l'impatto del fuoco sul personale e sulle attrezzature.

•Controllo degli accessi: dividere l'accesso a diverse aree all'interno della struttura in base alle autorizzazioni dei dipendenti e utilizzare carte di accesso o serrature per controllare l'accesso.

•Politiche e procedure: formare i dipendenti a seguire procedure di sicurezza come la pulizia dei banchi e le schermate di chiusura e sviluppare l'evacuazione di emergenza e altri aspetti. Materiali: utilizzare materiali da costruzione adeguati, come pareti, porte e finestre, in base ai requisiti di sicurezza per migliorare la sicurezza.

Queste strutture spesso includono sale di archiviazione delle prove, strutture informative compartimentate sicure (SCIF) e sale server o data center perché archiviano risorse sensibili o di alto valore.

•Le strutture ad alta sicurezza devono implementare ulteriori misure di controllo della sicurezza, come l'ispezione delle apparecchiature di ingresso e uscita, il controllo degli accessi fisici multilivello, ecc.

•I data center sono strutture speciali ad alta sicurezza che richiedono competenze specializzate per la progettazione e la manutenzione. Queste strutture richiedono un livello di sicurezza più elevato e spesso comportano un budget di sicurezza più elevato.

•Standard di progettazione di riferimento come le linee guida per il controllo termico dei data center di ASHRAE e le valutazioni di disponibilità delle apparecchiature per data center dell'Uptime Institute.

Quando i dipendenti viaggiano per lavoro, le aziende dovrebbero garantire la loro sicurezza, compresa la fornitura di assicurazioni, copertura medica, ecc. Nelle aree ad alto rischio potrebbe essere necessario fornire misure di sicurezza aggiuntive, come personale di sicurezza o trasporto sicuro. Allo stesso tempo, i dipendenti devono ricevere formazione sulla sicurezza dei dispositivi per proteggere i dati aziendali dalla fuga di dati.

Durante un'emergenza, le aziende devono coordinarsi con le autorità di risposta alle emergenze (come medici, vigili del fuoco, forze dell'ordine, ecc.). Allo stesso tempo, è necessario sviluppare metodi di comunicazione di backup per fornire informazioni critiche quando i normali canali di comunicazione sono bloccati. Le situazioni di emergenza possono inoltre richiedere l'attivazione di piani di continuità operativa e di disaster recovery.

La coercizione avviene quando un dipendente è costretto ad agire in violazione della politica aziendale a causa di minacce.

Per individuare situazioni di coercizione vengono utilizzati codici o parole in codice speciali. Questi codici o parole in codice devono essere nascosti e modificati regolarmente. Inoltre, fornire formazione ai dipendenti ad alto rischio su come utilizzare questi codici e parole in codice.