Gli incidenti di sicurezza gravi sono impossibili da prevenire al cento percento. Ecco perché, di fronte a un security incident, è fondamentale agire rapidamente e bloccare l’attacco. Ma le infrastrutture IT complesse e la carenza di specialisti in IT Security ostacolano la formazione di un Cybersecurity Incident Response Team (CSIRT) interno, indebolendo le difese informatiche.
La chiamata è gratuita. Per l’intervento vengono addebitati un forfait e il rimborso dei costi effettivi. L’offerta è riservata alle imprese svizzere.
La reazione a un cyberattacco andato a buon fine deve innanzitutto mirare a prevenire un’interruzione dell’attività. Nonostante la pressione sui costi e la carenza di personale qualificato, dovete garantire una incident response adeguata. Un’opzione da valutare è quindi il sourcing dei servizi di IT Security.
CSIRT as a Service (CSIRTaaS) è un servizio usufruibile al termine di un processo di onboarding e previa sottoscrizione di un contratto. Con Rapid Response, invece, gli interventi vengono effettuati secondo necessità e non è richiesto un contratto.
CSIRT as a Service e Rapid Response sono il complemento ideale delle attività analitiche di Security Analytics e SOC as a Service.
La reazione a un attacco è strutturata in diverse fasi, sostanzialmente basate sul processo di incident management del NIST:
Informazioni dettagliate in merito sono disponibili nel white paper CSIRT.
Per rispondere efficacemente agli incidenti di sicurezza informatica è necessaria una cooperazione ben orchestrata tra Security Operations Center (SOC) e CSIRT. Mentre il SOC monitora l’infrastruttura e le applicazioni per rilevare immediatamente gli incidenti di sicurezza (Security Monitoring, Security Analytics e Security Alert Handling), il Cybersecurity Incident Response Team (CSIRT) costituisce il gruppo d’intervento rapido, praticamente i pompieri del mondo informatico: gestisce gli incidenti di sicurezza complessi e adotta misure finalizzate alla difesa dalle minacce e alla risoluzione degli eventi di sicurezza. Insieme, i due team consentono di reagire velocemente ai cyberattacchi e contenere i danni.
È opportuno valutare di esternalizzare questo servizio a causa della carenza di personale qualificato e dei compiti complessi e impegnativi di un CSIRT. I fornitori di servizi sono in grado di assicurare h24 una gestione end-to-end degli incidenti di sicurezza. Con i loro specialisti in cybersicurezza forti di una ricca esperienza maturata in un gran numero di incidenti, imprese e settori, i fornitori di servizi possono garantire una reazione efficiente agli incidenti di sicurezza.
La comunicazione dipende dal tipo di incidente e dall’impresa e viene decisa all’inizio di ogni incidente. Se l’infrastruttura del cliente è compromessa, è raccomandabile ricorrere ad apparecchi e account di posta elettronica privati e usare il telefono. In caso contrario, la comunicazione può avvenire via e-mail, su Microsoft Teams o tramite SwissTrustRoom a seconda delle preferenze del cliente.