I fornitori di servizi gestiti e i loro clienti sono diventati obiettivi sempre più popolari per gli attacchi informatici.
I criminali del ransomware, in particolare, hanno individuato gli MSP e i loro clienti come candidati privilegiati per l’estorsione e hanno adattato le loro tattiche per creare scenari da incubo.
Invece di criptare semplicemente i sistemi dell’MSP, gli aggressori utilizzano le credenziali compromesse dei dipendenti dell’MSP per dirottare gli strumenti software dell’MSP e utilizzarli per distribuire il ransomware a tutti i clienti contemporaneamente.
A partire dal 2019, gli aggressori hanno iniziato a ottenere accesso a una lunga serie di MSP e ad abusare di alcuni di software popolari specifici per MSP, tra cui Kaseya VSA, Webroot, Connectwise ScreenConnect e Continuum. Nello stesso anno, gli aggressori hanno ottenuto l’accesso a un piccolo numero di clienti MSP di NinjaOne attraverso metodi che non avevano nulla a che fare con NinjaOne. In ognuno di questi casi, non abbiamo riscontrato alcuna indicazione di una violazione di NinjaOne. Le prove suggeriscono invece che gli MSP siano stati compromessi attraverso altri canali e che gli aggressori hanno poi utilizzato le credenziali degli MSP per condurre azioni non autorizzate con i loro strumenti.
Come risultato e grazie alla comunità degli MSP, questi incidenti hanno spinto l’intero canale ad adottare protocolli di sicurezza informatica MSP più severi. In particolare, l’adozione dell’autenticazione a due fattori ha avuto un impatto notevole sulla riduzione degli attacchi andati a buon fine (durante il nostro recente 2020 MSP Security Summit, Bill Siegel, CEO di Coveware, ha dichiarato che la sua azienda non ha ancora risposto a un incidente in un contesto in cui l’autenticazione a due fattori fosse stata attivata in modo generale).
Tuttavia, nonostante i progressi compiuti, l’urgenza è ancora molto sentita. Il successo iniziale del dirottamento degli account degli MSP ha incoraggiato gli aggressori a continuare a concentrarsi sulla compromissione delle reti degli MSP. Se sei un MSP, purtroppo devi partire dal presupposto che è solo questione di tempo prima che tentativi di attacco simili vengano indirizzati verso di te, quindi è meglio acquisire una conoscenza pratica di intelligence sulle minacce informatiche e delle best practice di cybersecurity elencate di seguito.
Cosa fare ora (se non l’hai già fatto)
È fondamentale che gli MSP abilitare la 2FA al più presto, su qualsiasi software in uso, oltre che sulla posta elettronica. Ma non dovresti fermarti qui. Abbiamo creato la seguente lista di controllo per fornire agli MSP un elenco di cose specifiche che possono fare per ridurre la loro superficie di attacco e migliorare la loro capacità di prevenire, rilevare e rispondere agli attacchi.
L’obiettivo non è quello di caricarti eccessivamente suggerendoti di mettere in pratica tutte queste raccomandazioni in una volta sola. Al contrario, vogliamo semplicemente fornirti un elenco a cui fare riferimento e da cui partire gradualmente in base al tempo e alle priorità. Dopotutto, il miglioramento della sicurezza non è un’attività che si fa una volta sola, ma un processo continuo. Ricordati che i miglioramenti che puoi apportare ora saranno molto meno dispendiosi in termini di tempo e denaro rispetto alla gestione di un attacco attivo, quindi non rimandare l’inizio di questo percorso.
Vuoi una copia in PDF della lista di controllo a cui fare riferimento in seguito? Scaricala qui.
Nota: Queste raccomandazioni non sono ovviamente esaustive. A seconda delle tue caratteristiche specifiche (dimensioni, infrastruttura, ecc.), alcune potrebbero non essere adatte alla tua azienda. La sicurezza non è un concetto che può avere la stessa forma per tutti, e ciò che è fondamentale per alcuni può essere eccessivo per altri. Procedi in modo pratico, adottando un approccio a più livelli e ricorda che, quando si implementano nuovi controlli, è sempre bene testarli prima per evitare interruzioni indesiderate.
Cosa comprende questa lista di controllo
- Limitare l’accesso alla rete
- Proteggere gli utenti e gli endpoint
- Essere pronto a rilevare e rispondere rapidamente agli incidenti di sicurezza
Limitare l’accesso alla rete
“La terra non è piatta e nemmeno la vostra rete dovrebbe esserlo.”
– Catherine Pitt, vicepresidente responsabile della sicurezza delle informazioni di Pearson
Molti degli attacchi odierni, come le APT, sono progettati per raggiungere le reti delle vittime per poi espandersi. Per evitare che ciò accada, devi creare delle barriere tra gli utenti e le risorse.
- Organizza un inventario sempre aggiornato di tutte le risorse di rete e classificale in base al rischio
Ecco una guida per iniziare. - Utilizza password forti e uniche
Devono essere sensibili alle maiuscole e alle minuscole e composte da lettere, numeri e simboli. Non dovrebbero essere condivise o riutilizzate. Da un punto di vista pratico, ciò significa che lo strumento giusto per la gestione delle password è indispensabile (no, non un foglio di calcolo). Esistono numerose opzioni che consentono di memorizzare in modo sicuro le password, gestire le autorizzazioni, verificare l’utilizzo e monitorare le sessioni. Risolvono anche il problema di cosa fare quando un tecnico deve essere licenziato o se ne va all’improvviso. - Questo include l’uso di password di amministrazione locali uniche
La soluzione di Microsoft per la password dell’amministratore locale (LAPS) può aiutare a gestire questa situazione. - Non salvare le credenziali nei browser
È incredibilmente comune per gli aggressori/malware cercare i dati nelle cache dei browser. - ATTIVA L’AUTENTICAZIONE A PIÙ FATTORI APPENA POSSIBILE
Questo aspetto è particolarmente importante per prevenire l’attuale ondata di attacchi ransomware che stanno dirottando gli strumenti software degli MSP. Esiste un’ampia gamma di strumenti 2FA/MFA da prendere in considerazione. - Evita di utilizzare nomi utente predefiniti
Niente “admin”, “amministratore”, “default”, “root”, “utente”, ecc. - Elimina l’uso non necessario di privilegi elevati
Imposta tutto secondo il principio del minimo privilegio. Esempio: I tecnici dovrebbero utilizzare un account standard, non amministratore, per impostazione predefinita, e un account amministratore separato solo se necessario, idealmente da una workstation con accesso privilegiato. - Crea dei buffer tra diversi livelli di accesso privilegiato
Microsoft consiglia di adottare un modello a livelli composto da tre livelli di account amministratore che controllano ciascuno una diversa categoria di risorse (domini, server e workstation). - Applica il “minimo privilegio” agli account di servizio
La creazione di account di servizio per applicazioni specifiche può aiutare a isolare i danni in caso di compromissione di un singolo account, ma solo a patto di evitare gli errori più comuni. Disattiva i servizi non necessari e prendi in considerazione l’utilizzo degli account Group Managed Service (gMSA) per rendere la gestione degli account dei servizi più semplice e sicura. - Rimuovi gli utenti finali dal gruppo di amministrazione locale
Un altro dei controlli di sicurezza più basilari, che in realtà viene spesso trascurato o ignorato. Ecco una semplice spiegazione su come rimuovere gli amministratori locali utilizzando una GPO insieme a consigli su come affrontare eventuali idee sbagliate in merito alla questione o reazioni contrarie da parte degli esecutivi e di altri utenti. - Effettua audit di sistema per trovare gli account utente inattivi
Si stima che un terzo degli account utente sia inattivo ma ancora abilitato. Tutti questi punti di accesso non presidiati rappresentano un grosso rischio per la sicurezza. Effettua controlli regolari e attua un criterio chiaro per la disabilitazione e l’eliminazione degli account quando gli utenti lasciano l’azienda. - Blocca i movimenti laterali tra le workstation
Un numero crescente di attacchi odierni non si limita a infettare singole workstation. Oggi molti attacchi sono progettati per raggiungere un sistema ed espandersi. Utilizzando Active Directory, Criteri di gruppo e Windows Firewall puoi impedire la comunicazione da workstation a workstation, consentendo comunque l’accesso dalla workstation con accesso privilegiato.
Blocca gli strumenti di gestione remota
Non solo le funzionalità di accesso remoto sono fondamentali per l’azienda, ma sono le cose di cui, più di quasi ogni altra, un aggressore vorrebbe prendere il controllo.
- Limita l’accesso agli strumenti di gestione remota
Limita la loro disponibilità solo alle persone che ne hanno assoluto bisogno per lavorare. - Utilizza password forti e uniche e l’autenticazione a più fattori
- Limita l’accesso degli account remoti
Applica sempre il modello del minimo privilegio soprattutto quando lavori con clienti in settori verticali regolamentati o che trattano PII o altre informazioni sensibili. Potresti trovarti a dover dimostrare che i tuoi tecnici non hanno mai avuto la possibilità di accedere a tali informazioni. - Non accedere alle workstation con account di amministratore di dominio
In questo modo si rischia che gli aggressori ottengano le credenziali DA in caso di compromissione di una delle workstation. Gli account degli amministratori di dominio dovrebbero essere pochi e molto distanti tra loro e utilizzati esclusivamente per accedere ai controller di dominio (non alle workstation). - Mantieni aggiornato il software di gestione remota
Applica regolarmente gli aggiornamenti e tieni d’occhio in particolare le patch che risolvono le vulnerabilità che potrebbero permettere agli aggressori di eseguire codice remoto o di accedere senza esserne autorizzati. - Abilita il logging/monitoraggio centralizzato e gli avvisi per le sessioni di accesso remoto
La cattura delle informazioni sulle sessioni e sulle attività di accesso remoto ti consentirà di condurre audit, individuare anomalie, indagare e rispondere a qualsiasi attività sospetta.
Desktop remoto sicuro (RDP)
La protezione di RDP può essere l’ABC della sicurezza, ma la sua mancanza continua a essere una delle principali cause di compromissione. Una rapida scansione di Shodan mostra milioni di sistemi che attualmente espongono RDP. Sono indubbiamente vulnerabili ad attacchi brute-force. Una volta violato, l’accesso agli account compromessi può essere acquistato per una manciata di dollari sui mercati del dark web.
La compromissione tramite RDP è stata il vettore di attacco principale per numerose varianti di ransomware, tra cui CrySiS/Dharma, Shade e SamSam, il ransomware utilizzato per infettare Allscripts, numerosi ospedali e la città di Atlanta.
- Non esporre RDP (o qualsiasi altra risorsa interna) a Internet se non strettamente necessario
Anche in questo caso, chiediti se non ci sia un modo migliore per fare ciò che ti serve. - Utilizza i port scanner per identificare RDP (e altre porte e servizi) esposti a Internet
Utilizza strumenti di scansione come Nmap, masscan o Shodan. I malintenzionati lo stanno già facendo, quindi prenditi qualche minuto per osservare la tua rete attraverso i loro occhi. Un altro strumento che ti potrà essere utile nella scansione di base delle porte è ShieldsUP. - Identifica i sistemi compromessi con le backdoor RDP
Uno dei modi più comuni con cui viene creata una backdoor è quello di abusare della funzione “Sticky Keys” di Windows. Sono disponibili due diversi strumenti di scansione per identificare i server RDP backdoored qui o qui. - Disattiva RDP sulle macchine che non ne hanno bisogno
In questo modo si riduce il rischio che gli aggressori sfruttino un computer compromesso per accedere ad altri sulla rete. - Rimuovi l’accesso dell’account amministratore locale a RDP
Tutti gli amministratori sono in grado di accedere a Remote Desktop per impostazione predefinita. - Utilizza password forti e uniche e l’autenticazione a più fattori
L’MFA è una buona idea a prescindere, ma se devi assolutamente avere RDP esposto, è obbligatoria. - Implementa un criterio di blocco degli account
Il numero di tentativi falliti necessari per attivare un blocco è a discrezione dell’utente, ma come linea di base generale, Microsoft raccomanda un blocco di 15 minuti dopo 10 tentativi errati. - Disconnetti le sessioni scollegate e inattive
Questo potrebbe non piacere a tutti, ma è un modo importante per impedire che le sessioni vengano dirottate. - Limita l’accesso a RDP utilizzando firewall, gateway RD e/o VPN
Utilizzando un firewall puoi limitare l’accesso a RDP agli indirizzi IP inseriti nella whitelist. I gateway RD sono più completi. Consentono di limitare non solo chi ha accesso, ma anche a cosa ha accesso, senza dover configurare connessioni VPN. Maggiori informazioni sui gateway RD qui - Lascia abilitata l’autenticazione a livello di rete (NLA)
L’NLA fornisce un ulteriore livello di autenticazione prima di stabilire una connessione remota. Puoi scoprire di più su come controllare le impostazioni dei Criteri di gruppo per verificare che l’NLA sia abilitato qui. - Modifica la porta di ascolto predefinita (TCP 3389)
Questo non nasconderà RDP dagli aggressori più determinati, ma alzerà il livello di protezione e ti aiuterà a proteggerti dagli attacchi automatici e da quelli poco convinti. Microsoft spiega come effettuare la modifica qui.
Risorse aggiuntive:
- Protezione del desktop remoto (RDP) per gli amministratori di sistema
- Avvisi FBI/DHS: I malintenzionati sfruttano sempre più spesso il protocollo di desktop remoto per condurre attività dannose
- Le organizzazioni lasciano aperte backdoor che permettono attacchi semplici al protocollo desktop remoto
Proteggi gli utenti e gli endpoint
“Mostrami un’e-mail dannosa e ti mostrerò qualcuno che ci cliccherà.”
— Antico proverbio sulla sicurezza informatica
La maggior parte degli attacchi prende di mira la parte più vulnerabile della rete: gli utenti. Ecco le best practice per proteggere i loro dispositivi e proteggere gli utenti da se stessi.
- Utilizza un software per la sicurezza degli endpoint che usi il machine learning e/o l’analisi comportamentale
Al giorno d’oggi, pochi AV si basano esclusivamente sulla corrispondenza delle firme. La maggior parte dei fornitori di AV ha incorporato gli algoritmi di rilevamento del machine learning nella propria offerta generale o come linea di prodotti aggiuntiva (e più costosa)(fai riferimento alla nostra guida sugli strumenti EDR e NGAV qui). Queste soluzioni sono nettamente migliori nel bloccare un malware nuovo o polimorfico, ma lo svantaggio è che possono generare un numero considerevole di falsi positivi. Inoltre, spesso non vedono gli attacchi che abusano di strumenti di sistema legittimi o che utilizzano altre tecniche “senza file”: un altro motivo per cui la sicurezza è tutta una questione di livelli. - Mantieni aggiornati i sistemi e il software degli endpoint
Spesso è più facile a dirsi che a farsi, considerando che nel 2018 sono state pubblicate più di 15.500 CVE. Può già essere complicato stare dietro agli aggiornamenti di Windows da soli, per non parlare delle applicazioni di terze parti. Assicurati di automatizzare il più possibile il patch management attraverso il tuo RMM e di poterti fidare che effettivamente applichi le patch con successo. Esegui regolari audit delle patch per identificare i computer che potrebbero essere vulnerabili. Il 57% delle violazioni dei dati è attribuito a un patch management carente.
- Sviluppa una procedura operativa standard per l’audit dei criteri del firewall
Assicurati di proteggere il tuo perimetro massimizzando le capacità di ispezione e filtraggio del firewall. - Utilizza il filtro DNS per proteggerti dai siti web noti come dannosi
Le soluzioni di filtraggio DNS possono fornire protezione agli utenti anche quando sono fuori dalla rete. - Rafforzare la sicurezza delle e-mail
Dato che il 92% delle minacce informatiche viene consegnato tramite e-mail, un buon filtro antispam è ovviamente indispensabile. Purtroppo non è solo il malware di cui ti dovresti preoccupare. Per prevenire gli attacchi di phishing e di compromissione della posta elettronica aziendale (BEC), è buona norma impostare DMARC, SPF e DKIM per proteggere il tuo dominio dallo spoofing. Ecco una guida alla configurazione e uno strumento gratuito di monitoraggio e reporting DMARC che può essere d’aiuto. - Offri una formazione di sensibilizzazione sulla sicurezza per insegnare ai dipendenti come individuare le e-mail e i siti web dannosi
Gli utenti si comportano come ci si aspetta che facciano. Cliccheranno su cose su cui non dovrebbero cliccare, ma se non riceveranno una formazione non potrai prendertela con loro. Soprattutto perché le e-mail dannose continuano a diventare sempre più convincenti. Inizia con l’informarli sui classici segnali di allarme mostrando loro esempi reali e condividendo le best practice di base come per esempio passare il mouse sui link. Poi prendi in considerazione la possibiità di passare a simulazioni di phishing e a una formazione più formale - Utilizza una soluzione di backup affidabile e testa effettivamente il ripristino dei backup su scala
La presenza di più punti di ripristino e di una replica offsite è fondamentale, così come l’esecuzione di test regolari per verificare che i backup siano configurati e funzionino correttamente. Ricorda il backup di Shrodinger: “Le condizioni di un backup sono sconosciute fino a quando non si tenta di ripristinarlo.”
Hardening del sistema Windows
Molti degli attacchi odierni cercano di abusare di strumenti e funzionalità integrate. Questa tattica di “usare quello che offre l’ambiente” li aiuta ad aggirare le difese e a eludere il rilevamento, confondendosi con le attività legittime degli amministratori. Ecco le misure che puoi adottare per ridurre i rischi:
- Proteggiti contro il dumping delle credenziali
Per i computer Windows 10 e Server 2016, prendi in considerazione l’attivazione di Credential Guard. Puoi anche limitare o disabilitare le credenziali di accesso che Windows salverà nella cache (il numero predefinito è 10). Ecco le istruzioni per disabilitare la cache delle credenziali sui sistemi più vecchi. - Disabilita o limita PowerShell
Gli aggressori abusano di PowerShell per un’ampia gamma di attività, dal download ed esecuzione di malware alla creazione di persistenza, al movimento laterale e altro ancora (il tutto evitando il rilevamento AV). Inoltre, è abilitato per impostazione predefinita. Se non è necessario che PowerShell sia presente sul computer di un utente, eliminalo. Se non è possibile farlo, assicurati che sia la versione più recente, disabilita il motore PowerShell v2 e utilizza una combinazione di AppLocker e Constrained Language Mode per ridurre le sue capacità (ecco come). - Limita il lancio di file di script
PowerShell non è l’unico linguaggio di scripting e framework di cui gli aggressori amano abusare. Prima di Windows 10, Microsoft consigliava di apportare modifiche al registro di sistema in modo che venisse emesso un avviso prima di consentire l’esecuzione di file .VBS, .JS, .WSF e altri file di script. I sistemi Windows 10 possono utilizzare AppLocker per bloccare i file di script con un controllo più granulare. - Utilizza AppLocker per limitare le applicazioni
Il whitelisting non è adatto a tutti ; può essere impegnativo per alcuni team da gestire e mantenere ma negli ambienti in cui è fattibile può essere un livello di sicurezza molto efficace, poiché limita le applicazioni che possono essere eseguite con certe condizioni. Puoi trovare i consigli per iniziare a usarlo qui. - Blocca o limita i binari “Living-off-the-Land” (LOLbins)
Per aggirare le soluzioni AV e di whitelisting come AppLocker, gli aggressori abusano sempre più spesso di strumenti nativi di Windows. I programmi integrati come certutil, mshta e regsvr32 devono essere bloccati o bisogna impedire loro di effettuare richieste in uscita utilizzando le regole del firewall di Windows. Lo stesso vale per gli strumenti legittimi di trasferimento dei dati bitsadmin e curl. Trovi un elenco più completo di “LOLbins” qui. - Utilizza Windows Firewall per isolare gli endpoint
Oltre a bloccare le richieste in uscita dei LOLbin sopra elencati, puoi utilizzare il firewall di Windows per bloccare alcuni dei percorsi più comunemente utilizzati per l’accesso remoto e il movimento laterale (come l’accesso alle condivisioni di file tramite SMB). Ecco un’ottima guida. - Limita o monitora la strumentazione di gestione di Windows (WMI)
WMI si colloca ai vertici di PowerShell in termini di utilità, il che significa che dovresti anche monitorare il potenziale uso non autorizzato di WMI. Per tutti i casi in cui il WMI remoto non è necessario, prendi in considerazione la possibilità di impostare una porta fissa e di bloccarla. - Utilizza i livelli più alti di controllo dell’account utente (UAC) quando possibile
UAC può costituire un ostacolo significativo per gli attacchi che tentano di elevare i privilegi. Prendi in considerazione la possibilità di regolare le impostazioni dei criteri di Windows 10 per negare automaticamente i tentativi di elevazione per gli utenti standard e richiedere il consenso sul desktop sicuro per gli amministratori (una guida alle impostazioni dei criteri di gruppo UAC per le versioni precedenti di Windows è disponibile qui). Inoltre, si consiglia caldamente di abilitare la modalità di approvazione dell’amministratore per l’account di amministrazione integrato. Oltre a ridurre i rischi dei tentativi di escalation dei privilegi, questo farà sì che qualsiasi tentativo di utilizzo non autorizzato di PsExec (uno strumento di amministrazione legittimo della suite Sysinternals di Microsoft) fallisca. Potresti essere interessato anche a Come configurare le impostazioni UAC per Windows (script PowerShell).
Risorse aggiuntive:
- Il crescente utilizzo di PowerShell negli attacchi
- Isolamento degli endpoint con il firewall di Windows
- Binari “Living off the land” e script (e anche librerie)
Protezione di Microsoft Office
I documenti Office dannosi continuano a essere uno dei veicoli di distribuzione più popolari e di successo per le minacce informatiche. La chiave per ridurre i rischi di questa minaccia è disabilitare o limitare le seguenti funzioni.
- Disattiva o limita le macro
Nascondere macro dannose all’interno dei documenti di Office è uno dei trucchi più vecchi del moderno manuale degli aggressori e continua a essere popolare e di successo. Se le macro non sono utilizzate nella tua organizzazione, prendi in considerazione l’uso delle impostazioni dei Criteri di gruppo per disattivarle senza notifica e disabilitare del tutto VBA per le applicazioni di Office. Se è necessario eseguire le macro in determinate condizioni, limitane l’uso consentendo solo le macro firmate e bloccando le macro nei documenti di Office scaricati da Internet — guida (Office 2016); File dei modelli amministrativi dei Criteri di gruppo (ADMX/ADML) - Disabilita o limita l’inserimento di link e l’embedding di oggetti (OLE)
Guida per bloccare l’attivazione dei pacchetti OLE tramite modifiche al registro; guida per bloccare l’attivazione di componenti OLE/COM in Office 365 tramite modifica del registro; guida per disabilitare le connessioni ai dati e l’aggiornamento automatico dei collegamenti alle cartelle di lavoro tramite il Trust Center. - Disattiva lo scambio dinamico di dati (DDE)
Guida per disabilitare la ricerca/lancio di Dynamic Data Exchange Server tramite modifiche al registro di sistema; guida per la disabilitazione tramite il Trust Center
Tieniti pronto a rilevare e rispondere rapidamente agli incidenti di sicurezza
“I tempi di inattività e le interruzioni causate da un incidente ransomware durano in media 7,3 giorni.”
— Coveware
Non basta lavorare per prevenire gli attacchi. Devi anche disporre delle capacità e dei criteri giusti per identificare, contenere, indagare e rimediare rapidamente alle compromissioni.
Nota: Ci sono cose di base che si possono fare, ma nella parte avanzata spesso si tratta di utilizzare strumenti complessi, di esaminare i log di fornire funzionalità di monitoraggio/risposta 24 ore su 24, 7 giorni su 7. A seconda delle competenze, della larghezza di banda e dei requisiti, potresti ritenere necessario valutare l’outsourcing.
Monitoraggio
- Stabilisci parametri di base delle prestazioni di rete per identificare le anomalie
- Utilizza il tuo RMM e/o un SIEM per configurare un monitoraggio centralizzato e in tempo reale della rete e degli endpoint
- Sfrutta le configurazioni di avviso già pronte e crea modelli per i casi d’uso standard (workstation, server, ecc.)
- Sviluppa procedure operative standard per affrontare le segnalazioni più critiche e più comuni
- Riduci il rumore eliminando gli avvisi che non sono gravi e non sono utili per agire
- Prendi in considerazione il monitoraggio dei principali ID evento di Windows: inizia con gli elenchi qui e qui
- Valuta l’utilizzo di una soluzione di rilevamento e risposta degli endpoint(EDR )
- Abilita e configura i giusti registri di sistema per aiutare nelle attività di digital forensics e di incident response (DFIR), proprie o in outsourcing; fai riferimento a queste schede informative per Windows
- Archivia i registri in una posizione centrale e isolata
- Determina se è necessario esternalizzare la gestione di tutti o di alcuni di questi elementi a un fornitore di rilevamento e risposta gestiti (MDR)
Crea un piano di risposta agli incidenti
Quando si verifica un incidente di sicurezza, devi essere in grado di agire rapidamente sotto pressione. Per questo sono necessarie linee guida chiare e una pianificazione efficace.
- Definisci cosa costituisce un incidente di sicurezza
- Stabilisci ruoli, responsabilità e procedure per rispondere agli incidenti, compreso un piano di disaster recovery
- Identifica le opzioni di escalation nel caso in cui l’incidente richieda una risposta e un recupero più estesi/approfonditi di quelli che puoi fornire
- Prepara un piano per comunicare internamente, con i clienti, le autorità e il pubblico (se necessario); meglio ancora, prepara dei modelli da avere sempre portata di mano
- Comprendi i requisiti di conformità relativi alla divulgazione e alla segnalazione degli incidenti: Regola di notifica delle violazioni HIPAA; FAQ sulle notifiche di violazione dei dati GDPR
- Esegui esercitazioni antincendio
- Risorsa aggiuntiva: Gestione degli incidenti: Primi passi, piani di preparazione e modelli di processo da ERNW
Considerazioni finali: Non c’è bisogno di attraversare l’oceano in un giorno
A seconda di quanto hai già investito in sicurezza, questo elenco può sembrare eccessivamente lungo. Se questo è il caso, ricordati che la sicurezza non è una cosa che si può ottenere al 100%. Le situazioni cambiano sempre e l’obiettivo non è diventare magicamente a prova di tutto, ma semplicemente assicurarsi di fare costantemente piccoli passi avanti.
Concentrati sul fare poche cose alla volta tra quello che trovi in questo elenco. O anche solo una cosa. Una volta finito, fanne un’altra. Punta a un progresso incrementale. Tutto ciò che fai può avere un impatto. Se stai riducendo il rischio o alzando il livello di guardia per gli aggressori, anche solo leggermente, allora stai facendo il tuo lavoro.
Vuoi ricevere una copia in PDF della lista di controllo via e-mail? Scaricala qui.