In questo articolo parleremo della Gestione degli Incidenti, adempimento previsto dalla normativa europea ed in particolare dalla Direttiva NIS 2.
Nelle puntate precedenti abbiamo individuato i soggetti destinatari della Direttiva: la normativa europea identifica direttamente le medie e grandi imprese dei settori critici individuati dagli allegati I e II della Direttiva NIS 2.
A supporto delle imprese che necessitano di avviare le procedure di adeguamento normativo, abbiamo redatto una comoda checklist per comprendere quali attività pianificare nei prossimi mesi al fine di rispettare le scadenze e le disposizioni in materia di cybersicurezza.
Nei post precedenti (Direttiva NIS 2: indicazioni operative – Parte I) è stata avviata l’analisi di cosa devono fare i soggetti destinatari delle disposizioni normative per adempiere agli obblighi di legge.
Abbiamo avviato l’analisi approfondita dei passaggi necessari per attuare l’analisi dei rischi.
Adesso è tempo di entrare nel merito della gestione degli incidenti.
Direttiva NIS 2: l’articolo 21
Il punto di partenza è sempre l’articolo 21 della Direttiva 2555/2022 (NIS 2):
- Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:
a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b) gestione degli incidenti;
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Soffermiamo la nostra attenzione sul punto b) gestione degli incidenti. Vediamo di cosa si tratta.
La gestione degli incidenti per la NIS 2: da dove si parte ?
La presa in carico degli eventi di sicurezza informatica riguarda un aspetto fondamentale per il corretto e completo adempimento dei soggetti NIS 2.
L’analisi dei rischi, le valutazioni preliminari, le indicazioni proattive e le politiche di attuazione riguardano interventi stabiliti “a freddo” durante lo studio dei possibili momenti di criticità.
La gestione degli incidenti si sofferma sulle fasi “calde” degli episodi di sicurezza, in presenza di rischi potenziali o attuali che richiedono il dispiegamento delle contromisure pianificate nei momenti di analisi.
L’eterogeneità dei rischi, attuali e potenziali, implica un dedalo di minacce, sospette o reali, dal quale è fondamentale ridurre il rumore per concentrare l’attenzione iniziale sui pericoli effettivi.
Il primo passo è, pertanto, identificare gli eventi degni di attenzione che la Direttiva identifica come segue:
“Un incidente è considerato significativo se:
a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.”
Il discrimine è dunque legato alla perturbazione, quindi agli effetti dell’evento sui soggetti interessati e sui servizi erogati.
Quali sono gli adempimenti normativi ?
In termini procedurali, in presenza di incidenti, la normativa prevede che i soggetti destinatari debbano presentare una notifica di preallarme seguita dalla comunicazione dell’incidente allo scopo di condividere le informazioni presso centri di raccolta e unità di gestione all’uopo preposte. Le indicazioni temporali richiedono che tale azione avvenga senza indebito ritardo, e comunque entro 24 ore.
Successivamente, i soggetti interessati devono presentare una notifica dell’incidente senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, allo scopo, in particolare, di aggiornare le informazioni trasmesse nel preallarme e di indicare una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione.
Infine, una relazione finale contenente la valutazione complessiva dell’evento insieme a quanto appreso ed alle contromisure implementate per il futuro è da presentarsi entro un mese dalla notifica dell’incidente.
In presenza di minacce, i soggetti sono – ovviamente – tenuti in maniera gratuita, semplice e comprensibile, a notificare i destinatari dei loro servizi circa l’esposizione di dati e funzionalità, nonché le azioni correttive da adottare in presenza di rischi concreti.
Quali sono i vantaggi di una buona Gestione degli Incidenti ?
Diventa, pertanto, fondamentale dotarsi di processi e strumenti in grado di supportare la Gestione degli Incidenti.
Ci permettiamo di suggerire un prezioso software open-source (DFIR-Iris) che agisce come Incident Response Platform e funge da collettore di eventi potenzialmente dannosi.
La soluzione è facilmente integrabile con le infrastrutture ampiamente diffuse per la protezione dei sistemi informativi (es: Wazuh, Zabbix, …). In DFIR-Iris, tramite gli Alerts, è possibile registrare gli eventi degni di attenzione rilevati dalle piattaforme di monitoraggio.
In presenza di elementi potenzialmente dannosi, l’Alert diventa un Case per la gestione collaborativa a cura del team incaricato.
Il Case può essere assegnato a gruppi di operatori, associare gli asset coinvolti e rilevare gli Indicatori di Compromissione (IoC).
Il Case diventa, inoltre, lo strumento principe per rispettare gli adempimenti di notifica degli incidenti verso ACN e le istituzioni coinvolte.
Partiamo con il piano di Gestione degli Incidenti: cosa deve fare la Governance ?
I ruoli apicali delle imprese destinatarie della Direttiva NIS 2 devono urgentemente:
- Nominare ruoli e figure coinvolte nei processi di gestione degli incidenti (primo fra tutti il Punto di Contatto ed il team incaricato di gestire la sicurezza informatica, il SOC appunto)
- Pianificare l’implementazione di soluzioni software in grado di monitorare e proteggere le reti ed i sistemi informativi nonché consentire la gestione degli incidenti con i relativi adempimenti legati alla notifica
- Adottare Misure di Prevenzione e Politiche di sicurezza
La Gestione degli Incidenti: indicazioni tecniche
Nel pieno rispetto degli obblighi di notifica, finalizzati principalmente al contenimento delle minacce, il cuore della fase di gestione degli incidenti si concentra nell’affrontare la minaccia.
Senza addentrarsi nei dettagli tecnici che caratterizzano ogni evento di sicurezza, è bene dotare la propria Impresa di procedure per il rapido coinvolgimento delle figure interessate (il team SOC – Security Operations Center) e di adeguati strumenti in soccorso degli operatori quali soluzioni di monitoraggio integrate (SIEM – Security Information and Event Management, Platform monitoring, Intrusion Detection and Prevention System) e di gestione collaborativa degli incidenti (IRP – Incident Response Platform).
Segue una breve overview delle categorie di software rilevanti per tali scopi.
Security Information and Event Management (SIEM)
Le piattaforme di Security Information and Event Management (SIEM), nate originariamente come strumenti di gestione dei log, combinano la raccolta delle informazioni di sicurezza (SIM) e la gestione degli eventi di sicurezza (SEM) per consentire il monitoraggio e l’analisi in tempo reale, nonché il tracciamento e la registrazione dei dati a fini di conformità o controllo.
Platform monitoring
Gli strumenti di Platform monitoring sono incaricati del monitoraggio di reti e sistemi informatici, utili per tracciare lo stato di server e servizi di rete correlati. Attraverso differenti canali di ispezione, essi consentono di verificare le funzionalità dei sistemi applicativi e dei dispositivi installati, centralizzando le elaborazioni e segnalando opportunamente il raggiungimento di determinate soglie di allarme durante la valutazione di parametri prestazionali opportunamente specificati.
Intrusion Detection System (IDS) – Intrusion Prevention System (IPS)
Gli Intrusion Detection System (IDS) / Intrusion Prevention System (IPS) sono tecnologie di sicurezza avanzate, applicabili sia sui dispositivi di confine della rete che all’interno dei data center di una organizzazione, che consentono di fermare gli aggressori tramite la raccolta di informazioni sul traffico di dati veicolato dai dispositivi. Essi agiscono controllando il flusso delle informazioni che transitano in una rete, ispezionandone il contenuto, e, sulla base di euristiche, determinando i rischi potenziali.
In particolare, l’Intrusion Detection System è definito letteralmente come un “Sistema di Rilevazione delle Intrusioni” grazie al quale è possibile identificare gli accessi non consentiti alla rete di una organizzazione e monitorare la sicurezza della relativa infrastruttura informatica.
L’Intrusion Prevention System è, invece, definito come un “Sistema di Prevenzione delle Intrusioni” incaricato, quindi, di portare la soglia di protezione garantita da un classico Intrusion Detection System a un livello superiore consentendo anche eventuali azioni proattive e difensive in risposta a potenziali minacce cibernetiche.
Security orchestration, automation and response (SOAR)
Il SOAR è la soluzione software che consente di integrare e coordinare strumenti di sicurezza separati, automatizzare le attività ripetitive e semplificare i workflow di risposta agli incidenti e alle minacce.
Le piattaforme SOAR forniscono una console centrale in cui si possono integrare tutti gli strumenti di difesa e comporli in workflow ottimizzati per gestire le minacce e automatizzare le attività ripetitive di basso livello all’interno di tali processi.
Incident Response Platform (IRP)
Il compito dell’Incident Response Platform (IRP) è quello di fornire uno strumento efficace al management – ad esempio team preposti alla gestione degli incidenti informatici (SOC), amministratori di reti e sistemi informativi, responsabili della sicurezza – per la gestione e mitigazione degli eventi di sicurezza informatici, in grado di garantire la continuità operativa di un’azienda e di fungere da mezzo di difesa oltre che da strumento utile alle fasi investigative.
Tali soluzioni applicative, spesso integrate con i sistemi di rilevazione degli eventi di sicurezza, supportano le figure incaricate nella gestione collaborativa delle fasi di analisi e investigazione delle potenziali minacce. Ciascun potenziale incidente è registrato, spesso in automatico dagli strumenti deputati al monitoraggio dei dispositivi di rete e dei sistemi informativi, al fine di raccogliere in maniera centralizzata tutte le informazioni utili alla fase di indagine.
Contrastare gli incidenti informatici: il SOC Exasys
Exasys ha realizzato un’innovativa architettura di Security Operations Center (SOC) che consente il monitoraggio, la protezione e la gestione degli incidenti in piena aderenza con i dettami della normativa.
Il monitoraggio del corretto funzionamento dell’infrastruttura applicativa e dei dispositivi di rete sono affidati alla soluzione Zabbix, leader nel settore del Platform Monitoring.
La compliance dei sistemi informativi è curata da Wazuh, il Security Information and Event Management di classe Enterprise per il monitoraggio e l’analisi in tempo reale delle minacce.
La rilevazione delle intrusioni di rete è affidata a Suricata che agisce sia come Intrusion Detection System che in qualità di Intrusion Prevention System.
Ovviamente tutti i moduli sono integrati in cooperazione applicativa con la centrale incaricata della gestione degli eventi, DFIR-Iris, l’Incident Response Platform che ha il compito di gestire le potenziali minacce e gli eventi di sicurezza.
Misure di prevenzione e politiche di sicurezza
E’ giunto, infine, il momento della predisposizione delle misure di prevenzione e protezione, ovvero la pianificazione di un piano di Incident Response per gestire gli eventuali incidenti informatici e dell’implementazione delle misure di prevenzione e protezione individuate, cioè la predisposizione di un piano di continuità di business e gestione della crisi.
E’ bene non dimenticare che l’intera procedura deve sempre essere accompagnata da una adeguata fase di elaborazione di politiche di sicurezza informatica all’interno di un’organizzazione. Questo può includere la definizione di regole e linee guida per proteggere l’infrastruttura IT, gestire l’accesso ai dati sensibili e rispondere alle minacce informatiche.
A titolo di esempio, segue un breve elenco di politiche, procedure e regolamenti facenti parte del perimetro considerato:
- Politica di classificazione della riservatezza delle informazioni
- Politica per la sicurezza delle informazioni
- Politica per il controllo degli accessi e delle password
- Politica per la gestione degli incidenti
- Politica per la gestione dei dispositivi mobili
- Politica per la gestione degli aspetti di sicurezza nel rapporto con le terze parti
- Politica per la gestione degli asset (incluso il registro degli asset)
- Regolamento per l’uso delle risorse informatiche
- Politica per la gestione dei log
- Politica per la gestione dei backup
Standard e framework utili
A supporto dei processi di contenimento intervengono, inoltre, numerosi standard e linee guida internazionali da considerare in questa delicata fase.
Citiamo fra tutti:
- i CIS Controls
- il NIST Framework
- i Trust Services Criteria (TSC)
- il framework MITRE Att&ck
- lo standard ISO 27001
Pronto per partire ?
La tua organizzazione è pronta ? Continua a seguirci perché nei prossimi articoli continueremo ad approfondire l’argomento ed entreremo nel dettaglio di ciascuna procedura !