Qualche mese fa durante una live su Twitch alcuni noti youtuber italiani scoprirono di aver subito un attacco informatico. Gli attaccanti avevano preso possesso dei loro account YouTube e avevano cominciato a pubblicare video riguardanti investimenti in cripto-valute. L’attacco era durato poco, giusto il tempo di riprendere possesso dell’account e cancellare quanto andava cancellato.
Successivamente il pubblico veniva informato di quello che era accaduto e delle modalità con le quali si era affrontato il problema, ossia la classica scansione antivirus, formattare gli Hard-Disk, disinstallare e reinstallare il sistema operativo.
Photo by Ed Hardie on Unsplash
Apparentemente sembrerebbe tutto giusto, ma nella realtà il modo di reagire ha risolto il problema nell’immediato, ma è stato tutt’altro che corretto divenendo un piccolo manuale minimo del come non affrontare un incidente informatico. Ad esempio esistono malware che si installano in settori della memoria dei computer che non vengono cancellati durante una formattazione e ad ogni nuova installazione si ripresentano. Altri malware sono in grado di eludere gli anti-virus. Potrebbe capitare che l’attacco parta da una chiavetta USB e non dal computer, quindi come faccio a difendermi o cancellare un qualcosa che non ho identificato?
Premettiamo che quanto descritto sotto è una sintesi estrema di ciò che deve accadere senza dubbio in qualsiasi azienda, ma questo non vuol dire che un certo modo di ragionare, di pensare non sia utile anche per chi deve gestire solo il proprio PC o il proprio telefono difendendosi dalle insidie della rete.
La parte più importante della gestione degli incidenti (Incident Management) è la definizione di processi che descrivano come comportarsi in caso di incidenti, ad esempio la rottura di un server o dei cyber attacchi.
L’IH&R sta appunto per Incident Handling and Response, Gestione dell’incidente e reazione, ed è composta da 9 fasi :
Preparation (preparazione)
Quando qualcosa accade è importante essere preparati perché esistono solo due tipi di computer, quelli che hanno subito un attacco informatico e quelli che lo subiranno. Un attacco informatico può essere la banale mail di phising che ci arriva a casa, piuttosto che il tentativo di intrusione in azienda. Non è questione di “se accadrà”, ma di “quando accadrà”, per questo motivo è essenziale prepararsi formando se stessi e i propri dipendenti, definendo regole, processi da seguire, backup da fare e ovviamente dotandosi dei prodotti informatici adeguati.
Photo by Conscious Design on Unsplash
Incident Recording and Assignment (Registrare e assegnare l’incidente)
Quando arriva il momento di confrontarsi con un incidente il primo passo è individuare l’attacco e decidere chi coinvolgere per iniziare a risolvere il problema.
Incident Triage (analisi dell’incidente)
La fase di triage è finalizzata all’analisi dell’incidente valutando il tipo di attacco subito, l’impatto che ha sui sistemi, quanto si è propagato e quali sono state le debolezze che hanno permesso l’attacco.
Notification (informare)
La fase di notifica è una fase di natura prettamente aziendale attraverso la quale si informano le persone che devono essere informate, ad esempio la proprietà, il management etc etc.
Containment (Contenimento)
Un computer che ha subito un attacco dovrebbe essere il più velocemente possibile isolato dalla rete in maniera da non provocare ulteriori danni comunicando con l’esterno. In questa fase mai fare backup dei dati perché una copia dei dati compromessa potrebbe propagare l’infezione. Più in generale non dovrebbe essere svolta nessuna attività con quella macchina verificando che il problema non si stia propagando.
Photo by Immo Wegmann on Unsplash
Evidence Gathering and Forensic Analysis (Raccolta prove e analisi forense)
Se vogliamo sapere cosa ci ha attaccato e se vogliamo sapere come evitarlo una seconda volta è importante raccogliere le prove e farne una analisi. Questo è il motivo principale per il quale la formattazione non è mai una soluzione efficace, se prima non abbiamo raccolto tutte le informazioni possibili.
Eradication (eliminazione)
Una volta che le prove sono state raccolte, il colpevole, quanto meno informatico, identificato allora è giunta l’ora di eliminare il problema e nel caso formattare il computer o lanciare qualsiasi altro tool sia necessario, anti-virus compreso.
Recovery
La penultima fase prevede semplicemente di reinserire il computer di nuovo affidabile al posto che gli compete, ma non è finita!
Attività post incidente
Ad incidente risolto è importante avvisare le autorità (https://www4.ti.ch/di/cybersicuro/richiesta-daiuto) e soprattutto trarre insegnamenti!
Capire come è potuto accadere, come rendere più sicuro il nostro ambiente informatico deve essere la nostra priorità, perché la sicurezza non è un traguardo raggiunto, ma un traguardo da raggiungere.
Sempre!
Header Photo by camilo jimenez on Unsplash
Un commento su “IH&R, ovvero cosa succede dopo un attacco”
I commenti sono chiusi.