Come rafforzare la resilienza informatica
Di seguito si evidenziano alcuni controlli che ogni responsabile della sicurezza può mettere in campo per migliorare la postura di sicurezza e correggere le lacune individuate.
- Response & Recovery – Quanto velocemente si può ripartire dopo un attacco informatico?
Le banche possono subire attacchi informatici anche in presenza di misure preventive e, per garantire la resilienza, i responsabili dovrebbero progettare e rivedere costantemente i piani per assicurare la continuità anche in caso di attacco vincente. Si parla di:- Predisposizione di piani di risposta agli incidenti (IRP) ben documentati, matrici di comunicazione e flussi di lavoro post-attacco. Attenzione al ripristino dei sistemi e delle operazioni.
- Buoni rapporti con la polizia postale e con tutte le entità istituzionali o private specifiche per il settore.
- Acquisizione preventiva di IR Retainers, che rendono disponibili in tempi veloci i contatti con personale specializzato nella gestione dell’incidente e ripristino post-incidente, nonché un certo numero di ore di attività già incluse.
- Implementazione di programmi regolari di esercitazioni di simulazione della gestione di un incidente, audit, Red Team e Penetration test.
- Valutare l’assicurazione cyber per misurare e monitorare l’esposizione al rischio.
- Sicurezza di reti e sistemi: quanto sono protetti da intrusioni informatiche?
Molte organizzazioni adottano una mentalità di “presunzione di violazione”, dove i responsabili della sicurezza partono dal presupposto che i loro sistemi siano già stati compromessi, e attivano, di conseguenza, il monitoraggio continuo, il rilevamento delle anomalie e tecniche di threat hunting. Si tratta di un approccio proattivo che consente ai difensori di provare ad essere sempre un passo avanti rispetto agli attaccanti. Per attuare questo approccio occorre rafforzare le configurazioni di rete e l’hardening dei sistemi:- Esaminare, regolare e disabilitare (se necessario) gli account utente di default.
- Eseguire scansioni di vulnerabilità per analizzare i componenti di rete e hardware, il firmware e i sistemi operativi.
- Rispettare un rigoroso programma di gestione delle patch.
- Aggiungere funzionalità di rilevamento e prevenzione delle minacce.
- Segmentare i componenti e i servizi di rete critici.
- Identity & Access Management: come ci si protegge dagli utenti illegittimi?
L’aumento degli attacchi di phishing e l’efficacia dei gruppi criminali nell’infiltrarsi nelle reti impongono maggiori controlli per la gestione di identità e accessi. Ciò include i controlli di autenticazione per clienti, dipendenti e qualsiasi accesso di terzi ai sistemi sensibili, tra i quali:- Implementare policy di autenticazione a più fattori (MFA), segmentazione della rete e controllo degli accessi basato sui ruoli (RBAC).
- Utilizzare il principio del minimo privilegio (PoLP), in base al quale all’utente si concede il livello minimo di accesso necessario per svolgere le proprie attività.
- Predisporre strumenti per il monitoraggio continuo, verifiche regolari degli account e protocolli di crittografia.
Paolo Cecchi Regional Sales Director Mediterranean Region di Sentinelone