Lavorare nella risposta agli incidenti informatici

In qualità di risponditore di incidenti di sicurezza informatica, la tua vita può passare da zero a 100 in un batter d’occhio. Un momento stai sorseggiando una bevanda leggendo le ultime informazioni sulle minacce o preparando i bambini per andare a letto; il prossimo, potresti lanciarti verso la tua “borsa da viaggio” perché non puoi entrare a distanza nel sistema violato. Fa tutto parte del gioco.

I soccorritori esperti possono gestire questo jab: “Perché vorresti un lavoro come questo? Sei pazzo?” La verità è che alcuni ci prosperano. Chiedi in giro e scoprirai che i soccorritori degli incidenti:

  • Sono spinti dal senso del dovere di proteggere qualcosa di importante.
  • Apprezzare (e anche cercare) sfide e problemi.
  • Anche se stressato, trova un modo per goderti il ​​caos.
  • Ama il cambiamento costante, che offre l’opportunità di continuare a crescere professionalmente.

Ma com’è davvero un giorno nella vita di un addetto alla risposta agli incidenti di sicurezza informatica e cosa succede quando gli allarmi iniziano a lampeggiare?

Come può iniziare la giornata media

La Cybersecurity and Infrastructure Security Agency (CISA) fornisce una buona panoramica dei tipi di attività da aspettarsi in questa linea di lavoro, insieme ad alcune competenze chiave. Anche il Dipartimento della Difesa degli Stati Uniti ha una visione più dettagliata.

Tieni presente: un risponditore di incidenti interno (ad es. interno) rispetto a uno esterno (ad es. società di consulenza) può avere attività “pre-boom” diverse. Ma quando si verifica l’incidente, molti compiti sono simili.

Quali sono alcune attività pre-boom? Ecco un breve elenco:

  • Ricerca di vulnerabilità nel codice, reti, host e altri tipi di infrastruttura.
  • Ricercare gli attori delle minacce e le loro tattiche, tecniche e procedure.
  • Revisione dell’intelligence sulle minacce e altre notizie del settore.
  • Analisi di avvisi e allarmi per tassi di positività o esecuzione della deduplicazione.
  • Configurazione degli strumenti e correlazione dei comportamenti.
  • Esecuzione di analisi delle tendenze e stesura di report.
  • Chiusura delle indagini a lungo termine e revisione delle relative indagini forensi.

Naturalmente, questo è solo un breve elenco. Se sei dalla parte del consulente, potresti partecipare ad attività di sviluppo del business per costruire il tuo portafoglio di attività attraverso fermi di risposta agli incidenti. Queste sono tutte attività rilevanti nel ciclo di vita della risposta agli incidenti.

La giornata media va di traverso

Che tu sia un risponditore interno o esterno, tutto cambia con quella chiamata in preda al panico o con l’avviso rosso sul dashboard. Goditi il ​​tuo caffè perché la vita è diventare reale.

La pubblicazione speciale 800-61 del National Institute of Standards and Technology (NIST), Computer Security Incident Handling Guide, delinea il ciclo di vita della risposta agli incidenti con le attività associate. Le quattro fasi sono:

  • Preparazione
  • Rilevamento e analisi
  • Contenimento, eradicazione e recupero
  • Attività post-incidente

Essendo le prime ore dell’incidente le più stressanti, le due fasi iniziali giocano un ruolo cruciale in quello che succede dopo. A seconda del tuo livello e grado, potresti raccogliere artefatti, valutare la gravità, avviare fan-out di comunicazione, cercare modi per fermare la propagazione o disconnessioni del sistema, prepararti a informare la leadership o persino avviare trattative con gli attori delle minacce.

Questo è lo zero a 100 in un momento di battito cardiaco. Ma a questo punto, le cose sono appena iniziate.

La preparazione determina il modo in cui si svolge la crisi

In primo luogo, un agente di risposta agli incidenti deve essere in grado di classificare l’evento, individuare gli indicatori di compromissione, avviare potenzialmente le indagini forensi e i requisiti della catena di custodia, rivedere i registri e i dispositivi e persino tenere d’occhio ciò che sta accadendo nella sfera pubblica. Potrebbe anche essere necessario iniziare a tirare i cavi! Se non sei in modalità crisi, dovresti essere pronto per accedervi.

I seguenti tipi di attività di preparazione possono ridurre i danni alla rete, così come ai soccorritori emotivamente forzati:

  • Una chiara comprensione del tuo patrimonio e dei tuoi beni.
  • Ruoli e responsabilità ben definiti.
  • Obiettivi del punto/tempo di ripristino stabiliti.
  • Procedure di backup e ripristino testate e convalidate.
  • Accordi in essere con fornitori e fornitori di terze parti, inclusa una forte comprensione di chi è responsabile di cosa; la cosa della “responsabilità condivisa” è reale.

Inoltre, fai attenzione agli impatti emotivi e psicologici. Anche il tipo di incidente che affronti può davvero aumentare le emozioni. Ad esempio, gli incidenti di ransomware non solo depredano le emozioni delle vittime, ma esacerbano i livelli di stress dei soccorritori.

Ecco perché la preparazione è così importante. Se molti degli elementi di cui sopra sono documentati e possono essere facilmente consultati, si risparmia tempo prezioso, si riduce l’incertezza e si possono tenere meglio sotto controllo le emozioni.

Vita durante la risposta

Nel pieno della battaglia, i soccorritori possono iniziare a colpire giorni di 12 ore o più. E mentre vuoi che la tua A-Team conduca lo spettacolo, tieni presente che dopo così tante ore di battaglia e occhi iniettati di sangue, la coordinazione e le prestazioni si deteriorano. Durante questo periodo, i risponditori potrebbero essere:

  • Raccolta di prove
  • Esecuzione dell’analisi di attribuzione
  • Effettuare ricerche complesse
  • Condurre valutazioni dei danni
  • Mantenimento della disponibilità del servizio

Questo lascia ancora uno dei compiti più difficili: gestire le aspettative degli stakeholder soddisfacendo al contempo quel senso di responsabilità nei confronti del proprio team o cliente.

I soccorritori non possono semplicemente escludere il loro lato “umano” – né dovrebbero – il che rende i primi tre giorni così difficili. Sono prevedibili nervosismo ed emozioni elevate, l’empatia è importante e il riposo è essenziale. Inoltre, non è raro che i soccorritori di incidenti di sicurezza informatica richiedano un congedo aggiuntivo o un supporto per la salute mentale dopo un duro tentativo.

Un motivo in più per cui la pianificazione proattiva è così importante.

Cosa tenere a mente

Che tu voglia entrare per la prima volta nella vita della sicurezza informatica o che tu sia un professionista esperto, ecco alcuni promemoria:

  • Imparerai sempre. Gli aggressori sono intelligenti e si evolvono; così devi.
  • Puoi essere uno specialista (ad esempio, concentrarti sull’analisi del malware), ma apprezzare la necessità di essere un po’ generalista (ad esempio, conoscere un po’ di networking, monitoraggio, architettura e gli elementi essenziali della gestione del rischio, della continuità aziendale e del ripristino di emergenza).
  • La tua vita attraverserà picchi e valli, quindi tieni d’occhio la tua salute e il tuo benessere.

Una risposta di successo va oltre le capacità tecniche. Poiché la risposta agli incidenti assomiglia più a un ciclo festivo/veloce, alla fine può portare al burnout. Questo è diverso da altri tipi di ruoli di sicurezza informatica, che possono avere un ritmo più costante.

Per tutti i soccorritori: goditi il ​​tempo di pace. I dirigenti e i dirigenti aziendali dovrebbero supportare i gruppi interni per utilizzare il tempo tra gli incidenti per la preparazione, la riparazione e la formazione. Sul lato esterno, tieni sotto controllo quei numeri di utilizzo se la tua azienda utilizza il modello di fatturazione della consulenza più tradizionale; quel modello non funziona qui.

C’è anche una considerazione importante che va oltre la linea: prendere sul serio la riparazione. Poche azioni possono essere più demoralizzanti che dare tutto per estinguere l’incendio, solo per scoprire – più avanti – che i cavi difettosi responsabili dell’incendio non sono stati sostituiti.

In conclusione, i soccorritori sono i tuoi vigili del fuoco digitali. Quelli nel settore dei servizi di emergenza conoscono il pedaggio che gli orari irregolari e le situazioni di alta pressione possono richiedere. Forse chi opera nel settore della sicurezza informatica può imparare qualcosa dal proprio modello operativo.

Questo mese di sensibilizzazione sulla sicurezza informatica dà un grido a un #CyberResponder che fa di tutto per tenerci al sicuro: https://celebrate-cyber-responders

Guarda il webinar on-demand del team IBM Security Incident Response in cui i soccorritori X-Force discutono di cosa serve per difendere la prima linea digitale.

Nota dell’autore: un ringraziamento speciale a Meg West per i suoi approfondimenti aggiunti per questo pezzo.

Leave a Comment

Your email address will not be published. Required fields are marked *