Cyber Security
Lista di controllo per i CISO in caso di attacco informatico
Coas fare in caso di un cyberattacco
Misure tecniche
- Assicurati che l’orario di sistema dei tuoi segmenti di rete sia sincronizzato per consentire una facile corrispondenza e analisi di diversi protocolli basati sugli stessi orari.
- Se si verifica un incidente, avrai rapidamente bisogno di una grande quantità di spazio di archiviazione (per esempio una memoria esterna) per creare immagini digitali, copiare un gran numero di registri, ecc. Questo dovrebbe essere già disponibile.
- Spesso i dati vengono archiviati per un certo periodo di tempo. È consigliabile che i responsabili del supporto iniziale sappiano quali archivi esistono, come accedervi e la struttura in cui sono archiviati i dati.
Misure organizzative
- La gestione degli incidenti deve essere preparata in anticipo con procedure, responsabilità e strategie di comunicazione chiare (sviluppate con le comunicazioni aziendali).
- La comunicazione interna ed esterna deve essere regolamentata (con il supporto della comunicazione aziendale). Informa il tuo team tecnico nel modo più chiaro possibile per rispondere agli incidenti in modo tempestivo ed efficace. Inoltre, occorre evitare danni collaterali indesiderati.
- Si consiglia di tenere un inventario aggiornato e completo di tutti i sistemi, software e reti. Questo inventario deve essere reso direttamente accessibile a tutte le parti coinvolte.
- Stabilire un rapporto diretto tra incident response, vulnerability management e i risk managers per garantire che tutti i rischi siano conosciuti e affrontati.
- È essenziale conoscere i principali processi interni e disporre di un piano per mantenere le attività operative in caso di crisi.
Server e Client
Impostazioni sistemistiche
- Si consiglia di utilizzare sistemi dedicati per la gestione degli elementi dell’infrastruttura. Inoltre, gli amministratori dovrebbero utilizzare l’autenticazione a due fattori.
- Definire regole di rilevamento per gli strumenti “helper” dell’attaccante, come PsExec e rexec.
- È consigliabile monitorare attentamente l’esecuzione dei binaries tramite l’interfaccia WMI.
- Gli strumenti di monitoraggio dell’integrità possono essere utilizzati per rilevare le modifiche non autorizzate ai file di sistema. Sono utili anche per valutare l’impatto dopo un incidente.
- Prepara i mezzi per monitorare e analizzare la memoria del sistema. Questo aumenta le possibilità di identificare e rispondere rapidamente a minacce complesse.
Virtualizzazione
- Acquisire un certo livello di conoscenze forensi. In questo modo è possibile determinare se si è verificata una fuoriuscita dalla VM.
- La preparazione di funzioni di packet sniffing può aiutarti a monitorare il traffico tra le macchine virtuali.
Active Directory
- Sviluppare una chiara comprensione della relazionedi fiducia tra le diverse AdForests.
- Monitora attentamente i protocolli AD per individuare query insolite e di grandi dimensioni che non ti aspetteresti.
- Predisporre piani di emergenza che prevedano una completa compromissione dll”Active Directory.
Rete
- Utilizza un’interfaccia centralizzata e ben protetta attraverso la quale deve passare ogni pacchetto diretto a Internet. Lo stesso può essere fatto per il traffico in entrata distribuito in diverse zone della rete. Si può pensare di creare zone di accesso centrali con load balancers, web application firewalls e gateway di autenticazione che consentono di monitorare centralmente il traffico in entrata.
- Esamina attentamente i percorsi di routing dalla rete interna alle aree di rete esposte, come ad esempio una DMZ. Questo traffico passa anche attraverso l’interfaccia centrale e ben protetta di cui sopra? In caso contrario, dovresti posizionare dei sensori che monitorino anche questo traffico.
- Tutti gli accessi a Internet devono passare attraverso un proxy che registra tutte le informazioni di intestazione, compresi i cookie.
- Raccogli i dati di netflow, non solo tra le zone di rete, ma anche all’interno della zona.
- Oltre alle soluzioni commerciali, utilizza un IDS classico basato sulle firme, come Snort o Suricata. Questo ti dà la possibilità di applicare rapidamente regole di rilevamento personalizzate in caso di intrusione.
- Utilizza il DNS passivo in modo che tutte le query di dominio passino attraverso Internet e possano essere trovate in modo rapido ed efficiente.
File di log
- Salva i file di log il più a lungo possibile. Si consiglia un minimo di due anni, soprattutto per i sistemi importanti come i controller di dominio e i gateway.
- I file di log devono essere raccolti a livello centrale. È consigliabile avere un concetto di gestione dei log che copra tutte le zone della rete e che permetta l’indicizzazione, la ricerca e l’archiviazione di tutti i file di log.
- Inoltre, è consigliabile implementare un’analisi continua dei log, che consenta un confronto automatico di questi file di log con i IOC noti.
- La gestione dei registri è un processo continuo. Devi avere risorse sufficienti per aggiungere nuove fonti al tuo sistema in modo continuativo. Questo perché anche il vostro ambiente IT è in continua evoluzione.
- Personalizza le impostazioni del registro in base alle tue esigenze. Ad esempio, sebbene la registrazione del user agent non sia un’impostazione predefinita, è fortemente consigliata.
- I dipendenti esperti non devono solo analizzare i file di log pre-elaborati, ma anche controllare i log grezzi alla ricerca di irregolarità. A questo scopo è necessario destinare tempo e risorse umane sufficienti.
Fonte
Centro nazionale svizzero per la sicurezza informatica NCSC
