I fornitori di servizi gestiti e i loro clienti sono diventati obiettivi sempre più comuni degli attacchi informatici
I criminali del ransomware, in particolare, hanno individuato gli MSP e i loro clienti come candidati principali per le estorsioni, e hanno adattato le loro tattiche per creare scenari molto preoccupanti. Li vedremo tra poco con la guida sulla sicurezza informatica per gli MSP.
Invece di criptare semplicemente i sistemi dell’MSP, i cybercriminali usano credenziali compromesse dei dipendenti dell’MSP per dirottare gli strumenti software dell’MSP e usarli per distribuire il ransomware a tutti i clienti dell’MSP in una volta sola.
A partire dal 2019, i cybercriminali sono riusciti ad accedere agli apparecchi di varie aziende di MSP e ad abusare di una serie di comuni software incentrati sugli MSP, tra cui Kaseya VSA, Webroot, Connectwise ScreenConnect e Continuum. In quell’anno, i cybercriminali hanno anche ottenuto l’accesso ad un piccolo numero di clienti MSP di NinjaOne tramite metodi che non avevano nulla a che fare con Ninja. In questi casi, non abbiamo avuto alcuna indicazione che NinjaOne veniva violato. Invece, le prove suggeriscono che gli MSP sono stati compromessi attraverso altri canali e i cybercriminali hanno poi utilizzato le credenziali degli MSP per condurre azioni non autorizzate con i loro strumenti.
Per il merito della comunità di MSP, questi episodi hanno spinto ognuno ad applicare protocolli di sicurezza più rigorosi. In particolare, imporre l’adozione dell’autenticazione a 2 fattori ha avuto un impatto notevole sulla riduzione degli attacchi riusciti (durante il nostro recente 2020 MSP Security Summit, il CEO di Coveware Bill Siegel ha detto che la sua azienda non ha, per ora, dovuto affrontare un imprevisto in cui la 2FA era stata abilitata su tutta la linea).
Anche se sono stati fatti molti progressi, c’è ancora preoccupazione reale a riguardo. Il successo iniziale del dirottamento di account MSP ha incoraggiato i cybercriminali a continuare a concentrarsi fortemente sulla compromissione delle reti MSP. Se sei un MSP purtroppo devi operare sotto l’ipotesi che è solo una questione di tempo prima che tentativi di attacco simili siano diretti verso di te.
Cosa fare ora (se non l’hai già fatto)
È vitale che gli MSP abilitino quanto presto la 2FA su qualsiasi software che stanno usando, insieme alla posta elettronica, ma non è tutto. Abbiamo creato la seguente lista di controllo per fornire agli MSP un elenco di cose specifiche da fare per ridurre la loro vulnerabilità e migliorare la loro capacità di prevenire, rilevare e rispondere agli attacchi.
L’obiettivo non è quello di agire su tutti questi consigli allo stesso tempo. Al contrario, vogliamo semplicemente fornire una lista a cui si possa fare riferimento man mano che il tempo e le priorità lo permettono. Dopotutto, migliorare la sicurezza non è un’attività da fare una volta sola, è un processo continuo. Ricorda solo che qualsiasi miglioramento che si può fare ora sarà molto meno dispendioso in termini di tempo e denaro rispetto ad un attacco attivo, quindi non rimandare il processo.
Vuoi una copia PDF di questa lista di controllo a cui puoi fare riferimento più tardi ? Scaricala qui.
Nota: Questi suggerimenti ovviamente non sono esaustivi. A seconda delle particolarità della tua attività (dimensioni, infrastruttura, ecc.), alcune potrebbero non essere appropriate per te. La sicurezza non è uguale per tutti e ciò che è fondamentale per alcuni può essere ridondante per altri. Fai ciò che è pratico, adotta un approccio a più livelli e ricorda che quando si implementano nuovi controlli è sempre una buona idea testarli prima per evitare interruzioni involontarie.
Sommario della lista di controllo
- Limitare l’accesso in tutta la rete
- Proteggere gli utenti e gli endpoint
- Essere pronti a rilevare e rispondere rapidamente agli imprevisti di sicurezza
Limitare l’accesso in tutta la rete
“La terra non è piatta e nemmeno la vostra rete dovrebbe esserlo”.
— Catherine Pitt, VP Information Security Officer at Pearson
Molti degli attacchi di oggigiorno sono concepiti per approdare ed estendersi nelle reti delle vittime. Per prevenirli è necessario stabilire delle barriere tra gli utenti e le risorse.
-
-
- Fare regolarmente l’inventario di tutte le risorse di rete e classificale in base al rischio
Ecco una guida per cominciare. - Usa password forti e uniche
Dovrebbero essere sensibili alle maiuscole e composti da lettere, numeri e simboli. Non dovrebbero essere condivise o riutilizzate. Da un punto di vista pratico, questo significa che usare uno strumento adeguato per la gestione delle password è imperativo (un foglio di calcolo non conta). Ci sono moltissime opzioni che permettono di memorizzare in modo sicuro le password, gestire i permessi, controllare l’uso e monitorare le sessioni. Risolvono anche il problema di cosa fare quando si deve licenziare un tecnico o che improvvisamente se ne va. - Questo include l’uso di password amministrative locali uniche
La Local Administrator Password Solution (LAPS) di Microsoft può aiutarti a gestire tutto questo. - Non salvare le credenziali nei browser
È molto comune che i cybercriminali/malware estraggano informazioni dalle cache dei browser. - ATTIVA L’AUTENTICAZIONE A PIÙ FATTORI QUANDO POSSIBILE
Questo è particolarmente importante per prevenire l’attuale ondata di attacchi ransomware che dirottano gli strumenti software degli MSP. C’è un’ampia varietà di strumenti 2FA/MFA da considerare. - Evita di usare nomi utente predefiniti
Niente “admin”, “amministratore”, “default”, “root”, “utente”, ecc. - Elimina l’uso non necessario di privilegi superiori
Rispetta il principio del minimo privilegio. Es: i tecnici dovrebbero usare un account standard non amministratore per default, e un account amministratore separato solo se necessario, idealmente da una postazione di lavoro con accesso privilegiato. - Crea un cuscinetto tra i diversi livelli di accesso privilegiato
Microsoft consiglia di adottare un modello a livelli composto da tre livelli di account admin che controllano ciascuno una diversa categoria di risorse (domini, server e workstation). - Applica il “minimo privilegio” agli account di servizio
Creare account di servizio per applicazioni specifiche può aiutarti a isolare i danni in caso di compromissione di un singolo account, ma solo a condizione di evitare gli errori più comuni . Disattiva i servizi che non sono necessari e considera l’uso di account di servizio gestiti dal gruppo (gMSA) per rendere la gestione degli account di servizio più facile e più sicura. - Rimuovi gli utenti finali dal gruppo amministrativo locale
Un altro dei controlli di sicurezza più comuni che viene abitualmente trascurato o minato nella vita reale. Ecco una semplice guida dettagliata su come rimuovere gli amministratori locali utilizzando un GPO, insieme a consigli su come affrontare qualsiasi malinteso o rifiuto che si possa incontrare da parte di dirigenti e altri. - Controlla i sistemi per gli account utente inattivi
Si stima che un terzo degli account utente sia inattivo ma ancora abilitato. Tutti quei punti di accesso incustoditi rappresentano un grande rischio per la sicurezza. Effettua regolarmente dei controlli e elabora una politica chiara per disabilitare ed eliminare gli account quando gli utenti lasciano l’azienda. - Blocca il movimento laterale tra le postazioni di lavoro
Un numero crescente di attacchi odierni non infetta solo singole postazioni di lavoro. Sono concepiti per atterrare e diffondersi. Usando Active Directory, Criteri di gruppo e Windows Firewall puoi impedire la comunicazione workstation-to-workstation, pur consentendo l’accesso dalla workstation ad accesso privilegiato.
- Fare regolarmente l’inventario di tutte le risorse di rete e classificale in base al rischio
Rendi sicuri i tuoi strumenti di gestione remotaNon solo le capacità di accesso remoto sono essenziali per il tuo business, ma ci sono poche cose che un cybercriminale vorrebbe dirottare di più.
-
-
- Limita l’accesso agli strumenti di gestione remota
Limita la loro disponibilità strettamente alle persone che non possono farne a meno per raggioni di lavoro. - Usa password forti e uniche INSEME all’autenticazione a più fattori
- Limita le risorse a cui hanno accesso gli account remoti
Pensa sempre al minimo privilegio, specialmente quando lavori con clienti in settori verticali regolamentati o che trattano informazioni personali o sensibili. Potresti trovarti a dover dimostrare che i tuoi tecnici non hanno mai avuto la possibilità di accedere a quelle informazioni. - Non accedere alle postazioni di lavoro con account di amministratore di dominio
Facendo così si rischia che i cybercriminali raccolgano le credenziali DA nel caso in cui una qualsiasi di quelle stazioni di lavoro sia compromessa. Gli account di amministratore di dominio dovrebbero essere pochi e lontani tra loro e usati esclusivamente per accedere ai controller di dominio (non alle postazioni di lavoro). - Mantieni aggiornato il software di gestione remota
Applica regolarmente gli aggiornamenti e presta particolare attenzione a qualsiasi patch che affronti le vulnerabilità che potrebbero fornire ai cybercriminali l’esecuzione di codice remoto o l’accesso non autorizzato. - Abilita la registrazione/monitoraggio centralizzato e gli avvisi per le sessioni di accesso remoto
Catturare le informazioni sulle sessioni e le attività di accesso remoto ti permetterà di condurre audit, individuare anomalie e indagare e rispondere a qualsiasi attività sospetta.
- Limita l’accesso agli strumenti di gestione remota
-
Rendi sicura l’opzione Desktop da remoto (RDP)Proteggere l’RDP può essere l’ABC della sicurezza di base, ma non farlo continua ad essere una delle principali cause di compromissione. Una rapida scansione di Shodan mostra milioni di sistemi che attualmente espongono l’RDP. Sono senza dubbio sottoposti ad attacchi di forza bruta. Una volta crackato, l’accesso agli account compromessi può essere acquistato per una manciata di dollari sui mercati del dark web.
La compromissione tramite RDP è stato il vettore di attacco per numerose varianti di ransomware, compresi CrySiS/Dharma, Shade e SamSam, il ransomware usato per infettare Allscripts, numerosi ospedali e la città di Atlanta.
-
-
- Non esporre l’RDP (o qualsiasi risorsa interna) a Internet a meno che non sia assolutamente necessario.
Anche in questo caso, chiediti se c’è un modo di fare migliore. - Usa gli scanner di porte per identificare gli RDP (e altre porte e servizi) esposti a Internet
Usa strumenti di scansione come Nmap, masscan, o Shodan. Stia certo che i cybercriminali lo stanno già facendo, quindi prenditi qualche minuto per vedere la tua rete attraverso i loro occhi. Un altro strumento che ti guida attraverso la scansione di base delle porte è ShieldsUP. - Identifica i sistemi che sono stati compromessi con backdoor RDP
Uno dei modi più comuni per ottenere una backdoor è abusando della funzione Windows Sticky Keys. Due diversi strumenti di scansione per identificare i server RDP backdoor sono disponibili qui o qui. - Disattiva l’RDP sui dispositivi che non ne hanno bisogno
Questo riduce il rischio che i cybercriminali sfruttino un dispositivo compromesso per accedere ad altri apparecchi della stessa rete. - Rimuovi l’accesso dell’account admin locale a RDP
Tutti gli amministratori sono in grado di accedere a Remote Desktop per impostazione predefinita. - Usa password forti e uniche e l’autenticazione a più fattori
L’autenticazione multifattore 2FA è una buona idea a prescindere, ma se devi assolutamente avere l’RDP esposto, è un must. - Implementa una politica di blocco dell’account
Il numero di tentativi falliti necessari per innescare un blocco dipende da voi, ma in generale, Microsoft raccomanda 15 minuti dopo 10 tentativi falliti. - Annulla le sessioni disconnesse e inattive
Questa soluzione può non essere apprezzata, ma è una mitigazione importante per impedire che le sessioni vengano dirottate. - Limita l’accesso RDP usando firewall, gateway RD e/o VPN
Puoi limitare l’accesso RDP agli indirizzi IP inseriti nella lista bianca tramite un firewall . I gateway RD sono più completi. Ti permettono di limitare non solo chi ha accesso, ma a cosa ha accesso, senza bisogno di configurare connessioni VPN. Maggiori informazioni sui gateway RD qui. - Lascia abilitata l’autenticazione a livello di rete (NLA)
La NLA fornisce un ulteriore livello di autenticazione prima di stabilire una connessione remota. Maggiori informazioni su come controllare le impostazioni dei Criteri di gruppo per confermare che la NLA sia abilitata qui.. - Cambia la porta di ascolto predefinita (TCP 3389)
Questo non nasconderà il RDP dai cybercriminali determinati, ma alzerà la guardia e aiuterà a proteggerti dagli attacchi automatici e da quelli semplici. Microsoft spiega come fare il cambiamento qui.
- Non esporre l’RDP (o qualsiasi risorsa interna) a Internet a meno che non sia assolutamente necessario.
-
Risorse addizionali:
Proteggere i tuoi utenti e gli endpoint
“Mostratemi un’email malevola e ti farò vedere qualcuno che ci cliccherà”.
— Antichio proverbio sulla sicurezza informatica
La stragrande maggioranza degli attacchi prende di mira la parte più vulnerabile della tua rete: gli utenti. Ecco le migliori pratiche per mettere in sicurezza i loro dispositivi e proteggere gli utenti da loro stessi.
-
-
- Usa un software di sicurezza per gli endpoint che sia basato sull’apprendimento automatico e/o l’analisi comportamentale
Attualmente, pochi antivirus si basano esclusivamente sulla corrispondenza delle firme. Invece, la maggior parte dei fornitori di AV hanno incorporato algoritmi di rilevamento dell’apprendimento automatico nella loro offerta generale o come una linea di prodotti addizionali (più costosi) ( vedi la nostra guida sugli strumenti EDR e NGAV qui). ueste soluzioni sono nettamente migliori nel bloccare il malware nuovi o polimorfi, ma il lato negativo è che possono generare un numero considerevole di falsi positivi. Inoltre, spesso sono ancora ciechi agli attacchi che abusano di strumenti di sistema legittimi o utilizzano altre tecniche “senza file” — un’altra ragione per cui la sicurezza è una questione di molteplicazione dei livelli di protezione. - Mantieni aggiornati i sistemi e il software degli endpoint
Spesso più facile a dire che a fare, considerando che ci sono stati più di 15.500 CVE (Common Vulnerabilities and Exposures) pubblicati nel 2018. Gli aggiornamenti di Windows da soli possono essere una bestia, senza contare le applicazioni di terze parti. Assicurati di automatizzare il più possibile la gestione delle patch attraverso il tuo RMM, e che ti fidi davvero ad applicare le patch con successo. Controlla regolarmente le patch per identificare i dispositivi che potrebbero essere vulnerabili. Il 57% delle violazioni dei dati è attribuito a una gestione inadeguata delle patch .
- Elabora una procedura operativa standard per l’auditing delle politiche del firewall
Assicurati di proteggere il tuo perimetro massimizzando le capacità di ispezione e filtraggio del firewall. - Utilizza il filtraggio DNS per proteggersi dai siti web malvagi conosciuti
Le soluzioni di filtraggio DNS possono fornire protezione agli utenti anche quando sono fuori dalla rete. - Rafforza la sicurezza dell’email
Con uno sbalorditivo 92% di malware consegnato via email, avere un buon filtro antispam è ovviamente un’esigenza. Sfortunatamente, non è solo del malware che ci si deve preoccupare. Per aiutare a prevenire il phishing e gli attacchi BEC (business email compromise), è una buona idea impostare DMARC, SPF e DKIM per proteggere il tuo dominio dallo spoofing. Ecco una guida alla configurazione e uno strumento gratuito di monitoraggio e segnalazione DMARC che può aiutarti. - Fornisci una formazione sull’importanza della sicurezza per insegnare ai dipendenti come riconoscere email e siti web dannosi
Gli utenti sono utenti. Cliccheranno su cose che non dovrebbero, ma se non li stai addestrando è difficile biasimarli. Soprattutto perché le email dannose sono sempre più convincenti. Inizia con educarli sui classici segnali di avvertimento, mostrando loroesempi reali, e condividendo le migliori pratiche di base come passare il cursore sopra i link. Poi considera la possibilità di passare a simulazioni di phishing e a una formazione più formalizzata. - Utilizza una soluzione di backup affidabile e testa effettivamente il ripristino dai backup su scala
Avere più punti di ripristino e repliche offsite è la chiave, così come fare test regolari per garantire che i tuoi backup siano configurati e funzionino correttamente. Ricordati il Backup di Shrodinger: “La condizione di qualsiasi backup è sconosciuta finché non si tenta un ripristino”.
- Usa un software di sicurezza per gli endpoint che sia basato sull’apprendimento automatico e/o l’analisi comportamentale
-
Rafforzamento del sistema Windows
Molti degli attacchi di oggi tentano di abusare di strumenti e funzionalità integrate. Questa tattica di “vivere sulle spalle degli altri” li aiuta ad aggirare le difese e ad eludere il rilevamento confondendosi con l’attività amministrativa legittima. Ecco i passi che potete fare per mitigare questo rischio:
-
-
- Proteggiti contro il dumping delle credenziali
Per i dispositivi Windows 10 e Server 2016, pensa di abilitare Credential Guard. Puoi anche limitare o disabilitare il numero di credenziali di accesso precedenti che Windows memorizzerà nella cache (l’impostazione predefinita è 10). Qui ci sono le istruzioni per disabilitare la cache delle credenziali sui sistemi più vecchi. - Disattiva o limita PowerShell
I cybercriminali abusano di PowerShell per eseguire un’ampia serie di attività, dal download e l’esecuzione di malware fino a stabilire la persistenza, realizzare movimenti laterali e più ancora (il tutto evitando il rilevamento AV). PowerShell è anche abilitato per impostazione predefinita. Se non c’è bisogno che sia sul dispositivo di un utente, sbarazzatene. Se questa non è un’opzione, assicurati che sia l’ultima versione, disabilita il motore PowerShell v2 e usa una combinazione di AppLocker e Constrained Language Mode per ridurre le sue capacità(ecco come). - Limita il lancio di file di script
PowerShell non è l’unico linguaggio di scripting e framework di cui i cybercriminali amano abusare. Prima di Windows 10, Microsoft raccomandava di apportare modifiche al registro di sistema in modo da emettere un avviso prima di consentire l’esecuzione di .VBS, .JS, .WSF e altri file di script. I sistemi Windows 10 possono utilizzare AppLocker per bloccare i file di script con un controllo più granulare. - Usa AppLocker per limitare le applicazioni
La whitelisting non è per tutti – per alcuni team può essere difficile da gestire e mantenere – ma nelle situazioni in cui è fattibile, questo può essere un livello molto efficace di sicurezza, limitando quali applicazioni possono essere eseguite in quali condizioni. Puoi trovare suggerimenti per iniziare a usarlo qui - Blocca o limita i binari “Living-off-the-Land” (LOLbins)
Per aggirare le soluzioni antivirus e di whitelisting come AppLocker, i cybercriminali stanno abusando sempre più degli strumenti nativi di Windows. Programmi integrati come certutil, mshta e regsvr32 dovrebbero essere bloccati o impediti dal fare richieste in uscita utilizzando le regole del firewall di Windows. Lo stesso vale per i legittimi strumenti di trasferimento dati bitsadmin e curl. Trova un elenco completo di “LOLbins”. - Utilizza Windows Firewall per isolare gli endpoints
Oltre a bloccare i LOLbin elencati sopra dal fare richieste in uscita, è possibile utilizzare il firewall di Windows per eliminare alcune delle strategie più comunemente usate per l’accesso remoto dannoso e il movimento laterale (come l’accesso alle condivisioni di file tramite SMB). Qui c’è una grande guida. - Limita o monitora Windows Management Instrumentation (WMI)
WMI, cosi come PowerShell, si colloca lassù in termini di utilità, il che significa che dovresti monitorare anche i potenziali abusi di essO. Per tutti i casi in cui WMI remoto non è necessario, considera di impostare una porta fissa per esso e bloccarlo.. - Usa i più alti livelli di controllo dell’account utente (UAC) quando possibile
L’UAC può ostacolare significativamente il percorso degli attacchi che tentano di elevare i privilegi. Considera di regolare le impostazioni dei criteri di Windows 10 per negare automaticamente i tentativi di elevazione per gli utenti standard e richiedere il consenso sul desktop sicuro per gli amministratori (guida alle alle impostazioni dei criteri di gruppo UAC per le versioni precedenti di Windows disponibile qui). Inoltre, considera seriamente l’abilitazione della modalità di approvazione dell’amministratore per l’account admin integrato. Oltre a mitigare i tentativi di aumento dei privilegi, questo farà anche fallire qualsiasi tentativo di abuso di PsExec (strumento di amministrazione legittimo nella serie Sysinternals di Microsoft). Potrebbe interessarti anche Come configurare le impostazioni UAC di Windows (script PowerShell).
- Proteggiti contro il dumping delle credenziali
-
Risorse addizionali:
Rendere sicuro Microsoft Office
I documenti Office dannosi continuano ad essere uno dei veicoli di consegna più popolari e di successo per il malware. La chiave per mitigare questa minaccia è disabilitare o limitare le seguenti caratteristiche.
-
-
- Disattiva o limita le macro
Nascondere macro dannose all’interno dei documenti di Office è uno dei trucchi più vecchi nel programma del cybercriminale moderno, e continua ad essere popolare e di successo. Se le macro non sono utilizzate nella tua organizzazione, considera di usare le impostazioni dei Criteri di gruppo per disabilitarle senza notifica e disabilitare del tutto VBA per le applicazioni di Office. Se hai bisogno di eseguire le macro in determinate condizioni, limitale consentendo solo le macro firmate e bloccando le macro nei documenti di Office scaricati da Internet — guida (Office 2016); file di modello amministrativo dei criteri di gruppo (ADMX/ADML) - Disattiva o limita Object Linking and Embedding (OLE)
Procedura guidata per bloccare l’attivazione dei pacchetti OLE tramite modifiche al registro; procedura guidata per bloccare l’attivazione dei componenti OLE / COM in Office 365 tramite modifiche al registro; procedura guidata per disabilitare le connessioni dati e l’aggiornamento automatico dei collegamenti alle cartelle di lavoro tramite il Trust Center. - Disabilita lo scambio dinamico di dati (DDE)
Procedura guidata per la disabilitazione di Dynamic Data Exchange Server Lookup / Launch tramite modifiche al registro di sistema; procedura guidata per la disabilitazione tramite il Trust Center
- Disattiva o limita le macro
-
Sii pronto a rilevare e rispondere rapidamente agli incidenti di sicurezza
“Il tempo di inattività e le interruzioni causate da un episodio ransomware durano 7,3 giorni”
— Coveware
Non è sufficiente lavorare sulla prevenzione degli attacchi. Bisogna anche avere le giuste capacità e politiche in atto per identificare, contenere, indagare e rimediare rapidamente ai compromessi.
Nota: Ci sono delle cose essenziali che si possono fare su questo punto, ma nella parte avanzata, spesso si tratta di utilizzare strumenti complessi, setacciare i registri e fornire capacità di monitoraggio/risposta 24/7. A seconda della vostra esperienza, larghezza di banda e requisiti, potresti dover considerare l’outsourcing.
Monitoraggio
-
-
- Stabilisci una linea di base delle prestazioni di rete in modo da poter identificare le anomalie
- Utilizza il tuo RMM e/o un SIEM per configurare il monitoraggio centralizzato e in tempo reale della rete e degli endpoint
- Sfrutta le configurazioni degli avvisi pronte all’uso e crea modelli per le situazioni d’uso standard (workstation, server, ecc.)
- Sviluppa procedure operative standard per affrontare gli avvisi più vitali e più comuni
- Riduci il rumore eliminando gli avvisi leggeri e che non sono perseguibili
- Prendi in considerazione il monitoraggio degli ID degli eventi chiave di Windows – iniziate con gli enlechi qui e qui
- Considera l’utilizzo di una soluzione di rilevamento e risposta degli endpoint (EDR) solution
- Abilita e configura i registri di sistema corretti per assistere la propria digital forensics e and incident response (DFIR) o quella esternalizzata – vedi questi foglietti per Windows
- Memorizza i registri in un luogo centrale e isolato
- Determina se è necessario esternalizzare la gestione di tutti o di alcuni di questi elementi a un fornitore di rilevamento e risposta gestiti (MDR)
-
Crea un piano di risposta agli incidenti
Quando si verifica un incidente di sicurezza è necessario essere in grado di agire rapidamente sotto pressione. Questo richiede criteri chiari e una pianificazione efficace.
-
-
- Definisci cosa costituisce un incidente di sicurezza
- Stabilisci ruoli, responsabilità e procedure per rispondere agli incidenti, incluso il disaster recovery
- Identifica le opzioni di escalation nel caso in cui l’incidente richieda una risposta e un recupero più estesi/esperti di quelli che puoi fornire.
- Elabora un piano per comunicare internamente, con i clienti, le autorità e il pubblico (se necessario) – meglio ancora, crea dei modelli pronti
- Comprendi i requisiti di conformità relativi alla divulgazione e alla segnalazione degli incidenti — HIPAA Breach Notification Rule; GDPR data breach notifications FAQ
- Eseguisci esercitazioni antincendio
- Risorse addizionali: Gestione degli incidenti: Primi passi, piani di preparazione e modelli di processo da ERNW
- Definisci cosa costituisce un incidente di sicurezza
-
Conclusione: non è necessario di fare tutto in un solo giorno
A seconda di quanto hai già investito nella sicurezza, questa lista può sembrare schiacciante. Se questo è il caso, ricorda solo che la sicurezza non è qualcosa che qualcuno può garantire al 100%. Le cose cambiano sempre e l’obiettivo non è quello di diventare magicamente intoccabili, ma semplicemente di migliorarsi passo dopo passo.
Concentrati sul fare alcune cose di questa lista poco alla volta, o anche solamente una e piano piano fare le altre. Punta ad un progresso graduale. Ogni cosa che fai può avere un impatto. Se stai diminuendo il tuo rischio o tenendo la guardia contro i cybercriminali, allora sei sulla giusta strada.
Vuoi una copia di questa lista in PDF via e-mail? Scaricala qui. -