Oggi, le organizzazioni devono affrontare un complesso panorama di minacce informatiche con attacchi in evoluzione e sempre più sofisticati. Di conseguenza, le aziende più accorte si preparano, sviluppando un playbook di risposta agli incidenti, al fine di identificare la minaccia e successivamente agire rapidamente per rispondere in modo efficace.
Un playbook di risposta agli incidenti riunisce applicazioni e team in un flusso di lavoro coordinato, in modo che l’organizzazione possa rispondere ad una minaccia più velocemente, riprendersi in modo efficiente ed essere più resiliente in futuro.
Creare un playbook di risposta agli incidenti cosa significa?
Un playbook o runbook non è altro che una serie di passaggi predefiniti che le organizzazioni devono eseguire quando si verifica un incidente. È simile a un diagramma di flusso con condizioni.
I playbook sono costruiti appositamente per affrontare un particolare incidente o scenario. Ad esempio, un playbook per rispondere ad una violazione dei dati sarà diverso da uno per riportare i sistemi in linea dopo un’interruzione della rete.
Rishi Bhargava, VP di Product Strategy, Palo Alto Networks, afferma: “C’è un grande malinteso sul fatto che il playbook significhi che tutto è automatizzato…”
Un playbook potrebbe contenere passaggi automatizzati, ma alcuni potrebbero invece essere manuali. La squadra o l’individuo responsabile deve eseguire i passaggi manuali secondo le modalità definite nel playbook.
Una volta definiti, puoi lavorare per automatizzarne alcuni, integrando le applicazioni coinvolte in ogni passaggio. Più automatizzi, più velocemente potrai rispondere alla minaccia. Tuttavia, è importante ricordare che potresti non essere in grado di automatizzare tutto. Soprattutto certi passaggi critici potrebbero comunque richiedere un intervento manuale.
In che modo i playbook di risposta agli incidenti avvantaggiano le organizzazioni
-
Coerenza delle azioni
Ogni volta che segui una serie di passi predefiniti per completare un’attività, hai la certezza che il flusso (e con tutta probabilità il risultato finale) risulti lo stesso, indipendentemente dalla persona che esegue l’attività.
Se qualcosa va storto, è facile risalire all’errore perché protocolli e passaggi vengono registrati e documentati lungo il percorso.
-
L’automazione porta efficienza e velocità
Quando i processi sono anche automatizzati, la risposta è molto più rapida in quanto l’ intervento umano è ridotto al minimo.
-
Riduce gli errori umani
In presenza di una minaccia informatica, gli errori umani possono costare cari.
Inoltre l’automazione garantisce il completamento della maggior parte del flusso di lavoro, mentre gli esseri umani possono concentrarsi esclusivamente sulle parti critiche, per le quali è necessaria la loro attenzione.
-
Promuove la collaborazione in team
I passaggi in un playbook di risposta agli incidenti possono estendersi a più team come IT, sicurezza dei dati, operatori di rete e così via.
Poiché i passaggi sono intrecciati, tutti i team devono riunirsi per capire chi è responsabile e di quale passo specifico e come le varie applicazioni si integrano e si scambiano i dati.
Scenari in cui puoi utilizzare questi playbook
-
Identificare una minaccia
Ogni avviso generato da uno strumento di sicurezza deve essere controllato per identificare se si tratta davvero di una minaccia. È possibile recuperare informazioni, come il proprietario dei dati, l’ultimo backup dei dati o la posizione in cui è stato effettuato l’accesso ai dati, utilizzando applicazioni come Druva. Queste informazioni possono quindi essere inserite in uno strumento di automazione della sicurezza come Cortex XSOAR di Palo Alto Networks. Una volta che lo strumento di sicurezza ha elaborato i dati, può determinare se si tratta di una minaccia reale prima di avviare la serie successiva di passaggi.
-
Contenere un incidente
Limitare l’infezione a poche fonti di dati è un passaggio cruciale per difendersi da un attacco informatico. Il tuo playbook può specificare come portare offline un dispositivo o un server non appena lo strumento di gestione della rete rileva un comportamento anomalo della rete.
-
Condurre analisi approfondite
Dovresti utilizzare un playbook per estrarre informazioni da diverse applicazioni che possono aiutare a scoprire come e quando sei stato attaccato da un ransomware. Il playbook può consolidare queste informazioni in un file CSV e inviarlo via email alle parti interessate per l’analisi delle lacune che devono essere colmate.
-
Ripristinare i dati
Dopo aver eliminato manualmente il malware, puoi utilizzare un playbook per ripristinare automaticamente tutti i dati in quarantena nelle rispettive posizioni.
Puoi creare il tuo playbook personalizzato di risposta agli incidenti?
Assolutamente si!
Rishi di Palo Alto Networks afferma che Cortex XSOAR, uno strumento di automazione della sicurezza, ha diversi playbook di esempio specifici per vari casi d’uso già disponibili. Tuttavia, se desideri apportare modifiche per soddisfare i requisiti della tua organizzazione, hai la flessibilità di personalizzarlo in base alle tue esigenze e ai tuoi protocolli.
Puoi anche combinare i passaggi di più playbook di esempio per creare il tuo, creato su misura per le tue esigenze.
Allo stesso modo, alcune delle applicazioni che usi già oggi potrebbero anche avere i propri playbook che puoi esplorare. Rishi ritiene che l’app di Druva nel mercato Cortex XSOAR possa essere un buon punto di partenza per le organizzazioni che cercano di difendersi dai ransomware.
Guarda questo video di 15 minuti in cui parla con Prem Ananthakrishnan, VP Product di Druva, sulla creazione di playbook e sul loro valore per le organizzazioni di oggi. E guarda il Cyber Resilience Virtual Summit 2021 di Druva , ora disponibile su richiesta. In otto sessioni di 10-15 minuti, leader della sicurezza, esperti Druva e colleghi del settore discutono su come garantire che il ransomware non sia altro che un piccolo inconveniente.
Quando i tuoi dati vengono presi in ostaggio, hai bisogno delle persone giuste nel tuo team per recuperarli con fiducia.
Scopri di più su come Druva Data Resiliency Cloud garantisca l’integrità dei dati con backup veramente immutabili, che rendono impossibile l’esecuzione del ransomware nel tuo ambiente di backup.
Nexsys Team
