Nel nostro precedente post per il Cybersecurity Awareness Month (CSAM), abbiamo parlato del rilevamento delle minacce. Poiché le minacce sono cambiate, in particolare durante lo scorso anno, disporre degli strumenti e dei processi giusti per rilevare le minacce man mano che si presentano è fondamentale per mantenere una solida posizione di sicurezza.
Tuttavia, il rilevamento delle minacce gioca solo una parte. Mentre alcune minacce, una volta rilevate, hanno risposte semplici, altre possono gonfiare i danni al punto da danneggiare seriamente un’organizzazione. Oggi parleremo di due cose: la risposta agli incidenti e le tecnologie di ripristino.
Immergiamoci.
Rispondi e recupera
Quando sorgono minacce, il tuo team deve risolvere i problemi in modo rapido e professionale. Il modo in cui lo gestisci può fare un’enorme differenza sul fatto che tu mantenga o meno il cliente felice (e pagante). Ciò significa che è necessaria una combinazione di politiche forti e tecnologia solida.
SVILUPPA UN PROCESSO IR (RISPOSTA AGLI INCIDENTI)
Prima di poter ripristinare la piena forza dei tuoi clienti, ti consigliamo di disporre di un piano di risposta agli incidenti (IR). Il piano non deve essere ampio, ma dovresti avere un processo fisso in atto per affrontare gli incidenti man mano che si verificano. Sebbene la risposta agli incidenti sia un argomento in sé e per sé (e può essere una profonda tana di coniglio), cerca di assicurarti almeno di avere un’idea dei passaggi da intraprendere: mettere in quarantena macchine infettive, indagare su cosa è successo, risolvere il problema, quindi test per assicurarsi che non ci siano effetti collaterali indesiderati. Dovrai anche capire come comunicare al meglio con i tuoi clienti durante il processo, sia in termini di tenerli aggiornati durante i tempi di inattività sia spiegando come prevenirai problemi futuri.
FORMALIZZA IL TUO PIANO
Quindi assicurati di scriverlo . Non vuoi saltare questo passaggio. Quando si verifica un incidente, sarai grato di avere istruzioni dettagliate per il tuo team su come gestire al meglio un incidente. Una buona parte della gestione degli incidenti di sicurezza implica mantenere la mente lucida sotto pressione; avere un piano scritto aiuta a ridurre il rischio di confusione o errori. Inoltre, assicurati di rivisitare e aggiungere al piano almeno una volta al trimestre, poiché i tuoi passaggi cambieranno nel tempo (e potrebbero essere leggermente diversi a seconda della base di clienti).
FAI PRATICA PER GLI INCIDENTI PRIMA CHE ACCADANO
Abbiamo detto che avere un piano scritto aiuta a ridurre la confusione. Così fa la pratica. Quando le persone affrontano per la prima volta un incidente di sicurezza, possono innervosirsi o entrare in modalità panico. Ecco perché è importante prepararsi in anticipo. Se riesci a trovare il tempo, prova a mettere in atto incidenti specifici, in particolare ransomware, in modo che ogni persona sappia la sua parte e non la affronterà per la prima volta dal vivo.
ESEGUI SPESSO IL BACKUP
Oltre al tuo processo, avrai anche bisogno di alcuni strumenti nella tua cassetta degli attrezzi e un backup basato su cloud è un must. Il backup delle workstation nell’archiviazione cloud è un must assoluto per aiutare a prevenire la perdita di dati, in particolare durante l’era del lavoro remoto pesante, poiché le persone potrebbero essere più rilassate riguardo alla connessione a un server aziendale per salvare i propri file. Se puoi, prova a eseguire il backup dell’intero endpoint o almeno dei documenti aziendali critici. E assicurati di pianificare i tuoi processi di backup in modo da soddisfare comunque gli obiettivi del punto di ripristino.
PROVA PER IL RECUPERO
Riprendendo un tema da prima, ti consigliamo di assicurarti di essere pronto quando arriva il momento di ripristinare. Ecco perché consigliamo di testare frequentemente la recuperabilità dei backup dei clienti. L’ultima cosa che vuoi è scoprire che un backup è stato danneggiato o che non puoi ripristinarlo mentre sei nel mezzo di una crisi.
USA EDR CON ROLLBACK
Infine, SolarWinds ® Endpoint Detection and Response (EDR) include una funzione di rollback automatizzata che può ripristinare rapidamente uno stato sicuro di un endpoint basato su Windows dopo una potenziale minaccia. In effetti, può eseguire una serie di azioni guidate da criteri, tra cui mettere in quarantena i file, disconnettere endpoint da una rete o bloccare le connessioni a siti dannosi. Sebbene l’EDR sia stato menzionato nel blog precedente sul rilevamento, svolge anche un ruolo fondamentale nei processi di risposta e ripristino. Poiché i clienti lavorano in remoto, EDR può lavorare quasi come team di risposta agli incidenti indipendenti su ciascun endpoint, spesso interrompendo un problema prima che subisca danni eccessivi. E poiché il 76% delle organizzazioni ha previsto che il lavoro remoto aumenterebbe i tempi di IR nel Costo di una violazione dei dati di quest’annorapporto di Ponemon e IBM, la funzione di rollback automatizzato potrebbe valere il suo peso in oro. Tuttavia, è importante notare che questa funzione non sostituisce il backup basato su cloud. Ne avrai ancora bisogno per il rollback su macchine che non sono Windows ed è comunque importante per altre forme di perdita di dati.
Mantenere la calma sotto pressione
Gli incidenti di sicurezza si verificheranno nonostante i tuoi piani e le tue difese migliori. Succede alle grandi imprese tanto quanto alle piccole imprese. Ciò che ti fa dimostrare il tuo valore ai tuoi clienti dipende da come gestisci l’incidente e dalla rapidità con cui li ripristini. Assicurati di avere un buon processo IR in atto in modo da poter mantenere i tuoi clienti al sicuro (e felici).
A volte, c’è un intoppo quando si tratta di recupero. Da un lato, hai bisogno degli strumenti giusti per assicurarti di poter ripristinare i dati in un attimo. Ma alcuni clienti possono risparmiare sul backup nel tentativo di risparmiare sui costi, spesso senza comprendere veramente il rischio fino a quando non è troppo tardi.
Per aiutarti a risolvere questo problema, scarica l’EBook gratuito: Guida completa alla vendita della protezione dei dati. Aiuterà la preparazione dei tuoi clienti a un evento di perdita di dati e contribuirà a migliorare i tuoi profitti.
FONTE: SolarWinds MSP BLOG
Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP