Chapter 1
In una situazione di attacco significativo quali sono le prime azioni che devo attuare per contenere gli effetti dell’attacco? Quali sono le prime azioni da intraprendere per una ripartenza in sicurezza? Cosa comunicare? Devo denunciare l’accaduto?
Riavviando le proprie attività dopo il week-end, il cliente ha scoperto che la maggioranza dei propri server era stata cifrata, e di essere stato oggetto di un attacco hacker non meglio identificato. L’azienda non era in condizioni di operare.
Comprendere la kill-chain dell’incidente e se ulteriori azioni di attacco fossero in corso, limitare l’ulteriore diffusione dell’infezione, predisporre un piano prioritizzato degli interventi di ripristino che consentisse all’azienda di tornare a operare in sicurezza nel più breve tempo possibile. Sviluppare un piano di interventi che consentisse la prevenzione di nuovi incidenti.
In una situazione di emergenza come quella vissuta il livello di pressione è fortissimo, per poter comprendere cosa è successo e riavvviare le attività è fondamentale poter contare sul supporto di un team che abbia già vissuto questo tipo di esperienze e che possa aiutare il cliente a sviluppare e guidare un piano operativo oltre che a trasmettere sicurezza al team e al management della Società.
Il Cliente ha subito un attacco cyber molto significativo che ha avuto come effetto la cifratura di una percentuale molto rilevante dei server aziendali con conseguente blocco dell’operatività dell’azienda. Scopo degli hacker è stato quello di ricattare la Società, chiedendo un riscatto economico per consegnare le chiavi che avrebbero consentito la decifratura dei dati. Spesso in questi attacchi si verifica anche una esfiltrazione dei dati e quindi ulteriormente minacciare la società chiedendo ingenti somme per non procedere alla pubblicazione delle informazioni. Esigenza della società era quello di ritornare alla piena operatività nel più breve tempo possibile, senza cedere al ricatto innalzando anche i presidi di sicurezza al fine di evitare il ripetersi della situazione.
Chapter 2
Cyber incident response: supporto al contenimento e alla gestione delle conseguenze di un incidente informatico.
Supporto al cliente con un team multisciplinare nelle azioni di contenimento e valutazione dell’incidente, comunicazione con le autorità competenti, identificazione delle misure di sicurezza necessarie per garantire un riavvio in sicurezza, predisposizione e gestione del piano di ripristino.
Cybersecurity Compliance: supporto all’indirizzamento delle esigenze di conformità in ambito Direttiva NIS e Perimetro Cyber.
Il team multidisciplinare EY ha affiancato il cliente fin dalla prime ore successive all’attacco, sviluppando e governando un piano di risposta all’incidente. Alla figura dell’incident manager, responsabile di orchestrare e monitorare lo svolgimento del piano, sono stati affiancati:
- un esperto di comunicazione per la definizione dei messaggi da diffondere all’interno e all’esterno dell’azienda;
- un legale, per la valutazione degli aspetti legali, ivi incluso la valutazione degli eventuali impatti privacy;
- un esperto forense, per il completamento delle attività di ricostruzione dell’incidente e di documentazione dell’incidente;
- un team di threat intelligence, al fine di analizzare il dark web alla ricerca di eventuali segnali che potessero evidenziare l’esfiltrazione di informazioni o di altri segnali di minaccia.
Il team ha provveduto alla eradicazione del malware ed attivazione di un servizio SOC e degli strumenti di monitoraggio che potessero consentire di mettere sotto controllo l’operatività dell’azienda e cogliere eventuali segnali di allarme.
Contemporaneamente sono state attivate le procedure di ripristino che, oltre alla verifica della non compromissione dei backup, ha previsto la definizione di una procedura di ricostruzione controllata delle macchine e della recovery dei dati.
Posta sotto controllo la situazione, compresa la root cause dell’attacco, e valutato il livello di maturità dei sistemi di protezione, è stato predisposto un piano prioritizzato di interventi finalizzato a migliorare la postura di sicurezza della società.
La presenza di un team competente, che ha vissuto esperienze precedenti in passato, ha consentito al cliente di ridurre le tempistiche di riavvio, evitando errori e rischi derivanti da una situazione di grave emergenza assolutamente nuova per lui.
Chapter 3
Contenimento dei danni, riavvio delle attività e miglioramento del livello di protezione da attacchi cyber.
Riduzione dei tempi di riavvio attraverso l’ottimizzazione del processo di recovery accompagnato da un processo ordinato di comunicazione efficace.
Una chiara e tempestiva ricostruzione della kill chain, l’individuazione della tipologia di attaccante ed una comprensione delle metodiche di comportamento ha consentito un processo molto efficace di contenimento del malware e di eradicazione dello stesso. L’attivazione in pochi giorni di un sistema di end point detection & response e di un sistema di monitoraggio ha consentito di porre sotto controllo ulteriori tentativi di attacco consentendo di potersi concentrare sulle procedure di ricostruzione e recovery.
Contestualmente l’analisi forense e legale ha consentito, dopo una notifica preliminare comunque effettuata nei termini di legge, di escludere la presenza di rischi significativi per gli interessati e quindi il data breach ai sensi della normativa sulla privacy.
La pronta predisposizione di un piano di interventi ha inoltre consentito di comunicare ai diversi stakeholders non solo quanto accaduto, ma anche un convincente piano di remediation.
