Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
CIS Control 17. Incident Response Management

CIS Control 17. Incident Response Management

Jun 23, 2022

Il Center for Internet Security (CIS) offre i Critical Security Controls (CSC) che aiutano le organizzazioni a migliorare la cybersecurity. Il CSC 17 del CIS copre la risposta e gestione degli incidenti. (Nelle versioni precedenti dei CIS controls, la gestione degli incidenti di sicurezza era trattata nel Controllo 19.)

CIS CSC 17 si concentra su come sviluppare un piano per rispondere agli attacchi e ad altri incidenti di sicurezza, inclusa l'importanza di definire ruoli chiari per coloro che sono responsabili dei vari compiti coinvolti.

Contenuti correlati selezionati:

Le raccomandazioni aiutano a migliorare la capacità di risposta. Tuttavia, le imprese possono anche utilizzare la guida per la risposta agli incidenti di cybersecurity del Council of Registered Security Testers (CREST) per un piano di sicurezza e una risposta agli incidenti migliori.

Prima di approfondire le misure di salvaguardia per la risposta agli incidenti e il controllo della gestione, è fondamentale comprendere cosa possa qualificarsi come un incidente.

Eventi di sicurezza e incidenti di sicurezza: Qual è la differenza?

Un evento di sicurezza e un incidente di sicurezza sono due cose diverse nel linguaggio della sicurezza delle informazioni. Gli incidenti di sicurezza sono tipicamente il risultato di eventi di sicurezza che non sono stati gestiti in tempo. Ad esempio, una modifica impropria alla configurazione di un controllo di accesso, come un GPO o un gruppo di sicurezza, è un evento di sicurezza. Quando un hacker sfrutta quella modifica della configurazione per rubare dati dai sistemi informativi, quello è un incidente di sicurezza. Gli incidenti si verificano molto meno frequentemente degli eventi e possono essere molto più dannosi. Semplificando, un incidente è un evento con conseguenze dannose.

Per una gestione efficace delle risposte agli incidenti, un team designato dovrebbe creare un piano di risposta dettagliato per tutti gli incidenti di sicurezza noti, inclusi il personale designato e le capacità di recupero. Avere un piano solido aiuta ad affrontare problemi di sicurezza come l'integrità dei dati così come la conformità con i mandati di protezione dei dati e altre normative.

Ecco le nove misure di salvaguardia del controllo di risposta agli incidenti CIS:

17.1. Designare il personale per gestire la gestione degli incidenti

Questa misura di sicurezza suggerisce di designare un contatto principale e un sostituto per gestire il processo di gestione degli incidenti, inclusi il coordinamento e la documentazione degli sforzi di risposta e recupero dagli incidenti. Questa designazione dovrebbe essere rivista annualmente e ogni volta che cambiamenti significativi impattano sulla sicurezza.

Il contatto chiave può essere un dipendente all'interno dell'azienda o un fornitore terzo. Entrambi gli approcci hanno i loro pro e contro. Avere un dipendente come responsabile chiave assicura che la gestione delle risposte rimanga all'interno dell'organizzazione, ma, a seconda delle dimensioni dell'organizzazione, l'incarico può essere troppo per un solo dipendente. Un terzo specializzato nella gestione della sicurezza potrebbe gestire meglio un incidente di sicurezza. Se un terzo è designato per la valutazione del rischio e la risposta agli incidenti, la misura di sicurezza raccomanda di avere almeno una persona all'interno dell'organizzazione per fornire supervisione.

17.2. Stabilire e Mantenere le Informazioni di Contatto per la Segnalazione di Incidenti di Sicurezza

È importante mantenere informazioni di contatto accurate per tutte le parti che dovrebbero ricevere informazioni sugli incidenti di sicurezza. I dettagli dei contatti di queste parti dovrebbero essere facilmente e rapidamente accessibili. L'elenco può essere ordinato in base alla priorità.

L'elenco include generalmente coloro che sono responsabili della gestione delle risposte e coloro che hanno il potere di prendere decisioni significative. Un team di risposta agli incidenti potrebbe anche dover informare le forze dell'ordine, i fornitori partner, i fornitori di assicurazioni cyber o il pubblico.

Dovrebbero esserci meccanismi in atto per contattare e informare le parti rilevanti su un incidente tempestivamente. Automatizzare il processo di notifica degli incidenti può essere d'aiuto.

Le informazioni di contatto dovrebbero essere aggiornate una volta all'anno o più frequentemente per garantire che le notifiche raggiungano tutte le parti interessate.

17.3. Stabilire e mantenere un processo aziendale per la segnalazione degli incidenti

La salvaguardia precedente riguarda chi dovrebbe essere informato sugli incidenti. Questa salvaguardia affronta come gli incidenti dovrebbero essere segnalati, inclusi il lasso di tempo per la segnalazione, i meccanismi per la segnalazione e le informazioni da segnalare (come il tipo di incidente, l'orario, il livello di minaccia, il sistema o il software impattato, i log di audit, ecc.)

Avere un flusso di lavoro di reporting documentato rende più facile per chiunque apprenda di un incidente informare il personale giusto in modo tempestivo ed efficace. Questo processo dovrebbe essere disponibile a tutto il personale e essere rivisto annualmente e ogni volta che si verificano cambiamenti significativi che possono impattare sulla sicurezza.

17.4. Stabilire e mantenere un processo di risposta agli incidenti

Questa misura di sicurezza richiede la creazione di una roadmap per la risposta agli incidenti definendo ruoli e responsabilità, piani di comunicazione e sicurezza, e requisiti di conformità. Senza compiti assegnati e istruzioni chiare, le parti potrebbero pensare che qualcun altro stia gestendo un determinato compito quando in realtà nessuno lo sta facendo.

Il processo di risposta dovrebbe delineare ampiamente i passaggi, inclusi il monitoraggio e l'identificazione della minaccia informatica associata all'incidente, la definizione degli obiettivi per la gestione dell'incidente e l'azione per prevenire danni o recuperare beni. Molti team di risposta agli incidenti utilizzano jump kits che contengono risorse necessarie per investigare e rispondere agli incidenti, come computer, dispositivi di backup, fotocamere, stampanti portatili e software di analisi forense digitale come gli analizzatori di protocollo.

Di solito, il primo passo è accertare la natura dell'incidente in modo che possano essere implementate le procedure di risposta appropriate. Con obiettivi chiari in mente, i team possono impegnarsi per rallentare la minaccia. Quindi possono prendere i passi appropriati basati sul loro piano d'azione documentato per gestire l'incidente e invertire qualsiasi danno.

Questo processo dovrebbe essere rivisto una volta all'anno e ogni volta che cambiamenti significativi possono impattare sulla sicurezza.

17.5. Assegnare ruoli e responsabilità chiave

Come delineato nella precedente misura di salvaguardia, gli addetti alla gestione degli incidenti devono conoscere il proprio ruolo nelle procedure di risposta. Assegnare ruoli e responsabilità chiave a diversi individui o team, se applicabile. Ciò può includere il team di sicurezza (addetti alla gestione degli incidenti), gli amministratori di sistema, il personale legale, le pubbliche relazioni (PR) e i membri del team delle risorse umane (HR), e gli analisti. Naturalmente, i team di sicurezza e IT avranno la maggior parte delle responsabilità in caso di un incidente di cybersecurity. Tuttavia, anche altro personale essenziale, come quelli nei dipartimenti legali o HR, dovrebbe conoscere le proprie funzioni.

L'elenco dei ruoli e delle relative responsabilità dovrebbe essere esaminato e rivisto annualmente e ogniqualvolta si verifichi un cambiamento significativo.

17.6. Definire i meccanismi per la comunicazione durante la risposta agli incidenti

La comunicazione è fondamentale quando si tratta di segnalazione e valutazione degli incidenti. Mentre le altre misure di sicurezza descrivono cosa comunicare e a chi comunicare, questa misura di sicurezza descrive come comunicare. Dovrebbero esserci canali di comunicazione predefiniti come email o telefono.

Anche i piani di contingenza dovrebbero essere definiti. Ad esempio, un incidente grave può rendere impossibile la comunicazione via email. Pertanto, dovrebbe esserci un altro meccanismo di comunicazione per informare le parti necessarie e fornire aggiornamenti sulla risposta all'incidente.

17.7. Condurre esercitazioni di risposta agli incidenti di routine

È anche importante prepararsi per gli incidenti reali conducendo esercizi e scenari di risposta agli incidenti di routine per il personale chiave. Questi esercizi metteranno alla prova e verificheranno i diversi aspetti del piano e delle procedure di risposta agli incidenti, come i canali di comunicazione, i flussi di lavoro e le indagini. Ad esempio, esercitarsi a rispondere agli incidenti di rete che interrompono il flusso critico di informazioni nell'organizzazione. Condurre questi esercizi almeno una volta all'anno.

I team possono utilizzare la NIST Technical Guide to Security Testing and Assessment per formulare esercitazioni pratiche.

17.8. Condurre revisioni post-incidente

Dopo ogni incidente, le organizzazioni devono indagare sia sull'incidente che sulla loro risposta. Dovrebbero designare il personale responsabile per eseguire questa analisi e creare un rapporto post-incidente per identificare le azioni di follow-up e gli errori.

Il rapporto post-incidente dovrebbe rispondere a domande come:

  • Cosa è esattamente successo?
  • Cosa l'ha causato?
  • Come hanno risposto i responsabili?
  • Quanto tempo ha richiesto la risposta?
  • La procedura di risposta è stata adeguata?
  • Cosa si sarebbe potuto fare meglio?
  • Le informazioni nel rapporto di incidente erano sufficienti?
  • Cosa si sarebbe potuto fare diversamente?
  • Quali misure possono prevenire tali incidenti in futuro?

17.9. Stabilire e mantenere le soglie degli incidenti di sicurezza

Questa misura di sicurezza aiuta le organizzazioni a distinguere gli incidenti di sicurezza dagli eventi di sicurezza. Definendo diversi incidenti e il loro impatto, le organizzazioni possono assicurarsi che le loro risorse vadano agli incidenti critici e non solo a eventi anomali minori. Inoltre, aiuta a creare un sistema di priorità per gli incidenti in modo che i soccorritori sappiano quando reagire e come rispondere.

Identificare e classificare gli incidenti può standardizzare le procedure di risposta in futuro. L'organizzazione dovrebbe aggiornare le proprie soglie per includere nuove minacce interne ed esterne che si qualificano come incidenti.

Sommario

Le nove misure di salvaguardia del CIS CSC 17 aiutano le organizzazioni a implementare una solida gestione delle risposte agli incidenti, inclusa l'assegnazione dei ruoli, la gestione dei contatti, la pratica degli scenari e l'analisi e la documentazione degli incidenti.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza