Che cos'è un CSIRT (Computer Security Incident Response Team)?

Un CSIRT è un componente essenziale della cybersecuritymoderna, che si occupa di rispondere rapidamente in caso di incidenti come violazioni di dati e attacchi ransomware. I CSIRT non solo riducono i danni, ma si concentrano anche sulla prevenzione dei rischi. Con l'evolversi delle minacce informatiche, i CSIRT rimangono essenziali, adattandosi alle nuove tecnologie ed esigenze organizzative per proteggere le aziende da potenziali interruzioni e perdite finanziarie.

Questo articolo esamina la composizione e lo scopo del CSIRT (Computer Security Incident Response Team). I CSIRT comprendono una serie di professionisti con diversi background nell'IT e nella cybersecurity. Lo scopo dei CSIRT è quello di rispondere in modo rapido ed efficiente agli incidenti di cybersecurity, ma anche di lavorare per prevenire in primo luogo il verificarsi di tali incidenti.

Un CSIRT è un gruppo di persone, organizzato in un'unità formale, la cui missione definita è fornire risposte rapide e orientate ai risultati in caso di incidenti di cybersecurity, come violazioni di dati o attacchi ransomware. Anche la mitigazione dei rischi è, in genere, un obiettivo per il CSIRT, poiché prevenire un attacco è meglio che reagire successivamente. A tal fine, i CSIRT forniscono servizi per la valutazione e la gestione dei rischi, con l'obiettivo di prevenire le emergenze di cybersecurity. L'ipotesi fondamentale è che qualsiasi organizzazione che si basa sui computer deve avere una capacità di risposta formale agli incidenti, eseguita da un team dedicato.

Un CSIRT, probabilmente, non esegue ogni processo di risposta agli incidenti, ma, piuttosto, si impegna nell'intento di coordinare le azioni di altri gruppi, partendo dai piani e dai protocolli predisposti. In particolare, il CSIRT cerca di contenere la minaccia o l'attacco, di eliminare la minaccia e di supervisionare le operazioni di recupero. Ad esempio, se un malware assume il controllo di un server, il team addetto alla sicurezza seguirà il protocollo esistente del CSIRT e isolerà il server in modo che il malware non possa diffondersi nella rete. Il CSIRT coordinerà quindi l'esecuzione di un processo tale da eliminare il malware e ripristinare il corretto funzionamento del server.

Spesso, il CSIRT conduce un'indagine post-incidente, eseguendo o indicando ad altri di occuparsi delle attività di follow-up, ad esempio, patch dei sistemi operativi o ripristino dei firewall oppure di assicurarsi di aver configurato le tecnologie difensive come i sistemi di rilevamento delle intrusioni (IDS) in modo da rilevare il malware che passa attraverso il server. Nell'ambito di questo processo, il CSIRT può aggiornare il suo piano di risposta. Inoltre, un CSIRT può essere coinvolto nella revisione e nella modifica delle policy di sicurezza, oltre alla gestione degli audit.

Il lavoro principale dei CSIRT è la risposta agli incidenti. Per ottenere l'impatto desiderato, bisogna essere rapidi, ma anche corretti, nel processo di risposta. Ogni CSIRT funziona in modo diverso, ma gli obiettivi sono sempre gli stessi: ridurre al minimo i danni a sistemi e dati, eliminare le minacce e ripristinare rapidamente lo stato operativo dei sistemi.

La preparazione è uno dei principali fattori del successo: il CSIRT lavora molto "dietro le quinte", pertanto tra un'emergenza e l'altra sembra che "non stia facendo nulla". In realtà, il CSIRT perfeziona costantemente le policy e le procedure adottate, collaborando con i suoi partner all'interno dell'organizzazione. Ad esempio, il CSIRT aggiorna regolarmente il sistema SOAR (Security Orchestration, Automation and Response) del SOC (Security Operations Center) e i relativi playbook sugli incidenti. Parallelamente, il CSIRT studia sempre i dati sulle minacce più recenti, spesso in sincronia con un ISAC (Information Sharing and Analysis Center).

Quando si verifica un incidente, il CSIRT entra in azione. Il CSIRT si impegna nell'intento di contenere le minacce e, al tempo stesso, informa tutte le parti interessate, come il reparto IT, i manager aziendali, l'ufficio legale, il team per le relazioni pubbliche e così via. Una volta contenuta e isolata la minaccia in questione, il CSIRT passa alla procedura di mitigazione, applicando una patch di sistema, e istruendo il reparto IT ad eseguire una patch su tutti i sistemi simili. Il CSIRT prepara quindi un rapporto sugli incidenti per le parti interessate e aggiorna le policy e le procedure adottare per evitare che un incidente simile si ripeta in futuro.

I CSIRT sono da molti anni una parte consolidata nel panorama della sicurezza delle informazioni, il che si riflette già nel nome stesso con cui si richiama un'epoca nelle quale alcuni importanti computer dominavano quello che allora era chiamato reparto MIS (Management Information System). Nessuno oggi direbbe: "Si è verificato un problema con il computer". Tuttavia, all'epoca, se "il computer", magari un sistema enorme in una sala server, aveva un problema di sicurezza, il CSIRT era lì per rispondere. La cybersecurity è diventata una questione molto più seria e complessa negli ultimi decenni, ma la necessità di un CSIRT rimane. In caso di problemi, le organizzazioni hanno bisogno di un CSIRT più che mai.

I CSIRT sono una necessità perché, nel panorama delle minacce odierne, la posta in gioco è altissima. Le aziende e le organizzazioni del settore pubblico devono difendersi da avversari persistenti e sofisticati. In alcuni casi, gli attacchi provengono anche dagli stati nazionali. Un incidente relativo alla cybersecurity può causare danni significativi alle attività, alle finanze e alla reputazione delle aziende. Una risposta rapida e ben pianificata è un imperativo assoluto. Ecco cosa offrono i CSIRT.

Oggi, il ruolo del CSIRT si sta fondendo in una serie di diversi settori dell'IT e della sicurezza. Ad esempio, se un'azienda dispone di un SOC, il team che lo gestisce collaborerà con il CSIRT, magari utilizzando le sue procedure. In alcuni casi, la stessa tecnologia ha assunto alcune delle mansioni tradizionali del CSIRT. Ad esempio, una piattaforma SOAR potrebbe integrare alcune policy del CSIRT nei propri workflow e i "playbook" necessari per la mitigazione delle minacce.

I CSIRT sono da molti anni una parte consolidata nel panorama della sicurezza delle informazioni, il che si riflette già nel nome stesso con cui si richiama un'epoca nelle quale alcuni importanti computer dominavano quello che allora era chiamato reparto MIS (Management Information System). Nessuno oggi direbbe: "Si è verificato un problema con il computer". Tuttavia, all'epoca, se "il computer", magari un sistema enorme in una sala server, aveva un problema di sicurezza, il CSIRT era lì per rispondere. La cybersecurity è diventata una questione molto più seria e complessa negli ultimi decenni, ma la necessità di un CSIRT rimane. In caso di problemi, le organizzazioni hanno bisogno di un CSIRT più che mai.

I CSIRT sono una necessità perché, nel panorama delle minacce odierne, la posta in gioco è altissima. Le aziende e le organizzazioni del settore pubblico devono difendersi da avversari persistenti e sofisticati. In alcuni casi, gli attacchi provengono anche dagli stati nazionali. Un incidente relativo alla cybersecurity può causare danni significativi alle attività, alle finanze e alla reputazione delle aziende. Una risposta rapida e ben pianificata è un imperativo assoluto. Ecco cosa offrono i CSIRT.

Oggi, il ruolo del CSIRT si sta fondendo in una serie di diversi settori dell'IT e della sicurezza. Ad esempio, se un'azienda dispone di un SOC, il team che lo gestisce collaborerà con il CSIRT, magari utilizzando le sue procedure. In alcuni casi, la stessa tecnologia ha assunto alcune delle mansioni tradizionali del CSIRT. Ad esempio, una piattaforma SOAR potrebbe integrare alcune policy del CSIRT nei propri workflow e i "playbook" necessari per la mitigazione delle minacce.

Ogni CSIRT ha una propria composizione distinta. Tuttavia, la maggior parte dei CSIRTS unisce persone e policy in modo da definire chiaramente i propri obiettivi. In termini di persone, un CSIRT, di solito, è costituito da un gruppo di membri dedicati, che è integrato da esperti che collaborano con la CSIRT in base alle necessità. I membri del team provengono sempre da background e competenze diversi. Ad esempio, alcuni sono esperti nella difesa dei sistemi Windows, mentre altri conoscono i sistemi Linux. Il team di base può essere assegnato al CSIRT a tempo pieno, ma ciò si verifica principalmente nelle organizzazioni molto grandi. Nella maggior parte dei casi, i membri del CSIRT svolgono lavori di routine nei reparti dell'IT e della cybersecurity.

Relativamente alle policy, oltre alla dichiarazione d'intenti del CSIRT e alle definizioni scritte dei relativi membri, il CSIRT è responsabile della creazione e della gestione di un insieme di documenti che ne stabiliscono le funzioni. Ad esempio, un CSIRT, di solito, dispone di un piano centrale di risposta agli incidenti, in cui si dichiara, per iscritto, che il team gestisce i processi di risposta agli incidenti in sede anziché per via telefonica. Il piano rivela in che modo il team CSIRT coordina la risposta agli incidenti assegnando le sue risorse a più gruppi che lo costituiscono.

Nell'ambito di questo impegno, un CSIRT si occupa anche di pubblicare moduli ed elenchi dei contatti da condividere con ciascun gruppo che fornisce i servizi richiesti all'interno dell'organizzazione. Questo passaggio potrebbe sembrare non necessario, ma l'esperienza dimostra che le parti interessate, spesso, non sanno chi contattare quando si verifica un incidente di sicurezza. Ad esempio, se il laptop del CEO viene rubato, l'assistente amministrativo deve contattare il CSIRT o chiamare semplicemente l'help desk IT, che potrebbe aver bisogno di chiare istruzioni per attivare il CSIRT.

Un CSIRT compila anche molti documenti relativi alle policy e alle procedure interne, che includono riguardano le mansioni svolte dal CSIRT, il modo con cui risponde agli incidenti, chi svolge i vari ruoli, come preparare i rapporti sugli incidenti e molto altro.

Le specifiche di queste policy variano in base alla struttura del CSIRT. Tra i comuni approcci organizzativi alla creazione di un CSIRT, figurano i seguenti:

• CSIRT centralizzato: un unico team viene utilizzato per l'intera organizzazione.
• CSIRT distribuito: più team sono dislocati in diverse aree geografiche e/o sono assegnati a diverse business unit.
• CSIRT di coordinamento: un CSIRT centralizzato coordina il lavoro dei CSIRT subordinati.
• CSIRT ibrido: in questa combinazione di modelli centralizzati e decentralizzati, il CSIRT centralizzato svolge mansioni a tempo pieno, mentre i CSIRT distribuiti vengono attivati in base alle necessità.
• CSIRT/SOC ibrido: il SOC è attivo nelle risposte agli incidenti e nella gestione degli avvisi su base giornaliera, mentre il CSIRT viene attivato in caso di gravi condizioni.
• CSIRT in outsourcing: un fornitore esterno esegue il lavoro del CSIRT, quindi si tratta di un approccio probabilmente più adatto ad un'organizzazione di piccole dimensioni. I CSIRT in outsourcing possono anche eseguire attività che non rientrano nelle competenze di un CSIRT interno, ad esempio la mitigazione dei ransomware o analisi forensi digitali.

Un team PSIRT (Product Security Incident Response Team) è analogo a un CSIRT, ma si concentra sugli aspetti relativi alla sicurezza dei prodotti di un'azienda. Ad esempio, se un'azienda produce hardware per computer, il PSIRT è responsabile della gestione di eventuali incidenti di sicurezza che si verificano con il prodotto, incluse le operazioni necessarie per tenersi aggiornati con le patch del firmware del prodotto e per riparare l'infrastruttura del cliente se il prodotto è oggetto di un attacco informatico.

A livello strutturale, il team PSIRT è paragonabile al CSIRT perché comprende esperti in aree complementari di cybersecurity, IT e conformità. In termini organizzativi, il PSIRT si trova, di solito, all'interno dell'organizzazione che si occupa di progettazione sicura nelle aziende. Pertanto, il PSIRT contribuisce all'SDL (Secure Development Lifecycle) delle aziende e può essere coinvolto anche nel processo di raccolta dei requisiti, nell'ambito del quale offre consigli sulla modellazione dei rischi per aiutare a garantire la creazione di un prodotto finale sicuro.

Per essere efficaci, i CSIRT si affidano ad una serie di tecnologie avanzate, che sono state progettate per rilevare, analizzare e mitigare le minacce informatiche in tempo reale. Gli strumenti essenziali includono:

• Gestione delle informazioni e degli eventi di sicurezza (SIEM, Security Information and Event Management): aggrega e analizza i dati dei registri provenienti da varie fonti, aiutando a rilevare potenziali minacce mediante l'identificazione di anomalie o comportamenti insoliti nel traffico di rete.
• Risposta e rilevamento degli endpoint (EDR, Endpoint Detection and Response): fornisce visibilità su endpoint quali laptop, server o dispositivi mobili, consentendo al CSIRT di rilevare e rispondere a minacce avanzate come i ransomware.
• Sistemi anti-intrusione (IDPS, Intrusion Detection and Prevention System): monitorano il traffico di rete per rilevare segni di accessi o attacchi non autorizzati e può adottare misure proattive per bloccare o mitigare tali attacchi.
• Piattaforme di intelligence sulle minacce: raccolgono e analizzano le informazioni sulle minacce note, fornendo al CSIRT dati utili per proteggersi da attacchi e vulnerabilità emergenti.
• Automazione: l'automazione della gestione degli incidenti tramite le piattaforme SOAR consente ai team di rispondere agli incidenti su vasta scala. L'automazione consente, inoltre, la standardizzazione dei playbook sulla risposta agli incidenti, riducendo il tempo necessario per rilevare e mitigare le minacce.

Cosa serve per creare un CSIRT efficace? Le best practice da seguire includono varie fasi, dall'ottimizzazione della disponibilità del CSIRT (24 ore su 24, 7 giorni su 7) ai membri di team competenti in varie mansioni. Più persone sanno come fare le cose e hanno la capacità di svolgere velocemente il lavoro degli altri, più efficace sarà il CSIRT. La formazione continua, in generale, è una best practice da adottare. Un buon CSIRT costruisce sempre le sue competenze di base e perfeziona le sue pratiche. È utile modellare i rischi e gli scenari e verificare la risposta del CSIRT. È anche consigliabile stabilire rapporti con gli sponsor esecutivi all'interno dell'organizzazione. Un CSIRT ha un suo costo, quindi la sua esistenza potrebbe suscitare dei dubbi nei momenti con budget più limitati, pertanto, è bene che questo team sia supportato a livello dirigenziale.

Una funzione chiave di qualsiasi CSIRT è la valutazione degli incidenti, che aiuta a valutare la vulnerabilità dell'organizzazione nei confronti di varie minacce informatiche. Queste valutazioni valutano l'infrastruttura, i protocolli di sicurezza e le capacità di risposta agli incidenti di un'organizzazione per identificare le sue vulnerabilità che potrebbero essere sfruttate dai criminali informatici, nonché quando devono essere coinvolte le forze dell'ordine.

Sono necessarie valutazioni regolari per individuare le vulnerabilità presenti all'interno di nuovi software, eventuali errori di configurazione o le pratiche dei dipendenti che potrebbero causare accessi non autorizzati o infezioni da malware. Inoltre, le valutazioni regolari aiutano le organizzazioni a prepararsi per affrontare vettori di attacco sempre più sofisticati, come i bot, i malware di cryptomining o gli attacchi DDoS.

Una valutazione approfondita non implica solo la revisione dei sistemi interni, ma anche la valutazione del panorama dei fornitori dell'organizzazione, data la crescente possibilità di attacchi alla supply chain. Come è stato dimostrato da molte violazioni di alto profilo, la sicurezza di un'organizzazione è efficace solo quanto il suo anello più debole.

Il CSIRT è un elemento essenziale di una strategia di cybersecurity efficace perché ogni azienda si trova oggi a dover affrontare notevoli interruzioni e spese se un sistema critico si interrompe o subisce una violazione dei dati. Un CSIRT può mitigare gli impatti aziendali più critici nel caso si verifiche un evento di questo tipo. I membri del CSIRT dispongono, nel complessivo, di competenze tali da rispondere in modo rapido ed efficace agli incidenti relativi alla cybersecurity; inoltre, contribuiscono a prevenire gli attacchi. Occupandosi anche della creazione delle policy, il ruolo del CSIRT si espande, anziché ridursi, man mano che i processi di sicurezza si modernizzano e diventano più automatizzati.