Ripasso rapido: Risposta agli incidenti – ISC2 CC

Cosa devi sapere davvero

La risposta agli incidenti è il processo con cui una organizzazione gestisce eventi di sicurezza che possono compromettere sistemi, dati, utenti o servizi.

Per ISC2 CC devi conoscere le fasi principali dell’incident response e capire che non basta “risolvere il problema tecnico”. Bisogna prepararsi prima, rilevare correttamente, contenere il danno, eliminare la causa, recuperare i sistemi e imparare dall’incidente.

Concetti chiave

• Incidente di sicurezza: evento che compromette o minaccia riservatezza, integrità o disponibilità.
• Evento di sicurezza: attività osservata che può essere normale o sospetta.
• Preparazione: pianificazione, procedure, ruoli, strumenti e formazione prima dell’incidente.
• Rilevamento: identificazione di segnali, alert o anomalie.
• Analisi: valutazione dell’evento per capire natura, impatto e priorità.
• Contenimento: limitazione del danno e prevenzione della propagazione.
• Eradicazione: rimozione della causa dell’incidente.
• Recupero: ripristino sicuro dei sistemi e dei servizi.
• Lessons learned: analisi finale per migliorare controlli e procedure.
• Escalation: coinvolgimento di persone o team appropriati quando necessario.

Differenze da non confondere

Concetto	Significato principale
Evento	Attività osservata, non sempre dannosa
Incidente	Evento che compromette o minaccia la sicurezza
Rilevamento	Scoprire un possibile problema
Analisi	Capire cosa sta succedendo
Contenimento	Limitare il danno
Eradicazione	Eliminare la causa
Recupero	Ripristinare sistemi e servizi
Lessons learned	Migliorare dopo l’incidente
Escalation	Coinvolgere ruoli o team superiori

Evento e incidente

Un evento di sicurezza è qualcosa che viene osservato: un login fallito, un alert, un cambio di configurazione, un traffico anomalo o un file modificato.

Non tutti gli eventi sono incidenti.

Un incidente di sicurezza è un evento che ha un impatto reale o potenziale sulla sicurezza. Può riguardare perdita di dati, accesso non autorizzato, malware, interruzione di servizio, compromissione di account o violazione di policy.

Per ISC2 CC devi ricordare che l’analisi serve proprio a distinguere eventi normali, falsi positivi e incidenti reali.

Preparazione

La preparazione è la fase che avviene prima dell’incidente. È fondamentale perché durante un attacco non c’è tempo per inventare ruoli, procedure e responsabilità.

Esempi di preparazione:

• piano di incident response;
• ruoli e responsabilità definiti;
• contatti di emergenza;
• procedure di escalation;
• strumenti di logging e monitoraggio;
• backup;
• formazione del personale;
• esercitazioni e simulazioni;
• procedure di comunicazione.

Una organizzazione preparata reagisce più velocemente e riduce l’impatto dell’incidente.

Rilevamento e analisi

Il rilevamento consiste nell’identificare segnali di possibile compromissione o attività sospetta.

Fonti comuni:

• log di sistema;
• IDS o IPS;
• SIEM;
• alert endpoint;
• segnalazioni degli utenti;
• monitoraggio di rete;
• anomalie nei comportamenti;
• accessi falliti o insoliti.

L’analisi serve a capire se l’evento è davvero un incidente, quanto è grave, quali sistemi sono coinvolti e quale risposta è necessaria.

Contenimento

Il contenimento serve a limitare il danno e impedire che l’incidente si propaghi.

Esempi:

• isolare un host compromesso;
• disabilitare un account sospetto;
• bloccare traffico malevolo;
• scollegare temporaneamente un sistema dalla rete;
• applicare regole firewall;
• revocare token o sessioni compromesse.

Il contenimento deve essere fatto con attenzione: una azione troppo rapida ma non coordinata può cancellare prove, interrompere servizi critici o spostare l’attaccante altrove.

Eradicazione

L’eradicazione consiste nel rimuovere la causa dell’incidente.

Esempi:

• rimuovere malware;
• chiudere una vulnerabilità;
• applicare patch;
• correggere configurazioni errate;
• eliminare account non autorizzati;
• rimuovere backdoor;
• cambiare credenziali compromesse.

Il punto chiave è che non basta riavviare un sistema. Bisogna eliminare ciò che ha permesso o mantenuto la compromissione.

Recupero

Il recupero consiste nel riportare sistemi e servizi a uno stato operativo sicuro.

Esempi:

• ripristinare dati da backup;
• rimettere online sistemi bonificati;
• verificare che non ci siano persistenze;
• monitorare i sistemi dopo il ripristino;
• validare configurazioni e controlli;
• confermare che il servizio sia stabile.

Il recupero deve essere controllato. Ripristinare troppo presto un sistema ancora compromesso può far ripartire l’incidente.

Comunicazione ed escalation

Durante un incidente è importante comunicare in modo corretto e coinvolgere le persone giuste.

La comunicazione può coinvolgere:

• team IT;
• sicurezza;
• management;
• legale;
• privacy o compliance;
• utenti;
• clienti;
• fornitori;
• autorità, se richiesto;
• comunicazione esterna.

L’escalation serve quando l’incidente supera il livello gestibile da un singolo team o richiede decisioni formali.

Per ISC2 CC devi ricordare che la comunicazione deve essere controllata, documentata e coerente con policy e obblighi legali.

Lessons learned

La fase di lessons learned avviene dopo la gestione dell’incidente. Serve a capire cosa è successo, cosa ha funzionato, cosa non ha funzionato e cosa migliorare.

Può includere:

• revisione della timeline;
• analisi della causa radice;
• aggiornamento delle procedure;
• miglioramento dei controlli;
• formazione aggiuntiva;
• correzione di configurazioni;
• revisione dei tempi di risposta;
• aggiornamento del piano di incident response.

Questa fase è importante perché trasforma un incidente in un’occasione di miglioramento.

Documentazione

Durante un incidente bisogna documentare decisioni, azioni, tempi, evidenze e comunicazioni.

La documentazione serve per:

• audit;
• analisi post-incidente;
• compliance;
• indagini;
• responsabilità;
• miglioramento dei processi;
• eventuali obblighi legali.

Per ISC2 CC devi ricordare che una risposta efficace non è solo tecnica, ma anche procedurale e documentata.

Errori comuni nei quiz

• Confondere evento e incidente.
• Pensare che il contenimento sia la stessa cosa dell’eradicazione.
• Pensare che il recupero venga prima del contenimento.
• Dimenticare la fase di preparazione.
• Pensare che basti riavviare un sistema compromesso.
• Ignorare comunicazione, escalation e documentazione.
• Saltare la fase di lessons learned.
• Pensare che tutti gli alert siano automaticamente incidenti reali.
• Ripristinare un sistema senza verificare che la causa sia stata eliminata.

Mini scenario d’esame

Un endpoint aziendale mostra attività sospetta e comunica con un dominio malevolo. Il team di sicurezza scollega temporaneamente il dispositivo dalla rete per evitare che l’attività si propaghi ad altri sistemi.

Questa azione è un esempio di contenimento, perché limita il danno mentre il team analizza e gestisce l’incidente.

Mini checklist prima del quiz

Prima di iniziare il quiz dovresti saper spiegare:

• la differenza tra evento e incidente;
• perché la preparazione è importante;
• cosa significa rilevare un incidente;
• a cosa serve l’analisi;
• cosa significa contenimento;
• cosa significa eradicazione;
• cosa significa recupero;
• perché la comunicazione deve essere controllata;
• quando serve escalation;
• perché le lessons learned sono importanti;
• perché la documentazione è parte della risposta agli incidenti.