1 00:00:03,000 --> 00:00:04,200 Bentornati. 2 00:00:04,200 --> 00:00:08,000 Avete imparato come fare detect delle threats, ma cosa succede dopo aver confermato 3 00:00:08,000 --> 00:00:09,440 che qualcosa non va? 4 00:00:09,440 --> 00:00:12,160 È qui che inizia l'incident response. 5 00:00:12,160 --> 00:00:15,120 In questa lezione, esploreremo cosa significa incident response, 6 00:00:15,120 --> 00:00:18,120 le fasi del response lifecycle, 7 00:00:18,400 --> 00:00:21,920 e come le organizzazioni minimizzano il danno e ripristinano le operazioni. 8 00:00:23,160 --> 00:00:25,800 Un security incident è qualsiasi evento che minaccia 9 00:00:25,800 --> 00:00:30,480 la confidentiality, integrity, o availability di sistemi o dati. 10 00:00:31,200 --> 00:00:34,320 Esempi includono infezioni malware, 11 00:00:34,720 --> 00:00:38,920 phishing attacks, data breaches, insider misuse. 12 00:00:39,720 --> 00:00:43,640 Non tutti gli alerts sono incidents, ma una volta che qualcosa è confermato come reale 13 00:00:43,640 --> 00:00:47,280 e impattante, diventa una priorità per i team di incident response. 14 00:00:48,520 --> 00:00:51,520 La maggior parte delle organizzazioni segue un modello di risposta strutturato 15 00:00:51,720 --> 00:00:55,800 come quello del NIST (National Institute of Standards and Technology). 16 00:00:56,280 --> 00:00:58,080 Include: 1. 17 00:00:58,080 --> 00:01:02,240 Preparation: costruisci il tuo piano di risposta, strumenti e formazione. 18 00:01:03,040 --> 00:01:05,480 2. Detection e Analysis: 19 00:01:05,480 --> 00:01:08,920 Identifica e conferma l'incident. 3. 20 00:01:09,240 --> 00:01:10,200 Containment: 21 00:01:10,200 --> 00:01:13,440 Limita la diffusione. 4. Eradication: 22 00:01:13,680 --> 00:01:16,200 Rimuovi la minaccia da tutti i sistemi. 23 00:01:16,200 --> 00:01:17,160 5. 24 00:01:17,160 --> 00:01:18,200 Recovery: 25 00:01:18,200 --> 00:01:21,360 Ripristina le operazioni normali in sicurezza. 6. 26 00:01:21,920 --> 00:01:23,200 Lessons Learned: 27 00:01:23,200 --> 00:01:26,120 Analizza cosa è successo e migliora le difese. 28 00:01:26,120 --> 00:01:27,880 Non riguarda solo il reagire. 29 00:01:27,880 --> 00:01:28,920 Riguarda il migliorare. 30 00:01:30,120 --> 00:01:30,960 Le organizzazioni 31 00:01:30,960 --> 00:01:33,960 hanno spesso un Incident Response Team designato. 32 00:01:34,240 --> 00:01:38,840 IRT o CSIRT (Computer Security Incident Response Team). 33 00:01:39,720 --> 00:01:43,400 Sono responsabili di coordinare gli sforzi di risposta, 34 00:01:44,080 --> 00:01:46,560 documentare tutte le azioni, 35 00:01:46,560 --> 00:01:49,560 comunicare con la leadership e i team legali, 36 00:01:49,720 --> 00:01:52,760 notificare clienti o regolatori se necessario. 37 00:01:53,760 --> 00:01:57,960 Il loro lavoro è muoversi velocemente, minimizzare il danno, e contenere la minaccia. 38 00:01:59,200 --> 00:02:03,080 I team di risposta efficaci si affidano a incident playbooks: 39 00:02:03,440 --> 00:02:06,440 guide passo-passo per diversi tipi di attacco. 40 00:02:06,640 --> 00:02:10,320 Strumenti di case management per tracciare azioni e tempistiche. 41 00:02:11,000 --> 00:02:14,400 Strumenti di forensics per preservare e analizzare i dati. 42 00:02:15,160 --> 00:02:19,920 Log analysis più snapshots per prove e rollback. 43 00:02:20,920 --> 00:02:23,640 Ogni incident è diverso, ma avere strumenti 44 00:02:23,640 --> 00:02:26,640 strutturati e flussi di lavoro porta a risultati migliori. 45 00:02:27,480 --> 00:02:29,360 La Preparation è tutto. 46 00:02:29,360 --> 00:02:32,360 Il momento per pianificare un incident è prima che accada. 47 00:02:32,640 --> 00:02:35,920 Questo significa creare policy di incident response. 48 00:02:36,480 --> 00:02:39,120 Praticare tabletop exercises. 49 00:02:39,120 --> 00:02:41,520 Costruire relazioni tra IT, 50 00:02:41,520 --> 00:02:43,920 legale, HR e leadership. 51 00:02:45,000 --> 00:02:47,800 Le organizzazioni ben preparate rispondono più velocemente, 52 00:02:47,800 --> 00:02:51,800 contengono le minacce prima, e subiscono meno danni quando accade la cosa reale. 53 00:02:52,600 --> 00:02:54,760 Pronto per un piccolo quiz di riepilogo? 54 00:02:54,760 --> 00:02:55,840 Domanda uno. 55 00:02:55,840 --> 00:02:58,880 Quale dei seguenti si qualifica come un security incident? 56 00:02:59,320 --> 00:03:02,320 A riavviare un server dopo gli aggiornamenti. 57 00:03:02,640 --> 00:03:05,640 B malware trovato che si diffonde tra i sistemi. 58 00:03:05,760 --> 00:03:08,560 C dimenticare una password del Wi-Fi. 59 00:03:08,560 --> 00:03:11,560 D cambiare il livello di accesso di un utente. 60 00:03:11,640 --> 00:03:14,640 Pausa. 61 00:03:17,600 --> 00:03:18,480 La risposta corretta è 62 00:03:18,480 --> 00:03:22,400 B. Un'infezione malware è una chiara violazione dell'integrity 63 00:03:22,400 --> 00:03:25,400 del sistema e innesca un incident response. 64 00:03:26,160 --> 00:03:28,760 Domanda due: nel NIST incident 65 00:03:28,760 --> 00:03:31,760 response lifecycle, cosa viene dopo il containment? 66 00:03:32,360 --> 00:03:36,720 A prevention. B documentation. C 67 00:03:37,160 --> 00:03:40,680 escalation. D eradication. 68 00:03:41,320 --> 00:03:44,320 Riflettici. 69 00:03:47,400 --> 00:03:50,520 La risposta corretta è D. Dopo aver fatto containment della minaccia, 70 00:03:50,520 --> 00:03:53,520 i responders lavorano per fare eradicate (eliminare) completamente la minaccia dall'ambiente. 71 00:03:54,200 --> 00:03:58,640 Domanda finale perché la preparation è importante nell'incident response? 72 00:03:59,480 --> 00:04:02,480 A previene la necessità di backups. 73 00:04:02,640 --> 00:04:05,640 B evita di avere mai incidents. 74 00:04:05,760 --> 00:04:08,800 C aiuta a rispondere velocemente ed efficacemente. 75 00:04:09,320 --> 00:04:12,320 D velocizza il firewall. 76 00:04:12,640 --> 00:04:13,680 Pausa e pensa. 77 00:04:18,960 --> 00:04:20,240 La scelta corretta è 78 00:04:20,240 --> 00:04:25,760 C. La Preparation assicura una risposta più veloce e più coordinata quando si verificano incidents. 79 00:04:27,000 --> 00:04:28,440 Bel lavoro. 80 00:04:28,440 --> 00:04:31,400 Ora capisci cosa sono i security incidents, 81 00:04:31,400 --> 00:04:34,960 come vengono gestiti, e che aspetto ha il response lifecycle. 82 00:04:35,640 --> 00:04:38,920 Dopo, copriremo una parte critica di quel processo 83 00:04:39,320 --> 00:04:42,320 incident reporting e documentation. 84 00:04:42,320 --> 00:04:46,760 Perché ciò che registri determina cosa impari e come migliori. 85 00:04:47,040 --> 00:04:48,080 Continuiamo.