SHIELD

Organizzazione

Risposta agli incidenti sul campo: i primi 90 minuti

Cosa si fa nei primi 90 minuti di un incidente di sicurezza, sul campo, senza le risorse di un grande gruppo.

Pubblicato il 15 min di lettura Critical

Ultima revisione:

Sala riunioni aziendale moderna

Sono le 23:17. Una direttrice amministrativa mi chiama, la voce bianca: una mail firmata dall’amministratore delegato chiede un bonifico «urgente e confidenziale», ha appena capito che non era lui. Prima domanda che pongo: «Il bonifico è partito?» Silenzio. «Sì, quaranta minuti fa.» Seconda domanda: «Ha ancora il computer acceso, la mail aperta?» «No, ho chiuso tutto e riavviato per stare tranquilla.» È lì che cominciano le vere perdite — non con l’attacco, con i quaranta minuti di silenzio e il riavvio che cancella tutto.

Angle de lecture

La trappola abituale

La risposta agli incidenti si riassume, nella testa della maggior parte delle persone, in «chiamare qualcuno che saprà». Questa frase presuppone due cose false: che il qualcuno esista e che risponda, e che i primi minuti non contino tanto purché si finisca per raggiungere la persona giusta. Entrambe sono false. La persona non è quasi mai raggiungibile entro l’ora, e i primi minuti sono precisamente quelli che determinano l’ampiezza dei danni.

La seconda trappola è il riflesso di pulizia. Davanti a un dispositivo che si comporta male, a un account che invia mail da solo, a una mail di riscatto, l’istinto dice: chiudi tutto, riavvia, lancia l’antivirus, elimina il file sospetto. Ciascuno di questi gesti distrugge prove e, spesso, non ferma proprio nulla. L’attaccante non è nella stanza; opera da un server dall’altra parte del mondo, e spegnere la vostra macchina non lo disconnette — cancella soltanto ciò che avrebbe permesso di capire cosa ha fatto.

La terza trappola, la più costosa, è l’idea che la risposta agli incidenti si concepisca durante l’incidente. Il NISTIstituto americano che pubblica gli standard di riferimento in cybersicurezza (CSF, SP 800-*)., nella sua guida di riferimento la SP 800-61Processo strutturato di gestione di un incidente di sicurezza: rilevamento, contenimento, eradicazione, ripristino., colloca la preparazione come prima fase del ciclo, ancor prima della rilevazione. Non è teoria burocratica. Quando l’incidente arriva, non avete più la banda passante mentale per riflettere: eseguite ciò che è già deciso, oppure improvvisate male. I primi 90 minuti non si inventano alle 23:17. Si preparano un martedì pomeriggio tranquillo, settimane prima.

Cosa accade davvero nei primi 90 minuti

Un incidente, sul campo, non arriva mai nella forma pulita dei manuali. Arriva come un dubbio. «È strana, questa mail.» «Il mio portatile arranca da stamattina.» «Perché sono disconnesso da tutti i miei account?» La prima battaglia non è tecnica, è cognitiva: riconoscere di avere forse un incidente, e accettare di reagire come tale prima di esserne certi. Il costo di un falso allarme trattato seriamente è basso. Il costo di un vero incidente trattato come un falso allarme è catastrofico.

Il modello di minaccia reale sul campo sta in tre famiglie. La prima: la compromissione di account. Credenziali rubate via phishingAttacco di ingegneria sociale che spinge il bersaglio a fornire le proprie credenziali o eseguire codice., riutilizzate da una fuga di dati, o catturate tramite un MFAAutenticazione a più fattori: combinare due prove d'identità indipendenti per accedere. aggirato. Il segno tipico: connessioni da un paese in cui non vi trovate, regole di inoltro automatico create nella messaggistica senza la vostra azione, mail inviate a vostro nome. La seconda: il dispositivo compromesso. Software malevolo, accesso fisico durante un’assenza, impianto installato. Segni: lentezza improvvisa, batteria che si scarica, applicazioni sconosciute, connessioni di rete inattese. La terza: la frode per ingegneria sociale, di cui la frode del CEOTruffa in cui un attaccante si spaccia per un dirigente per ordinare un bonifico urgente. è il caso di punta — nessun software malevolo, solo un umano manipolato che esegue lui stesso l’azione dell’attaccante.

Queste tre famiglie hanno un punto in comune: il tempo gioca contro di voi, e in modo non lineare. Nei primi minuti, i danni sono contenibili — una sessione ancora aperta che si può revocare, un bonifico ancora in coda che si può bloccare, un attaccante ancora in fase di ricognizione. Superata una certa soglia, l’attaccante ha consolidato la sua posizione: ha creato accessi persistenti, esfiltrato ciò che gli interessava, cancellato le sue tracce. La finestra utile si conta in decine di minuti, non in giorni. È per questo che la metafora dei 90 minuti regge: non è una cifra magica, è l’ordine di grandezza della finestra durante la quale le vostre azioni cambiano ancora l’esito.

Capite come un attaccante sfrutta un account di posta compromesso, perché è lo scenario più comune e il più mal gestito. La prima cosa che fa non è derubarvi — è installarsi. Crea una regola di inoltro silenziosa che copia le vostre mail in arrivo verso un indirizzo esterno. Consulta i vostri contatti, il vostro storico di bonifici, il tono dei vostri scambi con la contabilità. Aspetta. A volte diverse settimane. Il giorno in cui arriva una vera fattura fornitore, interviene: modifica l’IBAN, risponde al vostro posto, e il bonifico parte verso il suo conto. Voi non vedete nulla, perché le sue risposte vengono eliminate dalla vostra casella «inviati» man mano. Quando scoprite il problema, il denaro è partito e l’attaccante conosce già la vostra prossima scadenza. Su un dispositivo compromesso, la meccanica differisce ma la logica è identica: l’impianto non fa rumore, osserva, aspetta il momento in cui digitate la password che apre la vera cassaforte.

Il fattore scatenante dell’incidente è raramente, sul campo, un allarme tecnico pulito. È un fornitore che si stupisce di non essere stato pagato mentre voi avete l’ordine di bonifico sotto gli occhi. È un collega che chiede perché gli avete inviato un file zip alle 3 del mattino. È la banca che chiama per confermare un bonifico che non avete avviato. In tutti questi casi, l’incidente è cominciato ben prima che ne foste a conoscenza — e il contatore dei 90 minuti non parte dall’intrusione, parte dalla vostra presa di coscienza. È esattamente per questo che la rilevazione conta tanto: prima scoprite, più la finestra utile resta aperta. Un’azienda che scopre la compromissione tramite la propria supervisione ha ancora delle carte in mano. Un’azienda che la scopre tramite il messaggio di riscatto visualizzato sui suoi schermi non ne ha più nessuna.

La routine dei 90 minuti: isolare, preservare, allertare

L’approccio giusto sta in tre verbi, eseguiti in quest’ordine, e appresi a memoria prima dell’incidente: isolare, preservare, allertare. Quest’ordine non è negoziabile, perché ogni tappa protegge la successiva. Si isola per fermare l’emorragia, si preserva per poter capire, si allerta per mobilitare chi deciderà il seguito. La maggior parte delle persone fa l’opposto — vanno nel panico, puliscono, poi chiamano — e perdono i tre benefici in un colpo solo.

Isolare significa tagliare l’accesso dell’attaccante, non tagliare la corrente. Per un account compromesso: cambiare immediatamente la password dell’account di posta principale (è l’account di recupero di tutto il resto), poi revocare tutte le sessioni attive da un altro dispositivo sano. Google, Apple, Microsoft offrono tutti un «disconnettiti da tutti i dispositivi». Per un dispositivo compromesso: tagliare la rete senza spegnere. Per una frode in corso: chiamare la banca per tentare il richiamo del bonifico — ogni minuto conta, un bonifico SEPA standard resta richiamabile per un breve lasso di tempo.

Preservare significa documentare prima di toccare. Fotografate lo schermo con il vostro telefono — la mail fraudolenta, il messaggio di riscatto, il comportamento anomalo. Annotate l’ora esatta in cui avete notato il problema. Non eliminate nulla, non «riordinate» nulla, non svuotate il cestino. Questi elementi serviranno a tre destinatari: l’esperto forensicsDisciplina che analizza le tracce digitali dopo un incidente per ricostruire quanto accaduto. che ricostruirà l’attacco, l’assicuratore che esigerà la prova della vostra diligenza, e il regolatore se sono coinvolti dati personali. Un incidente ben documentato nella prima ora vale dieci volte un incidente ricostruito a memoria tre giorni dopo.

Allertare significa mobilitare le persone giuste nel giusto ordine, con le giuste informazioni. Non una mail annegata in una casella — una telefonata. La persona sicurezza, il fornitore forensicsDisciplina che analizza le tracce digitali dopo un incidente per ricostruire quanto accaduto. identificato in anticipo, e a seconda dei casi la banca, l’assicuratore, la direzione. L’informazione da trasmettere sta in quattro punti: cosa (natura dell’incidente), quando (ora di rilevazione), cosa è toccato (account, dispositivi, dati), e cosa avete già fatto. Un allarme preciso innesca una risposta rapida; un allarme vago innesca mezz’ora di domande.

Un dettaglio separa le persone preparate dalle altre: attraverso quale canale allertare quando il canale abituale è forse compromesso? Se la vostra messaggistica aziendale è oggetto dell’incidente, non scrivete il vostro allarme in quella messaggistica — l’attaccante lo leggerebbe, e saprebbe che voi sapete. Usate un canale fuori banda: una telefonata, un SMS, una messaggistica cifrata come SignalMessaggistica open-source con E2EE per impostazione predefinita, gestita dalla Signal Foundation. su un dispositivo sano. Questo principio di comunicazione fuori banda vale per tutta la cellula di crisi: finché non avete la certezza che i vostri sistemi siano puliti, partite dal presupposto che l’attaccante ascolti. Sembra paranoico fino al giorno in cui capite che l’attaccante ha effettivamente letto, in tempo reale, la mail interna in cui il responsabile IT annunciava la procedura di rimedio — e che ha accelerato la sua esfiltrazione di conseguenza.

Resta la questione dell’ordine nei casi misti, ed è lì che i piani reggono o cedono. Un dispositivo compromesso che è servito a connettersi ad account critici coinvolge le prime due famiglie insieme: isolate il dispositivo dalla rete (senza spegnerlo), poi trattate gli account da un altro dispositivo sano — cambio di password, revoca delle sessioni — esattamente come per una compromissione di account. Una frode al bonifico innescata da una mail fraudolenta può segnalare o una semplice usurpazione di indirizzo (l’account non è compromesso, solo il nome visualizzato è falsificato), o una compromissione reale dell’account mittente. Nel dubbio, trattate il peggiore dei due: bloccate il bonifico, poi verificate l’integrità dell’account interessato. Questa disciplina — trattare sempre l’ipotesi più grave compatibile con ciò che osservate — è ciò che evita di «riparare» a metà un incidente che riparte più forte tre giorni dopo.

Cosa comporta concretamente

Per Lei, come persona

Lei non ha un CISO da chiamare alle 23. Il Suo piano sta dunque in tre riflessi memorizzati, da mettere in atto questa settimana, per zero euro.

1. Sappia revocare le Sue sessioni e cambiare le Sue password da un altro dispositivo. Apra una volta, a freddo, le impostazioni di sicurezza del Suo account Google, Apple o Microsoft. Individui il pulsante «disconnettiti da tutti i dispositivi». Memorizzi il percorso. La sera di un incidente non è il momento di impararlo.

2. In caso di dubbio su un dispositivo: tagli la rete, non spenga, non pulisca. Modalità aereo, poi respira. Non lanci l’antivirus, non elimini i file sospetti, non riavvii. Scatti una foto di ciò che è anomalo con il Suo telefono.

3. In caso di frode al bonifico: chiami la Sua banca immediatamente, non domani. Un bonifico recente può a volte essere richiamato se non è ancora eseguito. Chiami anche il familiare o il contatto coinvolto attraverso un canale diverso (telefono, non la mail sospetta) per verificare. I primi 90 minuti determinano i 90 giorni successivi: superato questo termine, gestisce delle conseguenze, non più l’incidente.

Per Lei, CISO / Direzione IT / dirigente

Il punto di svolta della risposta agli incidenti sul campo cambia il Suo inquadramento in cinque punti.

1. Il piano si redige prima dell’incidente, e sta su due pagine. Non un raccoglitore di 80 pagine che nessuno leggerà sotto stress. Due pagine: chi chiamare e in quale ordine, con quali numeri (memorizzati, non solo registrati), quali sistemi isolare in priorità, quale comunicazione esterna attivare, a quale soglia notificare il GaranteAutorità italiana per la protezione dei dati, equivalente della CNIL francese, regolatore GDPR per l'Italia.. Il NISTIstituto americano che pubblica gli standard di riferimento in cybersicurezza (CSF, SP 800-*). la chiama la fase di preparazione; è quella che rende possibili le quattro successive. Conseguenza diretta: se questo documento non esiste, è la Sua azione di questa settimana, non un progetto di trimestre.

2. Il fornitore forensics si sceglie a freddo, non nel panico. Identifichi e contrattualizzi prima dell’incidente uno studio forensicsDisciplina che analizza le tracce digitali dopo un incidente per ricostruire quanto accaduto. o un MSSPFornitore che gestisce la sicurezza di un cliente in outsourcing (SOC gestito, EDR gestito, ecc.). raggiungibile in reperibilità. Il giorno in cui ne ha bisogno, non ha né il tempo di confrontare preventivi, né il distacco per negoziare. Conseguenza diretta: un retainer di reperibilità costa qualche migliaio di euro all’anno; la sua assenza costa i tre giorni di silenzio durante i quali le prove spariscono.

3. La capacità di rilevazione condiziona tutto il resto. Lei può rispondere soltanto agli incidenti che vede. Senza SIEMPiattaforma che aggrega i log di sicurezza, correla, allerta e consente l'indagine., senza EDRAgente installato su postazioni/server che rileva comportamenti sospetti e consente l'indagine. sulle postazioni, senza allarmi sulle connessioni anomale, l’incidente Le viene rivelato dall’attaccante — messaggio di riscatto, bonifico partito — cioè troppo tardi. Conseguenza diretta: il budget rilevazione non è un comfort, è ciò che trasforma una scoperta a G+30 in una finestra utile di qualche ora.

4. La preservazione delle prove è una disciplina, non un riflesso. Formi i primi soccorritori — spesso il supporto IT, a volte un dirigente — a isolare senza spegnere, a non ripristinare prima della cattura, a documentare l’ora e la natura. Un’immagine forenseDisciplina che analizza le tracce digitali dopo un incidente per ricostruire quanto accaduto. si prende prima di ogni rimedio, mai dopo. Conseguenza diretta: senza questa disciplina, Lei rimedia alla cieca e non saprà mai se l’attaccante è ancora presente né cosa ha esfiltrato.

5. La comunicazione di crisi fa parte della risposta tecnica. Chi parla, a chi, quando. I dipendenti, i clienti, il regolatore, l’assicuratore, a volte la stampa. Una notifica GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. si attiva entro 72 ore quando sono coinvolti dati personali — questo termine decorre dalla conoscenza dell’incidente, non dalla sua risoluzione. Conseguenza diretta: un capitolo comunicazione assente dal piano trasforma un incidente gestibile in una crisi di reputazione e in un’esposizione regolamentare.

Per Lei, alla direzione generale

La chiamano una domenica sera. Qualcosa è bruciato — un account compromesso, un bonifico partito, un messaggio di riscatto sugli schermi. Nei primi 90 minuti, il Suo ruolo non è tecnico. Lei non tocca una tastiera. Il Suo ruolo è la decisione e la comunicazione, e si gioca quasi interamente su scelte che avrebbe dovuto dirimere prima.

Tre domande devono avere una risposta scritta prima che accada. Se le scopre alle 23, improvvisa, e l’improvvisazione sotto shock è la peggiore consigliera.

Chi dirige la crisi? Non Lei. Un dirigente che prende il timone tecnico di un incidente disorganizza tutti e si rende indisponibile per ciò che solo lui può fare. Designi a freddo un pilota di crisi — interno o fornitore — che abbia l’autorità di agire senza chiederLe ogni mossa. Il Suo lavoro è coprirlo, non sostituirlo.

Chi parla all’esterno? Una sola voce. Dipendenti, clienti, partner, stampa: tutto passa attraverso una persona e un messaggio validato. Lo scenario peggiore non è l’incidente, sono tre versioni contraddittorie che escono in parallelo perché nessuno aveva detto chi parlava. Lo decida ora, per iscritto.

A partire da quando si avvisano clienti e autorità? Non è una scelta di comodità, è una risposta regolamentare. Quando sono coinvolti dati personali, il contatore di notifica decorre dal momento in cui Lei sa, non dalla risoluzione. La soglia di attivazione e i destinatari si definiscono a freddo, con il Suo ufficio legale, non nel panico di una domenica sera.

La peggiore decisione è quella che si improvvisa sotto shock, alle 23 di una domenica, senza aver avuto la conversazione prima. Questa conversazione richiede un’ora, un martedì tranquillo. La abbia mentre non succede nulla. È il solo momento in cui penserà con lucidità.

Errori che si vedono di continuo

  • Aspettare di essere sicuri prima di agire. Il dubbio è il segnale. Trattare un falso allarme seriamente costa mezz’ora; trattare un vero incidente come un falso allarme costa l’azienda.
  • Spegnere o riavviare il dispositivo sospetto. Si distrugge la memoria viva, dunque le prove, e non si ferma l’attaccante che opera da remoto.
  • Pulire da soli. Lanciare l’antivirus locale (forse già neutralizzato), eliminare i file sospetti, ripristinare i server: altrettanti gesti che cancellano le tracce e propagano a volte la compromissione.
  • Notificare via mail invece di chiamare. Una mail nella casella del CISO un venerdì sera è zero risposta prima di lunedì. E se l’account mail è esso stesso compromesso, l’attaccante legge il vostro allarme.
  • Mantenere il silenzio per paura delle conseguenze. L’incidente non dichiarato è sempre peggiore dell’incidente dichiarato: nessun rimedio, nessuna copertura assicurativa, e una colpa caratterizzata nei confronti del regolatore.
  • Improvvisare il forensics e la comunicazione. Senza un fornitore identificato e senza un capitolo comunicazione scritto, si perdono le prime ore a cercare chi chiamare e cosa dire — esattamente le ore che contano.

Checklist azionabile

  • N1 Saper revocare le proprie sessioni e cambiare le proprie password da un altro dispositivo sano
  • N1 In caso di dubbio su un dispositivo: tagliare la rete, non spegnere, non pulire
  • N1 Fotografare lo schermo e annotare l'ora di rilevazione prima di toccare qualsiasi cosa
  • N1 In caso di frode al bonifico: chiamare la banca immediatamente e verificare con un canale diverso
  • N2 Piano di incidente scritto su 2 pagine: chi chiamare, in quale ordine, cosa isolare, quale comunicazione
  • N2 Numeri chiave memorizzati (sicurezza, banca, avvocato), non solo registrati nel telefono
  • N2 Fornitore forensics o MSSP identificato e contrattualizzato in reperibilità prima dell'incidente
  • N2 Primi soccorritori formati a isolare senza spegnere e a preservare le prove
  • N2 Capitolo comunicazione di crisi e soglie di notifica GDPR/Garante definiti in anticipo
  • N3 Rilevazione in atto (EDR sulle postazioni, SIEM, allarmi su connessioni anomale) e MTTD/MTTR monitorati
  • N3 Esercitazione di incidente a vuoto annuale, cronometrata, con i veri attori

Per approfondire

Il quadro di riferimento resta la guida di gestione degli incidenti del NISTIstituto americano che pubblica gli standard di riferimento in cybersicurezza (CSF, SP 800-*). (SP 800-61), che struttura la risposta in quattro fasi — preparazione, rilevazione e analisi, contenimento-eradicazione-recupero, lezioni apprese. L’ENISAAgenzia europea per la cybersicurezza, pubblica il Threat Landscape annuale. pubblica una guida di buone pratiche equivalente per il contesto europeo, utile in particolare per articolare la risposta tecnica con gli obblighi di notifica.

Sul versante Shield, tre letture completano questa. Dirigente esposto: modello di minaccia specifico dettaglia perché le frodi per ingegneria sociale prendono di mira in priorità il vertice dell’organigramma. Politica di viaggio aziendale inquadra le procedure da definire prima che un collaboratore parta con dati sensibili. E Ritorno dalla missione: decontaminazione tratta il caso particolare di un dispositivo potenzialmente compromesso durante uno spostamento — il seguito logico di un incidente rilevato sul campo.

Articoli correlati