Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

Il CSIRT Cisco collabora con il FIRST (Forum of Incident Response and Security Teams), il NSIE (National Safety Information Exchange), il DSIE (Defense Security Information Exchange) e il DNS-OARC (Operations Analysis and Research Center). Esistono entità CSIRT nazionali e pubbliche, come la divisione CERT del Software Engineering Institute della Carnegie Mellon University disponibili a collaborare con aziende e CSIRT nazionali a sviluppare, utilizzare e migliorare le rispettive capacità di gestione degli incidenti. Manuale della sicurezza La tecnologia cambia costantemente. Questo significa che anche gli attacchi informatici si evolvono. Nuove vulnerabilità e metodi di attacco vengono scoperti continuamente. La sicurezza sta diventando una preoccupazione aziendale significativa, a causa dell'impatto in termini finanziari e di reputazione delle violazioni della sicurezza. Gli attacchi hanno per obiettivo reti di importanza critica e dati sensibili. È necessario che le aziende mettano a punto piani per prepararsi, gestire e rimediare alle violazioni. Uno dei modi migliori per prepararsi a una violazione della sicurezza è impedirla. È necessario disporre di linee guida per l'identificazione dei rischi di cybersecurity relativi a sistemi, risorse, dati e funzionalità, la protezione dei sistemi tramite l'implementazione di dispositivi di sicurezza e la formazione del personale e il rilevamento tempestivo degli eventi di cybersecurity. Quando viene rilevata una violazione della sicurezza, è indispensabile intraprendere azioni adeguate per minimizzarne l'impatto e i danni. Il piano di reazione deve essere flessibile e deve prevedere varie possibili azioni da porre in essere durante la violazione. Una volta contenuta la violazione e ripristinati i sistemi e i servizi violati, è necessario aggiornare le misure e i processi di sicurezza in modo da tenere conto delle lezioni apprese durante l'incidente. Tutte queste informazioni devono essere registrate nel manuale per la sicurezza. Il manuale per la sicurezza contiene una raccolta di interrogazioni (report) ripetibili relative a origini dati relativi a eventi di sicurezza che conducono al rilevamento degli incidenti e alla reazione a questi ultimi. Idealmente, il manuale per la sicurezza deve adempiere ai seguenti compiti: Rilevare i computer infettati da malware. Rilevare attività di rete sospette. Rilevare tentativi di autenticazione irregolari. Descrivere e illustrare il traffico in ingresso e in uscita. Fornire informazioni di riepilogo su tendenze, statistiche e conteggi. Garantire modalità di accesso rapide e fruibili a statistiche e metriche. Correlare gli eventi per tutte le origini dati interessate. Strumenti per la prevenzione e il rilevamento degli incidenti Ecco alcuni degli strumenti utilizzati per rilevare e prevenire gli incidenti di sicurezza. SIEM – i sistemi SIEM (Security Information and Event Management, gestione di eventi e informazioni sulla sicurezza) sono costituiti da software che raccoglie e analizza gli allarmi relativi alla sicurezza, i log e altri dati cronologici e in tempo reale provenienti dai dispositivi di sicurezza presenti nella rete. DLP – i sistemi DLP (Data Loss Prevention) sono elementi software o hardware progettati per impedire il furto o la fuoriuscita di dati sensibili dalle reti. I sistemi DLP possono concentrarsi sull'autorizzazione all'accesso ai file, lo scambio o la copia di dati, il monitoraggio delle attività degli utenti e molto altro. I sistemi DLP sono progettati per monitorare e proteggere dati che presentino tre stati diversi: dati in uso, dati in movimento e dati a riposo. I dati in uso sono principalmente riferiti ai client; i dati in movimento sono quelli che si muovono attraverso la rete e i dati a riposo sono riferiti all'archiviazione dei dati. Cisco ISE e TrustSec – gli strumenti Cisco ISE (Identity Services Engine) e Cisco TrustSec intervengono sull'accesso alle risorse di rete creando policy che segmentano l'accesso stesso in categorie (ospiti, utenti mobili, dipendenti) senza aggiungere complessità. La classificazione del traffico si basa sull'identità degli utenti o dei dispositivi. Per ulteriori informazioni su ISE, fai clic su Play nella figura. Fare clic su qui per leggere la trascrizione di questo video. IDS e IPS Il sistema di rilevazione delle intrusioni (IDS, Intrusion Detection System), mostrato nella figura, può essere realizzato attraverso un dispositivo di rete dedicato oppure impiegando uno dei molti strumenti disponibili all'interno di server e firewall che analizzano i dati confrontandoli con un database di regole o di firme di attacchi alla ricerca di traffico dannoso. Se viene rilevata una corrispondenza, l'IDS registra il rilevamento e crea un avviso destinato all'amministratore di rete. Quando viene rilevata una corrispondenza, il Sistema di rilevazione delle intrusioni non esegue alcuna azione e, pertanto, non impedisce il verificarsi degli attacchi. Il compito dell'IDS consiste unicamente nel rilevare, registrare e riferire. La scansione effettuata dall'IDS rallenta la rete (dando origine a un fenomeno noto come latenza). Per impedire ritardi nel funzionamento della rete, gli IDS normalmente vengono posizionati offline, separati dal normale traffico di rete. Viene eseguita la copia o il mirroring dei dati da parte di uno switch che, in seguito, li inoltra all'IDS per il rilevamento offline. Vi sono anche strumenti IDS che possono essere installati nell'ambito del sistema operativo di un computer host come Linux o Windows. I sistemi di prevenzione delle intrusioni (IPS, Intrusion Prevention System) sono in grado di bloccare o rifiutare traffico in base a regole positive o in caso di corrispondenza della firma. Uno dei sistemi IPS/IDS più conosciuti è Snort, la cui versione commerciale è Cisco Sourcefire. Sourcefire è in grado di eseguire l'analisi in tempo reale di traffico e porte, registrazioni, ricerca e analisi della corrispondenza dei contenuti; inoltre, può rilevare tentativi di verifica, attacchi e operazioni di scansione delle porte. Inoltre, esso si integra all'interno di strumenti di terze parti per la creazione di report e analisi di prestazioni e log. Capitolo 4: Proteggere l'azienda Nella parte iniziale di questo capitolo sono state descritte alcune tecnologie e alcuni processi utilizzati dai professionisti della cybersecurity per proteggere reti, apparecchiature e dati aziendali: firewall, appliance di sicurezza e software. Successivamente, sono stati analizzati i botnet, le tattiche kill chain, la sicurezza basata sui comportamenti e l'uso di NetFlow per il monitoraggio delle reti. Infine, è stato esaminato l'approccio di Cisco alla cybersecurity, basato sui team CSIRT e sul manuale della sicurezza e sono stati mostrati gli strumenti impiegati dai professionisti della cybersecurity per rilevare e prevenire gli attacchi alle reti: SIEM, DLP, Cisco ISE e TrustSec nonché i sistemi IDS e IPS. Se desideri approfondire i concetti trattati in questo capitolo, vai alla Risorse e attività aggiuntive pagina corrispondente nelle Risorse per gli studenti.