Nell’Incident Response non basta rimediare ai sintomi. È importante curare anche la malattia di fondo.
Quando viene rilevata una minaccia, la prima azione da compiere deve essere valutare l’attacco immediato. Questa operazione potrebbe includere la rimozione di un file eseguibile o un trojan di Internet banking, oppure il blocco delle attività di esfiltrazione dei dati. Tuttavia, dopo aver bloccato l’attacco iniziale, spesso i team non si rendono conto di non averne risolto la causa originaria.
Aver rimosso il malware e cancellato l’avviso non significa aver espulso il cybercriminale dall’ambiente informatico. È anche possibile che l’attacco rilevato sia stato semplicemente un “giro di prova” del pirata informatico, che desiderava scoprire quali fossero le difese da affrontare. Se il cybercriminale è ancora in grado di accedere ai sistemi, è molto probabile che colpisca di nuovo, ma questa volta in maniera devastante.
I team di Incident Response devono accertarsi di risolvere la causa originaria dell’incidente appena attenuato. Il pirata informatico ha ancora la possibilità di accedere all’ambiente? Sta pianificando un secondo attacco? I team di Incident Response che sono intervenuti su migliaia di attacchi sanno quando e dove approfondire le indagini. Cercano tracce di altre attività degli hacker passate, presenti o future, che potrebbero avere un impatto sulla rete. Una volta identificate, neutralizzano anche quelle.
Ad esempio, in un caso in particolare gli specialisti di Incident Response di Sophos sono stati in grado di sventare un attacco che era in corso da nove giorni, osservando tre tentativi diversi di attacco ransomware ai danni dell’organizzazione.
Nella prima ondata dell'attacco (che è stata bloccata dalla soluzione di protezione endpoint dell’organizzazione) i cybercriminali hanno infettato 700 computer con il ransomware Maze, esigendo un riscatto pari a 15 milioni di $. Non appena notato l’attacco in corso, il team di sicurezza della vittima ha deciso di avvalersi delle competenze avanzate di Incident Response del team Sophos Managed Threat Response (MTR).
Gli esperti di Incident Response di Sophos hanno rapidamente identificato l’account di amministrazione compromesso, rilevato e rimosso diversi file malevoli e bloccato le comunicazioni C2 (comando e controllo) dei cybercriminali. Il team Sophos MTR è stato in grado di proteggere l’organizzazione da altre due ondate di attacchi da parte di questi pirati informatici. Se i cybercriminali fossero riusciti nel loro intento e la vittima avesse pagato il riscatto, sarebbe potuta essere una delle somme più elevate versate fino a oggi come conseguenza del ransomware.
In un altro esempio, il team Sophos MTR ha risposto a una potenziale minaccia di ransomware, per poi rendersi rapidamente conto che non era presente alcuna traccia di ransomware. A questo punto alcuni team avrebbero potuto chiudere il caso e passare ad altre attività. Tuttavia, il team Sophos MTR ha proseguito con le indagini, che hanno portato alla luce la presenza di un trojan di internet banking ormai leggendario. Fortunatamente per questo cliente, la minaccia non era più attiva, ma questo esempio dimostra l’importanza dell’andare oltre i sintomi iniziali, per determinare la causa originaria nella sua completezza, in quanto potrebbe essere un semplice indizio di un attacco più esteso.