CCNet
31 gen 2025 • 3 min. lettura
Analisi NIS2 - Rapporto dettagliato di incident response per una valutazione precisa degli incidenti di sicurezza IT
Il 15 settembre 2024, alle 14:35, il nostro sistema SIEM ha rilevato traffico di rete sospetto, suggerendo una possibile infezione da ransomware, richiedendo una reazione immediata. In breve tempo sono state osservate attività insolite su diversi server, tra cui un elevato utilizzo della CPU e la crittografia dei file. Questo incidente ha portato all'avvio di un ampio processo di response. Durante l'analisi dettagliata dell'incidente, è stata effettuata una valutazione precisa dei rischi, consentendo di intraprendere le azioni correttive necessarie per proteggere i dati aziendali.
Rilevamento dell'incidente e mantenimento della visione d'insieme
L'allarme e l'attivazione del team di risposta agli incidenti (IRT) alle 14:40 hanno segnato l'inizio di un'azione coordinata. I sistemi interessati, tra cui specifici server e segmenti di rete, sono stati rapidamente identificati. Le azioni cronologiche si sono svolte come segue: entro cinque minuti dalla prima segnalazione, il team di risposta agli incidenti è stato attivato. Poco dopo sono state avviate le prime misure di contenimento, con l'isolamento dei server interessati. Un quarto d'ora dopo, il team ha identificato l'attacco come ransomware e sono iniziate le operazioni di ripristino e messa in sicurezza dei dati. Già nella serata dello stesso giorno, alle 20:00, i lavori iniziali di ripristino sono stati completati con successo.
Reazione rapida – Misure efficaci
Per contenere l'incidente, i sistemi interessati sono stati immediatamente isolati, impedendo la diffusione ulteriore del codice dannoso. Gli account utente compromessi sono stati disattivati, e il traffico in uscita è stato bloccato per prevenire una possibile fuga di dati. Dopo aver rimosso con successo il ransomware dai server colpiti, è stato effettuato il ripristino dei dati utilizzando un backup del giorno precedente, il 14 settembre. Infine, tutti i sistemi sono stati accuratamente esaminati per assicurarsi che non rimanessero tracce del malware.
Comunicazione – Chiarezza in tempi di crisi
Entro la prima ora dall'incidente, la direzione e i responsabili di reparto sono stati informati. Poco dopo è stata inviata una comunicazione a tutto il personale per aggiornare sulla situazione e fornire indicazioni sull'uso dei sistemi IT. Nella prima serata, la direzione ha ricevuto un aggiornamento finale sullo stato dell'incidente. Poiché non vi erano clienti o partner esterni direttamente coinvolti, non è stata necessaria una comunicazione esterna. Tuttavia, è stato consultato un consulente legale per verificare eventuali requisiti normativi e mitigare futuri rischi.
Impatto e insegnamenti per il futuro
Grazie all'intervento tempestivo, è stata risolta una temporanea interruzione dei processi interni e, grazie ai backup, non vi sono stati perdite di dati. Nonostante la rapida reazione, esiste il rischio di danni reputazionali nel caso in cui l'incidente diventi pubblico. Anche la possibilità di attacchi futuri deve essere considerata, specialmente se non tutte le vulnerabilità di sicurezza sono state adeguatamente chiuse.
La causa principale dell'incidente è stata attribuita a una e-mail di phishing, il cui allegato dannoso è stato aperto da un dipendente. Come causa secondaria, è stata individuata la scarsa sensibilizzazione del dipendente riguardo al phishing, nonché la mancanza di autenticazione a due fattori per l'account utente compromesso.
Lezioni apprese e passi preventivi
Come misure correttive immediate, è stata avviata una campagna di sensibilizzazione al phishing per tutto il personale, ed è stata resa obbligatoria l'autenticazione a due fattori per gli account con privilegi elevati. Anche i sistemi di sicurezza e-mail sono stati potenziati. Nel lungo periodo, saranno effettuate regolarmente simulazioni di phishing e sessioni di formazione, i sistemi di monitoraggio e allarme per le infrastrutture critiche saranno migliorati, e il piano di emergenza sarà rivisto e aggiornato annualmente.
Conclusione e approvazione
Il presente rapporto è stato redatto dal team di risposta agli incidenti e approvato. Serve sia come documentazione ufficiale dell'incidente sia come guida per le misure preventive future e le risposte rapide a eventuali incidenti. Il rapporto è stato approvato il 17 settembre 2024 e descrive chiaramente i passi da seguire sia preventivi che reattivi in caso di incidenti simili.
