This is the Trace Id: e650e7515526e1a7478b36543a2e7fab
Passa a contenuti principali Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Visualizza tutti i prodotti Cybersecurity basata su intelligenza artificiale Sicurezza del cloud Sicurezza dati e governance Identità e accesso alla rete Privacy e gestione dei rischi Sicurezza per intelligenza artificiale Piccole e medie imprese SecOps unificate Zero Trust Prezzi Servizi Partner Perché Microsoft Security Sensibilizzazione sulla cybersecurity Storie di clienti Nozioni di base sulla sicurezza Versioni di valutazione dei prodotti Riconoscimento nel settore Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Blog di Microsoft Security Eventi di Microsoft Security Community tecnica Microsoft Documentazione Raccolta di contenuti tecnici Formazione e certificazioni Compliance Program per Microsoft Cloud Centro protezione Microsoft Service Trust Portal Microsoft Secure Future Initiative Hub soluzioni aziendali Contatto vendite Scarica la versione di valutazione gratuita Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Intelligenza artificiale di Microsoft Azure Space Realtà mista Microsoft HoloLens Microsoft Viva Calcolo quantistico Istruzione Automotive Servizi finanziari Enti pubblici Settore sanitario Produzione Vendita al dettaglio Trova un partner Diventa un partner Rete di partner Microsoft Marketplace Aziende software Blog Microsoft Advertising Centro per sviluppatori Documentazione Eventi Gestione delle licenze Microsoft Learn Microsoft Research Visualizza mappa del sito
persona che interagisce con schermo touchscreen di grandi dimensioni

Cos'è la risposta agli incidenti?

Scopri in che modo un'efficace risposta agli incidenti aiuta le organizzazioni a rilevare, risolvere e arrestare i cyberattacchi.
Scopri di più su Microsoft Sentinel

Definizione di risposta agli incidenti

Prima di definire la risposta agli incidenti, è importante chiarire cosa si intende con incidente. Nell'IT esistono tre termini che a volte vengono usati in modo intercambiabile, ma che hanno significati diversi:
 

  1. Un evento è un'azione innocua che si verifica frequentemente, come ad esempio la creazione di un file, l'eliminazione di una cartella o l'apertura di un messaggio di posta elettronica. Di per sé un evento non è un'indicazione di una violazione, ma se associato ad altri eventi può segnalare una minaccia. 
  2. Un avviso è una notifica attivata da un evento, che può rappresentare una minaccia oppure no.
  3. Un incidente è un insieme di avvisi correlati che gli esseri umani o gli strumenti di automazione hanno considerato come una probabile minaccia. Di per sé, il singolo avviso potrebbe non segnalare una minaccia grave, ma se combinati, indicano una possibile violazione.

La risposta agli incidenti comprende le azioni che un'organizzazione compie quando ritiene che i sistemi IT o i dati siano stati violati. Ad esempio, i professionisti della sicurezza agiranno se vedranno le prove di un utente non autorizzato, malware o insuccesso delle misure di sicurezza.

Gli obiettivi della risposta sono quello di eliminare un cyberattacco il più rapidamente possibile, eseguire il ripristino, informare i clienti o gli enti pubblici secondo quanto previsto dalle leggi locali e capire come ridurre il rischio di una simile violazione in futuro.

Come funziona la risposta agli incidenti?

La risposta agli incidenti normalmente inizia quando il team di sicurezza riceve un avviso credibile da un sistema SIEM (Security Information and Event Management).

I membri del team devono verificare che l'evento rappresenti un incidente, quindi isolare i sistemi infetti e rimuovere la minaccia. Se l'incidente è grave o richiede tempi di risoluzione lunghi, le organizzazioni potrebbero aver bisogno di ripristinare i dati di backup, gestire un riscatto o informare i clienti della compromissione dei loro dati.

Per questo motivo, anche le persone che non fanno parte del team di cybersecurity vengono normalmente coinvolte nella risposta. Esperti di privacy, avvocati e responsabili delle decisioni aziendali contribuiranno a determinare l'approccio dell'organizzazione a un incidente e alle relative conseguenze.

Tipi di incidenti di sicurezza

Sono molti i modi in cui gli autori degli attacchi provano ad accedere ai dati di un'azienda o comprometterne in altro modo il sistemi e le operazioni aziendali. Ecco alcuni dei più comuni:

Phishing

Il phishing è un tipo di ingegneria sociale in cui un utente malintenzionato usa posta elettronica, SMS o una telefonata per fingersi una persona o un marchio stimati. Un tipico attacco di phishing prova a persuadere i destinatari a scaricare malware o a fornire la propria password. Questi attacchi sfruttano la fiducia delle persone e impiegano tecniche psicologiche come la paura per spingerle a fare qualcosa. Molti di questi attacchi non sono mirati, sono rivolti a migliaia di persone nella speranza che almeno uno risponda. Tuttavia, una versione più sofisticata detta spear phishing usa la ricerca approfondita per creare un messaggio che vuole essere persuasivo per un singolo utente.

Malware

Il termine malware fa riferimento a qualsiasi software progettato per danneggiare un sistema informatico o esfiltrare dati. Può assumere molte forme tra cui virus, ransomware, spyware e trojan. Utenti malintenzionati installano malware sfruttando vulnerabilità hardware e software o convincendo un dipendente a farlo tramite una tecnica di ingegneria sociale.

Ransomware

In un attacco ransomware gli utenti malintenzionati usano il malware per crittografare i dati e sistemi critici, quindi minacciano di renderli pubblici o distruggerli qualora la vittima non pagasse un riscatto.

Denial of Service

In un attacco Distributed Denial of Service (attacco DDoS) un attore di minacce sovraccarica una rete o un sistema con traffico fino a rallentarli o a causarne un arresto anomalo. Generalmente, gli utenti malintenzionati prendono di mira aziende di profilo elevato come banche o governi con l'obiettivo di causare loro un danno in termini di tempo e denaro, ma le organizzazioni di tutte le dimensioni possono essere vittime di questo tipo di attacco.

Attacco Man-in-the-middle

Un altro metodo che i criminali informatici usano per rubare i dati personali consiste nell'inserirsi nel mezzo di una conversazione online tra persone che pensano di comunicare privatamente. Intercettando i messaggi e copiandoli o modificandoli prima dell'invio al destinatario desiderato, provano a manipolare uno dei partecipanti affinché gli dia dei dati di valore.

Minaccia interna

Anche se la maggior parte degli attacchi è condotta da persone esterne a un'organizzazione, i team della sicurezza devono fare attenzione anche alle minacce interne. I dipendenti e altre persone che hanno legittimamente accesso alle risorse sottoposte a restrizioni potrebbero divulgare, involontariamente o anche intenzionalmente, dei dati sensibili.

Accesso non autorizzato

Molte violazioni della sicurezza iniziano da uno smarrimento delle credenziali dell'account. Indipendentemente dal fatto che gli utenti malintenzionati acquisiscano le password tramite una campagna di phishing o indovinando una password comune, dopo avere ottenuto l'accesso al sistema possono installare malware, eseguire la ricognizione della rete o aumentare i propri privilegi per poter accedere a dati e sistemi più sensibili.

Cos'è un piano di risposta agli incidenti?

Rispondere a un incidente richiede che un team lavori in modo efficace ed efficiente per eliminare la minaccia e soddisfare i requisiti normativi. Nelle situazioni di elevato stress, è facile cedere alla frustrazione e commettere errori, ecco perché molte aziende sviluppano un piano di risposta agli incidenti. Il piano definisce ruoli e responsabilità e include i passaggi necessari per risolvere, documentare e comunicare correttamente un incidente.

L'importanza del piano di risposta agli incidenti

Un attacco significativo non danneggia solamente le operazioni di un'organizzazione, influisce anche sulla reputazione dell'azienda tra i clienti e nella comunità e potrebbe avere anche delle ripercussioni legali. Tutto, inclusa la rapidità con cui il team di sicurezza risponde all'attacco e al modo in cui i dirigenti comunicano l'incidente, influisce sul relativo costo complessivo.

Le aziende che nascondono i danni ai clienti ed enti pubblici o che non prendono seriamente una minaccia potrebbero violare le normative vigenti. Questi tipi di errori sono più comuni tra coloro che non hanno un piano. Nella foga del momento, c'è il rischio che le persone prenderanno decisioni precipitose guidate dalla paura, che finiranno con il danneggiare l'organizzazione.

Un piano ben pensato consente alle persone di sapere cosa dovrebbero fare in ogni fase di un attacco, affinché non debbano deciderlo nel mezzo dell'emergenza. E dopo il ripristino, qualora ci fossero domande dal pubblico, l'organizzazione sarebbe in grado di mostrare esattamente in che modo ha risposto e rassicurare i clienti dimostrando che l'incidente è stato affrontato in modo serio e sono state attuate le procedure necessarie per impedire un esito peggiore.

Procedura di risposta agli incidenti

Non esiste un solo modo di affrontare una risposta agli incidenti e molte organizzazioni fanno affidamento su un'organizzazione che si occupa di standard di sicurezza affinché guidi il loro approccio. SysAdmin Audit Network Security (SANS) è un'organizzazione privata che offre un framework di risposta in sei passaggi, descritto di seguito. Molte organizzazioni adottano anche il framework di ripristino in seguito a incidente del NIST (National Institute of Standards and Technology).
 
  • Preparazione - Prima che si verifichi un incidente, è importante ridurre le vulnerabilità e definire criteri e procedure di sicurezza. Nella fase di preparazione le organizzazioni conducono una valutazione del rischio per determinare dove sono presenti debolezze e classificare in ordine di priorità le risorse. Questa fase include la scrittura e il perfezionamento delle procedure di sicurezza, la definizione di ruoli e responsabilità e l'aggiornamento dei sistemi per ridurre il rischio. La maggior parte delle organizzazioni ripete regolarmente questo passaggio per apportare miglioramenti a criteri, procedure e sistemi man mano che apprendono lezioni o man mano che la tecnologia cambia.
  • Identificazione delle minacce - In un giorno qualsiasi, il team di sicurezza può ricevere migliaia di avvisi che indicano attività sospetta. Alcuni di questi sono falsi positivi o potrebbero non raggiungere il livello di incidente. Una volta identificato un incidente, il team deve approfondire la natura della violazione e documentare quanto scoperto, tra cui l'origine della violazione, il tipo di attacco e gli obiettivi dell'utente malintenzionato. In questa fase il team deve anche informare gli stakeholder e comunicare i passaggi successivi.
  • Contenimento della minaccia - Contenere la minaccia nel modo più rapido possibile e la priorità successiva. Maggiore è il tempo concesso agli utenti malintenzionati per accedere, maggiore è il danno che possono causare. Il team di sicurezza funziona per isolare rapidamente le applicazioni o i sistemi che sono sotto attacco dal resto delle reti. Ciò contribuisce a impedire che gli utenti malintenzionati accedano ad altre parti dell'azienda.
  • Eliminazione della minaccia - Dopo avere completato il contenimento, il team rimuove l'utente malintenzionato ed eventuali malware dai sistemi e dalle risorse interessati. Questo può voler dire portare offline i sistemi. Il team continua, inoltre, a informare gli stakeholder dell'avanzamento.
  • Recupero e ripristino - Il recupero dopo un incidente può richiedere diverse ore. Dopo avere neutralizzato la minaccia, il team ripristina i sistemi, recupera i dati dal backup e monitora le aree interessate per garantire che l'utente malintenzionato non acceda di nuovo.
  • Feedback e perfezionamento - Quando l'incidente è risolto, il team analizza cosa è accaduto e identifica i miglioramenti che possono essere apportati al processo. Imparare da questa fase aiuta il team a migliorare le difese dell'organizzazione.

Cos'è un team di risposta agli incidenti?

Un team di risposta agli incidenti, detto anche CSIRT ovvero team di risposta agli incidenti di sicurezza informatica, un team di risposta agli incidenti di cybersecurity (CIRT) o un team di risposta alle emergenze informatiche (CERT), include un gruppo di persone appartenenti a varie funzioni nell'organizzazione responsabile di attuare il piano di risposta agli incidenti. Include non solo le persone che rimuovono la minaccia, ma anche coloro che prendono decisioni aziendali o legali correlate all'incidente. Un team tipico include i seguenti membri:
 
  • Un responsabile della risposta agli incidenti, spesso il direttore dell'IT, supervisiona tutte le fasi della risposta e tiene informati gli stakeholder interni. 
     
  • Gli analisti della sicurezza analizzano l'incidente per provare a capire cosa sta accadendo. Documentano, inoltre, quanto scoperto e raccolgono prove forensi.
     
  • Gli analisti della minaccia guardano al di fuori dell'organizzazione per raccogliere intelligenza e fornire ulteriore contesto. 
     
  • Qualcuno della gestione, ad esempio un chief information security officer o un chief information officer, offre indicazioni e funge da collegamento con gli altri dirigenti.
     
  • Gli specialisti delle risorse umane aiutano a gestire le minacce interne.
     
  • Il general counsel aiuta il team a comprendere i problemi di responsabilità e a garantire la raccolta delle prove forensi.
     
  • Gli specialisti delle relazioni pubbliche coordinano una comunicazione esterna accurata con i media, i clienti e altri stakeholder.
Un team di risposta agli incidenti può essere un sottoinsieme di un centro operazioni per la sicurezza (SOC), che gestisce le operazioni per la sicurezza dopo una risposta agli incidenti.



Risposta automatizzata agli incidenti

Nella maggior parte delle organizzazioni le soluzioni di reti e sicurezza generano un numero di avvisi di sicurezza che non può essere oggettivamente gestito dal team di risposta agli incidenti. Per concentrarsi sulle minacce legittime, molte aziende implementano una risposta agli incidenti automatizzata. L'automazione usa l'intelligenza artificiale e l'apprendimento automatico per valutare gli avvisi, identificare gli incidenti ed estirpare le minacce eseguendo un playbook di risposta basato su script programmatici.

Orchestrazione, automazione e risposta alla sicurezza (SOAR) rappresenta una categoria di strumenti per la sicurezza che le aziende usano per automatizzare la risposta agli incidenti. Queste soluzioni offrono le funzionalità seguenti:
 
  • Correlazione dei dati di più endpoint e soluzioni di sicurezza per identificare gli incidenti che gli umani devono analizzare.
     
  • Esecuzione di un playbook pre-elaborato per isolare e affrontare i tipi di incidente noti.
     
  • Creazione di una timeline investigativa che include azioni, decisioni e prove forensi che possono essere usate per l'analisi.
     
  • Introduzione di intelligenza esterna pertinente per l'analisi umana.



Come implementare un piano di risposta agli incidenti

Lo sviluppo di un piano di risposta agli incidenti può sembrare eccessivamente complesso, ma può ridurre significativamente il rischio che la tua azienda si faccia trovare impreparata davanti a un incidente serio. Ecco come iniziare:

Identifica e classifica in ordine di priorità le risorse

Il primo passaggio di un piano di risposta agli incidenti consiste nel sapere cosa stai proteggendo. Documenta i dati critici dell'organizzazione, ad esempio dove si trovano e il relativo livello di importanza per l'azienda.

Determina i rischi potenziali

Ogni organizzazione presenta rischi diversi. Acquisisci familiarità con le principali vulnerabilità della tua organizzazione e valuta i modi in cui un utente malintenzionato potrebbe sfruttarle. 

Sviluppa procedure di risposta

Durante un incidente stressante, procedure chiare saranno molto utili per affrontare l'incidente in modo rapido ed efficace. Inizia dalla definizione di incidente, quindi stabilisci i passaggi che il team deve eseguire per rilevare, isolare e ripristinare in seguito a un incidente, incluse le procedure per documentare le decisioni e raccogliere prove.

Crea un team di risposta agli incidenti

Crea un team interfunzionale responsabile di comprendere le procedure di risposta e agire in caso di incidente. Assicurati di chiarire ruoli e di includere ruoli non tecnici che possono aiutare a prendere decisioni in materia di comunicazione e responsabilità. Includi qualcuno del gruppo dirigente che potrà sostenere il team e le sue esigenze davanti ai livelli più alti dell'azienda. 

Definisci il piano di comunicazione

Un piano di comunicazione elimina l'incertezza in merito a quando e come comunicare alle persone interne ed esterne all'organizzazione quello che sta accadendo. Pensa a diversi scenari per determinare in quali circostanze devi informare i dirigenti, l'intera organizzazione, i clienti e i media o altri stakeholder esterni.

Forma i dipendenti

Gli utenti malintenzionati prendono di mira i dipendenti a tutti i livelli dell'organizzazione, ecco perché è importante che tutti capiscano il piano di risposta e sappiano cosa fare se sospettano di essere vittima di un attacco. Metti periodicamente alla prova i tuoi dipendenti per verificare siano in grado di riconoscere messaggi di posta elettronica di phishing e semplifica la procedura di segnalazione al team di risposta agli incidenti qualora facessero accidentalmente clic su un collegamento dannoso o aprissero un allegato infetto.

Soluzioni di risposta agli incidenti

Essere preparati a un incidente grave è una parte importante della protezione della tua organizzazione dalle minacce. Creare un team di risposta agli incidenti ti darà la sicurezza di essere pronto qualora fossi vittima di un utente malintenzionato.

Sfrutta le soluzioni SIEM e SOAR, come Microsoft Sentinel, che usano l'automazione per aiutarti a identificare e rispondere automaticamente agli incidenti. Le organizzazioni con meno risorse possono ampliare i propri team con un provider di servizi in grado di gestire più fasi della risposta agli incidenti. Indipendentemente dal fatto che il tuo team di risposta agli incidenti sia interno o esterno, assicurati di avere un piano.



Persona che lavora su un portatile con monitor che mostrano il codice

Microsoft Threat Protection

Identifica e rispondi agli incidenti nella tua organizzazione con la protezione dalle minacce più recente.
Esplora
Due persone che usano computer in un ufficio

Risposta agli incidenti Microsoft

Ricevi supporto prima, durante e dopo un incidente informatico con i servizi di risposta agli incidenti proattivi e reattivi end-to-end.
Esplora
con smartphone accanto al portatile a una scrivania

Microsoft Sentinel

Unifica dati e contesto di sicurezza per alimentare una difesa agentica con una soluzione SIEM e una piattaforma incentrata sull'IA.
Esplora
due colleghi che esaminano i dati in un portatile a un tavolo.

Microsoft Defender XDR

Blocca gli attacchi a endpoint, posta elettronica, identità, applicazioni e dati.
Esplora
Torna alla sezione Prodotti correlati
DOMANDE FREQUENTI

Domande frequenti

  • La risposta agli incidenti include tutte le attività che un'organizzazione compie quando sospetta una violazione della sicurezza. L'obiettivo è isolare ed eliminare gli utenti malintenzionati nel minor tempo possibile, rispettare le normative in materia di privacy dei dati ed eseguire il ripristino in modo sicuro arrecando il minor danno possibile all'organizzazione.
  • Un team interfunzionale è responsabile della risposta agli incidenti. L'IT si occupa generalmente di identificare e isolare le minacce ed eseguire il successivo ripristino, tuttavia la risposta agli incidenti non riguarda solo l'individuazione e l'eliminazione degli utenti malintenzionati. In base al tipo di attacco, qualcuno potrebbe dover prendere una decisione aziendale, ad esempio riguardo il modo in cui affrontare un riscatto. I professionisti legali e di pubbliche relazioni aiutano l'organizzazione a rispettare le leggi in materia di privacy dei dati, incluse le modalità appropriate di comunicazione a clienti ed enti pubblici. Se la minaccia è perpetrata da un dipendente, le risorse umane suggeriranno l'azione appropriata.
  • CSIRT è un altro nome per indicare il team di risposta agli incidenti. Include un team interfunzionale di persone responsabili della gestione di tutti gli aspetti di una risposta agli incidenti, incluso il rilevamento, l'isolamento e l'eliminazione della minaccia, il ripristino, la comunicazione interna ed esterna, la documentazione e l'analisi forense.
  • La maggior parte delle organizzazioni usa una soluzione SIEM o SOAR per identificare e rispondere alle minacce. Queste soluzioni generalmente aggregano dati da più sistemi e usano l'apprendimento automatico per contribuire a identificare le minacce vere. Possono anche automatizzare la risposta per determinati tipi di minaccia in base a playbook pre-elaborati.
  • Il ciclo di vita della risposta agli incidenti include sei fasi:
     
    1. La preparazione è la fase precedente all'identificazione di un incidente e include la definizione di ciò che l'organizzazione considera un incidente e tutti i criteri e le procedure necessarie a impedire, rilevare, eliminare un attacco e a riprendersi.
    2. L'identificazione delle minacce è un processo che usa analisti umani e l'automazione per identificare quali eventi sono minacce reali da dover affrontare.
    3. Il contenimento della minaccia prevede azioni che il team esegue per isolare la minaccia e impedire che infetti altre aree dell'azienda. 
    4. L'eliminazione della minaccia include i passaggi per rimuovere malware e utenti malintenzionati da un'organizzazione.
    5. Il recupero e il ripristino prevedono il riavvio dei sistemi e dei computer e il ripristino dei dati persi. 
    6. Il feedback e il perfezionamento sono operazioni che il team esegue per capire cosa apprendere dall'incidente e applicare quanto appreso ai criteri e alle procedure. 

Segui Microsoft Security

Surface Pro Surface Laptop Copilot per le organizzazioni Copilot per l'utilizzo personale Microsoft 365 Esplora i prodotti Microsoft App di Windows 11 Profilo account Download Center Supporto Microsoft Store Resi Monitoraggio ordini Riciclaggio Garanzie commerciali Microsoft Education Dispositivi per l'istruzione Microsoft Teams per l'istruzione Microsoft 365 Education Office Education Formazione e sviluppo per gli insegnanti Offerte per studenti e genitori Azure per studenti
Intelligenza artificiale di Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Piccole imprese Sviluppatore Microsoft Microsoft Learn Supporto per le app del marketplace di IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Aziende software Visual Studio Opportunità di carriera Informazioni su Microsoft Notizie aziendali Privacy in Microsoft Investitori Accessibilità
Italiano (Italia) Privacy per l'integrità dei consumer Riferimenti societari Contatta Microsoft Privacy Gestisci i cookie Condizioni per l'utilizzo Marchi Informazioni sulle inserzioni EU Compliance DoCs