Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Operazioni
Le operazioni sono il fulcro dell'esecuzione della risposta agli incidenti. È qui che avvengono le azioni di risposta e riparazione degli incidenti di sicurezza. Le operazioni comprendono le seguenti cinque fasi: rilevamento, analisi, contenimento, rimozione e ripristino. Le descrizioni di queste fasi e degli obiettivi sono disponibili nella Tabella 3.
Tabella 3 — Fasi operative
| Fase | Obiettivo |
|---|---|
| Rilevamento | Identifica un potenziale evento di sicurezza. |
| Analisi | Determina se un evento di sicurezza è un incidente e valuta la portata dell'incidente. |
| Contenimento | Riduci al minimo e limita l'ambito dell'evento di sicurezza. |
| Eradicazione | Rimuovi risorse o artefatti non autorizzati correlati all'evento di sicurezza. Implementa le mitigazioni che hanno causato l'incidente di sicurezza. |
| Recupero | Ripristina i sistemi a uno stato di sicurezza noto e monitora questi sistemi per verificare che la minaccia non si ripresenti. |
Queste fasi dovrebbero servire da guida quando si risponde e si opera sugli incidenti di sicurezza per garantire una risposta efficace e forte. Le azioni effettive che intraprenderai variano a seconda dell'incidente. Un incidente relativo a un ransomware, ad esempio, presenta una serie di passaggi di risposta diversi da quelli di un incidente che coinvolge un bucket Amazon S3 pubblico. Inoltre, questi passaggi non devono essere seguiti necessariamente in sequenza. Dopo il contenimento e la rimozione, potrebbe essere necessario tornare all'analisi per capire se le azioni intraprese sono state efficaci.
