CSIRT as a Service e Rapid Response

CSIRT Services – Il vostro Incident Response Team

Gli incidenti di sicurezza gravi sono impossibili da prevenire al cento percento.

Ecco perché, di fronte a un security incident, è fondamentale agire rapidamente e bloccare l’attacco. Ma le infrastrutture IT complesse e la carenza di specialisti in IT Security ostacolano la formazione di un Cybersecurity Incident Response Team (CSIRT) interno, indebolendo le difese informatiche.

Incident Response Team per difendervi dai cyberattacchi

Non tutte le imprese dispongono delle competenze necessarie e degli specialisti per un team di Incident Response interno. Per questo potete ricorrere ai nostri servizi CSIRT as a Service e Rapid Response.

Se di fronte a un attacco acuto è fondamentale reagire rapidamente e garantire la sicurezza operativa, spesso un cyberattacco ha conseguenze che vanno ben oltre l’incidente. Potrebbe essere necessario notificare un furto di dati e darne comunicazione ai clienti. Per poter denunciare i cybercriminali servono inoltre delle prove da raccogliere per mezzo di un’indagine forense dell’attacco.

La chiamata è gratuita. Per l’intervento vengono addebitati un forfait e il rimborso dei costi effettivi. L’offerta è riservata alle imprese svizzere.

Quando è questa la soluzione giusta?

La reazione a un cyberattacco andato a buon fine deve innanzitutto mirare a prevenire un’interruzione dell’attività. Nonostante la pressione sui costi e la carenza di personale qualificato, dovete garantire una incident response adeguata. Un’opzione da valutare è quindi il sourcing dei servizi di IT Security.

I costi di un team CSIRT interno, operativo 24 ore su 24 e in grado di occuparsi dell’intero processo di incident response, sarebbero sproporzionati. Però dovete rispettare lo standard di sicurezza prestabilito e assicurare la business continuity in caso di cyberattacco. In aggiunta a tutto questo, gli approcci ibridi e Multi Cloud fanno aumentare la complessità dell’infrastruttura. Di conseguenza servono difese informatiche sempre più sofisticate.

I vostri vantaggi:

  • Servizi CSIRT professionali a costi calcolabili
  • Specialisti esperti come team di Incident Response
  • Supporto per le azioni legali e le notifiche obbligatorie

CSIRT as a Service

I servizi in dettaglio

CSIRT as a Service (CSIRTaaS) è un servizio usufruibile al termine di un processo di onboarding e previa sottoscrizione di un contratto. Con Rapid Response, invece, gli interventi vengono effettuati secondo necessità e non è richiesto un contratto.

  • End-to-end management del security incident h24 in base al processo messo a punto da Swisscom
  • Intervento in remoto o sul posto
  • Rapporto conclusivo per documentare l’incidente e le misure
  • Analisi approfondita e raccolta di prove (indagine forense) per i procedimenti legali (opzione)
  • Reazione garantita in virtù di un SLA
  • Tempi di reazione ridotti grazie all’onboarding iniziale
  • Costi: canone mensile e riaddebito delle spese vive (tempo e materiale) per ogni intervento  
  • End-to-end management del security incident h24 in base al processo messo a punto da Swisscom
  • Intervento in remoto o sul posto
  • Rapporto conclusivo per documentare l’incidente e le misure
  • Analisi approfondita e raccolta di prove (indagine forense) per i procedimenti legali (opzione)
  • Reazione secondo best effort
  • Tempi di reazione più lunghi rispetto a CSIRTaaS perché l’onboarding viene svolto sul momento
  • Costi: importo forfettario e riaddebito delle spese vive (tempo e materiale) per ogni intervento

CSIRT nel nostro portafoglio TDR

CSIRT as a Service e Rapid Response sono il complemento ideale delle attività analitiche di Security Analytics e SOC as a Service.

CSIRT als Bestandteil

Perché con Swisscom?

Esperienza

Proteggiamo efficacemente la nostra infrastruttura e quella dei clienti.

Made in Switzerland

Forniamo tutti i servizi da un Cyber Defense Center svizzero.

Prospettiva settoriale

Mettiamo a frutto i nostri insight settoriali nella incident response.

Domande frequenti: cyberattacchi contro le grandi aziende

La reazione a un attacco è strutturata in diverse fasi, sostanzialmente basate sul processo di incident management del NIST:

  • Identification: farsi un’idea dell’incidente di sicurezza, determinare l’obiettivo dell’intervento
  • Assessment: analizzare l’incidente e raccomandare misure immediate
  • Containment: raccogliere le prove, individuare il vettore d’attacco, contenere l’attacco
  • Eradication: risolvere l’incidente di sicurezza e ripulire i sistemi
  • Recovery: ripristinare la normalità, testare e monitorare il comportamento dei sistemi
  • Lessons Learned: debriefing, rapporto e raccomandazioni sulle misure

Informazioni dettagliate in merito sono disponibili nel white paper CSIRT.

Per rispondere efficacemente agli incidenti di sicurezza informatica è necessaria una cooperazione ben orchestrata tra Security Operations Center (SOC) e CSIRT. Mentre il SOC monitora l’infrastruttura e le applicazioni per rilevare immediatamente gli incidenti di sicurezza (Security Monitoring, Security Analytics e Security Alert Handling), il Cybersecurity Incident Response Team (CSIRT) costituisce il gruppo d’intervento rapido, praticamente i pompieri del mondo informatico: gestisce gli incidenti di sicurezza complessi e adotta misure finalizzate alla difesa dalle minacce e alla risoluzione degli eventi di sicurezza. Insieme, i due team consentono di reagire velocemente ai cyberattacchi e contenere i danni.

È opportuno valutare di esternalizzare questo servizio a causa della carenza di personale qualificato e dei compiti complessi e impegnativi di un CSIRT. I fornitori di servizi sono in grado di assicurare h24 una gestione end-to-end degli incidenti di sicurezza. Con i loro specialisti in cybersicurezza forti di una ricca esperienza maturata in un gran numero di incidenti, imprese e settori, i fornitori di servizi possono garantire una reazione efficiente agli incidenti di sicurezza.

La comunicazione dipende dal tipo di incidente e dall’impresa e viene decisa all’inizio di ogni incidente. Se l’infrastruttura del cliente è compromessa, è raccomandabile ricorrere ad apparecchi e account di posta elettronica privati e usare il telefono. In caso contrario, la comunicazione può avvenire via e-mail, su Microsoft Teams o tramite SwissTrustRoom a seconda delle preferenze del cliente.

Per prima cosa, l’azienda viene messa in comunicazione con il nostro Operation Control Center reperibile h24, che registra i dettagli più importanti ed esegue una verifica preliminare per confermare che sussiste un incidente di cybersicurezza. Successivamente viene informato il CSIRT, che richiama il cliente nel più breve tempo possibile.

Per saperne di più

Articolo

I nostri esperti sono a vostra disposizione per rispondere a qualsiasi domanda. Contattateci.