Quali sono le 6 fasi dell'incident response?

Il framework NIST definisce 4 fasi (Preparazione, Rilevamento e Analisi, Contenimento/Eradicazione/Ripristino, Attività Post-Incidente), mentre il framework SANS le espande a 6: Preparazione, Identificazione, Contenimento, Eradicazione, Ripristino e Lezioni Apprese. Entrambi i framework sottolineano che l'incident response è ciclico, non lineare, con le lezioni di ogni incidente che migliorano le capacità future di preparazione e rilevamento.

Cosa deve includere un piano di incident response?

Un piano IR completo deve includere: ruoli e responsabilità (chi fa cosa durante un incidente), procedure di comunicazione (escalation interna, notifica esterna, gestione media), criteri di classificazione per livelli di gravità, strategie di contenimento per diversi tipi di incidenti, procedure di conservazione delle prove, liste di contatti (consulente legale, forze dell'ordine, retainer IR, assicurazione), procedure di ripristino e template di revisione post-incidente.

Qual è la differenza tra incident response e disaster recovery?

L'incident response si concentra sul rilevamento, contenimento ed eradicazione delle minacce alla sicurezza (malware, violazioni, attacchi) preservando le prove per le indagini. Il disaster recovery si concentra sul ripristino dei sistemi IT e delle operazioni aziendali dopo qualsiasi interruzione (disastri naturali, guasti hardware, cyberattacchi). L'IR è investigativo e orientato alla sicurezza; il DR è restaurativo e orientato alle operazioni.

Con quale frequenza bisogna testare il piano di incident response?

Le organizzazioni dovrebbero condurre esercitazioni tabletop trimestralmente, simulazioni tecniche (esercizi purple team) semestralmente, e una revisione completa del piano IR annualmente. Dopo ogni incidente significativo, effettua una revisione delle lezioni apprese e aggiorna il piano. Framework normativi come PCI DSS richiedono test annuali. Gli studi mostrano che le organizzazioni che testano regolarmente il piano IR riducono i costi delle violazioni di 2,66 milioni di dollari in media.

Cos'e l'Incident Response? Guida Fasi e Best Practice

Perche e Importante

L'incident response determina se un incidente di sicurezza diventa un inconveniente minore o un disastro aziendale. Le organizzazioni con capacita IR mature rilevano le violazioni prima, le contengono piu velocemente e si riprendono piu completamente. Quelle senza processi IR strutturati affrontano costi significativamente piu alti e conseguenze piu gravi.

L'equazione e semplice: le violazioni sono inevitabili. La domanda non e se ma quando si verifichera un incidente. La preparazione e processi definiti riducono il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR) - metriche che si correlano direttamente con l'impatto finanziario.

Oltre al contenimento dei danni, una IR efficace preserva le prove per potenziali procedimenti legali, soddisfa i requisiti normativi di notifica e genera insight che prevengono incidenti futuri. Il processo post-incidente spesso guida miglioramenti significativi nei controlli di sicurezza.

Per i professionisti della cybersecurity, le competenze di incident response sono universalmente valorizzate. Che tu sia in operazioni, ingegneria o leadership, comprendere come rispondere agli incidenti informa le priorita quotidiane e la prontezza durante le crisi.

Il Framework di Incident Response

Il NIST definisce sei fasi di incident response:

Fasi Incident Response NIST

Preparazione

Rilevamento e Analisi

Contenimento

Eradicazione

Recovery

Lezioni Apprese

1. Preparazione

La preparazione prima degli incidenti determina l'efficacia della risposta.

preparation-checklist.txt

Text


Elementi di Preparazione:

Documentazione:
- Piano incident response
- Liste contatti (interne, esterne)
- Percorsi escalation
- Playbook per tipi incidente comuni

Strumenti:
- Piattaforme SIEM e EDR
- Toolkit forensi
- Canali comunicazione
- Sistema ticketing

Team:
- Ruoli e responsabilita definiti
- Formazione e certificazioni
- Esercizi tabletop regolari
- Accordi on-call

Accesso:
- Credenziali privilegiate per IR
- Autorizzazioni per log e sistemi
- Autority di contenimento pre-autorizzata

2. Rilevamento e Analisi

Identificare e comprendere gli incidenti potenziali.

Fonti di Rilevamento:

Alert SIEM e SOC
Alert EDR endpoint
Report utenti
Notifiche esterne
Feed threat intelligence

initial-analysis.txt

Text


Triage Iniziale Incidente:

1. Validare l'alert
 - E un vero incidente o falso positivo?
 - Quali prove supportano la conclusione?

2. Valutare la severita
 - Quali sistemi sono colpiti?
 - Quali dati sono a rischio?
 - L'attacco e in corso?

3. Determinare lo scope
 - Quanti sistemi coinvolti?
 - Qual e la timeline?
 - E gia contenuto?

4. Classificare il tipo di incidente
 - [Malware](/it/glossary/malware)/[ransomware](/it/glossary/ransomware)
 - Compromissione account
 - Data breach
 - Denial of service
 - Minaccia interna

3. Contenimento

Limitare i danni e prevenire l'espansione dell'incidente.

Contenimento a Breve Termine:

Isolare i sistemi colpiti dalla rete
Disabilitare account compromessi
Bloccare IP/domini malevoli
Arrestare processi malevoli

Contenimento a Lungo Termine:

Patch delle vulnerabilita sfruttate
Reset delle credenziali
Hardening dei sistemi
Controlli di sicurezza aggiuntivi

containment-actions.txt

Text


Esempio Contenimento Ransomware:

Azioni Immediate (minuti):
- Isolare dispositivi infetti dalla rete
- Disabilitare share di rete colpite
- Mettere offline i sistemi di backup (proteggerli)

A Breve Termine (ore):
- Bloccare C2 noti al firewall
- Forzare reset password per account colpiti
- Scansionare endpoint per indicatori

A Lungo Termine (giorni):
- Patch delle vulnerabilita sfruttate
- Implementare segmentazione aggiuntiva
- Potenziare la protezione endpoint

4. Eradicazione

Rimuovere la causa dell'incidente e la presenza dell'attaccante.

Rimuovere malware e backdoor
Eliminare meccanismi di persistenza
Chiudere vulnerabilita
Rimuovere account non autorizzati
Pulire sistemi compromessi

5. Recovery

Ripristinare i sistemi alle normali operazioni.

Ripristinare da backup puliti
Ricostruire sistemi compromessi
Verificare l'integrita dei sistemi
Monitorare per ri-compromissione
Confermare ripristino funzioni aziendali

6. Lezioni Apprese

Migliorare le future capacita di risposta.

lessons-learned.txt

Text


Domande Post-Incidente:

Timeline:
- Quando e iniziato l'incidente?
- Quando e stato rilevato?
- Quanto tempo ha richiesto il contenimento?
- Quanto tempo ha richiesto il recovery?

Analisi:
- Qual era il vettore di attacco iniziale?
- Perche non e stato prevenuto?
- Perche il rilevamento ha impiegato quel tempo?
- La risposta e stata efficace?

Miglioramenti:
- Quali controlli avrebbero prevenuto questo?
- Quale rilevamento avremmo potuto avere?
- Come miglioriamo la velocita di risposta?
- Quali processi vanno aggiornati?

Ruoli del Team di Incident Response

Struttura del Team

ir-team-roles.txt

Text


Ruoli Core del Team IR:

Incident Commander
- Leadership complessiva dell'incidente
- Decisioni e prioritizzazione
- Comunicazione stakeholder
- Allocazione risorse

Lead Tecnico
- Direzione investigazione tecnica
- Decisioni di contenimento
- Coordinamento risposta tecnica
- Validazione prove

Analisti
- Condurre investigazioni
- Analizzare log e artefatti
- Eseguire azioni di contenimento
- Documentare findings

Comunicazioni
- Messaggistica interna
- Notifica esterna (se richiesta)
- Coordinamento media/PR
- Comunicazioni regolatori

Specialisti (come necessario)
- Malware analyst
- Forensic specialist
- Team legale
- HR (per insider threat)

Risorse Esterne

Consulenti DFIR: Supporto investigativo esperto
Legal counsel: Requisiti notifica, preservazione prove
Pubbliche relazioni: Gestione comunicazione esterna
Cyber insurance: Coordinamento copertura
Law enforcement: Per incidenti criminali

Playbook Incidenti Comuni

Phishing con Compromissione Account

phishing-playbook.txt

Text


Risposta Phishing/Compromissione Account:

1. Rilevamento
 - Report utente o alert SIEM
 - Posizione login sospetta
 - Attivita account insolita

2. Validazione
 - Confermare compromissione
 - Identificare punto accesso iniziale
 - Determinare esposizione credenziali

3. Contenimento
 - Reset password immediato
 - Revocare sessioni attive
 - Abilitare/verificare [MFA](/it/glossary/two-factor-authentication)
 - Bloccare IP attaccante noti

4. Analisi
 - Rivedere log accesso email
 - Verificare regole inoltro
 - Cercare email phishing inviate
 - Identificare dati acceduti

5. Remediation
 - Rimuovere regole email malevole
 - Scansionare endpoint malware
 - Notificare contatti colpiti
 - Aggiornare filtri anti-phishing

Infezione Ransomware

ransomware-playbook.txt

Text


Risposta Ransomware:

1. Azioni Immediate
 - Isolare sistemi colpiti
 - Proteggere backup (offline)
 - Preservare prove
 - Valutare scope crittografia

2. Valutazione
 - Identificare variante ransomware
 - Determinare estensione impatto
 - Verificare integrita backup
 - Valutare potenziale recovery

3. Decisione
 - Ripristino da backup disponibile?
 - Impatto aziendale del downtime?
 - (Non raccomandiamo pagamento)

4. Recovery
 - Cancellare sistemi colpiti
 - Ripristino da backup puliti
 - Patch vulnerabilita sfruttate
 - Potenziare monitoraggio

5. Post-Incidente
 - Determinare vettore accesso iniziale
 - Migliorare protezione endpoint
 - Potenziare strategia backup
 - Formazione awareness dipendenti

Metriche e Misurazione

ir-metrics.txt

Text


Metriche IR Chiave:

Velocita:
- MTTD (Tempo Medio di Rilevamento)
- MTTR (Tempo Medio di Risposta)
- Tempo di contenimento
- Tempo di recovery

Efficacia:
- Incidenti evitati vs. violazioni
- Tassi falsi positivi
- Scope impatto incidente
- Tasso successo recovery

Processo:
- Aderenza ai playbook
- Qualita documentazione
- Miglioramenti lezioni apprese implementati
- Partecipazione esercizi

Rilevanza per la Carriera

Le competenze di incident response sono molto apprezzate nei team di sicurezza. I ruoli dedicati all'IR offrono sfide investigative e impatto diretto sulla sicurezza organizzativa.

Ruoli Incident Response (Mercato US)

Role	Entry Level	Mid Level	Senior
SOC Analyst (Tier 2)	65.000 USD	85.000 USD	105.000 USD
Incident Responder	80.000 USD	105.000 USD	130.000 USD
IR Manager	110.000 USD	140.000 USD	175.000 USD

Source: CyberSeek

Nel Bootcamp

Come Insegniamo Incident Response

Nel nostro Programma di Cybersecurity, non imparerai solo la teoria su Incident Response. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 8: Operazioni di Sicurezza Avanzate

Argomenti correlati che padroneggerai:Risposta agli IncidentiDFIRThreat HuntingVolatility

Scopri Come Lo Insegniamo

360+ ore di formazione guidata da esperti. 94% tasso di occupazione

Blog

Guide alla Carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione Aziendale

Assumi i Nostri Talenti

Incident Response

Perche e Importante

Il Framework di Incident Response

1. Preparazione

2. Rilevamento e Analisi

3. Contenimento

4. Eradicazione

5. Recovery

6. Lezioni Apprese

Ruoli del Team di Incident Response

Struttura del Team

Risorse Esterne

Playbook Incidenti Comuni

Phishing con Compromissione Account

Infezione Ransomware

Metriche e Misurazione

Rilevanza per la Carriera

Ruoli Incident Response (Mercato US)

Come Insegniamo Incident Response