Con la continua crescita di minacce informatiche e complesse regolamentazioni per la gestione dei dati, un piano di Incident Response diventa sempre più importante per le aziende di tutte le dimensioni. Si tratta in pratica dell’implementazione di tecnologie e metodologie volte ad analizzare e comprendere nel minor tempo possibile le reali cause di un “incidente informatico”, in modo da poter intervenire rapidamente, evitare che abbia conseguenze e stabilire nuove regole per evitare che si ripeta.

FireEye si occupa da anni di Incident Response, nello specifico attraverso il red team della propria società Mandiant. L’avvio delle indagini viene effettuato anche a distanza, senza bisogno di un intervento in loco, per ridurre ulteriormente le tempistiche e neutralizzare prima possibile la minaccia. Una delle peculiarità del servizio offerto, rispetto ad altre soluzioni, è la possibilità di lavorare sia con tecnologie già presenti in azienda sia con FireEye. Daniele Nicita, Consulting System Engineer di FireEye, spiega: “Mandiant è diversa in quanto ha la possibilità di utilizzare sia la tecnologia di sicurezza fornita dai propri clienti sia di sfruttare lo stack tecnologico di FireEye. Anni di utilizzo della tecnologia di FireEye per aumentare la visibilità, la velocità e migliorare l’accuratezza dei servizi IR hanno dimostrato il valore di avere una tecnologia su misura per supportare gli sforzi di risposta”.

Incident Response: prevenire invece di curare

La proposta di Mandiant non si limita però all’intervento post incidente, valuta anche le criticità presenti in azienda e le misure di sicurezza da implementare per risolverle, per esempio la mancanze di sistemi Endpoint Detection o la loro erronea implementazione.

Sempre Daniele Nicita riporta una recente case history: “Siamo stati contattati da un’azienda multinazionale con decine di migliaia di endpoint, per una presunta violazione. Entro quattro ore dall’invio di una notifica al cliente da parte di terze parti, avevamo implementato una tecnologia proprietaria in 18.000 sistemi e avevamo identificato le prove di una compromissione. Sei giorni dopo abbiamo completato la maggior parte dell’indagine, compresa l’analisi approfondita di 80 endpoint. Undici giorni dopo averci contattati, il cliente è tornato ad effettuare la sua solita attività lavorativa”.