Rilevamento e prevenzione nella gestione della sicurezza informatica

• Gli attacchi informatici restano troppo a lungo inosservati
• La nuova ISO/IEC 27001:2022 - cambiamenti chiave
• Tre nuovi controlli per il rilevamento e la prevenzione
• Riassunto tecnico
• Cosa significa l'aggiornamento per la vostra certificazione?
• Un ISMS all'avanguardia con l'esperienza di DQS

Gli attacchi informatici restano troppo a lungo inosservati

L'enorme valore delle informazioni e dei dati nel mondo degli affari del 21° secolo costringe sempre più aziende e organizzazioni a concentrarsi sulla sicurezza delle informazioni e a investire nella protezione sistematica dei loro asset digitali. Perché? In un panorama dinamico di minacce, le tattiche degli aggressori stanno diventando sempre più sofisticate e multilivello, con conseguenti gravi danni all'immagine e alla reputazione delle aziende colpite e miliardi di dollari di perdite economiche annuali in tutto il mondo.

Gli esperti concordano sul fatto che non esiste più una protezione completa contro i cyberattacchi, se non altro a causa del fattore umano dell'incertezza. Ciò rende ancora più importante il rilevamento precoce degli attacchi potenziali ed effettivi, al fine di limitare il loro vettore laterale nelle reti aziendali e mantenere il numero di sistemi compromessi il più basso possibile. Ma c'è ancora molto da recuperare in questo campo: una ricerca condotta nell'ambito dello studio"Cost of a data breach 2022" di IBM mostra che nel 2022 ci sono voluti in media 277 giorni per rilevare e contenere un attacco.

La nuova ISO 27001:2022

Per aiutare le aziende e le organizzazioni a disporre di un quadro di riferimento moderno e standardizzato per i sistemi di gestione della sicurezza delle informazioni, il 25 ottobre 2022 l'ISO ha pubblicato il nuovo standard ISMS ISO/IEC 27001:2022. L'allegato A fornisce controlli/misure che possono essere utilizzati su base aziendale per affrontare i rischi legati alla sicurezza delle informazioni.

L'implementazione delle misure dell'Allegato A nella versione attuale è supportata dalla guida all'implementazione, strutturata in modo identico, della norma ISO/IEC 27002:2022, già aggiornata a febbraio. Sono stati inseriti nuovi controlli generici per la prevenzione degli attacchi strategici e per il rilevamento più rapido.

Tre nuovi controlli per il rilevamento e la prevenzione

Le 93 misure dell'allegato A della norma ISO/IEC 27001:2022 sono ora riorganizzate nell'ambito dell'aggiornamento in quattro argomenti

• Misure organizzative,
• Misure personali,
• misure fisiche e
• Misure tecnologiche.

Tre degli undici controlli di sicurezza delle informazioni recentemente introdotti riguardano la prevenzione e il rilevamento tempestivo degli attacchi informatici. Questi tre controlli sono

• 5.7 Informazioni sulle minacce (organizzativo).
• 8.16 Attività di monitoraggio (tecnologica)
• 8.23 Filtraggio web (tecnologico).

Di seguito analizzeremo più da vicino questi 3 nuovi controlli.

Informazioni sulle minacce

Il controllo organizzativo 5.7 riguarda la raccolta e l'analisi sistematica delle informazioni sulle minacce rilevanti. Lo scopo della misura è quello di rendere le organizzazioni consapevoli della propria situazione di minaccia, in modo che possano successivamente intraprendere azioni appropriate per mitigare il rischio. I dati sulle minacce devono essere analizzati in modo strutturato secondo tre aspetti: strategico, tattico e operativo.

L'analisi strategica delle minacce fornisce informazioni sull'evoluzione del panorama delle minacce, come i tipi di attacco e gli attori, ad esempio attori motivati dallo Stato, criminali informatici, aggressori a contratto, hacktivisti. Agenzie governative nazionali e internazionali (come BSI - Ufficio Federale Tedesco per la Sicurezza Informatica, enisa - Agenzia dell'Unione Europea per la Cybersecurity, U.S. Department of Homeland Security o NIST - National Institute of Standards and Technology), così come organizzazioni no-profit e forum rilevanti, forniscono informazioni ben studiate sulle minacce in tutti i settori e le infrastrutture critiche.

Le informazioni tattiche sulle minacce e la loro valutazione forniscono valutazioni sui metodi, gli strumenti e le tecnologie degli aggressori.

La valutazione operativa di minacce specifiche fornisce informazioni dettagliate su attacchi specifici, compresi gli indicatori tecnici, ad esempio, attualmente, l'estremo aumento degli attacchi informatici da parte del ransomware e delle sue varianti nel 2022.

L'analisi delle minacce può fornire un supporto nei seguenti modi:

• Procedura per integrare i dati sulle minacce nel processo di gestione del rischio,
• Tecnicamente per la prevenzione e il rilevamento, ad esempio aggiornando le regole dei firewall, i sistemi di rilevamento delle intrusioni (IDS), le soluzioni anti-malware,
• Con informazioni di input per procedure di test specifiche e tecniche di test sulla sicurezza delle informazioni.

La qualità dei dati del controllo organizzativo 5.7 per determinare la situazione delle minacce e analizzarla influisce direttamente sui due controlli tecnici per le attività di monitoraggio (8.16) e per il filtraggio del web (8.23) discussi di seguito, anch'essi nuovi per la ISO/IEC 27002.

Attività di monitoraggio

Il controllo di sicurezza delle informazioni 8.16, di tipo rivelatorio e correttivo, sul monitoraggio tecnico delle attività, si concentra sul rilevamento delle anomalie come metodo per prevenire le minacce. Le reti, i sistemi e le applicazioni si comportano secondo schemi previsti, come la velocità di trasmissione dei dati, i protocolli, i messaggi e così via. Qualsiasi cambiamento o deviazione da questi schemi previsti viene rilevato come un'anomalia.

Per rilevare questi comportamenti insoliti, le attività pertinenti devono essere monitorate in conformità ai requisiti di sicurezza aziendale e delle informazioni e le eventuali anomalie devono essere confrontate con i dati sulle minacce esistenti, tra le altre cose (vedere sopra, requisito 5.7). I seguenti aspetti sono rilevanti per il sistema di monitoraggio:

• Traffico di rete, di sistema e applicativo in entrata e in uscita,
• accesso a sistemi, server, apparecchiature di rete, sistemi di monitoraggio, applicazioni critiche, ecc,
• File di configurazione del sistema e della rete a livello amministrativo o mission-critical;
• Registri degli strumenti di sicurezza [ad esempio, antivirus, sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS), filtri web, firewall, prevenzione delle perdite di dati],
• registri degli eventi relativi alle attività di sistema e di rete,
• Verifica dell'integrità e dell'autorizzazione del codice eseguibile in un sistema,
• utilizzo delle risorse, ad esempio potenza del processore, capacità del disco, utilizzo della memoria, larghezza di banda.

I requisiti di base per un monitoraggio funzionante delle attività sono un'infrastruttura IT/OT configurata in modo pulito e trasparente e reti IT/OT correttamente funzionanti. Qualsiasi cambiamento rispetto a questo stato di base viene rilevato come una potenziale minaccia alla funzionalità e quindi come un'anomalia. A seconda della complessità di un'infrastruttura, l'implementazione di questa misura rappresenta una sfida importante, nonostante le soluzioni dei fornitori. L'importanza dei sistemi per il rilevamento delle anomalie è stata riconosciuta quasi contemporaneamente al requisito 8.16 della norma ISO/IEC 27002:2022 per gli operatori delle cosiddette infrastrutture critiche. Pertanto, nell'ambito delle normative nazionali pertinenti, vi è l'obbligo per questi ultimi di applicare efficacemente i cosiddetti sistemi per il rilevamento degli attacchi con scadenze.

Filtraggio del web

Internet è sia una benedizione che una maledizione. L'accesso a siti web di dubbia provenienza continua a essere una porta d'accesso per contenuti dannosi e malware. Il controllo di sicurezza delle informazioni 8.23 Filtraggio Web ha lo scopo preventivo di proteggere i sistemi dell'organizzazione dall'intrusione di malware e di impedire l'accesso a risorse Web non autorizzate. A tal fine, le organizzazioni devono stabilire regole per un uso sicuro e appropriato delle risorse online, comprese le restrizioni di accesso obbligatorie ai siti web e alle applicazioni basate sul web non desiderati o inappropriati. L'organizzazione deve bloccare l'accesso ai seguenti tipi di siti web:

• Siti web che hanno una funzione di upload, a meno che non sia necessario per motivi aziendali legittimi,
• siti web noti o anche solo sospettati di essere dannosi,
• server di comando e controllo,
• siti web dannosi identificati come tali dai dati sulle minacce (vedere anche la misura 5.7),
• siti web con contenuti illegali.

La misura di filtraggio del Web funziona davvero solo con personale addestrato e sufficientemente consapevole dell'uso sicuro e appropriato delle risorse online.

Conclusione tecnica

I nuovi controlli di rilevamento e prevenzione qui descritti hanno un ruolo fondamentale nella difesa dalla criminalità informatica organizzata e sono stati giustamente inseriti nelle versioni attuali delle norme ISO/IEC 27001 e ISO/IEC 27002. Grazie al continuo aggiornamento e all'analisi delle informazioni disponibili sulle minacce, all'ampio monitoraggio delle attività nelle proprie infrastrutture IT e alla protezione dei propri sistemi da siti web di dubbia provenienza, le aziende rafforzano in modo duraturo la propria protezione contro l'intrusione di malware pericolosi. Inoltre, si mettono in condizione di avviare tempestivamente misure di risposta adeguate.

Le aziende e le organizzazioni devono ora implementare i tre controlli/misure presentati e integrarli in modo coerente nel loro ISMS per soddisfare i requisiti dei futuri audit di certificazione. DQS vanta oltre 35 anni di esperienza completa nel campo degli audit e delle certificazioni imparziali ed è lieta di supportarvi nella gestione del cambiamento del vostro sistema di gestione della sicurezza delle informazioni in conformità alla norma ISO/IEC 27001:2022.

Cosa significa l'aggiornamento per la vostra certificazione?

La ISO/IEC 27001:2022 è stata pubblicata il 25 ottobre 2022. Ciò comporta le seguenti scadenze e tempi di transizione per gli utenti:

• Preparazione alla certificazione ISO/IEC 27001:2022 prevista da Novembre 2023 (soggetta al nostro organismo di accreditamento DAkkS, Deutsche Akkreditierungsstelle GmbH).
• A partire dal 30 aprile 2024, DQS eseguirà solo audit iniziali e di ricertificazione secondo il nuovo standard ISO/IEC 27001:2022.
• Conversione di tutti i certificati esistenti secondo la "vecchia" ISO/IEC 27001:2013 alla nuova ISO/IEC 27001:2022: dal 31 ottobre 2022 si applicherà un periodo di transizione di tre anni. I certificati rilasciati secondo la ISO/IEC 27001:2013 o la DIN EN ISO/IEC 27001:2017 saranno validi al massimo fino al 31 ottobre 2025 o dovranno essere ritirati a tale data.

Un ISMS all'avanguardia con l'esperienza di DQS

Per la transizione alla nuova versione della ISO/IEC 27001, le organizzazioni hanno ancora un po' di tempo. Gli attuali certificati basati sulla vecchia norma perderanno la loro validità il 31.10.2025. Tuttavia, si consiglia di affrontare tempestivamente i nuovi requisiti ISMS, di avviare processi di cambiamento adeguati e di implementarli di conseguenza.

In qualità di esperti di audit e certificazioni con un'esperienza di oltre tre decenni, vi supportiamo nell'implementazione del nuovo standard. Informatevi presso i nostri numerosi auditor esperti sui cambiamenti più importanti e sulla loro rilevanza per la vostra organizzazione e affidatevi alla nostra competenza. Insieme, discuteremo il vostro potenziale di miglioramento e vi sosterremo fino al conseguimento del nuovo certificato. Saremo lieti di ascoltarvi.