Incident Management
Incident Management
All'interno di un SOC/CSIRT deve essere stabilito un Incident Response Team (IRT). Un IRT di base è costituito da almeno un team leader, almeno 1-2 esperti di Sistemi Operativi e System Forensic, almeno 1-2 esperti di reti e Network Forensic, almeno un esperto di Reverse Engineering e Malware Analysis. Tali professionisti devono affrontare incidenti in modo sistematico.
All'interno di un SOC/CSIRT deve essere stabilito un Incident Response Team (IRT). Un IRT di base è costituito da almeno un team leader, almeno 1-2 esperti di Sistemi Operativi e System Forensic, almeno 1-2 esperti di reti e Network Forensic, almeno un esperto di Reverse Engineering e Malware Analysis. Tali professionisti devono affrontare incidenti in modo sistematico.
L'IR è caratterizzato in genere dalle seguenti fasi:
Preparation: creazione di un piano di IR, controllo delle configurazioni, CTI
Detection & Analysis: Individuazione evento, IOC, Threat Pattern
Containment: creazione di un piano di contenimento sulla base delle informazioni raccolte
Eradication & Remediation: messa in atto delle azioni necessarie alla risoluzione dell'incidente
Recovery: messa in atto dei piani di BC/DR e ripristino delle infrastrutture e servizi colpiti
Post Incident Activity: verifica/audit dell'avvenuta eradicazione del problema. Lesson Learned e Follow Up.
