L’Incident Response è un metodo affidabile per identificare immediatamente un incidente di sicurezza quando si verifica stabilendo, in aggiunta, una serie di buone pratiche per fermare un’intrusione prima che causi danni.
Non stupisce allora come, di fronte al proliferare delle minacce per le aziende e alle nuove regolamentazioni, i servizi di Incident Response stiano acquisendo sempre più importanza.
Qualsiasi incidente che non è contenuto e gestito in maniera adeguata può, infatti, portare a un problema molto più grande che può a sua volta condurre a una dannosa violazione dei dati o addirittura al collasso del sistema.
Prima di arrivare al peggio, una risposta rapida a un incidente aiuterà un’azienda a ridurre al minimo le perdite, a mitigare le vulnerabilità sfruttate, a ripristinare i servizi e i processi e a ridurre i rischi che gli incidenti futuri potranno comportare.
FireEye lo fa attraverso Mandiant, società riconosciuta a livello globale come realtà in grado di utilizzare sia la tecnologia di sicurezza fornita dai propri clienti sia di sfruttare lo stack tecnologico di FireEye per supportare gli sforzi di risposta.
La società di Intelligence led security fornisce, infatti, a Mandiant la giusta tecnologia per aumentare la visibilità, la velocità e migliorare l’accuratezza dei servizi IR consentendo l’avvio delle indagini, anche da remoto, di incidenti informatici entro poche ore, così da ridurre il tempo di risposta e le spese.
Il red team di Mandiant, il team di Incident Response, utilizza un mix di tecnologie per soddisfare le esigenze investigative del cliente e molte di queste hanno anche capacità difensive, che aiutano a proteggere l’ambiente da ulteriori attacchi durante l’indagine.
Quando Endpoint Detection, IDPS e SIEM non bastano
In molte occasioni, infatti, le soluzioni EDR o non sono disponibili o non sono state utilizzate completamente anche se sono indispensabili per tracciare un attaccante e ottenere le prove della sua attività.
A loro volta, le soluzioni IDPS, che sono onnipresenti, sono efficaci nell’identificare le prime fasi dell’attività di un’intrusione ma sono spesso limitate nella loro capacità di rilevare attività post-sfruttamento, mentre le soluzioni SIEM spesso non sono in scala per poter aggregare tutte le fonti di log provenienti dai sistemi presenti nell’ambiente.
