Nel ciclo di risposta NIS, contenimento ed eradicazione sono le fasi esecutive che limitano i danni e rimuovono la persistenza dell’attaccante. Operativamente, i team devono adottare strategie predefinite, gestire tradeoff controllati e verificare con evidenze l’efficacia delle azioni.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Punti chiave
- Contenimento ed eradicazione non sono azioni isolate, ma attività iterative della risposta.
- Le scelte di contenimento devono bilanciare preservazione evidenze, continuità operativa e riduzione del rischio.
- L’eradicazione deve rimuovere le condizioni di compromissione e validare il rischio residuo prima della chiusura.
- Entrambe le fasi richiedono obiettivi, azioni, motivazioni e verifiche di efficacia documentate.
Fonti: Guida ACN gestione incidenti
Sequenza operativa contenimento-eradicazione
1. Definizione strategia di contenimento
Selezionare le azioni di contenimento in base a severità incidente, impatto business, esigenze di preservazione evidenze e dipendenze operative.
2. Esecuzione e tracciamento del contenimento
Applicare controlli tecnici/procedurali (ad esempio isolamento, controllo account, segmentazione, restrizioni temporanee) documentando decisioni e impatti.
3. Verifica efficacia contenimento
Verificare se persistono indicatori di compromissione; in tal caso, ritornare all’investigazione e affinare il contenimento.
4. Pianificazione azioni di eradicazione
Definire azioni per rimuovere artefatti malevoli, meccanismi di persistenza e debolezze sfruttate, con ownership e sequenza chiare.
5. Validazione eradicazione e transizione
Confermare il raggiungimento degli obiettivi di eradicazione e preparare output per ripristino e reporting di governance.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Set minimo di evidenze per contenimento/eradicazione
| Fase RS | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Strategia contenimento | Selezione azioni tracciabile e basata sul rischio | Piano contenimento, razionale decisioni, note impatto |
| Esecuzione contenimento | Rilascio azioni in modo controllato | Registro azioni, change record, aggiornamenti timeline |
| Verifica efficacia | Validazione assenza compromissione residua | Checklist verifica, esiti review indicatori |
| Pianificazione eradicazione | Strategia completa di rimozione | Piano eradicazione, assegnazione owner, dipendenze |
| Chiusura eradicazione | Completamento verificato e handoff pronto | Record criteri chiusura, nota rischio residuo, pacchetto handoff |
Fonti: Guida ACN gestione incidenti
Checklist operativa per 90 giorni
- Definire criteri decisionali di contenimento con stakeholder legali, operation e cyber.
- Standardizzare template di azione contenimento con campi obbligatori su razionale e impatto.
- Stabilire verifiche oggettive di efficacia prima della chiusura eradicazione.
- Creare play pattern di eradicazione per scenari di attacco ricorrenti.
- Richiedere handoff formale da eradicazione a ripristino e riesame post-incidente.
FAQ
Contenimento ed eradicazione si eseguono una sola volta per incidente?
Non necessariamente. La guida indica possibili iterazioni quando emergono nuove evidenze o compromissioni residue. Fonte: Guida ACN gestione incidenti
Cosa va documentato nelle decisioni di contenimento?
Al minimo: obiettivi, azioni selezionate, motivazioni, impatto atteso e criteri di verifica dell’efficacia. Fonte: Guida ACN gestione incidenti
Quando l’eradicazione può considerarsi completata?
Quando le azioni pianificate sono verificate, non emergono compromissioni residue e i record sono pronti per ripristino e follow-up governance. Fonte: Guida ACN gestione incidenti