Tutti i segreti della Cybersecurity: il blog di Cyberoo

Automatic Remediation vs Manual Remediation: quale processo è più efficace?

Scritto da Luca Bonora | 6 marzo 2025

 

Come ti accorgi di essere sotto attacco informatico? Come reagisci all’attacco in corso?

Sono queste due delle domande più importanti che un’azienda oggi dovrebbe porsi in ambito di cybersecurity per garantire la continuità operativa alla propria organizzazione.

Per comprendere a fondo queste domande, in questo articolo vediamo cos’è un incidente informatico, individuiamo alcuni fra i processi più efficaci, e in sinergia tra loro, da adottare per rispondere a un attacco informatico.

 

Cos’è un incidente informatico

Nonostante la definizione di incidente informatico negli anni sia mutata e a mio avviso maturata, ad oggi è ancora interessante notare come diversi framework possano portare piccole differenze, dipendenti dal contesto stesso.

Per esempio, le definizioni di incidente informatico nelle Direttive NIS2 e DORA hanno punti in comune, ma differiscono nei dettagli relativi all'ambito di applicazione e alla specificità dei settori a cui si rivolgono.

La Direttiva NIS2 dell'Unione Europea, che si occupa della sicurezza delle reti e dei sistemi informativi, definisce un "incidente informatico" come un evento che compromette la disponibilità, l'integrità, la riservatezza o l'autenticità dei dati o dei servizi di un sistema informatico e che può compromettere la sicurezza della rete e dei sistemi informativi.

La Direttiva DORA, che invece si concentra sulla resilienza operativa digitale per il settore finanziario, definisce un incidente informatico un evento o una serie di eventi che minacciano l'integrità, la riservatezza, la disponibilità e l'affidabilità di sistemi informatici o servizi utilizzati da entità che operano nel settore finanziario.

Vediamo, quindi, come la Direttiva NIS2 sia focalizzata sulla protezione delle infrastrutture critiche e sui sistemi informativi essenziali per il buon funzionamento di una nazione o di un settore strategico di molteplici settori chiave (dall’energia ai servizi digitali), mentre la Direttiva DORA fa riferimento a incidenti che possano influire negativamente sul funzionamento delle operazioni finanziarie, come banche, fondi di investimento, assicurazioni, e altre entità regolamentate.

Come CYBEROO siamo da sempre propensi ad indirizzare la definizione di incidente in modo più simile a quella ad oggi presente nella Direttiva NIS2 poiché ciò prevede un danno certo per gli asset ICT e per il patrimonio informativo dell’organizzazione.

 

Oltre la rilevazione: l’importanza della Remediation

Se da un lato la rilevazione delle minacce (Detection) è fondamentale per identificare tempestivamente le minacce, dall’altro la Remediation, intesa come risoluzione dei problemi, è altrettanto importante per evitare che un attacco si tramuti in incidente informatico, pertanto deve essere un processo ben strutturato ed efficace.

Una Remediation efficace influisce su diversi fattori:

  1. Minimizzazione dell’impatto: limita i danni che un attacco può causare, evitando tempi di inattività e perdita di dati.
  2. Ripristino della sicurezza: anche se una minaccia è rilevata, la sua rimozione efficace è cruciale per garantire che non venga sfruttata ulteriormente, causando danni o esfiltrazione di dati sensibili.
  3. Prevenzione di future violazioni: comprendere cosa l’attaccante stava cercando di fare e quali debolezze stava sfruttando permette di evitare che ciò possa risuccedere in un immediato futuro.
  4. Rispetto delle normative: la Remediation è spesso parte integrante delle normative di sicurezza, la Direttiva NIS2 per esempio consiglia di valutare anche i quasi incidenti poiché se non aggrediti da una repentina Remediation avrebbero potuto portare a un incidente informatico.

Risulta chiaro come la Remediation sia una fase fondamentale della sicurezza informatica e per tale motivo si debba valutarla in tutte le sue forme.

 

Automatic Remediation vs. Manual Remediation

Fra le diverse modalità di Remediation che consentono di rimediare a un attacco in corso, distinguiamo due macro-tipologie: Automatic Remediation e Manual Remediation.

 

Automatic Remediation

Per Automatic Remediation si intende un processo di correzione automatica di problemi di sicurezza senza intervento umano diretto. Questo consente di ottenere una maggiore velocità, meno errori umani e una gestione di incidenti comuni o ripetuti. È utile in scenari dove il rischio di danni è contenuto e il problema è abbastanza semplice da risolvere automaticamente (per esempio, un aggiornamento di sicurezza o un'azione su larga scala per chiudere porte vulnerabili). Porta con sé il rischio di risolvere il problema in modo standardizzato e superficiale soprattutto in casi complessi o dove la minaccia non sia completamente identificata.

Per fare ciò è necessario l'uso di strumenti e tecnologie che permettano immediatamente dopo la rilevazione di attivare contromisure in modo autonomo alle minacce.

Il processo di remediation automatica può includere azioni come:

  • Isolamento di sistemi compromessi: separare automaticamente i dispositivi infetti per prevenire la diffusione di attacchi.
  • Blocco delle comunicazioni: chiudere eventuali comunicazioni di accesso ai criminali che potrebbero accedere anche ad altri dispositivi o software
  • Blocco di account: bloccare account o forzarne automaticamente il cambio password permette di intervenire su tipologie di accessi anomali che avvengano o in orari non consoni o da luoghi inattesi
  • Blocco di malware: bloccare automaticamente l’attivazione di software dannosi durante il tentativo di installazione da parte del cyber criminale.
  • Ripristino dei sistemi: ripristinare automaticamente un sistema a uno stato sicuro o precedente tramite backup.
  • Correzione di vulnerabilità: l'installazione automatica di patch di sicurezza o aggiornamenti per chiudere falle nei sistemi

 

Manual Remediation

Per Manual Remediation si intende un processo di correzione manuale ai problemi di sicurezza avendo la garanzia di una diretta supervisione umana ottenendo un maggiore controllo e precisione. Questo processo è adatto a scenari complessi, come attacchi avanzati (APT), o in cui è necessario valutare in dettaglio l’impatto di una soluzione prima di agire. Si tratta di una modalità più lenta che richiede risorse specializzate.

Per risultare efficace è importante avere un adeguato team di persone a disposizione, considerando che non si può sapere con certezza quando sarà necessario.

Questo tema focalizza l’attenzione su quella che viene denominata “catena del soccorso”: l’insieme delle diverse persone e competenze che possono e devono intervenire manualmente nel caso di necessità.

La catena del soccorso può essere composta da personale IT interno oppure da consulenti esterni in grado di conoscere nel dettaglio l’infrastruttura aziendale fino a veri e propri servizi che nascono con l’obiettivo di migliorare i tempi di attivazione e di risposta anche nel caso intervento manuale.

A quelle già comprese nell’automatic remediation, il processo di Manual Remediation aggiunge ulteriori azioni:

  • Patch Management: aggiornamento e applicazione di patch di sicurezza su software e sistemi per correggere vulnerabilità note utili a chiudere falle nei sistemi con la supervisione umana dello stato di avanzamento e delle conseguenze indotte dall’aggiornamento stesso.
  • Intervento in ambiti critici: l’attivazione di Remediation in ambiti in cui la supervisione umana è preferibile poiché risulta necessario poter comprendere a pieno sia gli aspetti tecnici che le interazioni fra i diversi sistemi coinvolti.
  • Rimozione di Malware: eliminazione di virus, worm, trojan, ransomware e altre minacce dai sistemi in cui l’attaccante sia riuscito a far espandere l’infezione.
  • Rimozione di accessi non autorizzati: disabilitazione di account compromessi, gestione dei privilegi di accesso e monitoraggio dell’attività con una parallela analisi delle conseguenze.
  • Configurazione e hardening: modifica delle impostazioni di sistema per ridurre le vulnerabilità, come il blocco di porte non necessarie o la disabilitazione di servizi non usati.
  • Analisi forense: identificazione e documentazione dell'incidente, per capire come è iniziato l’attacco e come stava per procedere la propagazione, al fine di prepararsi a difendersi in futuro.
  • Recupero del sistema: ristabilizzazione del normale funzionamento di un sistema compromesso, ad esempio tramite un ripristino da backup puliti.
  • Mitigazione dei rischi: analisi delle misure preventive utili a ridurre la possibilità che simili attacchi si ripetano, come ad esempio la valutazione e l'installazione di sistemi di rilevamento delle intrusioni (IDS/IPS) o l’utilizzo di tecniche di cifratura.

 

In medio stat virtus

L’esperienza ci porta ad affermare che nessuna delle due Remediation risulta essere né perfetta né l’unica adottabile.

L’Automatic Remediation è senza dubbi il modo più veloce per intervenire con una dinamica certa. Molto spesso, tuttavia, una dinamica certa non ha conseguenze altrettanto note, motivo per cui capita di avere clienti che preferiscono non adottarla in ambiti particolarmente critici per il business aziendale, come ad esempio nell’ambito di produzione industriale, preferendo una più lenta ma analizzata e consapevole Remediation manuale.

D’altra parte, la Remediation manuale, sicuramente più lenta, necessità di una costante supervisione e di servizi gestiti. È lontano il tempo in cui si ipotizzava di avere servizi gestiti in orari puramente lavorativi. Da diversi anni, ormai, gli attacchi informatici e la propagazione delle minacce avvengono in qualsiasi ora e giorno della settimana. Per questo è importante disporre di servizi erogati da team di Remediation attivi con un unico livello di servizio: near real time, H24, 7 giorni su 7, 365 giorni l’anno.

Questi team devono avere competenze estremamente eterogene e/o adottare strumenti appositamente creati per poter intervenire in modo veloce ed efficace su una enorme vastità di diverse tecnologie e prodotti per poter rispondere alle esigenze di clienti che hanno fatto nel tempo scelte differenti in base alla loro storia e alla loro capacità di budget.

Queste persone in CYBEROO compongono il Team Keera: un team che rappresenta il primo anello della catena del soccorso, attivabile in tutti quei contesti in cui l’Automatic Remediation non è attivabile o non è efficacemente intervenuta.

In conclusione, esaminati i pro e i contro delle diverse metodologie, possiamo senza dubbi affermare che un corretto e completo processo di Remediation non dovrebbe rinunciare a nessuna delle due, anzi è la loro sinergia e la coerente capacità di adattarsi alla realtà del cliente il modo migliore per disporre di una remediation efficace, che non abbia l’esigenza di diventare un imminente Incident Response.

Di Luca Bonora, CYBEROO Evangelist

 
Visualizza articolo completo