6 cose da fare se vieni attaccato
6 cose da fare se vieni attaccato:
I dipendenti, anche quelli ben informati sulla sicurezza informatica, sono spesso impreparati ad affrontare problematiche di sicurezza. Può anche diventare difficile capire se sono stati compromessi realmente o se stanno solamente affrontando qualche genere di problema IT.
E secondo Janne Kauhanen un esperto del team di Servizi di Cybersecurity di F-Secure, è piuttosto comune per la gente farsi prendere dal panico e dallo stress quando si viene colpiti. I problemi possono persino diventare peggiori se non si sa come gestire la situazione nel modo corretto.
Quindi prima che un utente impazzisca e finisca col gettare fuori dalla finestra il suo computer o cose di questo tipo, si dovrebbe considerare di seguire questo piano di azione. Inizia a compiere con calma questi passi per limitare il danno e cerca di scoprire cos’è successo: ti aiuterà a risparmiare tempo, soldi e mal di testa.
1.NON FARTI PRENDERE DAL PANICO: potrebbe sembrare un suggerimento scontato, ma – come dice Janne – questa è tipicamente la prima reazione di chi è stato colpito. “Non posso spiegare realmente quanto negativo sia un incidente di sicurezza per un’azienda”, spiega Janne. “Allo stesso tempo i dipendenti non dovrebbero incolpare se stessi o reagire cancellando dati come le informazioni personali o la cronologia del browser per nasconderli ai propri datori di lavoro (ognuno, si sa, usa il computer aziendale anche per cose personali, quindi non serve nasconderlo). Meglio mantenere la calma e focalizzarsi sul fare ciò che serve per risolvere la situazione.”
2.NON SPEGNERE IL COMPUTER O IL DISPOSITIVO: un errore comune che molte persone fanno in preda al panico, è spegnere il dispositivo. Dopo tutto, un dispositivo compromesso non può fare reali danni senza alimentazione. Ma questo è qualcosa che oggi aiuta gli attaccanti!
Fondamentalmente, spegnere il dispositivo significa far sparire tutte le informazioni memorizzate nella memoria RAM, che possono essere utili agli investigatori. “Spegnere il computer è come distruggere le prove – e le prove possono aiutare a scoprire chi sono gli attaccanti e cosa hanno fatto,” spiega Janne. “Quindi, in realtà, spegnendo il dispositivo si finisce con l’aiutare l’hacker rendendo il lavoro investigativo più difficile.”
Infine, se spegni il dispositivo è come se aiutassi gli attaccanti a scappare, obbligando il tuo datore di lavoro a investire più denaro e tempo per condurre qualsiasi tipo di lavoro forensico successivo alla violazione. Quindi, non spegnere il dispositivo. Dovresti addirittura mettere in carica il dispositivo che è stato attaccato per accertarti che la batteria non si esaurisca prima che gli investigatori abbiano avuto la possibilità di analizzarlo.
3.SPEGNI LA CONNESSIONE DI RETE DEL DISPOSITIVO: “Questo fallo fisicamente, se possibile,” sottolinea Janne. Se spegnere il computer è un’azione che dà dei vantaggi ai criminali, lasciarlo connesso alla rete non è buona cosa. “Se il tuo dispositivo è stato compromesso, dovresti presumere che l’attaccante abbia avuto l’opportunità di muoversi lateralmente nella rete. Quindi disattivare la connessione di rete eviterà che l’attaccante usi il tuo dispositivo per infiltrarsi più a fondo nella rete.” Ecco alcune connessioni che molti utenti usano al lavoro:
- Wi-Fi
- Bluetooth
- NFC
- Mobile Data Network (rimuovi la SIM card)
E ovviamente, non continuare ad usare nessun tipo di dispositivo di archiviazione removibile (inclusi telefoni e tablet) che sono entrati in contatto con il dispositivo compromesso (fisicamente o via rete wireless).
4.NON TOCCARE PIU’ IL COMPUTER: se hai seguito i primi 3 step, hai già fatto molto. Hai impedito agli attaccanti di muoversi nella rete aziendale attraverso il tuo dispositivo. E lo hai fatto senza distruggere le prove che altri (come il CISO della tua azienda o un investigatore forense professionista) possono usare per tracciare l’attacco e trovare come e quando la violazione è avvenuta, cosa ha fatto l’attaccante e, con un po’ di fortuna, di chi si tratta. Quindi, prenditi un momento per te stesso, fai un profondo respiro, e datti una pacca sulla spalla per aver risposto finora con successo all’attacco informatico.
5.SCRIVI COSA E’ AVVENUTO: ora che ti sei preso un momento per raccogliere i tuoi pensieri, devi ricostruire e registrare che cosa è avvenuto. Data e ora degli eventi sono particolarmente importanti. Probabilmente non vorrai usare il tuo computer per farlo, quindi prendi carta e penna e inizia a scrivere. Cerca di includere più dettagli possibili di ciò che ricordi. Annota cosa ti ha fatto capire che c’era un problema, cosa stavi facendo quando hai notato la criticità, cosa hai fatto quando hai scoperto il problema, qualunque email misteriosa o altra interazione che potresti aver notato recentemente, se hai usato qualche dispositivo di archiviazione removibile o altra periferica per computer, ecc.
6.CHIEDI AIUTO: “E’ arrivato il momento di chiedere aiuto,” precisa Janne. Su chi contattare dipende da ogni singola azienda. Devi comunicare quanto accaduto a qualcuno, sia che sia il CISO dell’azienda o un consulente di sicurezza esterno.
F-Secure ha predisposto questa illustrazione per guidarti in questi 6 passi: include anche uno spazio per scrivere i riferimenti del tuo referente per la cyber security. Scaricala qui