Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Ripristino Il ripristino è il processo che prevede il ripristino dei sistemi a uno stato sicuro noto, la verifica della sicurezza dei backup o l'assenza dell'impatto dell'incidente prima del ripristino, la verifica del corretto funzionamento dei sistemi dopo il ripristino e la risoluzione delle vulnerabilità associate all'evento di sicurezza. L'ordine di ripristino dipende dai requisiti dell'organizzazione. Come parte del processo di ripristino, è necessario eseguire un'analisi dell'impatto aziendale per determinare almeno: + Priorità aziendali o di dipendenza + Il piano di restauro + Autenticazione e autorizzazione La Guida alla gestione degli incidenti di sicurezza informatica NIST SP 800-61 fornisce diversi passaggi per ripristinare i sistemi, tra cui: + Ripristino dei sistemi da backup puliti. + Verificate che i backup vengano valutati prima del ripristino sui sistemi per assicurarvi che l'infezione non sia presente e per prevenire il ripetersi dell'evento di sicurezza. I backup devono essere valutati regolarmente nell'ambito dei test di disaster recovery per verificare che il meccanismo di backup funzioni correttamente e che l'integrità dei dati soddisfi gli obiettivi dei punti di ripristino. + Se possibile, utilizzate i backup precedenti al timestamp del primo evento identificato come parte dell'analisi della causa principale. + Ricostruzione dei sistemi da zero, inclusa la ridistribuzione da fonti attendibili utilizzando l'automazione, a volte in un nuovo account. AWS + Sostituzione di file compromessi con versioni pulite. È necessario prestare molta attenzione quando si esegue questa operazione. È necessario essere assolutamente certi che il file che si sta recuperando sia noto, sicuro e inalterato dall'incidente. + Installazione delle patch. + Modifica delle password. + Ciò include le password per i presidi IAM che potrebbero essere state utilizzate in modo improprio. + Se possibile, consigliamo di utilizzare i ruoli per i principali e la federazione IAM come parte di una strategia con privilegi minimi. + Rafforzamento della sicurezza perimetrale della rete (set di regole del firewall, elenchi di controllo degli accessi ai router boundary). Una volta recuperate le risorse, è importante raccogliere le lezioni apprese per aggiornare le politiche, le procedure e le guide di risposta agli incidenti. In sintesi, è fondamentale implementare un processo di ripristino che faciliti il ritorno a operazioni sicure note. Il ripristino può richiedere molto tempo e richiede uno stretto collegamento con le strategie di contenimento per bilanciare l'impatto aziendale con il rischio di reinfezione. Le procedure di ripristino devono includere passaggi per il ripristino di risorse e servizi, i principi IAM e l'esecuzione di una revisione della sicurezza dell'account per valutare il rischio residuo.