Skip to Content

Le compromissioni possono accadere: ecco come non finire sui giornali

Image shows two people standing around icons of security and charts.
Previeni le minacce grazie a strategie e strumenti proattivi per la protezione dei dati che ti aiutano a individuare, gestire e mitigare i rischi.[Image: Scorch]

Le compromissioni di dati sono inevitabili, ma con un'adeguata strategia di prevenzione il loro impatto può essere evitato.

La compromissione dei dati non è più una questione di “se”, ma di “quando”. Nel 2024 il costo medio globale delle compromissioni di dati raggiungerà il massimo storico di 4,9 milioni di dollari, con un aumento del 10% in un solo anno. L’impatto va oltre la perdita finanziaria: può danneggiare la fiducia dei clienti, interrompere le operazioni e creare problemi di conformità per anni.

Senza un monitoraggio proattivo e un’adeguata archiviazione dei registri, i dettagli chiave su come, quando e perché si è verificata una compromissione possono sfuggire. Tuttavia, con un’adeguata strategia di prevenzione della compromissione dei dati, le organizzazioni possono ridurre al minimo i danni rilevando i problemi in anticipo, identificando le vulnerabilità e rafforzando le difese.

Perché i servizi di registrazione cronologica non sono sufficienti in caso di crisi

Affidarsi esclusivamente ai servizi di registrazione cronologica per gestire gli incidenti di sicurezza comporta rischi inutili: 

  • Lacune nei dati passati: i servizi di registrazione cronologica sono utili solo se completi, accessibili e tempestivi. La mancanza o il ritardo nell’accesso ai registri può rallentare le indagini, rendendo difficile la comprensione completa di un incidente. Dato che le organizzazioni impiegano in media 194 giorni per identificare una compromissione dei dati, affidarsi esclusivamente ai dati del passato crea un rischio significativo.
  • Rischio di perdere approfondimenti chiave: senza un monitoraggio proattivo, i dettagli critici sull’attività degli utenti, gli accessi non autorizzati o le compromissioni dei dati potrebbero passare inosservati. Questo significa ritardare le risposte e lasciare aperte le vulnerabilità più a lungo del necessario.     

Il monitoraggio degli eventi in tempo reale colma queste lacune di visibilità, fornendo dati storici e in tempo reale sull’attività del sistema. Rileva pattern insoliti, contrassegna potenziali minacce e agisce rapidamente per ridurre i rischi: questi avvisi aiutano le organizzazioni a rispondere in modo proattivo alle attività sospette.

Inoltre, accedi ai registri dettagliati degli eventi per indagare a fondo sugli incidenti e assicurarti che non vengano tralasciati dettagli critici e che sia possibile porvi rimedio.     

Per gli utenti di Salesforce, la funzione Monitoraggio eventi tiene traccia di un’ampia gamma di attività, dai login all’accesso ai dati, dalle chiamate API all’esportazione di report. In questo modo le organizzazioni hanno la possibilità di salvaguardare i dati sensibili, prevenire le azioni rischiose e mantenere un log di audit solido.

Attività di sicurezza: registrare, tracciare e monitorare

Scopri gli approfondimenti sulla tua organizzazione Salesforce con Monitoraggio eventi e impara a farlo su Trailhead, la piattaforma di apprendimento gratuita di Salesforce.

Inizia ad apprendere
+300 punti
Modulo

Monitoraggio eventi

Impara a padroneggiare questo percorso.

Il ruolo dell’AI e di Monitoraggio eventi nella prevenzione delle compromissioni di dati      

Investire in strumenti avanzati come il rilevamento delle minacce basato sull’AI e l’automazione può ridurre significativamente l’impatto delle compromissioni. In effetti, Monitoraggio eventi e AI vanno di pari passo: il primo genera una grande quantità di dati, che la seconda utilizza per fornire approfondimenti sulla sicurezza. 

Di conseguenza, le organizzazioni che utilizzano ampiamente l’AI e l’automazione della sicurezza risparmiano in media 2,22 milioni di dollari per ogni compromissione rispetto a quelle che non lo fanno.

L’AI porta il rilevamento delle minacce a un livello superiore, analizzando i pattern e identificando le anomalie nel momento in cui si verificano. In combinazione con Monitoraggio eventi, crea un potente sistema di allarme precoce contro potenziali compromissioni. Ad esempio, l’AI può monitorare i pattern di accesso e segnalare attività insolite, come accessi da luoghi o dispositivi insoliti. 

Monitoraggio eventi fornisce quindi dati immediati, consentendo alle organizzazioni di agire prima che un problema si aggravi. Questo tipo di visibilità è fondamentale per un’azione rapida e aiuta a dimostrare la dovuta diligenza alle autorità di regolamentazione e a rafforzare la fiducia dei clienti.

Come reagire a una sospetta compromissione di dati

La tua risposta può ridurre significativamente l’impatto di una compromissione. Un approccio dispersivo spesso genera confusione, rendendo più difficile contenere la situazione e causando potenzialmente ulteriori danni. Al contrario, un chiaro piano di risposta agli incidenti ti aiuta a mantenere il controllo, anche sotto pressione. Ecco un approccio strutturato per rispondere efficacemente a una sospetta compromissione:

Passaggio 1: valutare la situazione ed esaminare i dati di monitoraggio degli eventi

Inizia utilizzando gli strumenti e le dashboard specifiche di Monitoraggio eventi per analizzare i dati in modo efficace. Questo include:

  • I file di registro degli eventi (Event Log Files, ELF): l’ esplorazione dei file ELF ti permette di accedere a informazioni dettagliate sugli eventi, come login, esportazioni dati e utilizzo delle API.    
  • Verifica degli accessi: la funzione di verifica aiuta a monitorare le attività di accesso sospette, individuando istanze di indirizzi IP o intervalli di indirizzi sospetti e attacchi brute-force.
  • App di statistica per il monitoraggio degli eventi: potrai caricare e accedere ai dati attraverso una dashboard precostituita, controllando l’accesso.

Cerca pattern di accesso insoliti, esportazioni su larga scala, autorizzazioni utente inaspettate o modifiche all’utilizzo delle API. Questo approfondimento in tempo reale è prezioso per identificare i contenuti esposti e l’eventuale responsabile.

Passaggio 2: condurre l’analisi delle cause radice

Capire come e perché si è verificata una compromissione è essenziale per prevenire incidenti futuri. Quando analizzi un episodio per capire cosa è successo, assicurati di indagare:

  • Autorizzazioni e registri degli accessi degli utenti: esamina i registri per determinare gli accessi non autorizzati o le modifiche ai permessi, compresi i timestamp di accesso, i tipi di dispositivi e gli indirizzi IP.     
  • Utilizzo delle API: analizza le chiamate API per identificare attività anomale, come richieste eccessive di dati o integrazioni non autorizzate.     
  • Modifiche alla configurazione: esamina le modifiche recenti alle impostazioni del sistema, ai ruoli degli utenti e alle configurazioni di rete. Le modifiche più comunemente sfruttate includono autorizzazioni non configurate correttamente, vulnerabilità non patchate e protocolli di sicurezza disattivati.

Individuando la causa radice, sia che si tratti di una configurazione errata, di un attacco di phishing o di una vulnerabilità non patchata, puoi intraprendere azioni mirate per mitigare i rischi ed evitare che si ripeta. 

Sei al passo con le normative emergenti in materia di AI?

Scopri come soddisfare i requisiti normativi più pressanti salvaguardando i dati sensibili in Salesforce.

Leggi il white paper

Passaggio 3: rimediare agli incidenti

Una volta identificata la causa, è ora di agire in modo rapido ed efficace. Una risposta rapida può trasformare una massiccia compromissione della sicurezza in un incidente più gestibile, riducendo l’impatto dell’attacco e proteggendo i dati critici prima che diventino parte dell’incidente generale.

  • Limitare l’accesso: limita o disabilita immediatamente gli account compromessi per contenere la compromissione.     
  • Reimpostare le password: utilizza strumenti automatizzati per imporre la reimpostazione delle password sugli account interessati e mantieni la conformità con le politiche di complessità delle password (come la lunghezza minima, l’inclusione di caratteri unici e la scadenza periodica).     
  • Aggiornare le impostazioni di sicurezza: rivedi e migliora le configurazioni di sicurezza, tra cui l’applicazione dell’autenticazione a due fattori (2FA) e l’implementazione di restrizioni IP.     
  • Applicare patch: risolvi le vulnerabilità identificate distribuendo prontamente le patch e gli aggiornamenti del software.

Una volta identificata la causa, è il momento di limitare l’accesso agli account compromessi e ai dati sensibili, reimpostare le password, applicare le patch necessarie e adottare misure di sicurezza più avanzate, come l’autenticazione a più fattori, per aumentare la protezione. Queste azioni prevengono i rischi immediati e rafforzano le difese per evitare incidenti simili. 

Passaggio 4: affrontare l’uso improprio dell’API

Suggerimento pro: l’uso dell’API o le modifiche alla configurazione possono spesso suggerire attività sospette che potrebbero passare inosservate. Usa il monitoraggio degli eventi di Salesforce per identificare e ridurre questi rischi:

  • Tracciare le chiamate API: filtra i log per concentrarti sulle azioni ad alto rischio, come richieste eccessive di dati, pattern insoliti o integrazioni di sistema inaspettate.     
  • Correlare gli eventi: combina i log API con i dati di accesso degli utenti per identificare le connessioni tra chiamate API sospette e attività dell’utente, come collegare chiamate API non autorizzate a tentativi di login specifici o modifiche alle autorizzazioni.     
  • Verificare le chiavi API: controlla l’uso delle chiavi API per assicurarti che non siano compromesse o utilizzate in modo improprio da parti non autorizzate.     
  • Impostare degli avvisi: configura notifiche in tempo reale per le anomalie, come picchi di traffico API o azioni eseguite al di fuori del normale orario di lavoro.     

Questi metodi ti aiutano a individuare rapidamente le attività dannose e a prendere i passaggi necessari per proteggere il tuo sistema.

Il costo degli errori dell’utente

Non tutte le compromissioni di dati sono dolose, anzi, l’errore umano gioca un ruolo importante. Un collaboratore potrebbe accidentalmente sincronizzare documenti sensibili delle risorse umane con un sistema destinato ai contratti con i clienti. 

Senza un monitoraggio adeguato, l’organizzazione non avrebbe visibilità su chi ha avuto accesso ai dati, il che significa che qualsiasi incidente deve essere considerato una vera e propria compromissione, anche se si tratta di un errore dell’utente, con conseguenti costi per l’organizzazione.

Per minimizzare la responsabilità, ridurre il danno alla reputazione e dimostrare la responsabilità, assicurati che siano in atto una formazione completa e solidi sistemi di monitoraggio. 

Supera una violazione con una corretta strategia di prevenzione della compromissione dei dati     

Anche se le compromissioni dei dati possono essere inevitabili, il loro impatto non deve essere necessariamente significativo. Investendo nel Proactive Monitoring e in una strategia di prevenzione delle violazioni dei dati, le organizzazioni possono ridurre la probabilità e minimizzare i danni in caso di compromissione. 

Con il monitoraggio degli eventi puoi ottenere la visibilità e gli approfondimenti necessari per rilevare, rispondere efficacemente e apprendere dagli incidenti di sicurezza.   

Rendi i dati sicuri per affrontare l’AI

Scarica la guida per scoprire come Salesforce ti aiuta ad adottare le best practice per la sicurezza dei dati mentre innovi con l’AI.

Leggi ora

Salesforce Italia

I nostri blog post direttamente nella tua casella di posta: iscriviti per ricevere la nostra newsletter bisettimanale!

Registrati