Determinare i requisiti di risposta agli eventi imprevisti per una soluzione di identità ibridaDetermine incident response requirements for your hybrid identity solution

La maggior parte delle aziende di medie o grandi dimensioni dovrà definire una risposta ad eventi imprevisti in materia di sicurezza per consentire al personale IT di prendere le azioni appropriate in base al livello di gravità.Large or medium organizations most likely will have a security incident response in place to help IT take actions accordingly to the level of incident. Il sistema di gestione delle identità è una componente importante del processo di risposta agli eventi imprevisti, poiché consente di identificare l'utente che ha eseguito una determinata azione nel perseguimento dell'obiettivo.The identity management system is an important component in the incident response process because it can be used to help identifying who performed a specific action against the target. La soluzione di identità ibrida, inoltre, deve essere in grado di fornire funzionalità di monitoraggio e reporting di cui può avvalersi il personale IT per intraprendere le azioni necessarie per identificare e contrastare una potenziale minaccia.The hybrid identity solution must be able to provide monitoring and reporting capabilities that can be leveraged by IT to take actions to identify and mitigate a potential threat. In un piano di risposta agli eventi imprevisti, sono generalmente contenute le fasi seguenti:In a typical incident response plan you will have the following phases as part of the plan:

  1. Valutazione iniziale.Initial assessment.
  2. Comunicazione dell'evento.Incident communication.
  3. Controllo dei danni e riduzione dei rischi.Damage control and risk reduction.
  4. Identificazione degli elementi danneggiati e livello di gravità.Identification of what it was compromise and severity.
  5. Conservazione delle prove.Evidence preservation.
  6. Informazione delle parti interessate.Notification to appropriate parties.
  7. Ripristino del sistema.System recovery.
  8. Documentazione.Documentation.
  9. Valutazione dei danni e dei costi.Damage and cost assessment.
  10. Revisione del piano e del processo.Process and plan revision.

Durante l'identificazione degli elementi danneggiati e la definizione del livello di gravità, sarà necessario identificare i sistemi che sono stati compromessi e i file ai quali è stato eseguito l'accesso, determinandone anche il livello di riservatezza.During the identification of what it was compromise and severity- phase, it will be necessary to identify the systems that have been compromised, files that have been accessed and determine the sensitivity of those files. Il sistema di identità ibrida deve essere in grado di soddisfare tali requisiti in modo da permettere l'identificazione dell'utente che ha effettuato tali modifiche.Your hybrid identity system should be able to fulfill these requirements to assist you identifying the user that made those changes.

Monitoraggio e reportingMonitoring and reporting

In molti casi, il sistema di identità è utile anche nella fase di valutazione iniziale, soprattutto se dispone di funzionalità di controllo e reporting integrate.Many times the identity system can also help in initial assessment phase mainly if the system has built in auditing and reporting capabilities. Durante la valutazione iniziale, l'amministratore IT deve essere in grado di identificare eventuali attività sospette oppure è necessario che il sistema lo informi automaticamente in base a un'attività preconfigurata.During the initial assessment, IT Admin must be able to identify a suspicious activity, or the system should be able to trigger it automatically based on a pre-configured task. Sebbene alcune attività possano effettivamente indicare un possibile attacco, in altri casi un sistema mal configurato può generare numerosi falsi positivi nell'ambito di un sistema di rilevamento delle intrusioni.Many activities could indicate a possible attack, however in other cases, a badly configured system might lead to a number of false positives in an intrusion detection system.

Il sistema di gestione delle identità deve aiutare gli amministratori IT a identificare e segnalare qualsiasi attività sospetta.The identity management system should assist IT admins to identify and report those suspicious activities. In genere, è possibile soddisfare questi requisiti tecnici monitorando tutti i sistemi e adottando una funzionalità di reporting in grado di evidenziare potenziali minacce.Usually these technical requirements can be fulfilled by monitoring all systems and having a reporting capability that can highlight potential threats. Usare le domande seguenti per definire una soluzione di identità ibrida tenendo conto dei requisiti di risposta agli eventi imprevisti:Use the questions below to help you design your hybrid identity solution while taking into consideration incident response requirements:

  • L'azienda ha già definito una risposta ad eventi imprevisti in materia di sicurezza?Does your company has a security incident response in place?
    • In caso affermativo, il sistema di gestione delle identità in uso è coinvolto in questo processo?If yes, is the current identity management system used as part of the process?
  • L'azienda ha esigenza di identificare eventuali tentativi di accesso sospetti eseguiti con vari tipi di dispositivi?Does your company need to identify suspicious sign-on attempts from users across different devices?
  • Per l'azienda può essere importante rilevare credenziali utente potenzialmente compromesse?Does your company need to detect potential compromised user’s credentials?
  • L'azienda desidera poter controllare gli accessi e le azioni degli utenti?Does your company need to audit user’s access and action?
  • L'azienda desidera sapere quando un utente reimposta la password?Does your company need to know when a user reset his password?

Imposizione dei criteriPolicy enforcement

Durante le fasi di controllo dei danni e riduzione dei rischi, è importante limitare rapidamente gli effetti, potenziali ed effettivi, dell'attacco.During damage control and risk reduction-phase, it is important to quickly reduce the actual and potential effects of an attack. Le azioni che vengono intraprese in questa fase possono fare una grande differenza a questo proposito.That action that you will take at this point can make the difference between a minor and a major one. La risposta esatta dipende dal tipo di azienda e dalla natura dell'attacco che si sta affrontando.The exact response will depend on your organization and the nature of the attack that you face. Se dalla valutazione iniziale è emerso che è stato compromesso un account, è necessario applicare il criterio che impone il blocco dell'account.If the initial assessment concluded that an account was compromised, you will need to enforce policy to block this account. Questo, ovviamente, è solo uno dei tanti modi in cui è possibile avvalersi del sistema di gestione delle identità.That’s just one example where the identity management system will be leveraged. Usare le domande seguenti per definire una soluzione di identità ibrida tenendo conto delle modalità di applicazione dei criteri per rispondere a eventi imprevisti:Use the questions below to help you design your hybrid identity solution while taking into consideration how policies will be enforced to react to an ongoing incident:

  • L'azienda ha già definito dei criteri che, se necessario, impediscono agli utenti di accedere alla rete?Does your company have policies in place to block users from access the network if necessary?
    • In caso affermativo, sarà possibile integrarli con la soluzione di gestione dell'identità ibrida che si intende adottare?If yes, does the current solution integrate with the hybrid identity management system that you are going to adopt?
  • L'azienda desidera poter attivare l'accesso condizionale per gli utenti in quarantena?Does your company need to enforce conditional access for users that are in quarantine?

Nota

Accertarsi di prendere nota di ogni risposta e comprendere la logica che ne sta alla base.Make sure to take notes of each answer and understand the rationale behind the answer. definizione della strategia di protezione dei dati esamina le opzioni disponibili con i relativi vantaggi e svantaggi.Define data protection strategy will go over the options available and advantages/disadvantages of each option. Una volta fornite le risposte a queste domande, sarà possibile selezionare l'opzione più adatta in base alle esigenze aziendali.By having answered those questions you will select which option best suits your business needs.

Passaggi successiviNext steps

Definire la strategia di protezione dei datiDefine data protection strategy

Vedere ancheSee Also

Panoramica delle considerazioni di progettazioneDesign considerations overview