Il National Institute of Standard and Technology - NIST, definisce l'Incident Response nel seguente modo: " L'incident response è un processo strutturato che le organizzazioni utilizzano per identificare e gestire gli incidenti di sicurezza informatica. La risposta comprende diverse fasi, tra cui: il rilevamento e l'identificazione dell'incidente, l'analisi, il contenimento e la relativa mitigazione, nonchè l'apprendimento post-incidente". L'Incident Response, rappresenta quindi l'insieme di procedure impiegate per rispondere ad un attacco informatico. La reazione di un attacco, infatti, non si limita al "semplice" contrasto all'attività illecita ma rappresenta l'episodio che comporta la violazione dei sistemi indormatici ed è un momento estremamente delicato, in cui la gestione della fase di incident response richiede competenza ed immediato contrasto efficace.

La falla critica è sempre dietro l’angolo: errori di progettazione, di configurazione, d’implementazione, vulnerabilità 0 day; spesso, se non soprattutto, errori degli utenti che riescono ad annullare tutte le misure e precauzioni prese a livello IT.

Le minacce evolvono, e con loro gli attaccanti; per questo una forte motivazione, una capacità di autocontrollo mista ad un solido bagaglio tecnico e la consapevolezza che non si smette mai d’imparare, sono doti fondamentali per chi opera in questo ambito.

Lo scopo del presente progetto verterà sullo studio e sull'analisi delle singole fasi del ciclo di vita dell’Incident Response così come stabilito dal NIST, in modo tale da mettere in pratica quanto appreso in un caso reale di Incident:

• Fase 1 : Preparation

- Definizione della lista dei contatti e delle procedure interne di comunicazione,

- Definizione del supporto specialistico e dell’Internet Service Provider che eroga il servizio di connettività.

• Fase 2: Detection & Analysis

- Rivelamento e allarme,

- Analisi dell’attacco,

- Identificazione delle motivazioni,

Attivazione delle azioni di mitigazione.

• Fase 3: Containment, Eradication and Recovery

- Controllo dell’andamento del traffico legittimo,

- Gestione della banda e della priorità assegnata a specifici protocolli di comunicazione,

- Blocco del traffico malevolo,

- Scrubbing del traffico,

- Sinkholing,

- Verifica del ritorno allo stato di normalità del traffico,

- Ripristino della configurazione standard.

• Fase 4: Post-Incident Activity

- Analisi dell’incidente e divulgazione dell’informazione

- Eventuali contatti con le forze dell’ordine