Piano di risposta agli incidenti cloud per Azure e Microsoft 365

 

La sicurezza del cloud non consiste solo nello spegnere gli incendi quando suona un allarme; si tratta di avere una coreografia chiara per ogni fase dell'incidente. Un piano di risposta agli incidenti specifico per Azure e Microsoft 365 Protegge la continuità aziendale, riduce l'impatto e preserva le prove forensi allineando persone, processi e tecnologie in un quadro collaudato.

Per evitare sorprese, è consigliabile allineare le proprie operazioni al ciclo NIST SP 800-61: preparazione; rilevamento e analisi; contenimento, eradicazione e recupero; e attività di follow-upIn Azure, ciò si traduce nello sfruttamento dei servizi nativi (Microsoft Defender XDR, Defender for Cloud, Microsoft Sentinel, Azure Monitor, Logic Apps), nell'automazione delle attività ripetitive e nella documentazione e nel test del piano con simulazioni ed esercitazioni pratiche.

Quadro operativo e pilastri della risposta al cloud

La pietra angolare è una strategia che evita lunghi tempi di permanenza e attacchi ripetuti. Tre pilastri sostengono la disciplina e centro operativo di sicurezza: 1) preparazione (piani, ruoli, strumenti e contatti), 2) rilevamento, analisi e indagine (avvisi di qualità, incidenti unificati e analisi forense) e 3) contenimento, ripristino e apprendimento (automazione, ripristino e miglioramento continuo).

Per rafforzare questi pilastri in Azure, sono necessari piani adattati al modello di responsabilità condivisa. telemetria unificata di identità, rete e carichie procedure di conservazione delle prove che funzionano "come un servizio" (istantanee di VM, copie di log immutabili, blocchi legali in immagazzinamento).

Preparazione PIR-1: piano e processo specifici di Azure

Senza un piano ottimizzato per il cloud, la risposta diventa caotica e lenta. Il principio è chiaro.: Documenta un piano IR progettato per Azure e Microsoft 365, ne testa l'efficacia con esercitazioni periodiche e valuta come inoltrare la richiesta a Microsoft (supporto, MSRC) quando la piattaforma è a rischio.

Rischi da mitigare: confusione dovuta a ruoli imprecisi, guasti dovuti all'applicazione di formule di data center, Scarso coordinamento con le parti interessatestrumenti e competenze non testati, non conformità normativa dovuta a notifiche tardive e perdita di prove dovuta a processi di riscossione e custodia inadeguati.

Incarico ATT&CK pertinente: gli avversari prolungano la loro permanenza quando le difese si erodono (TA0005/T1562), massimizzano i danni con la distruzione dei dati (TA0040/T1485) e orchestrare l'esfiltrazione sfruttando le risposte tardive (TA0009/T1074).

Piano IR specifico di Azure IR-1.1

La tua guida dovrebbe dettagliare il confine del modello condiviso (IaaS, PaaS, SaaS), l'uso di Monitoraggio di Azure, ID dell'ingresso (audit e inizi), NSG Flow RegistriDifensore per il cloude come acquisire snapshot della VM, dump della memoria o acquisizioni di rete senza "tirare il cavo".

Ciò include il coordinamento con Microsoft: quando aprire i casi, come coinvolgere MSRC e cosa vie di arrampicata Esegui il follow-up quando l'incidente interessa il livello della piattaforma. Integra Defender for Cloud con contatti 24 ore su 24, 7 giorni su 7, livelli di gravità allineati alla tua classificazione, Logic Apps per automatizzare le notifiche ed esportazione continua dei risultati nel registro degli incidenti.

Capacità minime del piano: delimitazione delle responsabilità per servizio, procedure per isolare le risorse (VM, container, storage) con automazione e metodi per raccogliere prove con conservazione ed etichettatura.

IR-1.2 Attrezzatura e addestramento

Definire una struttura con analisti cloud, architetti Azure, legali e di conformità, continuità aziendale e contatti esterni critici (Supporto Microsoft, consulenti e autorità di regolamentazione). Formare il team con i materiali di Microsoft Security Academy e Defender/Sentinel per padroneggiare gli strumenti e i flussi di lavoro cloud-native.

Esempio realistico: un fornitore di assistenza sanitaria prepara un piano conforme all'HIPAA, stabilisce contatti 24 ore su 24, 7 giorni su 7 in Defender for Cloud con escalation automatica al legale, conduce esercitazioni trimestrali Protegge da ransomware ed esfiltrazione e automatizza gli snapshot delle VM e l'esportazione dei log di Azure per conservare le prove per sei anni.

Mappature di controllo chiave: NIST SP 800-53 (IR-1, IR-2, CP-2), CIS Controls v8 (17.1–17.3), NIST CSF (PR.IP-9/10, RS.CO-1), ISO 27001 (A.5.24–A.5.27), PCI-DSS (12.10), SOC 2 (CC9.1). Livello: essenziale.

Notifica degli incidenti IR-2 e comunicazione automatizzata

Quando gli avvertimenti dipendono da attività manuali, il coordinamento arriva in ritardo e l'aggressore guadagna terreno. principio: orchestra le notifiche con trigger automaticiElenchi di contatti aggiornati e integrazione con i servizi di sicurezza Microsoft per rispettare le scadenze normative e mobilitare le persone giuste.

Rischi da evitare: riconoscimento ritardato da parte di dirigenti/esperti legali/forensi, multe per scadenze non rispettate (GDPR 72h, HIPAA 60 giorni, PCI con tempi modificati), mancanza di collaborazione con il fornitore, perdita di fiducia del cliente e sforzi non coordinati che ne aumentano l'impatto.

ATT&CK associato: i canali C2 persistono con notifiche lente (TA0011/T1071), esfiltrazione tramite C2 (TA0010/T1041) e distribuzione di ransomware a un ritmo vertiginoso (TA0040/T1486) se la salita è ritardata.

Contatti di sicurezza IR-2.1 in Defender per Cloud

Imposta contatti primari e secondari con copertura globale, controllali periodicamente e abilita e-mail, SMS e chiamate con vie di arrampicataAssegna i contatti in base al tipo di incidente (violazione dei dati, vulnerabilità della piattaforma, interruzione del servizio) e utilizza modelli personalizzati in base alla gravità.

A livello di ambito, definisci i contatti per gruppo di amministrazione, sottoscrizione o gruppo di risorse. Integra con il tuo ITSM (Azure DevOps, ServiceNow) per creare automaticamente ticket e seguire il ciclo di vita dell'incidente fin dal primo minuto.

Flussi di notifica IR-2.2 con app logiche e Sentinel

Creare playbook in Microsoft Sentinel e flussi di lavoro App per la logica per notificare in base alla gravità, al tipo di risorsa e all'impatto aziendale; aggiunge matrici degli stakeholder in base al ruolo, alle approvazioni, ai trigger di conformità (GDPR/HIPAA/PCI) e all'escalation in base al tempo se nessuno riconosce.

Utilizzare Azure Monitor con regole e Hub eventi per Streaming in tempo reale su piattaforme di terze parti e Canali dei team e posta e file per raggiungere il pubblico giusto con messaggi coerenti e approvati.

Esempio: una società finanziaria automatizza i report agli enti regolatori (SEC/FINRA) e le notifiche interne ai clienti, riducendo significativamente i tempi di notifica e elimina gli errori umani nelle comunicazioni critiche grazie a modelli e flussi di lavoro approvati.

Mappature: NIST SP 800-53 (IR-2, IR-6), CIS (17.4, 17.5), NIST CSF (RS.CO-1/2/3/4), ISO 27001 (A.5.24/26/28), SOC 2 (CC9.1). Livello: essenziale.

IR-3 Rilevamento di alta qualità e creazione di incidenti

Se tutto è rumore, i segnali critici vengono persi e il rapporto MTTD/MTTR aumenta. Scopo: ridurre al minimo i falsi positivi e consolidare i segnali in incidenti su cui intervenire con intelligence sulle minacce e arricchimento automatico.

Rischi tipici: stanchezza degli analisti, minacce nascoste nel rumore, risorse mal allocaterisposta ritardata, scarsa integrazione dell'intelligence e processi di creazione degli incidenti incoerenti.

ATT&CK: mascheramento (TA0005/T1036), utilizzo di account validi (TA0003/T1078) e raccolta automatizzata fioritura prolungata (TA0009/T1119) se il rilevamento non è ottimizzato.

IR-3.1 Microsoft Defender XDR per segnali unificati

Inoltre, si sincronizza con Sentinel per fornire una casella di posta unificata per gli incidenti, è correlato all'infrastruttura (Azure, on-premise e altri cloud) e analisi multipiattaforma senza perdere il contesto aziendale.

Avvisi avanzati IR-3.2 in Defender for Cloud

Attiva i piani Defender (server, App Service, Storage, container, Key Vault), abilita l'apprendimento automatico per modelli anomali e rafforza con l'intelligence sulle minacce. sopprime i falsi positivi noti con revisioni periodiche.

Si collega con XDR e Sentinel tramite connettori per arricchire con UEBA, Regole KQL e correlazione tra carichi e servizi, e quindi rilevare campagne complesse prima che degenerino.

Incidenti automatizzati IR-3.3 in Microsoft Sentinel

Converte gli avvisi in casi con regole analitiche, raggruppa segnali correlati, estrae entità (utenti, host, IP, file) e le applica. priorità per gravità in base alla criticità delle risorse, al rischio per l'utente e alla tecnica di attacco.

Utilizzare la cronologia, il grafico di ricerca, i quaderni strategici per raccogliere prove e segnalare e monitorare SLA di risposta con ridimensionamento in caso di ritardi.

Risultato tipico al termine di questa fase: drastica riduzione dei falsi positivi, incidenti più compatti e indagini più rapide grazie all'arricchimento delle entità e al raggruppamento intelligente.

Controlli: NIST SP 800-53 (SI-4, IR-4/5), PCI-DSS (10.6, 11.5.1), CIS (8.11, 13.x, 17.4), NIST CSF (DE.CM/AE), ISO 27001 (A.8.16, A.5.24).

Indagine IR-4 e analisi forense in Azure

Indagare senza una telemetria completa porta a sottostimare la portata e a lasciare aperte delle backdoor. Meta: acquisire i record chiave, centralizzarli e preservare le prove con una catena di custodia intatta.

Rischi: visibilità incompleta dell'attacco, esposizione di dati non identificati, persistenza nascosta, distruzione o manipolazione delle prove, aumento del tempo di permanenza e della recidiva dovuti a una bonifica incompleta.

ATT&CK applicabile: rimozione degli indicatori (TA0005/T1070 e T1070.004), occultamento di manufatti (TA0003/T1564.001) e riconoscimento delle capacità di ricerca (TA0007/T1082).

IR-4.1 Raccolta e analisi dei record

Centralizza con Azure Monitor, Log Analytics e Sentinel: controllo e avvio di ID Entra, registro attività (piano di controllo), registri di flusso NSG, agenti nelle VM e registri delle applicazioni ben strutturato.

In Sentinel, UEBA, il grafico di ricerca, i registri di caccia e la mappatura su ATT&CK vengono sfruttati per ricostruire la cronologia dell'attacco e mirare alla causa principale con precisione.

IR-4.2 Capacità forensi e conservazione delle prove

Automatizza gli snapshot delle VM, Azure Disk Backup durante un incidente, i dump della memoria e l'esportazione dei registri in Azure Storage immutabile e cattura di pacchetti con Network Watcher.

Documentare la catena di custodia con hash e firme digitali, controllare l'accesso, integrare strumenti forensi di terze parti e replicare in più regioni. i requisiti legali Lo stanno chiedendo.

Nei settori regolamentati (ad esempio, quello finanziario) questo accelera le indagini, rispetta le scadenze normative e fornisce tracciabilità per contenziosi o verifiche contabili.

NIST CSF: NIST CSF (RS.AN)Controlli: NIST SP 800-53 (IR-4, AU-6/7), PCI-DSS (10.6.x, 12.10.x), CIS (8.x, 13.2, 17.4), ISO 27001 (A.5.24/25/28, A.8.16).

IR-5 Priorità per impatto e criticità

Senza un contesto aziendale, tutto sembra urgente e le risorse vengono sprecate. chiave: etichettare le risorse in base all'importanza, comprendere l'ambito normativo e automatizzare la gravità e l'escalation.

Rischi: risposta ritardata agli incidenti critici, esaurimento del team nei casi minori, impatto operativo o finanziario amplificato, fallimenti di conformità e progressione laterale mentre guardiamo dall'altra parte.

IR-5.1 Analisi della criticità e dell'impatto delle risorse

Etichettare le risorse di Azure (Critiche/Alte/Medie/Basse), integrare il classificazione dei dati Con Microsoft Purview, contrassegna le risorse regolamentate (PCI, HIPAA, SOX) e aggiungi proprietari e contatti per semplificare le decisioni.

In Defender for Cloud, utilizza l'inventario e la postura di sicurezza per correlare gli avvisi all'importanza delle risorse e all'esposizione al pubblico, dando priorità a ciò che fa davvero la differenza per l'azienda.

IR-5.2 Punteggio e ridimensionamento automatizzati

In Sentinel, calcola un punteggio multifattoriale (criticità, riservatezza, fiducia in IoC, ambito normativo, utenti interessati) e innesca escalation per il tempo se non c'è riconoscimento in X minuti.

Attiva trigger specifici: avvisi esecutivi per sistemi critici o potenziali violazioni dei dati personalie, ove applicabile, il coinvolgimento automatico di aspetti legali e di privacy.

risultato: Risorse assegnate giudiziosamente, tempi di risposta coerenti con il rischio e meno escalation inutili per incidenti di minore entità.

Controlli: NIST SP 800-53 (IR-5, RA-2/3), PCI-DSS (12.10.5), CIS (1.1/1.2, 17.4/17.5), NIST CSF (DE.AE-1, RS.AN), ISO 27001 (A.5.24, A.5.27, A.8.8).

Automazione del contenimento, dell'eradicazione e del recupero IR-6

Gli attacchi sono automatici; anche la risposta deve esserlo. L'obiettivo è ridurre i minuti cruciali, eliminare l'errore umano e mantenere la coerenza tra gli incidenti.

Crea playbook Sentinel con Logic Apps per sospendere account e sessioni, isolare le VM (NSG, segmentazione vNet, Azure Firewall, esclusione del bilanciatore del carico) e bloccare hash/IoC, revocare i privilegi in Login, ruotare le chiavi e attivare i backup.

Automatizzare le modifiche di rete (NSG, Firewall, routing ExpressRoute/VPN), imporre l'accesso condizionale per bloccare l'accesso rischioso e utilizzare PIM per revocare JIT e privilegi elevati, con approvazioni umane per azioni ad alto impatto.

Esempio: isolamento automatico delle VM compromesse preservando le prove, sospensione degli account con elevata affidabilità nell'avviso, notifiche alle parti interessate e creazione/dimensionamento dei biglietti con piena tracciabilità.

NIST SP 800-53 (IR-4/5/6/8), CIS (17.4/17.6/17.7), NIST CSF (RS.RP/MI), ISO 27001 (A.5.24–A.5.26), SOC 2 (CC7.3/7.4/9.1).

IR-7 Post-incidente: lezioni apprese e conservazione delle prove

Una buona risposta non finisce con la chiusura del caso. Dobbiamo imparare, adattare e preservare le prove per adempiere agli obblighi ed evitare recidive.

Organizzare una revisione di 48-72 ore con rappresentanti tecnici, aziendali, legali e della privacy; applicare tecniche di analisi delle cause principali (cinque perché, diagrammi di Ishikawa), creare elementi in Azure DevOps con responsabilità e scadenze assegnate e Aggiornare le regole e i manuali. Integrare gli esercizi da tavolo con scenari di vita reale.

Per le prove, utilizzare Azure Blob con criteri immutabili (conservazione temporale e conservazione obbligatoria), classificare i tipi di prove e i periodi (ad esempio, HIPAA 6 anni, SOX spesso 7, PCI-DSS minimo 1 anno con 3 mesi di accessibilità; il GDPR richiede minimizzazione e giustificazione senza un periodo pluriennale fisso), custodia con hash e firme e, se applicabile, replicazione interregionale.

Controlli: NIST SP 800-53 (IR-4(4/5/10), CP-9(8), AU-11), CIS (17.8/17.9), RS.IM-1/2, ISO 27001 (A.5.24, A.5.28, A.8.13), SOC 2 (A1.2/1.3).

Lista di controllo essenziale operativa e di governance

1. Istituzionalizzare attività che trasformino il piano in una disciplina quotidiana: esercizi frequenti a tavola con decisioni basate sul rischio per elevare la conversazione al livello aziendale.
2. Definire decisioni e responsabilità precedenti: quando coinvolgere le forze dell'ordine, attivare soccorritori esterni, valutare il pagamento del riscatto, notificare ai revisori o alle autoritàinoltrare la richiesta al consiglio di amministrazione o spegnere i carichi critici.
3. Preserva il privilegio legale separando consigli, fatti e opinioni; unifica i canali di comunicazione (centri riunioni Microsoft); e coordina con terze parti per ridurre l'esposizione.
4. Preparare comunicazioni interne al consiglio di amministrazione per mitigare rischi di mercato nei periodi di vulnerabilità ed evitare operazioni discutibili.
5. Stabilisce i ruoli negli incidenti: responsabile tecnico (sintetizza e decide), addetto alle comunicazioni (gestisce dirigenti e autorità di regolamentazione), addetto alla registrazione (tracciabilità), futuro organizzatore (continuità 24/48/72/96h) e pubbliche relazioni per scenari ad alta visibilità.
6. Creare un manuale sulla privacy tra SecOps e l'ufficio privacy con criteri di valutazione rapida e scadenze senza intoppi (ad esempio, 72 ore secondo il GDPR).
7. Test di penetrazione del programma e campagne di team rosso/blu/viola/verde, sfruttando Simulazioni di Defender Per Office 365 ed Endpoint, il team ecologico apporta miglioramenti.
8. Pianificare la continuità aziendale e il disaster recovery (attivo/passivo e attivo/semi-passivo) con RPO/RTO realisticoConsidera i tempi di conservazione temporanea e i rischi di hardware non supportato.
9. Preparare canali di comunicazione alternativi in ​​caso di perdita di e-mail/collaborazione o repository e distribuisce offline numeri critici, topologie e procedure di ripristino.
10. Rafforza l'igiene e il ciclo di vita (CIS Top 20): copie e registrazioni immutabili, patching continuo e configurazione sicura, concentrandosi sui ransomware gestiti dall'uomo.
11. Definire il piano di risposta (parametri organizzativi, turni 24 ore su 24, 7 giorni su 7 o regolari, sostenibilità del personale) e concorda un formato per segnalare: cosa abbiamo fatto/risultati, cosa stiamo facendo/entro quando, cosa faremo dopo/quando.

Controlli CIS 10.x in Azure: guide pratiche

• 10.1 Guida IR: bozza di piani con ruoli e fasi dalla rilevazione alla revisione, allineato a CIS 19.1–19.3 ed eseguibile dal tuo team.
• 10.2 Prioritizzazione e punteggio: utilizzare la gravità di Defender, etichettare gli abbonamenti (prod/non prod) e Assegnare un nome alle risorse con discrezione per stabilire le priorità in base all'importanza e all'ambiente.
• 10.3 Test di risposta: programmare esercizi regolari per rilevare lacune e aggiornare il piano con quanto appreso.
• 10.4 Contatti con MSRC: tieni aggiornati i tuoi contatti in modo che Microsoft possa contattarti. Segnala un accesso non autorizzato e rivedere i casi chiusi.
• 10.5 Integrazione degli avvisi: Esportazione di avvisi e raccomandazioni (Esportazione continua) e Coinvolgili in Sentinel per una correlazione avanzata.
• 10.6 Automazione della risposta: attiva le app logiche da Security Center/Defender for Cloud per rispondere in tempo reale agli avvisi e alle raccomandazioni.

Azure CWPP come base per la protezione continua

Una piattaforma di protezione del carico matura (CWPP) completa la risposta con visibilità e postura. Defender per Cloud e Sentinel Offrono SIEM/SOAR, postura e conformità per Azure, Microsoft 365, cloud locali e altri cloud.

Architettura: connettori per l'ingestione e la normalizzazione, analisi con ML, API REST Per integrazioni e archiviazione in Log Analytics. Si integra con Azure Firewall, protezione DDoS e Key Vault e centralizza i criteri con Azure Policy.

Scalabilità e prestazioni: elasticità per progettazione, distribuzione globale con considerazioni sulla residenza dei dati, archiviazione a livelli e bilanciamento del carico per distribuire gli sforzi di analisi e risposta.

Azure Sentinel: SIEM e SOAR di nuova generazione

Strategie di ingestione e normalizzazione: connettori per i servizi Azure e Microsoft 365 soluzioni di terze parti e app personalizzate, con dati normalizzati pronti per la correlazione.

Caccia alle minacce KQL: query potenti per rilevare modelli anomali e scoprire le vulnerabilità sfruttabile nel tuo ambiente.

Gestione e ricerca: cronologie, grafico delle relazioni tra entità e correlazione con l'intelligenza da Microsoft per comprendere il caso completo dell'attacco.

Risposta orchestrata: playbook su Logic Apps, dall'invio di un'e-mail o dalla creazione di un ticket a disattivare gli account o ripristinare i sistemi agli stati conosciuti come buoni.

Protezione di rete e dati con CWPP

Sicurezza di rete: mappatura dinamica della topologia, accesso JIT alle VM, indurimento adattivo con suggerimenti per gruppi di sicurezza di rete basati su ML e difesa DDoS sulla rete globale di Microsoft.

Protezione dei dati: rilevamento e prevenzione dell'iniezione SQL nei servizi gestiti, best practice per l'archiviazione (crittografia, trasferimento sicuro(Isolamento), TLS aggiornato in transito e gestione delle chiavi in ​​Key Vault con rotazione e auditing.

Container e Kubernetes: sicurezza end-to-end

Scansione delle immagini in ACR: analisi automatica delle vulnerabilità durante il caricamento delle immagini con rapporti di gravità e raccomandazioni di bonifica prima dell'implementazione.

Protezione in fase di esecuzione: monitoraggio del comportamento, segmentazione della rete, privilegi minimi e risposta immediata (isolamento dei contenitori, allerta del SOC) in caso di attività sospette.

Miglioramenti specifici di K8s: rilevamento di API o pod anomali in namespace sensibili, gestione della postura, regolatori di aspirazione per evitare implementazioni non conformi e policy di rete non conformi.

Buone pratiche: immagini di base minime, aggiornamento e patching continui, segmentazione predefinita, monitoraggio continuo e gestione dei segreti con Key Vault.

Continuità con Azure Site Recovery e Azure Backup

ASR garantisce la continuità con test periodici di recupero a impatto zero e RPO/RTO rettificato alla tua propensione al rischio, ideale per mantenere le operazioni in caso di guasti.

Azure Backup offre resilienza contro ransomware ed errori, con restauro granulareControlli di integrità e crescita on-demand. La cosa sensata da fare è combinarli: ASR per mantenere l'operatività e Backup per recuperare ciò che è andato perso.

Rilascio e risposta in SDL di Microsoft

Prima del lancio, convalidare le prestazioni con Azure Load Testing, distribuire un WAF (Application Gateway o Front Door) con regole OWASP e Si conclude la revisione finale della sicurezza. (modelli di minaccia, risultati degli strumenti e gateway di qualità).

Dopo il lancio, eseguire il piano secondo necessità, monitorare con Application Insights (APM e anomalie) e Difensore per il cloud Per la prevenzione e l'individuazione diffusa, una buona risposta inizia preparando il terreno in Release.

Piani di risposta dell'agente Azure SRE

I piani dell'agente Azure SRE modellano il modo in cui gli incidenti vengono rilevati, esaminati e mitigati, con modalità semi-autonome o autonome in base alle tue esigenze e ai filtri per selezionare cosa elabora ogni piano.

Configurazione predefinita: connesso ad Azure Monitor, elabora gli incidenti a bassa priorità e funziona in modalità di revisione. Tutto è personalizzabile: sistemi di gestione (PagerDuty, ServiceNow), filtri per tipologia/servizio/priorità/titolo e livello di autonomia.

Autonomia: Modalità di revisione (l'agente propone e tu approvi) oppure Modalità autonoma (Adottare misure con i permessi appropriati). In mancanza di permessi, richiedere un innalzamento temporaneo con controllo.

Istruzioni personalizzate: l'agente impara dagli incidenti precedenti, genera un contesto dettagliato e propone gli strumenti da utilizzare; puoi modificare istruzioni e rigenerare l'elenco degli strumenti associati.

Test con dati storici: eseguire il piano in modalità di sola lettura sugli incidenti passati per verificare comportamento e copertura prima di attivarlo in produzione.

Con questo framework, un piano adattato ad Azure e Microsoft 365, notifiche automatizzate, incidenti ben strutturati, indagini forensi con prove immutabili, priorità di impatto e orchestrazione del contenimento, è ridotto al minimo il tempo esposizione e costoSe lo supportiamo anche con CWPP, ASR/Backup, esercitazioni pratiche, ruoli chiari, parametri e, ove opportuno, l'autonomia dell'agente SRE, avremo una risposta che resiste alla pressione e migliora caso per caso.