Gli attacchi informatici colpiscono le aziende ogni 39 secondi. Senza un piano di risposta agli incidenti, è impossibile sopportare le conseguenze disastrose di una violazione della sicurezza. La risposta agli incidenti fornisce processi per identificare, contenere e recuperare dalle minacce, riducendo al minimo i tempi di inattività e i costi. Se il vostro obiettivo è mantenere la fiducia dei clienti e non compromettere la reputazione della vostra azienda, non potete trascurare la creazione di un quadro di risposta agli incidenti. Questa guida risponderà alla domanda "che cos'è la risposta agli incidenti" e tratterà tutte le fasi della risposta agli incidenti, comprese le migliori pratiche di risposta agli incidenti di sicurezza informatica, passo dopo passo.
Che cos'è una risposta agli incidenti (IR) nella sicurezza informatica?
La risposta agli incidenti nella sicurezza informatica è un modo strutturato con cui le organizzazioni gestiscono gli attacchi informatici e mitigano le violazioni dei dati. Comprende l'individuazione e il contenimento degli incidenti, la riduzione al minimo dei danni e la prevenzione di eventi di sicurezza simili in futuro. Un piano di risposta agli incidenti può aiutare a prevenire la diffusione di un attacco, a rispondere rapidamente agli eventi di sicurezza e a ripristinare i sistemi interessati. Garantisce inoltre la continuità operativa e assicura che le attività subiscano interruzioni minime.
La pianificazione della risposta agli incidenti nella sicurezza informatica comporta anche la conformità ai più recenti quadri normativi e alle leggi sulla notifica delle violazioni dei dati. Migliora la sicurezza consentendo alle organizzazioni di lavorare sul proprio assetto di sicurezza e le aiuta a mantenere la fiducia dei consumatori e la propria reputazione.
Importanza di un piano di risposta agli incidenti efficace
Un piano di risposta agli incidenti ben congegnato piano di risposta agli incidenti può ridurre drasticamente il tempo necessario a un'azienda per riprendersi da eventi critici. Le minacce informatiche sono più incombenti che mai e abbiamo a che fare con una complessa rete di tecnologie e rischi per la sicurezza. Ecco alcuni fattori chiave che evidenziano l'importanza di un piano di risposta agli incidenti efficace.
Gestione dei rischi
Ogni organizzazione dovrà affrontare una serie di rischi e disporre di piani di risposta agli incidenti solidi è come creare delle reti di sicurezza. Ciò può limitare i potenziali danni, ridurre l'impatto finanziario e salvaguardare la fiducia e la reputazione delle organizzazioni.
Continuità operativa
Una buona pianificazione della risposta agli incidenti mitiga le minacce immediate e garantisce la continuità operativa. Previene i tempi di inattività, le perdite finanziarie e qualsiasi danno ai membri dell'organizzazione. Consente inoltre di ripristinare e riprendere le operazioni con la stessa rapidità.
Aspetti legali e conformità
La pianificazione della sicurezza della risposta agli incidenti può aiutare a soddisfare vari requisiti legali e di conformità. Dimostra l'impegno a proteggere le informazioni sensibili. La pianificazione della risposta agli incidenti continuerà a essere una componente fondamentale di diversi settori e normative come il Regolamento generale sulla protezione dei dati (GDPR), NIST e CIS Benchmark aiuteranno le aziende ad attuare le misure migliori per garantire la riservatezza, la sicurezza e l'integrità dei dati personali.
Miglioramento continuo
Un altro motivo per cui sono necessari piani di risposta agli incidenti è che essi costituiscono una componente fondamentale dell'analisi post-incidente. Le lezioni apprese dalla pianificazione della risposta agli incidenti possono essere applicate per migliorare continuamente i flussi di lavoro dell'organizzazione. Le aziende possono aiutare i dipendenti a migliorare le loro competenze, reagire alle nuove minacce e rafforzare la loro posizione complessiva in materia di sicurezza informatica. Possono anche riconoscere le lacune e le opportunità di miglioramento in diversi ambiti.
Tipi di incidenti di sicurezza che richiedono una risposta
Di seguito è riportato un elenco dei diversi tipi di incidenti di sicurezza che richiedono una risposta.
- Accesso non autorizzato ai dati: Si verifica quando un individuo riesce ad accedere a reti, dati e sistemi senza le autorizzazioni appropriate. Ciò può essere dovuto al furto di credenziali, all'uso improprio da parte di personale interno, all'hacking o allo sfruttamento di password deboli.
- Violazioni e fughe di dati: Le violazioni e le fughe di dati si verificano quando informazioni sensibili che dovrebbero essere riservate o protette vengono facilmente accessibili, divulgate o rubate da soggetti non autorizzati. Le fughe di dati possono essere intenzionali o accidentali a causa di controlli di sicurezza deboli. Le cause più comuni sono minacce interne, pratiche di sicurezza inadeguate, configurazioni errate e attacchi informatici come malware, attacchi di forza bruta e phishing. Possono anche portare alla violazione delle leggi sulla privacy degli utenti e allo sfruttamento di vulnerabilità nascoste nei sistemi. I dati ottenuti dalle violazioni possono finire per essere venduti sul dark web o utilizzati per scopi illeciti.
- Attacchi da minacce interne: Si verificano quando appaltatori, dipendenti o persone di fiducia all'interno dell'organizzazione possono abusare delle loro autorizzazioni. Di solito si tratta di una violazione delle politiche interne dell'azienda e delle leggi sulla conformità, intenzionale o meno. Le cause più comuni delle minacce interne sono il malcontento dei dipendenti, i crimini d'odio, la negligenza e la mancanza di formazione in materia di sicurezza informatica tra i dipendenti, che può portare a ignoranza o errori dovuti a disattenzione. Le minacce interne possono causare furti di dati, frodi, danni alla proprietà intellettuale e consentire a estranei di aggirare i controlli di sicurezza. Alcuni insider potrebbero aiutare agenti esterni ad accedere a informazioni sensibili divulgando dati dall'interno dell'organizzazione, causando così danni alla reputazione e perdita di fiducia.
- Violazioni della sicurezza fisica: Si tratta di una forma meno comune di incidente di sicurezza. Si verifica quando individui non autorizzati possono manipolare i controlli di sicurezza fisica per ottenere l'accesso ai locali e assumere il controllo dei dati sensibili. Le cause comuni sono il tailgating, il furto di dispositivi come USB e laptop e l'accesso non autorizzato alle sale server e ai data center. Questi possono comportare effrazioni negli uffici e accessi non autorizzati alle strutture senza le necessarie autorizzazioni.
- Attacchi zero-day: Gli zero-day sono vulnerabilità software sconosciute per le quali non esistono aggiornamenti, patch o correzioni. Si tratta di falle nella sicurezza che non sono ancora state rese pubbliche o individuate dallo sviluppatore. Le organizzazioni non hanno modo di difendersi da esse. Le cause più comuni degli attacchi zero-day sono una gestione inadeguata delle vulnerabilità, campagne di spionaggio informatico sostenute dai governi e rivolte ad altri paesi, nonché aggressori che scoprono falle nella sicurezza prima che i fornitori possano individuarle o venirne a conoscenza.
- Crypto-jacking: Consiste nell'installare segretamente script dannosi sui sistemi per ottenere l'accesso a una maggiore potenza di calcolo per il mining di criptovalute senza il consenso del proprietario dell'account. Viene utilizzato per rallentare i sistemi, ridurre le prestazioni e aumentare il consumo energetico. Le cause comuni del crypto-jacking sono le e-mail di phishing che distribuiscono payload di crypto-jacking, l'incorporamento di JavaScript dannosi in annunci e pagine web e lo sfruttamento delle vulnerabilità riscontrate nei servizi cloud e nei siti web.
- Malware e ransomware: Malware e ransomware possono infettare, danneggiare e causare condizioni di accesso non autorizzato nei sistemi. Possono manipolare i dati, diffondere informazioni errate, duplicare i dati e aiutare gli aggressori a rubare altre informazioni sensibili. Il ransomware è un tipo di malware che può crittografare i dati e bloccare gli utenti fuori dai sistemi. L'organizzazione deve effettuare un pagamento ingente per decrittografare i dati. Gli attacchi ransomware sono noti per essere una delle migliori forme di estorsione finanziaria.
I tipi comuni di attacchi ransomware si presentano sotto forma di spyware, adware e trojan horse. Le cause principali delle minacce malware e ransomware sono le istanze di accesso al protocollo desktop remoto compromesse, le vulnerabilità del software di terze parti, i download drive-by, le credenziali rubate, le vulnerabilità del software non aggiornate, le e-mail di phishing e il software pirata e i crack.
Anche gli attacchi alla catena di approvvigionamento sono molto comuni, dove il malware può essere diffuso attraverso infezioni da aggiornamenti software. Gli attacchi ransomware sono noti anche per essere una delle migliori forme di estorsione finanziaria.
Fasi chiave del ciclo di vita della risposta agli incidenti
Le fasi chiave del ciclo di vita della risposta agli incidenti sono le seguenti:
- Preparazione: l'organizzazione si prepara a creare un piano di risposta agli incidenti. Seleziona gli strumenti e le risorse adeguati per la risposta agli incidenti per formare i team.
- Rilevamento e analisi — In questa fase del ciclo di vita della risposta agli incidenti, le organizzazioni si concentreranno sul rilevamento e la valutazione accurati degli incidenti di sicurezza.
- Contenimento, eradicazione e ripristino — L'azienda cerca di ridurre l'impatto degli incidenti di sicurezza. Cercano di limitare il più possibile l'entità dei danni e di mitigare le interruzioni del servizio.
- Attività post-evento: questa è una delle fasi del ciclo di vita della risposta agli incidenti, in cui l'obiettivo è quello di trarre insegnamento da un incidente e migliorare in seguito. Limita le possibilità che tali eventi si ripetano e identifica i modi per rafforzare le attività di risposta agli incidenti futuri.
Strumenti e tecnologie utilizzati nella risposta agli incidenti
Esistono vari strumenti e tecnologie di risposta agli incidenti informatici utilizzati dalle organizzazioni moderne. Sono i seguenti:
- Soluzioni di sicurezza degli endpoint – Proteggono gli endpoint, gli utenti, le reti e le risorse monitorando continuamente gli endpoint e aggiornando le difese perimetrali. SentinelOne Singularity XDR Platform è una soluzione che fornisce una protezione avanzata degli endpoint e amplia le difese.
- Gli strumenti di threat intelligence consentono alle organizzazioni di raccogliere dati, analizzare i log e prendere decisioni aziendali informate. Proteggono i marchi dai rischi reputazionali e analizzano dati provenienti da fonti diverse e multiple. Le piattaforme di intelligence sulle minacce possono essere facilmente integrate come API e sono ideali per aziende di tutte le dimensioni. Per ulteriori informazioni, consulta Singularity Threat Intelligence.
- Piattaforme SIEM: le piattaforme SIEM forniscono una sicurezza aziendale completa attraverso la risposta automatizzata agli incidenti, l'analisi dei dati e la gestione dei registri. Sono in grado di offrire protezione per applicazioni cloud, utenti, reti e altro. Le soluzioni SIEM basate sull'intelligenza artificiale per il SOC autonomo possono aiutare ad accelerare i flussi di lavoro con l'iperautomazione e fornire significativi risparmi sui costi. Consentono la ricerca delle minacce a livello aziendale e forniscono una maggiore visibilità sui rilevamenti e sulle indagini.
Piano di risposta agli incidenti: cosa dovrebbe includere?
Il tuo piano di risposta agli incidenti dovrebbe includere:
- Test rigorosi: ciò comporterà l'implementazione delle migliori pratiche di risposta agli incidenti, esercitazioni teoriche e simulazioni realistiche di incidenti. Dovrete inoltre eseguire valutazioni delle prestazioni e calibrare il vostro piano di risposta agli incidenti per un'esecuzione ottimale nel mondo reale.
- Dettagli e flessibilità—Il vostro piano di risposta agli incidenti dovrebbe includere componenti scalabili, flessibili e dettagliati. Il piano dovrebbe contenere istruzioni che non siano troppo rigide da seguire e che possano adattarsi a situazioni impreviste. È necessario rivedere il piano di risposta agli incidenti almeno una volta ogni sei mesi.
- Comunicazione e gestione delle parti interessate—Il piano di risposta agli incidenti deve guidare le comunicazioni con il senior management, gli altri reparti aziendali, la stampa e i clienti. È fondamentale far sapere all'organizzazione che tutti sono sulla stessa lunghezza d'onda. Il piano deve inoltre aggiungere trasparenza e responsabilità, incoraggiando i membri a farsi avanti e ad assumere iniziative per contribuire al suo miglioramento.
- Manuali di gestione degli incidenti—I manuali di gestione degli incidenti forniranno una guida dettagliata su cosa fare durante le diverse fasi del ciclo di vita della risposta agli incidenti. Includeranno diversi scenari, compresi quelli in cui gli esperti di sistemi non sono disponibili. Riceverete consigli sulla risoluzione dei problemi e conoscerete i passaggi necessari per portare a termine varie attività.
Come misurare il successo della vostra strategia di risposta agli incidenti?
È possibile misurare il successo della strategia di risposta agli incidenti in questo modo:
- Condurre esercitazioni operative pratiche – Queste prevedono l'applicazione di esercitazioni pratiche e approfondite per i responsabili della risposta. Verranno eseguiti vari protocolli e procedure funzionali del piano di risposta agli incidenti.
- Test basati sulla discussione ed esercitazioni teoriche – Il team di risposta agli incidenti verrà guidato attraverso vari scenari di crisi. Verrà esposto a diverse problematiche che sorgono durante eventi critici di sicurezza e sarà possibile osservare come reagisce. Verranno inoltre testate le loro conoscenze in materia di competenze e processi di risposta agli incidenti.
- Analisi delle metriche chiave – La vostra azienda si concentrerà su diversi KPI importanti, quali il tempo medio di rilevamento (MTTD), il tempo medio di risposta (MTTR), il tempo medio di contenimento (MTTC) e il tempo medio di risoluzione (MTTR). Valuterete anche i costi di conformità, la frequenza degli escalation e degli incidenti e i costi di ripristino dagli incidenti di sicurezza.
Sfide comuni nella risposta agli incidenti
Ecco le principali sfide comuni affrontate nella risposta agli incidenti:
- Elevato volume di attacchi – Gli attacchi informatici e le violazioni dei dati non cesseranno presto. Il volume degli attacchi è in aumento.
- Mancanza di competenzeLe lacune nelle competenze sono diffuse e molte aziende non dispongono dei talenti giusti per combattere le minacce emergenti. Alcune organizzazioni non dispongono del budget, delle conoscenze e delle risorse necessarie.
- Mancanza di strumenti di collaborazione – Le organizzazioni non dispongono degli strumenti necessari per dare priorità agli incidenti e risolverli in modo coordinato.
Best practice di risposta agli incidenti per le organizzazioni
Ecco una checklist delle best practice che le organizzazioni possono adottare per una risposta efficace agli incidenti:
- Preparare sistemi e procedure – Definire le superfici di attacco e prepararsi alle minacce emergenti è una parte importante della pianificazione della risposta agli incidenti. È la prima fase e comporta la definizione dei ruoli e delle responsabilità del team.
- Identificazione degli incidenti di sicurezza – Questa fase utilizza una combinazione di strumenti avanzati di rilevamento delle minacce basati sull'intelligenza artificiale, monitoraggio della rete e analisi dei log. L'organizzazione può utilizzare l'automazione per accelerare i flussi di lavoro e scalare per ridurre al minimo gli impatti negativi.
- Elaborazione di strategie di contenimento degli incidenti – Cosa succede in caso di violazione? Il passo logico successivo è isolare e mettere in quarantena la minaccia. Si tratta di una pratica che consiste nell'isolare i sistemi interessati, bloccare gli indirizzi IP dannosi e disabilitare gli account utente compromessi.
- Rimedio automatico alle minacce – L'organizzazione utilizzerà vari strumenti di sicurezza per rimediare alle minacce. Rimuoverà il malware e applicherà le patch alle vulnerabilità più recenti, utilizzando anche le informazioni sulle minacce. Tutti gli aggiornamenti apportati al piano di risposta agli incidenti attuale rifletteranno i risultati chiave ottenuti.
- Valutazione della risposta agli incidenti – L'azienda eseguirà scansioni delle vulnerabilità, test di penetrazione e simulazioni di violazioni e attacchi. Effettuerà inoltre revisioni delle politiche e individuerà e risolverà potenziali punti deboli prima che possano essere sfruttati. Verranno effettuati stress test per valutare continuamente i sistemi e rivedere i controlli di sicurezza.
Servizi di risposta agli incidenti: quando esternalizzare?
Ecco alcuni motivi per esternalizzare:
- L'esternalizzazione è necessaria quando si è a corto di personale e non si dispone degli strumenti adeguati e delle competenze di mitigazione all'interno dell'azienda. Con l'aumento del volume delle minacce, è utile avvalersi di competenze esterne. I servizi di risposta agli incidenti esternalizzati possono fornire una copertura estesa.
- Riceverete assistenza imparziale e otterrete una visione completa della vostra posizione legale e delle statistiche di conformità. Se desiderate rispondere rapidamente agli incidenti, i servizi in outsourcing possono offrire accesso immediato alle informazioni sulle minacce e a strumenti specializzati senza la necessità di ingenti investimenti di capitale.
- Aiuta a garantire la conformità del settore, ad esempio con certificazioni e affiliazioni a standard come ISO 27001 o NIST, che dimostrano l'impegno verso pratiche di sicurezza informatica di alto livello. I fornitori di IR offrono assistenza 24 ore su 24 per un accesso immediato ai loro servizi.
- Otterrete garanzie sui tempi di risposta, esperienza nel settore e compatibilità con la vostra infrastruttura di sicurezza esistente. SentinelOne è un'ottima opzione.
Per saperne di più: Servizi di risposta agli incidenti
Risposta agli incidenti nel cloud: considerazioni specifiche
Le infrastrutture cloud presentano problematiche specifiche in materia di risposta agli incidenti, con architetture distribuite e modelli di responsabilità condivisa. Sarà necessario modificare le pratiche tradizionali di risposta agli incidenti per adattarle alle infrastrutture virtualizzate, dove i confini della visibilità e del controllo sono unici. La residenza dei dati in diverse regioni rende più complesse le attività forensi e la raccolta delle prove.
Se si utilizzano servizi cloud, è necessario definire chiaramente con il proprio provider i processi di accesso ai log, al traffico di rete e alle immagini di sistema durante le indagini. È possibile migliorare la risposta agli incidenti nel cloud utilizzando azioni di contenimento automatizzate attraverso controlli di sicurezza basati su API e infrastruttura come codice. Tuttavia, è necessario esercitare regolarmente le proprie capacità di risposta agli incidenti in scenari specifici del cloud, come il furto di credenziali, lo sfruttamento di configurazioni errate e il dirottamento di risorse.lt;/p>
Esempi reali di risposta agli incidenti
Lo studio della risposta agli incidenti nella vita reale può fornire lezioni preziose su come gestire gli incidenti e le violazioni della sicurezza. Questi esempi mostrano come le organizzazioni hanno scoperto, isolato e risolto diversi attacchi informatici in scenari reali:
- Equifax (2017): dopo aver scoperto un accesso non autorizzato che ha interessato 147 milioni di consumatori, il team di risposta ha isolato i sistemi interessati ed eseguito un'analisi forense, individuando infine una vulnerabilità dell'applicazione web utilizzata dagli aggressori per 76 giorni prima che venisse rilevata
- Target (2013): la violazione del sistema di carte di pagamento di Target che ha interessato 41 milioni di clienti ha spinto l'azienda ad adottare sistemi di monitoraggio avanzati, segmentare le reti e istituire un centro di fusione informatica per agire più rapidamente sulle minacce
- Attacco NotPetya (Maersk): la risposta della compagnia di navigazione è stata quella di ricostruire 4.000 server e 45.000 PC in dieci giorni e di sostenere operazioni parziali utilizzando procedure manuali ad hoc.
- SolarWinds: i responsabili della risposta hanno sviluppato schemi di categorizzazione degli incidenti e messo in quarantena le reti compromesse dopo aver scoperto l'attacco alla catena di approvvigionamento mentre lavoravano su strumenti di rilevamento personalizzati.
In che modo SentinelOne può essere d'aiuto?
Le organizzazioni hanno bisogno di una piattaforma dati in grado di acquisire dati su larga scala, eseguire analisi basate sull'intelligenza artificiale, centralizzare la risposta agli incidenti di sicurezza e interconnettere le piattaforme IT e di sicurezza per garantire capacità di risposta autonome.
I servizi IR di SentinelOne si distinguono per il loro approccio completo alla gestione delle minacce e degli incidenti di sicurezza. Combinando rilevamento avanzato delle minacce, risposta in tempo reale e ripristino automatizzato, SentinelOne fornisce alle aziende gli strumenti per difendersi da un'ampia gamma di minacce informatiche.
SentinelOne fornisce protezione su endpoint, carichi di lavoro cloud e dispositivi IoT per bloccare e prevenire escalation. Quando è necessaria un'azione correttiva, può eliminare, mettere in quarantena, porre rimedio o ripristinare qualsiasi potenziale effetto della minaccia.
Nessuna minaccia passa inosservata con soluzioni come Vigilance MDR, un servizio gestito di rilevamento e risposta che offre monitoraggio 24 ore su 24, 7 giorni su 7; Singularity XDR, che fornisce rilevamento e risposta estesi su più superfici di attacco, e Singularity Threat Intelligence fornisce informazioni in tempo reale sulle minacce grazie all'intelligenza artificiale e all'apprendimento automatico.
MDR di fiducia
Ottenete una copertura end-to-end affidabile e una maggiore tranquillità con Singularity MDR di SentinelOne.
ContattateciConclusione
La risposta agli incidenti è una parte fondamentale della pianificazione della sicurezza informatica contemporanea. È possibile ridurre i danni, risparmiare denaro e mantenere operative le attività con procedure di risposta ben organizzate. La sicurezza informatica diventa sempre più complessa, con minacce in rapida evoluzione che colpiscono organizzazioni di tutte le dimensioni. Se si pianifica bene, si esercitano regolarmente i team e si convalidano le capacità di risposta, sarà possibile rispondere agli inevitabili incidenti di sicurezza con maggiore sicurezza e competenza.
Nuovi vettori di attacco si profileranno all'orizzonte, ma i principi fondamentali di una buona risposta agli incidenti non cambiano. La risposta agli incidenti deve essere considerata una capacità IT e un imperativo organizzativo fondamentale per la resilienza aziendale e la fiducia degli stakeholder. Provate oggi stesso SentinelOne.
"FAQs
La risposta agli incidenti è una metodologia strutturata per rispondere agli incidenti di sicurezza informatica. È una tecnica che è possibile utilizzare per identificare, contenere e riparare le violazioni della sicurezza con perdite minime. L'IR comprende processi intrinseci per l'identificazione delle minacce, il contenimento della loro propagazione, la rimozione di contenuti dannosi, il ripristino del sistema e la documentazione delle lezioni apprese per prevenire il ripetersi di tali violazioni in futuro.
Ti troverai ad affrontare minacce informatiche indipendentemente dalle dimensioni dell'organizzazione e dal settore. Gli incidenti non trattati causano tempi di inattività prolungati, perdita di informazioni e danni alla reputazione. Una risposta efficace agli incidenti può ridurre le spese legate alle violazioni fino al 26%, garantire la conformità normativa, mantenere la fiducia dei clienti e consentire un rapido ritorno all'attività.
Il ciclo di risposta agli incidenti consiste nella preparazione (sviluppo di piani e risorse), rilevamento e analisi (identificazione e analisi degli incidenti), contenimento (contenimento dei danni), eradicazione (rimozione delle minacce), ripristino (ripristino del sistema) e attività post-incidente (apprendimento e miglioramento). È necessario descrivere ogni fase in dettaglio per migliorare la risposta in futuro.
Il team di risposta agli incidenti dovrebbe includere professionisti della sicurezza IT, amministratori di sistema, ingegneri di rete, avvocati, personale addetto alle comunicazioni e dirigenti. È inoltre possibile includere rappresentanti delle risorse umane per le minacce interne e specialisti della continuità operativa. Se sono necessarie competenze specifiche, è possibile avvalersi di analisti forensi e analisti di intelligence sulle minacce di terze parti.
È necessario abilitare la risposta agli incidenti per violazioni dei dati, ransomware, accessi non autorizzati, minacce interne, attacchi denial of service, campagne di phishing con compromissioni riuscite, dispositivi smarriti/rubati contenenti dati sensibili e exploit zero-day. Anche le attività di rete sospette o le anomalie di sistema, se rilevate, devono essere investigate con procedure di risposta agli incidenti.
È possibile automatizzare una serie di elementi della risposta agli incidenti, come il rilevamento delle minacce, il triage iniziale, le misure di contenimento e la raccolta di prove. Gli strumenti di automazione riducono al minimo i tempi di risposta da ore a minuti. Tuttavia, per analisi sofisticate, scelte strategiche e azioni di riparazione sottili che richiedono una consapevolezza contestuale che va oltre i sistemi automatizzati, è necessaria l'intelligenza umana.
