Blog

La '''Forensics Readiness''' è la capacità delle aziende di massimizzare il potenziale in termine di capacità di raccolta di prove digitali, minimizzando i costi e agevolando la successiva indagine forense.

In caso di data breach:

  •  Le aziende impiegano non meno di 6 mesi per scoprire un brearch (Fonte ZDNet http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/)
  •  L’intruso tende a cancellare le tracce del proprio ingresso e operato
  •  L’intruso tende a rimanere silente nei sistemi
  • Sviluppare una indagine informatica forense a distanza di mesi dal breach rischia di essere estremamente complesso e potrebbe non permettere di identificare elementi significativi.

La Forensics Readiness prevede di raccogliere preventivamente le "prove" e salvaguardarne Integritò disponibilità e Autenticità

L'adozione della Forensics Readiness passa per la definzioni di: Policy, Plan e Procedure.

'Forensic Readiness Policy: Obiettivi, Ruoli e responsabilità, Implementazione, Ambito applicazione, Legislazione e Training

Forensic Readiness Plan: Ruoli e Responsabilità, Team Specialisti (int/ext), Risorse (Economiche, Apparati e software, Storage, etc…), Task Flow, Testing, Training & awareness

Forensics Readiness Procedure: Raccolta evidenze (Live, Post mortem, Network, etc…), Procedure di analisi, Reporting, Procedure


Per poter implementare una approccio in termini di Forensics Readiness è necessaria una valutazione dei seguenti elementi che andranno declinati in procedure operative.

  • Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business
  • Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali
  • Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant
  • Riesamina delle risorse allocate per conservazione protezione delle mail.
  • Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione
  • Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti
  • Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa
  • Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale
  • Documentare i casi reali descrivendo l’incidente e il suo impatto
  • Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente
  • Definire gli scenari del business aziendale che possono richiedere evidenze digitali
  • Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness.

A livello di Operational la Forensics Readiness richiede che l'infrastruttura sia dotata di:

  • NTP Server e allineamento di tutti i sistemi con il Time Server
  • DNS Censimento di tutti i sistemi in formato fqdn
  • DHCP
  • Directory Server o IAM per la gestione delle credenziali di sicurezza logica
  • Sistema AAA per Server e dispositivi di rete

Assumendo di disporre di questa infrastruttura la raccolta "preventiva" delle evidence avviene attraverso la remotizzazione sicura dei log di sistema su un sistema SIEM
A titolo di esempio non esaustivo possono essere raccolta, in ragione degli obiettivi di "readiness" che ci siamo dati i seguenti

Infrastruttura IT

* Router
* Firewalls
* Terminatore VPN
* Switch
* Server: log di sistema operativo
* Antivirus
* Server di posta

Servizi IT

* Reverse Proxy
* Application server
* Applicativo in esecuzione sull’AS
* Database audit log (tuned!)
* Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc..

L'infrastuttura SIEM si occuperà delle fasi di

  • Raccolta
  • Parsing
  • Correlazione
  • Analisi Allarme
  • Storicizzazione Tamper Proof

degli eventi di sistema e degli eventi di sicurezza in modo che possano essere recuperati ed elaborati a prescindere dal fatto che un agente di minaccia li abbia cancellati dai server.

Se al SIEM si aggiungono elementi com cyber Intellingece threath da fonti aperte e risultati di vulnerability assessment possono essere sviluppate regole di correlazione e allarmi che possano identificare preventivamente azioni diattacco o situazioni di breach. A titolo esemplificativo

IoA: Indicator of Attack
* Track connessioni «legittime» incoming da Bad IP sui log source
* Drop/Reject connessioni incoming da bad IP su FW
* Network scan
* Off Hours internal activity

IoC: Indicator of Compromission
* Connessioni outgoing «legittimo» verso Bad IP
* Drop/reject connessioni verso Bad IP
* Multiple failed login from single host
* Multiple login with single username from differente region
* Traffico DNS in uscita
* Errori nei log
* Errori log applicativi

L'Adozione di una Modalità "Forensics Readiness" permette di identificare preventivamente azioni dannose, identificare tempestivamente breach, ma sopratutto di raccogliere e salvaguardare le evidence informatiche di un breach indipendentemente dalle azioni distruttive che l'agente di minaccia abbia messo in atto. con un approccio Forensic Readiness è possibile svolgere in ogni momento una indagine e perizia informatica forense disponende delle prove informatiche 

Lo Studio Fiorenzi incontra Confindustria Toscana, Le aziene e i rischi informatici, dalla cybersecurity alle perizie e indagini informatiche forensi fino alla gestione del data breach

 IES StudioFiorenzi

un solo simbolo per distruggere milioni di righe di codice... ma sopratutto la reputazione di un Marchio ritenuto da tutti, pio o meno a ragione, sicuro

ecco il bug, il simobolo dell'alfabeto indiano che manda in crash i prodotti di casa Mac