La '''Forensics Readiness''' è la capacità delle aziende di massimizzare il potenziale in termine di capacità di raccolta di prove digitali, minimizzando i costi e agevolando la successiva indagine forense.

In caso di data breach:

  •  Le aziende impiegano non meno di 6 mesi per scoprire un brearch (Fonte ZDNet http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/)
  •  L’intruso tende a cancellare le tracce del proprio ingresso e operato
  •  L’intruso tende a rimanere silente nei sistemi
  • Sviluppare una indagine informatica forense a distanza di mesi dal breach rischia di essere estremamente complesso e potrebbe non permettere di identificare elementi significativi.

La Forensics Readiness prevede di raccogliere preventivamente le "prove" e salvaguardarne Integritò disponibilità e Autenticità

L'adozione della Forensics Readiness passa per la definzioni di: Policy, Plan e Procedure.

'Forensic Readiness Policy: Obiettivi, Ruoli e responsabilità, Implementazione, Ambito applicazione, Legislazione e Training

Forensic Readiness Plan: Ruoli e Responsabilità, Team Specialisti (int/ext), Risorse (Economiche, Apparati e software, Storage, etc…), Task Flow, Testing, Training & awareness

Forensics Readiness Procedure: Raccolta evidenze (Live, Post mortem, Network, etc…), Procedure di analisi, Reporting, Procedure


Per poter implementare una approccio in termini di Forensics Readiness è necessaria una valutazione dei seguenti elementi che andranno declinati in procedure operative.

  • Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business
  • Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali
  • Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant
  • Riesamina delle risorse allocate per conservazione protezione delle mail.
  • Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione
  • Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti
  • Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa
  • Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale
  • Documentare i casi reali descrivendo l’incidente e il suo impatto
  • Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente
  • Definire gli scenari del business aziendale che possono richiedere evidenze digitali
  • Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness.

A livello di Operational la Forensics Readiness richiede che l'infrastruttura sia dotata di:

  • NTP Server e allineamento di tutti i sistemi con il Time Server
  • DNS Censimento di tutti i sistemi in formato fqdn
  • DHCP
  • Directory Server o IAM per la gestione delle credenziali di sicurezza logica
  • Sistema AAA per Server e dispositivi di rete

Assumendo di disporre di questa infrastruttura la raccolta "preventiva" delle evidence avviene attraverso la remotizzazione sicura dei log di sistema su un sistema SIEM
A titolo di esempio non esaustivo possono essere raccolta, in ragione degli obiettivi di "readiness" che ci siamo dati i seguenti

Infrastruttura IT

* Router
* Firewalls
* Terminatore VPN
* Switch
* Server: log di sistema operativo
* Antivirus
* Server di posta

Servizi IT

* Reverse Proxy
* Application server
* Applicativo in esecuzione sull’AS
* Database audit log (tuned!)
* Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc..

L'infrastuttura SIEM si occuperà delle fasi di

  • Raccolta
  • Parsing
  • Correlazione
  • Analisi Allarme
  • Storicizzazione Tamper Proof

degli eventi di sistema e degli eventi di sicurezza in modo che possano essere recuperati ed elaborati a prescindere dal fatto che un agente di minaccia li abbia cancellati dai server.

Se al SIEM si aggiungono elementi com cyber Intellingece threath da fonti aperte e risultati di vulnerability assessment possono essere sviluppate regole di correlazione e allarmi che possano identificare preventivamente azioni diattacco o situazioni di breach. A titolo esemplificativo

IoA: Indicator of Attack
* Track connessioni «legittime» incoming da Bad IP sui log source
* Drop/Reject connessioni incoming da bad IP su FW
* Network scan
* Off Hours internal activity

IoC: Indicator of Compromission
* Connessioni outgoing «legittimo» verso Bad IP
* Drop/reject connessioni verso Bad IP
* Multiple failed login from single host
* Multiple login with single username from differente region
* Traffico DNS in uscita
* Errori nei log
* Errori log applicativi

L'Adozione di una Modalità "Forensics Readiness" permette di identificare preventivamente azioni dannose, identificare tempestivamente breach, ma sopratutto di raccogliere e salvaguardare le evidence informatiche di un breach indipendentemente dalle azioni distruttive che l'agente di minaccia abbia messo in atto. con un approccio Forensic Readiness è possibile svolgere in ogni momento una indagine e perizia informatica forense disponende delle prove informatiche