Digital
Forensics

Al tuo fianco per la raccolta, documentazione ed analisi delle prove digitali per la tua sicurezza informatica

Digital Forensics:
come funziona

Se dovessi mai cadere vittima di un attacco informatico dovresti consultare immediatamente esperti e assolutamente non distruggere nessuna prova.

Queste prove non sono importanti solo per le forze dell'ordine, ma anche per sostenere la legittimità di qualsiasi richiesta di assicurazione e servizio. Ricostruendo il corso degli eventi che circondano l'attacco, puoi anche identificare e quindi eliminare le vulnerabilità nella tua infrastruttura IT.

Capita molto spesso, purtroppo, che nel timore di perdere dati si proceda internamente al recupero degli stessi. Questa pratica molto spesso è dannosa perché si corre il rischio di rovinare le prove, che non sarebbero quindi più valide in un'eventuale causa, ma anche di rendere irreversibile il recupero dei dati.

Cyberteam si occupa di identificare, raccogliere, analizzare e documentare le prove digitali che potranno essere portate in tribunale ed aiutarti a rispondere all'incidente e consigliarti su come migliorare la tua sicurezza informatica.

COSA SI INTENDE PER
DIGITAL FORENSICS


Digital forensics (conosciuta anche come scienza digitale forense) è un ramo della scienza forense che comprende il recupero e l'indagine del materiale trovato nei dispositivi digitali, spesso in relazione a eventi di criminalità informatica.

Viene utilizzata comunemente per sostenere o confutare un'ipotesi davanti ad un processo penale o civile. Ma può interessare anche il settore privato, ad esempio durante indagini aziendali interne o indagini di intrusione.

Digital Forensics:
tipologie

Analizza gli endpoint (server, workstation, laptop) per scoprire le tracce di un attacco.

Ciò include malware, ad esempio, esfiltrazione di dati e comportamento degli utenti.

Esamina il traffico di rete per identificare e analizzare le tracce lasciate dagli attacchi.

Determina se è necessaria una soluzione per l'acquisizione completa dei pacchetti, NetFlow o la gestione dei registri.

Analizza (potenziale) malware per identificare gli IOC, ricostruire gli eventi che circondano l'attacco e valutare l'entità del danno.

Digital Forensics:
gli step

Clicca sui singoli step per saperne di più

01

IDENTIFICAZIONE

Questa fase si concentra sull'identificare le potenziali fonti di prove e le posizioni fisiche dei dati.

Cyberteam raccoglie le informazioni necessarie per valutare la gravità ed i dettagli, il contesto e consiglia al cliente quale altre fonti di prove dovrebbero essere acquisite nell'ambiente se disponibili.

Dopo aver raccolto le informazioni sull'incidente, sarà possibile progettare un piano e definire l'approccio da adottare. L'approccio sarà basato sul tipo di indagine.

Supponiamo che l'indagine riguardi il furto di dati da parte di un insider. In tal caso, Cyberteam potrebbe richiedere dati dal perimetro della rete in uscita come i registri dal proxy, data loss prevention (DLP) e firewall per citarne alcuni oltre alla workstation.

01
02

RACCOLTA

Questa fase prevede la raccolta delle prove rilevanti sulla scena identificata nella fase precedente per l'analisi nel laboratorio forense.

Verranno fatte al cliente una serie di raccomandazioni che aiuteranno il team nella raccolta delle prove.

Le modifiche possono includere, ad esempio, l'isolamento del sistema, l'accesso o l'esportazione dei registri dal SIEM, l'acquisizione di chiavi e password per decrittografare i dati pertinenti, la rimozione dell'host DLP e l'accesso all'archivio USB. Le modifiche verranno apportate in base alla natura e alla gravità dell'incidente in corso.

Verrà infine preparato il documento chain of custody per le prove che verranno prelevate e trasferite dal cliente a Cyberteam. Il documento chain of custody (CoC) tiene traccia della sequenza cronologica e del percorso man mano che le prove si spostano da persona a persona.

01
02
03

CONSERVAZIONE

Questa fase prevede la protezione e la cristallizzazione delle prove mantenendo l'integrità dei dati di origine. Le metodologie utilizzate dall'esaminatore forense garantiranno che le prove siano raccolte in modo da preservare i dati originali senza la minima alterazione.

Cyberteam utilizza solo le pratiche migliori.

Gli standard di organizzazioni come NIST e Scientific Working Group on Digital Evidence (SWGDE) forniscono metodi coerenti e comprovati per preservare le prove da dischi rigidi e dispositivi di archiviazione rimovibili (chiavette USB, schede micro SD, dischi rigidi esterni).

Inoltre, tutte le prove saranno convalidate tramite un hash (MD5 o SHA-256) per garantire che i dati originali non siano stati alterati durante il processo investigativo.

In tutte le indagini devono essere realizzate due copie delle prove e salvate su unità di archiviazione.

La "copia master" verrà conservata e la "copia lavoro" verrà elaborata.

La doppia copia di tutte le prove sarà firmata e tracciata in un archivio e in un sistema di gestione delle prove.

01
02
03
04

ELABORAZIONE

Questa fase prevede l'elaborazione delle prove nella "copia lavoro" che sono state raccolte e conservate utilizzando vari strumenti e tecniche, seguendo un processo definito e ripetibile passo dopo passo.

Cyberteam elabora le prove sotto forma di file contenitore noti come immagini forensi che sono bitstream o copie bit per bit delle prove di origine acquisite durante la fase di conservazione. Le immagini forensi possono essere create in molti tipi di formati; tuttavia, lo standard tipico è RAW DD o Expert Witness Format (E01).

01
02
03
04
05

ANALISI

In questa fase le prove elaborate sono analizzate per rispondere alle domande dell'indagine su Chi, Cosa, Quando, Perché, Dove e Come. Cyberteam analizzerà i dati elaborati a seconda del tipo di indagine.

Ad esempio se il cliente volesse sapere quali siti web ha visitato un dipendente sul suo laptop aziendale, l'analista analizzerebbe le prove del browser web dei dati elaborati. L'analisi rimarrebbe focalizzata sulle domande richieste dal cliente e non si discosterebbe mai dal focus dell'indagine.

Se l'analista si imbattesse in contenuti dubbi o illeciti gli stessi verranno segnalati nel report consegnato al cliente.

01
02
03
04
05
06

PRESENTAZIONE

La fase di presentazione è la fase finale che comporta l'acquisizione dei risultati dalla fase di analisi e la presentazione delle informazioni in un rapporto dettagliato che verrà consegnato al cliente.

Il rapporto riporterà solo i fatti e non le opinioni e potrà essere personalizzato per un pubblico specifico. Il rapporto dettagliato conterrà le seguenti sezioni:

  • Riepilogo esecutivo: una spiegazione di alto livello che descrive l'indagine e il risultato finale.

  • Dettagli di contatto: le informazioni di contatto dell'analista principale nell'indagine

  • Analisi forense: presentare i risultati dell'indagine

  • Cronologia degli eventi: l'ordine cronologico degli eventi così come sono apparsi nell'indagine

  • Riparazione: include raccomandazioni sui controlli di sicurezza e sui passaggi che dovrebbero essere implementati per ridurre al minimo il rischio che l'incidente si ripeta.

  • Appendice: fornisce una visione più dettagliata dei risultati orientata a un pubblico più tecnico, descrive gli strumenti e le configurazioni utilizzate nell'indagine e il glossario dei termini.
TORNA SU