Enterprise Forensics

Spesso le aziende non considerano l’eventualità di dover affrontare un’investigazione digitale fino al momento in cui diventano vittime di un incidente di una certa rilevanza; intervenire solo a questo punto potrebbe però non essere compatibile con la necessità di agire rapidamente, correndo anche il rischio che molte informazioni utili non siano più disponibili.

Per questo motivo esse dovrebbero sviluppare le capacità di raccolta rapida e di monitoraggio di informazioni forensi su tutti i sistemi aziendali, validando preventivamente le informazioni raccolte, in modo da utilizzarle sia in fase di Incident Response che nella eventuale fase di tutela in giudizio.

Ciò può avvenire tramite la Digital Forensics, quella branca della scienza forense che si occupa della preservazione, dell’identificazione e dell’investigazione delle informazioni trovate all’interno dei dispositivi digitali.

Cos’è la Digital Forensics? E in quale misura essa è utile a difendersi e a rispondere agli incidenti nel contesto aziendale?

1. Identificazione. Scopo di questa fase è l’individuazione delle informazioni o delle fonti di informazione disponibili, comprenderne natura e pertinenza, individuare metodo e piano di acquisizione più appropriati. Il piano deve tenere conto del fatto che, se da un lato è meglio acquisire in eccesso piuttosto che in difetto, dall’altro non è possibile acquisire tutto. Un’altra decisione da prendere in questa fase è come intervenire sui sistemi, considerando che i sistemi trovati spenti non devono mai essere accesi e che per i sistemi accesi è meglio acquisire le evidenze volatili prima dello spegnimento. Viene infine stabilito se occorre considerare anche eventuali fonti esterne al sistema, come log di firewall, IDS, sistemi di autenticazione, accessi fisici ai locali, dati conservati da soggetti terzi. Tutte le valutazioni fatte in questa fase, oltre alle evidenze identificate, vengono opportunamente documentate.
2. Acquisizione. Scopo di questa fase è l’acquisizione delle evidenze secondo il piano stabilito. Dove è possibile, si procede all’acquisizione fisica (sistemi, hard disk e altri dispositivi di memorizzazione, ecc.) mantenendo la catena di custodia. Anche in caso di acquisizione fisica viene effettuata una copia, sulla quale si lavorerà in fase di analisi. Le copie eseguite devono essere identiche all'originale (integrità e non ripudiabilità) e vengono effettuate mediante l’ausilio di distribuzioni linux forensi o write blocker hardware, in modo da non modificare l’originale. Tutte le procedure vengono documentate e attuate secondo metodi e tecnologie conosciute, così da essere verificabili e utilizzabili in un processo.
3. Analisi / valutazione. Scopo di questa fase è l’estrazione di informazioni utili dalle evidenze acquisite. I dati vengono perciò estratti e processati per ricostruire informazioni, interpretare le informazioni per individuare elementi utili, comprendere e correlare, affinare le ricerche e trarre conclusioni. Si tratta della fase più onerosa di tutto il processo e richiede conoscenze disparate e in quotidiana evoluzione. L’analisi svolta viene effettuata in maniera oggettiva, evitando di lasciarsi andare a pregiudizi o a conclusioni affrettate.
4. Presentazione. In questa fase i risultati vengono presentati in forma facilmente comprensibile anche a chi non ha competenze informatiche approfondite, ma anche ad eventuali consulenti tecnici di parte o d’ufficio.