Questo sito utilizza i cookie per migliorare la navigazione e raccogliere statistiche. Per conoscere in dettaglio la nostra policy sui cookie consulta l'informativa completa.
Continuando a navigare o cliccando X, acconsenti all'uso dei cookie.

Big Cover - 2021-06-23T150310.711 (1)
IDEAS

Enterprise Forensics

Come le tecniche di digital forensics possono essere utilizzate nelle aziende per migliorare le capacità di difesa e di risposta agli incidenti, aumentando la probabilità di identificare in tempo gli attacchi e perseguire gli attaccanti sia esterni che interni

Technology Advisory

Multicloud, Cyber security, Governance e Compliance per il business dei nostri Clienti

Scopri di più

Spesso le aziende non considerano l’eventualità di dover affrontare un’investigazione digitale fino al momento in cui diventano vittime di un incidente di una certa rilevanza; intervenire solo a questo punto potrebbe però non essere compatibile con la necessità di agire rapidamente, correndo anche il rischio che molte informazioni utili non siano più disponibili.

Per questo motivo esse dovrebbero sviluppare le capacità di raccolta rapida e di monitoraggio di informazioni forensi su tutti i sistemi aziendali, validando preventivamente le informazioni raccolte, in modo da utilizzarle sia in fase di Incident Response che nella eventuale fase di tutela in giudizio.

Ciò può avvenire tramite la Digital Forensics, quella branca della scienza forense che si occupa della preservazione, dell’identificazione e dell’investigazione delle informazioni trovate all’interno dei dispositivi digitali.

Cos’è la Digital Forensics? E in quale misura essa è utile a difendersi e a rispondere agli incidenti nel contesto aziendale?

Le quattro fasi dell’analisi forense

Network infrastructure security

Cyber Threat Intelligence per la comprensione delle minacce

@1xAnteprima Ideas Cybersecurity _ rev 1 Vai all'ideas
  1. Identificazione. Scopo di questa fase è l’individuazione delle informazioni o delle fonti di informazione disponibili, comprenderne natura e pertinenza, individuare metodo e piano di acquisizione più appropriati. Il piano deve tenere conto del fatto che, se da un lato è meglio acquisire in eccesso piuttosto che in difetto, dall’altro non è possibile acquisire tutto. Un’altra decisione da prendere in questa fase è come intervenire sui sistemi, considerando che i sistemi trovati spenti non devono mai essere accesi e che per i sistemi accesi è meglio acquisire le evidenze volatili prima dello spegnimento. Viene infine stabilito se occorre considerare anche eventuali fonti esterne al sistema, come log di firewall, IDS, sistemi di autenticazione, accessi fisici ai locali, dati conservati da soggetti terzi. Tutte le valutazioni fatte in questa fase, oltre alle evidenze identificate, vengono opportunamente documentate.
  2. Acquisizione. Scopo di questa fase è l’acquisizione delle evidenze secondo il piano stabilito. Dove è possibile, si procede all’acquisizione fisica (sistemi, hard disk e altri dispositivi di memorizzazione, ecc.) mantenendo la catena di custodia. Anche in caso di acquisizione fisica viene effettuata una copia, sulla quale si lavorerà in fase di analisi. Le copie eseguite devono essere identiche all'originale (integrità e non ripudiabilità) e vengono effettuate mediante l’ausilio di distribuzioni linux forensi o write blocker hardware, in modo da non modificare l’originale. Tutte le procedure vengono documentate e attuate secondo metodi e tecnologie conosciute, così da essere verificabili e utilizzabili in un processo.
  3. Analisi / valutazione. Scopo di questa fase è l’estrazione di informazioni utili dalle evidenze acquisite. I dati vengono perciò estratti e processati per ricostruire informazioni, interpretare le informazioni per individuare elementi utili, comprendere e correlare, affinare le ricerche e trarre conclusioni. Si tratta della fase più onerosa di tutto il processo e richiede conoscenze disparate e in quotidiana evoluzione. L’analisi svolta viene effettuata in maniera oggettiva, evitando di lasciarsi andare a pregiudizi o a conclusioni affrettate.
  4. Presentazione. In questa fase i risultati vengono presentati in forma facilmente comprensibile anche a chi non ha competenze informatiche approfondite, ma anche ad eventuali consulenti tecnici di parte o d’ufficio.

Ideas

Un efficace monitoraggio dei sistemi IT grazie a log management e SIEM

Big Cover - 2020-10-29T121657.440 (1) Vai
Scarica il whitepaper "Enterprise Forensics"

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing e di acconsentire al trattamento dei dati forniti per l’invio del materiale richiesto

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per l'interesse che hai mostrato per il nostro contenuto!
Riceverai al più presto un'email con il link per scaricare il whitepaper.

ideas

Vision & Trends sulla Digital Transformation

Case history