fbpx

forensic readiness

  • Data Breach: GDPR e Forensics Readiness

    Data Breach: GDPR e Forensics Readiness

    La '''Forensics Readiness''' è la capacità delle aziende di massimizzare il potenziale in termine di capacità di raccolta di prove digitali, minimizzando i costi e agevolando la successiva indagine forense.

    In caso di data breach:

    •  Le aziende impiegano non meno di 6 mesi per scoprire un brearch (Fonte ZDNet http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/)
    •  L’intruso tende a cancellare le tracce del proprio ingresso e operato
    •  L’intruso tende a rimanere silente nei sistemi
    • Sviluppare una indagine informatica forense a distanza di mesi dal breach rischia di essere estremamente complesso e potrebbe non permettere di identificare elementi significativi.

    La Forensics Readiness prevede di raccogliere preventivamente le "prove" e salvaguardarne Integritò disponibilità e Autenticità

    L'adozione della Forensics Readiness passa per la definzioni di: Policy, Plan e Procedure.

    'Forensic Readiness Policy: Obiettivi, Ruoli e responsabilità, Implementazione, Ambito applicazione, Legislazione e Training

    Forensic Readiness Plan: Ruoli e Responsabilità, Team Specialisti (int/ext), Risorse (Economiche, Apparati e software, Storage, etc…), Task Flow, Testing, Training & awareness

    Forensics Readiness Procedure: Raccolta evidenze (Live, Post mortem, Network, etc…), Procedure di analisi, Reporting, Procedure


    Per poter implementare una approccio in termini di Forensics Readiness è necessaria una valutazione dei seguenti elementi che andranno declinati in procedure operative.

    • Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business
    • Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali
    • Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant
    • Riesamina delle risorse allocate per conservazione protezione delle mail.
    • Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione
    • Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti
    • Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa
    • Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale
    • Documentare i casi reali descrivendo l’incidente e il suo impatto
    • Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente
    • Definire gli scenari del business aziendale che possono richiedere evidenze digitali
    • Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness.

    A livello di Operational la Forensics Readiness richiede che l'infrastruttura sia dotata di:

    • NTP Server e allineamento di tutti i sistemi con il Time Server
    • DNS Censimento di tutti i sistemi in formato fqdn
    • DHCP
    • Directory Server o IAM per la gestione delle credenziali di sicurezza logica
    • Sistema AAA per Server e dispositivi di rete

    Assumendo di disporre di questa infrastruttura la raccolta "preventiva" delle evidence avviene attraverso la remotizzazione sicura dei log di sistema su un sistema SIEM
    A titolo di esempio non esaustivo possono essere raccolta, in ragione degli obiettivi di "readiness" che ci siamo dati i seguenti

    Infrastruttura IT

    * Router
    * Firewalls
    * Terminatore VPN
    * Switch
    * Server: log di sistema operativo
    * Antivirus
    * Server di posta

    Servizi IT

    * Reverse Proxy
    * Application server
    * Applicativo in esecuzione sull’AS
    * Database audit log (tuned!)
    * Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc..

    L'infrastuttura SIEM si occuperà delle fasi di

    • Raccolta
    • Parsing
    • Correlazione
    • Analisi Allarme
    • Storicizzazione Tamper Proof

    degli eventi di sistema e degli eventi di sicurezza in modo che possano essere recuperati ed elaborati a prescindere dal fatto che un agente di minaccia li abbia cancellati dai server.

    Se al SIEM si aggiungono elementi com cyber Intellingece threath da fonti aperte e risultati di vulnerability assessment possono essere sviluppate regole di correlazione e allarmi che possano identificare preventivamente azioni diattacco o situazioni di breach. A titolo esemplificativo

    IoA: Indicator of Attack
    * Track connessioni «legittime» incoming da Bad IP sui log source
    * Drop/Reject connessioni incoming da bad IP su FW
    * Network scan
    * Off Hours internal activity

    IoC: Indicator of Compromission
    * Connessioni outgoing «legittimo» verso Bad IP
    * Drop/reject connessioni verso Bad IP
    * Multiple failed login from single host
    * Multiple login with single username from differente region
    * Traffico DNS in uscita
    * Errori nei log
    * Errori log applicativi

    L'Adozione di una Modalità "Forensics Readiness" permette di identificare preventivamente azioni dannose, identificare tempestivamente breach, ma sopratutto di raccogliere e salvaguardare le evidence informatiche di un breach indipendentemente dalle azioni distruttive che l'agente di minaccia abbia messo in atto. con un approccio Forensic Readiness è possibile svolgere in ogni momento una indagine e perizia informatica forense disponende delle prove informatiche 

  • Digital Investigation cita il nostro studio su Forensics Readiness

    Digital Investigation cita il nostro studio su Forensics Readiness

    digital investigationSapere che la prestigiosa rivista "Digital Investigation"  nell'articolo di Marzo 2018 cita il nostro studio sulla Forensics readiness come unica e sola soluzione per mettere in sicurezza il perimetro aziendale è una gran bella soddisfazione, ma scoprirlo per caso... come direbbe la pubblicità  "non ha prezzo".

    Più e più volte abbiamo sottolineato sul nostro sito ma anche in convegni e incontri pubblici come un approccio Forensics Readiness sia, sopratutto per le medio grandi imprese, l'unico perseguibile per il monitoraggio della sicurezza e dei data breach, ma anche per identificare dipendenti infedeli o vere e proprie attività di cyber spionaggio

    Per chi si fosse perso quello studio questo è il link https://www.studiofiorenzi.it/blog/smau-2017-milano-gdr-forensics-readiness

     

    Se hai bisogno di una perizia informatica o di una indagine informatica forense contattaci al 3487920172 oa info@studiofiorenzi.it.

    Operiamo come CTP, Consulenti Tecnici di Parte e come CTU, Consulenti Tecnici d'Ufficio, In tutta Italia e principalmente in toscana: Firenze, Prato, Pistoia, PisaLucca, Livorno, Massa, Siena, Arezzo, Grosseto  

  • Dipendenti infedeli e Cyber Security in azienda

    incident respone e indaginni informatiche forensi in caso di incidente o data breach

    incidente informaticoGli studi internazionali, compreso quello di Intel Security confermano che il 43% dei furti di dati è da imputarsi ai dipendenti.
    Dietro un incidente informatico non c'è quindi sempre l'azione di un hacker o di criminali esterni, bensì la mano di un insider.
    Normalmente le aziende affrontano questo tipo di problematiche solo quando un evento nocivo ha avuto luogo e si rende necessario individuare il responsabile.


    Alcuni produttori stanno proponendo soluzioni di "software predittivi", sistemi che analizzano la condotta degli utenti di una rete aziendale e ne "prevedono" le mosse future.

    Se queste soluzioni possono essere adottate nel mondo anglosassone non è altrettanto vere per lo scenario europeo e italiano in particolare.
    In Italia infatti la normativa vigente vieta il monitoraggio in tempo reale dell'attività del lavoratore, e lo permette sono in pochi rari casi con accordo con le RSU e l'Ispettorato provinciale del lavoro.

    Tuttavia vi sono una serie di circostanze in cui è possibile attivare una readiness alla gestione dei un incidente. Per gestire positivamente un incidente si deve intervenire a livello di processi aziendali e usare bene la tecnologia che già è in azienda. Dal punto di vista tecnoclogico spesso è sufficiente la tecnologia attuale presente in ai attraverso la semplice raccolta sistematica di informazioni dai firewall, i server, i NAS e i sistemi informativi aziendali. La riorganizzazione dei processi in chiave rediness richiede un'audit e una gap analisys per definire un piano di sviluppo. 
    Tutte le informazioni raccolte e cristallizzate con metodi forensi e analizzate con strumenti di analisi e correlazione permettono ex-post di condurre una indagine informatica rapida e capace di individuare le modalità e il soggetto che si è reso responsabile del danneggiamento o del furto di dati
    Incident repsonse non significa solo ripristino dei sistemi o dei dati, prima ancora del ripristino si deve procedere a cristallizzare la scena criminis, comprendere le modalità e i vettori di attacco per individuare soluzioni o work around ma anche per fornire una spiegazione di quanto successo a stakeholder, assicurazioni ed eventualmente al Garante Privacy in caso di data breach.

  • Forensics Readiness

    Consulenza e progettazione soluzioni di Forensics Readiness

    Forensics Readiness si applica a un contesto aziendale e significa avere un appropriato livello preparazione a poter preservare, raccogliere, proteggere e analizzare le digital evidence così che queste evidenze possono essere effettivamente usate: in qualunque contesto legale, nelle investigazioni digitali in provvedimenti disciplinari, in un contenzioso giuslavoristico in tribunale o in giudizio.

    Un'indagine di tipo Digital Forensics è comunemente avviata come una risposta, ex post, a un grave incidente di sicurezza informatica; si tratta di una scelta che presenta costi e complessità alte.
    Un'Azienda potrebbe risultare più competitiva organizzando ex-ante i propri strumenti, processi e procedure anche in funzione di della gestione di un incidente informatico e della raccolta e conservazione delle prove digitali e svolgere tempestivamente una indagine informatica e relativa perizia informatica forense

    Forensics Readiness è quindi la capacità di un'Azienda o Ente di massimizzare il suo potenziale di utilizzare prove digitali riducendo al minimo i costi di un'indagine.

    Forensics Readiness è un servizio con cui insieme a voi decidiamo il livello di "readiness" che vuole raggiungere, progettiamo e implementiamo le soluzione tecnologiche necessarie e scriviamo insieme a voi le policy di Forensics Readiness

    Alcuni punti che una Policy di Forensics Rediness dovrebbe considerare:
     
    - Raccogliere prove ammissibili legalmente e senza interferire con i processi di business
    - Raccogliere le prove scegliendo i target più potenziali e le controversie che potrebbero avere un forte impatto organizzativo e reputazionale
    - Consentire un'indagine dai costi proporzionati all'incidente
    - Ridurre al minimo l'interruzione del business per fini investigativi
    - Garantire che le prove possano essere accettate senza riserve in qualsiasi azione legale, al fine di garantire la prosecuzione di tutte le altre attività di business

     Un approccio forensics readiness permette di raccogliere costantemente con metodlogia forense le fonti di prova, in caso di danneggiamento, data brech, il consulente informatico forense può intervenire tempestivamente anche da remoto e collezionare tutti i dati necessari all'analisi forense e alla stesura di una perizia informatica forense che verrà usata per denuncia contro aggressori, per la notifica al Garante - GDPR, o per la notifica all'assicurazione se si è fatta la polizia rischio cyber.

     

     

    contattci      preventivio
  • Forensics Readiness per combattere data breach e cyber spionaggio

    Per ridurre i costi diretti e le problematiche giuslavoristiche, nel corso degli ultimi dieci anno le aziende hanno incrementato l'esternalizzazione di molti servizi, passando dal concetto di produzione/erogazione del servizio a quello di gestione dell'outsourcer/della fabbrica esterna. Di fatto le aziende hanno esternalizzato anche buona parte delle fasi industriali del ciclo produttivo in particolare nella gestione e sviluppo di sistemi e soluzioni IT.
    Esternalizzare significa estendere il perimetro aziendale, inizialmente ben definito e circoscritto, a quello degli outsourcer con la conseguente perdita di controllo dovuta alla mancanza di presidi tecnologici e organizzativi di segregazione e tracciatura.
    L'azienda praticamente rischia la perdita di controllo sul fornitore ma sopratutto sulla disponibilità integrità e disponibilità dei propri dati.
    Il cyber spionaggio legato all'uso di outsourcer di conto-terzisti dell'Information technology è confermato da tutti dai più accreditati report sulla sicurezza informatica, espone le aziende a rischi quali la sottrazione di dati, di specifiche di progetti, di informazioni finanziarie e commerciali, con effetti significativi sulla redditività dell'azienda. Per ridurre il rischio ad un livello accettabile, dal momento che non è possibile azzerarlo, è necessario attivare una serie di presidi organizzativi ma anche tecnologici di monitoraggio e tracciatura, in una parola "Forensics Readiness", che permettano di governare e tracciare un accesso abusivo, un trattamento illecito, un furto di dati, in generale un data breach da parte di un insider piuttosto che di un fornitore o outsourcer. Ove le aziende riescano ad attivare un piano di Audit periodico e analitico unitamente ad una revisione di processi e strumenti tecnologici in ottica di "Forensics readiness" l'azienda riesce a mitigare notevolmente il rischio legato all'outsourcing. Il rischio residuale può essere coperto avvalendosi di strumenti di tutela della proprietà intellettuale: marchi, brevetti e copyright, nonché ricorrendo ad soluzioni assicurative.

  • SMAU 2017 Milano: GDR & Forensics Readiness

     

    Forensics Readiness

     

    Per chi si fosse perso il nostro Talk a SMAU Milano 2017? GDPR & Forensics Readiness..., o volesse rivedere il materiale, abbiamo pubblicato su Slideshare le slide.

    Visto l'intesse che ha suscitato il talk siamo a disposizione per approfondire il tema con chiunque sia interessato, nella sezione contatti trovate tutti i nostri riferimenti

    https://www.slideshare.net/AlessandroFiorenzi/gdpr-forensics-readiness

     

  • Spionaggio e dipendente infedele

    Spionaggio Informatico sabotaggio o danneggiamento dei sistemi informatici sono reati in forte crescita anche nelle aziende italiane. Con Industry 4.0 la tecnologia è parte integrante del business aziendale: il know-how aziendale, i processi, il marketing e la strategia aziendale oggi è sviluppata e condivisa nel sistema informativo aziendale. La mancanza di adeguate misure di sicurezza ha fatto si che siano cresciuti i casi  di dipendenti infedeli, di danneggiamenti e sabotaggi dei sistemi IT o di alterazione delle basi dati. L'outsourcing IT  potenzialmente fa accedere estranei a dati riservati. La diffusione di soluzioni cloud gratuite usate in ambito aziendale rappresenta un grave rischio data breach per la riservatezza dei dati e dei progetti. L'azienda 4.0 mediante un Consulente Informatico Forense deve adottare un approccio "Forensics Readiness"  per proteggere il know-how e identificare tempestivamente un data breach, ma anche per effettuare una indagine forense per non ritrovarsi a fare i conti con propri progetti in mano ai concorrenti, bandi  di gara persi per colpa d'insider, o dati riservati pubblicati  in Internet.

Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.