La digital forensics e la risposta agli incidenti, o DFIR, combina due campi della cybersecurity per semplificare la risposta alle minacce preservando al contempo le prove contro i criminali informatici.
DFIR integra due discipline distinte di cybersecurity: la digital forensics, l'indagine sulle minacce informatiche, principalmente per raccogliere prove digitali per il contenzioso contro i criminali informatici; e la risposta agli incidenti, il rilevamento e la mitigazione degli attacchi informatici in corso. La combinazione di queste due discipline aiuta i team addetti alla sicurezza a bloccare le minacce più velocemente, preservando al contempo le prove che altrimenti potrebbero andare perse nell'urgenza della mitigazione delle minacce.
La digital forensics indaga e ricostruisce gli incidenti legati alla cybersecurity raccogliendo, analizzando e conservando le prove digitali: le tracce lasciate dagli attori delle minacce, come i file malware e gli script dannosi. Queste ricostruzioni consentono agli investigatori di individuare le cause principali degli attacchi e di identificare i colpevoli.
Le indagini della digital forensic seguono una rigorosa catena di custodia o processo formale per monitorare come vengono raccolte e gestite le prove. La catena di custodia consente agli investigatori di dimostrare che le prove non sono state manomesse. Di conseguenza, le prove della digital forensics possono essere utilizzate per scopi ufficiali come casi giudiziari, richieste di risarcimento assicurativo e audit normativi.
Il National Institute of Standards and Technology (NIST) (link esterno a ibm.com) spipega i quattro passaggi che vengono condotti nelle indagini della digital forensics:
A seguito di una violazione, gli investigatori forensi raccolgono dati da sistemi operativi, account utente, dispositivi mobili e qualsiasi altro asset hardware e software a cui gli attori delle minacce potrebbero aver avuto accesso. Le fonti di dati forensi più diffuse includono:
- File system forensics: dati trovati in file e cartelle memorizzati negli endpoint.
- Memory forensics: dati trovati nella RAM (memoria ad accesso casuale) di un dispositivo (RAM).
- Network forensic: dati trovati esaminando l'attività di rete, come la navigazione web e le comunicazioni tra i dispositivi.
- Application forensics: dati trovati nei log delle applicazioni e di altri software.
Per preservare l'integrità delle prove, gli investigatori fanno copie dei dati prima di elaborarli. Proteggono gli originali in modo che non possano essere alterati e il resto dell'indagine viene svolto sulle copie.
Gli investigatori analizzano i dati alla ricerca dei segni di attività condotte da criminali informatici, quali le e-mail di phishing, i file alterati e le connessioni sospette.
Gli investigatori utilizzano tecniche forensi per elaborare, correlare ed estrarre insight dalle prove digitali. Gli investigatori possono inoltre fare riferimento alla threat intelligence proprietaria e open-source per collegare i risultati a specifici attori delle minacce.
Gli investigatori compilano un report che spiega cosa è successo durante l'evento di sicurezza e, se possibile, identifica sospetti o colpevoli. Il report può contenere raccomandazioni per contrastare attacchi futuri. Può essere condiviso con le forze dell'ordine, gli assicuratori, le autorità di regolamentazione e altre autorità.
La risposta agli incidenti si concentra sul rilevamento e la risposta alle violazioni della sicurezza. L'obiettivo della risposta agli incidenti consiste nel prevenire gli attacchi prima che si verifichino e ridurre al minimo i costi e le interruzioni aziendali degli attacchi che si verificano.
Le attività di risposta agli incidenti sono guidate dai piani di risposta agli incidenti (IRP), che delineano il modo in cui il team di risposta agli incidenti dovrebbe affrontare le minacce informatiche. Il processo di risposta agli incidenti prevede sei passaggi standard:
- Preparazione: la preparazione è il processo costante di valutazione dei rischi, individuazione e risoluzione delle vulnerabilità (gestione delle vulnerabilità) e stesura di IRP per le diverse minacce informatiche.
- Rilevamento e analisi: gli incident responder si occupa della risposta agli incidenti monitorando la rete alla ricerca di attività sospette. Analizzano i dati, filtrano i falsi positivi e assegnano le priorità agli avvisi.
- Contenimento: quando viene rilevata una violazione, il team di risposta agli incidenti prende provvedimenti per impedire che la minaccia si diffonda nella rete.
- Eradicazione: una volta contenuta la minaccia, gli incident responder la eliminano dalla rete, ad esempio distruggendo i file ransomware o avviando un attore della minaccia da un dispositivo.
- Recupero: una volta che gli incident responder hanno eliminato tutte le tracce della minaccia, ripristinano i sistemi danneggiati alle normali operazioni.
- Analisi post-incidente: gli incident responder analizzano la violazione per capire come è avvenuta e prepararsi alle minacce future.
Quando la digital forensics e la risposta agli incidenti vengono condotte separatamente, possono interferire l'una con l'altra. Gli incident responder possono alterare o distruggere le prove eliminando una minaccia dalla rete e gli investigatori forensi possono ritardare la risoluzione delle minacce durante la ricerca delle prove. Le informazioni potrebbero non fluire tra questi team, rendendo tutti meno efficienti di quanto potrebbero essere.
DFIR fonde queste due discipline in un unico processo eseguito da un unico team. Questo comporta due importanti vantaggi:
La raccolta forense dei dati avviene parallelamente alla mitigazione delle minacce. Durante il processo DFIR, gli incident responder utilizzano tecniche forensi per raccogliere e conservare prove digitali mentre contengono ed eliminano una minaccia. Questo garantisce che la catena di custodia venga seguita e che le prove preziose non vengano alterate o distrutte dalle attività di risposta agli incidenti.
L'analisi post-incidente include l'esame di prove digitali. DFIR utilizza prove digitali per approfondire gli incidenti di sicurezza. I team DFIR esaminano e analizzano le prove che hanno raccolto per ricostruire l'incidente dall'inizio alla fine. Il processo DFIR termina con un report che descrive in dettaglio quello che è successo, come è successo, l'entità completa dei danni e come evitare attacchi simili in futuro.
I vantaggi che ne derivano includono:
- Prevenzione delle minacce più efficace. I team DFIR indagano sugli incidenti in modo più approfondito rispetto ai tradizionali team di risposta agli incidenti. Le indagini DFIR possono aiutare i team addetti alla sicurezza a comprendere meglio le minacce informatiche, creare playbook di risposta agli incidenti più efficaci e bloccare più attacchi prima che si verifichino. Le indagini DFIR possono inoltre aiutare a semplificare il rilevamento delle minacce scoprendo prove di minacce attive sconosciute.
- Durante la risoluzione delle minacce si perdono poche prove o addirittura nessuna prova. In un processo di risposta agli incidenti standard, gli incident responder possono commettere errori nella fretta di contenere la minaccia. Ad esempio, se gli incident responder spengono un dispositivo infetto per contenere la diffusione di una minaccia, qualsiasi prova rimasta nella RAM del dispositivo andrà persa. Formati sia in digital forensics sia nella risposta agli incidenti, i team del DFIR sono abili nel preservare le prove e risolvere gli incidenti.
- Miglioramento del supporto alle controversie. I team DFIR seguono la catena di custodia, il che significa che i risultati delle indagini DFIR possono essere condivisi con le forze dell'ordine e utilizzati per perseguire i criminali informatici. Le indagini DFIR possono inoltre supportare le richieste di risarcimento assicurativo e gli audit normativi successivi alla violazione.
- Ripristino delle minacce più rapido e robusto. Dal momento che le indagini forensi sono più robuste delle indagini standard di risposta agli incidenti, i team DFIR possono scoprire malware nascosti o danni al sistema che altrimenti sarebbero passati inosservati. Questo aiuta i team addetti alla sicurezza a eliminare le minacce e a riprendersi dagli attacchi in modo più completo.
In alcune aziende, un team interno di risposta agli incidenti addetto alla sicurezza informatica (CSIRT), a volte chiamato team di risposta alle emergenze informatiche (CERT), gestisce il DFIR. I membri CSIRT possono includere il Chief Information Security Officer (CISO), il Security Operations Center (SOC) e il personale IT, i dirigenti e altri stakeholder di tutta l'azienda.
Molte aziende non hanno le risorse per realizzare autonomamente DFIR. In tal caso, possono assumere servizi DFIR di terze parti che lavorano su commissione.
Sia gli esperti DFIR interni sia quelli di terze parti utilizzano gli stessi strumenti DFIR per rilevare, indagare e risolvere le minacce. Eccone alcune:
Gestione delle informazioni e degli eventi di sicurezza (SIEM): SIEM raccoglie e correla i dati sugli eventi di sicurezza da strumenti di sicurezza e altri dispositivi sulla rete.
Orchestrazione, automazione e risposta della sicurezza (SOAR): SOAR consente ai team DFIR di raccogliere e analizzare i dati relativi alla sicurezza, definire i workflow di risposta agli incidenti e automatizzare le attività relative alla sicurezza ripetitive o di basso livello.
Rilevamento e risposta degli endpoint (EDR): l'EDR integra gli strumenti di sicurezza degli endpoint e utilizza l'analisi in tempo reale e l'automazione basata sull'AI per proteggere le organizzazioni dalle minacce informatiche che superano il software antivirus e altre tecnologie tradizionali per la sicurezza degli endpoint.
Rilevamento e risposta estesi (XDR): l'XDR è un'architettura aperta di cybersecurity che integra gli strumenti di sicurezza e unifica le operazioni di sicurezza a tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, workload cloud e dati. Eliminando le lacune di visibilità tra gli strumenti, l'XDR aiuta i team addetti alla sicurezza a rilevare e risolvere le minacce in modo più rapido ed efficiente, limitando i danni che causano.
L'individuazione proattiva alle minacce, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che deve affrontare un reparto IT già impegnato. Avere a disposizione un team affidabile di risposta agli incidenti può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare più rapidamente.
La strada verso una risposta orchestrata agli incidenti inizia con la formazione delle persone, lo sviluppo di un processo coerente e ripetibile e quindi lo sfruttamento della tecnologia per l'esecuzione. Questa guida illustra i passaggi chiave per creare una robusta funzione di risposta agli incidenti.
Un piano formale di risposta agli incidenti consente ai team di sicurezza informatica di limitare o prevenire i danni derivanti da attacchi informatici o violazioni della sicurezza.
La gestione delle informazioni di sicurezza e degli eventi (SIEM) offre il monitoraggio e l'analisi in tempo reale degli eventi, nonché il monitoraggio e la registrazione dei dati di sicurezza a fini di conformità o controllo.
La threat intelligence è un'informazione dettagliata e attuabile sulle minacce per prevenire e combattere le minacce informatiche che colpiscono un'organizzazione.
Il ransomware tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento del riscatto. Scopri come funziona il ransomware, perché è proliferato negli ultimi anni e come le organizzazioni si difendono da esso.