Che cos'è la digital forensics?

Autori

Annie Badman

Staff Writer

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

Che cos'è la digital forensics?

La digital forensics è il processo di raccolta e analisi delle prove digitali in modo da mantenerne l'integrità e l'ammissibilità in tribunale.

La digital forensics è un campo della scienza forense. Viene utilizzata per indagare sui crimini informatici, ma può anche aiutare nelle indagini penali e civili. I team di cybersecurity possono utilizzare la digital forensics per identificare i criminali informatici dietro un attacco malware , mentre le forze dell'ordine possono utilizzarla per analizzare i dati provenienti dai dispositivi di un sospettato di omicidio.

La digital forensics ha ampie applicazioni perché tratta le prove digitali come qualsiasi altra forma di prova. I funzionari seguono procedure specifiche per raccogliere prove fisiche sulla scena del crimine. Allo stesso modo, gli investigatori della digital forensics aderiscono a un rigoroso processo forense, noto come catena di custodia, per garantire una gestione e una protezione adeguate contro le manomissioni.

Spesso si fa riferimento alla digital forensics  e alla computer forensics in modo intercambiabile. Tuttavia, la digital forensics implica tecnicamente la raccolta di prove da qualsiasi dispositivo digitale, mentre la computer forensics implica la raccolta di prove specificamente da dispositivi informatici, come computer, tablet, telefoni cellulari e dispositivi con CPU.

La digital forensics and incident response (DFIR) è una disciplina emergente di cybersecurity che integra le attività di computer forensics e di risposta agli incidenti per migliorare le operazioni di cybersecurity. Aiuta ad accelerare la correzione delle minacce informatiche garantendo al contempo che tutte le prove digitali correlate rimangano intatte.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Perché la digital forensics è importante

La digital forensics, o scienza forense digitale, è emersa per la prima volta all'inizio degli anni '80 con l'avvento dei personal computer e ha acquisito importanza negli anni '90.

Tuttavia, è stato solo all'inizio del 21° secolo che paesi come gli Stati Uniti hanno formalizzato le loro politiche di digital forensics. Lo spostamento verso la standardizzazione è derivato dall'aumento dei crimini informatici negli anni 2000 e dal decentramento delle forze dell'ordine a livello nazionale.

Con l'aumento dei reati che coinvolgono dispositivi digitali, sempre più persone sono state coinvolte nel perseguimento di tali reati. Per garantire che le indagini penali trattassero le prove digitali in modo ammissibile in tribunale, sono state introdotte procedure specifiche.

Oggi la digital forensics sta diventando sempre più rilevante. Per capire perché, bisogna considerare l'enorme quantità di dati digitali disponibili praticamente su tutti e tutto.

Poiché la società dipende sempre più dai sistemi informatici e dalle tecnologie di cloud computing, le persone trascorrono sempre più tempo online. Questo cambiamento riguarda un numero crescente di dispositivi, tra cui telefoni mobile, tablet, dispositivi IoT, dispositivi connessi e altro ancora.

Il risultato è una quantità senza precedenti di dati provenienti da diverse fonti e formati. Gli investigatori possono utilizzare queste prove digitali per analizzare e comprendere una gamma crescente di attività criminali, inclusi attacchi informatici, violazioni dei dati e indagini penali e civili.

Inoltre, come tutte le prove, fisiche o digitali, gli investigatori e le forze dell'ordine devono raccoglierle, gestirle, analizzarle e archiviarle correttamente. In caso contrario, i dati potrebbero essere persi, manomessi o resi inammissibili in fase di giudizio.

Gli esperti forensi sono responsabili dell'esecuzione delle indagini di digital forensics e, con l'aumentare della domanda per il settore, aumentano anche le opportunità di lavoro. Il Bureau of Labor Statistics stima che le offerte di lavoro nel settore dell'informatica forense aumenteranno del 31% fino al 2029.

Qual è il processo di indagine di digital forensics?

Il National Institute of Standards and Technology (NIST) delinea quattro fasi del processo di analisi forense digitale. Queste comprendono:

Raccolta dati

Identificare i dispositivi digitali o i supporti di memorizzazione contenenti dati, metadati o altre informazioni digitali rilevanti per l'indagine di digital forensics.

Per i casi penali, le forze dell'ordine sequestrano le prove da una potenziale scena del crimine per garantire una rigorosa catena di custodia.

Per preservare l'integrità delle prove, i team forensi creano un duplicato forense dei dati utilizzando un duplicatore di unità disco rigido o uno strumento di imaging forense.

Dopo il processo di duplicazione, proteggono i dati originali e conducono il resto dell'indagine sulle copie per evitare manomissioni.
Esame

Gli investigatori setacciano i dati e i metadati alla ricerca di segnali di attività criminale informatica.

Gli esaminatori forensi possono recuperare dati digitali da varie fonti, tra cui cronologie dei browser web, registri delle chat, dispositivi di storage remoti e spazi su disco eliminati o accessibili. Possono anche estrarre informazioni dalle cache del sistema operativo e praticamente da qualsiasi altra parte di un sistema computerizzato.
Analisi dei dati

Gli analisti forensi utilizzano diverse metodologie e strumenti forensi digitali per estrarre dati e insight dalle prove digitali.

Ad esempio, per scoprire dati o metadati "nascosti", potrebbero utilizzare tecniche forensi specializzate, come l'analisi in tempo reale, che valuta i sistemi ancora in esecuzione alla ricerca di dati volatili. Potrebbero utilizzare la steganografia inversa, un metodo che mostra i dati nascosti che utilizza la steganografia, che nasconde informazioni sensibili all'interno di messaggi dall'aspetto ordinario.

Gli investigatori possono anche fare riferimento a strumenti proprietari e open source per collegare i risultati ad attori delle minacce specifici.
Reportistica

Una volta terminate le indagini, gli esperti forensi creano un rapporto formale che delinea la loro analisi, incluso cosa è successo e chi potrebbe essere responsabile.

I rapporti variano a seconda dei casi. Per quanto riguarda i crimini informatici, potrebbero avere raccomandazioni per la correzione delle vulnerabilità, al fine di prevenire futuri attacchi informatici. I rapporti sono spesso utilizzati anche per presentare prove digitali in tribunale e vengono condivisi con le forze dell'ordine, gli assicuratori, le autorità di regolamentazione e altre autorità.

Strumenti di digital forensics

Quando la digital forensics è emersa nei primi anni '80, c'erano pochi strumenti formali di digital forensics. La maggior parte dei team forensi si affidava all'analisi dal vivo, una pratica notoriamente complicata che comportava un elevato rischio di manomissione.

Alla fine degli anni '90, la crescente domanda di prove digitali portò allo sviluppo di strumenti più sofisticati come EnCase e forensic toolkit (FTK). Questi strumenti hanno consentito agli analisti forensi di esaminare le copie dei media digitali senza fare affidamento su analisi forensi dal vivo.

Oggi, gli esperti forensi utilizzano un'ampia gamma di strumenti forensi digitali. Questi strumenti possono essere basati su hardware o software e analizzare le origini dati senza manomettere i dati. Esempi comuni includono strumenti di analisi dei file, che estraggono e analizzano singoli file, e strumenti di registro, che raccolgono informazioni da sistemi informatici basati su Windows che catalogano l'attività degli utenti nei registri.

Alcuni fornitori offrono anche strumenti open source dedicati per scopi forensi specifici, con piattaforme commerciali, come Encase e CAINE, che offrono funzioni complete e capacità di reporting. CAINE, in particolare, vanta un'intera distribuzione Linux su misura per le esigenze dei team forensi.

Rami della digital forensics

La digital forensics comprende rami distinti basati sulle diverse fonti di dati forensi.

Alcuni dei rami più popolari della digital forensics includono:

  • Computer forensics (o cyber forensics): combinazione di informatica e legal forensics per raccogliere prove digitali da dispositivi informatici.
  • Mobile device forensics: indagine e valutazione delle prove digitali su smartphone, tablet e altri dispositivi mobili.
  • Database forensics: esame e analisi dei database e dei relativi metadati per scoprire prove di crimini informatici o violazioni dei dati.
  • Network forensics: monitoraggio e analisi dei dati presenti nel traffico di rete informatica, inclusa la navigazione web e le comunicazioni tra dispositivi.
  • File system forensics: esame dei dati trovati in file e cartelle archiviati su dispositivi endpoint come desktop, laptop, telefoni cellulari e server.
  • Memory forensics: analisi dei dati digitali presenti nella RAM di un dispositivo.

DFIR: Digital forensics and incident response

Quando l'informatica forense e la risposta agli incidenti, ovvero il rilevamento e la mitigazione degli attacchi informatici in corso, vengono condotte in modo indipendente, possono finire per interferire tra loro e influire negativamente su un'organizzazione.

I team di risposta agli incidenti possono alterare o distruggere le prove digitali durante la rimozione di una minaccia dalla rete. Gli investigatori forensi, invece, possono ritardare la risoluzione delle minacce per individuarne e raccoglierne le prove.

La digital forensics and incident response, o DFIR, integra la computer forensics e la risposta agli incidenti in un workflow unificato per aiutare i team di sicurezza delle informazioni a combattere le minacce informatiche in modo più efficiente. Allo stesso tempo, garantisce la conservazione delle prove digitali che altrimenti potrebbero andare perdute nell'urgenza della mitigazione delle minacce.

I 2 principali benefici del DFIR includono:

  • La raccolta di dati forensi avviene parallelamente alla mitigazione della minaccia: gli addetti agli incidenti utilizzano tecniche forensi informatiche per raccogliere e conservare i dati mentre contengono ed eliminano la minaccia. Garantiscono che venga seguita la corretta catena di custodia, impedendo che prove preziose vengano alterate o distrutte.
  • Revisione post-incidente, incluso l'esame delle prove digitali: oltre a conservare le prove per azioni legali, i team del DFIR le utilizzano per ricostruire gli incidenti di cybersecurity dall'inizio alla fine. Questo processo li aiuta a determinare cosa è successo, come si è verificato, l'entità del danno e come prevenire attacchi simili in futuro.

Il DFIR può portare a una mitigazione delle minacce più rapida, a un recupero più efficace e a prove più attendibili per svolgere indagini su reati, crimini informatici, richieste di indennizzi assicurativi e altro ancora.

Risorse

Scopri perché KuppingerCole classifica IBM come azienda leader

Il report sulle piattaforme di sicurezza dei dati di KuppingerCole offre indicazioni e consigli per trovare i prodotti per la protezione e la governance dei dati sensibili che meglio soddisfano le esigenze dei clienti.
IBM® X-Force Threat Intelligence Index 2025

Acquisisci gli insight necessari per prevenire e reagire agli attacchi informatici con maggiore velocità ed efficacia con IBM X-Force Threat Intelligence Index.
L'impatto economico totale (TEI) di Guardium Data Protection

Scopri i benefici e il ROI di IBM Security Guardium Data Protection in questo studio TEI di Forrester.
Gartner Market Guide for AI TRiSM

Accedi a questo rapporto di Gartner per scoprire come gestire l'inventario completo dell'AI, proteggere i workload AI con misure di sicurezza, ridurre i rischi e gestire il processo di governance per ottenere l'AI Trust in tutti i casi d'uso dell'AI nella tua organizzazione.
Espandi le tue competenze con tutorial gratuiti sulla sicurezza

Segui passaggi chiari per completare le attività e imparare a utilizzare efficacemente le tecnologie nei tuoi progetti.
Che cos'è la gestione delle identità e degli accessi (IAM)?

La gestione delle identità e degli accessi (IAM) è una branca di cybersecurity che si occupa dell'accesso degli utenti e delle autorizzazioni delle risorse.
Soluzioni correlate
Soluzioni per la sicurezza e la protezione dei dati

Proteggi i dati aziendali in ambienti diversi, rispetta le normative sulla privacy e semplifica le complessità operative.

         Scopri le soluzioni per la sicurezza dei dati
    IBM Guardium

    Scopri IBM Guardium, una famiglia di software di sicurezza dei dati che protegge i dati sensibili on-premise e nel cloud.

     

             Esplora IBM Guardium
      Servizi per la sicurezza dei dati

      IBM offre servizi completi di sicurezza dei dati per proteggere i dati aziendali, le applicazioni e l'AI.

             Scopri i servizi per la sicurezza dei dati
      Fai il passo successivo

      Proteggi i dati della tua organizzazione in tutti i cloud ibridi e semplifica i requisiti di conformità con le soluzioni di sicurezza dei dati.

             Scopri le soluzioni per la sicurezza dei dati Prenota una demo live