Home

topics

Digital forensics

Cos'è la digital forensics?
Esplora la soluzione di digital forensics di IBM Abbonati per ricevere aggiornamenti in materia di sicurezza
Illustrazione con collage di pittogrammi di nuvole, telefono cellulare, impronta digitale, segno di spunta

Pubblicato: 16 febbraio 2024
Collaboratori: Annie badman, Amber forrest
Cos'è la digital forensics?

La digital forensics è il processo di raccolta e analisi delle prove digitali in modo da mantenerne l'integrità e l'ammissibilità in tribunale.

La digital forensics è un campo della scienza forense. Viene utilizzata per indagare sui crimini informatici, ma può anche aiutare nelle indagini penali e civili. Ad esempio, i team di cybersecurity possono utilizzare la digital forensics per identificare i criminali informatici dietro un attacco malware, mentre le forze dell'ordine possono utilizzarla per analizzare i dati provenienti dai dispositivi di un sospettato di omicidio.

La digital forensics ha ampie applicazioni perché tratta le prove digitali come qualsiasi altra forma di prova. Proprio come i funzionari utilizzano processi specifici per raccogliere le prove fisiche da una scena del crimine, gli investigatori di digital forensics seguono un processo forense rigoroso (noto anche come catena di custodia) quando trattano le prove digitali per evitare la manomissione.

Spesso si fa riferimento alla digital forensics  e alla computer forensics in modo intercambiabile. Tuttavia, la digital forensics implica tecnicamente la raccolta di prove da qualsiasi dispositivo digitale, mentre la computer forensics implica la raccolta di prove specificamente da dispositivi informatici, come computer, tablet, telefoni cellulari e dispositivi con CPU.

La digital forensics and incident response (DFIR) è una disciplina emergente di cybersecurity che integra le attività di computer forensics e di risposta agli incidenti per accelerare la correzione delle minacce informatiche garantendo al contempo che le relative prove digitali non siano compromesse.
Perché la digital forensics è importante

La digital forensics, o scienza forense digitale, è emersa per la prima volta all'inizio degli anni '80 con l'avvento dei personal computer e ha acquisito importanza negli anni '90.

Tuttavia, è stato solo all'inizio del 21° secolo che paesi come gli Stati Uniti hanno formalizzato le loro politiche di digital forensics. Lo spostamento verso la standardizzazione è derivato dall'aumento dei crimini informatici negli anni 2000 e dalla decentralizzazione a livello nazionale delle forze dell'ordine. 

Con l’aumento dei crimini che coinvolgono i dispositivi digitali – e un numero sempre maggiore di individui coinvolti nel perseguire tali crimini – i funzionari avevano bisogno di procedure per garantire che le indagini penali trattassero le prove digitali in un modo che fosse ammissibile in un tribunale.

Oggi la digital forensics sta diventando sempre più rilevante. Per capire perché, bisogna considerare l'enorme quantità di dati digitali disponibili praticamente su tutti e tutto.

Poiché la società continua a fare sempre più affidamento sui sistemi informatici e sulle tecnologie di cloud computing, le persone continuano a trascorrere gran parte della propria vita online su un numero sempre crescente di dispositivi, inclusi telefoni cellulari, tablet, dispositivi IoT, dispositivi connessi e altro ancora.

Il risultato è una maggiore quantità di dati, provenienti da più fonti e in più formati che mai, che gli investigatori possono utilizzare come prove digitali per analizzare e comprendere una gamma crescente di attività criminali, inclusi attacchi informatici, violazioni dei dati e indagini penali e civili. 

Inoltre, come tutte le prove, fisiche o digitali, gli investigatori e le forze dell'ordine devono raccoglierle, gestirle, analizzarle e archiviarle correttamente. In caso contrario, i dati potrebbero essere persi, manomessi o resi inammissibili in fase di giudizio.

Gli esperti forensi sono responsabili dell'esecuzione delle indagini di digital forensics e, con l'aumentare della domanda per il settore, aumentano anche le opportunità di lavoro. Il Bureau of Labor Statistics stima che le offerte di lavoro di computer forensics aumenteranno del 31% fino al 2029 (link esterno a ibm.com).
Qual è il processo di indagine di digital forensics?

Il National Institute of Standards and Technology (NIST) (link esterno a ibm.com) delinea quattro fasi del processo di analisi di digital forensics.

Queste comprendono:
Raccolta dati

Identificare i dispositivi digitali o i supporti di memorizzazione contenenti dati, metadati o altre informazioni digitali rilevanti per l'indagine di digital forensics.

Per i casi penali, le forze dell'ordine sequestreranno le prove da una potenziale scena del crimine per garantire una rigorosa catena di custodia.

Per preservare l'integrità delle prove, i team forensi creano un duplicato forense dei dati utilizzando un duplicatore di dischi rigidi o uno strumento di imaging forense.

Dopo il processo di duplicazione, proteggono i dati originali e conducono il resto dell'indagine sulle copie per evitare manomissioni.
Esame

Gli investigatori setacciano i dati e i metadati alla ricerca di segnali di attività criminale informatica. 

Gli esaminatori forensi possono recuperare dati digitali da varie fonti, tra cui cronologie di browser web, registri di chat, dispositivi di storage remoti, spazio cancellato, spazi su disco accessibili, cache del sistema operativo e praticamente qualsiasi altra parte di un sistema computerizzato.
Analisi dei dati

Gli analisti forensi utilizzano diverse metodologie e strumenti forensi digitali per estrarre dati e insight dalle prove digitali.

Ad esempio, per scoprire dati o metadati "nascosti", potrebbero utilizzare tecniche forensi specializzate, come l'analisi in tempo reale, che valuta i sistemi ancora in esecuzione per i dati volatili, o la steganografia inversa, che espone i dati nascosti utilizzando la steganografia (un metodo per nascondere informazioni sensibili all'interno di messaggi dall'aspetto ordinario).

Gli investigatori possono anche fare riferimento a strumenti proprietari e open source per collegare i risultati ad attori di minacce specifici.
Reportistica

Una volta terminate le indagini, gli esperti forensi creano un rapporto formale che delinea la loro analisi, incluso cosa è successo e chi potrebbe essere responsabile. 

I rapporti variano a seconda dei casi. Per quanto riguarda i crimini informatici, potrebbero avere raccomandazioni per la correzione delle vulnerabilità, al fine di prevenire futuri attacchi informatici. I rapporti sono spesso utilizzati anche per presentare prove digitali in tribunale e vengono condivisi con le forze dell'ordine, gli assicuratori, le autorità di regolamentazione e altre autorità. 
Strumenti di digital forensics

Quando la digital forensics è emersa nei primi anni '80, c'erano pochi strumenti formali di digital forensics. La maggior parte dei team forensi si affidava all'analisi dal vivo, una pratica notoriamente complicata che comportava un elevato rischio di manomissione.

Alla fine degli anni '90, l'aumento della domanda di prove digitali ha spinto lo sviluppo di strumenti più sofisticati come EnCase e FTK, che hanno permesso agli analisti forensi di esaminare copie di media digitali senza ricorrere a indagini forensi dal vivo.

Oggi, gli esperti forensi utilizzano un'ampia gamma di strumenti forensi digitali. Questi strumenti possono essere basati su hardware o software e analizzare le origini dati senza manomettere i dati. Esempi comuni includono strumenti di analisi dei file, che estraggono e analizzano singoli file, e strumenti di registro, che raccolgono informazioni da sistemi informatici basati su Windows che catalogano l'attività degli utenti nei registri.

Alcuni fornitori offrono anche strumenti open source dedicati per scopi forensi specifici, con piattaforme commerciali, come Encase e CAINE, che offrono funzioni complete e capacità di reporting. CAINE, in particolare, vanta un'intera distribuzione Linux su misura per le esigenze dei team forensi.
Rami della digital forensics

La digital forensics comprende rami distinti basati sulle diverse fonti di dati forensi.

Alcuni dei rami più popolari della digital forensics includono:

  • Computer forensics (o cyber forensics): combinazione di informatica e legal forensics per raccogliere prove digitali da dispositivi informatici.
  • Mobile device forensics: indagine e valutazione delle prove digitali su smartphone, tablet e altri dispositivi mobili.
  • Database forensics: esame e analisi dei database e dei relativi metadati per scoprire prove di crimini informatici o violazioni dei dati.
  • Network forensics: monitoraggio e analisi dei dati presenti nel traffico di rete informatica, inclusa la navigazione web e le comunicazioni tra dispositivi.
  • File system forensics: esame dei dati trovati in file e cartelle archiviati su dispositivi endpoint come desktop, laptop, telefoni cellulari e server.
  • Memory forensics: analisi dei dati digitali presenti nella RAM di un dispositivo.
DFIR: Digital forensics and incident response

Quando l'informatica forense e la risposta agli incidenti, ovvero il rilevamento e la mitigazione degli attacchi informatici in corso, vengono condotte in modo indipendente, possono finire per interferire tra loro e influire negativamente su un'organizzazione. 

I team di risposta agli incidenti possono alterare o distruggere le prove digitali durante la rimozione di una minaccia dalla rete. Gli investigatori forensi, invece, possono ritardare la risoluzione delle minacce per individuarne e raccoglierne le prove.

La disciplina dell'informatica forense digitale e della risposta agli incidenti, o DFIR (Digital forensics and incident response), combina le tecniche di computer forensics e di risposta agli incidenti in un workflow integrato che può aiutare i team di sicurezza a bloccare più rapidamente le minacce informatiche, preservando al contempo le prove digitali che potrebbero andare perse nell'urgenza di mitigare tali minacce.

I 2 principali benefici del DFIR includono:

  • La raccolta forense dei dati avviene parallelamente alla mitigazione delle minacce: gli specialisti utilizzano tecniche forensi informatiche per raccogliere e conservare i dati durante la fase di contenimento e di sradicamento della minaccia, e garantiscono allo stesso tempo che sia seguita la corretta catena di custodia e che prove preziose non vengano alterate o distrutte.
     
  • La disamina post-incidente include l'esame di prove digitali: oltre a conservare le prove per eventuali azioni legali, i team DFIR le utilizzano per ricostruire gli incidenti di sicurezza informatica dall’inizio alla fine, per scoprire cosa è successo, come è successo, l’entità del danno e come sia possibile evitare attacchi simili.

Il DFIR può portare a una mitigazione delle minacce più rapida, a un recupero più efficace e a prove più attendibili per svolgere indagini su reati, crimini informatici, richieste di indennizzi assicurativi e altro ancora.
Soluzioni correlate
Soluzioni di rilevamento e risposta alle minacce

Ottieni un miglioramento fino al 55% dell'analisi e della classificazione degli avvisi grazie alle innovazioni di IBM1.

 Esplora le soluzioni di rilevamento e risposta alle minacce
Risorse Che cos'è il DFIR (digital forensics and incident response)?

Il DFIR combina due campi distinti della sicurezza informatica per semplificare la risposta alle minacce e preservare le prove contro i criminali informatici.

 Cos’è l’informatica forense?

La computer forensics prevede la raccolta di prove digitali da dispositivi informatici per garantirne l'ammissibilità in tribunale.
Fai il passo successivo

I servizi di cybersecurity di IBM offrono servizi di consulenza, integrazione e gestione della sicurezza per sviluppare capacità offensive e difensive. Combiniamo un team globale di esperti con la tecnologia proprietaria e dei partner per creare insieme programmi di sicurezza su misura in grado di gestire i rischi.

 Scopri i servizi di sicurezza informatica Iscriviti alla newsletter Think