Informatica Forense dal punto di vista di Manager e figure ... · Informatica Forense dal punto di...
Transcript of Informatica Forense dal punto di vista di Manager e figure ... · Informatica Forense dal punto di...
1Soluzioni e sicurezza per applicazioni mobile e payments
Informatica Forensedal punto di vista di
Manager e figureapicali
Pietro Brunati
Venezia, 27 settembre 2013
2
Soluzioni e sicurezza perapplicazioni mobile e payments
Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all’avanguardia nello studio e nella speri-mentazione di nuove tecnologie nell’ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica – con la gestione dei servizi POS e di Commercio Elettronico – e del Corporate Banking a supporto delle imprese.
SPONSOR DELL’EVENTO
Sponsor e sostenitori di ISACA VENICE Chapter
Con il patrocinio di
3
Pietro Brunati
Informatico dalla fine degli anni ’70, Pietro Brunati da 15 anni si dedica a indagini digitali, informatica forense, hacking etico.
Opera come consulente su progetti innovativi di Threat Assessment e sicurezza IT in generale.
Dedica a questi temi molto tempo per ricerca e sperimentazione.
4
Informatica Forensedal punto di vista di
Manager e figure apicali
Spesso si considera l'Informatica Forenseun argomento da film, o limitato a casi eclatanti.
Dimostreremo quanto sia utile anche nella normale gestione e tutela aziendale.
5
Sommario
● Cos'è l'Informatica Forense● Vantaggi dell'Informatica Forense (Digital
Forensics) per le aziende● Da cosa protegge (Threat Modeling)● Contributi a Business Continuity, Policy
Compliance, Risk Mitigation● Digital Forensics in pratica● Come organizzare un team interno flessibile ed
efficace.
6
Cos'è Informatica Forense
Identificazione, acquisizione, investigazione, documentazione utilizzabile anche in processi giuridici, di prove provenienti da sistemi digitali.
Chiavi di ricerca:● Digital Forensics● Computer Forensics: sistemi con CPU e memoria● Network Forensics: comunicazioni volatili● Anti-forensics: utile a privacy e Plausible Deniability
7
Cos'è una Prova Digitale( Digital Evidence )
● Un'informazione probatoria originata in forma digitale, ...
● … di cui autenticità e integrità sono verificabili in qualsiasi momento, ...
● … che quindi è utilizzabile in un processo giuridico.
8
Documenti digitali vs. cartacei (IMHO)
● Fisicità
● Percezione
● Conservazione
● Anonimato
● Inalterabilità
9
Vantaggi
L’Informatica Forense è fondamentale sui fronti organizzativo e giuridico per :✔ Organizzare una risposta sostenibile agli
incidenti informatici e alle frodi interne✔ Condurre indagini preliminari senza
inquinamento delle prove✔ Valutare se e cosa approfondire✔ Produrre prove non opponibili in sede giudiziale✔ Provare l'esistenza anche dei dati volatili
10
Vantaggi
Sul fronte organizzativo il Digital Forensics aiuta a sviluppare policy di audit
per assistere l'organizzazione nell'identificare e rispondere alle violazioni prima che sfocino in
costi legali e di immagine.
11
Da cosa protegge?( Threat Modeling )
I sistemi informatici sono elementi sempre più critici e comportano investimenti che vanno protetti.
Nel passaggio da cartaceo a digitale, le informazioni perdono i limiti della fisicità e possono essere esportate sempre più facilmente.
Minacce dirette come aziende concorrenti, singoli malintenzionati o organizzazioni criminali, (ex-)dipendenti, investigatori e semplici curiosi, tutti possono arrecare danno all'azienda utilizzando i suoi stessi dati.
Minacce indirette come malware, cancellazioni accidentali, problemi hardware, possono danneggiare l'azienda.
12
Business Continuity
● Nell’Incident Handling, la priorità è ripristinare la normalità il più rapidamente possibile ignorando generalmente l’Informatica Forense;
● Ignorando le procedure «forensics», gli addetti possono inquinare o distruggere le prove dell’incidente o perdere informazioni critiche;
● Tale eventualità fa perdere definitivamente all’organizzazione l’opportunità di rivalsa e recupero dei danni sofferti, nonché quella di approfondire l'accaduto a posteriori.
13
Policy compliance
● Impostare e/o perfezionare le Policy aziendali tenendo conto degli aspetti tecno-legali;
● Evitare di compromettere eventuali prove digitali di violazioni colpose, rilevate da verifiche dell’efficacia delle policy;
● Identificare il vero responsabile delle violazioni evidenziando l’accaduto in modo profondo e inconfutabile.
14
Risk mitigation
● Monitorare il rispetto delle policy sull’uso delle risorse aziendali ...
● … identificando e documentando rapidamente le violazioni in modo non opponibile, …
● ... permettendo così di agire in anticipo invece che a valle degli incidenti.
15
Digital Forensics: di cosa?
● Computer Forensics: computer di ogni tipo: client, server, tablet, embedded, apparati di rete, …Tecniche diverse a seconda di computer accesi o spenti.
● Mobile Forensics: smartphone, tablet 3G, feature-phone, ...
● Network Forensics: traffico di rete (volatile).● Apparati: navigatori satellitari, GPS, apparati vari.● IT Security/Operations: Data Base, honeypots,
malware, ...
16
Digital Forensics in pratica: come?
1) Pre-forensics (*): forensics a scopo investigativo, opzionale e propedeutico, utile per decidere e organizzare le fasi successive senza lasciare tracce né alterare prove.
2) Identificazione e documentazione della catena di custodia e della “catena di evidenza” (*).
3) Aquisizione “certificata”, ripetibile o non ripetibile.
4) Analisi: documentazione (1° liv.), ricerca (2° liv.), investigazione (3° liv.).
5) Reporting: preliminare informale, poi eventualmente non opponibile in sede giudiziale.
18
Tutela aziendale - un esempio reale:Funzionario infedele in Filiale
● Pre-forensics, per valutazione preliminare del caso:– verifica presenza di prove di illecito, valutazioni;
– contestazione ufficiale (*);
– confessione o acquisizione prove;
– transazione o procedimento.
● Digital Forensics, per acquisizione prove digitali:– Identificazione.
– Aquisizione.
– Analisi (dimostrazioni, ricerche, investigazioni).
– Reporting.
19
Come organizzare un team internoflessibile ed efficace.
● Team interno è solo di riferimento, senza risorse dedicate (eventualmente inquadrato nel CSIRT, se presente).
● Il team è tipicamente coordinato da Internal Audit o IT Security, e può coinvolgere referenti o specialisti di altre funzioni aziendali.
● Affiancato da esperti esterni di fiducia per formazione/aggiornamento e, al bisogno, per aspetti operativi.
● Interviene in operazioni “di emergenza”: con tecnici formati sulle procedure di base e sull'uso degli appositi strumenti hardware/software.
● Delega all'esterno: se e quando necessario, per compiti onerosi o specialistici.
● Usufruisce di formazione ed aggiornamento periodico opportunamente pianificati.
20
Conclusioni
● In caso di incidente, Digital Forensics aiuta a identificare ed acquisire le prove digitali senza alterarle o comprometterle.
● Nella normale gestione, Digital Forensics contribuisce a rendere più solido il processo di salvaguardia degli asset aziendali.