Il documento tratta della preparazione aziendale alla gestione di incidenti informatici e data breach in conformità al GDPR, attraverso politiche di forensics readiness e un piano di risposta agli incidenti. Si evidenzia l'importanza di raccogliere e analizzare prove digitali per ridurre i costi e ottimizzare la prontezza dell'organizzazione in caso di attacco. Viene sottolineato che la readiness forense non solo facilita la gestione degli incidenti, ma migliora anche la competitività dell'azienda e riduce i rischi finanziari e reputazionali.

1. +
GDPR & Forensics Readiness
Prepariamo l’Azienda alla gestione e al tracking forense
del data breach e degli incidenti informatici

2. Presentazioni
 Dottore in Scienze dell’Informazione (informatica) mi occupo di Sicurezza Informatica e Digital Forensics da oltre 15 anni
 Iscritto Albo CTU Tribunale di Firenze n. 7519 dal 2003 ,Albo Periti Tribunale di Firenze n. 422 dal 2011
 Iscritto a ruolo Albo Periti ed Esperti CCIAA Firenze n. 1130 dal 2004
 Organizzatore e relatore di convegni sul tema della sicurezza informatica e della computer forensics
 Co Autore per gli aspetti di computer forensics al libro "Internet e il danno alla persona" edito da Giappichelli nel 2012
 Certificato ECCE European Certificate on the fight against Cybercrime and Electronic Evidence (ECCE) 2009
 Lead Auditor ISO27001
 Direttivo ONIF – Osservatorio Nazionale Informatica Forense
 CTS CLUSIT – Comitato Tecnico Scientifico CLUSIT
 Membro IISFA - International Information System Forensics Association
2

3. Data breach e Incidente informatico
Data breach:un incidente di sicurezza in cui dati
sensibili, protetti o riservati vengono acceduti,
consultati, copiati, trasmessi, rubati o utilizzati da
un soggetto non autorizzato.
Incidente informatico: qualsiasi evento che non fa
parte dell’operativita’ standard di un servizio e che
causa, o puo’ causare, un’interruzione e una
riduzione della qualita’ di tale servizio
3

4. GDPR & Notifica Breach:
• Chi ci ha bucato
• Come ci ha bucato
• Quando ci ha bucato
• Da dove è entrato
72 Ore
• Sanitizzare i sistemi
• Ripristinare i dati
• Mettere in sicurezzza dati e applicazioni
Poche ore
• Individuare le fonti di prova
• Raccogliere le evidenze in modalità forense
• Analizzare live il breach
• Analizzare offline le evidenze raccolte
• Individuare una soluzione di sicurezza
Pochissimo
tempo
4

5. Gestire un Breach: Tempo, team e skill
Unità di crisi
Incident Response Team
Sistemisti: dba, win, linux, network,
firewall
Forensics Team
Legal
Comunicazione
HR
Finance
5

6. Forensics, IR, DR e BC: Agevolare e non ostacolare
Security Policy
BC/DR
Forensic
Readiness Policy
Incident
Handling
Processi e
procedure
Per il
funzionamen
to
Servizio di Business
6

7. Forensics Readiness:
Forensics
Readiness Policy
•Obiettivi
•Ruoli e responsabilità
•Implementazione
•Ambito applicazione
•Legislazione
•Training
Forensics
Readiness Plan
•Ruoli e
Responsabilità
•Team Specialisti
(int/ext)
•Risorse
•Economiche
•Apparati e software
•Storage, etc..
•Task Flow
•Testing
•Training & awarnes
Forensics
Readiness
Procedure
•Raccolta evidenze
•Live
•Post mortem
•Network etc..
•Procedure di analisi
•Reporting
•Procedure
Recovering
si definisce «Forensics Readiness» come la attitudine di una
organizzazione a massimizzare il la sua capacità di raccogliere e usare le
digital evidence riducendo al minimo il costo di una indagine fornese
7

8. Forensics Readiness
Passiamo
all’implementazione
in azienda
8

9. FR Passi Operativi
 Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al
business
 Determinare i requisiti tecnici e legali per la raccolta delle evidenze
digitali
 Individuare e definire le risorse necessarie per la raccolta sicura di
evidenze digitali in modo tale da renderle legally-compliant
 Riesamina delle risorse allocate per conservazione protezione delle
mail.
 Stabilire una Policy per la gestione e la conservazione sicura delle
potenziali sorgenti di informazione
 Implementare e assicurarsi che il sistema di monitoraggio sia in
grado di rilevare i principali incidenti
 Definire in quali circostanze si rende necessaria attivare una
investigazione informatica completa
 Formare e sensibilizzare lo staff alle problematiche degli incidenti
per comprendere il loro ruolo nella gestione delle prove in un
contesto di ammissibilità legale
 Documentare i casi reali descrivendo l’incidente e il suo impatto
 Assicurare una review legale delle procedure per agevolare le
azioni di risposta all’incidente
 Definire gli scenari del business aziendale che possono richiedere
evidenze digitali
 Assicurarsi che i contratti gli SLA con in fornitori soddisfino i
requisiti e gli obiettivi dei per la forensics readiness.
9

10. FR, Prendiamo un caso: servizio di E-Commerce
Switch
Reverse Proxy
Router
Application Server
DataBase Server
backoffice
Mailsever
Fornitori- contenuti /
manutentori
programmatori
sistemisti
10
Internet

11. FR – Partiamo con:
1. NTP Server e GMT
2. DNS
3. DHCP
4. Directory Server
5. Sistema gestione log (SIEM)
 Raccolta
 Parsing
 Correlazione
 Analisi Allarme
 Storicizzazione Tamper Proof
11

12. FR – Proseguiamo con
 Disponendo di un sistema di raccolta log possiamo iniziare con i log:
 Router
 Firewalls
 Terminatore VPN
 Switch
 Server: log di sistema operativo
 Log servizi :SAP, CRM, SharePoint, print server, controllo accessi
etc..
E’ sufficiente per rilevare un incidente o un breach?
12

13. Cosa vogliamo sorvegliare:
Da dove possono arrivare le
minacce?
• Internet
• Extranet
• Insider
Come:
• Attacchi diretti a sfruttare
vulnerabilità dei sistemi e applicativi
• Attacchi a forza bruta
• Attacchi DOS
• Attacchi da canali trusted
(connessioni di fornitori
vpn/extranet, interne:sysadmin,
backoffice)
13

14. Abbiamo un SIEM, usiamo la sua potenza!
Raccogliamo anche il log di
• Reverse Proxy
• Application server
• Applicativo in esecuzione sull’AS
• Database audit log (tuned!)
• Antivirus
• Server di posta
E aggiungiamo un pizzico di informazione
• CyberThreats Intellingence (IP, url, username list)
• Emerging Threats IP list
• Bad IP (malicius, compromised, TOR, malware etc.. list)
14

15. SIEM: Correlazione, analisi, allarmi
Utilizzare i log e l’informazione in essa
contenuta per comprende se
• Siamo nel mirino di qualcuno
• C’è un’attività anomala
• C’è una compromissione
• Abbiamo dipendenti e collaboratori infedeli
Tuning SIEM correlation roules & allarm
• Sviluppare
• Testare
• Eliminare falsi positivi
• Mantenere aggiornate
15

16. SIEM: Correlazione, analisi, allarmi
• Track connessioni «legittime» incoming da Bad IP sui log source
• Drop/Reject connessioni incoming da bad IP su FW
• Network scan
• Off Hours internal activity
IoA
Indicator of Attack
• Connessioni outgoing «legittimo» verso Bad IP
• Drop/reject connessioni verso Bad IP
• Multiple failed login from single host
• Multiple login with single username from differente region
• Traffico DNS in uscita
• Errori nei log
• Errori log applicativi
IoC
Indicator of
Compromission
• Profiling utente
• Uso di account e carte «segnalate»
• Bad IP
• Behaviour analysis traffico IP/utenza
Antifrode
16

17. SIEM: Correlazione, analisi, allarmi
Come comunicare
l’allarme
Email
Ticketing
Escalation
SMS
IVR
17

18. FR: oltre i log
BC/DR & Forensics Readiness: le prove
potrebbero essere state archiviate nel tempo
Backup
• Monitoraggio esiti di backup
• Test ripristino a campione
VM Snapshot
• Monitor esiti snapshot
• Test di ripristino
Export DB
• Export istanze db
Capacity Planning Storage
• Log, evidence, retantio
• Esercizio dei sistemi
Software & configuration versioning
18

19. Come scopriamo incident o breach
FR
• Monitoraggio attivo
della sicurezza dei
sistemi
• Per caso
• Clienti e/o Fornitori
Senza FR
• Per caso
• Clienti e/o Fornitori
Tempestività
e Proattività Ormai troppo
tardi
19

20. Scatta l’allarme: incidente grave o data breach
L’unità di
crisi
convoca:
CEO
Team
Forense
HR
Legal
Incident
Response
BC&DR
20

21. FR :Team Forense all’opera
Identificazione del perimetro
coinvolto
Valutazione temporale degli
eventi
Eventuale interruzione delle
attività di manutenzione o
straordinarie sui sistemi
all’interno del perimetro
Avvio dump di rete se agente di
minaccia ancora presente sui
sistemi
Avvio snapshot sistemi
Avvio analisi Live Forensics,
Data Recovery, and eDiscovery
over an IP network
Avvio procedure per recupero
dati log raw da SIEM dei sistemi
nel perimetro del breach
Firma digitale con marca
temporale degli hash di tutte le
evidenze raccolte aquisite
Documentazione continua e
analitica delle operazioni
intraprese
Analisi di
• log,
• snapshot,
• dati live
• per procedere alla ricostruzione degli eventi
che hanno portato al breach: chi, da dove,
come, per quanto tempo e cosa ha fatto:
rubato, modificato, consultato
Ricostruzione temporale e
tecnica di come si è giunti al
breach
21

22. In assenza di Forensics Readintess
Si rileva l’incidente per
caso o per
segnalazione di cliente
o fornitore o peggio..
Dai giornali/internet
Difficoltà a determinare
il perimetro interessato
Impossibile Valutazione
estensione temporale
dell’incidente/breach
Avvio dump di rete se
agente di minaccia
ancora presente sui
sistemi
Copia forense post
mortem dell’accaduto
Firma digitale con
marca temporale degli
hash di tutte le
evidenze raccolte
aquisite
Documentazione
continua e analitica
delle operazioni
intraprese
Analisi delle poche
evidenze disponibili
• dati live
• Copia forense sistemi
Estremamente
complessa la
ricostruzione temporale
e tecnica di come si è
giunti al breach
22

23. FR: modalità avanzata
Per avere una analisi più completa potremmo
aggiungere
IPS/IDS HoneyPot NAC
Wireless Lan
controller
Sistema di
Monitoraggio
del traffico di
rete (MRTG)
Sistema di
analisi del
traffico di rete
(Behaviour
Analysis)
Sistemi di
Integrity
check dei
sistemi e
delle
configurazioni
Url e content
Filtering
23

24. Forensics Readiness: perchè
 Forensics Readiness è incident prevention non Incident response
 Oggi è necessario assumere che un incident accadrà anche se il risk
assessment dice ha probabilità bassa, e Forensics Readiness ci
permette di gestirlo anticipatamente
 Perché Forensics Readiness raccoglie sistematicamente le
informazioni nel tempo, e permette di rilevare situazioni in cui chi vi
minaccia, interno o esterno cercherà di
 Cancellare le prove della sua attività
 Rimanere silente per sfruttare i sistemi
 Permanere per mesi prima di «bruciare» le sue vittime
24

25. Data breach: un fenomeno in crescita
25

26. Forensiscs Readiness ROI
La mancata adozione di forensic
readiness può determinare:
Perdita di business - danni reputazionali
Perdita di incassi - perdita di clienti
Azioni legali - incapacità di soddisfare SLA, azioni
inappropriate, ecc ...
Furto di dati, modifica o distruzione
Incapacità di ripristinare efficacemente l'accesso /
controllo amministrativo
Fermo dei sistemi di erogazione del business
26

27. Forensics Readiness ROI
Forensic readiness
garantisce le aziende di :
Determinare rapidamente il vettore di
attacco
Comprendere e isolare le informazioni
pertinenti, minimizzando le risorse
necessarie
Interrompere tempestivamente gli
accessi abusivi
Contenere i danni e ridurre il tempo
di inattività
Rileva le tendenze nel tempo
Ottenere sconti sui premi assicurativi
27

28. Infine…
«Il futuro dipende da quello che facciamo nel presente»
Mahatma Gandhi
Dott. Alessandro Fiorenzi
Email af@studiofiorenzi.it
Mobile: +393487920172
https://www.studiofiorenzi.it
28