Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR & Forensics Readiness -Italiano

1,102 views

Published on

Guida alla Forensics Readiness in azienda, ovvero preparare l'azienda alla gestione e al tracking forense del data breach e degli incidenti informatici riducendo costi e aumentando efficacia. Forensics Readiness è uno strumento per la tutela aziendale, per poter agire in sede giudiziaria e nei confonti delle compagnie assicurative per documentare e dettagliare il "sinistro" informatico

Published in: Technology
  • Be the first to comment

GDPR & Forensics Readiness -Italiano

  1. 1. + GDPR & Forensics Readiness Prepariamo l’Azienda alla gestione e al tracking forense del data breach e degli incidenti informatici
  2. 2. Presentazioni  Dottore in Scienze dell’Informazione (informatica) mi occupo di Sicurezza Informatica e Digital Forensics da oltre 15 anni  Iscritto Albo CTU Tribunale di Firenze n. 7519 dal 2003 ,Albo Periti Tribunale di Firenze n. 422 dal 2011  Iscritto a ruolo Albo Periti ed Esperti CCIAA Firenze n. 1130 dal 2004  Organizzatore e relatore di convegni sul tema della sicurezza informatica e della computer forensics  Co Autore per gli aspetti di computer forensics al libro "Internet e il danno alla persona" edito da Giappichelli nel 2012  Certificato ECCE European Certificate on the fight against Cybercrime and Electronic Evidence (ECCE) 2009  Lead Auditor ISO27001  Direttivo ONIF – Osservatorio Nazionale Informatica Forense  CTS CLUSIT – Comitato Tecnico Scientifico CLUSIT  Membro IISFA - International Information System Forensics Association 2
  3. 3. Data breach e Incidente informatico Data breach:un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono acceduti, consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Incidente informatico: qualsiasi evento che non fa parte dell’operativita’ standard di un servizio e che causa, o puo’ causare, un’interruzione e una riduzione della qualita’ di tale servizio 3
  4. 4. GDPR & Notifica Breach: • Chi ci ha bucato • Come ci ha bucato • Quando ci ha bucato • Da dove è entrato 72 Ore • Sanitizzare i sistemi • Ripristinare i dati • Mettere in sicurezzza dati e applicazioni Poche ore • Individuare le fonti di prova • Raccogliere le evidenze in modalità forense • Analizzare live il breach • Analizzare offline le evidenze raccolte • Individuare una soluzione di sicurezza Pochissimo tempo 4
  5. 5. Gestire un Breach: Tempo, team e skill Unità di crisi Incident Response Team Sistemisti: dba, win, linux, network, firewall Forensics Team Legal Comunicazione HR Finance 5
  6. 6. Forensics, IR, DR e BC: Agevolare e non ostacolare Security Policy BC/DR Forensic Readiness Policy Incident Handling Processi e procedure Per il funzionamen to Servizio di Business 6
  7. 7. Forensics Readiness: Forensics Readiness Policy •Obiettivi •Ruoli e responsabilità •Implementazione •Ambito applicazione •Legislazione •Training Forensics Readiness Plan •Ruoli e Responsabilità •Team Specialisti (int/ext) •Risorse •Economiche •Apparati e software •Storage, etc.. •Task Flow •Testing •Training & awarnes Forensics Readiness Procedure •Raccolta evidenze •Live •Post mortem •Network etc.. •Procedure di analisi •Reporting •Procedure Recovering si definisce «Forensics Readiness» come la attitudine di una organizzazione a massimizzare il la sua capacità di raccogliere e usare le digital evidence riducendo al minimo il costo di una indagine fornese 7
  8. 8. Forensics Readiness Passiamo all’implementazione in azienda 8
  9. 9. FR Passi Operativi  Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business  Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali  Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant  Riesamina delle risorse allocate per conservazione protezione delle mail.  Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione  Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti  Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa  Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale  Documentare i casi reali descrivendo l’incidente e il suo impatto  Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente  Definire gli scenari del business aziendale che possono richiedere evidenze digitali  Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness. 9
  10. 10. FR, Prendiamo un caso: servizio di E-Commerce Switch Reverse Proxy Router Application Server DataBase Server backoffice Mailsever Fornitori- contenuti / manutentori programmatori sistemisti 10 Internet
  11. 11. FR – Partiamo con: 1. NTP Server e GMT 2. DNS 3. DHCP 4. Directory Server 5. Sistema gestione log (SIEM)  Raccolta  Parsing  Correlazione  Analisi Allarme  Storicizzazione Tamper Proof 11
  12. 12. FR – Proseguiamo con  Disponendo di un sistema di raccolta log possiamo iniziare con i log:  Router  Firewalls  Terminatore VPN  Switch  Server: log di sistema operativo  Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc.. E’ sufficiente per rilevare un incidente o un breach? 12
  13. 13. Cosa vogliamo sorvegliare: Da dove possono arrivare le minacce? • Internet • Extranet • Insider Come: • Attacchi diretti a sfruttare vulnerabilità dei sistemi e applicativi • Attacchi a forza bruta • Attacchi DOS • Attacchi da canali trusted (connessioni di fornitori vpn/extranet, interne:sysadmin, backoffice) 13
  14. 14. Abbiamo un SIEM, usiamo la sua potenza! Raccogliamo anche il log di • Reverse Proxy • Application server • Applicativo in esecuzione sull’AS • Database audit log (tuned!) • Antivirus • Server di posta E aggiungiamo un pizzico di informazione • CyberThreats Intellingence (IP, url, username list) • Emerging Threats IP list • Bad IP (malicius, compromised, TOR, malware etc.. list) 14
  15. 15. SIEM: Correlazione, analisi, allarmi Utilizzare i log e l’informazione in essa contenuta per comprende se • Siamo nel mirino di qualcuno • C’è un’attività anomala • C’è una compromissione • Abbiamo dipendenti e collaboratori infedeli Tuning SIEM correlation roules & allarm • Sviluppare • Testare • Eliminare falsi positivi • Mantenere aggiornate 15
  16. 16. SIEM: Correlazione, analisi, allarmi • Track connessioni «legittime» incoming da Bad IP sui log source • Drop/Reject connessioni incoming da bad IP su FW • Network scan • Off Hours internal activity IoA Indicator of Attack • Connessioni outgoing «legittimo» verso Bad IP • Drop/reject connessioni verso Bad IP • Multiple failed login from single host • Multiple login with single username from differente region • Traffico DNS in uscita • Errori nei log • Errori log applicativi IoC Indicator of Compromission • Profiling utente • Uso di account e carte «segnalate» • Bad IP • Behaviour analysis traffico IP/utenza Antifrode 16
  17. 17. SIEM: Correlazione, analisi, allarmi Come comunicare l’allarme Email Ticketing Escalation SMS IVR 17
  18. 18. FR: oltre i log BC/DR & Forensics Readiness: le prove potrebbero essere state archiviate nel tempo Backup • Monitoraggio esiti di backup • Test ripristino a campione VM Snapshot • Monitor esiti snapshot • Test di ripristino Export DB • Export istanze db Capacity Planning Storage • Log, evidence, retantio • Esercizio dei sistemi Software & configuration versioning 18
  19. 19. Come scopriamo incident o breach FR • Monitoraggio attivo della sicurezza dei sistemi • Per caso • Clienti e/o Fornitori Senza FR • Per caso • Clienti e/o Fornitori Tempestività e Proattività Ormai troppo tardi 19
  20. 20. Scatta l’allarme: incidente grave o data breach L’unità di crisi convoca: CEO Team Forense HR Legal Incident Response BC&DR 20
  21. 21. FR :Team Forense all’opera Identificazione del perimetro coinvolto Valutazione temporale degli eventi Eventuale interruzione delle attività di manutenzione o straordinarie sui sistemi all’interno del perimetro Avvio dump di rete se agente di minaccia ancora presente sui sistemi Avvio snapshot sistemi Avvio analisi Live Forensics, Data Recovery, and eDiscovery over an IP network Avvio procedure per recupero dati log raw da SIEM dei sistemi nel perimetro del breach Firma digitale con marca temporale degli hash di tutte le evidenze raccolte aquisite Documentazione continua e analitica delle operazioni intraprese Analisi di • log, • snapshot, • dati live • per procedere alla ricostruzione degli eventi che hanno portato al breach: chi, da dove, come, per quanto tempo e cosa ha fatto: rubato, modificato, consultato Ricostruzione temporale e tecnica di come si è giunti al breach 21
  22. 22. In assenza di Forensics Readintess Si rileva l’incidente per caso o per segnalazione di cliente o fornitore o peggio.. Dai giornali/internet Difficoltà a determinare il perimetro interessato Impossibile Valutazione estensione temporale dell’incidente/breach Avvio dump di rete se agente di minaccia ancora presente sui sistemi Copia forense post mortem dell’accaduto Firma digitale con marca temporale degli hash di tutte le evidenze raccolte aquisite Documentazione continua e analitica delle operazioni intraprese Analisi delle poche evidenze disponibili • dati live • Copia forense sistemi Estremamente complessa la ricostruzione temporale e tecnica di come si è giunti al breach 22
  23. 23. FR: modalità avanzata Per avere una analisi più completa potremmo aggiungere IPS/IDS HoneyPot NAC Wireless Lan controller Sistema di Monitoraggio del traffico di rete (MRTG) Sistema di analisi del traffico di rete (Behaviour Analysis) Sistemi di Integrity check dei sistemi e delle configurazioni Url e content Filtering 23
  24. 24. Forensics Readiness: perchè  Forensics Readiness è incident prevention non Incident response  Oggi è necessario assumere che un incident accadrà anche se il risk assessment dice ha probabilità bassa, e Forensics Readiness ci permette di gestirlo anticipatamente  Perché Forensics Readiness raccoglie sistematicamente le informazioni nel tempo, e permette di rilevare situazioni in cui chi vi minaccia, interno o esterno cercherà di  Cancellare le prove della sua attività  Rimanere silente per sfruttare i sistemi  Permanere per mesi prima di «bruciare» le sue vittime 24
  25. 25. Data breach: un fenomeno in crescita 25
  26. 26. Forensiscs Readiness ROI La mancata adozione di forensic readiness può determinare: Perdita di business - danni reputazionali Perdita di incassi - perdita di clienti Azioni legali - incapacità di soddisfare SLA, azioni inappropriate, ecc ... Furto di dati, modifica o distruzione Incapacità di ripristinare efficacemente l'accesso / controllo amministrativo Fermo dei sistemi di erogazione del business 26
  27. 27. Forensics Readiness ROI Forensic readiness garantisce le aziende di : Determinare rapidamente il vettore di attacco Comprendere e isolare le informazioni pertinenti, minimizzando le risorse necessarie Interrompere tempestivamente gli accessi abusivi Contenere i danni e ridurre il tempo di inattività Rileva le tendenze nel tempo Ottenere sconti sui premi assicurativi 27
  28. 28. Infine… «Il futuro dipende da quello che facciamo nel presente» Mahatma Gandhi Dott. Alessandro Fiorenzi Email af@studiofiorenzi.it Mobile: +393487920172 https://www.studiofiorenzi.it 28

×