SlideShare a Scribd company logo

GDPR & Forensics Readiness -Italiano

Studio Fiorenzi Security & Forensics
Studio Fiorenzi Security & Forensics

Guida alla Forensics Readiness in azienda, ovvero preparare l'azienda alla gestione e al tracking forense del data breach e degli incidenti informatici riducendo costi e aumentando efficacia. Forensics Readiness è uno strumento per la tutela aziendale, per poter agire in sede giudiziaria e nei confonti delle compagnie assicurative per documentare e dettagliare il "sinistro" informatico

Technology
1 of 28
Download to read offline
+ GDPR & Forensics Readiness Prepariamo l’Azienda alla gestione e al tracking forense del data breach e degli incidenti informatici
Presentazioni  Dottore in Scienze dell’Informazione (informatica) mi occupo di Sicurezza Informatica e Digital Forensics da oltre 15 anni  Iscritto Albo CTU Tribunale di Firenze n. 7519 dal 2003 ,Albo Periti Tribunale di Firenze n. 422 dal 2011  Iscritto a ruolo Albo Periti ed Esperti CCIAA Firenze n. 1130 dal 2004  Organizzatore e relatore di convegni sul tema della sicurezza informatica e della computer forensics  Co Autore per gli aspetti di computer forensics al libro "Internet e il danno alla persona" edito da Giappichelli nel 2012  Certificato ECCE European Certificate on the fight against Cybercrime and Electronic Evidence (ECCE) 2009  Lead Auditor ISO27001  Direttivo ONIF – Osservatorio Nazionale Informatica Forense  CTS CLUSIT – Comitato Tecnico Scientifico CLUSIT  Membro IISFA - International Information System Forensics Association 2
Data breach e Incidente informatico Data breach:un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono acceduti, consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Incidente informatico: qualsiasi evento che non fa parte dell’operativita’ standard di un servizio e che causa, o puo’ causare, un’interruzione e una riduzione della qualita’ di tale servizio 3
GDPR & Notifica Breach: • Chi ci ha bucato • Come ci ha bucato • Quando ci ha bucato • Da dove è entrato 72 Ore • Sanitizzare i sistemi • Ripristinare i dati • Mettere in sicurezzza dati e applicazioni Poche ore • Individuare le fonti di prova • Raccogliere le evidenze in modalità forense • Analizzare live il breach • Analizzare offline le evidenze raccolte • Individuare una soluzione di sicurezza Pochissimo tempo 4
Gestire un Breach: Tempo, team e skill Unità di crisi Incident Response Team Sistemisti: dba, win, linux, network, firewall Forensics Team Legal Comunicazione HR Finance 5
Forensics, IR, DR e BC: Agevolare e non ostacolare Security Policy BC/DR Forensic Readiness Policy Incident Handling Processi e procedure Per il funzionamen to Servizio di Business 6
Forensics Readiness: Forensics Readiness Policy •Obiettivi •Ruoli e responsabilità •Implementazione •Ambito applicazione •Legislazione •Training Forensics Readiness Plan •Ruoli e Responsabilità •Team Specialisti (int/ext) •Risorse •Economiche •Apparati e software •Storage, etc.. •Task Flow •Testing •Training & awarnes Forensics Readiness Procedure •Raccolta evidenze •Live •Post mortem •Network etc.. •Procedure di analisi •Reporting •Procedure Recovering si definisce «Forensics Readiness» come la attitudine di una organizzazione a massimizzare il la sua capacità di raccogliere e usare le digital evidence riducendo al minimo il costo di una indagine fornese 7
Forensics Readiness Passiamo all’implementazione in azienda 8
FR Passi Operativi  Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business  Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali  Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant  Riesamina delle risorse allocate per conservazione protezione delle mail.  Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione  Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti  Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa  Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale  Documentare i casi reali descrivendo l’incidente e il suo impatto  Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente  Definire gli scenari del business aziendale che possono richiedere evidenze digitali  Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness. 9
FR, Prendiamo un caso: servizio di E-Commerce Switch Reverse Proxy Router Application Server DataBase Server backoffice Mailsever Fornitori- contenuti / manutentori programmatori sistemisti 10 Internet
FR – Partiamo con: 1. NTP Server e GMT 2. DNS 3. DHCP 4. Directory Server 5. Sistema gestione log (SIEM)  Raccolta  Parsing  Correlazione  Analisi Allarme  Storicizzazione Tamper Proof 11
FR – Proseguiamo con  Disponendo di un sistema di raccolta log possiamo iniziare con i log:  Router  Firewalls  Terminatore VPN  Switch  Server: log di sistema operativo  Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc.. E’ sufficiente per rilevare un incidente o un breach? 12
Cosa vogliamo sorvegliare: Da dove possono arrivare le minacce? • Internet • Extranet • Insider Come: • Attacchi diretti a sfruttare vulnerabilità dei sistemi e applicativi • Attacchi a forza bruta • Attacchi DOS • Attacchi da canali trusted (connessioni di fornitori vpn/extranet, interne:sysadmin, backoffice) 13
Abbiamo un SIEM, usiamo la sua potenza! Raccogliamo anche il log di • Reverse Proxy • Application server • Applicativo in esecuzione sull’AS • Database audit log (tuned!) • Antivirus • Server di posta E aggiungiamo un pizzico di informazione • CyberThreats Intellingence (IP, url, username list) • Emerging Threats IP list • Bad IP (malicius, compromised, TOR, malware etc.. list) 14
SIEM: Correlazione, analisi, allarmi Utilizzare i log e l’informazione in essa contenuta per comprende se • Siamo nel mirino di qualcuno • C’è un’attività anomala • C’è una compromissione • Abbiamo dipendenti e collaboratori infedeli Tuning SIEM correlation roules & allarm • Sviluppare • Testare • Eliminare falsi positivi • Mantenere aggiornate 15
SIEM: Correlazione, analisi, allarmi • Track connessioni «legittime» incoming da Bad IP sui log source • Drop/Reject connessioni incoming da bad IP su FW • Network scan • Off Hours internal activity IoA Indicator of Attack • Connessioni outgoing «legittimo» verso Bad IP • Drop/reject connessioni verso Bad IP • Multiple failed login from single host • Multiple login with single username from differente region • Traffico DNS in uscita • Errori nei log • Errori log applicativi IoC Indicator of Compromission • Profiling utente • Uso di account e carte «segnalate» • Bad IP • Behaviour analysis traffico IP/utenza Antifrode 16
SIEM: Correlazione, analisi, allarmi Come comunicare l’allarme Email Ticketing Escalation SMS IVR 17
FR: oltre i log BC/DR & Forensics Readiness: le prove potrebbero essere state archiviate nel tempo Backup • Monitoraggio esiti di backup • Test ripristino a campione VM Snapshot • Monitor esiti snapshot • Test di ripristino Export DB • Export istanze db Capacity Planning Storage • Log, evidence, retantio • Esercizio dei sistemi Software & configuration versioning 18
Come scopriamo incident o breach FR • Monitoraggio attivo della sicurezza dei sistemi • Per caso • Clienti e/o Fornitori Senza FR • Per caso • Clienti e/o Fornitori Tempestività e Proattività Ormai troppo tardi 19
Scatta l’allarme: incidente grave o data breach L’unità di crisi convoca: CEO Team Forense HR Legal Incident Response BC&DR 20
FR :Team Forense all’opera Identificazione del perimetro coinvolto Valutazione temporale degli eventi Eventuale interruzione delle attività di manutenzione o straordinarie sui sistemi all’interno del perimetro Avvio dump di rete se agente di minaccia ancora presente sui sistemi Avvio snapshot sistemi Avvio analisi Live Forensics, Data Recovery, and eDiscovery over an IP network Avvio procedure per recupero dati log raw da SIEM dei sistemi nel perimetro del breach Firma digitale con marca temporale degli hash di tutte le evidenze raccolte aquisite Documentazione continua e analitica delle operazioni intraprese Analisi di • log, • snapshot, • dati live • per procedere alla ricostruzione degli eventi che hanno portato al breach: chi, da dove, come, per quanto tempo e cosa ha fatto: rubato, modificato, consultato Ricostruzione temporale e tecnica di come si è giunti al breach 21
In assenza di Forensics Readintess Si rileva l’incidente per caso o per segnalazione di cliente o fornitore o peggio.. Dai giornali/internet Difficoltà a determinare il perimetro interessato Impossibile Valutazione estensione temporale dell’incidente/breach Avvio dump di rete se agente di minaccia ancora presente sui sistemi Copia forense post mortem dell’accaduto Firma digitale con marca temporale degli hash di tutte le evidenze raccolte aquisite Documentazione continua e analitica delle operazioni intraprese Analisi delle poche evidenze disponibili • dati live • Copia forense sistemi Estremamente complessa la ricostruzione temporale e tecnica di come si è giunti al breach 22
FR: modalità avanzata Per avere una analisi più completa potremmo aggiungere IPS/IDS HoneyPot NAC Wireless Lan controller Sistema di Monitoraggio del traffico di rete (MRTG) Sistema di analisi del traffico di rete (Behaviour Analysis) Sistemi di Integrity check dei sistemi e delle configurazioni Url e content Filtering 23
Forensics Readiness: perchè  Forensics Readiness è incident prevention non Incident response  Oggi è necessario assumere che un incident accadrà anche se il risk assessment dice ha probabilità bassa, e Forensics Readiness ci permette di gestirlo anticipatamente  Perché Forensics Readiness raccoglie sistematicamente le informazioni nel tempo, e permette di rilevare situazioni in cui chi vi minaccia, interno o esterno cercherà di  Cancellare le prove della sua attività  Rimanere silente per sfruttare i sistemi  Permanere per mesi prima di «bruciare» le sue vittime 24
Data breach: un fenomeno in crescita 25
Forensiscs Readiness ROI La mancata adozione di forensic readiness può determinare: Perdita di business - danni reputazionali Perdita di incassi - perdita di clienti Azioni legali - incapacità di soddisfare SLA, azioni inappropriate, ecc ... Furto di dati, modifica o distruzione Incapacità di ripristinare efficacemente l'accesso / controllo amministrativo Fermo dei sistemi di erogazione del business 26
Forensics Readiness ROI Forensic readiness garantisce le aziende di : Determinare rapidamente il vettore di attacco Comprendere e isolare le informazioni pertinenti, minimizzando le risorse necessarie Interrompere tempestivamente gli accessi abusivi Contenere i danni e ridurre il tempo di inattività Rileva le tendenze nel tempo Ottenere sconti sui premi assicurativi 27
Infine… «Il futuro dipende da quello che facciamo nel presente» Mahatma Gandhi Dott. Alessandro Fiorenzi Email af@studiofiorenzi.it Mobile: +393487920172 https://www.studiofiorenzi.it 28

Recommended

Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job ActProve Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Studio Fiorenzi Security & Forensics
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Maurizio Taglioretti
 
Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013
Pasquale Lopriore
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
Prove digitali, Privacy e poteri di controllo in azienda
Prove digitali, Privacy e poteri di controllo in aziendaProve digitali, Privacy e poteri di controllo in azienda
Prove digitali, Privacy e poteri di controllo in azienda
Studio Fiorenzi Security & Forensics
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
M2 Informatica
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
Par-Tec S.p.A.
 

Recommended

Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job ActProve Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Studio Fiorenzi Security & Forensics
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Maurizio Taglioretti
 
Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013
Pasquale Lopriore
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
Prove digitali, Privacy e poteri di controllo in azienda
Prove digitali, Privacy e poteri di controllo in aziendaProve digitali, Privacy e poteri di controllo in azienda
Prove digitali, Privacy e poteri di controllo in azienda
Studio Fiorenzi Security & Forensics
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
M2 Informatica
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
Par-Tec S.p.A.
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
M2 Informatica
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
CentoCinquanta srl
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
Par-Tec S.p.A.
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
Alessio Farina
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
M2 Informatica
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4Confimpresa
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
EuroPrivacy
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
EuroPrivacy
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
M2 Informatica
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Par-Tec S.p.A.
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentation
Georg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG Gaming
Splunk
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 

More Related Content

What's hot

GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
M2 Informatica
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
CentoCinquanta srl
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
Par-Tec S.p.A.
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
Alessio Farina
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
M2 Informatica
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4Confimpresa
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
EuroPrivacy
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
EuroPrivacy
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
M2 Informatica
 

What's hot (16)

GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 

Similar to GDPR & Forensics Readiness -Italiano

GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Par-Tec S.p.A.
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentation
Georg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG Gaming
Splunk
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
 
Smau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSmau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo Novario
SMAU
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0
Antonio Capobianco
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
acaporro
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
Giulio Coraggio
 
Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...
Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...
Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...
Walter Volpi
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
adriana franca
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information Gathering
Salvatore Lentini
 
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
ciii_inginf
 
Presentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-BergamoPresentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Sergio Primo Del Bello
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
 

Similar to GDPR & Forensics Readiness -Italiano (20)

GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentation
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG Gaming
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Smau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSmau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo Novario
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...
Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...
Università degli studi di Siena – Sede di Arezzo Dipartimento di Teoria e d...
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information Gathering
 
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
 
Presentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-BergamoPresentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 

GDPR & Forensics Readiness -Italiano

  • 1. + GDPR & Forensics Readiness Prepariamo l’Azienda alla gestione e al tracking forense del data breach e degli incidenti informatici
  • 2. Presentazioni  Dottore in Scienze dell’Informazione (informatica) mi occupo di Sicurezza Informatica e Digital Forensics da oltre 15 anni  Iscritto Albo CTU Tribunale di Firenze n. 7519 dal 2003 ,Albo Periti Tribunale di Firenze n. 422 dal 2011  Iscritto a ruolo Albo Periti ed Esperti CCIAA Firenze n. 1130 dal 2004  Organizzatore e relatore di convegni sul tema della sicurezza informatica e della computer forensics  Co Autore per gli aspetti di computer forensics al libro "Internet e il danno alla persona" edito da Giappichelli nel 2012  Certificato ECCE European Certificate on the fight against Cybercrime and Electronic Evidence (ECCE) 2009  Lead Auditor ISO27001  Direttivo ONIF – Osservatorio Nazionale Informatica Forense  CTS CLUSIT – Comitato Tecnico Scientifico CLUSIT  Membro IISFA - International Information System Forensics Association 2
  • 3. Data breach e Incidente informatico Data breach:un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono acceduti, consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Incidente informatico: qualsiasi evento che non fa parte dell’operativita’ standard di un servizio e che causa, o puo’ causare, un’interruzione e una riduzione della qualita’ di tale servizio 3
  • 4. GDPR & Notifica Breach: • Chi ci ha bucato • Come ci ha bucato • Quando ci ha bucato • Da dove è entrato 72 Ore • Sanitizzare i sistemi • Ripristinare i dati • Mettere in sicurezzza dati e applicazioni Poche ore • Individuare le fonti di prova • Raccogliere le evidenze in modalità forense • Analizzare live il breach • Analizzare offline le evidenze raccolte • Individuare una soluzione di sicurezza Pochissimo tempo 4
  • 5. Gestire un Breach: Tempo, team e skill Unità di crisi Incident Response Team Sistemisti: dba, win, linux, network, firewall Forensics Team Legal Comunicazione HR Finance 5
  • 6. Forensics, IR, DR e BC: Agevolare e non ostacolare Security Policy BC/DR Forensic Readiness Policy Incident Handling Processi e procedure Per il funzionamen to Servizio di Business 6
  • 7. Forensics Readiness: Forensics Readiness Policy •Obiettivi •Ruoli e responsabilità •Implementazione •Ambito applicazione •Legislazione •Training Forensics Readiness Plan •Ruoli e Responsabilità •Team Specialisti (int/ext) •Risorse •Economiche •Apparati e software •Storage, etc.. •Task Flow •Testing •Training & awarnes Forensics Readiness Procedure •Raccolta evidenze •Live •Post mortem •Network etc.. •Procedure di analisi •Reporting •Procedure Recovering si definisce «Forensics Readiness» come la attitudine di una organizzazione a massimizzare il la sua capacità di raccogliere e usare le digital evidence riducendo al minimo il costo di una indagine fornese 7
  • 9. FR Passi Operativi  Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business  Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali  Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant  Riesamina delle risorse allocate per conservazione protezione delle mail.  Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione  Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti  Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa  Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale  Documentare i casi reali descrivendo l’incidente e il suo impatto  Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente  Definire gli scenari del business aziendale che possono richiedere evidenze digitali  Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness. 9
  • 10. FR, Prendiamo un caso: servizio di E-Commerce Switch Reverse Proxy Router Application Server DataBase Server backoffice Mailsever Fornitori- contenuti / manutentori programmatori sistemisti 10 Internet
  • 11. FR – Partiamo con: 1. NTP Server e GMT 2. DNS 3. DHCP 4. Directory Server 5. Sistema gestione log (SIEM)  Raccolta  Parsing  Correlazione  Analisi Allarme  Storicizzazione Tamper Proof 11
  • 12. FR – Proseguiamo con  Disponendo di un sistema di raccolta log possiamo iniziare con i log:  Router  Firewalls  Terminatore VPN  Switch  Server: log di sistema operativo  Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc.. E’ sufficiente per rilevare un incidente o un breach? 12
  • 13. Cosa vogliamo sorvegliare: Da dove possono arrivare le minacce? • Internet • Extranet • Insider Come: • Attacchi diretti a sfruttare vulnerabilità dei sistemi e applicativi • Attacchi a forza bruta • Attacchi DOS • Attacchi da canali trusted (connessioni di fornitori vpn/extranet, interne:sysadmin, backoffice) 13
  • 14. Abbiamo un SIEM, usiamo la sua potenza! Raccogliamo anche il log di • Reverse Proxy • Application server • Applicativo in esecuzione sull’AS • Database audit log (tuned!) • Antivirus • Server di posta E aggiungiamo un pizzico di informazione • CyberThreats Intellingence (IP, url, username list) • Emerging Threats IP list • Bad IP (malicius, compromised, TOR, malware etc.. list) 14
  • 15. SIEM: Correlazione, analisi, allarmi Utilizzare i log e l’informazione in essa contenuta per comprende se • Siamo nel mirino di qualcuno • C’è un’attività anomala • C’è una compromissione • Abbiamo dipendenti e collaboratori infedeli Tuning SIEM correlation roules & allarm • Sviluppare • Testare • Eliminare falsi positivi • Mantenere aggiornate 15
  • 16. SIEM: Correlazione, analisi, allarmi • Track connessioni «legittime» incoming da Bad IP sui log source • Drop/Reject connessioni incoming da bad IP su FW • Network scan • Off Hours internal activity IoA Indicator of Attack • Connessioni outgoing «legittimo» verso Bad IP • Drop/reject connessioni verso Bad IP • Multiple failed login from single host • Multiple login with single username from differente region • Traffico DNS in uscita • Errori nei log • Errori log applicativi IoC Indicator of Compromission • Profiling utente • Uso di account e carte «segnalate» • Bad IP • Behaviour analysis traffico IP/utenza Antifrode 16
  • 17. SIEM: Correlazione, analisi, allarmi Come comunicare l’allarme Email Ticketing Escalation SMS IVR 17
  • 18. FR: oltre i log BC/DR & Forensics Readiness: le prove potrebbero essere state archiviate nel tempo Backup • Monitoraggio esiti di backup • Test ripristino a campione VM Snapshot • Monitor esiti snapshot • Test di ripristino Export DB • Export istanze db Capacity Planning Storage • Log, evidence, retantio • Esercizio dei sistemi Software & configuration versioning 18
  • 19. Come scopriamo incident o breach FR • Monitoraggio attivo della sicurezza dei sistemi • Per caso • Clienti e/o Fornitori Senza FR • Per caso • Clienti e/o Fornitori Tempestività e Proattività Ormai troppo tardi 19
  • 20. Scatta l’allarme: incidente grave o data breach L’unità di crisi convoca: CEO Team Forense HR Legal Incident Response BC&DR 20
  • 21. FR :Team Forense all’opera Identificazione del perimetro coinvolto Valutazione temporale degli eventi Eventuale interruzione delle attività di manutenzione o straordinarie sui sistemi all’interno del perimetro Avvio dump di rete se agente di minaccia ancora presente sui sistemi Avvio snapshot sistemi Avvio analisi Live Forensics, Data Recovery, and eDiscovery over an IP network Avvio procedure per recupero dati log raw da SIEM dei sistemi nel perimetro del breach Firma digitale con marca temporale degli hash di tutte le evidenze raccolte aquisite Documentazione continua e analitica delle operazioni intraprese Analisi di • log, • snapshot, • dati live • per procedere alla ricostruzione degli eventi che hanno portato al breach: chi, da dove, come, per quanto tempo e cosa ha fatto: rubato, modificato, consultato Ricostruzione temporale e tecnica di come si è giunti al breach 21
  • 22. In assenza di Forensics Readintess Si rileva l’incidente per caso o per segnalazione di cliente o fornitore o peggio.. Dai giornali/internet Difficoltà a determinare il perimetro interessato Impossibile Valutazione estensione temporale dell’incidente/breach Avvio dump di rete se agente di minaccia ancora presente sui sistemi Copia forense post mortem dell’accaduto Firma digitale con marca temporale degli hash di tutte le evidenze raccolte aquisite Documentazione continua e analitica delle operazioni intraprese Analisi delle poche evidenze disponibili • dati live • Copia forense sistemi Estremamente complessa la ricostruzione temporale e tecnica di come si è giunti al breach 22
  • 23. FR: modalità avanzata Per avere una analisi più completa potremmo aggiungere IPS/IDS HoneyPot NAC Wireless Lan controller Sistema di Monitoraggio del traffico di rete (MRTG) Sistema di analisi del traffico di rete (Behaviour Analysis) Sistemi di Integrity check dei sistemi e delle configurazioni Url e content Filtering 23
  • 24. Forensics Readiness: perchè  Forensics Readiness è incident prevention non Incident response  Oggi è necessario assumere che un incident accadrà anche se il risk assessment dice ha probabilità bassa, e Forensics Readiness ci permette di gestirlo anticipatamente  Perché Forensics Readiness raccoglie sistematicamente le informazioni nel tempo, e permette di rilevare situazioni in cui chi vi minaccia, interno o esterno cercherà di  Cancellare le prove della sua attività  Rimanere silente per sfruttare i sistemi  Permanere per mesi prima di «bruciare» le sue vittime 24
  • 25. Data breach: un fenomeno in crescita 25
  • 26. Forensiscs Readiness ROI La mancata adozione di forensic readiness può determinare: Perdita di business - danni reputazionali Perdita di incassi - perdita di clienti Azioni legali - incapacità di soddisfare SLA, azioni inappropriate, ecc ... Furto di dati, modifica o distruzione Incapacità di ripristinare efficacemente l'accesso / controllo amministrativo Fermo dei sistemi di erogazione del business 26
  • 27. Forensics Readiness ROI Forensic readiness garantisce le aziende di : Determinare rapidamente il vettore di attacco Comprendere e isolare le informazioni pertinenti, minimizzando le risorse necessarie Interrompere tempestivamente gli accessi abusivi Contenere i danni e ridurre il tempo di inattività Rileva le tendenze nel tempo Ottenere sconti sui premi assicurativi 27
  • 28. Infine… «Il futuro dipende da quello che facciamo nel presente» Mahatma Gandhi Dott. Alessandro Fiorenzi Email af@studiofiorenzi.it Mobile: +393487920172 https://www.studiofiorenzi.it 28