Guida alla Forensics Readiness in azienda, ovvero preparare l'azienda alla gestione e al tracking forense del data breach e degli incidenti informatici riducendo costi e aumentando efficacia. Forensics Readiness è uno strumento per la tutela aziendale, per poter agire in sede giudiziaria e nei confonti delle compagnie assicurative per documentare e dettagliare il "sinistro" informatico
I controlli e le indagini informatiche in azienda nell'era del job act. I requisiti, le modalità e cosa può essere oggetto di una indagine informatica forense in azienda
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Vincoli e opportunità introdotte dal Jobs Act nello sviluppo delle indagini informatiche sugli strumenti aziendali: computer, smartphone. Esaminiamo 5 casi reali di indagini informatiche in azienda a tutela della parte datoriale
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
I controlli e le indagini informatiche in azienda nell'era del job act. I requisiti, le modalità e cosa può essere oggetto di una indagine informatica forense in azienda
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Vincoli e opportunità introdotte dal Jobs Act nello sviluppo delle indagini informatiche sugli strumenti aziendali: computer, smartphone. Esaminiamo 5 casi reali di indagini informatiche in azienda a tutela della parte datoriale
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica su Blindspotter, l’ultima soluzione di Contextual Security Intelligence del nostro partner BalaBit.
I punti trattati durante la presentazione sono:
- Il ciclo di vita della sicurezza IT
- Il concetto di Contextual Security Intelligence
- Le fonti alla base del contesto: Log Collection e Privileged Activity Monitoring
- Dalle fonti all'intelligence: Contextual Security Intelligence Platform
- Blindspotter in action
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/identificare-gli-attacchi-di-nuova-generazione-mediante-l-analisi-del-comportamento-degli-utenti
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica su Blindspotter, l’ultima soluzione di Contextual Security Intelligence del nostro partner BalaBit.
I punti trattati durante la presentazione sono:
- Il ciclo di vita della sicurezza IT
- Il concetto di Contextual Security Intelligence
- Le fonti alla base del contesto: Log Collection e Privileged Activity Monitoring
- Dalle fonti all'intelligence: Contextual Security Intelligence Platform
- Blindspotter in action
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/identificare-gli-attacchi-di-nuova-generazione-mediante-l-analisi-del-comportamento-degli-utenti
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
Sentinet3 is a Unified Proactivo monitoring solution that enables a complete IT Infrastructure control.
With Sentinet3 an IT administrator will be able to do a System, Network, Application, Cybesecurity ad Environmental monitoring with only one solution.
It's selling model in a unlimited and perpetual licences makes Sentinet3 a cost effective solution with a low TCO.
Sentinet3 strong points are:
1) Easy to Use
2) Opend to open source world
3) Easy deploy
4) Cross platform monitoring
5) Easy to customize
6) Selling mode
7) Fast and effective customer service
8) Made in italy
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
Presentazione tenuta all'ICT Security Forum 2013 concernente le minacce ai dati sensibili aziendali e alcune possibili strategie di protezione che cercano di superare i limiti delle soluzioni tecnologiche ormai consolidate.
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
GDPR Day Web Learning: Rischio Data Breachadriana franca
Con la definitiva entrata in vigore del GDPR, non solo le sanzioni per la non conformità si sono inasprite, ma vi è l’obbligo di notifica del cosiddetto data breach all’Autorità Garante entro le 72 ore dalla scoperta. Una violazione dei dati personali comporta anche costi “secondari” – quali le spese legali, la perdita di clienti, il danno reputazionale conseguente ad una cattiva pubblicità – che devono essere presi in considerazione ancor più seriamente in quanto potrebbero letteralmente paralizzare l’attività di un’azienda. Ma guardando il bicchiere con gli occhi dell’ottimista, possiamo renderci conto che la nuova normativa sulla data protection offre altresì una straordinaria opportunità per rafforzare la sicurezza aziendale nel suo complesso e proteggere in modo ancor più efficace l’intero asset di una compagnia.
Una corretta ed adeguata strategia di cybersecurity si basa su tre pilastri fondamentali: processi, tecnologie e persone. Ma troppo spesso le aziende si focalizzano principalmente sui primi due – i processi e le tecnologie – e trascurano il terzo – le persone.
Nel corso del webinar abbiamo parlato di quanto sia invece importante trovare il giusto equilibro tra questi tre elementi, evidenziando l’importanza del fattore umano se considerato come estrema linea difensiva per la sicurezza e per la protezione dei dati personali. E vedremo come alcune semplici misure preventive possano rendere la tua strategia di sicurezza estremamente robusta e a prova di data breach… e di GDPR.
Presentazione del sistema di conservazione elettronica scelto dal CST-BergamoSergio Primo Del Bello
Intervento del dr. Baudino, RA Computers SIA Group, al workshop sulla "Conservazione sostitutiva" organizzato dalla Provincia di Bergamo e ANAI Lombardia.
Nembro, 14 maggio 2013
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
Similar to GDPR & Forensics Readiness -Italiano (20)
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
GDPR & Forensics Readiness -Italiano
1. +
GDPR & Forensics Readiness
Prepariamo l’Azienda alla gestione e al tracking forense
del data breach e degli incidenti informatici
2. Presentazioni
Dottore in Scienze dell’Informazione (informatica) mi occupo di Sicurezza Informatica e Digital Forensics da oltre 15 anni
Iscritto Albo CTU Tribunale di Firenze n. 7519 dal 2003 ,Albo Periti Tribunale di Firenze n. 422 dal 2011
Iscritto a ruolo Albo Periti ed Esperti CCIAA Firenze n. 1130 dal 2004
Organizzatore e relatore di convegni sul tema della sicurezza informatica e della computer forensics
Co Autore per gli aspetti di computer forensics al libro "Internet e il danno alla persona" edito da Giappichelli nel 2012
Certificato ECCE European Certificate on the fight against Cybercrime and Electronic Evidence (ECCE) 2009
Lead Auditor ISO27001
Direttivo ONIF – Osservatorio Nazionale Informatica Forense
CTS CLUSIT – Comitato Tecnico Scientifico CLUSIT
Membro IISFA - International Information System Forensics Association
2
3. Data breach e Incidente informatico
Data breach:un incidente di sicurezza in cui dati
sensibili, protetti o riservati vengono acceduti,
consultati, copiati, trasmessi, rubati o utilizzati da
un soggetto non autorizzato.
Incidente informatico: qualsiasi evento che non fa
parte dell’operativita’ standard di un servizio e che
causa, o puo’ causare, un’interruzione e una
riduzione della qualita’ di tale servizio
3
4. GDPR & Notifica Breach:
• Chi ci ha bucato
• Come ci ha bucato
• Quando ci ha bucato
• Da dove è entrato
72 Ore
• Sanitizzare i sistemi
• Ripristinare i dati
• Mettere in sicurezzza dati e applicazioni
Poche ore
• Individuare le fonti di prova
• Raccogliere le evidenze in modalità forense
• Analizzare live il breach
• Analizzare offline le evidenze raccolte
• Individuare una soluzione di sicurezza
Pochissimo
tempo
4
5. Gestire un Breach: Tempo, team e skill
Unità di crisi
Incident Response Team
Sistemisti: dba, win, linux, network,
firewall
Forensics Team
Legal
Comunicazione
HR
Finance
5
6. Forensics, IR, DR e BC: Agevolare e non ostacolare
Security Policy
BC/DR
Forensic
Readiness Policy
Incident
Handling
Processi e
procedure
Per il
funzionamen
to
Servizio di Business
6
7. Forensics Readiness:
Forensics
Readiness Policy
•Obiettivi
•Ruoli e responsabilità
•Implementazione
•Ambito applicazione
•Legislazione
•Training
Forensics
Readiness Plan
•Ruoli e
Responsabilità
•Team Specialisti
(int/ext)
•Risorse
•Economiche
•Apparati e software
•Storage, etc..
•Task Flow
•Testing
•Training & awarnes
Forensics
Readiness
Procedure
•Raccolta evidenze
•Live
•Post mortem
•Network etc..
•Procedure di analisi
•Reporting
•Procedure
Recovering
si definisce «Forensics Readiness» come la attitudine di una
organizzazione a massimizzare il la sua capacità di raccogliere e usare le
digital evidence riducendo al minimo il costo di una indagine fornese
7
9. FR Passi Operativi
Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al
business
Determinare i requisiti tecnici e legali per la raccolta delle evidenze
digitali
Individuare e definire le risorse necessarie per la raccolta sicura di
evidenze digitali in modo tale da renderle legally-compliant
Riesamina delle risorse allocate per conservazione protezione delle
mail.
Stabilire una Policy per la gestione e la conservazione sicura delle
potenziali sorgenti di informazione
Implementare e assicurarsi che il sistema di monitoraggio sia in
grado di rilevare i principali incidenti
Definire in quali circostanze si rende necessaria attivare una
investigazione informatica completa
Formare e sensibilizzare lo staff alle problematiche degli incidenti
per comprendere il loro ruolo nella gestione delle prove in un
contesto di ammissibilità legale
Documentare i casi reali descrivendo l’incidente e il suo impatto
Assicurare una review legale delle procedure per agevolare le
azioni di risposta all’incidente
Definire gli scenari del business aziendale che possono richiedere
evidenze digitali
Assicurarsi che i contratti gli SLA con in fornitori soddisfino i
requisiti e gli obiettivi dei per la forensics readiness.
9
10. FR, Prendiamo un caso: servizio di E-Commerce
Switch
Reverse Proxy
Router
Application Server
DataBase Server
backoffice
Mailsever
Fornitori- contenuti /
manutentori
programmatori
sistemisti
10
Internet
11. FR – Partiamo con:
1. NTP Server e GMT
2. DNS
3. DHCP
4. Directory Server
5. Sistema gestione log (SIEM)
Raccolta
Parsing
Correlazione
Analisi Allarme
Storicizzazione Tamper Proof
11
12. FR – Proseguiamo con
Disponendo di un sistema di raccolta log possiamo iniziare con i log:
Router
Firewalls
Terminatore VPN
Switch
Server: log di sistema operativo
Log servizi :SAP, CRM, SharePoint, print server, controllo accessi
etc..
E’ sufficiente per rilevare un incidente o un breach?
12
13. Cosa vogliamo sorvegliare:
Da dove possono arrivare le
minacce?
• Internet
• Extranet
• Insider
Come:
• Attacchi diretti a sfruttare
vulnerabilità dei sistemi e applicativi
• Attacchi a forza bruta
• Attacchi DOS
• Attacchi da canali trusted
(connessioni di fornitori
vpn/extranet, interne:sysadmin,
backoffice)
13
14. Abbiamo un SIEM, usiamo la sua potenza!
Raccogliamo anche il log di
• Reverse Proxy
• Application server
• Applicativo in esecuzione sull’AS
• Database audit log (tuned!)
• Antivirus
• Server di posta
E aggiungiamo un pizzico di informazione
• CyberThreats Intellingence (IP, url, username list)
• Emerging Threats IP list
• Bad IP (malicius, compromised, TOR, malware etc.. list)
14
15. SIEM: Correlazione, analisi, allarmi
Utilizzare i log e l’informazione in essa
contenuta per comprende se
• Siamo nel mirino di qualcuno
• C’è un’attività anomala
• C’è una compromissione
• Abbiamo dipendenti e collaboratori infedeli
Tuning SIEM correlation roules & allarm
• Sviluppare
• Testare
• Eliminare falsi positivi
• Mantenere aggiornate
15
16. SIEM: Correlazione, analisi, allarmi
• Track connessioni «legittime» incoming da Bad IP sui log source
• Drop/Reject connessioni incoming da bad IP su FW
• Network scan
• Off Hours internal activity
IoA
Indicator of Attack
• Connessioni outgoing «legittimo» verso Bad IP
• Drop/reject connessioni verso Bad IP
• Multiple failed login from single host
• Multiple login with single username from differente region
• Traffico DNS in uscita
• Errori nei log
• Errori log applicativi
IoC
Indicator of
Compromission
• Profiling utente
• Uso di account e carte «segnalate»
• Bad IP
• Behaviour analysis traffico IP/utenza
Antifrode
16
18. FR: oltre i log
BC/DR & Forensics Readiness: le prove
potrebbero essere state archiviate nel tempo
Backup
• Monitoraggio esiti di backup
• Test ripristino a campione
VM Snapshot
• Monitor esiti snapshot
• Test di ripristino
Export DB
• Export istanze db
Capacity Planning Storage
• Log, evidence, retantio
• Esercizio dei sistemi
Software & configuration versioning
18
19. Come scopriamo incident o breach
FR
• Monitoraggio attivo
della sicurezza dei
sistemi
• Per caso
• Clienti e/o Fornitori
Senza FR
• Per caso
• Clienti e/o Fornitori
Tempestività
e Proattività Ormai troppo
tardi
19
20. Scatta l’allarme: incidente grave o data breach
L’unità di
crisi
convoca:
CEO
Team
Forense
HR
Legal
Incident
Response
BC&DR
20
21. FR :Team Forense all’opera
Identificazione del perimetro
coinvolto
Valutazione temporale degli
eventi
Eventuale interruzione delle
attività di manutenzione o
straordinarie sui sistemi
all’interno del perimetro
Avvio dump di rete se agente di
minaccia ancora presente sui
sistemi
Avvio snapshot sistemi
Avvio analisi Live Forensics,
Data Recovery, and eDiscovery
over an IP network
Avvio procedure per recupero
dati log raw da SIEM dei sistemi
nel perimetro del breach
Firma digitale con marca
temporale degli hash di tutte le
evidenze raccolte aquisite
Documentazione continua e
analitica delle operazioni
intraprese
Analisi di
• log,
• snapshot,
• dati live
• per procedere alla ricostruzione degli eventi
che hanno portato al breach: chi, da dove,
come, per quanto tempo e cosa ha fatto:
rubato, modificato, consultato
Ricostruzione temporale e
tecnica di come si è giunti al
breach
21
22. In assenza di Forensics Readintess
Si rileva l’incidente per
caso o per
segnalazione di cliente
o fornitore o peggio..
Dai giornali/internet
Difficoltà a determinare
il perimetro interessato
Impossibile Valutazione
estensione temporale
dell’incidente/breach
Avvio dump di rete se
agente di minaccia
ancora presente sui
sistemi
Copia forense post
mortem dell’accaduto
Firma digitale con
marca temporale degli
hash di tutte le
evidenze raccolte
aquisite
Documentazione
continua e analitica
delle operazioni
intraprese
Analisi delle poche
evidenze disponibili
• dati live
• Copia forense sistemi
Estremamente
complessa la
ricostruzione temporale
e tecnica di come si è
giunti al breach
22
23. FR: modalità avanzata
Per avere una analisi più completa potremmo
aggiungere
IPS/IDS HoneyPot NAC
Wireless Lan
controller
Sistema di
Monitoraggio
del traffico di
rete (MRTG)
Sistema di
analisi del
traffico di rete
(Behaviour
Analysis)
Sistemi di
Integrity
check dei
sistemi e
delle
configurazioni
Url e content
Filtering
23
24. Forensics Readiness: perchè
Forensics Readiness è incident prevention non Incident response
Oggi è necessario assumere che un incident accadrà anche se il risk
assessment dice ha probabilità bassa, e Forensics Readiness ci
permette di gestirlo anticipatamente
Perché Forensics Readiness raccoglie sistematicamente le
informazioni nel tempo, e permette di rilevare situazioni in cui chi vi
minaccia, interno o esterno cercherà di
Cancellare le prove della sua attività
Rimanere silente per sfruttare i sistemi
Permanere per mesi prima di «bruciare» le sue vittime
24
26. Forensiscs Readiness ROI
La mancata adozione di forensic
readiness può determinare:
Perdita di business - danni reputazionali
Perdita di incassi - perdita di clienti
Azioni legali - incapacità di soddisfare SLA, azioni
inappropriate, ecc ...
Furto di dati, modifica o distruzione
Incapacità di ripristinare efficacemente l'accesso /
controllo amministrativo
Fermo dei sistemi di erogazione del business
26
27. Forensics Readiness ROI
Forensic readiness
garantisce le aziende di :
Determinare rapidamente il vettore di
attacco
Comprendere e isolare le informazioni
pertinenti, minimizzando le risorse
necessarie
Interrompere tempestivamente gli
accessi abusivi
Contenere i danni e ridurre il tempo
di inattività
Rileva le tendenze nel tempo
Ottenere sconti sui premi assicurativi
27
28. Infine…
«Il futuro dipende da quello che facciamo nel presente»
Mahatma Gandhi
Dott. Alessandro Fiorenzi
Email af@studiofiorenzi.it
Mobile: +393487920172
https://www.studiofiorenzi.it
28