Il DFIR integra due discipline distinte della sicurezza informatica: Digital forensics, l'indagine sulle minacce informatiche, principalmente per raccogliere le prove digitali da utilizzare nelle cause contro i criminali informatici; e incident response, l'individuazione e la riduzione degli attacchi informatici in corso. Combinando queste due discipline, il DFIR aiuta i team di sicurezza a bloccare le minacce più velocemente, preservando le prove che altrimenti potrebbero andare perse nell'urgenza della mitigazione delle minacce.
La digital forensics indaga e ricostruisce gli incidenti di sicurezza informatica raccogliendo, analizzando e conservando le prove digitali, ovvero le tracce lasciate dagli attori delle minacce, come i file malware e gli script dannosi. Queste ricostruzioni consentono agli investigatori di individuare le cause degli attacchi e di identificare i colpevoli.
Le indagini forensi digitali seguono una rigorosa catena di custodia, ovvero un processo formale per tracciare le modalità di raccolta e gestione delle prove. La catena di custodia consente agli investigatori di dimostrare che la prova non è stata manomessa. Di conseguenza, le prove derivanti dalle indagini di digital forensics possono essere utilizzate per scopi ufficiali come cause giudiziarie, richieste di risarcimento assicurativo e audit normativi.
Il NIST (National Institute of Standards and Technology) (PDF, 2,7 MB) (link esterno a ibm.com) delinea quattro passaggi per le indagini forensi digitali:
Dopo una violazione, gli investigatori forensi raccolgono i dati dai sistemi operativi, dagli account utente, dai dispositivi mobili e da qualsiasi altra risorsa hardware e software a cui gli attori delle minacce possano aver avuto accesso. Le fonti comuni dei dati forensi includono:
- File system forense: Dati trovati in file e cartelle memorizzati sugli endpoint.
- Memoria forense: Dati trovati nella RAM di un dispositivo (RAM).
- Rete forense: Dati trovati esaminando l'attività di rete come la navigazione web e le comunicazioni tra dispositivi
- Applicazioni forensi: Dati trovati nei log di app e altri software.
Per preservare l'integrità delle prove, gli investigatori effettuano copie dei dati prima di elaborarli. Gli originali vengono messi al sicuro in modo che non possano essere alterati, mentre il resto dell'indagine viene svolto sulle copie.
Gli investigatori setacciano i dati alla ricerca di segni di attività informatica criminale, come e-mail di phishing, file alterati e connessioni sospette.
Gli investigatori utilizzano tecniche forensi per elaborare, correlare ed estrarre insight dalle prove digitali. Gli investigatori possono anche fare riferimento a feed di threat intelligence proprietari e open-source per collegare le loro scoperte a specifici attori delle minacce.
Gli investigatori compilano un report che spiega cosa è successo durante l'evento di sicurezza e, se possibile, identifica i sospetti o i colpevoli. Il report potrebbe contenere raccomandazioni per sventare attacchi futuri. Può essere condiviso con le forze dell'ordine, gli assicuratori, i regolatori e altre autorità.
La Risposta agli incidenti si concentra sul rilevamento e la risposta alle violazioni di sicurezza. L'obiettivo della risposta agli incidenti è quello di prevenire gli attacchi informatici prima che si verifichino e di ridurre al minimo i costi e le interruzioni di attività causate dagli attacchi che si verificano.
Gli sforzi di risposta agli incidenti sono guidati da piani di risposta agli incidenti (IRP), che delineano il modo in cui il team di risposta agli incidenti deve affrontare le minacce informatiche. Il processo di risposta agli incidenti prevede sei fasi standard:
- Preparazione: La preparazione è il processo continuo di valutazione dei rischi, di identificazione e correzione delle vulnerabilità (gestione delle vulnerabilità) e di redazione di IRP per le diverse minacce informatiche.
- Rilevamento e analisi: I responsabili della risposta agli incidenti monitorano la rete alla ricerca di attività sospette. Analizzano i dati, filtrano i falsi positivi e gestiscono gli avvisi.
- Contenimento: Quando viene rilevata una violazione, il team di risposta agli incidenti prende provvedimenti per impedire che la minaccia si diffonda attraverso la rete.
- Eliminazione: Una volta contenuta la minaccia, i responsabili della risposta agli incidenti la eliminano dalla rete, ad esempio distruggendo i file del ransomware o allontanando l' attore della minaccia da un dispositivo.
- Recupero: Una volta che i responsabili della risposta agli incidenti hanno rimosso ogni traccia della minaccia, ripristinano i sistemi danneggiati al normale funzionamento.
- Revisione post-incident: I responsabili della risposta agli incidenti riesaminano la violazione per capire come è successo e prepararsi a minacce future.
Quando la digital forensics e la risposta agli incidenti sono condotte separatamente, possono interferire l'una con l'altra. I responsabili della risposta agli incidenti possono alterare o distruggere le prove mentre rimuovono una minaccia dalla rete e gli investigatori forensi possono ritardare la risoluzione della minaccia mentre cercano le prove. Le informazioni potrebbero non circolare tra questi team, rendendo tutti meno efficienti di quanto potrebbero essere.
Il DFIR fonde queste due discipline in un unico processo svolto da un unico team. Ciò comporta due importanti vantaggi:
La raccolta di dati forensi avviene parallelamente alla mitigazione delle minacce. Durante il processo DFIR, i responsabili della risposta agli incidenti utilizzano tecniche forensi per raccogliere e conservare le prove digitali mentre contengono ed eliminano una minaccia. In questo modo si garantisce che la catena di custodia venga seguita e che le prove preziose non vengano alterate o distrutte durante le operazioni di risposta agli incidenti.
La revisione post-incidente include l'esame delle prove digitali. DFIR utilizza le prove digitali per approfondire gli incidenti di sicurezza. I team DFIR esaminano e analizzano le prove raccolte per ricostruire l'incidente dall'inizio alla fine. Il processo DFIR si conclude con un report che descrive nel dettaglio cosa è successo, come è successo, l'entità del danno e come evitare attacchi simili in futuro.
I vantaggi che ne derivano includono:
- Prevenzione delle minacce più efficace. I team DFIR indagano sull'incidente in modo più approfondito rispetto ai team di risposta agli incidenti tradizionali. Le indagini DFIR possono aiutare i team di sicurezza a comprendere meglio le minacce informatiche, a creare playbook di risposta agli incidenti più efficaci e a bloccare un maggior numero di attacchi prima che si verifichino. Le indagini DFIR possono anche aiutare a semplificare la caccia alle minacce, scoprendo prove di minacce attive sconosciute.
- Poca o nessuna prova persa durante la risoluzione della minaccia. In un processo di risposta agli incidenti standard, i responsabili della risposta agli incidenti possono avere fretta di contenere la minaccia. Ad esempio, se i responsabili della risposta agli incidenti spengono un dispositivo infetto per contenere la diffusione di una minaccia, qualsiasi prova rimasta nella RAM del dispositivo andrà perso. Addestrati sia nella digital forensics che nella risposta agli incidenti, i team DFIR sono abili nel preservare le prove e nel risolvere gli incidenti.
- Miglioramento del supporto alle controversie. I team DFIR seguono la catena di custodia, il che significa che i risultati delle indagini DFIR possono essere condivisi con le forze dell'ordine e utilizzati per perseguire i criminali informatici. Le indagini DFIR possono anche supportare le richieste di risarcimento assicurativo e le verifiche normative successive alla violazione.
- Recupero delle minacce più rapido e solido. Poiché le indagini forensi sono più solide di quelle standard di risposta agli incidenti, i team DFIR possono scoprire malware nascosti o danni al sistema che altrimenti sarebbero passati inosservati. Questo aiuta i team di sicurezza a eliminare le minacce e a riprendersi dagli attacchi in modo più completo.
In alcune aziende, il DFIR è gestito da un team interno di risposta agli incidenti di sicurezza informatica (computer security incident response team, CSIRT), talvolta chiamato computer emergency response team (CERT). I membri del CSIRT possono includere il Chief Information Security Officer (CISO), il personale del Security Operations Center (SOC) e dell'IT, i leader esecutivi e altri stakeholder di tutta l'azienda.
Molte aziende non dispongono delle risorse necessarie per eseguire il DFIR in autonomia. In questo caso, possono affidarsi a servizi DFIR di terzi che lavorano su commissione.
Sia gli esperti DFIR interni che quelli di terze parti utilizzano gli stessi strumenti DFIR per rilevare, indagare e risolvere le minacce. Essi includono:
SIEM (Security information and event management): il SIEM raccoglie e correla i dati degli eventi di sicurezza provenienti dagli strumenti di sicurezza e da altri dispositivi della rete.
SOAR (Security orchestration, automation, and response): SOAR consente ai team DFIR di raccogliere e analizzare i dati sulla sicurezza, definire i flussi di lavoro di risposta agli incidenti e automatizzare le attività di sicurezza ripetitive o di basso livello.
EDR (Endpoint detection and response): L'EDR integra gli strumenti di sicurezza degli endpoint e utilizza l'analisi in tempo reale e l'automazione basata sull'AI per proteggere le organizzazioni dalle minacce informatiche che superano il software antivirus e altre tecnologie tradizionali di sicurezza degli endpoint.
VDR (Extended detection and response): XDR è un'architettura di sicurezza informatica aperta che integra gli strumenti di sicurezza e unifica le operazioni di sicurezza su tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati. Eliminando le lacune di visibilità tra gli strumenti, XDR aiuta i team di sicurezza a rilevare e risolvere le minacce in modo più rapido ed efficiente e a limitare i danni che esse causano.
Rileva, contieni ed esegui il ripristino dagli attacchi con la preparazione alla risposta agli incidenti (IR) e i servizi IR di emergenza 24x7 per ridurre l'impatto delle violazioni.
Identifica le minacce e le vulnerabilità più gravi e impedisce che interrompano le operazioni di business.
Individua le minacce nascoste prima che sia troppo tardi con la visibilità della rete e le analisi avanzate.
Scopri le ultime threat intelligence e le tendenze nella sicurezza del cloud e scopri come migliorare la tua posizione in materia di sicurezza utilizzando gli insight di IBM Security X-Force.
La strada verso una risposta agli incidenti orchestrata inizia con la responsabilizzazione delle persone, lo sviluppo di un processo coerente e ripetibile e infine l'utilizzo della tecnologia per eseguirlo. Questa guida delinea i passi chiave per costruire una robusta funzione di risposta agli incidenti.
Un piano di risposta agli incidenti formale consente ai team di sicurezza informatica di limitare o prevenire i danni da attacchi informatici o violazioni della sicurezza.
Il SIEM (Security information and event management) offre il monitoraggio e l'analisi degli eventi in tempo reale, nonché il tracciamento e la registrazione dei dati di sicurezza a fini di conformità o di verifica.
La threat intelligence consiste in informazioni dettagliate e utilizzabili sulle minacce per prevenire e contrastare le minacce informatiche che prendono di mira un'organizzazione.
Il ransomware tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento del riscatto. Scopri come funziona il ransomware, perché è proliferato negli ultimi anni e come le organizzazioni si difendono da esso.