Il DFIR integra due discipline distinte della sicurezza informatica: Digital forensics, l'indagine sulle minacce informatiche, principalmente per raccogliere le prove digitali da utilizzare nelle cause contro i criminali informatici; e incident response, l'individuazione e la riduzione degli attacchi informatici in corso. Combinando queste due discipline, il DFIR aiuta i team di sicurezza a bloccare le minacce più velocemente, preservando le prove che altrimenti potrebbero andare perse nell'urgenza della mitigazione delle minacce.
La digital forensics indaga e ricostruisce gli incidenti di sicurezza informatica raccogliendo, analizzando e conservando le prove digitali, ovvero le tracce lasciate dagli attori delle minacce, come i file malware e gli script dannosi. Queste ricostruzioni consentono agli investigatori di individuare le cause degli attacchi e di identificare i colpevoli.
Le indagini forensi digitali seguono una rigorosa catena di custodia, ovvero un processo formale per tracciare le modalità di raccolta e gestione delle prove. La catena di custodia consente agli investigatori di dimostrare che la prova non è stata manomessa. Di conseguenza, le prove derivanti dalle indagini di digital forensics possono essere utilizzate per scopi ufficiali come cause giudiziarie, richieste di risarcimento assicurativo e audit normativi.
Il NIST (National Institute of Standards and Technology) (PDF, 2,7 MB) (link esterno a ibm.com) delinea quattro passaggi per le indagini forensi digitali:
Dopo una violazione, gli investigatori forensi raccolgono i dati dai sistemi operativi, dagli account utente, dai dispositivi mobili e da qualsiasi altra risorsa hardware e software a cui gli attori delle minacce possano aver avuto accesso. Le fonti comuni dei dati forensi includono:
Per preservare l'integrità delle prove, gli investigatori effettuano copie dei dati prima di elaborarli. Gli originali vengono messi al sicuro in modo che non possano essere alterati, mentre il resto dell'indagine viene svolto sulle copie.
Gli investigatori setacciano i dati alla ricerca di segni di attività informatica criminale, come e-mail di phishing, file alterati e connessioni sospette.
Gli investigatori utilizzano tecniche forensi per elaborare, correlare ed estrarre insight dalle prove digitali. Gli investigatori possono anche fare riferimento a feed di threat intelligence proprietari e open-source per collegare le loro scoperte a specifici attori delle minacce.
Gli investigatori compilano un report che spiega cosa è successo durante l'evento di sicurezza e, se possibile, identifica i sospetti o i colpevoli. Il report potrebbe contenere raccomandazioni per sventare attacchi futuri. Può essere condiviso con le forze dell'ordine, gli assicuratori, i regolatori e altre autorità.
La Risposta agli incidenti si concentra sul rilevamento e la risposta alle violazioni di sicurezza. L'obiettivo della risposta agli incidenti è quello di prevenire gli attacchi informatici prima che si verifichino e di ridurre al minimo i costi e le interruzioni di attività causate dagli attacchi che si verificano.
Gli sforzi di risposta agli incidenti sono guidati da piani di risposta agli incidenti (IRP), che delineano il modo in cui il team di risposta agli incidenti deve affrontare le minacce informatiche. Il processo di risposta agli incidenti prevede sei fasi standard:
Quando la digital forensics e la risposta agli incidenti sono condotte separatamente, possono interferire l'una con l'altra. I responsabili della risposta agli incidenti possono alterare o distruggere le prove mentre rimuovono una minaccia dalla rete e gli investigatori forensi possono ritardare la risoluzione della minaccia mentre cercano le prove. Le informazioni potrebbero non circolare tra questi team, rendendo tutti meno efficienti di quanto potrebbero essere.
Il DFIR fonde queste due discipline in un unico processo svolto da un unico team. Ciò comporta due importanti vantaggi:
La raccolta di dati forensi avviene parallelamente alla mitigazione delle minacce. Durante il processo DFIR, i responsabili della risposta agli incidenti utilizzano tecniche forensi per raccogliere e conservare le prove digitali mentre contengono ed eliminano una minaccia. In questo modo si garantisce che la catena di custodia venga seguita e che le prove preziose non vengano alterate o distrutte durante le operazioni di risposta agli incidenti.
La revisione post-incidente include l'esame delle prove digitali. DFIR utilizza le prove digitali per approfondire gli incidenti di sicurezza. I team DFIR esaminano e analizzano le prove raccolte per ricostruire l'incidente dall'inizio alla fine. Il processo DFIR si conclude con un report che descrive nel dettaglio cosa è successo, come è successo, l'entità del danno e come evitare attacchi simili in futuro.
I vantaggi che ne derivano includono:
In alcune aziende, il DFIR è gestito da un team interno di risposta agli incidenti di sicurezza informatica (computer security incident response team, CSIRT), talvolta chiamato computer emergency response team (CERT). I membri del CSIRT possono includere il Chief Information Security Officer (CISO), il personale del Security Operations Center (SOC) e dell'IT, i leader esecutivi e altri stakeholder di tutta l'azienda.
Molte aziende non dispongono delle risorse necessarie per eseguire il DFIR in autonomia. In questo caso, possono affidarsi a servizi DFIR di terzi che lavorano su commissione.
Sia gli esperti DFIR interni che quelli di terze parti utilizzano gli stessi strumenti DFIR per rilevare, indagare e risolvere le minacce. Essi includono:
SIEM (Security information and event management): il SIEM raccoglie e correla i dati degli eventi di sicurezza provenienti dagli strumenti di sicurezza e da altri dispositivi della rete.
SOAR (Security orchestration, automation, and response): SOAR consente ai team DFIR di raccogliere e analizzare i dati sulla sicurezza, definire i flussi di lavoro di risposta agli incidenti e automatizzare le attività di sicurezza ripetitive o di basso livello.
EDR (Endpoint detection and response): L'EDR integra gli strumenti di sicurezza degli endpoint e utilizza l'analisi in tempo reale e l'automazione basata sull'AI per proteggere le organizzazioni dalle minacce informatiche che superano il software antivirus e altre tecnologie tradizionali di sicurezza degli endpoint.
VDR (Extended detection and response): XDR è un'architettura di sicurezza informatica aperta che integra gli strumenti di sicurezza e unifica le operazioni di sicurezza su tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati. Eliminando le lacune di visibilità tra gli strumenti, XDR aiuta i team di sicurezza a rilevare e risolvere le minacce in modo più rapido ed efficiente e a limitare i danni che esse causano.
Rileva, contieni ed esegui il ripristino dagli attacchi con la preparazione alla risposta agli incidenti (IR) e i servizi IR di emergenza 24x7 per ridurre l'impatto delle violazioni.
Identifica le minacce e le vulnerabilità più gravi e impedisce che interrompano le operazioni di business.
Individua le minacce nascoste prima che sia troppo tardi con la visibilità della rete e le analisi avanzate.
Scopri le ultime threat intelligence e le tendenze nella sicurezza del cloud e scopri come migliorare la tua posizione in materia di sicurezza utilizzando gli insight di IBM Security X-Force.
La strada verso una risposta agli incidenti orchestrata inizia con la responsabilizzazione delle persone, lo sviluppo di un processo coerente e ripetibile e infine l'utilizzo della tecnologia per eseguirlo. Questa guida delinea i passi chiave per costruire una robusta funzione di risposta agli incidenti.
Un piano di risposta agli incidenti formale consente ai team di sicurezza informatica di limitare o prevenire i danni da attacchi informatici o violazioni della sicurezza.
Il SIEM (Security information and event management) offre il monitoraggio e l'analisi degli eventi in tempo reale, nonché il tracciamento e la registrazione dei dati di sicurezza a fini di conformità o di verifica.
La threat intelligence consiste in informazioni dettagliate e utilizzabili sulle minacce per prevenire e contrastare le minacce informatiche che prendono di mira un'organizzazione.
Il ransomware tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento del riscatto. Scopri come funziona il ransomware, perché è proliferato negli ultimi anni e come le organizzazioni si difendono da esso.