Fino a qualche anno fa, gli esperti di analisi forense (forensic analysis) erano ricercati soltanto da forze di polizia e autorità giudiziarie. Il ruolo dell’informatica forense, invece, è stata valorizzato dalle nuove normative in tema di protezione dei dati e, in particolare, dal GDPR (Regolamento Generale sulla Protezione dei Dati) che ha rivoluzionato le regole a livello europeo ed extraeuropeo. Oggi tutte le società di cyber security sottolineano l’importanza dei servizi di analisi forense e di avere in azienda strumenti che consentano di registrare tutte le informazioni necessarie per utilizzarli.
Gli obblighi derivanti dal GDPR
Gli obblighi derivanti dal GDPR
Tra le prescrizioni contenute nel regolamento europeo, entrato in vigore lo scorso 25 maggio 2018, una delle più stringenti riguarda l’obbligo di notifica entro 72 ore di eventuali violazioni informatiche subite dall’azienda. Questa attività, però, non prevede una semplice comunicazione all’autorità garante, ma deve contenere informazioni riguardo la natura della violazione, il suo impatto e le misure previste per attenuarne i possibili effetti negativi.
Anche se le informazioni più specifiche possono essere fornite in un secondo momento, l’azienda ha l’obbligo di essere in grado di ricostruire quanto accaduto e analizzarne le conseguenze. Ovvero: di eseguire un’analisi forense approfondita. A rendere più “stringente” questa esigenza è il regime sanzionatorio introdotto con il GDPR: una violazione può costare fino a 20 milioni di euro o il 4% del fatturato globale dell’azienda.
Analisi forensica e capacità di reazione
Analisi forense e capacità di reazione
La funzione dell’informatica forense, però, non è solo quella di fare un’analisi “post mortem” per ricostruire l’anatomia dell’attacco, ma ha una funzione fondamentale nel contrasto delle attività dei pirati informatici nella fase di response.
Gli attacchi dei cyber criminali alle aziende, infatti, sono sempre più complessi e solo un’analisi approfondita (ma rapida) delle strategie utilizzate dai pirati consente di mettere in campo un’azione di contrasto efficace. L’analisi forense consente, per esempio, di individuare eventuali backdoor presenti nei sistemi, cioè quei punti di accesso primari che i cyber criminali hanno utilizzato per muoversi all’interno della rete aziendale e mettere a segno la violazione.
Il modus operandi di chi si specializza negli attacchi alle aziende, infatti, prevede spesso tempi lunghi e l’uso di strumenti di hacking che consentono di ottenere un accesso persistente ai sistemi che hanno attaccato. In altre parole, in assenza di un’analisi forense, qualsiasi contromisura rischia di essere parziale e, di conseguenza, inefficace.
Uno sguardo alla prevenzione
Se l’analisi forense è fondamentale in fase di remediation, la sua funzione si estende ben al di là dell’aspetto emergenziale. L’analisi di come è avvenuta una violazione consente infatti di individuare gli anelli deboli nella catena della cyber security e agire per correggere le vulnerabilità.
Un’attività che, oltre a rappresentare una buona pratica, è anche normalmente prescritta dall’autorità di controllo ai sensi del GDPR. In questo caso, la normativa prevede una serie di scadenze e un procedimento basato su raccomandazioni che vengono formulate dopo un’accurata analisi degli strumenti di difesa e protezione dell’integrità dei dati implementati dall’azienda.
Gli strumenti per l’analisi forensica
Gli strumenti per l’analisi forense
Se la parte di analisi propriamente detta è affidata a esperti del settore, il prerequisito affinché questa possa essere espletata è che siano disponibili dati e informazioni che consentano di ricostruire quanto accaduto. In questo senso, l’utilizzo di un SIEM (Security Information and Event Management) è la migliore garanzia per avere a disposizione i dati necessari.
I sistemi SIEM, infatti, hanno la funzione di registrare tutti i log relativi agli eventi all’interno del network aziendale. Se l’utilizzo del SIEM ha principalmente l’obiettivo di rilevare gli attacchi nel momento stesso in cui vengono portati, la raccolta capillare di informazioni risulta utile (se non indispensabile) anche in fase di analisi forense.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.
