Informatica Forense dal punto di vista di Manager e figure apicali

Transcript

1 Soluzioni e sicurezza per applicazioni mobile e payments 1 Informatica Forense dal punto di vista di Manager e figure apicali Pietro Brunati Venezia, 27 settembre 2013

2 2 Soluzioni e sicurezza per applicazioni mobile e payments Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all avanguardia nello studio e nella speri-mentazione di nuove tecnologie nell ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica con la gestione dei servizi POS e di Commercio Elettronico e del Corporate Banking a supporto delle imprese. SPONSOR DELL EVENTO Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di

3 3 Pietro Brunati Informatico dalla fine degli anni 70, Pietro Brunati da 15 anni si dedica a indagini digitali, informatica forense, hacking etico. Opera come consulente su progetti innovativi di Threat Assessment e sicurezza IT in generale. Dedica a questi temi molto tempo per ricerca e sperimentazione.

4 Informatica Forense dal punto di vista di Manager e figure apicali 4 Spesso si considera l'informatica Forense un argomento da film, o limitato a casi eclatanti. Dimostreremo quanto sia utile anche nella normale gestione e tutela aziendale.

5 5 Sommario Cos'è l'informatica Forense Vantaggi dell'informatica Forense (Digital Forensics) per le aziende Da cosa protegge (Threat Modeling) Contributi a Business Continuity, Policy Compliance, Risk Mitigation Digital Forensics in pratica Come organizzare un team interno flessibile ed efficace.

6 6 Cos'è Informatica Forense Identificazione, acquisizione, investigazione, documentazione utilizzabile anche in processi giuridici, di prove provenienti da sistemi digitali. Chiavi di ricerca: Digital Forensics Computer Forensics: sistemi con CPU e memoria Network Forensics: comunicazioni volatili Anti-forensics: utile a privacy e Plausible Deniability

7 Cos'è una Prova Digitale ( Digital Evidence ) 7 Un'informazione probatoria originata in forma digitale,... di cui autenticità e integrità sono verificabili in qualsiasi momento,... che quindi è utilizzabile in un processo giuridico.

8 Documenti digitali vs. cartacei (IMHO) 8 Fisicità Percezione Conservazione Anonimato Inalterabilità

9 9 Vantaggi L Informatica Forense è fondamentale sui fronti organizzativo e giuridico per : Organizzare una risposta sostenibile agli incidenti informatici e alle frodi interne Condurre indagini preliminari senza inquinamento delle prove Valutare se e cosa approfondire Produrre prove non opponibili in sede giudiziale Provare l'esistenza anche dei dati volatili

10 10 Vantaggi Sul fronte organizzativo il Digital Forensics aiuta a sviluppare policy di audit per assistere l'organizzazione nell'identificare e rispondere alle violazioni prima che sfocino in costi legali e di immagine.

11 Da cosa protegge? ( Threat Modeling ) 11 I sistemi informatici sono elementi sempre più critici e comportano investimenti che vanno protetti. Nel passaggio da cartaceo a digitale, le informazioni perdono i limiti della fisicità e possono essere esportate sempre più facilmente. Minacce dirette come aziende concorrenti, singoli malintenzionati o organizzazioni criminali, (ex-)dipendenti, investigatori e semplici curiosi, tutti possono arrecare danno all'azienda utilizzando i suoi stessi dati. Minacce indirette come malware, cancellazioni accidentali, problemi hardware, possono danneggiare l'azienda.

12 12 Business Continuity Nell Incident Handling, la priorità è ripristinare la normalità il più rapidamente possibile ignorando generalmente l Informatica Forense; Ignorando le procedure «forensics», gli addetti possono inquinare o distruggere le prove dell incidente o perdere informazioni critiche; Tale eventualità fa perdere definitivamente all organizzazione l opportunità di rivalsa e recupero dei danni sofferti, nonché quella di approfondire l'accaduto a posteriori.

13 13 Policy compliance Impostare e/o perfezionare le Policy aziendali tenendo conto degli aspetti tecno-legali; Evitare di compromettere eventuali prove digitali di violazioni colpose, rilevate da verifiche dell efficacia delle policy; Identificare il vero responsabile delle violazioni evidenziando l accaduto in modo profondo e inconfutabile.

14 14 Risk mitigation Monitorare il rispetto delle policy sull uso delle risorse aziendali... identificando e documentando rapidamente le violazioni in modo non opponibile,... permettendo così di agire in anticipo invece che a valle degli incidenti.

15 15 Digital Forensics: di cosa? Computer Forensics: computer di ogni tipo: client, server, tablet, embedded, apparati di rete, Tecniche diverse a seconda di computer accesi o spenti. Mobile Forensics: smartphone, tablet 3G, feature-phone,... Network Forensics: traffico di rete (volatile). Apparati: navigatori satellitari, GPS, apparati vari. IT Security/Operations: Data Base, honeypots, malware,...

16 16 Digital Forensics in pratica: come? 1) Pre-forensics (*): forensics a scopo investigativo, opzionale e propedeutico, utile per decidere e organizzare le fasi successive senza lasciare tracce né alterare prove. 2) Identificazione e documentazione della catena di custodia e della catena di evidenza (*). 3) Aquisizione certificata, ripetibile o non ripetibile. 4) Analisi: documentazione (1 liv.), ricerca (2 liv.), investigazione (3 liv.). 5) Reporting: preliminare informale, poi eventualmente non opponibile in sede giudiziale.

17 17 Catena di evidenza { 2x + 3y = 12 3x y = 7... { x = 3 y = 2

18 Tutela aziendale - un esempio reale: Funzionario infedele in Filiale 18 Pre-forensics, per valutazione preliminare del caso: verifica presenza di prove di illecito, valutazioni; contestazione ufficiale (*); confessione o acquisizione prove; transazione o procedimento. Digital Forensics, per acquisizione prove digitali: Identificazione. Aquisizione. Analisi (dimostrazioni, ricerche, investigazioni). Reporting.

19 Come organizzare un team interno flessibile ed efficace. 19 Team interno è solo di riferimento, senza risorse dedicate (eventualmente inquadrato nel CSIRT, se presente). Il team è tipicamente coordinato da Internal Audit o IT Security, e può coinvolgere referenti o specialisti di altre funzioni aziendali. Affiancato da esperti esterni di fiducia per formazione/aggiornamento e, al bisogno, per aspetti operativi. Interviene in operazioni di emergenza : con tecnici formati sulle procedure di base e sull'uso degli appositi strumenti hardware/software. Delega all'esterno: se e quando necessario, per compiti onerosi o specialistici. Usufruisce di formazione ed aggiornamento periodico opportunamente pianificati.

20 20 Conclusioni In caso di incidente, Digital Forensics aiuta a identificare ed acquisire le prove digitali senza alterarle o comprometterle. Nella normale gestione, Digital Forensics contribuisce a rendere più solido il processo di salvaguardia degli asset aziendali.

21 21