Introduzione all'analisi forense digitale e alla risposta agli incidenti | Prova HackMe DFIR

Abbiamo trattato concetti e strumenti di base ed essenziali in Digital Forensics e Incident Response. Questo faceva parte Prova HackMe DFIR.

Ottieni appunti sul campo di informatica forense

Il corso completo di Penetration Test con Backbox Linux

Cos'è il DFIR?

Come già accennato, DFIR sta per Digital Forensics and Incident Response. Questo campo copre la raccolta di artefatti forensi da dispositivi digitali come computer, dispositivi multimediali e smartphone per indagare su un incidente. Questo campo aiuta i professionisti della sicurezza a identificare le tracce lasciate da un utente malintenzionato quando si verifica un incidente di sicurezza, a utilizzarle per determinare l'entità della compromissione in un ambiente e a ripristinare l'ambiente allo stato in cui si trovava prima che si verificasse l'incidente.

La necessità del DFIR

DFIR aiuta i professionisti della sicurezza in vari modi, alcuni dei quali sono riepilogati di seguito:

• Trovare prove dell'attività degli aggressori nella rete e separare i falsi allarmi dagli incidenti reali.
• Rimozione efficace dell'aggressore, in modo che il suo punto d'appoggio dalla rete non rimanga più.
• Identificazione dell’entità e dei tempi di una violazione. Ciò aiuta a comunicare con le parti interessate rilevanti.
• Trovare le scappatoie che hanno portato alla breccia. Cosa deve essere cambiato per evitare la violazione in futuro?
• Comprendere il comportamento dell'aggressore per bloccare preventivamente ulteriori tentativi di intrusione da parte dell'aggressore.
• Condivisione delle informazioni sull'aggressore con la comunità.

Chi esegue il DFIR?

Come suggerisce il nome, DFIR richiede competenze sia in ambito forense digitale che in risposta agli incidenti. Dividendo questi due campi in questo modo, per diventare un professionista DFIR sono necessarie le seguenti competenze:

• Analisi forense digitale: Questi professionisti sono esperti nell'identificazione di artefatti forensi o prove di attività umana nei dispositivi digitali.
• Risposta all'incidente: Gli addetti alla risposta agli incidenti sono esperti in sicurezza informatica e sfruttano le informazioni forensi per identificare l'attività di interesse dal punto di vista della sicurezza. 

I professionisti DFIR conoscono la Digital Forensics e la sicurezza informatica e combinano questi ambiti per raggiungere i propri obiettivi. I domini di Digital Forensics e Incident Response sono spesso combinati perché sono altamente interdipendenti. La risposta agli incidenti sfrutta le conoscenze acquisite dalla Digital Forensics. Allo stesso modo, la Digital Forensics trae i suoi obiettivi e la sua portata dal processo di risposta agli incidenti e il processo IR definisce la portata delle indagini forensi.

Nelle operazioni di sicurezza, l'uso principale della digital forensics è l'esecuzione della risposta agli incidenti. Impareremo il processo di risposta agli incidenti e osserveremo come la Digital Forensics aiuta nel processo IR in questo compito.

Diverse organizzazioni hanno pubblicato metodi standardizzati per eseguire la risposta agli incidenti. Il NIST ha definito un processo nel loro SP-800-61 Guida alla gestione degli incidenti, che prevede i seguenti passaggi:

1. Preparazione
2. Rilevazione e analisi
3. Contenimento, eradicazione e recupero
4. Attività post-incidente

Allo stesso modo, SANS ha pubblicato un Manuale del gestore dell'incidente. Il manuale definisce i passaggi come segue:

1. Preparazione
2. Identificazione
3. Contenimento
4. Eradicazione
5. Recupero
6. Lezioni imparate

I passaggi definiti da SANS sono spesso riassunti con l'acronimo PICERL, rendendoli facili da ricordare. Possiamo vedere che i passaggi specificati da SANS e NIST sono identici. Mentre il NIST combina contenimento, eradicazione e recupero, il SANS li separa in diverse fasi. Attività post-incidente E Lezioni imparate può essere paragonabile, mentre Identificazione E Rilevazione e analisi hanno le stesse implicazioni.

Ora che abbiamo capito che i due processi sono simili, impariamo brevemente cosa significano i diversi passaggi. Spieghiamo i passaggi PICERL poiché sono più facili da ricordare grazie all'acronimo, ma come descritto sopra sono identici ai passaggi definiti dal NIST.

1. Preparazione: Prima che accada un incidente, è necessario prepararsi in modo che tutti siano pronti in caso di incidente. La preparazione prevede la disponibilità delle persone, dei processi e della tecnologia necessari per prevenire e rispondere agli incidenti.
2. Identificazione: Un incidente viene identificato attraverso alcuni indicatori nella fase di identificazione. Questi indicatori vengono quindi analizzati per individuare falsi positivi, documentati e comunicati alle parti interessate pertinenti.
3. Contenimento: In questa fase l’incidente viene contenuto e si cerca di limitarne gli effetti. Possono esserci soluzioni a breve e lungo termine per contenere la minaccia basate sull’analisi forense dell’incidente che faranno parte di questa fase.
4. Eradicazione: Successivamente, la minaccia viene sradicata dalla rete. È necessario garantire che venga eseguita un'analisi forense adeguata e che la minaccia sia effettivamente contenuta prima dell'eradicazione. Se, ad esempio, il punto di ingresso dell’autore della minaccia nella rete non viene collegato, la minaccia non verrà sradicata in modo efficace e l’autore della minaccia potrà riprendere un punto d’appoggio.
5. Recupero: Una volta rimossa la minaccia dalla rete, i servizi che erano stati interrotti vengono ripristinati com'erano prima che si verificasse l'incidente.
6. Lezioni imparate: Infine, viene eseguita una revisione dell'incidente, l'incidente viene documentato e vengono adottate misure sulla base dei risultati dell'incidente per garantire che il team sia meglio preparato per il prossimo incidente che si verificherà.

Risposte in camera

Videoprocedura dettagliata