ANDIG

Importanza degli aspetti metodologici nella raccolta delle prove digitali.

Nell'ultimo rapporto CLUSIT si sono evidenziati gli attacchi informatici di grave entità che hanno visto un notevole incremento del 10% rispetto all’anno precedente a livello globale. Le nuove modalità di attacco dimostrano come i cyber criminali siano sempre più in grado di portare a termine i loro obiettivi e fare rete con la criminalità organizzata; le tipologie di attacco cibernetico crescono dunque, non solo da un punto di vista quantitativo ma anche qualitativo.

La classificazione di questi eventi si basa inoltre su una valutazione dei livelli di impatto dei singoli incidenti che tiene conto di aspetti non solo economici e sociali ma anche di quelli legati al danno di immagine e quindi di Business nei confronti delle organizzazioni coinvolte.

In un tale scenario diventa quindi un fattore critico poter rispondere rapidamente e in maniera efficace alle continue violazioni di sicurezza sempre più invasive ed efficaci (vedi i ransomware) introducendo un processo strutturato di Incident Management che si esplica nella definizione di un gruppo di persone specializzate preposto alla gestione di questo tipo di eventi e in grado di intervenire in ogni fase del processo con cognizione di causa.

In relazione al variegato contesto in cui si troveranno ad operare, questi gruppi di lavoro dovranno quindi essere in grado di affrontare le situazioni più complesse e articolate che impattano sull'infrastruttura tecnologica dell'organizzazione in caso di attacco.

Ma se questo non bastasse a complicare le cose, oltre a questi aspetti di intervento tecnico/organizzativo si aggiunge un altro elemento sul quale spesso occorre riflettere ma che si tende a tralasciare o valutare come opzionale. Si tratta dell'aspetto metodologico legato alla corretta manipolazione delle evidenze dei fatti accaduti in modo tale che tali elementi mantengano inalterato il loro status di integrità e originalità della cosiddetta prova digitale.

Se da un lato l’implementazione di tale processo può apparire come uno sforzo ulteriore da parte delle aziende, dall’altro rappresenta una grande opportunità: da un lato soddisfa esigenze di carattere più tecnico di debug e troubleshooting, dall'altro, soddisfa i requisiti di integrità degli eventi in qualità di elemento probatorio in sede giudiziale.

In quest'ultimo caso, infatti, le evidenze di incidente rappresentano anche un elemento di prova che per sua natura necessita di particolari requisiti sostanziali senza i quali non potrebbe essere adempiere a tale scopo.

A seguito di un attacco cibernetico, ci sono sempre due domande importanti a cui rispondere:

  1. come è successo?
  2. come si può evitare che si ripeta?

Ecco, pertanto, che una figura specialistica in grado di poter dare risposta a questi quesiti risulterebbe di grande utilità o necessità. Il Digital Forensics and Incident Response (DFIR) può essere considerato come un sottocampo funzionale della sicurezza informatica, associato generalmente ai team di risposta delle emergenze informatiche (CERT) o ai team di risposta agli incidenti di sicurezza informatica (CSIRT) chiamati a identificare, proteggere, rilevare, rispondere e correggere eventi di minaccia cibernetica nel contesto di una organizzazione tecnologica.

All’interno di questi gruppi operativi è dunque quindi utile prevedere anche una figura di “primo intervento” che possa avere il ruolo, per usare i termini utilizzati dalla ISO/IEC 27037, di Digital Evidence First Responder (DEFR) e quando necessario, ulteriori figure più specialistiche in grado di gestire le fasi più complesse di analisi tecniche: Digital Evidence Specialist (DES).

nist.pngIn questo contesto anche il NIST Cybersecurity Framework si rivela essere uno strumento utilissimo nelle fasi di implementazione dell'infrastruttura tecnologica a garanzia di ragionevoli e adeguate misure di sicurezza, su cui integrare anche la parte di Digital Forensics.

Le attività di competenza del DFIR si basano principalmente sull'aspetto metodologico che afferisce ad una corretta gestione delle evidenze tratte da fonti probatorie digitali (dispositivi di memoria) e in grado di memorizzare informazioni che riguardano contesti criminali.

Sebbene i team di sicurezza (CERT/CSIRT) monopolizzano ancora la maggior parte delle funzioni tecnico-operative che riguardano la risposta agli incidenti, i loro strumenti e le tecniche all'avanguardia dei nuovi framework, vengono sempre più spesso incorporati anche nelle pratiche di Digital Forensics.

Proprio in un contesto di emergenza, scaturito magari da un attacco cibernetico, l'attenzione degli operatori (tecnici) si concentra prevalentemente sulle azioni di pronta risposta e di mitigazione degli eventi malevoli al fine di limitare al minimo le conseguenze per l'organizzazione (aspetto tecnico della risposta).

Troppo spesso però, terminata la fase emergenziale e prima di passare alla fase di remediation, ci si dimentica di valutare la possibilità di una eventuale "cristallizzazione" delle evidenze “originali” che in questo stato sarebbero in grado di dare riscontro oggettivo delle dinamiche dell'evento (aspetto metodologico).

Questo mancato approccio metodologico fa si che l'elemento a garanzia dell'integrità del momento chiamato “di origine" (momento zero o di cristallizzazione) venga a mancare e con esso, la possibilità di ripercorrere e ricostruire gli eventi realmente accaduti: potrebbe infatti rendersi necessario procedere con una nuova indagine di accertamento dei fatti per fini giudiziali (attività ripetibili).

In assenza di un processo in grado di garantire gli elementi di cui sopra, potremmo infatti trovarci di fronte a evidenze che, pur mostrando dei fatti, ma senza una veste di conformità metodologica e forense, risulterebbero inutilizzabili in sede di dibattimento.

Per queste ragioni, in un contesto di crimini informatici sempre più di attualità, risulta necessario integrare un nuovo modus operandi che non può prescindere da un corretto approccio metodologico in grado di soddisfare esigenze, spesso considerate opzionali, ma che potrebbero rappresentare un elemento di criticità per l'intera organizzazione a fronte di un evento di incident.

Dando seguito alle indicazioni normative è quindi opportuno fare ricorso alle best practices di settore per individuare quelle misure tecniche e organizzative dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione derivante dall’elevato livello rischio di contaminazione insito in ogni prova digitale.

Nell’ambito, quindi, di tali possibili e molteplici scenari, una corretta ed appropriata gestione delle prove digitali attraverso delle metodologie forensi può dare un valore aggiunto sia in termini di organizzazione dell'infrastruttura tecnologica che di utilizzo delle evidenze prodotte in qualità di elementi probatori in sede giudiziale.

In tale contesto assume importanza cruciale l'organizzazione di tutti i processi che guidano l'infrastruttura tecnologica dove tutti gli elementi coinvolti lavorano secondo una visione di insieme attraverso regole e procedure che diano alle figure coinvolte chiare indicazioni in ordine alle idonee modalità di trattamento delle prove digitali.