Data Breach: GDPR e Forensics Readiness
La '''Forensics Readiness''' è la capacità delle aziende di massimizzare il potenziale in termine di capacità di raccolta di prove digitali, minimizzando i costi e agevolando la successiva indagine forense.
In caso di data breach:
- Le aziende impiegano non meno di 6 mesi per scoprire un brearch (Fonte ZDNet http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/)
- L’intruso tende a cancellare le tracce del proprio ingresso e operato
- L’intruso tende a rimanere silente nei sistemi
- Sviluppare una indagine informatica forense a distanza di mesi dal breach rischia di essere estremamente complesso e potrebbe non permettere di identificare elementi significativi.
La Forensics Readiness prevede di raccogliere preventivamente le "prove" e salvaguardarne Integritò disponibilità e Autenticità
L'adozione della Forensics Readiness passa per la definzioni di: Policy, Plan e Procedure.
'Forensic Readiness Policy: Obiettivi, Ruoli e responsabilità, Implementazione, Ambito applicazione, Legislazione e Training
Forensic Readiness Plan: Ruoli e Responsabilità, Team Specialisti (int/ext), Risorse (Economiche, Apparati e software, Storage, etc…), Task Flow, Testing, Training & awareness
Forensics Readiness Procedure: Raccolta evidenze (Live, Post mortem, Network, etc…), Procedure di analisi, Reporting, Procedure
Per poter implementare una approccio in termini di Forensics Readiness è necessaria una valutazione dei seguenti elementi che andranno declinati in procedure operative.
- Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business
- Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali
- Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant
- Riesamina delle risorse allocate per conservazione protezione delle mail.
- Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione
- Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti
- Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa
- Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale
- Documentare i casi reali descrivendo l’incidente e il suo impatto
- Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente
- Definire gli scenari del business aziendale che possono richiedere evidenze digitali
- Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness.
A livello di Operational la Forensics Readiness richiede che l'infrastruttura sia dotata di:
- NTP Server e allineamento di tutti i sistemi con il Time Server
- DNS Censimento di tutti i sistemi in formato fqdn
- DHCP
- Directory Server o IAM per la gestione delle credenziali di sicurezza logica
- Sistema AAA per Server e dispositivi di rete
Assumendo di disporre di questa infrastruttura la raccolta "preventiva" delle evidence avviene attraverso la remotizzazione sicura dei log di sistema su un sistema SIEM
A titolo di esempio non esaustivo possono essere raccolta, in ragione degli obiettivi di "readiness" che ci siamo dati i seguenti
Infrastruttura IT
* Router
* Firewalls
* Terminatore VPN
* Switch
* Server: log di sistema operativo
* Antivirus
* Server di posta
Servizi IT
* Reverse Proxy
* Application server
* Applicativo in esecuzione sull’AS
* Database audit log (tuned!)
* Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc..
L'infrastuttura SIEM si occuperà delle fasi di
- Raccolta
- Parsing
- Correlazione
- Analisi Allarme
- Storicizzazione Tamper Proof
degli eventi di sistema e degli eventi di sicurezza in modo che possano essere recuperati ed elaborati a prescindere dal fatto che un agente di minaccia li abbia cancellati dai server.
Se al SIEM si aggiungono elementi com cyber Intellingece threath da fonti aperte e risultati di vulnerability assessment possono essere sviluppate regole di correlazione e allarmi che possano identificare preventivamente azioni diattacco o situazioni di breach. A titolo esemplificativo
IoA: Indicator of Attack
* Track connessioni «legittime» incoming da Bad IP sui log source
* Drop/Reject connessioni incoming da bad IP su FW
* Network scan
* Off Hours internal activity
IoC: Indicator of Compromission
* Connessioni outgoing «legittimo» verso Bad IP
* Drop/reject connessioni verso Bad IP
* Multiple failed login from single host
* Multiple login with single username from differente region
* Traffico DNS in uscita
* Errori nei log
* Errori log applicativi
L'Adozione di una Modalità "Forensics Readiness" permette di identificare preventivamente azioni dannose, identificare tempestivamente breach, ma sopratutto di raccogliere e salvaguardare le evidence informatiche di un breach indipendentemente dalle azioni distruttive che l'agente di minaccia abbia messo in atto. con un approccio Forensic Readiness è possibile svolgere in ogni momento una indagine e perizia informatica forense disponende delle prove informatiche