Per fronteggiare tutte le esigenze investigative richieste in caso di sospette frodi perpetrate ai danni delle aziende, sono da tempo a disposizione efficaci strumenti in grado di svolgere indagini informatiche anche in modalità remota.
Sono numerose le aziende di calibro medio grande che si stanno affacciando alla gestione degli incidenti informatici. Il motivo principale di questo trend è principalmente quello di dover garantire una certa continuità del business, che non è efficace se non corroborata da una serie di procedure e tecnologie di incident management.
Mentre parte del mercato della sicurezza cerca di riciclare la sua scarsa attitudine alla gestione reale delle technicality, gli addetti allo stato dell’arte (quelli che negli Stati Uniti vengono chiamati "driver vendor") sono al lavoro per garantire una maggiore integrabilità tra le esigenze di investigazione postmortem e la mancanza di mobilità del personale operante.
Specie in realtà distribuite sul territorio, infatti, il gruppo di persone che, in gergo, viene chiamato Computer security incident response team, è numericamente ristretto e, conseguentemente, non riesce a spostarsi fisicamente in uffici remoti, sui quali sussiste, comunque, l’esigenza di investigare su sospetti incidenti oppure violazioni.
La stessa esigenza investigativa, inoltre, si verifica in caso di sospetta frode interna/esterna, dove, più che di incident response si parla di Digital forensic "pura". Stiamo parlando dei casi in cui si opera una vera e propria investigazione mirata, finalizzata alla scoperta di eventuali abusi, ove l’intrusione assume un aspetto secondario rispetto all’uso strumentale di un computer al fine di perpetrare reati.
Remote forensic e incident response
Generata l’esigenza, trovata la risposta. Aumenta l’offerta di strumenti in grado di gestire le indagini informatiche remotamente. Questa categoria di strumenti viene chiamata remote forensic e incident response.
Dal punto di vista architetturale, questi tool funzionano attraverso una console centrale, collegata a una serie di agenti sparsi sulla rete dell’azienda. Questi agenti possono, tra l’altro, effettuare copie bitstream del disco su media di destinazione contigui, mantenendo quasi identiche le caratteristiche operative di una copia bit-by-bit eseguita in locale.
A prescindere da questa caratteristica strutturale, comunque, gli agenti stessi sono in grado di colloquiare con la console centrale, al fine di consentire a quest’ultima di effettuare delle verifiche (quasi sotto forma di preview) e delle ricerche mirate di testo e altro.
La parte di incident response, inoltre, si occupa di gestire la ricerca su determinati tipi di obiettivo (definiti target), di elementi di attacco e di compromissione. La differenza principale con un semplice Intrusion detection system è che, quest’ultimo si occupa di analizzare il traffico in tempo reale e di dare dei feedback a un motore centrale di valutazione e correlazione.
La categoria di strumenti di cui stiamo parlando, invece, si occupa di reperire e gestire le eventuali tracce di attacco, sia da un punto di vista della soluzione dello stesso sia da quello di un’eventuale produzione di dati in sede investigative. Il colloquio tra agente e console avviene attraverso una Vpn (Virtual private network), con autenticazione reciproca tra i vari poli della comunicazione.
In questo modo, almeno in gran parte, dovrebbe essere possibile garantire una compliance con le esigenze di integrità del dato richieste dal paradigma Cia (Confidentiality integrity availability). L’accesso alla console, inoltre, viene di solito fornito con un’autenticazione a tre fattori, che, di base, dovrebbe consentire la gestione di alcuni requisiti fondamentali quali, per esempio, la firma digitale, la crittografia correlata e così via.
I limiti attuali degli strumenti disponibili
Nello stato dell’arte attuale si avvverte ancora la separazione, in alcuni casi, tra i due tipi di tecnologie. Spesso, infatti, non è sempre possibile gestire la ricerca contemporanea con entrambi gli strumenti e, in altri, bisogna operare delle scelte tra la gestione dell’incidente dal punto di vista della business continuity e l’acquisizione dei dati per una successiva procedura di indagine forense.
Nell’ultimo periodo si sta assistendo, tra l’altro, a un consolidamento tra le due tipologie di strumenti. Tuttavia, in assenza di un apporto consulenziale adeguato, non è possibile essere certi di una reale applicabilità nel mondo operativo dell’It aziendale.
Di base il costo della tecnologia non è alto, in proporzione ai costi operativi risparmiati e alla praticità della soluzione. È chiaro, però, che la tecnologia costituisce soltanto una parte del progetto.
Un ruolo sicuramente non indifferente è dato dal lato procedurale e di politiche, che di solito rientra in una fase che la letteratura chiama "pre incident". Di solito, questa fase viene progettata a tavolino. Al suo interno si procede anche a curare il deployment delle varie macchine che devono prevedere, a loro volta, gli agenti necessari al funzionamento della struttura. Infine, a livello di firewall, si procederà ad attivare le porte necessarie per permettere il colloquio tra le varie componenti del circuito.
La scelta tecnologica e di deployment
Quale tecnologia scegliere e, soprattutto, su chi fare affidamento per il deployment? Il problema di tipo tecnologico è sicuramente di grande rilievo, anche se esiste la possibilità di scegliere un buon tool che copra in maniera trasversale tutte le attività, a patto di avere ben presenti le diverse esigenze di tipo sia strategico che operativo.
La scelta delle tecnologie è ristretta a tre/quattro vendor, mentre, purtroppo oppure per fortuna, sono pochi i player di consulenza italiani in grado di poter garantire una vasta esperienza diretta in questo settore.
La responsabilità della scelta iniziale, quindi, sarà principalmente del cliente, il quale si occuperà, in seguito, di gestire lo sviluppo della piattaforma con la consulenza (anche legale). Una volta effettuata la scelta, si spera oculata, il risultato in termini di incident management sarà realmente a portata di mano.
