Gabriele Noce è un esperto di relazioni commerciali nel settore dell'arredamento, che si occupa di creare ponti tra industrie e rivenditori.
Gabriele, appassionato di tecnologia e consulente di digital marketing, sempre pronto ad aiutare i suoi clienti a navigare nel mondo digitale, è anche uno dei migliori allievi della direzione scientifica di RUO.
La sua passione per la tecnologia lo ha portato, durante i suoi studi giuridici, a scoprire la digital forensics, un campo in cui ha approfondito le sue conoscenze fino a farne l'argomento della sua tesi. Scopriamo di più sul suo percorso professionale.
Quali sono le principali tecniche di Digital Forensics che hai esplorato nella tua tesi per contrastare lo spionaggio industriale?
Le principali tecniche che possono essere utili in questo contesto sono sicuramente:
L’analisi dei dispositivi di storage;
La Network Forensics;
L’analisi dei log di sistema, delle applicazioni e di rete.
L’analisi dei dispositivi di Storage consiste in un esame approfondito e metodico del contenuto di hard disk, SSD e qualsiasi altro dispositivo di archiviazione al fine di individuare prove (come trasferimenti illeciti di dati e/o la presenza di malware). Con particolari procedure e software è possibile anche tentare un recupero dei dati cancellati.
La network forensics consiste invece in quell’insieme di tecniche finalizzate al monitoraggio e all’analisi del traffico di rete alla ricerca di attività sospette. Esistono appositi software che possono aiutare a tracciare comunicazioni e trasferimenti di dati. La parte difficile è riuscire ad eseguire questo tipo di indagini in piena aderenza con le normative in materia di privacy e dati personali. Situazione delicata che va studiata caso per caso.
I log di sistema e delle applicazioni possono poi fornire informazioni cruciali su accessi non autorizzati o sospetti oltre che contribuire ad una ricostruzione della cronologia degli eventi.
Ogni operazione che viene eseguita deve a sua volta essere conforme ai principi della Digital Forensics, i quali corrispondono altresì alle fasi in cui si articola quest’ultima: identificazione, acquisizione, preservazione, analisi, documentazione e presentazione.
Ciascuna di queste fasi presuppone l’impiego di ulteriori tecniche. Ad esempio acquisizione, conservazione e preservazione devono avvenire in modo tale da assicurare che i dati digitali siano preservati da qualsiasi alterazione; per questo scopo si eseguono delle copie forensi che devono avvenire rigorosamente con strumenti (come i write blocker) e tecniche di comprovata validità.
Gli esperti di settore impiegano anche tecniche di data mining (sempre più efficaci ed efficienti grazie allo sviluppo delle AI) per trasformare grandi quantità di dati in informazioni che possono essere utilizzate per definire dei modelli utili a identificare con maggior velocità le frodi o prevedere le tendenze.
Come l'analisi dei registri di sistema e di rete può aiutare a identificare accessi anomali e risalire agli autori di atti malevoli?
I registri di sistema contengono informazioni dettagliate su eventi come accessi, modifiche ai file, installazione di programmi, eventi di sistema ecc. ecc. esaminando l’elenco di questi eventi è possibile individuare attività sospette come dei tentativi di accesso, delle modifiche insolite o non autorizzate. I registri degli accessi possono inoltre mostrare chi ha effettuato l’accesso ad un sistema, quando e da quale indirizzo IP. Questo può far saltare all’occhio gli accessi avvenuti in orari non lavorativi o che provengono da località insolite e per tali ragioni anomali.
Per ciò che concerne le reti, esistono poi soluzioni come i sistemi SIEM (Security Information and Event Management) strumenti di sicurezza centralizzata che raccolgono, combinano ed elaborano informazioni che provengono da più fonti digitali, come log di registri eventi di utenti, di router, rilevazioni registrate da IDS (Intrusion Detection System) ecc.
I software di AI fanno una prima analisi e possono immediatamente lanciare alert e applicare misure di sicurezza ma tutte le informazioni e le segnalazioni sono comunque registrate. Proprio questi registri tenuti dai SIEM, che concentrano in un unico posto le informazioni di rete di un’organizzazione, sono quelli da cui partono le indagini forensi informatiche. Grandi trasferimenti di pacchetti dati verso indirizzi IP sconosciuti o precedentemente segnalati sono sicuramente indice di “traffico anomalo” che merita di essere attenzionato. Correlare tutte le informazioni non sempre è sufficiente per risalire ai soggetti responsabili ma è comunque una possibilità.
In che modo le informazioni ottenute da un'indagine forense possono fungere da input per la cyber security?
Ricreare gli incidenti passati permette di studiare le modalità di attacco e le vulnerabilità, dunque lo spunto per la Cybersecurity consiste proprio nella possibilità di indirizzare le energie e lo sviluppo sulla base dell’esperienza. Così come i criminali si adattano alle nuove tecnologie anche le tecnologie si evolvono di conseguenza in un perpetuo rincorrersi.
Infine, quali sono i vantaggi di una formazione multidisciplinare per i professionisti che si occupano di sicurezza nel campo della Digital Forensics e della cyber security?
Una formazione multidisciplinare, che abbini alla preparazione tecnico-informatica anche lo studio delle principali normative in materia di sicurezza informatica, di protezione dei dati personali nonché le basi giuridiche della digital forensics, consente agli operatori digitali così specializzati di:
Contribuire proficuamente alla implementazione e amministrazione di un Sistema di Gestione di Sicurezza delle Informazioni;
Ottimizzare i processi di individuazione, preservazione e documentazione delle evidenze digitali;
Navigare anche gli aspetti legali della gestione delle indagini digitali.
Comments