Segui Kryptus su Google News  Kryptus SA EED Crittografia, sicurezza informatica, protezione dei dati

 

da Geovane Oliveira, analista IT presso Kryptus

Raccolta di log per analisi forensi:

Comprendere i concetti e le forme di analisi per evitare di perdere informazioni importanti. 

La raccolta di registri dalle macchine di custodia svolge un ruolo chiave nell'analisi forense, consentendo agli investigatori di ottenere informazioni cruciali su attività sospette o incidenti di sicurezza. In questo articolo esploreremo l'importanza di raccogliere i log in modo sicuro, gli argomenti chiave correlati e le best practice da seguire.

Cosa sono i registri e le macchine di custodia e perché sono importanti nell'analisi forense?

I log sono registrazioni dettagliate di eventi, attività e transazioni che si sono verificati all'interno di un sistema o di un'applicazione. Forniscono preziose informazioni storiche per identificare comportamenti dannosi, monitorare le azioni degli utenti e ricostruire gli incidenti. I log possono includere informazioni come data e ora, indirizzi IP, azioni intraprese ed errori riscontrati, accessi, disconnessioni e accesso ai file.

Analisi forense

1-Figura: Esempio di visualizzatore eventi

Un sistema di catena di custodia è un dispositivo utilizzato per archiviare ed elaborare informazioni sensibili. Queste informazioni possono includere dati finanziari, dati dei clienti o dati di proprietà intellettuale. Il sistema di catena di custodia deve essere protetto da accessi non autorizzati, alterazioni e distruzioni. Di seguito è riportato il processo di catena di custodia:

processo di catena di custodia 1

Figura 2: Processo di catena di custodia (macchina in custodia)

Una macchina forense è un computer o un dispositivo che contiene informazioni, file e metadati riservati per analisi future. Queste prove possono essere utilizzate per indagare su crimini o incidenti di sicurezza.

Esistono diversi pericoli che possono portare alla perdita dei log su un dispositivo di custodia. Tra questi pericoli rientrano:

  • Guasto hardware: la macchina di custodia potrebbe guastarsi, con conseguente perdita di registri
  • Attività dannosa: un aggressore può eliminare i registri o corromperli
  • Errore umano: un utente potrebbe eliminare accidentalmente i registri o modificarli

Per evitare di perdere i log, è importante adottare alcune misure precauzionali. Queste misure includono:

  • Raccogliere e conservare i registri in modo sicuro: i registri devono essere conservati in un luogo sicuro, protetto da accessi non autorizzati.
  • Backup dei registri: è necessario eseguire regolarmente il backup dei registri in modo da poterli ripristinare in caso di perdita.
  • Monitoraggio dei registri: i registri devono essere monitorati regolarmente per rilevare attività sospette.
  • Macchine in custodia: si raccomanda di evitare il più possibile la manipolazione e l'uso di macchine in custodia, poiché un uso eccessivo potrebbe causare la sovrascrittura di informazioni sul disco, compromettendo così informazioni importanti. 

Adottando queste misure, puoi contribuire a proteggere i registri di un dispositivo di custodia da eventuali perdite.

La raccolta e l'analisi dei log dei dispositivi di custodia è una parte fondamentale di qualsiasi indagine forense. I log forniscono informazioni preziose che possono essere utilizzate per identificare la causa di un incidente, tracciare i movimenti di un intruso e raccogliere prove per un'azione penale.

Tipi comuni di registri sulle macchine di custodia

Tra le tipologie di log esistenti, le principali sono: 

– Registri del sistema operativo: registrano gli eventi relativi al funzionamento del sistema operativo, come avvio, arresto, modifiche alla configurazione ed errori.

– Registri di sicurezza: tengono traccia delle attività relative alla sicurezza, come tentativi di accesso, errori di autenticazione e modifiche ai privilegi degli utenti.

– Registri delle applicazioni: registrano eventi specifici delle applicazioni installate sulle macchine sotto custodia, come l’accesso ai file, l’esecuzione dei comandi e le interazioni con il sistema.

 Metodi per la raccolta dei log:

– Raccolta manuale: prevede l'accesso diretto alle macchine di custodia e l'estrazione dei relativi log. Questa operazione può essere eseguita localmente o da remoto, a seconda dell'infrastruttura e delle policy di sicurezza.

– Strumenti automatizzati: sono disponibili diversi strumenti in grado di automatizzare la raccolta dei log su più macchine di custodia contemporaneamente, semplificando il processo e risparmiando tempo. Questi strumenti possono essere utilizzati per raccogliere log da diverse fonti, inclusi server, workstation e dispositivi mobili.

Attualmente, sono disponibili diversi strumenti di raccolta dati per semplificare la raccolta e l'analisi dei record sui dispositivi di custodia, tra cui script sviluppati e disponibili gratuitamente su Internet. 

Buone pratiche per la gestione dei log:

Una volta raccolti, i log devono essere elaborati per una migliore comprensione e successivamente analizzati, generando così prove. L'analisi dei log può essere eseguita manualmente o utilizzando uno strumento di analisi dei log. 

Gli strumenti di analisi dei log possono aiutare a identificare schemi nei log e a generare report utilizzabili per indagare sugli incidenti di sicurezza.

Ecco alcuni suggerimenti per la raccolta dei registri dalle macchine di custodia:

  • Utilizzare uno strumento di raccolta dei registri o raccogliere i registri manualmente
  • Evitare di tenere la macchina in custodia connessa a internet, questo può generare più log, alcuni anche inutili
  • Raccogli registri da diverse fonti, tra cui server, workstation e dispositivi mobili
  • Salva i registri in un formato sicuro e ricercabile
  • Analizzare i registri il prima possibile dopo la raccolta
  • Determinare per quanto tempo i registri devono essere archiviati per garantirne la disponibilità durante le indagini future
  • I computer in custodia per analisi forensi dovrebbero essere maneggiati il ​​meno possibile, quindi create un punto di ripristino o un'immagine del computer, raccogliete i registri e spegnetelo.
  • Assicurarsi che i registri raccolti non siano stati modificati o corrotti affinché siano considerati prove valide.

Seguendo questi suggerimenti, puoi assicurarti che i registri dei computer di custodia vengano raccolti e analizzati in modo appropriato per supportare un'indagine forense.

Vantaggi della raccolta dei registri dalle macchine di custodia

La raccolta dei registri dalle macchine di custodia offre una serie di vantaggi, tra cui:

  • Aiuta a identificare la causa di un incidente di sicurezza
  • Traccia il movimento di un intruso
  • Raccoglie prove per un caso penale
  • Fornisce informazioni su ciò che è accaduto su una macchina
  • Aiuta a migliorare la sicurezza di un'organizzazione

 

Garantire dati affidabili

La raccolta di log dai dispositivi di custodia svolge un ruolo cruciale nell'analisi forense, fornendo informazioni preziose per le indagini. Seguendo le migliori pratiche e utilizzando metodi appropriati, è possibile ottenere dati affidabili e pertinenti per contribuire alla risoluzione di incidenti di sicurezza e all'identificazione di attività sospette.

VOCÊ PODE GOSTAR:
Che cosa è la SICUREZZA PIN PCI?
Che cosa è la SICUREZZA PIN PCI?

PCI PIN Security è uno standard di sicurezza internazionale che deve essere adottato da tutti Per saperne di più

Kryptus collabora con il PCI Security Standards Council
Kryptus collabora con il PCI Security Standards Council

Kryptus collabora con il PCI Security Standards Council per contribuire a proteggere Per saperne di più