Quando richiedere i servizi di Network Forensics

23 Apr , 2019 Digital Security

Quando richiedere i servizi di Network Forensics

La sicurezza digitale riveste un ruolo di crescente importanza nell’economia delle attività di un’azienda. Comunicazioni riservate e dati sensibili possono essere alla mercé di attacchi informatici, volti all’acquisizione fraudolenta di informazioni che viaggiano sui network aziendali e non solo.

Cos’è la Network Forensics

La Network Forensics(NF) è una scienza forense che appartiene al ramo della Digital Forensics. Si tratta di una scienza relativamente recente, sorta in concomitanza con lo sviluppo e la progressiva diffusione di Internet.

Come si può intuire dal nome, essa concerne in particolare l’analisi delle comunicazioni di rete (ossia il network) con varie finalità, benché la principale sia quella di carattere investigativo. La Network Forensics, infatti, consente di raccogliere dati ed informazioni che possono essere impiegate in un secondo momento a supporto di operazioni investigative di varia natura, dalle indagini interne ad un’azienda fino agli ambiti civile e penale.

Trattandosi di una scienza forense, anche la Network Forensics si occupa di individuare le prove di un reato (oltre ad una più generica analisi del traffico di rete) che spesso consiste in una “intrusione” all’interno del network da parte di un soggetto esterno non autorizzato. Poiché il traffico di rete consiste sostanzialmente in informazioni volatili e dinamiche, ossia dati che vengono trasmessi per poi andare perduti, spesso le indagini di Network Forensics hanno un carattere proattivo.

Proteggi la tua sicurezza digitale con un’analisi Network Forensics

Contatta Inside

Come funziona una analisi di Network Forensics

L’analisi forense di un network prevede una fase primaria di raccolta dei dati ed una successiva fase di analisi. La selezione del ‘materiale’ da analizzare può essere perseguita attraverso differenti metodologie:

  • Il metodo denominato “catch-it-as-you-can” (letteralmente, ‘catturalo come puoi’) prevede l’assimilazione di tutti i ‘pacchetti’ di dati che passano attraverso un determinato punto di traffico; questi vengono poi immagazzinati per essere successivamente analizzati in batch;
  • La tecnica “stop, look, listen” (‘ferma, guarda, ascolta’) invece, richiede meno spazio per immagazzinare dati ma, di contro, richiede un processore più veloce per stare al passo con il traffico da analizzare, poiché con questo metodo ogni ‘pacchetto’ è analizzato singolarmente; una parte dei dati viene poi salvata per essere ulteriormente esaminata in seguito.

L’analisi dei dati può essere anche suddivisa in base al momento della ‘cattura’ ed alle caratteristiche dei ‘pacchetti’ presi in considerazione:

  • L’analisi Real Time prevede l’acquisizione immediata dei pacchetti con relativa valutazione istantanea del loro contenuto; questo genere di attività è particolarmente diffusa all’interno dei servizi di Network Security e serve principalmente ad effettuare intercettazioni telematiche;
  • L’analisi Post Mortem prevede, invece, l’acquisizione di dati e messaggi ad un livello diverso (tramite applicazione); la valutazione viene effettuata in un momento successivo alla ‘cattura’; questo tipo di analisi è una delle più utilizzate nell’ambito della Network Forensics;
  • L’analisi Flow Based si occupa delle meccaniche dei flussi di traffico; si configura per lo più come un’indagine di massa a scopi statistici;
  • L’analisi Content Based, infine, consiste nel selezionare solo alcuni pacchetti di dati, in base a specifici parametri di contenuto, allo scopo di svolgere intercettazioni di carattere parametrico.

L’acquisizione dei dati può avvenire a vari livelli:

  • Ethernet: in questo ‘strato’ della rete, vengono utilizzati specifici tool (come ad esempio Wireshark) per la cattura dei dati da un’interfaccia della rete (network card interface) configurata in modalità promiscua. I vari tipi di dati e comunicazioni possono essere filtrati in base alla tipologia ed al loro contenuto ma la ricostruzione degli stessi è possibile solo se si tratta di dati decriptati; in aggiunta, è possibile analizzare anche i protocolli come l’ARP (AddressResolutionProtocol) o altri che si trovano ad un livello più alto. Il principale svantaggio di questo metodo di indagine è la necessità di un’ampia capacità di stoccaggio dei dati;
  • TCP e IP: a questo livello, la rete fornisce sia informazioni relate al ruoter sia prove di autenticazione per l’accesso. Questo tipo di indagine consente di identificare pacchetti di dati ‘compromessi’, fonti, ‘reverse routing’ e anche di rintracciare i dati. È inoltre possibile ricostruire un attacco condotto ai danni di una rete collegando fra loro diversi accessi alla rete stessa. Poiché i device di rete hanno una limitata capacità di contenimento dei dati, gli amministratori configurano i dispositivi in maniera tale da inviare gli accessi ad un server, dove vengono depositati per un determinato periodo di tempo;
  • Internet: i servizi forniti da questo ‘livello’ del network sono innumerevoli e vanno dal ‘www’ alla posta elettronica, passando per i servizi di messaggistica e il trasferimento di file; pertanto, l’Internet abbonda di prove digitali, rintracciabili tramite l’identificazione degli accessi ai server (che variano a seconda del servizio per il quale sono utilizzati) che, a loro volta, conservano informazioni che possono rivelarsi particolarmente utili in sede d’indagine, come ad esempio cronologia, indirizzi email o dati relativi ad un account personale;
  • Wireless: l’analisi forense a questo livello riguarda reti e dispositivi wireless, come ad esempio i telefoni cellulari, includendo nei dati di traffico anche le comunicazioni vocali. L’analisi può includere anche la localizzazione del dispositivo, secondo modalità non dissimili da quelle impiegate per le altre reti, prendendo in debita considerazione istanze differenti in materia di sicurezza.

Una volta determinati il livello e il metodo di analisi, le indagini di Network Forensics si articolano in una serie di passi successivi:

  • Identificazione di un ‘incidente’, sulla base degli indicatori di rete;
  • Conservazione delle prove fisiche raccolte e protezione delle stesse da possibili agenti alteranti;
  • Raccolta e duplicazione dei dati raccolti tramite procedure standard;
  • Valutazione e ricerca in profondità dei segnali di un attacco condotto ai danni della rete;
  • Analisi delle prove raccolte e relative conclusioni, da presentare tramite un rapporto dettagliato;
  • Reazione all’attacco od all’intrusione riscontrati.

Proteggi la tua sicurezza digitale con un’analisi Network Forensics

Contatta Inside

Quando richiederla

Le indagini di Network Forensic possono essere richieste da chiunque sospetti una violazione della propria privacy; l’accesso abusivo ad una rete informatica costituisce forse il caso esemplare ma anche l’ingiuria o la diffamazione tramite i social network possono rappresentare una valida causale per commissionare indagini forensi di rete ad un’agenzia di investigazioni privata.

L’analisi del traffico di rete può essere richiesta sia da un privato sia da un titolare d’azienda, anche tramite un legale rappresentate; nel secondo caso, sono diversi i ‘sintomi’ che possono generare il sospetto che la sicurezza digitale della propria attività sia stata violata: dal mancato rispetto del diritto d’autore all’appropriazione o l’utilizzo indebiti di marchi (ottenuti senza il consenso del legittimo proprietario); ciò, a sua volta, può tradursi in un danno economico per l’azienda (perdita di clienti, calo dei profitti od anche danno d’immagine), determinato da un atteggiamento concorrenziale illecito da parte di un soggetto esterno all’attività.

Desideri ricevere una consulenza gratuita o un preventivo senza impegno su questo argomento?
CONTATTACI SUBITO:



Servizi Correlati
Digital & Mobile Forensics
Sicurezza Informatica