Incident Response Forense
Preservazione delle evidenze digitali dopo un attacco informatico. Raccolta prove per denuncia, assicurazione e analisi post-incidente con catena di custodia.
In breve
Hai subito un attacco informatico e devi sporgere denuncia? Raccogliamo e preserviamo le tracce dell'attacco con metodo forense, prima che vadano perse, perché siano utilizzabili come prove.
Vuoi saperne di più?
Dopo un attacco informatico, il primo istinto è ripristinare i sistemi il prima possibile. Ma se le tracce dell'attacco non vengono preservate prima del ripristino, le prove vanno perse per sempre. Il nostro intervento di incident response forense si concentra sulla raccolta e preservazione delle evidenze con catena di custodia, così che possano essere usate per la denuncia alle autorità, la richiesta risarcitoria all'assicurazione e l'analisi interna delle cause.
Perché scegliere questo servizio
Le prove spariscono in fretta
Log che ruotano, RAM che si svuota, sistemi che vengono ripristinati: ogni ora che passa dopo un attacco è un'ora di evidenze perse. L'intervento tempestivo è decisivo.
Denuncia con sostanza
Una denuncia generica viene archiviata. Una denuncia con log, hash, timeline e indicatori di compromissione dà alla Polizia Postale elementi concreti su cui lavorare.
Assicurazione e compliance
Le polizze cyber e il GDPR richiedono documentazione tecnica dell'incidente. Il nostro fascicolo soddisfa entrambi i requisiti.
Perché la forensics viene prima del ripristino
Dopo un attacco informatico - ransomware, intrusione, esfiltrazione di dati - la reazione naturale è rimettere tutto in piedi il prima possibile. Ma c’è un problema: ripristinare i sistemi significa distruggere le prove.
I log vengono sovrascritti. La RAM si svuota. I file dell’attaccante vengono cancellati dal ripristino. Se non raccogli le evidenze prima, sono perse per sempre.
Il nostro intervento si inserisce tra l’incidente e il ripristino: preserviamo tutto ciò che serve per capire cosa è successo, chi lo ha fatto e come. Poi il tuo IT può procedere con il recovery.
Cosa facciamo
Contenimento
Isoliamo i sistemi compromessi per fermare la propagazione dell'attacco, senza spegnere le macchine e senza perdere evidenze volatili.
Acquisizione RAM
Catturiamo la memoria volatile dei sistemi compromessi: processi attivi, connessioni di rete, credenziali in uso, malware residente in memoria.
Imaging dischi
Copia forense dei dischi dei sistemi coinvolti. L'originale resta intatto per eventuali verifiche successive.
Raccolta log
Log di firewall, proxy, Active Directory, email server, VPN, applicazioni. Li preserviamo prima che la rotazione automatica li cancelli.
Analisi e timeline
Ricostruiamo la sequenza dell'attacco: punto di ingresso, movimenti laterali, persistenza, esfiltrazione. Una timeline chiara degli eventi.
Documentazione
Produciamo il fascicolo completo: evidenze, hash, catena di custodia, timeline, indicatori di compromissione. Pronto per denuncia, assicurazione e compliance.
A cosa servono le evidenze
Denuncia alla Polizia Postale: Una denuncia corredata da log, indicatori di compromissione e timeline dà alle autorità elementi concreti per indagare. Una denuncia generica (“siamo stati hackerati”) finisce in un cassetto.
Richiesta assicurativa: Le polizze cyber richiedono documentazione tecnica dell’incidente per procedere con il risarcimento: cosa è successo, quando, quale danno è stato provocato, quali misure erano in essere.
Notifica data breach GDPR: Gli articoli 33 e 34 del GDPR impongono di notificare i data breach al Garante entro 72 ore e, in certi casi, agli interessati. La notifica deve includere la natura della violazione, i dati coinvolti e le misure adottate. Il nostro fascicolo contiene tutto il necessario.
Analisi interna: Capire come è avvenuto l’attacco è essenziale per evitare che si ripeta. La nostra analisi identifica il vettore di ingresso e le vulnerabilità sfruttate.
Tipologie di incidenti
- Ransomware: sistemi cifrati, richiesta di riscatto, possibile esfiltrazione preventiva
- Compromissione email aziendale (BEC): accesso abusivo a caselle email, email fraudolente a clienti/fornitori
- Esfiltrazione dati: copia non autorizzata di dati sensibili verso l’esterno
- Intrusione su server: accesso abusivo a sistemi esposti, installazione di backdoor
- Insider threat: attacco dall’interno, dipendente che sabota o sottrae dati
Tempistiche
L’intervento forense è urgente per natura. Ogni ora che passa riduce le evidenze disponibili.
- Contatto iniziale: rispondiamo entro poche ore, anche fuori orario
- Acquisizione evidenze volatili (RAM, log): entro le prime 24 ore
- Imaging dischi: entro 48-72 ore dall’incidente
- Fascicolo preliminare: entro 5 giorni lavorativi
- Relazione completa: entro 15 giorni lavorativi
Altri servizi Legal & Digital Forensics
Scopri gli altri servizi del nostro pillar legal & digital forensics.
Digital Forensics & Acquisizione Forense
Cristallizzazione di prove digitali con catena di custodia, data certa certificata e valore probatorio. Perizie tecniche di parte per contenziosi civili e penali.
Acquisizione Forense Web & Social
Cristallizzazione di pagine web, video, post e contenuti social media con catena di custodia e certificazione con data certa opponibile. La prova digitale che regge in tribunale.
Acquisizione Forense Dispositivi
Copia forense bit-a-bit di computer, smartphone, hard disk e supporti digitali con catena di custodia completa. Evidenze digitali ammissibili in giudizio.
CTP: Consulente Tecnico di Parte
Consulente tecnico informatico di parte per cause civili e penali. Perizie tecniche, analisi di acquisizioni avversarie e assistenza in udienza.
Indagini Digitali Aziendali
Indagini interne su dipendenti infedeli, fuga di dati, uso improprio di strumenti aziendali. Raccolta evidenze con metodo forense per azioni disciplinari o legali.
Pronto a iniziare?
Contattaci per una consulenza gratuita. Ti aiuteremo a trovare la soluzione migliore per la tua azienda.