Forensic Analysis & Incident Handling

Add a Comment

Comment by Alessandro Bottonelli on June 3, 2008 at 5:04pm

Re: correlazione che esiste tra analisi forense e la gestione degli incidenti. La prima è un'attività fatta off-line, a posteriori, con il requisito dell'immutabilità del sistema osservato.

Hmmmm. Non necessariamente. Se si puo' tanto meglio ovviamente. Se non si puo' si deve giocoforza analizzare una copia del sistema (andato perso o che e' stato per motivi di business ripristinato). Ovviamente perche' una analisi forense sia poi ammissibile come prova deve soddisfare una serie di condizioni (diverse a seconda della giurisdizione e se stiamo parlando di amministrativo, civile o penale). Comunque i criteri di base sono simili: i dati osservati devono dare prova di essere integri, non essere stati modificati dopo la loro raccolta, di provenienza certa, di data certa, etc. etc.

Re: La seconda ha invece come obiettivo quello di modificare le condizioni di un sistema, al fine di riportarle ad una condizione nota ed ottimale

Se lo vedi dal punto di vista IT e' una buona definizione. Se lo vedi da un punto di vista piu' complessivo ripristinare "il sistema" è il mezzo non il fine. Se esiste un altro modo di riavviare il business a delle condizioni definite soddisfacenti dal management dell'Azienda / Organizzazione... va bene lo stesso fosse anche "a manovella" :-)))))

Ovvio che in una organizzazione moderna in 9 casi su 10 riavviare il business vuol dire riavviare i sistemi IT, ma ripeto questi sono il MEZZO, non il fine.

Una buona correlazione fra i due mondi e' che si tenta, quando possibile, di non compromettere le "prove" di un evento colposo o criminoso nella fretta di riavviare il sistema IT. Quando cio' non e' possibile bisogna trovare compromessi o addirittura rinunciare alla possibilita' di inseguire colpevoli pur di riavviare i sistemi nel minor tempo possibile. Valutazione normalmente in carico al Top Management. Gli dico sempre: siete pagati per momenti come questi... facendo un bel GRIN con i denti! :-)

Comment by Andrea Rui on April 18, 2008 at 10:53pm

Sono interessato a che qualcuno mi chiarisca meglio quale sia la correlazione che esiste tra analisi forense e la gestione degli incidenti.
La prima è un'attività fatta off-line, a posteriori, con il requisito dell'immutabilità del sistema osservato.
La seconda ha invece come obiettivo quello di modificare le condizioni di un sistema, al fine di riportarle ad una condizione nota ed ottimale.
È un po' la correlazione che può esistere tra un archeologo ed un medico, insomma ...