Gestione degli incidenti

La gestione degli incidenti di sicurezza è complessa a causa delle implicazioni finanziarie e legali

Un incidente può esporre l'organizzazione a danni economici e responsabilità legali, poiché i reati informatici sono equiparati a quelli tradizionali

È essenziale bilanciare la mitigazione dei danni con la conformità legale

Tracciamento a ritroso

Il tracciamento analizza le tracce digitali per identificare le origini di un attacco, dimostrare responsabilità e ricostruire l'evento

Esistono due tipi di analisi:

• Analisi live: Studio in tempo reale del traffico di rete (durante attacchi DoS)
• Analisi post mortem: Studio a posteriori di evidenze come log e pacchetti catturati, spesso su richiesta giudiziaria

Validazione dell'indirizzo IP

Per verificare se un indirizzo IP è falsificato:

1. Si osserva il campo TTL nei pacchetti per determinare il numero di hop
2. Si esegue un traceroute per ottenere l'hop count attuale
3. Se i valori differiscono, l'IP potrebbe essere spoofato

Altre verifiche

• Validazione delle route tramite looking glass
• Reverse query resolution per associare l'IP a un dominio
• Controllo del mail relay con nslookup
• Consultazione dei database dei Regional Internet Registry (RIR) tramite Whois per identificare i responsabili di un netblock