1 00:00:03,000 --> 00:00:04,640 Bentornati. 2 00:00:04,640 --> 00:00:07,120 Una volta che un incidente è contenuto, la domanda successiva 3 00:00:07,120 --> 00:00:10,120 è: cosa è successo esattamente? 4 00:00:10,160 --> 00:00:13,160 È qui che entra in gioco la cybersecurity forensics. 5 00:00:13,200 --> 00:00:17,160 In questa lezione, imparerai come gli analisti investigano gli incidenti di sicurezza. 6 00:00:17,520 --> 00:00:20,800 Svelano il percorso di attacco e preservano la digital evidence 7 00:00:20,800 --> 00:00:23,800 per revisione interna o anche azione legale. 8 00:00:24,720 --> 00:00:25,560 La Cybersecurity 9 00:00:25,560 --> 00:00:28,920 forensics è la scienza di esaminare sistemi, file, 10 00:00:28,920 --> 00:00:32,280 e logs per determinare come è avvenuto un attacco. 11 00:00:32,880 --> 00:00:34,920 Quali sistemi sono stati colpiti? 12 00:00:34,920 --> 00:00:37,440 Quali dati potrebbero essere stati compromessi? 13 00:00:37,440 --> 00:00:39,880 Chi potrebbe esserci stato dietro? 14 00:00:39,880 --> 00:00:42,760 Questa investigazione supporta l'incident response, 15 00:00:42,760 --> 00:00:47,080 rafforza le difese, e può anche supportare azioni legali o forze dell'ordine. 16 00:00:48,400 --> 00:00:52,440 Gli analisti forensi estrapolano prove da logs di sistema e applicazione, 17 00:00:52,440 --> 00:00:56,200 disk images (snapshots di unità), 18 00:00:57,040 --> 00:01:00,040 memory dumps (contenuti RAM live), 19 00:01:00,520 --> 00:01:02,760 catture di network traffic, 20 00:01:02,760 --> 00:01:05,160 email metadata e headers. 21 00:01:05,160 --> 00:01:08,560 Ogni pezzo aiuta a ricostruire l'attack timeline e verificare 22 00:01:08,560 --> 00:01:09,960 cosa è stato toccato o rubato. 23 00:01:11,160 --> 00:01:14,360 Quando la forensics è usata in azioni legali o disciplinari, 24 00:01:14,720 --> 00:01:17,640 mantenere la Chain of Custody è critico. 25 00:01:17,640 --> 00:01:21,000 Ciò significa documentare dove le prove sono state archiviate, 26 00:01:21,480 --> 00:01:25,400 chi vi ha acceduto, e quando, come sono state protette dalla manomissione. 27 00:01:26,400 --> 00:01:29,760 Anche un piccolo errore qui può rendere le prove inammissibili in tribunale. 28 00:01:30,480 --> 00:01:33,560 Ecco perché gli analisti usano protocolli rigorosi quando gestiscono i dati. 29 00:01:34,840 --> 00:01:37,840 Il lavoro forense si basa su strumenti specializzati. 30 00:01:37,840 --> 00:01:40,560 Esempi includono FTK 31 00:01:40,560 --> 00:01:43,920 (Forensic Toolkit) per analisi di file e dischi. 32 00:01:44,400 --> 00:01:48,560 Autopsy: suite open source per esaminare immagini e logs. 33 00:01:49,080 --> 00:01:50,360 Volatility: 34 00:01:50,360 --> 00:01:52,600 framework per memory forensics. 35 00:01:52,600 --> 00:01:53,760 Wireshark: 36 00:01:53,760 --> 00:01:56,160 network traffic analysis. 37 00:01:56,160 --> 00:01:58,800 Questi strumenti aiutano gli analisti a estrarre, preservare, 38 00:01:58,800 --> 00:02:01,800 e interpretare i dati accuratamente e in sicurezza. 39 00:02:02,280 --> 00:02:04,480 La Forensics non riguarda solo la colpa. 40 00:02:04,480 --> 00:02:06,120 Riguarda l'apprendimento. 41 00:02:06,120 --> 00:02:10,120 Un'investigazione completa rivela come l'attaccante è entrato. 42 00:02:10,920 --> 00:02:13,160 Quali difese hanno fallito? 43 00:02:13,160 --> 00:02:16,160 Come rafforzare i sistemi in futuro. 44 00:02:16,320 --> 00:02:20,160 I risultati forensi alimentano direttamente security policies aggiornate, 45 00:02:20,520 --> 00:02:23,640 migliori regole di rilevamento e formazione utente più intelligente. 46 00:02:24,400 --> 00:02:26,560 Pronto per un piccolo quiz di riepilogo? 47 00:02:26,560 --> 00:02:27,640 Domanda uno. 48 00:02:27,640 --> 00:02:30,600 Cosa comporta la cybersecurity forensics? 49 00:02:30,600 --> 00:02:33,400 A criptare hard drive. 50 00:02:33,400 --> 00:02:35,600 B scrivere nuovo codice. 51 00:02:35,600 --> 00:02:39,120 C investigare incidenti usando digital evidence. 52 00:02:39,600 --> 00:02:42,400 D resettare password utente. 53 00:02:42,400 --> 00:02:43,560 Pausa per pensare. 54 00:02:48,840 --> 00:02:50,880 La risposta corretta è C. 55 00:02:50,880 --> 00:02:53,400 La Forensics è l'investigazione e l'analisi 56 00:02:53,400 --> 00:02:56,400 di digital evidence dopo un evento di sicurezza. 57 00:02:56,920 --> 00:03:00,840 Domanda due perché gli analisti devono mantenere una Chain of Custody? 58 00:03:01,360 --> 00:03:03,680 A per tracciare link di phishing. 59 00:03:03,680 --> 00:03:06,400 B per resettare i permessi dei dipendenti. 60 00:03:06,400 --> 00:03:10,160 C per assicurare che le prove siano affidabili e legalmente valide. 61 00:03:10,760 --> 00:03:13,600 D per migliorare le velocità di download. 62 00:03:13,600 --> 00:03:16,600 Riflettici. 63 00:03:19,680 --> 00:03:23,360 La risposta corretta è C senza una corretta Chain of Custody, 64 00:03:23,600 --> 00:03:26,160 le prove potrebbero essere rifiutate in tribunale. 65 00:03:26,160 --> 00:03:27,720 Domanda finale. 66 00:03:27,720 --> 00:03:30,720 Quale strumento è comunemente usato per analizzare la memoria di sistema? 67 00:03:31,400 --> 00:03:35,760 A Wireshark B Autopsy. 68 00:03:36,360 --> 00:03:40,880 C Volatility D Nessus. 69 00:03:41,640 --> 00:03:44,640 Riflettici. 70 00:03:47,720 --> 00:03:49,720 La scelta corretta è C. 71 00:03:49,720 --> 00:03:52,720 Volatility è un framework usato per memory forensics. 72 00:03:53,720 --> 00:03:55,080 Eccellente lavoro. 73 00:03:55,080 --> 00:03:56,120 Ora capisci 74 00:03:56,120 --> 00:04:00,080 come le investigazioni forensi supportano threat detection e incident response, 75 00:04:00,440 --> 00:04:04,320 e come la digital evidence può rafforzare le difese o supportare azioni legali. 76 00:04:04,960 --> 00:04:08,080 Dopo, un laboratorio hands-on dove analizzerai un 77 00:04:08,080 --> 00:04:11,760 incidente di sicurezza simulato e percorrerai passaggi di risposta del mondo reale. 78 00:04:12,080 --> 00:04:13,280 Mettiamo tutto insieme.