Dalla consulenza tecnica in tribunale agli incident response team: la forense coinvolge profili tecnici e giuridici.
Contesto e Teoria
Consulente tecnico/Perito: analizza evidenze e redige perizie.
Analista forense: conduce acquisizioni e analisi su supporti e memoria.
Incident responder: containment, eradication, recovery e post-mortem.
Digital investigator: correlazioni tra fonti (host, rete, cloud, mobile).
Svolgimento Tecnico
Competenze core: sistemi operativi, reti, scripting, legale di base.
Standard operativi interni, playbook e checklist condivise.
Errori comuni: zone grigie di responsabilità, conflitti di interesse, scarsa gestione della prova.
Strumenti Utili
Stack libero “starter”: Autopsy, Plaso, Volatility, Wireshark, Zeek, CyberChef.
Automazione: Python + Jupyter per estrazioni e reportistica ripetibile.
Caso Pratico
Team misto (legale + tecnico) analizza un data breach: l’analista prepara timeline e indicatori, il consulente struttura la relazione per il giudice.
Riferimenti e Risorse Esterne
Guide a ruoli e competenze professionali nella DFIR.
Community e conferenze (SANS DFIR, forensics wiki, progetti GitHub).
Conclusione
Competenze diverse, obiettivo comune: evidenze solide. Domani: la catena di custodia.