Introducing G2.ai, the future of software buying.Try now
Glossario Tecnologico

Analisi della Memoria

Holly Landis
HL
da Holly Landis
La memoria forense è una forma di indagine sulla sicurezza informatica che esamina i dati di memoria per attività dannose. Scopri come le aziende possono proteggere i loro dati.

In questo post

In questo post

Che cos'è la memoria forense?

La memoria forense, nota anche come analisi della memoria, è un tipo di indagine digitale che esamina un dispositivo alla ricerca di prove di software dannoso o di un attacco informatico.

Per approfondire la memoria di sistema di un dispositivo, si utilizza software di analisi forense digitale per creare un'istantanea, o dump di memoria, dei dati della memoria ad accesso casuale (RAM) per l'analisi. Questi dati volatili sono temporanei e scompaiono una volta che il dispositivo viene spento. Per questo motivo, un dump di memoria è il modo migliore per mantenere un accesso permanente a queste informazioni per condurre l'indagine.

Una volta recuperati, gli investigatori della memoria forense portano i dati fuori sede e li valutano per attività sospette che potrebbero non essere evidenti nei soli dati del disco rigido. Le informazioni trovate durante l'analisi possono fornire preziose intuizioni sullo stato del sistema prima che la sicurezza fosse compromessa. Da lì, determinano i loro prossimi passi.

Tipi di memoria forense

Sebbene la memoria forense sia un tipo di tecnica di indagine, può supportare diversi formati di acquisizione. Questi includono:

  • Formato RAW. Quando si sospetta un'attività dannosa abbastanza presto, possibilmente attraverso approcci di caccia alle minacce, gli investigatori possono catturare un'istantanea dei dati direttamente dall'ambiente live del dispositivo per l'analisi. Questo è il formato più comunemente usato nella memoria forense.
  • Dump di crash. Se un dispositivo si blocca, i suoi dati volatili rischiano di essere persi, ma alcuni strumenti di analisi forense digitale possono recuperare queste informazioni dal sistema operativo (OS) successivamente.
  • File di ibernazione. Quando un dispositivo si spegne in modalità ibernazione, alcuni contenuti della RAM vengono salvati per la prossima volta che il dispositivo viene riacceso. Viene creato un file di ibernazione di queste informazioni, il che significa che gli investigatori possono estrarre i contenuti di questo dump di memoria dal sistema operativo.
  • File di pagina. Questi tipi di file sono memorizzati nella RAM del sistema e possono essere copiati per essere esaminati in un secondo momento.
  • Snapshot VMWare. Per dispositivi come le macchine virtuali – il "VM" in VMWare – un'istantanea di un momento specifico può essere utilizzata nell'analisi della memoria. Gli investigatori cattureranno lo stato esatto del dispositivo al momento dell'istantanea.

Elementi di base della memoria forense

Il processo di memoria forense è suddiviso nelle seguenti fasi distinte.

  • Acquisizione della memoria è la fase di raccolta dei dati dal dispositivo. Viene creata una copia della RAM utilizzando software di analisi forense digitale, che ha accesso al sistema operativo e all'hardware del dispositivo. Il team crea un'istantanea di memoria RAW per l'analisi. Possono essere prese diverse istantanee per confronti con timestamp durante l'indagine.
  • Analisi della memoria è il processo di revisione del file di istantanea e ricerca di potenziali problemi. Ogni investigatore lavora in modo diverso, ma i passaggi comuni nell'analisi sono la scansione di firme di malware, l'estrazione di file da varie parti del sistema e il recupero di dati che potrebbero essere stati temporaneamente persi.

Vantaggi della memoria forense

La sicurezza informatica è uno sforzo continuo che le aziende devono sempre considerare. L'analisi della memoria può essere sia un approccio proattivo che reattivo, con vantaggi che includono:

  • Individuare malware difficili da rilevare. I criminali informatici diventano ogni giorno più sofisticati e imparano a eludere i comuni firewall e altri sistemi di sicurezza. Una volta che hanno accesso alla RAM di un dispositivo, la maggior parte dei sistemi non può rilevarli. Qualsiasi organizzazione o individuo che prendono di mira è a rischio. La memoria forense apre la strada a un'indagine approfondita per sradicare il malware al cuore del sistema operativo.
  • Fornire prove di attacchi reali. Affrontare un attacco informatico è una sfida, ma avere prove di un attacco coordinato aiuta a richiedere personale o risorse di sicurezza aggiuntive. Le prove trovate attraverso la memoria forense possono essere la prova che è necessario un supporto extra per proteggere l'azienda da ulteriori attacchi.
  • Anticipare le minacce future. Anche se si concentra sull'indagine di incidenti già avvenuti, l'analisi forense può essere utilizzata per prevenire ulteriori attacchi. Se durante un dump di memoria vengono trovate anomalie di sistema benigne, i team IT possono creare patch per i bug prima che diventino vulnerabilità sfruttate.

Migliori pratiche per la memoria forense

Gli investigatori possono rivelare molte informazioni importanti grazie alla memoria forense. Per garantire un'indagine di successo, i team dovrebbero:

  • Pianificare in anticipo. Avere un obiettivo chiaro e un ambito per l'indagine rende i risultati più chiari e accurati. Soprattutto se l'indagine sta reagendo a una minaccia sospetta, un elenco dettagliato di compiti e passaggi può risparmiare tempo e trovare problemi più rapidamente in modo che si possa agire per rimuovere la minaccia. 
  • Documentare tutti i passaggi. Tutte le azioni, i compiti, gli strumenti e le persone responsabili dovrebbero essere annotati durante un'indagine forense. Non solo questo mantiene il team sulla buona strada, ma può anche essere consultato in seguito se sorgono ulteriori problemi.
  • Convalidare i risultati. Una volta raccolte le prove, convalidare i risultati rispetto ad altre indagini e dare un secondo sguardo ai risultati da parte dei membri del team che non hanno raccolto i dati iniziali. Questo può confermare l'accuratezza dei risultati, oltre a fornire affidabilità. La coerenza è cruciale nella memoria forense, poiché queste prove possono essere confrontate con indagini future.

Monitora continuamente le possibili minacce informatiche e mantieni la tua organizzazione al sicuro con software di gestione della superficie di attacco.

Holly Landis
HL

Holly Landis

Holly Landis is a freelance writer for G2. She also specializes in being a digital marketing consultant, focusing in on-page SEO, copy, and content writing. She works with SMEs and creative businesses that want to be more intentional with their digital strategies and grow organically on channels they own. As a Brit now living in the USA, you'll usually find her drinking copious amounts of tea in her cherished Anne Boleyn mug while watching endless reruns of Parks and Rec.