DFIR · forense dentro l'incident response

Digital forensics: ricostruire l'attacco, dentro l'incident response.

Dopo un incidente servono risposte fattuali: come sono entrati, cosa hanno toccato, cosa hanno portato via. La digital forensics Fortgale è la fase analitica dell'incident response: evidenze, ricostruzione della catena, IOC. Non perizie da tribunale, ma analisi tecnica che guida contenimento e notifiche.

Endpoint · logAcquisizione evidenze
Catena d'attaccoVettore + movimento laterale
IOC · MITREIndicatori mappati
Standard
MITRE ATT&CK
NIST IR
ISO/IEC 27001
Output
Evidenze · chain of custody
Timeline d'attacco
IOC
Cosa facciamo · DFIR

Tre domande, una ricostruzione.

La forense Fortgale vive dentro l'incident response: gli analisti che contengono sono gli stessi che ricostruiscono l'attacco.

01 ·

Acquisizione evidenze

Immagini di disco e memoria, raccolta di log e artefatti su endpoint e infrastrutture, con conservazione e catena di custodia. Le evidenze prima che si degradino.

02 ·

Ricostruzione della catena

Vettore iniziale, persistenza, movimento laterale, escalation. La timeline dell'attacco mappata su MITRE ATT&CK, dalla prima compromissione all'obiettivo.

03 ·

Cosa è stato toccato o esfiltrato

Distinguere ciò che è stato consultato, cifrato o copiato all'esterno: la base per le notifiche e per la pratica assicurativa. Più gli IOC per bloccare il reingresso.

Onestà sul perimetro

Forense operativa, non da tribunale.

Fortgale eroga la forense come parte dell'incident response. Le evidenze e la ricostruzione supportano notifiche, assicurazione e decisioni interne. Le perizie giurate e la consulenza tecnica in ambito giudiziario sono un'altra professione, che Fortgale non eroga: lo diciamo chiaramente.

Dentro l'incident response

La forense alimenta contenimento ed eradicazione. Vedi il servizio Incident Response e l'MDR che lo opera 24·7·365.

Alimentata dalla ricerca

L'analisi del malware e degli attori (es. CTI, 287 tool e attori profilati) accelera la ricostruzione: sappiamo già come si muovono.

Caso reale · ricostruzione catena

Nell'Operation Storming Tide il team Fortgale ha ricostruito una catena multi-stadio (Mora_001: Matanbuchus 3.0 → Astarion RAT → SystemBC, esfiltrazione RClone), mappata MITRE, con IOC pubblicati. Esfiltrazione e ransomware prevenuti.

Leggi l'analisi →
Caso reale · analisi malware

Su Nebula Broker il team ha analizzato il malware proprietario BrokerLoader e attribuito l'attore: Mandiant (Google) lo ha poi confermato come UNC4990. Analisi forense del codice, non solo degli alert.

Leggi la ricerca →
FAQ · DFIR

Cosa è (e cosa non è) la nostra forense.

Fate perizie informatiche forensi o CTU da tribunale?

No. Eroghiamo digital forensics come fase dell'incident response (DFIR): analisi dell'attacco, evidenze, ricostruzione. Non offriamo perizie giurate o consulenza tecnica in ambito giudiziario: quella è una professione forense dedicata al contesto legale, distinta dalla nostra.

Cosa include la forense Fortgale?

Acquisizione e conservazione evidenze (disco, memoria, log), analisi degli artefatti, ricostruzione di vettore e movimento laterale, identificazione di cosa è stato esfiltrato, IOC mappati MITRE ATT&CK.

Quando interviene l'analisi forense?

Durante e dopo un incidente, dentro l'incident response. Risponde a tre domande: come sono entrati, cosa hanno toccato, cosa hanno portato via. Le risposte guidano contenimento, ripristino e notifiche.

Le evidenze servono per il Garante o l'assicurazione?

Sì: supportano la notifica al Garante, la pratica con l'assicurazione cyber e la documentazione interna. La valutazione giuridica e gli atti formali restano al titolare, al DPO o al legale.

Differenza tra DFIR e incident response?

L'IR è il processo completo (rilevamento, contenimento, eradicazione, ripristino); la forense è la componente analitica che ricostruisce i fatti. In Fortgale sono lo stesso presidio: chi contiene è chi ricostruisce.

Dovete capire cosa è successo?

Ricostruire l'attacco è il primo passo per chiuderlo.

Parlate con il team IR Fortgale: acquisiamo le evidenze, ricostruiamo la catena d'attacco e identifichiamo cosa è stato esfiltrato, dentro un servizio di incident response con SOC italiano 24·7·365.

Tempo di risposta: < 1 giorno lavorativo.