Mission-Critical per i team CSIRT / CERT

Non permettere a una violazione di diventare un problema legale.

In fase di Incident Response, la rapidità è tutto. Ma contenere un attacco senza prima acquisirne le tracce in modo forense distrugge prove cruciali. NormaShield congela la scena del crimine digitale in pochi secondi, garantendo prove legalmente valide per denunce o audit compliance.

Scopri perché è vitale
Threat Intelligence Live
ir_monitor.sh

> ALERT: Anomalous lateral movement detected.

> Initiating containment protocol...

> FATAL ERROR: Chain of custody broken during isolation.

> Digital evidence corrupted.

> Injecting NormaShield Forensics Engine...

> Creating ISO 27037 compliant snapshot [SHA-256 Verified].

> Evidenza preservata con successo.

Il Paradosso dell'Incident Response

I team IT sono addestrati a isolare ed eradicare le minacce rapidamente per ripristinare il business (SLA). Tuttavia, questo approccio reattivo "spazzatura" spesso sovrascrive RAM, log di rete e file temporanei infetti.

Prove inammissibili

Un log copiato e incollato o uno screenshot normale non hanno validità legale. Senza hashing e timestamp certificato, l'aggressione non può essere provata in tribunale.

Sanzioni GDPR

L'incapacità di dimostrare esattamente i confini dell'attacco porta l'Autorità Garante a presumere il worst-case scenario, innalzando drasticamente le sanzioni imposte.

Compromissione Assicurativa

Le polizze Cyber Risk richiedono documentazione oggettiva dell'attacco. Senza reportistica conforme alle norme ISO, l'assicurazione rischia di non rimborsare il danno.

L'anello mancante

La Forensics al centro del Ciclo di Vita dell'Incidente

NormaShield si inserisce dinamicamente nelle fasi "Identification" e "Containment" del modello SANS/NIST. Permette agli analisti di effettuare un "Live Acquisition" mirato prima o durante le procedure di mitigazione dell'attacco.

  • First Responder Empowering: Nessuna necessità di attendere laboratori forensi fisici, acquisisci tutto temporaneamente in pochi minuti.
  • Catena di Custodia Automatica: Ogni pacchetto include log della rete, timestamp di marca temporale e hash SHA-256 bloccato.
  • Formati Integrabili: Generazione di archivi ZIP standard, compatibili con SIEM e piattaforme Autopsy/Magnet Forensics.
Preparation
Identification / Acquisition
NormaShield
Containment
Eradication & Recovery
9 moduli forensi integrati

Strumenti progettati per chi lavora in Trincea

Ogni strumento produce un package ZIP forense scaricabile in locale, con hash SHA-256, chain of custody PDF e report probatorio conforme ISO/IEC 27037. Nessun dato rimane sulla piattaforma.

01

Acquisizione URL

Screenshot full-page, codice HTML, HAR di rete, certificato TLS e metadati DNS. Ideale per cristallizzare pagine di phishing, C2 o contenuti diffamatori prima del takedown.

02

Foto da Fotocamera

Scatta e certifica fotografie con la fotocamera del dispositivo in uso. Ogni immagine viene hashata SHA-256 e inserita in un package scaricabile solo in locale, senza transito su cloud.

03

File Forense

Acquisisci e firma crittograficamente malware, documenti o qualsiasi artefatto digitale. Estrazione metadati, identificazione formato e calcolo hash bloccato nella chain of custody.

04

Dark Web (.onion)

Acquisisce pagine sulla rete Tor tramite proxy SOCKS5 senza DNS leak. Screenshot, HTML e traccia di rete da siti .onion: mercati illegali, forum, leak di dati aziendali.

05

Social Media

Acquisisce post, profili e contenuti da X/Twitter, Instagram, Facebook, TikTok, YouTube e LinkedIn. Browser integrato con autenticazione manuale per contenuti riservati o segnalati.

06

Email Forensics

Parsing completo degli header, catena Received, autenticazione DKIM/SPF/DMARC, estrazione allegati e identificazione del mittente reale. Report probatorio per email di phishing o frode.

07

AI Recognition

Certifica forensicamente se un testo o un'immagine è stato generato da intelligenza artificiale. Identifica il modello AI (ChatGPT, Claude, Gemini, Stable Diffusion) tramite analisi dei pattern.

08

Log Triage & Analysis

Rileva intrusioni, brute force, SQLi, XSS e beaconing C2 su file di log Apache, Nginx, Syslog, IIS e JSON Lines. Classifica le evidenze secondo il framework MITRE ATT&CK.

09

Verifica Breach Email Nuovo

Controlla se account email aziendali o personali sono stati esposti in data breach noti. Integrazione HIBP API v3: breach verificati, tipologie di dati compromessi e paste database.

Documentazione operativa

Guida agli Strumenti di Acquisizione

Riferimento rapido per scegliere lo strumento corretto in base allo scenario di Incident Response e alla tipologia di evidenza da preservare.

# Strumento Scenario d'uso Evidenze acquisite Package forense
01 Acquisizione URL Pagine web di phishing, C2, defacement, contenuti diffamatori online Screenshot PNG full-page, HTML sorgente, HAR di rete, certificato TLS, IP server, DNS screenshot.png, page-source.html, network.har, report-forense.pdf
02 Foto Fotocamera Documentazione di scene fisiche, apparati compromessi, supporti fisici, contesto ambientale Immagine JPEG/PNG, metadati EXIF, hash SHA-256, timestamp acquisizione photo.jpg, exif-metadata.json, report-forense.pdf
03 File Forense Malware, documenti malevoli, artefatti digitali da macchine vittima (max 100 MB) File originale, tipo MIME, hash SHA-256/MD5, metadati, analisi struttura evidence/[file], file-analysis.json, report-forense.pdf
04 Dark Web (.onion) Mercati illegali, forum underground, leak aziendali su rete Tor Screenshot .onion, HTML, log di rete Tor, IP exit node, routing anonimo onion-screenshot.png, onion-source.html, tor-network.json
05 Social Media Post diffamatori, profili fake, contenuti CSAM, cyberbullismo, frodi su piattaforme social Screenshot, HTML, metadati post, cookie sessione, URL canonico, timestamp social-screenshot.pdf, metadata.json, chain_of_custody.pdf
06 Email Forensics Phishing, BEC (Business Email Compromise), email con allegati malevoli, spoofing Header completi, catena Received, DKIM/SPF/DMARC, IP mittente reale, allegati, routing email-raw.eml, headers-analysis.json, attachments/, report.pdf
07 AI Recognition Verifica autenticita' di testi, immagini, screenshot per procedimenti legali o audit Punteggio AI, modello identificato (GPT/Claude/Gemini/SD), pattern analizzati, confidenza ai-analysis.json, report-ai-recognition.pdf
08 Log Triage Post-breach analysis, indagini su accessi anomali, detection di lateral movement e exfiltration Finding MITRE ATT&CK, IOC (IP/domini/URL), timeline eventi, risk score, correlazioni log-triage-report.pdf, findings.json, iocs.json, timeline.json
09 Breach Check NEW Verifica esposizione account email aziendali, assessment post-violazione, due diligence sicurezza Breach HIBP v3 per email, date violazione, dati compromessi, paste database, conteggio account esposti breach-report.json, breach-report-forense.pdf, chain_of_custody.pdf
Ogni acquisizione include chain of custody PDF, hash-manifest SHA-256 e firma temporale ISO 8601 per garantire l'ammissibilita' in sede legale.
I package forensi non vengono conservati sulla piattaforma: sono disponibili per il download locale immediato per un massimo di 15 minuti dalla generazione.
Tutti i moduli sono conformi a ISO/IEC 27037:2012 (Digital Evidence Identification & Preservation) e RFC 3227 (Guidelines for Evidence Collection).
Percorso di crescita professionale

Dal Awareness alla Forensics Digitale

Tre moduli formativi progressivi per costruire le competenze operative necessarie a raccogliere prove digitali con valore legale, gestire incidenti informatici e navigare gli standard internazionali.

01Awareness
02Incident Response
03Digital Forensics
MODULO 01
🔒

Cybersecurity Awareness

Il punto di partenza obbligato: capire il panorama delle minacce, riconoscere un attacco di social engineering e adottare comportamenti operativi sicuri.

Panorama delle minacce e degli attori
Social Engineering e Phishing
Gestione sicura delle credenziali
Sicurezza operativa (OPSEC)
GDPR e responsabilità dell'operatore
Accedi alla formazione
MODULO 02
🚨

Incident Response

Il ciclo di vita completo di un incidente informatico secondo NIST SP 800-61 e ISO/IEC 27035. Dal triage all'eradicazione, fino al post-incident report.

Definizione e classificazione degli incidenti
Il modello PICERL (SANS/NIST)
Triage, escalation e contenimento
Eradicazione e recovery sicuro
Post-incident report e notifiche
Accedi alla formazione
MODULO 03
🔬

Digital Forensics

Metodologia e pratica dell'acquisizione forense digitale secondo ISO/IEC 27037 e RFC 3227. Catena di custodia, integrità delle prove e ammissibilità in giudizio.

ISO/IEC 27037 e principi fondamentali
Catena di custodia: teoria e pratica
Acquisizione forense e write-blocker
Hash crittografico e verifica integrità
Report forense e ammissibilità legale
Accedi alla formazione
LIVE

Cyber Threat Intelligence Bulletin

Gli incidenti informatici più rilevanti aggiornati in tempo reale da CISA, SANS ISC, Bleeping Computer e Security Affairs. Ogni evento è un caso reale in cui la cristallizzazione forense delle prove fa la differenza tra una denuncia ammissibile e un'indagine fallita.

Fonti: CISA · SANS ISC · The Hacker News · Bleeping Computer · Security Affairs · CERT-AgID · Red Hot Cyber, aggiornato ogni 30 minuti

Richiesta Token di Acquisizione

Scegli il piano più adatto al tuo team. Ogni token abilita una nuova acquisizione forense certificata.

Base

Pacchetto Base

5 Token

Ideale per piccole strutture o avvio operativo rapido.

Standard

Pacchetto Standard

10 Token

Pensato per team SOC/CSIRT con necessità ricorrenti di raccolta prove.

Personalizzato

Piano Personalizzato

Volume su misura

Definisci quantità, priorità e modalità in base ai tuoi requisiti enterprise.

Arma il tuo CSIRT con strumenti legali

Non aspettare la prossima compromissione per scoprire che i tuoi report non reggono in tribunale. Inizia a usare NormaShield come strumento predefinito.