Anonim

Ако нападач добије неовлаштени приступ подацима, то је инцидент у ИТ безбедности. Прави одговор на такав догађај је ланац радњи унутар којих ИТ форензика припада фази анализе.

Die IT-Forensik kann vieles leisten, oft aber nicht unmittelbar - zusätzliche Werkzeuge sind daher nötig.
ИТ форензичари могу много учинити, али често не директно - стога су потребни додатни алати.
Фото: Еисенханс - Фотолиа.цом

Класична ИТ форензика омогућава вам да одговарате на питања која постоје након могућег инцидента користећи постојеће трагове. То укључује, на пример, питање врсте и количине објављених података или тачне кораке које је нападач предузео. Међутим, она не може дати брзе одговоре одмах на почетку инцидента. Стога, у акутним случајевима, нема смисла прво да сачекате резултате форензичког испитивања и тек након тога одлучите о даљим корацима. Уместо тога, неопходно је додатно користити друге методе за почетну процену и накнадно допунити слику прогресивно стижућим налазима форензичке истраге.

Полазишта за истраге

Налази о инциденту могу се добити из различитих извора. Класична ИТ форензика која се користи за истраживање злочина углавном се ослања на анализу носача података, систем датотека и датотека сачуваних у њима. Међутим, посебно у инцидентима у окружењу сервера, количина података може бити значајна. Копирање и анализа информација траје дуго, краткорочно је давање одговора немогуће.

Поред тога, процена главне меморије се утврдила као призната метода последњих година. За брзо откривене или чак у току нападе нуди добре шансе за смислене трагове. Добијене количине података су у тим случајевима обично управљивије него у количинској анализи. Лакше је креирати меморијску копију сумње. Међутим, за смислену процену неопходни су знање и алати који су у најкраћем броју случајева доступни у најкраћем могућем року.

Die forensische Analyse ist nur eine Phase von sechs, die nach einem Sicherheitsvorfall stattfinden sollten (Aufteilung nach DFN-CERT).
Форензичка анализа је само шеста фаза која би се требала догодити након сигурносног инцидента (подијељено на ДФН-ЦЕРТ).
Фото: циросец ГмбХ

Боље погодне за брзу почетну процену су друге методе. Уместо заморне резервне копије тврдог диска, можда ће имати смисла питати статус система преко мреже док систем и даље ради. У неким случајевима ова метода већ даје почетне савете - на пример списак постојећих мрежних веза или свих процеса који се изводе у групи сервера. Процена мрежне комуникације - на пример помоћу података са фиревалл-а, проки-ја или са Нетфлов-а - и централно похрањених протокола је такође од великог значаја. Сигурносни инциденти који обухватају више система док нападач прелази из једног система у други често се може пратити много брже.

  1. 1. Припрема
  2. 2. Откриће
  3. 3. Анализа
  4. 4. задржавање
  5. 5. Освојите контролу
  6. 6. Постпроцесирање

Поред класичног хаковања, злонамјерни софтвер је такође укључен у све већи број инцидената. Анализа злонамјерног софтвера откривеног у једном тренутку може пружити важне трагове за препознавање присутности на другим системима.

Захтева организација

Рјешавање информатичког сигурносног инцидента је захтјеван задатак: Руководство захтијева редовна ажурирања статуса, дигиталне трагове треба прикупити и процијенити што је брже могуће, а напад ефикасно блокирати. Координација активности увек треба да буде у рукама интерног тима - ово зна спољне контакт особе и процесе за разлику од спољних. У зависности од нивоа искуства укључених особа, подршка пружаоца услуга може бити корисна. Између осталог, он помаже у процени ситуације и осмишљавању стратегије одбране. Прикупљање форензичких података требало би да - под условом да је адекватна припрема - спровели сами обучени администратори система. Јер: За нове неправилности могу да одговоре много брже него спољни провајдери услуга.

Накнадна анализа података даје многим компанијама споља, јер оне не могу сами да држе знање и алате за анализу. За веће инциденте који укључују више погођених система, могло би бити корисно паралелно распоредити неколико провајдера услуга за различите истраге. У овом случају, редовна размена налаза има смисла. Било да је интерно или екстерно - за циљани приступ, важно је формулисати јасна питања за форензичку анализу и правовремено поставити приоритете.

Велики напор

Да би повратили контролу над сопственим системима и обновили све услуге, погођеним компанијама је често потребно неколико недеља или више - већина инцидената истраживана у извештају о истрази кршења података Веризон 2012. Прогноза форензике једног система може лако да траје недељу дана тврдња. Ово илуструје важност активности које имају свој утицај паралелно са ИТ форензиком. Такође показује да потпуна анализа инцидента у који су укључени више различитих система може бити веома скупа. Овоме су додата и руковање инцидентима и опоравак.