Hjem Personlig finansiering Sikkerhed + certificering: Computer Forensics and Incident Reponse - dummies

Sikkerhed + certificering: Computer Forensics and Incident Reponse - dummies

Indholdsfortegnelse:

Video: STOP HACKEREN! - IT-Sikkerhed Ep. 1 2024

Video: STOP HACKEREN! - IT-Sikkerhed Ep. 1 2024
Anonim

Computerforensics indebærer at foretage en undersøgelse for at afgøre, hvad der er sket, for at finde ud af, hvem der er ansvarlig og indsamle lovligt Tilladeligt bevis for brug i en computer kriminalitet sag.

Nært relateret til, men klart anderledes end undersøgelser, er hændelsesrespons. Formålet med en undersøgelse er at bestemme, hvad der skete, for at bestemme hvem der er ansvarlig, og at indsamle beviser. Incident response bestemmer, hvad der skete, indeholder og vurderer skader, og genopretter normale operationer.

Undersøgelser og indfaldsvilkår skal ofte gennemføres samtidig på en velkoordineret og kontrolleret måde for at sikre, at de oprindelige handlinger af en aktivitet ikke ødelægger bevis eller forårsager yderligere skade på organisationens aktiver. Af denne grund skal Computer Incident (eller Emergency) Response Teams (CIRT eller CERT) være behørigt uddannet og kvalificeret til at sikre en kriminalitet scene eller hændelse, samtidig med at bevarelsen bevares. Ideelt set omfatter CIRT personer, der gennemfører undersøgelsen.

Gennemførelse af undersøgelser

En computerkriminalitetsundersøgelse bør begynde straks efter indberetning af en påstået computerkriminalitet eller -hændelse. Indledningsvis bør enhver hændelse håndteres som en computerkriminalitetsundersøgelse, indtil en foreløbig undersøgelse bestemmer andet. De generelle trin, der skal følges i undersøgelsesprocessen, er følgende:

  • Detekter og indeholder: Tidlig detektion er afgørende for en vellykket undersøgelse. Desværre er passive eller reaktive detekteringsteknikker (såsom revisionen af ​​revisionsspor og utilsigtet opdagelse) sædvanligvis normen i computerforbrydelser og forlader ofte et koldt bevisspor. Indeslutning er afgørende for at minimere yderligere tab eller skade.
  • Meddelelse ledelse: Ledelsen skal hurtigst muligt underrettet om enhver undersøgelse. Kendskab til undersøgelsen bør begrænses til så få personer som muligt og bør være nødvendig for at vide. Kommunikationsmetoder uden for bånd (indberetning personligt) bør anvendes til at sikre, at følsomme meddelelser om undersøgelsen ikke opfanges.
  • Begynd forundersøgelse: Dette er nødvendigt for at afgøre, om en forbrydelse faktisk har fundet sted. De fleste hændelser er ærlige fejl, ikke kriminel adfærd. Dette trin omfatter

• Gennemgang af klagen eller rapporten

• Inspektion af skader

• Interviewende vidner

• Undersøgelse af logfiler

• Identifikation af yderligere undersøgelseskrav

  • Initierer beslutsomhed om offentliggørelse: Den første og det vigtigste er at afgøre, om offentliggørelse af kriminaliteten eller hændelsen er påkrævet ved lov.Dernæst afgøre, om offentliggørelse ønskes. Dette bør koordineres med en offentlig eller offentlig anliggender i organisationen.
  • Gennemfør undersøgelsen:

Identificer potentielle mistænkte. Dette inkluderer insidere og outsidere til organisationen. En standarddiskriminator, der hjælper med at bestemme eller eliminere potentielle mistænkte, er MOM-testen: Har den mistænkte motivet, muligheden og midlerne til at begå kriminaliteten?

Identificere potentielle vidner. Bestem hvem der skal interviewes, og hvem vil gennemføre interviews. Pas på ikke at advare eventuelle potentielle mistænkte til undersøgelsen; fokusere på at opnå fakta, ikke meninger, i vidnesbyrd.

Forbered dig på søgning og beslaglæggelse. Dette indebærer at identificere de typer systemer og beviser, der skal søges eller beslaglægges, udpege og træne søgen og beslagholdets holdmedlemmer (CIRT), opnå og betjene ordentlige søgeoptioner (hvis det er nødvendigt) og bestemme potentiel risiko for systemet under en søgning og beslaglæggelse indsats.

  • Rapportresultater: Resultaterne af undersøgelsen, herunder beviser, skal indberettes til ledelsen og overføres til relevante retshåndhævende embedsmænd eller anklagere.

Bevis

Bevis er oplysninger fremlagt i en domstol for at bekræfte eller fjerne et faktum, der er under strid. En sag kan ikke anlægges for retten uden tilstrækkelig dokumentation til støtte for sagen. Således er korrekt samling af beviser en af ​​de vigtigste og vanskeligste opgaver af efterforskeren.

Typer af beviser

Kilder til juridiske beviser, der kan præsenteres ved en domstol, falder generelt ind i en af ​​fire hovedkategorier:

  • Direkte bevis: Dette er et mundtligt vidnesbyrd eller en skriftlig erklæring baseret på Oplysninger indsamlet gennem vidnesens fem sanser (et øjenvidne konto), der beviser eller afviser en bestemt kendsgerning eller problem.
  • Ægte (eller fysiske) beviser: Disse er håndgribelige objekter fra den faktiske forbrydelse, som disse:

• Værktøjer og våben

• Stolet eller beskadiget ejendom

• Visuelle eller lydovervågningsbånd

    Fysisk beviser fra en computerkriminalitet er sjældent tilgængelige.
  • Dokumentarbevis: De fleste beviser, der fremlægges i en computerkriminalitet, er dokumentbevis, som fx følgende:

• Originaler og kopier af forretningsregistre

• Computergenererede og computerlagrede poster

• Manualer

• Politikker

• Standarder

• Procedurer

• Logfiler > Virksomhedsoptegnelser, herunder dataposter, anses traditionelt for retssag fra de fleste domstole, fordi disse optegnelser ikke kan dokumenteres nøjagtige og pålidelige. En af de væsentligste forhindringer for en anklagemyndighed til at overvinde i en computerkriminalitet er at søge adgang til dataposter som bevis.

    Demonstrationsbevis.
  • Bruges til at hjælpe domstolens forståelse af en sag. Udtalelser betragtes som demonstrationsbevis og kan enten være

Ekspert: Baseret på personlig ekspertise og fakta

Nonexpert: Kun på fakta Andre eksempler på demonstrant Bevis omfatter modeller, simuleringer, diagrammer og illustrationer.

    Andre typer beviser, der kan falde ind i mindst en af ​​de foregående hovedkategorier omfatter

Bedste beviser:

  • Original, uændret beviser. I retten foretrækkes dette over sekundære beviser. Data hentet fra en computer opfylder den bedste bevisregel og kan normalt indføres i retstvister som sådan.
    • Sekundære beviser:
  • Et duplikat eller eksemplar af beviser, som f.eks. • Tape backup

• Screen capture

• Foto

Bekræftende beviser:

  • Understøtter eller underbygger andre beviser fremlagt i en sag. Afsluttende bevis:
  • Uforligelig og uoprettelig: Røgevåben. Vigtige beviser:
  • Relevante fakta, der ikke direkte eller konkret kan forbindes med andre begivenheder, men om hvilke en rimelig indledning kan foretages. Bevis for bevismateriale

Fordi computergenererede beviser ofte ofte kan manipuleres, ændres eller manipuleres, og fordi det ikke er let og almindeligt forstået, anses denne type beviser normalt for at være mistænkte i en domstol.

For at kunne antages, skal beviset være:

Relevant:

  • Det skal have tendens til at bevise eller afvise fakta, der er relevante og materielle for sagen. Pålidelig:
  • Det skal være rimeligt bevist, at det, der er fremlagt som bevis, er det, der oprindeligt blev indsamlet, og at selve beviser er pålidelige. Dette opnås dels gennem korrekt dokumenthåndtering og forkædningskæden. Lovligt tilladt:
  • Det skal indhentes ved lovlige midler. Bevis, der ikke er lovligt tilladt, kan indeholde bevis opnået på følgende måder:

Ulovlig søgning og beslaglæggelse: Retshåndhævende personale skal indhente en forudgående retskendelse; Dog kan ikke-retshåndhævende personale, som f.eks. en tilsynsførende eller systemadministrator, under visse omstændigheder kunne foretage en autoriseret søgning. •

Ulovlige wiretaps eller telefonkraner: Alle, der udfører wiretaps eller telefonkraner, skal have en forudgående retskendelse. •

Entrapment eller enticement: Entrapment opfordrer nogen til at begå en forbrydelse, som personen ikke har haft til hensigt at begå. Omvendt lokker enticement nogen mod nogle beviser (en honningkande, hvis du vil) efter at personen allerede har begået en forbrydelse. Tilkendelse er ikke nødvendigvis ulovlig, men rejser etiske argumenter og kan ikke antages til retten. •

Tving: Samtykket vidnesbyrd eller tilståelser er ikke lovligt tilladt. •

Uautoriseret eller ukorrekt overvågning: Aktiv overvågning skal være korrekt godkendt og udført på standard måde; Brugerne skal underrettes om, at de kan overvåges.

Sikkerhed + certificering: Computer Forensics and Incident Reponse - dummies

Valg af editor

Valg af editor

Routingprotokollvalgskriterier - dummies

Routingprotokollvalgskriterier - dummies

Personlig finansiering

Folk bruger to grundlæggende metoder til klassificering af ruteprotokoller - hvor de bruges og af hvordan de beregner routing. Du kan se, hvordan du vælger protokoller baseret på, hvor du planlægger at bruge dem, måden protokollen håndterer data på, og hvordan din router vælger hvilken protokol der skal bruges, når mere end en ...

Indstilling af Cisco Device Timeouts - dummies

Indstilling af Cisco Device Timeouts - dummies

Personlig finansiering

Uden at indstille timeout-indstillinger for Cisco Device Privileged EXEC-tilstand, dine sessioner forbliver åbne på ubestemt tid. Dette er især farligt for konsolporten. Uden timeout parametre aktiveret, hvis administratoren ikke logger ud, har en indtrenger adgang og ingen problemer får forhøjede tilladelser. For at undgå denne potentielt farlige situation behøver du kun skrive a ...

Router Ethernet-interfacekonfiguration - dummies

Router Ethernet-interfacekonfiguration - dummies

Personlig finansiering

Du starter processen med at konfigurere router Ethernet-grænseflader ved at foretage en fysisk forbindelse til din router. Når du har etableret forbindelsen, kan du fortsætte med den grundlæggende konfiguration af Ethernet-, Fast Ethernet- eller Gigabit Ethernet-forbindelser. Tilslutning til din router For at starte din konfiguration skal du oprette forbindelse til din router og komme ind i ...

Valg af editor

Med fokus på nogle hurtige løsninger til fotofile - dummier

Med fokus på nogle hurtige løsninger til fotofile - dummier

Social Media

På trods af alle kameraproducenters forsøg på at gør fotografering idiotsikker, vi laver alle stadig mindre end perfekte billeder. Nogle gange er vi problemet - vi er for tætte eller for langt væk, eller kan ikke finde ud af, hvordan du bruger kameraets tåbebeskyttelsesfunktioner. Nogle gange er problemet, at virkeligheden nøjagtigt nægter at overholde vores forventninger: Himlen er ...

Lær at kende dine Manga Studio Layer Typer - Dummies

Lær at kende dine Manga Studio Layer Typer - Dummies

Social Media

Manga Studio giver et udvalg af lag typer til brug i dit arbejde. Når du lærer at forstå og forstå, hvordan lag fungerer, vil du spekulere på, hvordan du nogensinde har arbejdet uden dem. Her er en introduktion til, hvad Manga Studio har til opbevaring for dig i sin lag lineup: Raster Layer: Dette er det grundlæggende ...

Få dit mobilwebsted tildelt på sociale bogmærker - dummies

Få dit mobilwebsted tildelt på sociale bogmærker - dummies

Social Media

Populariteten af ​​websider med antallet af stemmer, de får. Resultatet er, at disse websteder er gode ressourcer til folk, der ønsker at holde øje med, hvad der er populært online. De fleste tilbyder speciel software, der gør det nemt for alle at stemme på et websted. Få dit websted opført ...

Valg af editor

Automatisk opdatering af din journal i Outlook 2000 - dummies

Automatisk opdatering af din journal i Outlook 2000 - dummies

Social Media

Stardat 2001: På Star Trek, Virksomheden gør trofast daglige poster i kaptajnens log. Kaptajnen registrerer oplysninger om de planeter, besætningen har udforsket, udlændinge, de har kæmpet, og de bizarre fænomener, de har observeret ud i det dybe rum, hvor ingen er gået før! Nu er det din tur. Bare ...

ÆNdring af en aftale i Outlook Kalender

ÆNdring af en aftale i Outlook Kalender

Social Media

Slet og gendan kontakter i Outlook - dummies

Slet og gendan kontakter i Outlook - dummies

Social Media

Med Outlook, du behøver ikke at rive sider ud af en papir adressebog for at slippe af med en persons oplysninger; bare slet kontakten. Slettede kontakter går til mappen Slette emner i Outlook, indtil næste gang du tømmer mappen Slette elementer, så du kan hente dem derfra, hvis du laver ...

Valg af editor

Valg af editor

Populære kategorier

© Copyright da.blender3dtutorials.com, 2024 Oktober | Om webstedet | Kontakter | Fortrolighedspolitik.