Casa Finanza personale Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sommario:

Video: Incident Response and Computer Forensics on Rootkits 2024

Video: Incident Response and Computer Forensics on Rootkits 2024
Anonim

Computer forensics comporta lo svolgimento di un'indagine per determinare cosa è successo, per scoprire chi è responsabile e per raccogliere legalmente prove ammissibili per l'uso in un caso di criminalità informatica.

Strettamente correlato a, ma distintamente diverso dalle indagini, è la risposta agli incidenti. Lo scopo di un'indagine è determinare cosa è successo, determinare chi è responsabile e raccogliere prove. La risposta agli incidenti determina cosa è successo, contiene e valuta il danno e ripristina le normali operazioni.

Le indagini e la risposta agli incidenti devono spesso essere svolte simultaneamente in modo ben coordinato e controllato per garantire che le azioni iniziali di entrambe le attività non distruggano le prove o causino ulteriori danni alle risorse dell'organizzazione. Per questo motivo, le squadre di risposta al Computer Incident (o Emergency) (CIRT o CERT, rispettivamente) devono essere adeguatamente addestrate e qualificate per assicurare una scena del crimine o un incidente mentre conservano le prove. Idealmente, il CIRT include individui che conducono le indagini.

Investigazioni condotte

Un'inchiesta sul crimine informatico dovrebbe iniziare immediatamente dopo la segnalazione di un presunto crimine informatico o incidente. Inizialmente, qualsiasi incidente dovrebbe essere trattato come un'investigazione del crimine informatico fino a quando un'indagine preliminare non stabilisca diversamente. I passaggi generali da seguire nel processo investigativo sono i seguenti:

  • Rileva e contiene: Il rilevamento precoce è fondamentale per un'indagine di successo. Sfortunatamente, le tecniche di rilevamento passivo o reattivo (come la revisione delle tracce di controllo e la scoperta accidentale) sono di solito la norma nei crimini informatici e spesso lasciano una traccia di prove fredde. Il contenimento è essenziale per minimizzare ulteriori perdite o danni.
  • Gestione notifiche: La gestione deve essere informata di eventuali indagini nel più breve tempo possibile. La conoscenza dell'indagine dovrebbe essere limitata al minor numero possibile di persone e dovrebbe basarsi su una necessità di conoscenza. Devono essere utilizzati metodi di comunicazione fuori banda (segnalazione di persona) per garantire che le comunicazioni sensibili sull'inchiesta non siano intercettate.
  • Iniziare le indagini preliminari: Questo è necessario per determinare se un crimine si è effettivamente verificato. La maggior parte degli incidenti sono errori onesti, non comportamenti criminali. Questo passaggio include

• Revisione del reclamo o del rapporto

• Ispezione dei danni

• Intervista ai testimoni

• Esami dei registri

• Identificazione di ulteriori requisiti di indagine

  • Avvio determinazione della divulgazione: Il primo e la cosa più importante da determinare è se la divulgazione del crimine o dell'incidente sia richiesta dalla legge.Successivamente, determinare se la divulgazione è desiderata. Questo dovrebbe essere coordinato con un funzionario di pubbliche relazioni o affari pubblici dell'organizzazione.
  • Conduci l'indagine:

Identifica potenziali sospetti. Questo include gli addetti ai lavori e gli estranei all'organizzazione. Un discriminatore standard per aiutare a determinare o eliminare potenziali sospetti è il test MOM: il sospettato ha il movente, l'opportunità e i mezzi per commettere il crimine?

Identifica potenziali testimoni. Determina chi deve essere intervistato e chi condurrà le interviste. Fare attenzione a non allertare potenziali indagati nelle indagini; concentrarsi sull'ottenere fatti, non opinioni, nelle dichiarazioni dei testimoni.

Prepararsi per la ricerca e il sequestro. Ciò include l'identificazione dei tipi di sistemi e prove da cercare o sequestrare, designare e formare i membri della squadra di ricerca e sequestro (CIRT), ottenere e servire adeguati warrant di ricerca (se richiesti) e determinare il potenziale rischio per il sistema durante uno sforzo di ricerca e sequestro.

  • Risultati del rapporto: I risultati dell'indagine, comprese le prove, devono essere comunicati alla direzione e consegnati a funzionari o pubblici ministeri competenti.

Evidenza

Evidenza sono informazioni presentate in un tribunale per confermare o dissipare un fatto che è in discussione. Un caso non può essere portato in giudizio senza prove sufficienti a sostegno del caso. Pertanto, raccogliere correttamente le prove è uno dei compiti più importanti e più difficili dell'investigatore.

Tipi di prove

Le fonti di prove legali che possono essere presentate in tribunale generalmente rientrano in una delle quattro principali categorie:

  • Prova diretta: Questa è una testimonianza orale o una dichiarazione scritta basata su informazioni raccolte attraverso i cinque sensi del testimone (un testimone oculare) che provano o confutano un fatto o un problema specifico.
  • Prova reale (o fisica): Questi sono oggetti tangibili dal crimine effettivo, come questi:

• Strumenti e armi

• Proprietà rubata o danneggiata

• Nastri di sorveglianza visivi o audio

    Le prove fisiche da un crimine informatico sono raramente disponibili.
  • Prove documentali: La maggior parte delle prove presentate in un caso di reato informatico sono prove documentali, come le seguenti;

• Originali e copie dei record aziendali

• Record generati dal computer e archiviati dal computer

• Manuali

• Politiche

• Standard

• Procedure

• File di registro > Le registrazioni aziendali, inclusi i registri informatici, sono tradizionalmente considerate prove ingiustificate dalla maggior parte dei tribunali, in quanto tali registrazioni non possono essere dimostrate accurate e affidabili. Uno degli ostacoli più importanti per un pubblico ministero da superare in un caso di criminalità informatica è la richiesta di ammissione di record informatici come prova.

    Prova dimostrativa.
  • Utilizzato per aiutare la comprensione di un caso da parte della corte. Le opinioni sono considerate prove dimostrative e possono essere o

Esperto: Sulla base di esperienza personale e fatti

Nessuno escluso: Basati solo su fatti Altri esempi di dimostrativo le prove includono modelli, simulazioni, grafici e illustrazioni.

    Altri tipi di prove che possono rientrare in almeno una delle principali categorie precedenti includono

Migliore evidenza:

  • Prove originali e inalterate. In tribunale, questo è preferito rispetto alle prove secondarie. I dati estratti da un computer soddisfano la regola di prova migliore e possono normalmente essere introdotti nei procedimenti giudiziari in quanto tali.
    • Evidenza secondaria:
  • Un duplicato o una copia di prove, come • Backup su nastro

• Cattura schermo

• Fotografia

Prova di conferma:

  • Supporta o conferma altre prove presentate in un caso. Prova conclusiva:
  • Incontrovertibile e irrefutabile: la pistola fumante. Prove circostanziali:
  • fatti rilevanti che non possono essere collegati direttamente o definitivamente ad altri eventi ma su cui può essere fatta una ragionevole inferenza. Ammissibilità delle prove

Poiché le prove generate dal computer possono spesso essere facilmente manipolate, alterate o manomesse, e poiché non sono facilmente e comunemente comprese, questo tipo di prove viene solitamente considerato sospetto in un tribunale.

Per essere ammissibili, la prova deve essere:

Pertinente:

  • Deve tendere a dimostrare o confutare fatti rilevanti e rilevanti per il caso. Affidabile:
  • Deve essere ragionevolmente provato che ciò che viene presentato come prova è ciò che è stato originariamente raccolto e che le prove stesse sono affidabili. Ciò si ottiene, in parte, attraverso un'adeguata gestione delle prove e la catena di custodia. Legalmente consentito:
  • Deve essere ottenuto con mezzi legali. Le prove che non sono legalmente consentite possono includere prove ottenute attraverso questi mezzi:

Ricerca e sequestro illegale: Il personale delle forze dell'ordine deve ottenere un ordine giudiziario precedente; tuttavia, il personale non incaricato dell'applicazione della legge, come un supervisore o un amministratore di sistema, può essere in grado di condurre una ricerca autorizzata in determinate circostanze. •

Intercettazioni telefoniche illegali o prese telefoniche: Chiunque conduca intercettazioni telefoniche o prese telefoniche deve ottenere un ordine giudiziario precedente. •

Intrappolamento o allettamento: Entrapment incoraggia qualcuno a commettere un crimine che l'individuo potrebbe non avere alcuna intenzione di commettere. Viceversa, allettamento attira qualcuno verso qualche prova (un vaso di miele, se vuoi) dopo che quell'individuo ha già commesso un crimine. L'allettamento non è necessariamente illegale ma solleva argomenti etici e potrebbe non essere ammissibile in tribunale. •

Coercizione: Le testimonianze o le confessioni forzate non sono legalmente consentite. •

Monitoraggio non autorizzato o improprio: Il monitoraggio attivo deve essere adeguatamente autorizzato e condotto in modo standard; gli utenti devono essere informati che potrebbero essere soggetti a monitoraggio.

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Scelta dell'editore

Scelta dell'editore

Ottimizza le immagini con ampie aree di colore uniforme utilizzando il formato GIF - manichini

Ottimizza le immagini con ampie aree di colore uniforme utilizzando il formato GIF - manichini

Social media

Sintassi JavaScript selezionata - dummies

Sintassi JavaScript selezionata - dummies

Social media

JavaScript è un linguaggio importante per la programmazione, lo sviluppo di giochi e le applicazioni desktop. Di seguito sono riportati gli elementi di sintassi JavaScript più comunemente utilizzati, inclusi i comandi per manipolare le variabili, controllare il flusso del programma e gestire le funzioni. Avviso funzione Descrizione ("messaggio"); Crea una finestra di dialogo a comparsa contenente un messaggio. var myVar = 0; Crea una variabile con un valore iniziale dato. Type is ...

I nuovi CSS3 Border Techniques - dummies

I nuovi CSS3 Border Techniques - dummies

Social media

Hanno fatto parte del CSS fin dall'inizio, ma i CSS3 aggiungono nuove opzioni davvero entusiasmanti. I browser moderni ora supportano i bordi creati da un'immagine così come gli angoli arrotondati e le ombre dei riquadri. Queste tecniche promettono di aggiungere nuove straordinarie funzionalità ai tuoi progetti. Confini dell'immagine CSS3 consente di utilizzare un'immagine ...

Scelta dell'editore

Utilizzando il componente aggiuntivo Analisi dati Excel con tabelle - dummies

Utilizzando il componente aggiuntivo Analisi dati Excel con tabelle - dummies

Social media

Il componente aggiuntivo Analisi dati (noto nelle precedenti versioni di Excel come Analysis ToolPak o ATP) ti aiuta a fare analisi statistiche di ogni genere - e la previsione delle vendite è sicuramente una sorta di analisi statistica. Un componente aggiuntivo contiene codice Visual Basic: un programma, spesso scritto in una versione di BASIC, che Excel può eseguire. È ...

Utilizzando riferimenti di celle esterne in Excel - dummies

Utilizzando riferimenti di celle esterne in Excel - dummies

Social media

Potresti scoprire di avere dati in una cartella di lavoro di Excel che desideri fare riferimento in una formula all'interno di un'altra cartella di lavoro. In tale situazione, è possibile creare un collegamento tra le cartelle di lavoro utilizzando un riferimento di cella esterna. Un riferimento di cella esterna non è altro che un riferimento di cella che risiede in un esterno ...

Utilizzando Excel per calcolare una media basata su criteri - dummy

Utilizzando Excel per calcolare una media basata su criteri - dummy

Social media

È Possibile utilizzare Excel per calcolare una media . Immaginalo: devi calcolare una media da un elenco di numeri, usando solo i numeri nell'elenco che corrispondono a una condizione. In altre parole, calcola la media utilizzando i numeri se corrispondono a un determinato criterio. Excel è pieno di sorprese e, per questo trucco, tu ...

Scelta dell'editore

Come utilizzare le funzioni per trovare valori in Excel - dummies

Come utilizzare le funzioni per trovare valori in Excel - dummies

Social media

Excel fornisce funzioni per trovare il più grande o i valori più piccoli in un set di dati Excel. Queste funzioni includono MAX, MAXA, MIN, MINA, LARGE e SMALL. MAX: valore massimo La funzione MAX trova il valore più grande nei dati. La funzione ignora le celle vuote e le celle contenenti testo o valori logici come TRUE e FALSE ...

Come utilizzare le macro per creare cartelle di lavoro Excel - dummies

Come utilizzare le macro per creare cartelle di lavoro Excel - dummies

Social media

A volte potresti volere o dover creare un Excel cartella di lavoro in modo automatico. Ad esempio, potrebbe essere necessario copiare i dati da una tabella e incollarli in una cartella di lavoro appena creata. La seguente macro copia un intervallo di celle dal foglio attivo e incolla i dati in una nuova cartella di lavoro. In che modo ...

Come utilizzare l'obiettivo Ricerca in Excel 2016 - manichini

Come utilizzare l'obiettivo Ricerca in Excel 2016 - manichini

Social media

A volte quando si fa l'analisi what-if in Excel 2016 , hai in mente un risultato particolare, ad esempio un importo di vendita o una percentuale di crescita target. Quando è necessario eseguire questo tipo di analisi, si utilizza la funzione Goal Seek di Excel per trovare i valori di input necessari per raggiungere l'obiettivo desiderato. Per utilizzare la ricerca obiettivo ...

Scelta dell'editore

Scelta dell'editore

Categorie popolari

© Copyright it.blender3dtutorials.com, 2024 Novembre | Informazioni sul sito | Contatti | Politica sulla riservatezza.