Casa Finanza personale Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sommario:

Video: Incident Response and Computer Forensics on Rootkits 2025

Video: Incident Response and Computer Forensics on Rootkits 2025
Anonim

Computer forensics comporta lo svolgimento di un'indagine per determinare cosa è successo, per scoprire chi è responsabile e per raccogliere legalmente prove ammissibili per l'uso in un caso di criminalità informatica.

Strettamente correlato a, ma distintamente diverso dalle indagini, è la risposta agli incidenti. Lo scopo di un'indagine è determinare cosa è successo, determinare chi è responsabile e raccogliere prove. La risposta agli incidenti determina cosa è successo, contiene e valuta il danno e ripristina le normali operazioni.

Le indagini e la risposta agli incidenti devono spesso essere svolte simultaneamente in modo ben coordinato e controllato per garantire che le azioni iniziali di entrambe le attività non distruggano le prove o causino ulteriori danni alle risorse dell'organizzazione. Per questo motivo, le squadre di risposta al Computer Incident (o Emergency) (CIRT o CERT, rispettivamente) devono essere adeguatamente addestrate e qualificate per assicurare una scena del crimine o un incidente mentre conservano le prove. Idealmente, il CIRT include individui che conducono le indagini.

Investigazioni condotte

Un'inchiesta sul crimine informatico dovrebbe iniziare immediatamente dopo la segnalazione di un presunto crimine informatico o incidente. Inizialmente, qualsiasi incidente dovrebbe essere trattato come un'investigazione del crimine informatico fino a quando un'indagine preliminare non stabilisca diversamente. I passaggi generali da seguire nel processo investigativo sono i seguenti:

  • Rileva e contiene: Il rilevamento precoce è fondamentale per un'indagine di successo. Sfortunatamente, le tecniche di rilevamento passivo o reattivo (come la revisione delle tracce di controllo e la scoperta accidentale) sono di solito la norma nei crimini informatici e spesso lasciano una traccia di prove fredde. Il contenimento è essenziale per minimizzare ulteriori perdite o danni.
  • Gestione notifiche: La gestione deve essere informata di eventuali indagini nel più breve tempo possibile. La conoscenza dell'indagine dovrebbe essere limitata al minor numero possibile di persone e dovrebbe basarsi su una necessità di conoscenza. Devono essere utilizzati metodi di comunicazione fuori banda (segnalazione di persona) per garantire che le comunicazioni sensibili sull'inchiesta non siano intercettate.
  • Iniziare le indagini preliminari: Questo è necessario per determinare se un crimine si è effettivamente verificato. La maggior parte degli incidenti sono errori onesti, non comportamenti criminali. Questo passaggio include

• Revisione del reclamo o del rapporto

• Ispezione dei danni

• Intervista ai testimoni

• Esami dei registri

• Identificazione di ulteriori requisiti di indagine

  • Avvio determinazione della divulgazione: Il primo e la cosa più importante da determinare è se la divulgazione del crimine o dell'incidente sia richiesta dalla legge.Successivamente, determinare se la divulgazione è desiderata. Questo dovrebbe essere coordinato con un funzionario di pubbliche relazioni o affari pubblici dell'organizzazione.
  • Conduci l'indagine:

Identifica potenziali sospetti. Questo include gli addetti ai lavori e gli estranei all'organizzazione. Un discriminatore standard per aiutare a determinare o eliminare potenziali sospetti è il test MOM: il sospettato ha il movente, l'opportunità e i mezzi per commettere il crimine?

Identifica potenziali testimoni. Determina chi deve essere intervistato e chi condurrà le interviste. Fare attenzione a non allertare potenziali indagati nelle indagini; concentrarsi sull'ottenere fatti, non opinioni, nelle dichiarazioni dei testimoni.

Prepararsi per la ricerca e il sequestro. Ciò include l'identificazione dei tipi di sistemi e prove da cercare o sequestrare, designare e formare i membri della squadra di ricerca e sequestro (CIRT), ottenere e servire adeguati warrant di ricerca (se richiesti) e determinare il potenziale rischio per il sistema durante uno sforzo di ricerca e sequestro.

  • Risultati del rapporto: I risultati dell'indagine, comprese le prove, devono essere comunicati alla direzione e consegnati a funzionari o pubblici ministeri competenti.

Evidenza

Evidenza sono informazioni presentate in un tribunale per confermare o dissipare un fatto che è in discussione. Un caso non può essere portato in giudizio senza prove sufficienti a sostegno del caso. Pertanto, raccogliere correttamente le prove è uno dei compiti più importanti e più difficili dell'investigatore.

Tipi di prove

Le fonti di prove legali che possono essere presentate in tribunale generalmente rientrano in una delle quattro principali categorie:

  • Prova diretta: Questa è una testimonianza orale o una dichiarazione scritta basata su informazioni raccolte attraverso i cinque sensi del testimone (un testimone oculare) che provano o confutano un fatto o un problema specifico.
  • Prova reale (o fisica): Questi sono oggetti tangibili dal crimine effettivo, come questi:

• Strumenti e armi

• Proprietà rubata o danneggiata

• Nastri di sorveglianza visivi o audio

    Le prove fisiche da un crimine informatico sono raramente disponibili.
  • Prove documentali: La maggior parte delle prove presentate in un caso di reato informatico sono prove documentali, come le seguenti;

• Originali e copie dei record aziendali

• Record generati dal computer e archiviati dal computer

• Manuali

• Politiche

• Standard

• Procedure

• File di registro > Le registrazioni aziendali, inclusi i registri informatici, sono tradizionalmente considerate prove ingiustificate dalla maggior parte dei tribunali, in quanto tali registrazioni non possono essere dimostrate accurate e affidabili. Uno degli ostacoli più importanti per un pubblico ministero da superare in un caso di criminalità informatica è la richiesta di ammissione di record informatici come prova.

    Prova dimostrativa.
  • Utilizzato per aiutare la comprensione di un caso da parte della corte. Le opinioni sono considerate prove dimostrative e possono essere o

Esperto: Sulla base di esperienza personale e fatti

Nessuno escluso: Basati solo su fatti Altri esempi di dimostrativo le prove includono modelli, simulazioni, grafici e illustrazioni.

    Altri tipi di prove che possono rientrare in almeno una delle principali categorie precedenti includono

Migliore evidenza:

  • Prove originali e inalterate. In tribunale, questo è preferito rispetto alle prove secondarie. I dati estratti da un computer soddisfano la regola di prova migliore e possono normalmente essere introdotti nei procedimenti giudiziari in quanto tali.
    • Evidenza secondaria:
  • Un duplicato o una copia di prove, come • Backup su nastro

• Cattura schermo

• Fotografia

Prova di conferma:

  • Supporta o conferma altre prove presentate in un caso. Prova conclusiva:
  • Incontrovertibile e irrefutabile: la pistola fumante. Prove circostanziali:
  • fatti rilevanti che non possono essere collegati direttamente o definitivamente ad altri eventi ma su cui può essere fatta una ragionevole inferenza. Ammissibilità delle prove

Poiché le prove generate dal computer possono spesso essere facilmente manipolate, alterate o manomesse, e poiché non sono facilmente e comunemente comprese, questo tipo di prove viene solitamente considerato sospetto in un tribunale.

Per essere ammissibili, la prova deve essere:

Pertinente:

  • Deve tendere a dimostrare o confutare fatti rilevanti e rilevanti per il caso. Affidabile:
  • Deve essere ragionevolmente provato che ciò che viene presentato come prova è ciò che è stato originariamente raccolto e che le prove stesse sono affidabili. Ciò si ottiene, in parte, attraverso un'adeguata gestione delle prove e la catena di custodia. Legalmente consentito:
  • Deve essere ottenuto con mezzi legali. Le prove che non sono legalmente consentite possono includere prove ottenute attraverso questi mezzi:

Ricerca e sequestro illegale: Il personale delle forze dell'ordine deve ottenere un ordine giudiziario precedente; tuttavia, il personale non incaricato dell'applicazione della legge, come un supervisore o un amministratore di sistema, può essere in grado di condurre una ricerca autorizzata in determinate circostanze. •

Intercettazioni telefoniche illegali o prese telefoniche: Chiunque conduca intercettazioni telefoniche o prese telefoniche deve ottenere un ordine giudiziario precedente. •

Intrappolamento o allettamento: Entrapment incoraggia qualcuno a commettere un crimine che l'individuo potrebbe non avere alcuna intenzione di commettere. Viceversa, allettamento attira qualcuno verso qualche prova (un vaso di miele, se vuoi) dopo che quell'individuo ha già commesso un crimine. L'allettamento non è necessariamente illegale ma solleva argomenti etici e potrebbe non essere ammissibile in tribunale. •

Coercizione: Le testimonianze o le confessioni forzate non sono legalmente consentite. •

Monitoraggio non autorizzato o improprio: Il monitoraggio attivo deve essere adeguatamente autorizzato e condotto in modo standard; gli utenti devono essere informati che potrebbero essere soggetti a monitoraggio.

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Scelta dell'editore

Scelta dell'editore

Soluzioni software per i tuoi bisogni fotografici digitali - manichini

Soluzioni software per i tuoi bisogni fotografici digitali - manichini

Finanza personale

Il software fotografico che usi è fondamentale per il tuo successo la camera oscura digitale come l'hardware. La buona notizia è che se le tue esigenze sono basilari - vuoi solo visualizzare e organizzare le tue foto e magari ritagliare un'immagine o due - potresti non dover pagare una monetina per ...

Prendi Great Nature Photographs - dummies

Prendi Great Nature Photographs - dummies

Finanza personale

Quando fotografi un posto bellissimo, il tuo obiettivo dovrebbe essere per qualcuno di dire "I vorrei essere lì. "In una fotografia di grande natura, il tuo obiettivo non è quello di inviare l'immagine a qualcuno e dire:" Ero qui. "Quando visiti un bellissimo paesaggio o vedi un fiore colorato o un animale che vuoi ...

Scattare una foto di un soggetto in movimento con la tua fotocamera digitale - dummies

Scattare una foto di un soggetto in movimento con la tua fotocamera digitale - dummies

Finanza personale

Probabilmente vorresti scatta foto sulla tua fotocamera digitale di persone o cose che si muovono. Quando scatti foto di soggetti in movimento, utilizza questi trucchi per fermare un oggetto in movimento nelle sue tracce:

Scelta dell'editore

Personalizza le fatture di QuickBooks 2014 con lo Strumento di progettazione layout - dummy

Personalizza le fatture di QuickBooks 2014 con lo Strumento di progettazione layout - dummy

Social media

Forse hai utilizzato QuickBooks 2014 di base Finestra di dialogo Personalizzazione per apportare alcune modifiche all'aspetto della fattura e non sono stati soddisfatti. Forse hai fatto il miglio in più e ti sei gingillato con la finestra di dialogo Personalizzazione aggiuntiva per apportare ulteriori modifiche, e forse anche questo non ti ha lasciato felice con l'aspetto della tua fattura. ...

Debito Rapporto di equità in QuickBooks 2012 - dummies

Debito Rapporto di equità in QuickBooks 2012 - dummies

Social media

Il rapporto di indebitamento è uno dei rapporti di leva che è possibile utilizzare in QuickBooks 2012. Un indice di equity debt confronta il debito a lungo termine di un'impresa con il patrimonio netto di un azionista o il patrimonio netto del proprietario. In sostanza, il rapporto tra indebitamento e debito esprime il debito a lungo termine dell'impresa come percentuale del capitale proprio del proprietario. L'equity azionario è sinonimo di proprietario ...

Debito Rapporto di equità in QuickBooks 2014 - manichini

Debito Rapporto di equità in QuickBooks 2014 - manichini

Social media

Puoi tenere traccia del tuo rapporto di indebitamento in QuickBooks. Un rapporto di indebitamento di debito confronta il debito a lungo termine di un'impresa con il patrimonio netto di un azionista o il patrimonio netto del proprietario. In sostanza, il rapporto tra indebitamento e debito esprime il debito a lungo termine dell'impresa come percentuale del capitale proprio del proprietario. L'equity azionario è sinonimo di equità del proprietario e, nel caso di ...

Scelta dell'editore

Come gestire i consigli di LinkedIn che hai ricevuto - dummies

Come gestire i consigli di LinkedIn che hai ricevuto - dummies

Social media

Ogni volta che ricevi una raccomandazione da qualcun altro, vedi un messaggio nella tua casella di posta in arrivo su LinkedIn. Dovrai gestirli per tenere d'occhio ciò che appare sul tuo profilo in un dato momento. Quando ricevi una raccomandazione, hai queste opzioni: Accetta e mostralo sul tuo profilo. Fai clic su ...

Come unire un gruppo LinkedIn - dummies

Come unire un gruppo LinkedIn - dummies

Social media

Quando guardi i gruppi di LinkedIn là fuori, uno dei le cose più importanti da tenere a mente è che dovresti unirti solo a quei gruppi che sono rilevanti per te. Anche se potresti pensare che sia divertente entrare in un altro gruppo di associazioni di alunni oltre alla tua alma mater, non ti sarà di grande aiuto nel ...

Come commercializzare il tuo business tramite LinkedIn - dummies

Come commercializzare il tuo business tramite LinkedIn - dummies

Social media

LinkedIn può giocare un ruolo significativo nell'efficace marketing di i tuoi affari. Il valore di LinkedIn come strumento di marketing ottiene un sacco di interesse dai dipartimenti finanziari della maggior parte delle aziende, soprattutto perché vedono LinkedIn come un modo libero di commercializzare il business. Anche se non devi pagare nulla in termini di denaro per prendere ...

Scelta dell'editore

Scelta dell'editore

Categorie popolari

© Copyright it.blender3dtutorials.com, 2025 Marzo | Informazioni sul sito | Contatti | Politica sulla riservatezza.