Casa Finanza personale Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sommario:

Video: Incident Response and Computer Forensics on Rootkits 2025

Video: Incident Response and Computer Forensics on Rootkits 2025
Anonim

Computer forensics comporta lo svolgimento di un'indagine per determinare cosa è successo, per scoprire chi è responsabile e per raccogliere legalmente prove ammissibili per l'uso in un caso di criminalità informatica.

Strettamente correlato a, ma distintamente diverso dalle indagini, è la risposta agli incidenti. Lo scopo di un'indagine è determinare cosa è successo, determinare chi è responsabile e raccogliere prove. La risposta agli incidenti determina cosa è successo, contiene e valuta il danno e ripristina le normali operazioni.

Le indagini e la risposta agli incidenti devono spesso essere svolte simultaneamente in modo ben coordinato e controllato per garantire che le azioni iniziali di entrambe le attività non distruggano le prove o causino ulteriori danni alle risorse dell'organizzazione. Per questo motivo, le squadre di risposta al Computer Incident (o Emergency) (CIRT o CERT, rispettivamente) devono essere adeguatamente addestrate e qualificate per assicurare una scena del crimine o un incidente mentre conservano le prove. Idealmente, il CIRT include individui che conducono le indagini.

Investigazioni condotte

Un'inchiesta sul crimine informatico dovrebbe iniziare immediatamente dopo la segnalazione di un presunto crimine informatico o incidente. Inizialmente, qualsiasi incidente dovrebbe essere trattato come un'investigazione del crimine informatico fino a quando un'indagine preliminare non stabilisca diversamente. I passaggi generali da seguire nel processo investigativo sono i seguenti:

  • Rileva e contiene: Il rilevamento precoce è fondamentale per un'indagine di successo. Sfortunatamente, le tecniche di rilevamento passivo o reattivo (come la revisione delle tracce di controllo e la scoperta accidentale) sono di solito la norma nei crimini informatici e spesso lasciano una traccia di prove fredde. Il contenimento è essenziale per minimizzare ulteriori perdite o danni.
  • Gestione notifiche: La gestione deve essere informata di eventuali indagini nel più breve tempo possibile. La conoscenza dell'indagine dovrebbe essere limitata al minor numero possibile di persone e dovrebbe basarsi su una necessità di conoscenza. Devono essere utilizzati metodi di comunicazione fuori banda (segnalazione di persona) per garantire che le comunicazioni sensibili sull'inchiesta non siano intercettate.
  • Iniziare le indagini preliminari: Questo è necessario per determinare se un crimine si è effettivamente verificato. La maggior parte degli incidenti sono errori onesti, non comportamenti criminali. Questo passaggio include

• Revisione del reclamo o del rapporto

• Ispezione dei danni

• Intervista ai testimoni

• Esami dei registri

• Identificazione di ulteriori requisiti di indagine

  • Avvio determinazione della divulgazione: Il primo e la cosa più importante da determinare è se la divulgazione del crimine o dell'incidente sia richiesta dalla legge.Successivamente, determinare se la divulgazione è desiderata. Questo dovrebbe essere coordinato con un funzionario di pubbliche relazioni o affari pubblici dell'organizzazione.
  • Conduci l'indagine:

Identifica potenziali sospetti. Questo include gli addetti ai lavori e gli estranei all'organizzazione. Un discriminatore standard per aiutare a determinare o eliminare potenziali sospetti è il test MOM: il sospettato ha il movente, l'opportunità e i mezzi per commettere il crimine?

Identifica potenziali testimoni. Determina chi deve essere intervistato e chi condurrà le interviste. Fare attenzione a non allertare potenziali indagati nelle indagini; concentrarsi sull'ottenere fatti, non opinioni, nelle dichiarazioni dei testimoni.

Prepararsi per la ricerca e il sequestro. Ciò include l'identificazione dei tipi di sistemi e prove da cercare o sequestrare, designare e formare i membri della squadra di ricerca e sequestro (CIRT), ottenere e servire adeguati warrant di ricerca (se richiesti) e determinare il potenziale rischio per il sistema durante uno sforzo di ricerca e sequestro.

  • Risultati del rapporto: I risultati dell'indagine, comprese le prove, devono essere comunicati alla direzione e consegnati a funzionari o pubblici ministeri competenti.

Evidenza

Evidenza sono informazioni presentate in un tribunale per confermare o dissipare un fatto che è in discussione. Un caso non può essere portato in giudizio senza prove sufficienti a sostegno del caso. Pertanto, raccogliere correttamente le prove è uno dei compiti più importanti e più difficili dell'investigatore.

Tipi di prove

Le fonti di prove legali che possono essere presentate in tribunale generalmente rientrano in una delle quattro principali categorie:

  • Prova diretta: Questa è una testimonianza orale o una dichiarazione scritta basata su informazioni raccolte attraverso i cinque sensi del testimone (un testimone oculare) che provano o confutano un fatto o un problema specifico.
  • Prova reale (o fisica): Questi sono oggetti tangibili dal crimine effettivo, come questi:

• Strumenti e armi

• Proprietà rubata o danneggiata

• Nastri di sorveglianza visivi o audio

    Le prove fisiche da un crimine informatico sono raramente disponibili.
  • Prove documentali: La maggior parte delle prove presentate in un caso di reato informatico sono prove documentali, come le seguenti;

• Originali e copie dei record aziendali

• Record generati dal computer e archiviati dal computer

• Manuali

• Politiche

• Standard

• Procedure

• File di registro > Le registrazioni aziendali, inclusi i registri informatici, sono tradizionalmente considerate prove ingiustificate dalla maggior parte dei tribunali, in quanto tali registrazioni non possono essere dimostrate accurate e affidabili. Uno degli ostacoli più importanti per un pubblico ministero da superare in un caso di criminalità informatica è la richiesta di ammissione di record informatici come prova.

    Prova dimostrativa.
  • Utilizzato per aiutare la comprensione di un caso da parte della corte. Le opinioni sono considerate prove dimostrative e possono essere o

Esperto: Sulla base di esperienza personale e fatti

Nessuno escluso: Basati solo su fatti Altri esempi di dimostrativo le prove includono modelli, simulazioni, grafici e illustrazioni.

    Altri tipi di prove che possono rientrare in almeno una delle principali categorie precedenti includono

Migliore evidenza:

  • Prove originali e inalterate. In tribunale, questo è preferito rispetto alle prove secondarie. I dati estratti da un computer soddisfano la regola di prova migliore e possono normalmente essere introdotti nei procedimenti giudiziari in quanto tali.
    • Evidenza secondaria:
  • Un duplicato o una copia di prove, come • Backup su nastro

• Cattura schermo

• Fotografia

Prova di conferma:

  • Supporta o conferma altre prove presentate in un caso. Prova conclusiva:
  • Incontrovertibile e irrefutabile: la pistola fumante. Prove circostanziali:
  • fatti rilevanti che non possono essere collegati direttamente o definitivamente ad altri eventi ma su cui può essere fatta una ragionevole inferenza. Ammissibilità delle prove

Poiché le prove generate dal computer possono spesso essere facilmente manipolate, alterate o manomesse, e poiché non sono facilmente e comunemente comprese, questo tipo di prove viene solitamente considerato sospetto in un tribunale.

Per essere ammissibili, la prova deve essere:

Pertinente:

  • Deve tendere a dimostrare o confutare fatti rilevanti e rilevanti per il caso. Affidabile:
  • Deve essere ragionevolmente provato che ciò che viene presentato come prova è ciò che è stato originariamente raccolto e che le prove stesse sono affidabili. Ciò si ottiene, in parte, attraverso un'adeguata gestione delle prove e la catena di custodia. Legalmente consentito:
  • Deve essere ottenuto con mezzi legali. Le prove che non sono legalmente consentite possono includere prove ottenute attraverso questi mezzi:

Ricerca e sequestro illegale: Il personale delle forze dell'ordine deve ottenere un ordine giudiziario precedente; tuttavia, il personale non incaricato dell'applicazione della legge, come un supervisore o un amministratore di sistema, può essere in grado di condurre una ricerca autorizzata in determinate circostanze. •

Intercettazioni telefoniche illegali o prese telefoniche: Chiunque conduca intercettazioni telefoniche o prese telefoniche deve ottenere un ordine giudiziario precedente. •

Intrappolamento o allettamento: Entrapment incoraggia qualcuno a commettere un crimine che l'individuo potrebbe non avere alcuna intenzione di commettere. Viceversa, allettamento attira qualcuno verso qualche prova (un vaso di miele, se vuoi) dopo che quell'individuo ha già commesso un crimine. L'allettamento non è necessariamente illegale ma solleva argomenti etici e potrebbe non essere ammissibile in tribunale. •

Coercizione: Le testimonianze o le confessioni forzate non sono legalmente consentite. •

Monitoraggio non autorizzato o improprio: Il monitoraggio attivo deve essere adeguatamente autorizzato e condotto in modo standard; gli utenti devono essere informati che potrebbero essere soggetti a monitoraggio.

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Scelta dell'editore

Scelta dell'editore

Tasti di scelta rapida per Microsoft Office 2007 - dummies

Tasti di scelta rapida per Microsoft Office 2007 - dummies

Social media

Microsoft Office 2007 è pieno di scorciatoie da tastiera per risparmiare tempo. Comprimi i componenti di Office 2007 - Word, Excel, Outlook, PowerPoint e Access - utilizzando i tasti di scelta rapida utili della seguente tabella. Con poco sforzo, puoi aprire file, trovare contenuti, modificare quel contenuto e altro! Funzione Ctrl Copia Ctrl + C Taglia Ctrl + X Trova Ctrl + F Vai ...

Vantaggi di Lync Online - dummies

Vantaggi di Lync Online - dummies

Social media

Lync Online è disponibile sia in ambito professionale sia in piccole imprese (P) e aziendali (E ) piani in Office 365. Le funzionalità includono messaggistica istantanea (IM), chiamate audio e video, presenza, riunioni online, presentazioni online e la possibilità di connettersi con i contatti di Windows Live Messenger e altri utenti esterni che eseguono Lync. La tecnologia è integrata in tutto ...

Come avviare una conversazione con Lync Online - dummies

Come avviare una conversazione con Lync Online - dummies

Social media

La scheda di contatto di Lync Online è un ottimo modo per avviare una conversazione con un collega o i membri del tuo team. Oltre alle note personali, alla presenza e alla posizione, vengono visualizzate anche le informazioni sulla tua organizzazione come il titolo e i numeri di telefono. Per visualizzare la scheda di contatto, passa con il mouse sopra l'immagine di una persona e fai clic sul gallone ...

Scelta dell'editore

Come scegliere un'immagine di sfondo Twitter per Visual Social Marketing - dummies

Come scegliere un'immagine di sfondo Twitter per Visual Social Marketing - dummies

Social media

Quando si imposta su un account Twitter per il social marketing visivo, un tipo di immagine che è richiesto per il tuo profilo è l'immagine di sfondo - viene visualizzata dietro il profilo Twitter. Nella parte superiore della schermata Impostazioni disegno, Twitter ti consente di scegliere tra una serie di temi premade. Un tema premade applica un ...

Come scegliere un buon nome utente Twitter - dummy

Come scegliere un buon nome utente Twitter - dummy

Social media

Su Twitter, il tuo nome utente, o handle, è il tuo identità. Se puoi, iscriviti a Twitter usando il tuo nome o una variante di esso come nome utente (supponendo che qualcun altro non lo stia già utilizzando). Ad esempio, se il tuo nome è John Ira, potresti scegliere un nome utente Twitter come @johnira o ...

Come personalizzare il tuo profilo Twitter - dummies

Come personalizzare il tuo profilo Twitter - dummies

Social media

La tua pagina pubblica su Twitter, noto anche come profilo, è la prima impressione che gli altri utenti di Twitter hanno di te, e può fare una grande differenza nel decidere se seguirti. Personalizzare la tua pagina del profilo Twitter in modo che rifletta te o la tua azienda fa la differenza quando si tratta di persone ...

Scelta dell'editore

Perché avresti bisogno di più profili utente per Dragon Professional Individuale - manichini

Perché avresti bisogno di più profili utente per Dragon Professional Individuale - manichini

Social media

Drago Individuo professionale capisce solo quelli che si sono presentati ufficialmente come utenti e hanno creato un profilo utente. Ecco quattro motivi per cui potresti voler creare più di un profilo utente: usi diversi vocabolari o stili di scrittura per compiti diversi. Si utilizzano diversi microfoni per compiti diversi. Volete ...

Lavorare con fogli di calcolo Usare NaturallySpeaking - dummies

Lavorare con fogli di calcolo Usare NaturallySpeaking - dummies

Social media

Utilizzando fogli di calcolo con versioni precedenti di NaturallySpeaking era difficile perché non si poteva indirizzare direttamente i nomi delle celle. Volevi dire qualcosa come "Cella A5" o "Seleziona Colonna C." Ma (sospiro), niente dado. Il tuo assistente non aveva idea di cosa stavi parlando. Bene, il tuo assistente ha "up-leveled" le sue abilità! Ora è possibile ...

Su Evernote's Passcode Lock - dummies

Su Evernote's Passcode Lock - dummies

Social media

Abbonati premium e business che utilizzano determinati dispositivi ora possono bloccare l'app Evernote con un blocco Passcode . Ogni volta che torni all'app, ti viene chiesto di inserire il tuo codice. Un blocco passcode è un'ottima opzione se condividi il tuo telefono o tablet con altre persone e vuoi impedire loro di accedere a ...

Scelta dell'editore

Scelta dell'editore

Categorie popolari

© Copyright it.blender3dtutorials.com, 2025 Aprile | Informazioni sul sito | Contatti | Politica sulla riservatezza.