老板被通风报信,一个员工可能离开公司,并在这样做是试图抓住尽可能多的客户可能采取随他来到他的新工作。该公司在计算机取证专家带来了通过员工的行为看网上找员工面临前的证据。
阿尔弗雷德Demirjian,总裁兼计算机取证公司TechFusion的CEO,已经看出,和其他许多情况下在30年中,他一直在业务 - 从员工通过任何劫持电子邮件帐户滥用对公司的互联网破坏前公司时间。商业软件可以让他的公司深入挖掘员工的社交媒体帖子和文章,或者通过GPS跟踪他们,如果他们有一个公司自有的智能手机。
一个客户端可能给他们一个日期范围和TechFusion可以通过电子邮件公司的色域运行看相互作用的员工必须与客户。
“计算机取证将揭露人的恶意行为发挥更大的作用。由于它的不断推进,它将使更多的人很难掩饰自己的不法行为,更容易让他们承担责任,” Demirjian说。
技术已经走过了很长的路要走,因为Demirjian钻进业务。该行业已经从一个利用操作系统的命令来一个是基于软件的先进,他说。“重要的是要与正在使用,那么该工具的系统上的工作经验,现在是更重要的。”
他补充说,该软件有更大和更广泛的兼容性和性能改进。“这是更快,更便宜。这使法医工程师来执行许多任务多,”他说。
TechFusion已经参与了一些高知名度的情况下,最近一次是新英格兰爱国者队的四分卫汤姆·布雷迪臭名昭著的手机。当NFL要求检查他的文本,布雷迪说,他已经摆脱了手机。这些文章后来被发现。TechFusion也是任务是审议从后阿隆·埃尔南德斯的房子晚上奥丁·劳埃德被谋杀采取了监控录像。
计算机取证是关于证据的数字取证科学的一个分支在计算机和数字存储媒体发现。计算机取证的目标是检查数字媒体与确定,保护,回收,分析和呈现事实和意见有关的数字信息的一个目的取证方式。这涉及到类似的技术和原则,数据恢复,但旨在建立一个法律审计跟踪额外的准则和做法。
Alfred Demirjian, TechFusion首席执行官
瑞安Kazanciyan,在Tanium首席安全设计师说,取证是重建和分析数字证据,以确定设备或系统如何以前使用的过程。在最基本的层面上,所谓的数字证据可以采取终端为中心的数据的形式(如硬盘或内存中的内容),以网络为中心的数据(例如,通过所有网络流量穿越的完整数据包捕获特定的设备或位置),或者应用为中心的数据(例如日志或相关的节目或服务)的使用相关的其他记录。
法医调查员的工作流程主要是由具体问题驱动的,他们可能会试图回答。这通常采用取证的使用情况的例子包括:
- 一名执法官员逮捕了一名涉嫌国内恐怖主义的人,并希望确认所有通讯记录、互联网活动以及与先前或计划中的犯罪活动有关的数据。
- 若违反调查已经确定的证据表明,外部攻击者获得了访问企业服务器住房敏感的知识产权。分析师希望确定访问的初始手段,任何数据是否被访问或被盗,以及系统是否受任何敌对活性(如引入恶意软件)。
它是如何使用的,它是如何工作的?
Kazanciyan说,传统的计算机取证意味着利用专门的软件制作一个主题系统的硬盘驱动器和物理内存的图像,并自动解析为人类可识别的格式。这使得研究者检查和搜索特定类型的文件或应用程序数据(如电子邮件或web浏览器的历史),点即时数据(如在证据获取的时间运行的进程或打开网络连接),历史活动的和残余(如删除的文件或最近的活性)。
在何种程度上删除的数据和历史活动可以是随着时间的推移和相称的活性的系统上的卷上的几个因素可恢复而变化,但一般退化,他说。
这种方法对计算机取证仍然适用于集中,小规模的调查,但太费时间和资源密集型的企业级任务,如在企业环境中跨数千个系统打猎,Kazanciyan说。
“这样一来,便于快速搜索和跨‘活’系统的证据分析技术开始,在过去十年的蓬勃发展,并形成了什么被称为端点检测和响应(EDR)市场的基础,”他说。EDR产品通常提供以下功能的一些组合:
- 如执行的过程或网络连接 - - 键端点遥测的连续记录提供的系统上活动的随时可用的时间表。这类似于飞机上的黑匣子记录仪,他说。获得这样的遥测缓解需要通过证据制度的原生资源来重建历史事件。这可能是在调查技术部署到环境中之后已经发生违约的情况下不太有用。
- 分析和搜索的证据体系的本地法医来源 - 即什么是操作系统自身在正常的系统操作保存。这包括快速运行的能力,针对文件,进程,日志条目,文物在内存和大规模跨系统的其他证据搜索。它补充了使用连续事件记录,并且可以用来扩大调查范围,并发现否则可能无法被保存了更多的线索。
- 警报和检测。产品能主动收集和分析上面提到的数据的来源,并将其与结构化的威胁情报(如妥协的指标),规则或者其他启发式用于检测恶意活动。
- 证据收集从关注单个主机。作为研究者确定值得进一步检查系统,他们可以进行“深潜”证据的收集和分析跨学科体系的历史遥测的全部(如果存在并记录),在磁盘和内存中的文件。大多数组织希望在可能的情况,他说,以代替全面的法医成像的远程执行,现场系统的分流级分析。
“很多在法医领域创新的重点是简化并自动化这些流程,以确保他们甚至可以在最大和最复杂的网络中进行,并把它们两个主动攻击检测以及高效的事件响应,”他说。
取证是事件响应至关重要
Syncurity公司总裁兼首席执行官约翰·乔利说,取证是事件响应过程非常重要,而且是对常规的和及时的反应是有用的。例如,在一家公司正在处理一个成功的网络钓鱼攻击的事件,取证过程可用于确定事实,如谁的链接,谁是成功的网上诱骗/受损的点击,和什么样的信息实际被访问或拍摄。
这有助于安全小组计划在适当的反应和评估报告的要求,他说。“比如取证的过程可能会帮助您确定10个用户点击,但由于恶意域名已经sinkholed(封锁)网络钓鱼并不成功,”乔利说。
在企业知识产权被盗的事件中,无论是由内部人员还是外部攻击者,取证有助于建立一个具体的时间线和事件序列,执法部门可以使用这些时间线和事件序列来调查或起诉攻击者。他说:“在这种情况下,重要的是,在进行取证时,要符合并证明/保存羁押的证据链。”
Jolly说,这种钓鱼式攻击的一个关键因素是,公司预先计划了对钓鱼式攻击的响应和取证过程,并将它们实例化在事件响应平台上,这样它们就可重复、可预测和可测量了。
他说,这一过程包括针对不同情况的适当升级,这些情况的驱动因素包括被捕捞的对象、被捕捞或未被捕捞物品的价值,以及是否符合内部政策和外部监管要求。
“该分析师和安全团队然后简单地按照既定的剧本,进行了分析,同时建立一个法医的记录,因为他们完成的响应过程,”快乐的补充。“公司需要预测和可重复的响应,因为这样可以节省时间,金钱,并通过停止必然越早减轻攻击的影响。”
该公司还受益于建立一个进程,使之审核 - 这使他们能够测量过程和提高它随着时间的推移,也建立了内部利益相关者和外部监管部门,他们使用的最佳实践和锻炼保健的相应标准, 他说。
当问及取证将是什么样的电脑在未来,Demirjian表示将不再在其目前的形式存在。“这将变得更加专注于预防。它会在数据恢复方式的演变而改变。一旦人们开始失去他们的数据,他们开始使用远程备份,以防止它。同样的事情将发生取证。公司将投入到位法医学应用,这样一旦有事,他们拥有的数据,并跟踪发生了什么事的能力。他们将不再需要维护的硬件。”
他说,该公司将采用记录所有操作和功能的服务,并只请求日志的审查。所有信息都将被保存取证,以确保可靠性。
取证的例子
Tanium提供了一个例子,其中,网络监控设备的问题,表明企业工作站,“爱丽丝”已与攻击者,相关的互联网主机的IP地址传送警报“夏娃”。
研究者首先需要搞清楚为什么爱丽丝沟通与夏娃的IP地址。被恶意软件感染的主机?如果是这样,它是怎么获取系统上,并且可以使用哪些工件找到同样影响系统?是爱丽丝用于访问其他系统或资源,或者是包含单个主机的事件呢?什么是夏娃的最终目标?
如果Alice已经有一个EDR产品,它提供连续记录能力,调查人员可能会首先审查其遥测饲料和搜索夏娃的IP地址(10.10.10.135)。这可以识别每个连接事件的背景下(时间,相关联的过程/恶意软件,相关联的用户帐户)。
Tanium
分析师对经由Tanium跟踪上AlphaPC深潜调查IP地址属于夏娃
接着,分析师可以枢转这些发现和行为的时间表分析以识别(其可以是“手动”,由伊芙驱动或完全自动化)在先于该恶意软件的介绍给主机的事件,以及与之相关联的恶意活动。例如,调查可能显示,该恶意软件是通过使用一个包含文件的恶意软件的恶意电子邮件引入系统。继感染,遥测可能已经记录了夏娃所使用的恶意软件,窃取用户的凭据,并试图爱丽丝的企业环境中的其他系统的横向接入。
Tanium
恶意Excel文档丢弃恶意软件Z4U8K1S8.exe。然后,攻击者通过一个命令和控制会话的系统交互。Tanium跟踪记录攻击者执行的过程和活动。
如果Alice的系统不具备EDR“黑匣子”运行,研究者仍然可以拼凑相同的排序时间轴上面使用的证据体系的本地源总结。然而,这会带来的工作量和时间线空白的较高可能性更高水平。
Tanium
然后,分析人员将根据调查中确定的信息创建IOC(妥协指标)
此事件已经被分流Alice的系统后,调查人员可能具有描述夏娃的谍报众多文物或妥协的指标 - 即她的工具,战术和程序。这些可以被用来搜索法医证据和遥测整个企业识别,攻击者已经影响到其他系统的希望。这导致了进一步深入了解取证分析新发现的主机。重复该过程,直到研究者感到他们舒适范围的入射光,理解其根源和影响,并准备修复。
这篇文章,“计算机取证追踪罪犯留下的面包屑”最初发表于方案 。