数字取证:内部故事

Jelle Niemantsverdriet是主要顾问,法医学和调查反应EMEA,Verizon Essueld安全解决方案。在这次采访中,他将读者介绍了数字取证世界,并谈到了计算机取证工具,隐私问题,调查不同操作系统的根本差异,并为有兴趣了解更多关于计算机取证的人一般提供建议。

NiemantsVerdriet将在2011年欧洲数字取证和事件响应峰会上教授可以从调查中学到的确认数据违规行为。

许多安全专业人士对数字取证有关。你刚刚开始的那些建议是什么?
开始阅读。在那里有很多信息,我建议在阅读技术内容,调查策略,特别是报告中保持良好的平衡。 Twitter上还有一个非常活跃的社区或敏锐地分享经验的各种论坛–只要你展示你并不害怕自己做一些工作,你也会参加。

该领域一方面非常广泛(有很多设备或系统可以保存信息并在调查中使用),但也可以非常详细和特定:您可以成为特定操作的法医文物的超级专家系统或移动电话类型。

再次,我一直在强调:它不仅仅是事情的技术方面。具有调查思维,能够解释和报告您的发现是知识的主要特征‘how things work’.

在大型组织中进行取证调查所涉及的重要步骤是什么?您如何处理如此挑战性的努力?
我认为主要挑战是采取和维护‘trusted advisor’角色,它从提供关于提供危机管理建议的技术和调查步骤的建议。想象一下,这样的公司是–特别是在数据泄露或安全事件期间–在危机模式中,每个人都受到很大的压力。您是定期处理这些情况的少数人之一,并带来Min以使他们能够实现这一目标,所以为大量的头来准备好转动方式。这些头部不仅是它或安全相关的,而且通常也是人力资源,总经理或组织内的其他有关部门。

在调查层面,这些病例真的开始作为你不在的难题’甚至知道件看起来像是什么样的。它’对于尝试并尽可能快地概述概述,因此可以集中精力。我们经常做的一件事是让所涉及的系统,网络和安全团队在一个房间开始绘制一个‘共识网络图’相关系统。现有的网络图通常过时(或唐’t exist at all…),所以我们经历过,其中每个人都有一个带有白板的房间通常比更新旧图更快。

您更喜欢哪种法定药工具?为什么?
完成作业的工具。没有一个‘silver bullet’适用于每种情况的工具。这对我来说最重要的是了解工具的优势和弱点,并使用该知识来挑选正确的工具。但总的来说,我们不应该对工具提供太多强调,因为最重要的因素在于使用它的人的知识和技能–就像购买最昂贵的锤子一样,不会让你成为世界一流的木匠。

关于商业或开源工具的主题,我也无动于衷–这两个主要的商业工具绝对是我工具包的一部分,但如果我可以’t解决问题或者我需要第二个工具来验证我的发现,我’M很乐意抓住自由或其他商业工具。或在最坏的情况下(或最佳案例– if you’重新安装一些编码),没有工具为您的特定问题,您必须开始自己开始脚本或编程。

法医调查员如何确保他在他的工作和用户之间罢工平衡’ right to privacy?
我认为它’这里非常重要,以确保您的行动尽可能不可侵入。例如,而不是手动查看用户上的每个文件’S硬盘驱动器,确保您有一些非常相关的关键字来进行自动搜索,以便将用户从调查中排除,或者在最坏的情况下只需要您审核少数文档。

这也是您可以对用户解释的事情:您作为一个调查员通常对他们在Facebook上制作的假期图片或他们在Facebook上制作的帖子不感兴趣,您将进入调查一个非常具体的问题,并将使用您的工具过滤掉‘noise’ as possible.

此外,这是法律要求在很多国家,在您开始之前妥善评估对调查的需求,因为它是非常的‘heavy’使用使用。确保您没有雇用‘法医管理’ and don’t be afraid to say ‘no’如果您认为怀疑不足以保证调查。

调查Windows,Linux和Mac OS X系统的基本差异是什么?
我愿意以逼近这种调查的一般方式实际上存在很多相似之处。用于成像系统的方法,根据局部分析方法’■无论操作系统如何,都是完整的,事实和可理解的报告的必要性和综述。当然,系统然后需要不同类型的分析,将其数据存储不同,依此类推,但在广泛的意义上应用相同的原则。

你的SANS培训课程是什么样的?与会者可以获得什么技能?
我在2011年欧洲数字取证和事件响应峰会的演讲会议将提供概述‘state of cybercrime’,如我们正在进行的系列中所述‘Verizon DataBreac区调查报告’。在这些报告中,我们使用标准框架来描述导致数据泄露的所有因素–根据我们的团队所做的法医调查。自去年以来,我们还包括来自美国秘密服务的调查的数据,今年我们增加了荷兰高科技犯罪单位’报告的案件。我们认为提供此洞察力可以真正帮助组织优先考虑其防御努力。只是因为在技术上是可能的,并不意味着它是一个很可能的威胁或者你应该立即专注于–我们有时忘记了新漏洞和聪明,令人兴奋的黑客的持续新闻周期。

我希望提高关于在组织之间分享数据的需求,以便为每个人提供更好的图片,以便在这一领域发生的事情,并将显示出席人员可以在不妥协的情况下进行这些数据共享的情况。

分享这个