Комп'ютерна криміналістика для бізнесу

• Види комп'ютерної криміналістики
  • Судово-медичний аналіз операційних систем
  • Судово-медичний аналіз комп'ютерних мереж
  • Криміналістика мобільних пристроїв
  • Судово-медичний аналіз хмарних сервісів
• Етапи комп'ютерного криміналістичного аналізу
  • Аналіз ситуації
  • Реконструкція доказів
  • Вивчення даних
  • Коригувальні дії

Це набір методів, що використовуються для реконструкції структури даних файлу, незалежно від того, чи був він видалений, чи приховані дані були знайдені в комп'ютерній системі. Весь процес дозволяє ідентифікувати, зберігати, аналізувати та представляти зібрану інформацію як доказ, що гарантує достовірність даних у судовому провадженні.

Весь цей процес виконується після виявлення інциденту та доступний для будь-якого типу пристрою, що зберігає дані. Це дозволяє нам зібрати всю інформацію та з'ясувати все, що пов'язано з інцидентом, включаючи винуватців, співучасників, причини тощо.

Види комп'ютерної криміналістики

Для досягнення комплексного аналізу найкращим варіантом є розділення процесу на кілька видів комп'ютерного аналізу.

Ми повинні наголосити, що вся зібрана інформація буде захищена та архівована фахівцями, де її не зможе змінити ніхто, щоб її можна було перевірити в судовому провадженні.

Судово-медичний аналіз операційних систем

Це частина, яка аналізує задіяні комп'ютери, робочі станції чи сервери, з метою збору всієї інформації, пов'язаної з цим типом судово-медичного аналізу.

Аналіз збиратиме як видимі, так і приховані дані. Системи також будуть проаналізовані на наявність видалених даних за допомогою високорівневих інструментів криміналістичного аналізу.

Судово-медичний аналіз комп'ютерних мереж

Це процес, за допомогою якого збирається вся інформація, пов'язана з комп'ютерними мережами інфраструктури, відстежується вся діяльність, що здійснюється на момент попереднього аналізу, та аналізуються всі зібрані дані.

Все це представлено у звіті, який покаже, чи використовувалися якісь джерела атак, такі як віруси, вторгнення ззовні мережі, всередині мережі або через трафік організації.

Цей аналіз не слід проводити після скоєння злочину, а радше постійно, щоб забезпечити кращий захист компанії чи організації від загроз.

Криміналістика мобільних пристроїв

Працівники все частіше оснащені мобільними телефонами для полегшення своєї роботи. Як наслідок, експертиза мобільних пристроїв значно зросла.

Мета цього розділу — зібрати та/або відновити всю можливу існуючу або видалену інформацію з мобільного телефону або навіть планшета.

Для цього дані необхідно зібрати за допомогою інструментів, що дозволяють зберегти сліди злочину. Ці інструменти досить дорогі, і найкращим варіантом є найм служби судово-медичного аналізу мобільних пристроїв.

Ці інструменти створять точну копію всього телефону або планшета, щоб його можна було безпечно проаналізувати пізніше.

Судово-медичний аналіз хмарних сервісів

Сьогодні дані зберігаються не лише на комп’ютерах чи мобільних телефонах; все більше компаній обирають зберігання всіх своїх даних у хмарі. Тому судові аналітики повинні бути в курсі подій та адаптуватися до нових технологій.

Таким чином, криміналістика хмарних сервісів – це збір усієї інформації, яка може зберігатися в хмарі.

Команді експертів потрібно буде зв’язатися з усіма існуючими постачальниками хмарних послуг організації. Після надання доступу вони почнуть збирати всю доступну інформацію для подальшого аналізу.

Етапи комп'ютерного криміналістичного аналізу

Аналіз ситуації

Збір усієї інформації, яка стане основою для реконструкції копії або репліки джерела даних. Цей крок включає розробку детального плану наступних кроків або тестів, які необхідно виконати.

На цьому початковому етапі будуть зібрані як існуючі дані, так і дані, які можна видалити.

Реконструкція доказів.

Щойно ми отримаємо всі дані — чи то з флеш-накопичувача, жорсткого диска, хмарного сховища чи файлів, захищених паролем, — їх аналізують та впорядковують для подальшої діагностики.

Вивчення даних.

На цьому етапі ми матимемо результати з детальним описом проведених тестів даних. На основі отриманих даних будуть підготовлені детальні звіти, в яких чітко будуть зазначені жертви, злочинці, будь-які співучасники та будь-які слабкі місця.

Однак, буде підготовлено ще один звіт з детальним описом рекомендацій або дій, які необхідно вжити після проаналізованого інциденту, а також будь-яких виявлених вразливостей.

Коригувальні дії

З урахуванням попереднього довідкового звіту будуть вжиті необхідні заходи для уникнення або мінімізації впливу аналізованого інциденту.