Forensics, это, как нам
wiki рассказывает, слово латинское и означает "of or before the forum". Т.е. это означало подготовку к публичному выступлению на суде. Сейчас это чаще означает что-то связанное с судом и сбором юридических свидетельств. Хотя может означать форму публичных выступлений.
С точки зрения информационной безопасности интересна наука "Computer forensics"(далее именно это будем именновать forensics), которая является веткой "digital forensic science" и означает сбором и представлением юридических свидетельств с носителей информации и компьютеров вообще - или seize and investigate (захват и исследование) digital evidence (цифровые улики, свидетельства). Причём к цифровым свидетельствам предъявляются опреденные требования, т.к. это всё-таки нематериальные штуки. Вот требования бринаской Association of Chief Police Officers к цифровым уликам:
- Никакие действия правоохранительных органов не должны привести к изменению данных на на носителях, которые могут быть предъявлены в суде.
- В исключительных случаях, уполномоченное лицо может получить доступ к данным на носителях, если обладает необходимой компетенцией и в последствии сможет объяснить необходимость и последовательность своих действий
- Вся последовательность действий с цифровыми свидетельствами должна быть зафиксирована так, чтобы независимая сторона могла их воспроизвести
- Лицо, ответственное за расследование, полностью отвечает за соблюдения этих принципов.
На русский лад Computer Forensic investigation можно называть "программно-технической экспертизой". Важно упомянуть отличие forensic investigation (действия по сбору свидетельств инцидента) от incident response (реагирование на инцидент) - сосредоточенность на юридическом аспекте проишествия вообще и сборе улик в частности.
Есть разные интересные техники проведения forensic investigations (сбор, анализ, отчёт):
- Cross-drive analysis. Сбор и соспостовление данных на устройствах хранения. Позволяет выявить аномалии.
- Live analysis. Сбор данных с операционной системы в постоянном режиме. В том числе, этот способ позволяет анализировать содержимое оперативной памяти, пока оно не было стёрто.
- Восстановление удаленных данных. Самый распространеный способ - взять при обыске диске, сделать точную
побитовую копию и вытаскивать оттуда имеющиеся и удаленные данные.
Со сбором данных с носителей информации вроде понятно. Берем носитель, делаем побитовую копию (по необходимости используем
спец оборудование), а дальше мозгом анализируем данные. А что можно найти с помощью сетевого сканера для live analysis?
- Следы успешных и безуспешных попыток подбора паролей (по журналам смотрим количество логинов в единицу времени, если очень много - попытка подбора). Конечно, не только для пользователей ОС, но и СУБД, ERP-приложений и др.
- Наличие в ОС или диске хакерских инструментов.
- Аномалии в системе аутентификации: пустые пароли, странные $PATH в окружении пользователя, настройки cron и sudoers.
- Поиск закладок
- Подозрительные программы в автозагрузке
- Поиск в истории браузера, списке недавно используемых документов.
- Поиск в документах пользователя слов типа "Пароль", "Резюме", "Конфиденциально" и т.п.
- Анализ изменений в таблице маршрутов, VLAN, ARP и др.
- Анализ изменений критичных файлов путем контроля их целостности
- Прочие подозрительные изменения в конфигурация информационных систем
Понятно, что большую часть информации, собранной сканером надо анализировать. Многие изменения могут быть авторизованы и не представлять проблем. Но ведь главное, чтобы было что анализировать. Автоматизированное средство здесь поможет выполнить рутинному работу по регулярному сбору данных, хранению их, выводу изменений и всякому поиску в информации. И даже если вы ленитесь анализировать информацию постоянно, то в случае инцидента у нас будет под рукой сканы, который помогут восстановить картину преступления и собрать доказательства для суда. Последнее действие и есть Forensic.
