Når noe skjer på nettet som ikke er ment for å skje, fra svindelaktivitet til et koordinert nettangrep, kan de involverte dataene og systemene gi ledetråder om hvem som gjorde hva, hvor og hvorfor. Å skaffe seg den informasjonen og innsikten kan derfor være avgjørende for å spore opp gjerningspersonene og hjelpe organisasjoner med å sikre at hendelsen ikke kan gjentas - og det er her digital etterforskning kommer inn.
Digital etterforskning er praksisen der det brukes til å etterforske ondsinnet aktivitet fra alle typer digitale enheter og innsamling av bevis for videre analyse eller rapportering. Det er en svært spesialisert aktivitet, men ettersom nettkriminalitet øker og digital teknologi blir stadig viktigere i livene våre, er det en kritisk funksjon for enhver organisasjon.
Denne artikkelen utforsker hvordan digital etterforskning fungerer, når det er nødvendig, og de viktigste utfordringene du må huske på i en verden i stadig endring.
Hvorfor er digital etterforskning viktig?
Digital etterforskning er viktig fordi flere og flere forbrytelser og ondsinnede aktiviteter nå involverer tilkoblede og digitale enheter. Utviklingen av digitale etterforskningstekniske prosesser ga etterforskere og rettshåndhevende myndigheter strukturerte midler til å samle bevis om potensielle forseelser som kan tillates i retten.
Etter hvert som datamengder og forskjellige bruksområder for digitale teknologier fortsetter å utvide, øker relevansen av digital etterforskning bare. Med en bredere base av data, systemer og applikasjoner blir det mer komplisert og tidkrevende å undersøke problemer, spesielt for interne IT- og sikkerhetsteam. Nå mer enn noen gang er spesialiserte digitale etterforskningsfunksjoner avgjørende for å kunne gjennomføre grundige undersøkelser og ta hensyn til alle relevante bevis.
Hvordan fungerer digital etterforskning?
Prosedyren for digital etterforskning er veldefinert på tvers av alle typer enheter og systemer som etterforskes. Alle gode digitale etterforskningsteam vil derfor følge denne firetrinnsprosessen:
Datainnsamling
Digitale etterforskningsteam vil identifisere enhetene de har til hensikt å samle inn data fra, og vil deretter lage et duplikat av alle dataene på disse enhetene til sin egen harddisk. Når dette er fullført, vil de også låse ned de originale dataene slik at de ikke kan tukles med i ettertid.
Undersøkelse
Etterforskningsteamet vil deretter vurdere dataene og eventuelle tilhørende metadata grundig, på jakt etter bevis eller ledetråder som peker mot kriminell aktivitet. Som en del av dette vil de også ta sikte på å gjenopprette data som tidligere ble slettet på områder som systembuffer, nettleserhistorikk og harddisker.
Analyse
Bevisene etterforskningsgruppen har funnet vil deretter bli gjenstand for detaljerte analyseteknikker. Disse kan omfatte levende analyse av kjørende systemer og omvendt steganografi som ser etter kodet informasjon i ellers ufarlig utseende innhold eller meldinger.
Rapportering
Alle bevis og analyseresultater blir deretter samlet i en rapport fra det digitale etterforskningsteamet, som også vil utarbeide konklusjoner og anbefalinger basert på bevisene. Dette kan være forslag om kriminelle forseelser begått av en person eller organisasjon, eller det kan være forslag til hvordan man kan lukke sårbarheter innen cybersikkerhet.
Hva er de forskjellige typene digital etterforskning?
Det finnes flere forskjellige typer digital etterforskning, som varierer avhengig av type enhet eller system som undersøkes:
Dataetterforskning
Dette er sannsynligvis den vanligste typen digital etterforskning og forveksles ofte med det bredere begrepet i seg selv. Den samler rettsmedisinske innsats og informatikk for å grave dypt inn i datamaskiner og avdekke bevis og innsikt.
Mobiletterforskning
Det har blitt stadig viktigere å lete etter bevis på mobile enheter etter hvert som smarttelefoner og nettbrett har vokst i daglig bruk, spesielt ettersom de kan inneholde kontakter, bilder, videoer og annen personlig informasjon.
Etterforskningsundersøkelser
Med databaser som sannsynligvis vil inneholde store mengder informasjon, kan de være et fruktbart mål for etterforskningsteam som leter etter bevis på et databrudd eller andre typer tap av data.
Minne etterforskning
Hver enhets Random Access Memory (RAM) har potensial til å peke mot ondsinnet aktivitet, spesielt hvis det påstås å ha funnet sted relativt nylig.
Nettverksetterforskning
Nettverkstrafikk og nettsurfing er et vanlig anløp for etterforskningsteam som prøver å spore opp gjerningsmannen til de aktuelle lovbruddene.
Etterforskning av filsystemer
Alle filene og mappene som er lagret på alle typer endepunktsenheter, er et standard etterforskningsområde for digitale etterforskningsteam, på tvers av sluttbrukerenheter som bærbare datamaskiner til store servere i datasentre.
Hvor og når er det nødvendig med digital etterforskning?
I en verden som er så dominert av digitale tjenester og funksjonalitet, gir digital etterforskning klarhet og innsikt på flere viktige områder. Dette omfatter:
Rettssaker
Rapportene utarbeidet av anerkjente digitale rettsmedisinske team kan brukes som bevis i en domstol. Å ha klare bevis på en overtredelse kan være avgjørende for å lykkes med påtale eller sivilt søksmål og for å sikre at gjerningsmennene til den ondsinnede aktiviteten blir stilt for retten.
Saker om utlevering av data
Når bedrifter gir ut data til allmennheten eller til andre som de ikke skulle, er det viktig å komme til bunns i hvordan og hvorfor det skjedde. Enten lekkasjen var med vilje eller ikke, kan digital etterforskning hjelpe til med å finne årsak og årsak, slik at tiltak kan iverksettes for å forhindre gjentakelse.
Immaterielle rettigheter tyveri, svindel og industrispionasje
Forretningsdata er ekstremt sensitive og verdifulle. Skadene som kan oppstå hvis den faller i hendene på en kriminell - eller en konkurrent - kan være katastrofal i juridiske, økonomiske og omdømmemessige termer. Digital etterforskning kan være avgjørende for å spore opp eventuelle forsøk på å beslaglegge midler, data eller åndsverk og sikre at organisasjonens interesser blir ivaretatt.
Cyberstalking
Spørsmålet cyberstalking har vokst de siste årene, og i hvilken grad folk lever livene sine på nett kan gjøre dem spesielt sårbare. Når ofrene er usikre på hvem forfølgeren deres er eller hvorfor de gjør det, kan en digital etterforskning hjelpe til med å spore opp den eller de ansvarlige.
Tvister på arbeidsplassen
Når det har vært anklager om tjenesteforseelser mot en ansatt, eller en ansatt er mistenkt for å ha drevet et nettangrep eller annen useriøs atferd internt, kan digital etterforskning fastslå nøyaktig hva som har skjedd eller ikke. Dette sikrer at HR-team og andre bedriftsledere tar de riktige avgjørelsene, i tråd med arbeidsrett og med klare bevis.
Sikkerhetsanalyser
Digital etterforskning kan inngå i bredere cybersikkerhetsundersøkelser som kan avdekke farlige sårbarheter i systemer, data og applikasjoner som nettkriminelle kan utnytte. Ved å fastslå hva disse er, kan sikkerhetsteam proaktivt tette disse hullene og forstå hvordan de skal reagere så raskt som mulig ved forsøk på innbrudd eller angrep.
Digital Forensics Incident Response (DFIR)
Digital etterforskning er ofte kombinert med hendelsesberedskap i en koordinert tilnærming som sikrer at den ene aktiviteten ikke snubler over den andre. DFIR kan samtidig adressere cybertrusler og samle bevis på skadelige handlinger. Denne tilnærmingen gir mulighet for rask avbøtning av brudd, samtidig som den gir grunnlag for videre rettslige skritt. Kaspersky støtter denne prosessen med avanserte verktøy som Information Security Incident Response , som sikrer effektiv håndtering og løsning.
Hva er de viktigste utfordringene rundt vellykket digital etterforskning?
Å få riktig digital etterforskning er ikke en enkel eller rask oppgave, og av forskjellige årsaker blir det ikke enklere. Vanlige utfordringer og komplikasjoner rundt vellykkede cybersikkerhetsundersøkelser inkluderer (og er ikke nødvendigvis begrenset til):
Datasikkerhet og kryptering
Det er stadig vanligere at ondsinnede aktører bruker krypteringsteknologi for å maskere eller skjule kriminelle aktiviteter. Uten å ha krypteringsnøklene kan muligheten til å få tak i viktige data og bevis bli ekstremt vanskelig og tidkrevende. Det er av denne grunn at leverandører av digital etterforskning hele tiden investerer i ferdigheter og ekspertise slik at de er kjent med de nyeste krypteringsmetodene og -teknologiene.
Teknologisk utvikling
Med nye innovasjoner innen programvare og maskinvare som kommer på strømmen hele tiden, kan det være vanskelig å holde tritt med hvem som er i stand til å gjøre hva med forskjellige enheter, applikasjoner og tilgangspåloggingsdetaljer. Akkurat som i cybersikkerhet mer utbredt, er digitale etterforskningsteam i et uendelig våpenkappløp for å forstå truslene som finnes der ute, og ligge et skritt foran de nettkriminelle.
Dataskala og kompleksitet
Globalt øker datamengden rundt oss hele tiden og blir mer og mer kompleks og mangfoldig. Den eneste måten de digitale etterforskningsteamene realistisk kan få innsikten og bevisene de leter etter, er å støttes av avansert verktøy og etterforskningsteknikker. Disse kan hjelpe etterforskere med å fremskynde søket gjennom en rekke forskjellige datakilder, fra solid state-stasjoner til kontoer på sosiale medier.
AI og IoT
Koblet til det forrige punktet, fremveksten av kunstig intelligens og tingenes internett, gir nettkriminelle flere muligheter til å sette i gang smartere, AI-assisterte angrep og utnytte sårbarheter i IoT-enheter. De samme teknologiene kan imidlertid også brukes av digitale etterforskningsteam til deres fordel: De kan bruke AI- og IoT-data til å utføre raske, dyptgående søk og avdekke nye nivåer av innsikt og bevis som de ellers kunne ha oversett.
Personvern og etiske hensyn
Databeskyttelse og personvern er store bekymringer blant publikum, spesielt med bruk av ordinær AI og en jevnlig strøm av høyprofilerte brudd på datasikkerheten. Det forventes at digitale etterforskningsteam følger forskrifter og etisk beste praksis nøye og sikrer at behovet for å innhente bevis ikke skjer på bekostning av folks rett til personvern på nett.
Innhente den riktige ekspertisen
Alt det ovennevnte kan gjøre digitale kriminaltekniske undersøkelser svært komplekse, og derfor er det så viktig å jobbe med et erfarent, ekspertteam med de beste ferdighetene og verktøyene. Kaspersky Incident Response kombinerer for eksempel IR med digital etterforskning og skadelig programvare i en koordinert tilnærming som etablerer et fullstendig bilde av en hendelse og iverksetter tiltak for å utbedre den. Våre spesialister har lang praktisk erfaring som er ideell for å få systemer og forretningsdrift tilbake på rett spor, takket være raske, fullt informerte svar som reduserer gjenopprettingstider og kostnader.
Relaterte artikler:
