ACCESSDATA: מבוא לזיהוי פלילי דיגיטלי (Digital Forensics)

הדיגיטציה של המידע ושל תהליכים לרוחב ארגונים ממשלתיים ופרטיים, מגדילה את הצורך בכלים ותהליכים טובים מסוגם לביצוע חקירה דיגיטלית. בין אם הדבר נעשה לצורך חקירה של דליפת נתונים או לצורך משפטי, ארגונים מבזבזים זמן רב בשליפת הנתונים הנדרשים. סקר של IDG מצא כי רוב הארגונים מנהלים חקירות דיגיטליות על בסיס שבועי. חקירות אלה מבוצעות לצורך הוכחת עמידה ברגולציה, תגובה לאירועים (כולל ניתוח לאחר אירוע), ועצירת התנהגות מסוכנת מצד עובדים (הפרת קוד התנהגות מקובל).

טוד אווסקו, מנהל מוצרים ב- AccessData מסביר אודות התפקיד של חקירות דיגיטליות כחלק מהמאמץ היומיומי של ה- IT.

מי "אחראי" על פורנזיקה? ה- IT? המחלקה המשפטית? משאבי אנוש? 

התשובה היא שילוב של השלושה. אנשים רבים מקשרים את הפורנזיקה לאבטחת הסייבר, אבל למעשה מדובר בישות נפרדת. כן, כלי פורנזיקה משמשים כדי לחקור אירועי סייבר, אבל הם לא כלי למניעתם. לשם כך קיימים כלים ל"ציד איומים" – ניטור הפירוול והלוגים אחר התנהגות חריגה. ברגע שזאת נעצרת, אז כלי הפורנזיקה נכנסים למשחק כדי להבין מה התרחש, ובעיקר כדי לבנות תוכנית למניעת אירוע נוסף. כלי פורנזיקה מסתכלים מעבר לאירוע ואוספים את כל הנתונים הקשורים למערכות הרלוונטיות.

האם פורנזיקה נועדה לצורך תגובה לאירועים בלבד?

לא. אתה יכול לחקור מבלי שיהיה "אירוע". ארגונים צריכים להשתמש בכלים וטכניקות של פורנזיקה כדי לקבוע היכן הנכסים היקרים של הארגון נמצאים. מה הם אפיקי ההתקפה? מה הסבירות שתוקפים ישתמשו באפיקים אלה? ניתן לנתח את המידע שנאסף בחקירה דיגיטלית כדי לקבל תשובות לשאלות האלו.

מתוך החקירות האלה, מהו האיום הגדול ביותר שמתעלמים ממנו ואשר מוביל לאובדן ולדליפת נתונים?

איום פנימי – ללא ספק. בין אם מדובר בקוד זדוני או בטעות, חקירה של אירועים רבים מובילה בסופו של דבר לאדם אחד שעשה משהו שהוא לא היה אמור לעשות. בדיוק כמו שאנשים עדיין (למרבה הפלא) מוסרים את מספר תעודת הזהות שלהם כאשר "הבנק" מתקשר אליהם, אנשים עדיין לוחצים על קישורים המגיעים ממקור בלתי מוכר ומורידים מידע רגיש אל המכשירים שלהם. ברגע שזיהית התרחשות של הדברים, אתה יכול להציב בקרים שימזערו את טעויות האנוש.

האם קיים הבדל בין פורנזיקה בשוק המסחרי והשוק הממשלתי?

מדובר ברמת חומרה שונות. אם ארגון נפרץ ומושבת, אנשים יאבדו משרות ומניית החברה יכולה לצנוח. אם משהו דומה מתרחש בישות ממשלתית, אז חיים יכולים לעמוד בסכנה. דמיינו את ההשפעה שיש לפריצה למערכות מודיעין או ביטחון.

מהם המאפיינים המרכזיים שאנשים צריכים לדרוש מכלי הפורנזיקה שלהם?

קודם כל, מהירות. זמן משחק תפקיד חשוב בכל חקירה. אתה צריך להגיע לשורש הבעיה או לקשר בין הדברים על מנת למזער את הבעיה. הכלים צריכים להגיע עם היכולת לעבד ביג דאטה ולהיות מסוגלים להתרחב על פי הביקוש. הם גם צריכים להתמודד עם הגידול בגישה דרך מכשירים ניידים ותקשורת בין עובדים בהודעות טקסט, דואר אלקטרוני וטלפון. כדי לאסוף ולעבד את כל המידע הזה, כלים הופכים להיות "כבדים" ועם תביעת רגל גדולה על המכונות. ארגונים צריכים לחפש אחר פתרונות המותירים תביעת רגל קטנה ככל הניתן על נקודות הקצה מהן הם אוספים מידע.

שתף פוסט