Digitálna forenzná analýza

Digitálna forenzná analýza Datasheet SK

Digitálna forenzná analýza je systematické vyšetrovanie zariadenia, systému, sieťovej komunikácie alebo obrazu pamäte. V kontexte riešenia kybernetických bezpečnostných incidentov je jej cieľom odpovedať v závislosti od typu analýzy na otázky.

Digitálna forenzná analýza prebieha vo fázach:

  • Zaistenie digitálnych stôp.

  • Analýza digitálnych stôp.

  • Vypracovanie správy, reportu alebo posudku.

Pri zaistení digitálnych stôp je potrebné zabezpečiť

  • Korektnosť – získané stopy sú totožné s dátami z pôvodného média.

  • Autentickosť – získané stopy pochádzajú z analyzovaného zariadenia/systému/zdroja v danom čase.

  • Integrita – získané stopy nesmú byť v čase pozmenené, resp. je ich zmenu možné detegovať.

  • Dôvernosť a dostupnosť.

Aby boli zaistené všetky uvedené atribúty pri zaisťovaní digitálnych stôp, IstroSec má metodológiu pre zaisťovanie digitálnych stôp z pracovných staníc, serverov, sieťových a bezpečnostných technológií, externých médií, mobilných telefónov a cloudu.

Pri zaisťovaní používajú špecialisti IstroSec metodológiu využívajúcu aktuálne best-practices a postupy uznávané pred súdmi na Slovensku, v EÚ a USA.

Forenzná triáž

Tento typ forenznej analýzy je vykonávaný štandardne v rámci reakcie na bezpečnostný incident. Jej cieľom je potvrdiť alebo vylúčiť kompromitáciu systému, identifikovať indikátory kompromitácie (IOC) v prípade, že systém bol kompromitovaný. Ďalej identifikovať systémy, z ktorých bolo pristupované na analyzovaný systém. Taktiež identifikujeme prípadné ďalšie systémy, ktoré boli napadnuté analyzovaným systémom.

V prípade cloudových služieb sa jedná najmä o potvrdenie kompromitácie účtov alebo súčastí cloudového riešenia, identifikácia indikátorov kompromitácie a získanie zoznamu kompromitovaných účtov.

V prípade kybernetického incidentu tieto informácie slúžia ako podklady pre fázy: Containment, Eradication a Recovery.

Forenzná triage nie je určenia ako náhrada plnohodnotnej forenznej analýzy, ale ako podklad na identifikáciu, ktoré systémy je potrebné analyzovať komplexne.

V rámci forenznej triáže je vykonané minimálne:

  • Sken na vyhľadanie škodlivého kódu minimálne 5 rôznymi antimalvér riešeniami

  • Vyhľadávanie IOC relevantných pre daný prípad

  • Vyhľadávanie indikátorov perzistencie (cca viac ako 100 rôznych zdrojov perzistencie)

  • Vyhľadávanie stôp indikujúcich spustenie programov

  • Vyhľadávanie stôp indikujúcich otvorenie alebo nahliadnutie súborov a priečinkov

  • Vyhľadávanie stôp indikujúcich laterálny pohyb (pohyb medzi zariadeniami)

  • Vyhľadávanie stôp šifrovania

  • Automatizovaná analýza logov

Forenzná triáž štandardne odpovedá napríklad na otázky:

  • Je analyzované zariadenie kompromitované?

  • Nachádzajú sa na systéme IOC v rámci riešeného prípadu?

  • Ktoré ďalšie systémy boli napadnuté z analyzovaného systému?

  • Z ktorých zariadení sa pristupovalo na analyzované zariadenie?

  • Ktoré účty boli kompromitované?

  • Aký spôsob používa útočník na C2 (Command and control)?

  • Aké mechanizmy perzistencie boli použité?

  • Boli vykonané pokusy o zametenie stôp?

  • Sú bezpečnostné mechanizmy systému nedotknuté?

  • Nachádza sa na systéme malvér?

Forenzná analýza

Toto je kompletná forenzná analýza a obyčajne sa vykonáva samostatne, alebo v prípade incident response ako nadstavba forenznej triáže.

V rámci forenznej analýzy je definovaná forenzná hypotéza.

Forenzná analýza štandardne v prípade reakcie na incident odpovedá napríklad na otázky:

  • Ktoré zariadenie bolo infikované ako prvé? (Patient 0)

  • Ako sa útočník dostal na prvé zariadenie? (Patient 0)

  • Akú aktivitu útočník vyvíjal na zariadení?

  • Akú zraniteľnosť útočník použil pri kompromitácií prvotného zariadenia?

  • Aké súbory útočník otváral alebo prezeral?

  • Klikol používateľ na spearphishingový email?

  • Boli exfiltrované dáta?

  • Pristúpil útočník k nejakej špecifickej databáze?

  • Modifikoval útočník dokumenty na zariadení?

  • Modifikoval útočník databázu?

V rámci forenznej analýzy sa vykonávajú kroky, ktoré sú relevantné pre daný typ prípadu. Štandardne forenzná analýza zahŕňa:

  • Sken na vyhľadanie škodlivého kódu minimálne 5 rôznymi antimalvér riešeniami

  • Vyhľadávanie IOC relevantných pre daný prípad

  • Vyhľadávanie indikátorov perzistencie (cca viac ako 100 rôznych zdrojov perzistencie)

  • Vyhľadávanie stôp indikujúcich spustenie programov

  • Vyhľadávanie stôp indikujúcich otvorenie alebo nahliadnutie súborov a priečinkov

  • Vyhľadávanie stôp indikujúcich laterálny pohyb (pohyb medzi zariadeniami)

  • Vyhľadávanie stôp šifrovania

  • Komplexná analýza logov

  • Analýza kompletnej timeline

  • Analýza súborových systémov, rekonštrukcia vymazaných častí, kde je to možné

  • Analýza aktivity používateľov

  • Analýza exfiltrácie

V rámci forenznej analýzy je často vykonávaná (v prípade, že je to relevantné) aj:

  • Sieťová forenzná analýza

  • Analýza pamäte

  • Analýza škodlivého kódu

  • Analýza sieťových a bezpečnostných zariadení

  • Analýza IOT zariadení

Prečo IstroSec?

Naši forenzní analytici majú dlhoročné skúsenosti s veľkou škálou prípadov ako sú rôzne súdne prípady, BEC (kompromitácia firemného emailu), analýza v súvislosti s HIPPA, kompromitácia APT a veľa ďalších. Držia taktiež niekoľko certifikácií ako je GCFE, GCFA a niektorí členovia oddelenia boli súčasťou výherného tímu Locked shields 2016.