området for Computer forensics undersøgelse vokser, især som retshåndhævelse og juridiske enheder indse, hvor værdifulde informationsteknologi (it) fagfolk er, når det kommer til efterforskningsprocedurer. Med fremkomsten af cyberkriminalitet er sporing af ondsindet onlineaktivitet blevet afgørende for at beskytte private borgere samt bevare onlineoperationer inden for offentlig sikkerhed, national sikkerhed, regering og retshåndhævelse. Sporing af digital aktivitet giver efterforskere mulighed for at forbinde cyberkommunikation og digitalt lagrede oplysninger til fysisk bevis for kriminel aktivitet; computer forensics giver også efterforskere mulighed for at afdække overlagt kriminel hensigt og kan hjælpe med at forebygge fremtidige cyberforbrydelser. For dem, der arbejder i marken, er der fem kritiske trin i computer forensics, som alle bidrager til en grundig og afslørende undersøgelse.
Politik og procedureudvikling
uanset om det er relateret til ondsindet cyberaktivitet, kriminel sammensværgelse eller hensigten om at begå en forbrydelse, kan digitale beviser være følsomme og meget følsomme. Cybersecurity-fagfolk forstår værdien af disse oplysninger og respekterer det faktum, at de let kan kompromitteres, hvis de ikke håndteres og beskyttes korrekt. Af denne grund er det afgørende at etablere og følge strenge retningslinjer og procedurer for aktiviteter relateret til computer retsmedicinske undersøgelser. Sådanne procedurer kan omfatte detaljerede instruktioner om, hvornår computerforensics-efterforskere har tilladelse til at gendanne potentielle digitale beviser, hvordan man korrekt forbereder systemer til hentning af beviser, hvor man kan gemme hentede beviser, og hvordan man dokumenterer disse aktiviteter for at sikre ægtheden af dataene.
retshåndhævende myndigheder bliver mere og mere afhængige af udpegede IT-afdelinger, som er bemandet af erfarne cybersikkerhedseksperter, der bestemmer passende efterforskningsprotokoller og udvikler strenge træningsprogrammer for at sikre, at bedste praksis følges på en ansvarlig måde. Ud over at etablere strenge procedurer for retsmedicinske processer skal cybersikkerhedsafdelinger også fastlægge regler for styring for al anden digital aktivitet i en organisation. Dette er vigtigt for at beskytte datainfrastrukturen for retshåndhævende myndigheder såvel som andre organisationer.
en integreret del af efterforskningspolitikkerne og procedurerne for retshåndhævelsesorganisationer, der bruger computer retsmedicinske afdelinger, er kodificeringen af et sæt eksplicit angivne handlinger vedrørende, hvad der udgør bevis, hvor man skal kigge efter nævnte bevis, og hvordan man håndterer det, når det er hentet. Forud for enhver digital undersøgelse, der skal tages passende skridt til at bestemme detaljerne i den aktuelle sag, samt at forstå alle tilladte efterforskningshandlinger i forhold til sagen; dette indebærer læsning af sagsundertøj, forståelse af tegningsoptioner, og tilladelser og opnåelse af de nødvendige tilladelser, inden sagen forfølges.
Evidensvurdering
en nøglekomponent i efterforskningsprocessen involverer vurdering af potentielle beviser i en cyberkriminalitet. Centralt for effektiv behandling af beviser er en klar forståelse af detaljerne i den aktuelle sag og dermed klassificeringen af den pågældende cyberkriminalitet. For eksempel, hvis et agentur søger at bevise, at en person har begået forbrydelser relateret til identitetstyveri, computer forensics efterforskere bruger sofistikerede metoder til at finkæmme gennem harddiske, e-mail-konti, sociale netværkssider, og andre digitale arkiver for at hente og vurdere alle oplysninger, der kan tjene som levedygtige beviser for forbrydelsen. Dette er, selvfølgelig, sandt for andre forbrydelser, såsom at engagere sig i online kriminel adfærd som at sende falske produkter på eBay eller Craigslist beregnet til at lokke ofre til at dele kreditkortoplysninger. Før efterforskeren foretager en undersøgelse, skal efterforskeren definere de typer bevis, der søges (inklusive specifikke platforme og dataformater) og have en klar forståelse af, hvordan man bevarer relevante data. Efterforskeren skal derefter bestemme kilden og integriteten af sådanne data, inden den indføres i bevis.
erhvervelse af beviser
måske er den mest kritiske facet af vellykket computer retsmedicinsk undersøgelse en streng, detaljeret plan for erhvervelse af beviser. Omfattende dokumentation er nødvendig før, under og efter anskaffelsesprocessen; detaljerede oplysninger skal registreres og opbevares, herunder alle udstyrs-og programmelspecifikationer, alle systemer, der anvendes i undersøgelsesprocessen, og de systemer, der undersøges. Dette trin er, hvor politikker relateret til bevarelse af integriteten af potentielle beviser er mest anvendelige. Generelle retningslinjer for bevarelse af beviser inkluderer fysisk fjernelse af lagerenheder, brug af kontrollerede boot-diske til at hente følsomme data og sikre funktionalitet, og tage passende skridt til at kopiere og overføre beviser til efterforskerens system.
erhvervelse af bevis skal udføres på en måde, der er både bevidst og lovlig. At være i stand til at dokumentere og godkende beviskæden er afgørende, når man forfølger en retssag, og dette gælder især for computerforensik i betragtning af kompleksiteten i de fleste cybersikkerhedssager.
Evidensundersøgelse
for effektivt at undersøge potentielle beviser skal der være procedurer for hentning, kopiering og lagring af beviser i passende databaser. Undersøgere undersøger typisk data fra udpegede arkiver ved hjælp af en række forskellige metoder og tilgange til at analysere information; disse kan omfatte brug af analyseprogrammer til at søge i massive arkiver med data efter specifikke nøgleord eller filtyper samt procedurer til hentning af filer, der for nylig er blevet slettet. Data, der er mærket med tidspunkter og datoer, er især nyttige for efterforskere, ligesom mistænkelige filer eller programmer, der er krypteret eller forsætligt skjult.
det er også nyttigt at analysere filnavne, da det kan hjælpe med at bestemme, hvornår og hvor specifikke data blev oprettet, hentet eller uploadet, og kan hjælpe efterforskere med at forbinde filer på lagerenheder til online dataoverførsler (såsom skybaseret lagring, e-mail eller anden internetkommunikation). Dette kan også fungere i omvendt rækkefølge, da filnavne normalt angiver det bibliotek, der huser dem. Filer placeret online eller på andre systemer peger ofte på den specifikke server og computer, hvorfra de blev uploadet, hvilket giver efterforskere spor om, hvor systemet er placeret; at matche online filnavne til et bibliotek på en mistænktes harddisk er en måde at verificere digitale beviser på. På dette stadium arbejder computer retsmedicinske efterforskere i tæt samarbejde med kriminelle efterforskere, advokater og andet kvalificeret personale for at sikre en grundig forståelse af sagens nuancer, tilladte efterforskningshandlinger og hvilke typer information der kan tjene som bevis.
dokumentation og rapportering
ud over fuldt ud at dokumentere oplysninger relateret til udstyrs-og programmelspecifikationer skal computer retsmedicinske efterforskere føre en nøjagtig registrering af al aktivitet relateret til undersøgelsen, herunder alle metoder, der anvendes til test af systemfunktionalitet og hentning, kopiering og lagring af data samt alle handlinger, der er truffet for at erhverve, undersøge og vurdere beviser. Dette viser ikke kun, hvordan integriteten af brugerdata er bevaret, men det sikrer også, at alle parter overholder passende politikker og procedurer. Da formålet med hele processen er at erhverve data, der kan præsenteres som bevis i en domstol, kan en efterforskers manglende dokumentation af hans eller hendes proces kompromittere gyldigheden af dette bevis og i sidste ende selve sagen.
for computer retsmedicinske efterforskere skal alle handlinger relateret til en bestemt sag redegøres for i et digitalt format og gemmes i korrekt udpegede arkiver. Dette hjælper med at sikre ægtheden af eventuelle fund ved at lade disse cybersikkerhedseksperter vise nøjagtigt hvornår, hvor og hvordan bevis blev genvundet. Det giver også eksperter mulighed for at bekræfte bevisets gyldighed ved at matche efterforskerens digitalt registrerede dokumentation til datoer og tidspunkter, hvor potentielle mistænkte fik adgang til disse data via eksterne kilder.
nu mere end nogensinde hjælper cybersikkerhedseksperter i denne kritiske rolle regering og retshåndhævende myndigheder, virksomheder og private enheder med at forbedre deres evne til at undersøge forskellige typer online kriminel aktivitet og står over for et voksende udvalg af cybertrusler frontalt. IT-fagfolk, der fører computer forensic investigations, har til opgave at bestemme specifikke cybersikkerhedsbehov og effektivt tildele ressourcer til at tackle cybertrusler og forfølge gerningsmænd til det samme. En kandidatgrad i cybersikkerhed har adskillige praktiske anvendelser, der kan give it-fagfolk en stærk forståelse af computerforensik og praksis for at opretholde forældremyndigheden, mens de dokumenterer digitale beviser. Personer med talent og uddannelse til succesfuldt at styre computer retsmedicinske undersøgelser kan finde sig i en meget fordelagtig position inden for et dynamisk karrierefelt.
Lær mere
som nationens ældste private militærskole har universitetet været førende inden for innovativ uddannelse siden 1819. Gennem sine online-programmer leverer vi relevante og gældende læseplaner, der giver vores studerende mulighed for at få en positiv indvirkning på deres arbejdssteder og deres lokalsamfund.
vi udvider en tradition for værdibaseret uddannelse, hvor strukturerede, disciplinerede og strenge studier skaber en udfordrende og givende oplevelse. Online-programmer, såsom Master of Science i Cybersecurity, har gjort vores omfattende læseplan tilgængelig for flere studerende end nogensinde før.
Norges universitet er blevet udpeget som et Center for akademisk ekspertise inden for Cyberforsvarsuddannelse af National Security Agency og Department of Homeland Security. Gennem dit program kan du vælge mellem fem koncentrationer, der er unikt designet til at give en grundig undersøgelse af politikker, procedurer og overordnede struktur af et informationssikkerhedsprogram.
anbefalede aflæsninger:
identitetstyveri i USA
5 Væsentlige databrud i 2017 & hvordan de skete
Dyb internetkriminalitet kræver nye retsmedicinske tilgange