the field of computer forensics investigations is growing, particular as law enforcement and legal entities are the how valuable information technology (IT) professionals are when it comes to investigation procedures. Tietoverkkorikollisuuden myötä haitallisen verkkotoiminnan jäljittämisestä on tullut ratkaisevan tärkeää yksityisten kansalaisten suojelemiseksi sekä verkkotoimintojen säilyttämiseksi yleisen turvallisuuden, kansallisen turvallisuuden, hallituksen ja lainvalvonnan alalla. Digitaalisen toiminnan seuranta antaa tutkijoille mahdollisuuden yhdistää tietoverkkoviestintä ja digitaalisesti tallennetut tiedot fyysisiin todisteisiin rikollisesta toiminnasta; rikostekninen rikostekninen tutkimus antaa myös tutkijoille mahdollisuuden paljastaa harkittuja rikollisia tarkoituksia ja voi auttaa tulevien tietoverkkorikosten ehkäisemisessä. Alalla työskenteleville tietokonetutkinnassa on viisi kriittistä vaihetta, jotka kaikki edistävät perusteellista ja paljastavaa tutkintaa.
politiikan ja menettelyjen kehittäminen
riippumatta siitä, liittyykö digitaalinen todistusaineisto haitalliseen kybertoimintaan, rikolliseen salaliittoon tai rikoksen aikeeseen, digitaalinen todistusaineisto voi olla arkaluonteista ja erittäin arkaluonteista. Kyberturvallisuuden ammattilaiset ymmärtävät näiden tietojen arvon ja kunnioittavat sitä, että ne voivat helposti vaarantua, jos niitä ei käsitellä ja suojata asianmukaisesti. Tästä syystä on ratkaisevan tärkeää laatia ja noudattaa tiukkoja ohjeita ja menettelyjä tietokonelääketieteelliseen rikostutkintaan liittyvissä toimissa. Tällaisiin menettelyihin voi sisältyä yksityiskohtaisia ohjeita siitä, milloin rikosteknisen tutkijat ovat oikeutettuja palauttamaan mahdollisia digitaalisia todisteita, miten oikein valmistella järjestelmiä todisteiden hakemiseen, mihin voidaan tallentaa kaikki haetut todisteet ja miten dokumentoida nämä toimet tietojen aitouden varmistamiseksi.
lainvalvontaviranomaiset ovat yhä riippuvaisempia nimetyistä TIETOTEKNIIKKAOSASTOISTA, joissa työskentelee kokeneita kyberturvallisuusasiantuntijoita, jotka määrittelevät asianmukaiset tutkintaprotokollat ja kehittävät tiukkoja koulutusohjelmia varmistaakseen, että parhaita käytäntöjä noudatetaan vastuullisesti. Sen lisäksi, että kyberturvallisuusosastojen on laadittava tiukat menettelyt oikeuslääketieteellisille prosesseille, niiden on myös laadittava hallintosäännöt kaikelle muulle organisaation digitaaliselle toiminnalle. Tämä on välttämätöntä lainvalvontaviranomaisten ja muiden organisaatioiden datainfrastruktuurin suojaamiseksi.
olennainen osa tietokonelääketieteellisiä laitoksia käyttävien lainvalvontaorganisaatioiden tutkintaperiaatteita ja-menettelyjä on sellaisten yksiselitteisten toimien kodifiointi, jotka koskevat sitä, mikä on todistusaineistoa, mistä kyseistä todistusaineistoa on etsittävä ja miten sitä on käsiteltävä sen jälkeen, kun se on haettu. Ennen digitaalista tutkintaa on ryhdyttävä asianmukaisiin toimiin käsillä olevan tapauksen yksityiskohtien määrittämiseksi sekä kaikkien sallittujen tutkintatoimien ymmärtämiseksi tapaukseen liittyen; tämä edellyttää tapausraporttien lukemista, warranttien ymmärtämistä ja valtuutuksia sekä tarvittavien lupien hankkimista ennen tapauksen jatkamista.
näytön arviointi
tutkintaprosessin keskeinen osa on kyberrikoksen mahdollisen näytön arviointi. Todisteiden tehokkaan käsittelyn kannalta keskeistä on selkeä käsitys käsiteltävän tapauksen yksityiskohdista ja sitä kautta kyseessä olevan kyberrikollisuuden luokittelusta. Esimerkiksi, jos virasto pyrkii todistamaan, että henkilö on syyllistynyt rikoksiin liittyvät identiteettivarkaudet, rikosteknisen tutkijat käyttävät kehittyneitä menetelmiä seuloa Kovalevyt, sähköpostitilit, sosiaalisen verkostoitumisen sivustoja, ja muut digitaaliset arkistot hakea ja arvioida tietoja, jotka voivat toimia varteenotettava todiste rikoksesta. Tämä on tietenkin totta muiden rikosten, kuten harjoittaa verkossa rikollista käyttäytymistä, kuten lähettämistä väärennettyjä tuotteita eBay tai Craigslist tarkoitus houkutella uhreja jakamaan luottokorttitietoja. Ennen tutkimuksen suorittamista tutkijan on määriteltävä pyydettyjen todisteiden tyypit (mukaan lukien erityiset alustat ja tietomuodot) ja hänellä on oltava selkeä käsitys siitä, miten olennaiset tiedot säilytetään. Tämän jälkeen tutkijan on selvitettävä tällaisten tietojen lähde ja eheys ennen niiden tallentamista todistusaineistoon.
todisteiden hankkiminen
menestyksekkään tietokonelääketieteellisen tutkimuksen ehkä kriittisin puoli on tarkka, yksityiskohtainen suunnitelma todisteiden hankkimiseksi. Ennen hankintaprosessia, sen aikana ja sen jälkeen tarvitaan kattavaa dokumentaatiota; yksityiskohtaiset tiedot on tallennettava ja säilytettävä, mukaan lukien kaikki laitteisto-ja ohjelmistoerittelyt, kaikki tutkintaprosessissa käytetyt järjestelmät ja tutkittavat järjestelmät. Tämä vaihe on silloin, kun politiikat, jotka liittyvät säilyttämiseen eheyden mahdollisia todisteita ovat parhaiten sovellettavissa. Yleisiä ohjeita todistusaineiston säilyttämiseen ovat tallennuslaitteiden fyysinen poistaminen, valvottujen käynnistyslevyjen käyttäminen arkaluonteisten tietojen hakemiseen ja toimivuuden varmistamiseen sekä asianmukaisten toimenpiteiden toteuttaminen todistusaineiston kopioimiseksi ja siirtämiseksi tutkijan järjestelmään.
todisteiden hankkiminen on tehtävä sekä tahallisesti että laillisesti. Todistusketjun dokumentointi ja todentaminen on ratkaisevaa oikeusjutun yhteydessä, ja tämä pätee erityisesti tietokonetekniseen tutkimukseen, koska useimmat kyberturvallisuusjutut ovat monimutkaisia.
todistusaineiston tutkiminen
mahdollisten todistusaineistojen tehokkaaksi tutkimiseksi on oltava käytössä menettelyt todistusaineiston hakemiseksi, kopioimiseksi ja tallentamiseksi asianmukaisiin tietokantoihin. Tutkijat tyypillisesti tutkia tietoja nimetyistä arkistoista, käyttäen erilaisia menetelmiä ja lähestymistapoja analysoida tietoja; näihin voisi kuulua hyödyntämällä analysointiohjelmisto etsiä massiivisia arkistoja tietojen tiettyjä avainsanoja tai tiedostotyyppejä, sekä menettelyjä hakemiseen tiedostoja, jotka on äskettäin poistettu. Kellonajoilla ja päivämäärillä merkityt tiedot ovat tutkijoille erityisen hyödyllisiä, samoin kuin epäilyttävät tiedostot tai ohjelmat, jotka on salattu tai piilotettu tarkoituksellisesti.
tiedostonimien analysointi on myös hyödyllistä, koska se voi auttaa määrittämään, milloin ja missä tietyt tiedot on luotu, ladattu tai ladattu, ja se voi auttaa tutkijoita yhdistämään tallennuslaitteissa olevat tiedostot online-tiedonsiirtoon (kuten pilvipohjaiseen tallennustilaan, sähköpostiin tai muuhun Internet-viestintään). Tämä voi toimia myös käänteisessä järjestyksessä, sillä tiedostonimet ilmaisevat yleensä hakemiston, jossa ne sijaitsevat. Verkossa tai muissa järjestelmissä sijaitsevat tiedostot viittaavat usein tiettyyn palvelimeen ja tietokoneeseen, josta ne on ladattu, ja tarjoavat tutkijoille vihjeitä siitä, missä järjestelmä sijaitsee; online-tiedostonimien sovittaminen epäillyn kovalevyllä olevaan hakemistoon on yksi tapa varmistaa digitaalinen todistusaineisto. Tässä vaiheessa rikostekniset rikostutkijat työskentelevät tiiviissä yhteistyössä rikostutkijoiden, lakimiesten ja muun pätevän henkilöstön kanssa varmistaakseen, että he ymmärtävät perusteellisesti tapauksen vivahteet, sallitut tutkintatoimet ja sen, millaisia tietoja voidaan käyttää todisteena.
dokumentointi ja raportointi
laitteistoihin ja ohjelmistoihin liittyvien tietojen täydellisen dokumentoinnin lisäksi rikosteknisten rikostutkijoiden on pidettävä tarkkaa kirjaa kaikesta tutkimukseen liittyvästä toiminnasta, mukaan lukien kaikki menetelmät, joita käytetään järjestelmän toimivuuden testaamiseen ja tietojen hakemiseen, kopiointiin ja tallentamiseen, sekä kaikki toimet, joita on toteutettu todisteiden hankkimiseksi, tutkimiseksi ja arvioimiseksi. Tämä ei ainoastaan osoita, miten käyttäjätietojen eheys on säilytetty, vaan se myös varmistaa, että kaikki osapuolet ovat noudattaneet asianmukaisia toimintatapoja ja menettelyjä. Koska koko prosessin tarkoituksena on hankkia tietoja, jotka voidaan esittää todisteena tuomioistuimessa, tutkijan epäonnistuminen prosessinsa täsmällisessä dokumentoinnissa voi vaarantaa todistusaineiston pätevyyden ja viime kädessä itse tapauksen.
rikosteknisten rikostutkijoiden osalta kaikki tiettyyn tapaukseen liittyvät toimet olisi kirjattava digitaalisessa muodossa ja tallennettava asianmukaisesti nimettyihin arkistoihin. Tämä auttaa varmistamaan löydösten aitouden antamalla näille kyberturvallisuusasiantuntijoille mahdollisuuden osoittaa, milloin, missä ja miten todisteet on saatu talteen. Sen avulla asiantuntijat voivat myös vahvistaa todisteiden paikkansapitävyyden sovittamalla tutkijan digitaalisesti tallentamat asiakirjat päivämääriin ja kellonaikoihin, jolloin mahdolliset epäillyt pääsivät tietoihin käsiksi ulkoisten lähteiden kautta.
nyt enemmän kuin koskaan, kyberturvallisuuden asiantuntijat tässä kriittisessä roolissa auttavat viranomaisia ja lainvalvontaviranomaisia, yrityksiä ja yksityisiä yhteisöjä parantamaan kykyään tutkia erilaisia verkkorikollisia toimia ja kohdata kasvava joukko kyberuhkia. IT-ammattilaiset, jotka johtavat tietokoneen rikosteknisiä tutkimuksia, ovat vastuussa erityisten kyberturvallisuustarpeiden määrittämisestä ja resurssien tehokkaasta kohdentamisesta kyberuhkien torjumiseen ja saman tekijöiden jahtaamiseen. Master ’ s degree in cybersecurity on lukuisia käytännön sovelluksia, jotka voivat antaa IT-ammattilaisille vahva käsitys rikosteknisen ja käytäntöjä ylläpitämiseen ketjun dokumentointi digitaalisen todistusaineiston. Yksilöt, joilla on lahjakkuutta ja koulutusta menestyksekkäästi hallita tietokoneen rikosteknisiä tutkimuksia, voivat löytää itsensä erittäin edullisessa asemassa dynaamisen uran alalla.
Lue lisää
maan vanhimpana yksityisenä sotakorkeakouluna Norwichin yliopisto on ollut innovatiivisen koulutuksen edelläkävijä vuodesta 1819. Norwich tarjoaa verkko-ohjelmiensa kautta asiaankuuluvia ja soveltuvia opetussuunnitelmia, joiden avulla sen opiskelijat voivat vaikuttaa myönteisesti työpaikkoihinsa ja yhteisöihinsä.
Norwichin yliopistossa laajennamme arvopohjaisen koulutuksen perinnettä, jossa rakenteelliset, kurinalaiset ja tiukat opinnot luovat haastavan ja antoisan kokemuksen. Verkko-ohjelmat, kuten kyberturvallisuuden maisteri, ovat tuoneet kattavan opetussuunnitelman entistä useamman opiskelijan ulottuville.
Norwichin yliopisto on nimetty National Security Agencyn ja Department of Homeland Securityn Kyberpuolustuskoulutuksen akateemisen huippuosaamisen keskukseksi. Ohjelmasi kautta voit valita viidestä keskittymästä, jotka on suunniteltu tarjoamaan perusteellista tarkastelua tiedonvarmistusohjelman käytänteistä, menettelyistä ja yleisestä rakenteesta.
Suositeltavat lukemat:
identiteettivarkaudet Yhdysvalloissa
5 vuoden 2017 merkittävät tietomurrot & miten ne tapahtuivat
syvä verkkorikollisuus vaatii uusia rikosteknisiä lähestymistapoja