området för computer forensics investigation växer, särskilt som brottsbekämpning och juridiska personer inser hur värdefulla IT-proffs är när det gäller utredningsförfaranden. Med tillkomsten av cyberbrott har spårning av skadlig onlineaktivitet blivit avgörande för att skydda privatpersoner, samt bevara online-verksamhet inom allmän säkerhet, nationell säkerhet, regering och brottsbekämpning. Spårning av digital aktivitet gör det möjligt för utredare att ansluta cyberkommunikation och digitalt lagrad information till fysiska bevis på brottslig verksamhet.dator kriminalteknik gör det också möjligt för utredare att avslöja överlagt kriminellt uppsåt och kan hjälpa till att förebygga framtida cyberbrott. För dem som arbetar inom området, det finns fem kritiska steg i dator kriminalteknik, som alla bidrar till en grundlig och avslöjande utredning.
Policy and Procedure Development
oavsett om det är relaterat till skadlig cyberaktivitet, kriminell konspiration eller avsikt att begå ett brott, kan digitala bevis vara känsliga och mycket känsliga. Cybersäkerhetspersonal förstår värdet av denna information och respekterar det faktum att den lätt kan äventyras om den inte hanteras och skyddas korrekt. Av denna anledning är det viktigt att fastställa och följa strikta riktlinjer och förfaranden för aktiviteter relaterade till kriminaltekniska undersökningar. Sådana förfaranden kan innehålla detaljerade instruktioner om när dator kriminalteknik utredare har rätt att återvinna potentiella digitala bevis, hur man korrekt förbereda system för bevis hämtning, var att lagra alla hämtade bevis, och hur man dokumenterar dessa aktiviteter för att säkerställa äktheten av data.
brottsbekämpande organ blir alltmer beroende av utsedda IT-avdelningar, som är bemannade av erfarna cybersäkerhetsexperter som bestämmer lämpliga utredningsprotokoll och utvecklar rigorösa utbildningsprogram för att säkerställa att bästa praxis följs på ett ansvarsfullt sätt. Förutom att upprätta strikta förfaranden för rättsmedicinska processer måste cybersecurity-divisioner också fastställa regler för styrning för all annan digital aktivitet inom en organisation. Detta är viktigt för att skydda datainfrastrukturen för brottsbekämpande organ såväl som andra organisationer.
en integrerad del av utredningspolicyn och förfarandena för brottsbekämpande organisationer som använder kriminaltekniska avdelningar är kodifieringen av en uppsättning uttryckligen angivna åtgärder angående vad som utgör bevis, var man ska leta efter bevis och hur man hanterar det när det har hämtats. Innan någon digital utredning, lämpliga åtgärder måste vidtas för att fastställa detaljerna i det aktuella fallet, samt att förstå alla tillåtna utredningsåtgärder i förhållande till ärendet; detta innebär att läsa fall Trosor, förstå teckningsoptioner, och tillstånd och få alla tillstånd som behövs innan fullfölja ärendet.
Evidence Assessment
en viktig del av utredningsprocessen innebär bedömning av potentiella bevis i ett cyberbrott. Centralt för effektiv behandling av bevis är en tydlig förståelse av detaljerna i det aktuella fallet och därmed klassificeringen av cyberbrott i fråga. Till exempel, om en byrå försöker bevisa att en individ har begått brott i samband med identitetsstöld, dator kriminalteknik utredare använder sofistikerade metoder för att sålla bland hårddiskar, e-postkonton, sociala nätverkssajter, och andra digitala arkiv för att hämta och bedöma all information som kan fungera som livskraftiga bevis för brottet. Detta är naturligtvis sant för andra brott, som att engagera sig i kriminellt beteende online som att publicera falska produkter på eBay eller Craigslist som är avsedda att locka offer till att dela kreditkortsinformation. Innan en utredning genomförs måste utredaren definiera vilka typer av bevis som söks (inklusive specifika plattformar och dataformat) och ha en tydlig förståelse för hur man bevarar relevanta data. Utredaren måste sedan bestämma källan och integriteten för sådana uppgifter innan den läggs in i bevis.
Evidence Acquisition
kanske den mest kritiska aspekten av framgångsrik dator rättsmedicinsk undersökning är en rigorös, detaljerad plan för att förvärva bevis. Omfattande dokumentation behövs före, under och efter förvärvsprocessen; detaljerad information måste registreras och bevaras, inklusive alla hårdvaru-och programvaruspecifikationer, alla system som används i utredningsprocessen och de system som undersöks. Detta steg är där policyer relaterade till att bevara integriteten hos potentiella bevis är mest tillämpliga. Allmänna riktlinjer för att bevara bevis inkluderar fysiskt avlägsnande av lagringsenheter, användning av kontrollerade startskivor för att hämta känslig data och säkerställa funktionalitet och vidta lämpliga åtgärder för att kopiera och överföra bevis till utredarens system.
att förvärva bevis måste åstadkommas på ett sätt som är både avsiktligt och lagligt. Att kunna dokumentera och autentisera beviskedjan är avgörande när man bedriver ett rättsfall, och detta gäller särskilt för datorforensik med tanke på komplexiteten i de flesta cybersäkerhetsfall.
Bevisundersökning
för att effektivt undersöka potentiella bevis måste förfaranden finnas för att hämta, kopiera och lagra bevis i lämpliga databaser. Utredare undersöker vanligtvis data från utsedda arkiv, med hjälp av en mängd olika metoder och metoder för att analysera information; dessa kan inkludera att använda analysprogramvara för att söka massiva dataarkiv för specifika nyckelord eller filtyper, samt procedurer för att hämta filer som nyligen har tagits bort. Data taggade med tider och datum är särskilt användbara för utredare, liksom misstänkta filer eller program som har krypterats eller avsiktligt dolts.
att analysera filnamn är också användbart eftersom det kan hjälpa till att avgöra när och var specifika data skapades, hämtades eller laddades upp och kan hjälpa utredare att ansluta filer på lagringsenheter till online-dataöverföringar (som molnbaserad lagring, e-post eller annan Internetkommunikation). Detta kan också fungera i omvänd ordning, eftersom filnamn vanligtvis anger katalogen som innehåller dem. Filer som finns online eller på andra system pekar ofta på den specifika servern och datorn från vilken de laddades upp, vilket ger utredare ledtrådar om var systemet finns; att matcha online-filnamn till en katalog på en misstänkt hårddisk är ett sätt att verifiera digitala bevis. I detta skede arbetar kriminaltekniska utredare i nära samarbete med brottsutredare, advokater och annan kvalificerad personal för att säkerställa en grundlig förståelse av nyanserna i ärendet, tillåtna utredningsåtgärder och vilka typer av information som kan fungera som bevis.
dokumentera och rapportera
förutom att fullständigt dokumentera information relaterad till hårdvaru-och programvaruspecifikationer måste datorforensiska utredare hålla en korrekt registrering av all aktivitet relaterad till utredningen, inklusive alla metoder som används för att testa systemfunktionalitet och hämta, kopiera och lagra data, samt alla åtgärder som vidtas för att förvärva, undersöka och bedöma bevis. Detta visar inte bara hur integriteten hos användardata har bevarats, men det säkerställer också att lämpliga policyer och förfaranden har följts av alla parter. Eftersom syftet med hela processen är att skaffa data som kan presenteras som bevis i en domstol, kan en utredares underlåtenhet att korrekt dokumentera sin process äventyra giltigheten av det beviset och i slutändan själva ärendet.
för kriminaltekniska utredare ska alla åtgärder relaterade till ett visst fall redovisas i ett digitalt format och sparas i korrekt utsedda arkiv. Detta hjälper till att säkerställa äktheten av eventuella resultat genom att låta dessa cybersäkerhetsexperter visa exakt när, var och hur bevis återvanns. Det gör det också möjligt för experter att bekräfta bevisets giltighet genom att matcha utredarens digitalt inspelade dokumentation till datum och tider när dessa data nåddes av potentiella misstänkta via externa källor.
nu mer än någonsin hjälper cybersäkerhetsexperter i denna kritiska roll myndigheter och brottsbekämpande organ, företag och privata enheter att förbättra sin förmåga att undersöka olika typer av brottslig verksamhet online och möta ett växande utbud av cyberhot direkt. IT-proffs som leder rättsmedicinska utredningar har till uppgift att bestämma specifika cybersäkerhetsbehov och effektivt fördela resurser för att ta itu med cyberhot och förfölja förövarna av samma sak. En magisterexamen i cybersäkerhet har många praktiska tillämpningar som kan ge IT-proffs ett starkt grepp om datorforensik och praxis för att upprätthålla vårdkedjan medan de dokumenterar digitala bevis. Personer med talang och utbildning för att framgångsrikt hantera dator kriminaltekniska undersökningar kan befinna sig i en mycket fördelaktig position inom ett dynamiskt karriärområde.
Läs Mer
som landets äldsta privata militärhögskola har Norwich University varit ledande inom innovativ utbildning sedan 1819. Genom sina onlineprogram levererar Norwich relevanta och tillämpliga läroplaner som gör det möjligt för sina studenter att få en positiv inverkan på deras arbetsplatser och deras samhällen.
vid Norwich University utökar vi en tradition av värderingsbaserad utbildning, där strukturerade, disciplinerade och rigorösa studier skapar en utmanande och givande upplevelse. Online-program, som Master of Science i Cybersecurity, har gjort vår omfattande läroplan tillgänglig för fler studenter än någonsin tidigare.
Norwich University har utsetts till ett centrum för akademisk excellens inom Cyberförsvarsutbildning av National Security Agency och Department of Homeland Security. Genom ditt program kan du välja mellan fem koncentrationer som är unikt utformade för att ge en fördjupad granskning av policyer, förfaranden och övergripande struktur för ett informationssäkerhetsprogram.
rekommenderade avläsningar:
identitetsstöld i USA
5 betydande dataöverträdelser av 2017 & hur de hände
djup Webbbrott kräver nya rättsmedicinska tillvägagångssätt