Når der sker noget online, som ikke er meningen, at der skal ske, fra svigagtig aktivitet til et koordineret cyberangreb, kan de involverede data og systemer give fingerpeg om, hvem der gjorde hvad, hvor og hvorfor. At opnå den information og indsigt kan derfor være afgørende for at opspore gerningsmændene og hjælpe organisationer med at sikre, at hændelsen ikke kan gentages - og det er her, digital efterforskning kommer ind i billedet.
Digital efterforskning er den praksis, der bruges til at efterforske ondsindet aktivitet fra enhver form for digital enhed og indsamle dokumentation til yderligere analyse eller rapportering. Det er en meget specialiseret aktivitet, men i takt med at cyberkriminalitet er stigende, og digital teknologi bliver stadig vigtigere i vores liv, er det en kritisk funktion for enhver organisation.
Denne artikel undersøger, hvordan digital efterforskning fungerer, når der er brug for det, og de vigtigste udfordringer, der skal huskes i en verden i konstant forandring.
Hvorfor er digital efterforskning vigtig?
Digital efterforskning er vigtig, fordi flere og flere forbrydelser og ondsindede aktiviteter nu involverer tilsluttede og digitale enheder. Udviklingen af digitale kriminaltekniske processer gav efterforskere og de retshåndhævende myndigheder strukturerede midler til at indsamle beviser om potentielle forseelser, der ville være tilladt i retten.
I takt med at datamængder og forskellige anvendelsesmuligheder for digitale teknologier fortsætter med at vokse, er relevansen af digital efterforskning kun stigende. Med en bredere base af data, systemer og programmer bliver det mere komplekst og tidskrævende at undersøge problemer, især for interne it- og sikkerhedsteam. Nu mere end nogensinde før er specialiserede digitale retsmedicinske funktioner afgørende for grundigt at gennemføre undersøgelser og tage alle relevante beviser i betragtning.
Hvordan fungerer digital efterforskning?
Proceduren for digital efterforskning er veldefineret på tværs af alle typer af enheder og systemer, der undersøges. Alle gode digitale kriminaltekniske teams vil derfor følge denne fire-trins proces:
Dataindsamling
Digitale kriminaltekniske teams vil identificere de enheder, de har til hensigt at indsamle data fra, og vil derefter lave en kopi af alle data på disse enheder på deres egen harddisk. Når dette er gennemført, låser de også de originale data, så der ikke kan ændres på dem i efterhånden.
Undersøgelse
Efterforskningsholdet vil derefter grundigt vurdere dataene og alle tilknyttede metadata og lede efter beviser eller spor, der peger i retning af kriminel aktivitet. Som en del af dette vil de også sigte mod at gendanne data, der tidligere blev slettet i områder som f.eks. systemcache, webbrowserhistorik og harddiske.
Analyse
De beviser, som efterforskningsholdet har fundet, vil derefter blive udsat for detaljerede analyseteknikker. Disse kan omfatte levende analyse af kørende systemer og omvendt steganografi , der leder efter kodet information i ellers ufarligt udseende indhold eller beskeder.
Rapportering
Alle beviser og analyseresultater samles derefter i en rapport af det digitale kriminaltekniske team, som også vil udarbejde konklusioner og anbefalinger baseret på disse beviser. Dette kan være forslag om kriminelle forseelser begået af en person eller organisation eller kunne være forslag til, hvordan man lukker cybersikkerhedssårbarheder.
Hvad er de forskellige typer af digital efterforskning?
Der er flere forskellige typer af digital efterforskning, som varierer afhængigt af den type enhed eller system, der undersøges:
Computer efterforskning
Dette er formentlig den mest almindelige type digital efterforskning og forveksles ofte med selve det bredere begreb. Den samler retsmedicinske indsatser og datalogi for at grave dybt ned i computere og afdække beviser og indsigt.
Mobil efterforskning
At lede efter beviser inden for mobile enheder er blevet stadig vigtigere, efterhånden som smartphones og tablets er vokset i daglig brug, især da de kan indeholde kontakter, billeder, videoer og andre personlige oplysninger.
Databaseforskning
Med databaser, der sandsynligvis vil indeholde store mængder information, kan de være et frugtbart mål for efterforskningshold, der leder efter beviser på et databrud eller andre typer datatab.
Forensisk hukommelse
Enhver enheds RAM(Random Access Memory) har potentiale til at pege i retning af ondsindet aktivitet, især hvis den påstås at have fundet sted relativt for nylig.
Forensisk netværk
Netværkstrafik og web-browsing er et almindeligt anløbssted for efterforskningshold, der forsøger at opspore gerningsmanden til de pågældende lovovertrædelser.
Efterforskning af filer
Alle filer og mapper, der er gemt på alle typer slutpunktsenheder, er et standardundersøgelsesområde for digitale kriminaltekniske teams på tværs af slutbrugerenheder som bærbare computere til store servere i datacentre.
Hvor og hvornår er der behov for digital efterforskning?
I en verden, der er så domineret af digitale tjenester og funktionalitet, leverer digital efterforskning klarhed og indsigt på flere vigtige områder. Det gælder fx.:
Retssager
Rapporterne udarbejdet af anerkendte digitale retsmedicinske team kan bruges som bevis i en domstol. At have klare beviser for en overtrædelse kan være medvirkende til at få succes med en retsforfølgning eller en civil retssag og sikre, at gerningsmændene til den ondsindede aktivitet bliver stillet for retten.
Sager om offentliggørelse af data
Når virksomheder frigiver data til offentlig ejendom eller til andre parter, som de ikke skulle, er det vigtigt at komme til bunds i, hvordan og hvorfor det skete. Uanset om lækagen var bevidst eller ej, kan digital efterforskning hjælpe med at fastlægge årsagen og årsagen, så der kan tages skridt til at forhindre en gentagelse.
Intellektuel ejendomstyveri, svindel og industrispionage
Forretningsdata er ekstremt følsomme og værdifulde. Den skade, der kan opstå, hvis den falder i hænderne på en kriminel - eller en konkurrent - kan være katastrofal i juridisk, økonomisk og omdømmemæssig henseende. Digital efterforskning kan være afgørende for at opspore ethvert forsøg på at beslaglægge midler, data eller immaterielle rettigheder og sikre, at organisationens interesser varetages.
Cyberstalking
Spørgsmålet om cyberstalking er vokset i de seneste år, og det omfang, som folk lever deres liv online, kan gøre dem særligt sårbare. Når ofrene er usikre på, hvem deres stalker er, eller hvorfor de gør det, kan en digital retsmedicinsk undersøgelse hjælpe med at spore den eller de ansvarlige.
Uoverensstemmelser på arbejdspladsen
Når der har været anklager om tjenesteforseelser mod en medarbejder, eller en medarbejder er mistænkt for at have udført et cyberangreb eller anden useriøs adfærd internt, kan digital efterforskning fastslå præcis, hvad der skete eller ikke skete. Dette sikrer, at HR-teams og andre virksomhedsledere træffer de rigtige beslutninger i overensstemmelse med ansættelsesloven og med klare beviser.
Sikkerhedsanalyse
Digital efterforskning kan indgå i bredere cybersikkerhedsundersøgelser, der kan afdække farlige sårbarheder i systemer, data og programmer, som cyberkriminelle kan udnytte. Ved at fastslå, hvad disse er, kan sikkerhedsteams proaktivt lukke disse huller og forstå, hvordan de skal reagere så hurtigt som muligt i tilfælde af et forsøg på brud eller angreb.
Digital Forensics Incident Response (DFIR)
Digital Forensics er ofte kombineret med hændelsesberedskab i en koordineret tilgang, der sikrer, at den ene aktivitet ikke snubler over den anden. DFIR kan samtidig adressere cybertrusler og samle beviser for ondsindede handlinger. Denne tilgang giver mulighed for hurtig afhjælpning af brud og giver samtidig grundlaget for yderligere juridiske skridt. Kaspersky understøtter denne proces med avancerede værktøjer såsom Information Security Incident Response , der sikrer effektiv håndtering og løsning.
Hvad er de vigtigste udfordringer omkring vellykket digital efterforskning?
Det er ikke nemt eller hurtigt at få den rigtige digital efterforskning i orden, og af forskellige årsager bliver det ikke nemmere. Almindelige udfordringer og komplikationer i forbindelse med vellykkede cybersikkerhedsundersøgelser omfatter (og er ikke nødvendigvis begrænset til):
Datasikkerhed og kryptering
Det er i stigende grad almindeligt, at ondsindede aktører bruger krypteringsteknologier til at maskere eller skjule deres kriminelle aktiviteter. Uden at have krypteringsnøglerne kan muligheden for at få fat i vitale data og beviser gøres ekstremt vanskelig og tidskrævende. Det er af denne grund, at udbydere af digital efterforskning konstant investerer i færdigheder og ekspertise, så de er fortrolige med de nyeste krypteringsmetoder og -teknologier.
Teknologisk udvikling
Da der hele tiden kommer nye innovationer inden for software og hardware, kan det være svært at følge med i, hvem der er i stand til at gøre hvad med forskellige enheder, programmer og adgangsoplysninger. Ligesom inden for cybersikkerhed mere bredt, er digitale efterforskningshold i et uendeligt våbenkapløb om at forstå de trusler, der er derude, og være et skridt foran de cyberkriminelle.
Dataskala og kompleksitet
Globalt vokser mængden af data overalt omkring os hele tiden og bliver mere og mere kompleks og mangfoldig. Den eneste måde, hvorpå digitale kriminaltekniske teams realistisk kan opnå den indsigt og de beviser, de leder efter, er ved at blive understøttet af avanceret værktøjer og efterforskningsteknikker. Disse kan hjælpe efterforskere med at fremskynde søgningen gennem en række forskellige datakilder, fra solid state-drev til konti på sociale medier.
AI og IoT
Forbundet til det foregående punkt giver stigningen i kunstig intelligens og Internet of Things cyberkriminelle flere muligheder for at iværksætte smartere, AI-assisteret angreb og udnytte IoT-enheders sårbarheder. De samme teknologier kan dog også bruges af digitale kriminaltekniske hold til deres fordel: De kan bruge AI- og IoT-data til at foretage hurtige, dybdegående søgninger og afdække nye niveauer af indsigt og beviser, som de ellers kunne have overset.
Bekymringer om privatliv og etik
Databeskyttelse og privatliv er store bekymringer blandt offentligheden, især med fremkomsten af mainstream AI og en regelmæssig strøm af højprofilerede databrud. Digitale kriminaltekniske teams forventes at følge regler og etisk bedste praksis grundigt og sikre, at behovet for at opnå bevis ikke sker på bekostning af folks ret til privatliv online.
Indhentning af den rigtige ekspertise
Alt ovenstående kan gøre digitale kriminaltekniske undersøgelser meget komplekse, og derfor er det så vigtigt at arbejde med et erfarent, eksperthold med de bedste færdigheder og værktøjer. For eksempel kombinerer Kaspersky Incident Response IR med digital efterforskning og malware-analyse i en koordineret tilgang, der etablerer et komplet billede af en hændelse og tager skridt til at afhjælpe den. Vores specialister har omfattende praktisk erfaring, der er ideel til at få systemer og forretningsdrift tilbage på sporet, takket være hurtige, fuldt informerede svar, der reducerer retableringstider og -omkostninger.
Relaterede artikler:
