Điều tra pháp chứng kỹ thuật số

Forensics Analysis ?

Trong lĩnh vực an toàn thông tin, Forensics Analysis quá trình thu thập, phân tích giải quyết dữ liệu thông tin liên quan đến sự cố bảo mật hoặc vi phạm trong môi trường công nghệ thông tin. Mục tiêu chính của Forensics Analysis tìm hiểu nguyên nhân, phạm vi tác động của sự cố, đồng thời cung cấp bằng chứng thông tin để hỗ trợ trong việc điều tra, giải quyết ngăn chặn các sự cố tương tự trong tương lai. 

Forensics Analysis thực hiện các nhiệm vụ sau:

  1. Thu thập dữ liệu: Thu thập các bằng chứng kỹ thuật số như log hệ thống, dữ liệu mạng và các tệp liên quan khác liên quan đến sự cố bảo mật. 
  2. Phân tích dữ liệu: Xem xét và phân tích dữ liệu để xác định nguyên nhân và phạm vi của sự cố. Điều này có thể bao gồm việc kiểm tra các hành vi xâm nhập, các hành vi bất thường và các dấu vết của tấn công. 
  3. Phục hồi dữ liệu: Khôi phục và giữ lại dữ liệu quan trọng để phục vụ cho quá trình điều tra và xác minh. 
  4. Xác định mục tiêu: Cố gắng xác định người hoặc thực thể gây ra sự cố bảo mật, nếu có thể.  
  5. Lập báo cáo: Tạo báo cáo chi tiết về các khía cạnh của sự cố, bao gồm cả nguyên nhân, phạm vi, tác động và các khuyến nghị về biện pháp bảo mật và cải thiện hệ thống. 
  6. Hỗ trợ điều tra pháp lý: Cung cấp thông tin và bằng chứng để hỗ trợ trong các hoạt động điều tra pháp lý liên quan đến vi phạm bảo mật. 

Lợi ích của Forensics Analysis

  • Xác định nguyên nhân và phạm vi: Giúp xác định nguyên nhân và phạm vi của sự cố bảo mật, giúp tổ chức hiểu rõ về cách tấn công xảy ra và làm thế nào để ngăn chặn tương lai. 
  • Tăng hiểu biết về mối đe dọa: Cung cấp thông tin về loại mối đe dọa và kỹ thuật tấn công được sử dụng, giúp cải thiện nhận thức về an ninh và tăng khả năng phòng ngừa. 
  • Tối ưu hóa quy trình bảo mật: Dựa vào thông tin thu thập được, tổ chức có thể điều chỉnh và cải thiện quy trình bảo mật để ngăn chặn các sự cố tương tự trong tương lai. 
  • Tạo bằng chứng điều tra pháp lý: Cung cấp bằng chứng số học và số hóa cần thiết để hỗ trợ trong các hoạt động điều tra pháp lý liên quan đến vi phạm bảo mật. 
  • Tối ưu hóa khả năng phục hồi: Giúp tổ chức phục hồi dữ liệu và thông tin sau các sự cố, tối ưu hóa thời gian và nguồn lực cần thiết để khôi phục hoạt động bình thường. 
  • Giảm thời gian dừng hoạt động: Phân tích pháp y giúp nhanh chóng xác định nguyên nhân và khắc phục sự cố, giảm thiểu thời gian dừng hoạt động của tổ chức. 

Tại sao cần phải Forensics?

Tại sao cần phải Forensics?

  • Khi doanh nghiệp gặp những vấn đề sau 
  • Bị gửi email/tin nhắn nặc danh khủng bố và muốn biết ai là thủ phạm? 
  • Bị DOS (tấn công từ chối dịch vụ) và muốn biết tin tắc ở đâu gây ra? 
  • Website bị deface, hệ thống bị xâm nhập và muốn tìm ra ai là thủ phạm? 
  • Thông tin, dữ liệu nhạy cảm bị tiết lộ ra ngoài mà không biết nguyên nhân tại sao? 
  • Muốn xác định nguyên nhân bị tấn công, tìm cách khắc phục để sự việc không tái diễn hay xa hơn là xác định thủ phạm. Đó là lúc cần đến Forensics. 

Phân loại Forensics Analysis

Forensics analysis là một quá trình điều tra chi tiết để phát hiện, điều tra và ghi chép lý do, quá trình và hậu quả của một sự cố an ninh hoặc vi phạm luật của tổ chức hoặc quốc gia. Có nhiều loại phân tích forensics khác nhau, tùy thuộc vào đối tượng và mục đích của cuộc điều tra. Một số loại phân tích forensics thường được sử dụng bao gồm: 

  • Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi dữ liệu khi bị xóa. 
  • File System: Phân tích các file hệ thống, hệ điều hành windows, linux, android. 
  • Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, reverse ứng dụng. 
  • Network: Phân tích gói tin mạng, sự bất thường trong mạng. 
  • Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump.