Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
计算机取证也称为数字取证、计算机取证科学或网络取证,它将计算机科学和法律取证相结合,收集法庭可采纳的数字证据。
就像执法人员梳理犯罪现场寻找线索一样,计算机取证调查员也在数字设备中搜索相关证据,以供律师在刑事调查、民事案件、网络犯罪调查以及其他公司和国家安全事务中使用。与执法人员一样,计算机取证调查员不仅需要成为搜寻数字证据的专家,而且还需要成为收集、管理和处理数字证据的专家,以确保证据的真实性及其在法庭上的可采性。
计算机取证 与网络安全密切相关。计算机取证结果可以帮助网络安全团队加快网络威胁检测和解决速度,并防范未来的网络攻击。数字取证和事件响应 (DFIR) 是新兴的网络安全学科,它集成了计算机取证和事件响应活动,以加速网络威胁的补救,同时确保任何相关的数字证据不被泄露。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
20 世纪 80 年代初,随着个人计算机的发明,计算机取证首次受到关注。随着技术成为日常生活的主要内容,犯罪分子发现了漏洞并开始利用电子设备实施犯罪。
不久之后,互联网在一夜之间让几乎所有人都可以连通,因此人们可以通过电子邮件和远程访问企业和组织的计算机网络,这也让更复杂的恶意软件和网络攻击有机可乘。为了应对这一新的网络犯罪领域,执法机构需要一个系统来调查和分析电子数据,因此计算机取证应运而生。
最初,大多数数字证据是在计算机系统和 IT 设备上发现的,包括个人电脑、服务器、手机、平板电脑和电子存储设备。但如今,越来越多的工商业设备和产品(从物联网 (IoT) 和运营技术 (OT) 设备到汽车和电器,再到门铃和狗项圈)能够生成并存储可收集和挖掘的数据和元数据,以用作数字证据。
以车祸为例。过去,执法人员可能会调查犯罪现场寻找物证,例如转弯痕迹或破碎的玻璃;他们还可能检查司机的手机,以寻找开车时发短信的证据。
如今,新型车辆能够生成并存储各种带有时间戳的数字数据和元数据,这些数据和元数据针对每辆车在任何给定时间的位置、速度和运行状况创建了详细记录。这些数据将现代车辆转变为另一种强大的取证工具,使调查人员能够重建事故发生之前、期间和之后的事件;即使在没有传统的物证或目击者证据的情况下,它甚至可能有助于确定事故责任人。
与犯罪现场证据一样,数字证据也必须正确收集和处理。否则,数据和元数据可能会丢失,或者在法庭上被视为不予采纳。
例如,调查人员和检察官必须证明数字证据有适当的监管链 — 他们必须记录数字证据的管理、处理和存储方式。他们必须知道如何在不改变数据的情况下收集和存储数据 — 这是一个挑战,因为打开、打印或保存文件等看似无害的操作可能会永久改变元数据。
因此,大多数组织会雇用或签约计算机取证调查人员(按照职务也称为计算机取证专家、计算机取证分析师或计算机取证检查员)来收集和处理与刑事或网络犯罪调查相关的数字证据。
计算机取证专业人员通常拥有计算机科学或刑事司法学士学位,并具备扎实的信息技术 (IT) 基础知识(例如:操作系统、信息安全、网络安全、编程语言)以及数字证据和网络犯罪的法律影响背景知识。有些人可能专门研究移动取证或操作系统取证等领域。
计算机取证调查员是搜寻和保存法律可采纳数据的专家。他们知道从内部 IT 员工可能忽略的来源收集数据,例如异地服务器和家用计算机。他们可以帮助组织制定完善的计算机取证政策,在收集数字证据时节省时间和金钱,减轻网络犯罪的影响,并帮助保护其网络和信息系统免受未来的攻击。
计算机取证有四个主要步骤。
第一步是识别可能包含与调查相关的数据、元数据或其他数字构件的设备或存储介质。收集这些设备并将其放置在取证实验室或其他安全设施中,以遵循协议并帮助确保正确的数据恢复。
取证专家创建要保存的数据的图像或逐位副本。然后,他们安全地存储图像和原件,以防止被更改或破坏。
专家收集两种数据:存储在设备本地硬盘驱动器上的持久性数据,以及位于内存或传输中(例如注册表、高速缓存和随机存取存储器 (RAM))的易失性数据。必须特别小心地处理易失性数据,因为这类数据是临时数据,如果设备关闭或断电,可能会丢失。
接下来,取证调查人员分析图像以识别相关的数字证据。这可能包括有意或无意删除的文件、互联网浏览历史记录、电子邮件等。
为了发现其他人可能错过的“隐藏”数据或元数据,调查人员使用专门的技术,包括实时分析(评估仍在运行的系统中是否存在易失性数据)以及反向隐写术(揭露使用隐写术隐藏的数据,隐写术是一种在看似普通的消息中隐藏敏感信息的技术)。
最后一步,取证专家会创建一份正式报告,概述他们的分析并分享调查结果以及任何结论或建议。尽管报告因案件而异,但其目的通常是用于在法庭上提供数字证据。
组织或执法人员可能会在以下几个领域启动数字取证调查:
同样,计算机取证和网络安全是密切相关的学科,这二者经常结合用于保护数字网络免受网络攻击。网络安全既是主动的,也是被动的,重点是网络攻击的预防和检测以及网络攻击的响应和补救。
计算机取证几乎完全是被动的,在发生网络攻击或犯罪时立即采取行动。但计算机取证调查通常会提供有价值的信息,网络安全团队可以使用这些信息来防止未来的网络攻击。
当计算机取证和事件响应(检测和缓解正在进行的网络攻击)独立进行时,它们可能会相互干扰,从而给组织带来负面结果。
事件响应团队可以在消除网络威胁的同时,更改或销毁数字证据。取证调查人员在寻找和采集证据时可能会推迟解决威胁。
数字取证和事件响应 (DFIR) 将计算机取证和事件响应合并为一个集成的工作流程,可以帮助安全团队更快地阻止网络威胁,同时还可以保存在紧急缓解威胁时可能丢失的数字证据。在 DFIR 中,
取证数据收集与威胁缓解同时进行。事件响应人员在遏制和消除威胁时使用计算机取证技术来收集和保存数据,确保遵循适当的监管链,并且有价值的证据不会遭到更改或破坏。
事件后审查包括检查数字证据。除了保存采取法律行动的证据外,DFIR 团队还利用它重建网络安全事件的始末,以了解发生的事件、发生过程、损害程度以及如何避免类似的攻击。
DFIR 可以加快缓解威胁、实现更稳定的威胁恢复以及改善调查刑事案件、网络犯罪、保险索赔等的证据质量。