计算机取证也称为数字取证、计算机取证科学或网络取证,它将计算机科学和法律取证相结合,收集法庭可采纳的数字证据。
就像执法人员梳理犯罪现场寻找线索一样,计算机取证调查员也在数字设备中搜索相关证据,以供律师在刑事调查、民事案件、网络犯罪调查以及其他公司和国家安全事务中使用。与执法人员一样,计算机取证调查员不仅需要成为搜寻数字证据的专家,而且还需要成为收集、管理和处理数字证据的专家,以确保证据的真实性及其在法庭上的可采性。
计算机取证与网络安全密切相关。计算机取证结果可以帮助网络安全团队加快网络威胁检测和解决速度,并防范未来的网络攻击。数字取证和事件响应 (DFIR) 是新兴的网络安全学科,它集成了计算机取证和事件响应活动,以加速网络威胁的补救,同时确保任何相关的数字证据不被泄露。
20 世纪 80 年代初,随着个人计算机的发明,计算机取证首次受到关注。随着技术成为日常生活的主要内容,犯罪分子发现了漏洞并开始利用电子设备实施犯罪。
不久之后,互联网在一夜之间让几乎所有人都可以连通,因此人们可以通过电子邮件和远程访问企业和组织的计算机网络,这也让更复杂的恶意软件和网络攻击有机可乘。为了应对这一新的网络犯罪领域,执法机构需要一个系统来调查和分析电子数据,因此,计算机取证诞生了。
最初,大多数数字证据是在计算机系统和 IT 设备上发现的,包括个人电脑、服务器、手机、平板电脑和电子存储设备。但如今,越来越多的工商业设备和产品(从物联网 (IoT) 和运营技术 (OT) 设备到汽车和电器,再到门铃和狗项圈)能够生成并存储可收集和挖掘的数据和元数据,以用作数字证据。
例如车祸。过去,执法人员可能会调查犯罪现场寻找物证,例如转弯痕迹或破碎的玻璃;他们还可能检查司机的手机,以寻找开车时发短信的证据。
如今,新型汽车能够生成并存储各种带有时间戳的数字数据和元数据,这些数据和元数据针对每辆车在任何给定时间的位置、速度和运行状况创建了详细记录。这些数据将现代车辆转变为另一种强大的取证工具,使调查员能够重建事故发生之前、期间和之后的事件;即使在没有传统的物证或目击者证据的情况下,它甚至可能有助于确定事故责任人。
与犯罪现场证据一样,数字证据也必须正确收集和处理。否则,数据和元数据可能会丢失,或者在法庭上被视为不予采纳。
例如,调查员和检察官必须证明数字证据有适当的监管链 — 他们必须记录数字证据的管理、处理和存储方式。他们必须知道如何在不改变数据的情况下收集和存储数据 — 这是一个挑战,因为打开、打印或保存文件等看似无害的操作可能会永久改变元数据。
因此,大多数组织会雇用或签约计算机取证调查员(按照职务也称为计算机取证专家、计算机取证分析师或计算机取证检查员)来收集和处理与刑事或网络犯罪调查相关的数字证据。
计算机取证专业人员通常拥有计算机科学或刑事司法学士学位,并具备扎实的信息技术 (IT) 基础知识(例如:操作系统、信息安全、网络安全、编程语言)以及数字证据和网络犯罪的法律影响背景知识。有些人可能专门研究移动取证或操作系统取证等领域。
计算机取证调查员是搜寻和保存法律可采纳数据的专家。他们知道从内部 IT 员工可能忽略的来源收集数据,例如异地服务器和家用计算机。他们可以帮助组织制定完善的计算机取证政策,在收集数字证据时节省时间和金钱,减轻网络犯罪的影响,并帮助保护其网络和信息系统免受未来的攻击。
计算机取证有四个主要步骤。
第一步是识别可能包含与调查相关的数据、元数据或其他数字构件的设备或存储介质。收集这些设备并将其放置在取证实验室或其他安全设施中,以遵循协议并确保正确的数据恢复。
取证专家创建要保存的数据的图像或逐位副本。然后,他们安全地存储图像和原件,以防止被更改或破坏。专家收集两种数据:存储在设备本地硬盘驱动器上的持久性数据,以及位于内存或传输中(例如注册表、高速缓存和随机存取存储器 (RAM))的易失性数据。必须特别小心地处理易失性数据,因为这类数据是临时数据,如果设备关闭或断电,可能会丢失。
接下来,取证调查员分析图像以识别相关的数字证据。这可能包括有意或无意删除的文件、互联网浏览历史记录、电子邮件等。为了发现其他人可能错过的"隐藏"数据或元数据,调查员使用专门的技术,包括实时分析(评估仍在运行的系统中是否存在易失性数据)以及反向隐写术(揭露使用隐写术隐藏的数据,隐写术是一种在看似普通的消息中隐藏敏感信息的技术)。
最后一步,取证专家会创建一份正式报告,概述他们的分析并分享调查结果以及任何结论或建议。尽管报告因案件而异,但其目的通常是用于在法庭上提供数字证据。
组织或执法人员可能会在以下几个领域启动数字取证调查:
刑事调查:执法机构和计算机取证专家可以使用计算机取证来解决与计算机相关的犯罪,例如网络欺凌、黑客攻击或身份盗用,以及现实世界中的犯罪,包括抢劫、绑架、谋杀等。例如,执法人员可能会在谋杀嫌疑人的个人计算机上使用计算机取证来查找隐藏在搜索历史记录或已删除文件中的潜在线索或证据。
民事诉讼:调查员还可以在欺诈、雇佣纠纷或离婚等民事诉讼案件中使用计算机取证。例如,在离婚案件中,配偶的法律团队可以在移动设备上使用计算机取证来揭露伴侣的不忠行为并获得更有利的裁决。
保护知识产权:计算机取证可以帮助执法人员调查知识产权盗窃行为,例如窃取商业秘密或受版权保护的材料。一些最引人注目的计算机取证案件涉及知识产权保护,特别是当离职员工窃取机密信息并将其出售给另一个组织或成立竞争公司时。通过分析数字证据,调查员可以识别窃取知识产权的人员并追究其责任。
企业安全:企业经常在遭受网络攻击(例如数据泄露或勒索软件攻击)后使用计算机取证来识别发生的事情并修复任何安全漏洞。一个典型的示例:黑客突破公司防火墙中的漏洞来窃取敏感数据或基本数据。随着网络犯罪持续上升,人们将会继续使用计算机取证来打击网络攻击。FBI 估计,2022 年,计算机犯罪给美国人造成的年度损失达 103 亿美元,而 2021 年的损失为 69 亿美元(PDF;ibm.com 外部链接)。
国家安全:随着各个国家/地区之间网络犯罪的持续升级,计算机取证已成为一种重要的国家安全工具。政府或 FBI 等执法机构现在在遭受网络攻击后使用计算机取证技术来发现证据并修复安全漏洞。
同样,计算机取证和网络安全是密切相关的学科,这二者经常结合用于保护数字网络免受网络攻击。网络安全既是主动的,也是被动的,重点是网络攻击的预防和检测以及网络攻击的响应和补救。计算机取证几乎完全是被动的,在发生网络攻击或犯罪时立即采取行动。但计算机取证调查通常会提供有价值的信息,网络安全团队可以使用这些信息来防止未来的网络攻击。
当计算机取证和事件响应(检测和缓解正在进行的网络攻击)独立进行时,它们可能会相互干扰,从而给组织带来负面结果。事件响应团队可以在消除网络威胁的同时,更改或销毁数字证据。取证调查员在寻找和采集证据时可能会推迟解决威胁。
数字取证和事件响应 (DFIR) 将计算机取证和事件响应合并为一个集成的工作流程,可以帮助安全团队更快地阻止网络威胁,同时还可以保存在紧急缓解威胁时可能丢失的数字证据。在 DFIR 中,
收集取证数据与缓解威胁同时进行。事件响应人员在遏制和消除威胁时使用计算机取证技术来收集和保存数据,确保遵循适当的监管链,并且有价值的证据不会遭到更改或破坏。
事件后审查包括检查数字证据。除了保存采取法律行动的证据外,DFIR 团队还利用它重建网络安全事件的始末,以了解发生的事件、发生过程、损害程度以及如何避免类似的攻击。
DFIR 可以加快缓解威胁、实现更稳定的威胁恢复以及改善调查刑事案件、网络犯罪、保险索赔等的证据质量。
利用互联的现代化安全套件战胜攻击。QRadar 产品组合嵌入了企业级 AI,并提供用于端点安全、日志管理、SIEM 和 SOAR 的集成产品,所有这些产品都具有通用用户界面、共享洞察和互联工作流程。
主动威胁搜寻、持续监控和深入调查威胁只是本已忙碌的 IT 部门面临的几个优先事项。拥有一支值得信赖的事件响应团队随时待命可以减少您的响应时间,最大限度地减少网络攻击的影响,并帮助您更快地恢复。
IBM 借助来自 800 TB 的威胁活动数据、超过 1,700 万次垃圾邮件和钓鱼攻击的信息以及来自包含 2.7 亿个端点的网络近 100 万个恶意 IP 地址的声誉数据的洞察,从容防范、消除现代勒索软件的威胁。