Forensik komputer, juga dikenal sebagai forensik digital, ilmu forensik komputer, atau forensik siber, menggabungkan ilmu komputer dan forensik hukum untuk mengumpulkan bukti digital dengan cara yang dapat diterima di pengadilan.
Dengan cara yang sama seperti aparat penegak hukum menyisir tempat kejadian perkara untuk mencari petunjuk, penyelidik forensik komputer mencari perangkat digital untuk mencari bukti yang dapat digunakan pengacara dalam penyelidikan kriminal, kasus perdata, investigasi kejahatan siber, dan masalah keamanan perusahaan dan nasional lainnya. Dan seperti halnya rekan-rekan penegak hukum mereka, penyelidik forensik komputer harus menjadi ahli tidak hanya dalam berburu bukti digital, tetapi juga dalam mengumpulkan, menangani, dan memprosesnya untuk memastikan keakuratan dan penerimaannya di pengadilan.
Forensik komputer berkaitan erat dengan keamanan siber. Temuan forensik komputer dapat membantu tim keamanan siber mempercepat deteksi dan penyelesaian ancaman siber, serta mencegah serangan siber di masa mendatang. Disiplin keamanan siber yang sedang berkembang, forensik digital dan respons insiden (DFIR), mengintegrasikan forensik komputer dan aktivitas respons insiden untuk mempercepat remediasi ancaman siber sambil memastikan bahwa bukti digital terkait tidak dikompromikan.
Forensik komputer pertama kali menjadi terkenal pada awal tahun 1980-an dengan penemuan komputer pribadi. Ketika teknologi menjadi pokok dalam kehidupan sehari-hari, penjahat mengidentifikasi pembukaan dan mulai melakukan kejahatan pada perangkat elektronik.
Segera setelah itu, internet menghubungkan hampir semua orang dalam semalam, memungkinkan email dan akses jarak jauh ke jaringan komputer perusahaan dan organisasi serta membuka pintu bagi malware dan serangan siber yang lebih kompleks. Menanggapi perbatasan baru kejahatan dunia maya ini, lembaga penegak hukum membutuhkan sistem untuk menyelidiki dan menganalisis data elektronik, dan dengan demikian, forensik komputer lahir.
Pada awalnya, sebagian besar bukti digital ditemukan di sistem komputer dan perangkat TI: komputer pribadi, server, ponsel, tablet, dan perangkat penyimpanan elektronik. Namun, saat ini semakin banyak perangkat dan produk industri dan komersial-dari perangkat Internet of Things (IoT) dan teknologi operasional (OT), mobil dan peralatan, hingga bel pintu dan kalung anjing-menghasilkan dan menyimpan data serta metadata yang dapat dikumpulkan dan ditambang untuk bukti digital.
Misalnya, pertimbangkan kecelakaan mobil. Di masa lalu, aparat penegak hukum mungkin telah menyelidiki tempat kejadian perkara untuk mencari bukti fisik, seperti bekas belokan atau pecahan kaca; mereka mungkin juga memeriksa ponsel pengemudi untuk mencari bukti SMS saat mengemudi.
Saat ini, mobil-mobil terbaru menghasilkan dan menyimpan semua jenis data digital dan metadata yang dicap waktu yang menciptakan catatan terperinci tentang lokasi, kecepatan, dan kondisi operasi setiap kendaraan pada waktu tertentu. Data ini mengubah kendaraan modern menjadi alat forensik yang kuat, yang memungkinkan para penyelidik untuk merekonstruksi peristiwa yang mengarah ke, selama, dan setelah kecelakaan; bahkan dapat membantu menentukan siapa yang bertanggung jawab atas kecelakaan tersebut, meskipun tanpa adanya bukti fisik atau saksi mata.
Seperti halnya bukti TKP fisik, bukti digital harus dikumpulkan dan ditangani dengan benar. Jika tidak, data dan metadata dapat hilang-atau dianggap tidak dapat diterima di pengadilan.
Misalnya, penyelidik dan jaksa harus menunjukkan rantai pengawasan yang tepat untuk bukti digital — mereka harus mendokumentasikan bagaimana penanganan, pemrosesan, dan penyimpanannya. Dan mereka harus tahu cara mengumpulkan dan menyimpan data tanpa mengubahnya-sebuah tantangan karena tindakan yang tampaknya tidak berbahaya seperti membuka, mencetak, atau menyimpan file dapat mengubah metadata secara permanen.
Karena alasan ini, sebagian besar organisasi menyewa atau mengontrak penyelidik forensik komputer (juga dikenal dengan sebutan ahli forensik komputer, analis forensik komputer , atau pemeriksa komputer forensik) untuk mengumpulkan dan menangani bukti digital yang terkait dengan investigasi kriminal atau kejahatan siber.
Para profesional forensik komputer biasanya memiliki gelar sarjana di bidang ilmu komputer atau peradilan pidana, dan menggabungkan pengetahuan fungsional yang kuat tentang dasar-dasar teknologi informasi (TI) - misalnya sistem operasi, keamanan informasi, keamanan jaringan, bahasa pemrograman—ditambah latar belakang implikasi hukum dari bukti digital dan kejahatan dunia maya. Beberapa mungkin mengkhususkan diri dalam bidang-bidang seperti forensik bergerak atau forensik sistem operasi.
Penyelidik forensik komputer adalah ahli dalam memburu dan menyimpan data yang dapat diterima secara hukum. Mereka tahu untuk mengumpulkan data dari sumber yang mungkin diabaikan oleh staf TI internal, seperti server di luar kantor dan komputer rumah. Dan mereka dapat membantu organisasi mengembangkan kebijakan forensik komputer yang baik yang dapat menghemat waktu dan biaya saat mengumpulkan bukti digital, mengurangi dampak kejahatan siber, dan membantu melindungi jaringan dan sistem informasi mereka dari serangan di masa depan.
Ada empat langkah utama untuk forensik komputer.
Langkah pertama adalah mengidentifikasi perangkat atau media penyimpanan yang mungkin berisi data, metadata, atau artefak digital lainnya yang relevan dengan penyelidikan. Perangkat ini dikumpulkan dan ditempatkan di laboratorium forensik atau fasilitas aman lainnya untuk mengikuti protokol dan memastikan pemulihan data yang tepat.
Pakar forensik membuat gambar, atau salinan bit demi bit, dari data yang akan dipertahankan. Kemudian, mereka menyimpan gambar dan gambar aslinya dengan aman untuk melindunginya agar tidak diubah atau dihancurkan. Para ahli mengumpulkan dua jenis data: data persisten, yang disimpan di hard drive lokal perangkat, dan data volatil, yang terletak di memori atau dalam perjalanan (misalnya register, cache, dan memori akses acak (RAM)). Data yang mudah menguap harus ditangani dengan sangat hati-hati karena data ini bersifat sementara dan dapat hilang jika perangkat mati atau kehilangan daya.
Selanjutnya, penyelidik forensik menganalisis gambar untuk mengidentifikasi bukti digital yang relevan. Hal ini dapat mencakup file yang terhapus secara sengaja atau tidak sengaja, riwayat penelusuran internet, email, dan lainnya. Untuk mengungkap "data" tersembunyi atau metadata yang mungkin terlewatkan oleh orang lain, para penyelidik menggunakan teknik khusus termasuk analisis langsung, yang mengevaluasi sistem yang masih berjalan untuk data yang mudah berubah, dan steganografi terbalik, yang mengekspos data yang disembunyikan dengan menggunakan steganografi, sebuah teknik untuk menyembunyikan informasi sensitif di dalam pesan yang terlihat biasa.
Sebagai langkah terakhir, ahli forensik membuat laporan formal yang menguraikan analisis mereka, dan berbagi temuan investigasi dan kesimpulan atau rekomendasi apa pun. Meskipun laporan berbeda-beda untuk setiap kasus, laporan ini sering digunakan untuk menyajikan bukti digital di pengadilan.
Ada beberapa area di mana organisasi atau aparat penegak hukum dapat meluncurkan investigasi forensik digital:
Investigasi kriminal: Lembaga penegak hukum dan spesialis forensik komputer dapat menggunakan forensik komputer untuk menyelesaikan kejahatan terkait komputer, seperti cyberbullying, peretasan, atau pencurian identitas, serta kejahatan di dunia fisik, termasuk perampokan, penculikan, pembunuhan, dan lainnya. Sebagai contoh, aparat penegak hukum dapat menggunakan forensik komputer pada komputer pribadi tersangka pembunuhan untuk menemukan petunjuk atau bukti potensial yang tersembunyi dalam riwayat pencarian atau file yang telah dihapus.
Litigasi perdata: Penyelidik juga dapat menggunakan forensik komputer dalam kasus litigasi perdata, seperti penipuan, perselisihan pekerjaan, atau perceraian. Misalnya, dalam kasus perceraian, tim hukum pasangan dapat menggunakan forensik komputer pada perangkat seluler untuk mengungkap perselingkuhan pasangan dan mendapatkan keputusan yang lebih menguntungkan.
Perlindungan kekayaan intelektual: Komputer forensik dapat membantu aparat penegak hukum menyelidiki pencurian kekayaan intelektual, seperti mencuri rahasia dagang atau materi berhak cipta. Beberapa kasus forensik komputer yang paling terkenal melibatkan perlindungan kekayaan intelektual, terutama ketika karyawan yang keluar mencuri informasi rahasia untuk menjualnya ke organisasi lain atau mendirikan perusahaan pesaing. Dengan menganalisis bukti digital, penyelidik dapat mengidentifikasi siapa yang mencuri kekayaan intelektual dan meminta pertanggungjawaban mereka.
Keamanan perusahaan: Perusahaan sering kali menggunakan forensik komputer setelah serangan siber, seperti pembobolan data atau serangan ransomware, untuk mengidentifikasi apa yang terjadi dan memperbaiki kerentanan keamanan. Contoh umumnya adalah peretas menerobos kerentanan di firewall perusahaan untuk mencuri data sensitif atau penting. Menggunakan forensik komputer untuk melawan serangan siber akan terus berlanjut karena kejahatan siber terus meningkat. Pada tahun 2022, FBI memperkirakan bahwa kejahatan komputer menyebabkan kerugian tahunan sebesar USD 10,3 miliar di Amerika, naik dari USD 6,9 miliar pada tahun sebelumnya (PDF; tautan berada di luar ibm.com).
Keamanan nasional: Forensik komputer telah menjadi alat keamanan nasional yang penting karena kejahatan siber terus meningkat di antara negara-negara. Pemerintah atau lembaga penegak hukum seperti FBI sekarang menggunakan teknik forensik komputer setelah serangan siber untuk mengungkap bukti dan menopang kerentanan keamanan.
Sekali lagi, forensik komputer dan keamanan siber adalah disiplin ilmu yang terkait erat yang sering berkolaborasi dalam melindungi jaringan digital dari serangan siber. Keamanan siber bersifat proaktif dan reaktif, dengan fokus pada pencegahan dan deteksi serangan siber, serta respons dan perbaikan serangan siber. Forensik komputer hampir seluruhnya bersifat reaktif, yang langsung beraksi ketika terjadi serangan siber atau kejahatan. Namun, investigasi forensik komputer sering kali memberikan informasi berharga yang dapat digunakan oleh tim keamanan siber untuk mencegah serangan siber di masa mendatang.
Ketika forensik komputer dan respons insiden -deteksi dan mitigasi serangan siber yang sedang berlangsung - dilakukan secara terpisah, mereka dapat saling mengganggu, dengan hasil yang negatif bagi organisasi. Tim tanggap insiden dapat mengubah atau menghancurkan bukti digital sekaligus menghapus ancaman dari jaringan. Penyelidik forensik dapat menunda penyelesaian ancaman sementara mereka memburu dan menangkap bukti.
Forensik digital dan respons insiden, atau DFIR, menggabungkan forensik komputer dan respons insiden ke dalam alur kerja terintegrasi yang dapat membantu tim keamanan menghentikan ancaman siber dengan lebih cepat sekaligus menjaga bukti digital yang mungkin hilang dalam urgensi mitigasi ancaman. Dalam DFIR,
Pengumpulan data forensik terjadi bersamaan dengan mitigasi ancaman. Penanggap insiden menggunakan teknik forensik komputer untuk mengumpulkan dan menyimpan data selagi mereka menangani dan memberantas ancaman, memastikan rantai lacak balak yang tepat diikuti dan bukti berharga tidak diubah atau dihancurkan.
Tinjauan pasca-insiden mencakup pemeriksaan bukti digital. Selain menyimpan bukti untuk tindakan hukum, tim DFIR menggunakannya untuk merekonstruksi insiden keamanan siber dari awal hingga akhir untuk mempelajari apa yang terjadi, bagaimana hal itu terjadi, tingkat kerusakan, dan bagaimana serangan serupa dapat dihindari.
DFIR dapat menghasilkan mitigasi ancaman yang lebih cepat, pemulihan ancaman yang lebih kuat, dan bukti yang lebih baik untuk menyelidiki kasus kriminal, kejahatan siber, klaim asuransi, dan lainnya.
Mengelabui serangan dengan rangkaian keamanan yang terhubung dan modern Portofolio QRadar disematkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR-semuanya dengan antarmuka pengguna yang sama, wawasan bersama, dan alur kerja yang terhubung.
Perburuan ancaman secara proaktif, pemantauan berkelanjutan, dan investigasi mendalam terhadap ancaman hanyalah beberapa prioritas yang dihadapi departemen TI yang sudah sangat sibuk. Memiliki tim tanggap insiden tepercaya yang siap siaga dapat mengurangi waktu tanggap Anda, meminimalkan dampak serangan siber, dan membantu Anda pulih lebih cepat.
Untuk mencegah dan menanggulangi ancaman ransomware modern, IBM menggunakan wawasan dari 800 TB data aktivitas ancaman, informasi tentang lebih dari 17 juta serangan spam dan phishing, serta data reputasi pada hampir 1 juta alamat IP berbahaya dari jaringan 270 juta titik akhir.
DFIR menggabungkan dua bidang keamanan siber untuk merampingkan respons terhadap ancaman sekaligus menjaga bukti terhadap penjahat siber.
Serangan siber adalah upaya yang tidak diinginkan untuk mencuri, mengekspos, mengubah, melumpuhkan, atau menghancurkan informasi melalui akses yang tidak sah ke sistem komputer.
Informasi keamanan dan manajemen peristiwa (SIEM) menawarkan pemantauan dan analisis peristiwa secara real-time serta pelacakan dan pencatatan data keamanan untuk tujuan kepatuhan atau audit.