Dani nakon sajber napada na organizaciju mogu biti teški i zbunjujući. Potrebni su brojni odgovori, počev od toga kako se dogodio napad, zašto, kako je to uticalo na podatke, uopšte na kompanijske resurse i kapital, kolika je pričinjena (ili potencijalna) šteta i drugo. Odgovor na to je Digitalna forenzička istraga, koja je ujedno i prvi korak ka okončanju svih dilema sajber incidenta.
Bez obzira da li su vaši podaci kompromitovani sajber napadom ili su vaše datoteke samo dešifrovane, u osnovi uvek je ključno isto: želite da znate kako se napad dogodio u vašoj kompaniji. U vezi sa tim, digitalna forenzička istraga može vam pomoći da odgovorite na sva pitanja o napadu, uključujući:
- Na koje mreže, sisteme, datoteke ili aplikacije je to uticalo?
- Kako je uopšte došlo do incidenta? (Koji su alati i metode napada korišćeni, koje ranjivosti iskorišćene)
- Kojim podacima i informacijama je pristupljeno, šta je od podataka ukradeno?
- Da li su hakeri još uvek na mreži? (Da li je incident završen ili je u toku?)
- Odakle se napad sprovodi?
Sajber napadi mogu ostaviti poslovnog lidera nesigurnim u budućnost poslovanja, izazvati skeptičnost po pitanju radnji koje dalje treba preduzeti da bi se uspostavio “bezbednosni zid“ i sprečio budući napad. Zbog toga je od krucijalnog značaja:
- Da znate šta je digitalna forenzika i za šta se koristi
- Da shvatite kako digitalno forenzičko ispitivanje može otkriti informacije o sajber napadu i pomoći vašem preduzeću.
- Da znate sledeće korake koje ćete preduzeti da biste pronašli odgovore nakon što je vaša organizacija doživela sajber incident.
Šta je digitalna forenzika?
Digitalna forenzika opisuje proces naučnog istraživanja u kojem se računarski objekti /artefakti, tačke podataka i informacije prikupljaju u vezi sa sajber napadom. Računarska forenzika je grana digitalne forenzike koja se fokusira na izdvajanje dokaza iz računara (ponekad se ove dve forenzičke klasifikacije koriste naizmenično).
„Glavni cilj računarske forenzike je da identifikuje, prikuplja, čuva i analizira podatke na način da se očuva integritet prikupljenih dokaza kako bi se mogli efikasno koristiti u pravnom postupku“, kako je navedeno u američkom dokumentu „Computer Emergency“ od strane tima za sajber pripravnost (US – CERT).
Posao digitalnog forenzičara je da pruža informacije kao što su:
- Identifikacija ulazne tačke napadača na mreži
- Podaci o korisničkim nalozima napadača
- trajanje neovlašćenog pristupa na mreži
- geolokacija i mapiranje napadača
Nakon pomenutih koraka digitalni forenzičar – forenzički detektiv/tehničar tada vam može dostaviti pisani izveštaj, u kome se, laički rečeno, opisuje šta je napadač uradio i korake koje su preduzeli.
Sajber zločine nije lako istražiti jer mesto zločina koje postoji u digitalnom svetu prilično je drugačije. Uzmimo za primer koji je svima jasan: U slučaju provale u kući, vrši se obilazak kako bi se pronašao fizički trag – razbijeno staklo, prozor, koji bi vas dalje odveo do pretpostavke da je krivično delo i počinjeno. U sajber svetu dokazi su mnogo manje očigledni. Veoma je teško utvrditi kako je sajber napad realizovan kroz vašu mrežu ako su napadači pokušali da sakriju tragove.
Šta se dešava tokom digitalne forenzičke istrage?
Možda ste upravo zaraženi ransomvare-om i želite da saznate kako su datoteke šifrovane. Pravilna istraga digitalne forenzike pomoći će vašoj organizaciji da izvuče više zaključaka o sajber kriminalu i onome što se dogodilo na vašoj mreži. Česta je pojava, da su mnoge kompanije već sada predmet sajber napada, ali o tome ne postoji svest jer nije došlo do očiglednih posledica. Da stvar bude otežavajuća, tamo gde ne postoji svest o značaju i mogućnosti napada, postoji ironičan stav “Baš će to meni da se desi“.
Stručnjaci za digitalnu forenziku mogu istražiti vašu mrežu i ispitati digitalne “objekte“ kao što su evidencije bezbednosnih događaja, mrežni saobraćaj i akreditivi za pristup kako bi omogućili proces zatvaranja sajber napada.
Da bismo razumeli kako funkcioniše digitalna forenzika, proces digitalne forenzike može se podeliti u 5 koraka:
- Identifikacija
- Čuvanje
- Analiza
- Dokumentacija
- Prezentacija
Identifikacija
Ovim korakom utvrđuje se obim istrage i koji ciljevi moraju biti ispunjeni, identifikovanje dokaza koje treba prikupiti i korišćeni uređaji (računari, evidencije mrežnog saobraćaja, uređaji za skladištenje podataka) ključni su za vođenje istrage i moraju se analizirati.
Čuvanje
Preduzimaju se odgovarajući koraci i radnje kako bi se osiguralo da se na pogođenoj mreži sačuva što više digitalnih dokaza. Očuvanje se obično vrši u obliku bezbednosne kopije slike. Rizično je koristiti softver za obradu slika sa „blokatorima“ kako bi se obezbedilo da forenzički ispitivač ne ostavlja dodatne digitalne tragove. Jednom kada se kreira sigurnosna kopija slike, svi dokazi pre slike su uhvaćeni.
Računari neprekidno primaju i menjaju informacije koje čuvaju u vidu evidencija pristupa, sigurnosnih kopija podataka itd. Ako te evidencije ne sačuvate što je pre moguće, važne informacije potrebne za forenzičku istragu mogu se prepisati.
Iako se forenzičke tehnike razlikuju, uglavnom će digitalni forenzičar izvući digitalne artefakte kao što su: evidencije događaja, paketi podataka, kontejneri
Što duže čekate da izvršite digitalnu forenzičku istragu, to može značiti da se stariji podaci prepisuju i evidencija unosa će se promeniti. Kao i svako mesto zločina, dokazi prikupljeni bliže datumu incidenta pomoći će istražiteljima da pruže tačniju sliku onoga što se dogodilo.
Analiza
Podaci i digitalni dokazi prikupljeni tokom istrage moraju se analizirati i sastaviti kako bi se ispričala cela priča o onome što se dogodilo tokom sajber napada. Digitalni forenzičari koriste alate i tehnike da istraže incident i kreiraju vremensku liniju događaja.
Korak analize digitalne forenzike često je najmračniji i najsporniji u praksi. Stručnjaci za digitalnu forenziku koriste alate za inspekciju i izvlačenje informacija koje traže. Primer može biti program (ili skripta) koji se koristi za pokušaj identifikovanja različitih datoteka na mreži.
Dokumentacija
Korak dokumentacije je mesto gde se prikupljaju i evidentiraju svi dokazi koji se odnose na sajber napad. Dobra digitalna forenzička dokumentacija sadrži samo najvažnije informacije potrebne za tačan zaključak. Ovi nalazi su pripremljeni u profesionalnoj dokumentaciji (izveštaji, grafikoni, slike) i biće korisni tokom faze prezentacije.
Prezentacija
Ovo je najkritičniji korak u sprovođenju kvalitetne digitalne forenzičke istrage. Predstavljanje nalaza i otkrića putem dokumentacije pomaže zainteresovanim stranama da shvate napad i šta se dogodilo. Detektivi digitalne forenzike citiraće ono što se dogodilo tokom napada i prikazaće to na način koji mogu razumeti ljudi različitog obrazovnog profila. Ovo je posebno važno jer se ovi nalazi mogu koristiti za interne istrage i revizije za preduzeća nakon sajber napada. Uobičajeni primer je kada se prikazuju podaci odakle dolazi napadač i ucrtavaju lokaciju na globalnoj mapi.
Iskusni pružaoci usluga digitalne forenzike istražiće svaki detalj kako bi osigurali da se detaljnije informacije mogu preneti kompaniji koja je pogođena napadom.
Za šta se koristi digitalna forenzika?
Ako je vaša kompanija nedavno bila žrtva sajber napada, možda će biti teško odlučiti koji je sledeći postupak. Istraga digitalne forenzike može vas odvesti u pravcu da shvatite koje su informacije ugrožene. Preduzeća koja su doživela sajber napad moraju da razumeju napad u punom kontekstu da bi videla koji su podaci povređeni i kompromitovani.
Digitalna forenzička istraga koristi se za:
- Utvrđivanje uzroka i moguće namere sajber napada
- Zaštitu digitalnih dokaza korišćenih u napadu pre nego što zastare
- Povećanje bezbednosne higijene, praćenje koraka hakera i pronalaženje hakerskih alata
- Traženje pristupa / eksfiltracije podataka
- Žrtve ransomvare-a mogu koristiti forenzičke usluge ransomvare-a da utvrde kako je njihova mreža infiltrirana.
Zašto su digitalni dokazi važni?
Digitalni dokazi su informacije koje se čuvaju ili prenose u binarnom obliku i koje mogu poslužiti kao dokaz na sudu. Digitalni dokazi mogu pomoći u pronalaženju lokacije kopiranih ili ukradenih informacija. Digitalna forenzika se koristi za praćenje putanje sajber napada i nadzor svakog pokreta napadača na vašoj mreži. Sveobuhvatna istraga digitalne forenzike pružiće izveštaj o svim podacima koji su kopirani ili uklonjeni sa mreže.
Da li je moja mreža još uvek ugrožena?
Organizacije koje ne izvrše digitalnu forenzičku istragu mogu staviti na rizik čitavo preduzeće, jer uvek postoji mogućnost da je napadač još uvek tu. Čak i nakon rešavanja sajber napada, to ne garantuje potpunu bezbednost mreže i protok podataka. Digitalni forenzičari mogu da utvrde da li i dalje postoji sumnjiva aktivnost i na osnovu toga da izdaju upozorenje da li treba preduzeti korake za ublažavanje mogućih sajber pretnji.
Digitalno forenzičko ispitivanje može pažljivije proučiti koji su podaci ugroženi tokom napada. Sajber pretnje poput ransomware- a dizajnirane su za šifrovanje datoteka i zaključavanje pristupa tim podacima. Međutim, Sajber kriminalci postaju sve agresivniji u nameri da izlože ili uklone ove datoteke sa mreže. Sajber bande sve više koriste invanzivnije tehnike iznude koje uključuju pretnju da će vaše podatke kompromitovati ako kripto otkupnina nije ispunjena.
Kako da znam da li su moji podaci kopirani ili prodati?
Preduzeća bi trebalo da budu zabrinuta zbog svojih podataka i informacija koje bi mogli biti kopirane tokom sajber napada. Sajber kriminalci mogu povući vaše podatke sa mreže i koristiti ih u zlonamerne svrhe. Vaši podaci mogu se koristiti na dark netu gde se ukradeni podaci prodaju na aukciji, tzv. Sajber – kriminalna ekonomija.
Nažalost, nakon što dođe do povrede podataka i kada su informacije izložene, ne postoji garancija da sajber napadači neće prodati vaše podatke. Međutim, stručnjak za digitalnu forenziku može utvrditi šta je izbačeno iz mreže. Pored toga, digitalni forenzičari će moći da procene da li su vaši podaci procurili na osnovu obaveštajnih podataka iz prethodnih slučajeva.
Da li će digitalna forenzička istraga pomoći u sprečavanju budućeg sajber napada?
Postoji čuvena i surovo realna izreka: Ko ne zna istoriju, ne zna ni budućnost! Šta to znači u ovom kontekstu? To znači da morate u potpunosti da budete upućeni u događanja sajber napada koji se dogodio ili koji je neko drugi iskusio, da bi se na osnovu prethodne prakse primenila odgovarajuća tehnika u cilju zaštite budućeg poslovanja.
Iako istraga digitalne forenzike ne sprečava budući napad, digitalna forenzika može otkriti praznine koje treba popuniti u bezbednosnoj infrastrukturi. Ovi pregledi takođe mogu pružiti priliku da se identifikuju dodatne ranjivosti i propusti kojima se proaktivno mogu otkloniti sledeći put kada im haker zakuca na vrata.