Що таке Network forensics? Як успішно досліджувати мережу

Мережева криміналістика стала важливим аспектом цифрової криміналістики в останні роки. Аналіз мережі може надати важливу інформацію про те, як функціонує компанія та які дії відбувалися в її системах. Для успішного проведення мережевого криміналістичного аналізу необхідно дотримуватися правильних кроків та використовувати відповідні інструменти.

У цій статті ми розглянемо етапи мережевої криміналістики та різні типи інструментів, які можна використовувати. Ми також дослідимо різницю між комп'ютерною криміналістикою та мережевою криміналістикою і пояснимо, чому обидві вони є важливими для розслідування кіберзлочинів.

Що таке мережева криміналістика?

Мережева криміналістика досліджує моделі мережевого трафіку та дані, отримані під час передачі в мережевому середовищі. Вона передбачає вивчення даних трафіку, журналів та інших даних, які можуть бути використані для розслідування кіберзлочинів, інцидентів мережевої безпеки та порушень безпеки даних. Мережева криміналістична експертиза має на меті виявлення та збереження цифрових доказів, які можуть бути використані в суді.

Аналізуючи записи мережевих подій, надані мережевою криміналістикою, правоохоронні органи та слідчі з кіберзлочинності можуть скласти картину комунікацій та хронологію подій, щоб краще зрозуміти, що сталося під час злочину або іншої загадкової події (Keumars, 2021). Аналітики перевіряють, серед інших показників, наявність доказів людської комунікації, фальсифікації файлів та використання ключових слів.

Етапи мережевої криміналістичної експертизи

Під час проведення мережевої криміналістичної експертизи важливо дотримуватися відповідних кроків, щоб забезпечити збір і збереження всіх доказів. Ось сім кроків для проведення криміналістичної експертизи.

Ідентифікація

Першим кроком будь-якого криміналістичного дослідження є визначення обсягу розслідування. Це допоможе визначити, які дані необхідно зібрати та які інструменти будуть потрібні. Процес ідентифікації, який веде до вирішення справи, має значний вплив на наступні кроки.

Збереження

Після визначення обсягу розслідування необхідно вжити заходів для збереження доказів. Це включає створення копій усіх відповідних даних та їх зберігання в безпечному місці. Усі дані повинні бути зібрані таким чином, щоб зберегти їх цілісність та ланцюжок зберігання. Дані ізолюються, щоб унеможливити фальсифікацію цифрових доказів. Це також запобігає використанню пристрою будь-ким. Для цього завдання можна використовувати різні програми, такі як Autopsy та Encase.

Колекціонування

Наступним кроком є збір даних, який можна виконати вручну або за допомогою автоматизованих інструментів. У більшості випадків найкраще використовувати обидва методи. Ручний збір передбачає перегляд кожного файлу та реєстрацію відповідної інформації. Автоматизований збір, з іншого боку, використовує спеціалізоване програмне забезпечення для сканування мережевого трафіку та вилучення даних. Збір також можна виконати за допомогою захоплення пакетів, захоплення повних пакетів та аналізу NetFlow.

Перевірка

Після збору даних настає час їх аналізу. Цей крок передбачає аналіз даних з метою виявлення закономірностей або аномалій, що вказують на інцидент безпеки. Всі видимі дані відстежуються разом з метаданими (GeeksforGeeks, 2022). Експерт також перевіряє наявність будь-яких індикаторів компрометації (IOC). IOC — це специфічні характеристики, які можна використовувати для виявлення вторгнення або шкідливого програмного забезпечення. До них можуть належати IP-адреси, хеші файлів та доменні імена.

Аналіз

Слідчі використовують дані, які вони знаходять у пакетах мережевого трафіку, щоб визначити, що сталося і чому це важливо. Програмне забезпечення для управління інформацією та подіями безпеки (SIEM) відстежує мережеву активність. Рішення SIEM також аналізують дані журналів та подій у режимі реального часу, щоб забезпечити моніторинг загроз, кореляцію подій та реагування на інциденти (Lifars, 2020).

Звітність

Шостий крок – презентація результатів. Це можна зробити у вигляді звіту або презентації. Звіт повинен містити всю необхідну інформацію, таку як докази вторгнення, зловмисної діяльності або витоку даних. Він також повинен містити рекомендації щодо поліпшення безпеки. Презентація повинна бути чіткою і лаконічною, з акцентом на найважливіші висновки. Слідчі також повинні бути готові відповісти на запитання зацікавлених сторін.

Реагування на інциденти

Інформація, отримана для підтвердження та оцінки атаки або вторгнення, викликає відповідну реакцію. Мета полягає в тому, щоб обмежити збитки та вплив на продуктивність, визначити першопричину, усунути її та вжити заходів для запобігання подібним інцидентам у майбутньому. План передбачає мінімізацію простоїв, втрати даних та впливу на організацію.

Доступні типи інструментів

Для мережевої криміналістики можна використовувати кілька інструментів кіберкриміналістики. Ці інструменти збирають дані з різних джерел, включаючи маршрутизатори, комутатори та сервери. Давайте розглянемо деякі з них нижче:

• Інструменти захоплення пакетів: Ці інструменти захоплюють і зберігають мережеві дані для подальшого аналізу. Прикладами є Wireshark, TCPDump і Arkime (Jenifa, 2022).

• Інструменти захоплення повних пакетів: Як випливає з назви, ці інструменти захоплюють і зберігають усі дані, що проходять через мережевий інтерфейс. Прикладами є NetWitness Investigator і RSA NetWitness Platform.

• Інструменти аналізу журналів: Splunk, ELK Stack і Graylog допомагають аналізувати файли журналів з пристроїв у мережі.

• Інструменти аналізу NetFlow: ці інструменти аналізують дані NetFlow для виявлення моделей трафіку та аномалій. Прикладами є SolarWinds NetFlow Traffic Analyzer і ManageEngine NetFlow Analyzer.

• Інструменти SIEM: вони забезпечують централізований перегляд даних журналів з декількох пристроїв у мережі. Прикладами є Splunk Enterprise Security та IBM QRadar (Keary, 2022).

• Платформи цифрової криміналістики: RSA NetWitness Platform та Splunk Enterprise Security, серед інших інструментів, забезпечують комплексне рішення для мережевої криміналістики, включаючи збір даних, аналіз та звітність.

• Інструменти системи виявлення вторгнень: вони виявляють і сповіщають про підозрілу активність у мережі. Прикладами є Snort і Suricata.

Різниця між комп'ютерною криміналістикою та мережевою криміналістикою

Хоча і комп'ютерна, і мережева криміналістика передбачають вивчення даних, між цими двома галузями існує кілька ключових відмінностей.

Відмінності

1. Тип даних, на яких вони зосереджуються

2. Сфера застосування двох дисциплін

3. Дані в режимі реального часу проти офлайн-даних

4. Інциденти, що розслідуються

5. Використовувані інструменти

Комп'ютерна криміналістика

Зосереджується на даних, що зберігаються на комп'ютерах.

Часто використовується в кримінальних справах.

Зазвичай передбачає перевірку даних, що зберігаються в офлайн-режимі.

Комп'ютерна криміналістика частіше використовується в справах про шахрайство або порушення службової дисципліни співробітниками.

Може проводитися за допомогою стандартних криміналістичних інструментів, оскільки перевірка стосується збережених/офлайн-даних.

Мережева криміналістика

Зосереджується на дослідженні даних, що передаються через мережі.

Використовується як у кримінальних, так і в цивільних справах.

Може використовуватися для дослідження даних у реальному часі.

Мережева криміналістика зазвичай використовується для розслідування таких інцидентів, як вторгнення в мережу або крадіжка даних.

Часто для цього потрібні спеціальні інструменти, оскільки досліджувані дані передаються в реальному часі через мережі.

Загалом, мережева криміналістика є більш спеціалізованою галуззю, ніж комп'ютерна криміналістика. Однак навички та знання, необхідні для обох галузей, є схожими. Слідчі повинні добре розуміти концепції мереж та бути обізнаними з використанням спеціалізованих інструментів.

Попит мають особи з глибоким розумінням мережевої криміналістики та здатністю аналізувати і захищати мережеву інфраструктуру. Програма «Комп'ютерний хакерський криміналістичний слідчий» (C|HFI) надає вам досвід і знання, необхідні для

проведення комп'ютерних криміналістичних розслідувань, щоб стати комп'ютерним хакерським криміналістичним слідчим і сертифікованим хакерським і криміналістичним слідчим.

Більше інформації ви зможете отримати за цим посиланням https://www.eccouncil.org/cybersecurity-exchange/computer-forensics/what-is-network-forensics/