Lar Finanças Pessoais Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Índice:

Vídeo: Projeto MUFFIN de Resposta a Incidentes - Tony Rodrigues - Workshop SegInfo 2011 2024

Vídeo: Projeto MUFFIN de Resposta a Incidentes - Tony Rodrigues - Workshop SegInfo 2011 2024
Anonim

Computer forensics envolve a realização de uma investigação para determinar o que aconteceu, descobrir quem é responsável e coletar legalmente provas admissíveis para uso em um caso de crime informático.

Estreitamente relacionado, mas distintamente diferente das investigações, é a resposta ao incidente. O objetivo de uma investigação é determinar o que aconteceu, determinar quem é responsável e coletar provas. Resposta a incidentes determina o que aconteceu, contém e avalia danos e restaura as operações normais.

As investigações e a resposta a incidentes devem ser conduzidas simultaneamente de forma bem coordenada e controlada para garantir que as ações iniciais de qualquer das atividades não destroem evidências ou causem danos adicionais aos ativos da organização. Por esse motivo, as Equipes de Resposta ao Incidente de Computador (ou Emergência) (CIRT ou CERT, respectivamente) precisam ser devidamente treinadas e qualificadas para garantir uma cena ou incidente do crime, preservando evidências. Idealmente, o CIRT inclui indivíduos que conduzem a investigação.

Realização de investigações

Uma investigação de crime informático deve começar imediatamente após o relatório de um presunto crime informático ou incidente. Inicialmente, qualquer incidente deve ser tratado como uma investigação de crime informático até que uma investigação preliminar determine o contrário. Os passos gerais a serem seguidos no processo de investigação são os seguintes:

  • Detectar e conter: A detecção precoce é fundamental para uma investigação bem-sucedida. Infelizmente, as técnicas de detecção passiva ou reativa (como a revisão de trilhas de auditoria e descoberta acidental) geralmente são a norma em crimes de computador e, muitas vezes, deixam uma fuga de fatos. A contenção é essencial para minimizar mais perdas ou danos.
  • Gerenciamento de notificação: O gerenciamento deve ser notificado de qualquer investigação o mais rápido possível. O conhecimento da investigação deve limitar-se ao menor número possível de pessoas e deve ser feito com base em necessidade de conhecimento. Os métodos de comunicação fora da banda (relatório em pessoa) devem ser usados ​​para garantir que as comunicações sensíveis sobre a investigação não sejam interceptadas.
  • Comece a investigação preliminar: Isto é necessário para determinar se um crime realmente ocorreu. A maioria dos incidentes são erros honestos, e não uma conduta criminal. Esta etapa inclui

• Revisão da queixa ou relatório

• Inspeção de danos

• Entrevistas de testemunhas

• Registro de registros

• Identificação de novos requisitos de investigação

  • Iniciando a determinação da divulgação: O primeiro e a coisa mais importante a determinar é se a lei revela o crime ou o incidente.Em seguida, determine se a divulgação é desejada. Isso deve ser coordenado com um funcionário de relações públicas ou assuntos públicos da organização.
  • Realize a investigação:

Identifique possíveis suspeitos. Isso inclui insiders e estrangeiros para a organização. Um discriminador padrão para ajudar a determinar ou eliminar possíveis suspeitos é o teste MOM: o suspeito tem motivo, oportunidade e meios para cometer o crime?

Identificar potenciais testemunhas. Determine quem deve ser entrevistado e quem realizará as entrevistas. Tenha cuidado para não alertar qualquer suspeito potencial para a investigação; concentrar-se na obtenção de fatos, não opiniões, em declarações de testemunhas.

Prepare-se para busca e apreensão. Isso inclui identificar os tipos de sistemas e evidências a serem pesquisados ​​ou apreendidos, designando e treinando os membros da equipe de busca e apreensão (CIRT), obtendo e servindo mandados de busca adequados (se necessário) e determinando o risco potencial para o sistema durante um esforço de busca e apreensão.

  • Resultados do relatório: Os resultados da investigação, incluindo evidências, devem ser reportados ao gerenciamento e entregues aos funcionários responsáveis ​​pela aplicação da lei ou procuradores apropriados.

Evidências

Evidências é uma informação apresentada em um tribunal de justiça para confirmar ou dissipar um fato que está em disputa. Um caso não pode ser julgado sem provas suficientes para apoiar o caso. Assim, reunir adequadamente evidências é uma das tarefas mais importantes e difíceis do investigador.

Tipos de evidência

Fontes de provas legais que podem ser apresentadas em um tribunal de justiça geralmente se enquadram em uma das quatro categorias principais:

  • Prova direta: Este é um testemunho oral ou uma declaração escrita baseada em informações coletadas através dos cinco sentidos da testemunha (uma conta de testemunha ocular) que prova ou refuta um fato ou problema específico.
  • Evidência real (ou física): Estes são objetos tangíveis do crime real, como estes:

• Ferramentas e armas

• Propriedade roubada ou danificada

• Fitas de vigilância visual ou de áudio

    A evidência física de um crime informático raramente está disponível.
  • Prova documental: A maioria das evidências apresentadas em um caso de crime informático são evidências documentais, como as seguintes;

• Originais e cópias de registros comerciais

• Registros gerados por computador e armazenados em computador

• Manuais

• Políticas

• Padrões

• Procedimentos

• Arquivos de registro > Registos de negócios, incluindo registros de computador, são tradicionalmente considerados evidências de boato na maioria dos tribunais porque esses registros não podem ser comprovados e confiáveis. Um dos obstáculos mais significativos para um promotor a superar em um caso de crime informático é buscar a admissão de registros de computador como prova.

    Evidência demonstrativa.
  • Usado para ajudar o entendimento do tribunal sobre um caso. As opiniões são consideradas evidências demonstrativas e podem ser

Especialista: Com base em conhecimentos pessoais e fatos

Nonexpert: Com base em fatos apenas Outros exemplos de demonstrativos A evidência inclui modelos, simulações, gráficos e ilustrações.

    Outros tipos de provas que podem cair em pelo menos uma das principais categorias anteriores incluem

Melhor evidência:

  • Prova original, inalterada. No tribunal, isso é preferido em relação à evidência secundária. Os dados extraídos de um computador satisfazem a melhor regra de evidência e normalmente podem ser introduzidos nos procedimentos judiciais como tal.
    • evidência secundária:
  • Uma cópia duplicada ou cópia de evidência, como • Backup de fita

• Captura de tela

• Fotografia

Evidência corroborativa:

  • Apoia ou comprovou outras evidências apresentadas em um caso. evidência conclusiva:
  • Incontroversível e irrefutável: a arma fumegante. Evidência circunstancial:
  • Fatos relevantes que não podem ser direta ou conclusivamente conectados a outros eventos, mas sobre o qual uma inferência razoável pode ser feita. Admissibilidade da evidência

Como as provas geradas por computador podem ser facilmente manipuladas, alteradas ou adulteradas, e, como elas não são facilmente e comumente entendidas, esse tipo de evidência geralmente é considerado suspeito em um tribunal.

Para ser admissível, a prova deve ser:

Relevante:

  • Deve tender a provar ou refutar fatos relevantes e relevantes para o caso. Confiável:
  • Deve ser razoavelmente comprovado que o que é apresentado como evidência é o que foi originalmente coletado e que a evidência em si é confiável. Isto é realizado, em parte, através do tratamento adequado de evidências e da cadeia de custódia. Legalmente permitido:
  • Deve ser obtido por meios legais. A evidência que não é legalmente permitida pode incluir evidências obtidas através destes meios:

Pesquisa e apreensão ilegais: O pessoal de aplicação da lei deve obter uma ordem judicial anterior; no entanto, pessoal não-policial, como um supervisor ou administrador do sistema, pode realizar uma pesquisa autorizada em algumas circunstâncias. •

Chamadas telefônicas ilegais ou toques de telefone: Qualquer pessoa que realize ligações telefônicas ou toques de telefone deve obter uma ordem judicial anterior. •

Entrapment ou tentativa: Entrapment encoraja alguém a cometer um crime que o indivíduo pode ter não teve intenção de cometer. Por outro lado, tentativa atrai alguém para alguma evidência (um pote de mel, se você quiser) depois que esse indivíduo já cometeu um crime. O engenho não é necessariamente ilegal, mas levanta argumentos éticos e pode não ser admissível no tribunal. •

Coerção: Os testemunhos ou as confissões coercivas não são legalmente permitidos. •

Monitoramento não autorizado ou inadequado: O monitoramento ativo deve ser devidamente autorizado e conduzido de maneira padrão; Os usuários devem ser notificados de que podem estar sujeitos a monitoramento.

Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Escolha dos editores

Escolha dos editores

Filmando fotos em situações especiais com Canon Rebel Série T3 Câmeras - manequins

Filmando fotos em situações especiais com Canon Rebel Série T3 Câmeras - manequins

Finanças Pessoais

ÀS vezes haverá não há problema em tirar o seu Canon Rebel T3 ou T3i fora e tirar fotos com configurações automáticas. A maior parte do tempo, você pode fazer com alguns ajustes simples. Alguns assuntos e situações de filmagem apresentam alguns desafios adicionais que exigem combinações de configurações mais complicadas. ...

Filmando fotos no modo de retrato noturno com uma câmera Canon EOS Rebel T3 - dummies

Filmando fotos no modo de retrato noturno com uma câmera Canon EOS Rebel T3 - dummies

Finanças Pessoais

Como atirar um filme Time-Lapse no Rebel T7i / 800D - dummies

Como atirar um filme Time-Lapse no Rebel T7i / 800D - dummies

Finanças Pessoais

Escolha dos editores

Obtendo o WordPress. org Software - dummies

Obtendo o WordPress. org Software - dummies

Finanças Pessoais

Depois de classificar seu host e domínio do site, você deve baixar e extrair os arquivos do WordPress pela WordPress. org e colocá-los no seu computador. Escolha um lugar que você lembrará, como um diretório de Documentos ou Download. Siga estas etapas: aponte seu navegador para o WordPress. org. A página principal do WordPress aparece. Clique em ...

Google AdSense para Bloggers de Mom - dummies

Google AdSense para Bloggers de Mom - dummies

Finanças Pessoais

Google O AdSense não é uma rede de anúncios orientada para a mãe, nem é A melhor opção de publicidade para a maioria dos blogs da mãe. Há certamente exceções a isso, especialmente se você blogar sobre produtos ou marcas. Todos os blogueiros que exibem publicidade devem ter um provedor de anúncios de backup - e o AdSense é uma ótima solução para essa necessidade. AdSense aprova ...

Relatório de conteúdo principal do google Analytics - dummies

Relatório de conteúdo principal do google Analytics - dummies

Finanças Pessoais

O relatório Top Content é um dos relatórios mais importantes no Google Analytics. Este relatório mostra as postagens mais populares no blog da sua mãe. Seu conteúdo popular dá uma visão do porquê seus leitores chegam até você. Os tópicos dessas postagens indicam o que as pessoas gostam, mesmo quando não comentam. Para visualizar ...

Escolha dos editores

Como fazer uma imagem disparar um link - as manequins

Como fazer uma imagem disparar um link - as manequins

Mídia social

Usam imagens para navegação . Eles são mais bonitos que os links de texto simples, e você pode adicionar a forma e a função na sua página com um elemento. Para criar uma imagem que desencadeia um link, você substitui um elemento no lugar do texto ao qual você ancoraria seu link. Esta marcação liga o texto: ...

Como abrir links em novos Windows ou Tabs com HTML5 - dummies

Como abrir links em novos Windows ou Tabs com HTML5 - dummies

Mídia social

O A web funciona porque você pode vincular páginas em seu site para páginas nos sites de outras pessoas usando um elemento de âncora simples. Quando você liga para o site de outra pessoa, você envia usuários para longe de seu próprio site. Para manter os usuários no seu site, HTML pode abrir a página vinculada em uma nova janela ...

Como criar tabelas em HTML5 - dummies

Como criar tabelas em HTML5 - dummies

Mídia social

O recipiente de marcação primária para tabelas em HTML é a tabela elemento. Ou seja, você usa a tag de abertura para denotar o início de uma tabela e você adiciona a tag de fechamento para encerrá-la. Além disso, os blocos de construção básicos para dados de tabela em HTML são a linha da tabela ( ) e os dados da tabela ...

Escolha dos editores

Escolha dos editores

Categorias populares

© Copyright por.blender3dtutorials.com, 2024 Novembro | Sobre o site | Contatos | Política de Privacidade.