Lar Finanças Pessoais Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Índice:

Vídeo: Projeto MUFFIN de Resposta a Incidentes - Tony Rodrigues - Workshop SegInfo 2011 2025

Vídeo: Projeto MUFFIN de Resposta a Incidentes - Tony Rodrigues - Workshop SegInfo 2011 2025
Anonim

Computer forensics envolve a realização de uma investigação para determinar o que aconteceu, descobrir quem é responsável e coletar legalmente provas admissíveis para uso em um caso de crime informático.

Estreitamente relacionado, mas distintamente diferente das investigações, é a resposta ao incidente. O objetivo de uma investigação é determinar o que aconteceu, determinar quem é responsável e coletar provas. Resposta a incidentes determina o que aconteceu, contém e avalia danos e restaura as operações normais.

As investigações e a resposta a incidentes devem ser conduzidas simultaneamente de forma bem coordenada e controlada para garantir que as ações iniciais de qualquer das atividades não destroem evidências ou causem danos adicionais aos ativos da organização. Por esse motivo, as Equipes de Resposta ao Incidente de Computador (ou Emergência) (CIRT ou CERT, respectivamente) precisam ser devidamente treinadas e qualificadas para garantir uma cena ou incidente do crime, preservando evidências. Idealmente, o CIRT inclui indivíduos que conduzem a investigação.

Realização de investigações

Uma investigação de crime informático deve começar imediatamente após o relatório de um presunto crime informático ou incidente. Inicialmente, qualquer incidente deve ser tratado como uma investigação de crime informático até que uma investigação preliminar determine o contrário. Os passos gerais a serem seguidos no processo de investigação são os seguintes:

  • Detectar e conter: A detecção precoce é fundamental para uma investigação bem-sucedida. Infelizmente, as técnicas de detecção passiva ou reativa (como a revisão de trilhas de auditoria e descoberta acidental) geralmente são a norma em crimes de computador e, muitas vezes, deixam uma fuga de fatos. A contenção é essencial para minimizar mais perdas ou danos.
  • Gerenciamento de notificação: O gerenciamento deve ser notificado de qualquer investigação o mais rápido possível. O conhecimento da investigação deve limitar-se ao menor número possível de pessoas e deve ser feito com base em necessidade de conhecimento. Os métodos de comunicação fora da banda (relatório em pessoa) devem ser usados ​​para garantir que as comunicações sensíveis sobre a investigação não sejam interceptadas.
  • Comece a investigação preliminar: Isto é necessário para determinar se um crime realmente ocorreu. A maioria dos incidentes são erros honestos, e não uma conduta criminal. Esta etapa inclui

• Revisão da queixa ou relatório

• Inspeção de danos

• Entrevistas de testemunhas

• Registro de registros

• Identificação de novos requisitos de investigação

  • Iniciando a determinação da divulgação: O primeiro e a coisa mais importante a determinar é se a lei revela o crime ou o incidente.Em seguida, determine se a divulgação é desejada. Isso deve ser coordenado com um funcionário de relações públicas ou assuntos públicos da organização.
  • Realize a investigação:

Identifique possíveis suspeitos. Isso inclui insiders e estrangeiros para a organização. Um discriminador padrão para ajudar a determinar ou eliminar possíveis suspeitos é o teste MOM: o suspeito tem motivo, oportunidade e meios para cometer o crime?

Identificar potenciais testemunhas. Determine quem deve ser entrevistado e quem realizará as entrevistas. Tenha cuidado para não alertar qualquer suspeito potencial para a investigação; concentrar-se na obtenção de fatos, não opiniões, em declarações de testemunhas.

Prepare-se para busca e apreensão. Isso inclui identificar os tipos de sistemas e evidências a serem pesquisados ​​ou apreendidos, designando e treinando os membros da equipe de busca e apreensão (CIRT), obtendo e servindo mandados de busca adequados (se necessário) e determinando o risco potencial para o sistema durante um esforço de busca e apreensão.

  • Resultados do relatório: Os resultados da investigação, incluindo evidências, devem ser reportados ao gerenciamento e entregues aos funcionários responsáveis ​​pela aplicação da lei ou procuradores apropriados.

Evidências

Evidências é uma informação apresentada em um tribunal de justiça para confirmar ou dissipar um fato que está em disputa. Um caso não pode ser julgado sem provas suficientes para apoiar o caso. Assim, reunir adequadamente evidências é uma das tarefas mais importantes e difíceis do investigador.

Tipos de evidência

Fontes de provas legais que podem ser apresentadas em um tribunal de justiça geralmente se enquadram em uma das quatro categorias principais:

  • Prova direta: Este é um testemunho oral ou uma declaração escrita baseada em informações coletadas através dos cinco sentidos da testemunha (uma conta de testemunha ocular) que prova ou refuta um fato ou problema específico.
  • Evidência real (ou física): Estes são objetos tangíveis do crime real, como estes:

• Ferramentas e armas

• Propriedade roubada ou danificada

• Fitas de vigilância visual ou de áudio

    A evidência física de um crime informático raramente está disponível.
  • Prova documental: A maioria das evidências apresentadas em um caso de crime informático são evidências documentais, como as seguintes;

• Originais e cópias de registros comerciais

• Registros gerados por computador e armazenados em computador

• Manuais

• Políticas

• Padrões

• Procedimentos

• Arquivos de registro > Registos de negócios, incluindo registros de computador, são tradicionalmente considerados evidências de boato na maioria dos tribunais porque esses registros não podem ser comprovados e confiáveis. Um dos obstáculos mais significativos para um promotor a superar em um caso de crime informático é buscar a admissão de registros de computador como prova.

    Evidência demonstrativa.
  • Usado para ajudar o entendimento do tribunal sobre um caso. As opiniões são consideradas evidências demonstrativas e podem ser

Especialista: Com base em conhecimentos pessoais e fatos

Nonexpert: Com base em fatos apenas Outros exemplos de demonstrativos A evidência inclui modelos, simulações, gráficos e ilustrações.

    Outros tipos de provas que podem cair em pelo menos uma das principais categorias anteriores incluem

Melhor evidência:

  • Prova original, inalterada. No tribunal, isso é preferido em relação à evidência secundária. Os dados extraídos de um computador satisfazem a melhor regra de evidência e normalmente podem ser introduzidos nos procedimentos judiciais como tal.
  • evidência secundária:
  • Uma cópia duplicada ou cópia de evidência, como • Backup de fita

• Captura de tela

• Fotografia

Evidência corroborativa:

  • Apoia ou comprovou outras evidências apresentadas em um caso. evidência conclusiva:
  • Incontroversível e irrefutável: a arma fumegante. Evidência circunstancial:
  • Fatos relevantes que não podem ser direta ou conclusivamente conectados a outros eventos, mas sobre o qual uma inferência razoável pode ser feita. Admissibilidade da evidência

Como as provas geradas por computador podem ser facilmente manipuladas, alteradas ou adulteradas, e, como elas não são facilmente e comumente entendidas, esse tipo de evidência geralmente é considerado suspeito em um tribunal.

Para ser admissível, a prova deve ser:

Relevante:

  • Deve tender a provar ou refutar fatos relevantes e relevantes para o caso. Confiável:
  • Deve ser razoavelmente comprovado que o que é apresentado como evidência é o que foi originalmente coletado e que a evidência em si é confiável. Isto é realizado, em parte, através do tratamento adequado de evidências e da cadeia de custódia. Legalmente permitido:
  • Deve ser obtido por meios legais. A evidência que não é legalmente permitida pode incluir evidências obtidas através destes meios:

Pesquisa e apreensão ilegais: O pessoal de aplicação da lei deve obter uma ordem judicial anterior; no entanto, pessoal não-policial, como um supervisor ou administrador do sistema, pode realizar uma pesquisa autorizada em algumas circunstâncias. •

Chamadas telefônicas ilegais ou toques de telefone: Qualquer pessoa que realize ligações telefônicas ou toques de telefone deve obter uma ordem judicial anterior. •

Entrapment ou tentativa: Entrapment encoraja alguém a cometer um crime que o indivíduo pode ter não teve intenção de cometer. Por outro lado, tentativa atrai alguém para alguma evidência (um pote de mel, se você quiser) depois que esse indivíduo já cometeu um crime. O engenho não é necessariamente ilegal, mas levanta argumentos éticos e pode não ser admissível no tribunal. •

Coerção: Os testemunhos ou as confissões coercivas não são legalmente permitidos. •

Monitoramento não autorizado ou inadequado: O monitoramento ativo deve ser devidamente autorizado e conduzido de maneira padrão; Os usuários devem ser notificados de que podem estar sujeitos a monitoramento.

Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Escolha dos editores

Dicas para direcionar seu filme digital - manequins

Dicas para direcionar seu filme digital - manequins

Como diretor, é seu trabalho levar o filme a vida através de da maneira como seus atores interpretam os personagens e como a equipe filme cada tiro. O diretor trabalha com os atores e a equipe para obter o melhor deles e certifique-se de que a história seja contada através do que eles fazem. Dirigindo seu ...

Dez Wedding DSLR Filmmaking Techniques - dummies

Dez Wedding DSLR Filmmaking Techniques - dummies

Usando sua DSLR para filmar um casamento geralmente reside no final oposto da peça criativa espectro de fazer seu filme de autor. Aqui estão os dez melhores aspectos que você precisa considerar para mantê-lo vivo ao capturar esse evento único na vida. Tenha o equipamento de vídeo certo Você não poderá fazer um casamento até ...

Dez dicas para filmes documentários DSLR - dummies

Dez dicas para filmes documentários DSLR - dummies

Um documentário é uma conta de filme de não ficção de um tópico. Para fazer seu documentário DSLR de qualquer comprimento e assunto em algo que as pessoas acham interessante, considere estas dez dicas. Conheça o tópico que pretende filmar Se você está fazendo um filme de duração de duas horas ou um vídeo on-line de dois minutos, você precisa ...

Escolha dos editores

Como lucrar com a mamãe Blogando sem vender - manequins

Como lucrar com a mamãe Blogando sem vender - manequins

Vender é um termo usado para comprometendo sua integridade, princípios ou moral para ganhar dinheiro ou sucesso. O problema é que, se todos tivessem os mesmos princípios e a definição de integridade, não haveria muita necessidade de diferentes partidos políticos ou religiões. As pessoas podem ser acusadas de vender se eles simplesmente fazem coisas como ...

Como usar corretamente palavras-chave para sua comunidade online - manequins

Como usar corretamente palavras-chave para sua comunidade online - manequins

Quando você tem uma boa idéia de os tipos de palavras-chave para usar em sua comunidade online, é hora de escrever o conteúdo para que pareça natural. Muitas pessoas pimenta palavras-chave liberalmente em torno de suas postagens de blog, artigos da web, sobre páginas e outros conteúdos, o que parece bobo e errado. Embora o uso de palavras-chave seja bom ...

Como colocar anúncios no seu blog - manequins

Como colocar anúncios no seu blog - manequins

Para obter anúncios no site do seu blog, os programas que você Inscreva-se para fornecer-lhe geralmente um pouco de código que você insere em seus modelos de site. Alguns programas têm instruções passo-a-passo para pacotes populares de software de blog, mas esteja ciente de que você também precisará consultar a documentação do seu blog para obter ajuda com ...

Escolha dos editores

Exibindo Números como palavras no Excel - manequins

Exibindo Números como palavras no Excel - manequins

Se você já precisou exibir um número escrito como texto , você provavelmente descobriu que o Excel não oferece essa função. Quando o Excel não entrega, muitas vezes é possível corrigir a deficiência usando o VBA. Aqui está uma função VBA, denominada SPELLDOLLARS, que você pode usar nas fórmulas da planilha. Exemplos de Excel Aqui estão ...

Determinando a audiência para seu modelo financeiro - manequins

Determinando a audiência para seu modelo financeiro - manequins

Que estará visualizando ou usando seu modelo financeiro no futuro ? Se for apenas para seu próprio uso, você ainda deve seguir um bom modelo de design, mas não há necessidade de passar muito tempo na formatação para que pareça legal. Você ainda deve adicionar suposições e documentação de origem para o seu próprio ...

Eliminando células e dados no Excel 2007 - dummies

Eliminando células e dados no Excel 2007 - dummies

No Microsoft Office Excel 2007, quando você precisa excluir dados , remova a formatação em uma seleção de célula ou remova células inteiras, linhas ou colunas, você tem muitas opções dependendo do seu objetivo. O Excel pode executar dois tipos de exclusões de células em uma planilha: limpar dados de células e excluir a célula. Limpar o conteúdo da célula Limpar apenas ...