1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Lan-Local Area Networks >>

Nettverksadministratorer lede til rettsmedisinske første response

Tiden mellom oppdagelsen av en hendelse og overlevering av digitale bevis er avgjørende for muligheten for vellykket bevis henting. Mishandlet bevis, om det skal brukes i retten eller utelukkende i huset, kan skade integriteten til etterforskningen. For eksempel vil visning pornografiske bilder som er lastet ned til en ansatt datamaskin endre tid /dato stempel. Hvis dette skjer, er det ingen måte å bevise at det var den ansatte som lastet ned bildene og ikke nettverksadministratoren.

Det mest kritiske bekymring, da, er å lage den mest konstruktive omgivelser mulig for den rettsmedisinske sensor. Følgende punkter vil diskutere viktige hensyn for administratoren å opptre i et første responder rolle for å opprettholde integriteten til bevis og ansvarlighet.

Unngå FUD

FUD vil sikkert være noen av dine første reaksjoner, spesielt i tilfelle av et nettverk innbrudd. Det er viktig å huske at du ikke er den første som dette har skjedd med og ikke handle overilt. For eksempel, hvis du oppdager at et system har blitt hacket inn, kan det være din første reaksjon å få panikk og trekke nettverkskabel. Selv om dette kan stoppe angrepet, kan det utløse en hevn rutine plantet av hacker og forårsake ytterligere skader. Ved å ta deg tid til å etterforske og ta kontakt med en spesialist, kan du spare systemet fra uopprettelig skade.

Fest mistenkt enheter

Det er viktig å kontrollere tilgangen til enheten eller enhetene som er mistenkt for å være bevis eller som blir kompromittert. Normalt er dette oppnås ved å holde elementer under observasjon inntil kvalifisert lettelse kommer, men dette kan også gjøres over lengre perioder av gangen ved å holde enheter under lås og nøkkel. Det er viktig å huske på å kontrollere alle sekundære lagrings elementer også. Dette inkluderer diskettstasjoner, CDer og flash media. Det er verdt å merke seg at nylig iPods og lignende publikummere har blitt brukt for diskret datalagring og bør absolutt bli behandlet som mistenkt.

Tenk juridiske aspekter

En av de viktigste hensyn er å beskytte deg selv og din bedrift fra rettslige skritt. Den fjerde og femte endringer kan gjelde i ditt tilfelle, som omtalt i Justisdepartementet rapport om databeslag. Dessuten lover vil variere fra stat til stat, så er det viktig å sjekke med den juridiske avdelingen eller juridisk representasjon før forfølge en mistanke om lovbrudd.

Mye av dette kan unngås gjennom politiske bokstaver og system bannere som vil tydelig selskapets policy på datainnsamling og avskjæring, samt definere akseptabel bruk. Vær advart imidlertid at selv med politiske bokstaver og en erklæring om forståelse, trenger du vanligvis ikke har tillatelse til å tilfeldig eller kontinuerlig overvåke elektronisk kommunikasjon. Enhver overvåking som er gjort skal dokumenteres og begrunnes skriftlig.

Skriv ned all kjent informasjon om systemet

Når nettverket er under angrep, er det vanskelig å vite når man ikke skal handle. Mens du venter på ytterligere veiledning, vil det hjelpe etterforsker en god del hvis relevant informasjon samles inn og forberedt så snart som mulig. Notatene bør inkludere IP-adresse, systemet tid i forhold til " vegg tid " (med andre ord, systemet tid, og merk deg noen utlignet med faktisk klokketid), navnet på datamaskinen, kjører tjenester eller programmer, samt all relevant informasjon om kriminalitet. Dette bør omfatte hvordan problemet ble oppdaget, av hvem og når. Det er også verdt å merke seg den primære bruken av systemet, som en e-postserver vil definitivt bli behandlet annerledes enn en arbeidsstasjon!

Record alle handlinger foretatt etter oppdagelsen

Dette er det punktet hvor en kjede av varetekt begynner. Alle handlinger som du tar kan bli kalt inn spørsmålet om hvordan de kan ha påvirket gyldigheten av gjenvunnet bevis.

Dine handlinger bør registreres for å inkludere dato /tid, vitner, etc., som begynner med når du ble klar over hendelsen og skal dokumentere helst at systemet eller bevis ble flyttet eller endret hender. Det er viktig å merke seg helst at systemet var igjen alene, selv om dette ikke bør skje når som helst.

Ikke bli fristet til å starte etterforskningen selv

Om ikke annet, er dette viktig. Du kan bli fristet til å begynne å lese filer eller Web historier, men ikke gjør det. Mens du kan være i stand til å finne den informasjonen du leter etter, er noe bevis samlet ikke lenger tillatelig i retten, bør det være nødvendig. Videre kan det være lett omstridt hvis benyttet grunnlag for sysselsetting oppsigelse.

Ikke endre tilstanden i systemet

Hvis systemet er av, la den av. Likeledes, hvis systemet er på, la den på. Endre tilstanden til systemet kan ødelegge verdifull potensielle bevis. For eksempel vil enkelte operativsystemer fjerne swap fil på restart, og slå av systemet vil lukke alle programmer som kjører. Dessuten kan systemer være " booby fanget " med oppstartsrutiner laget for å ødelegge eller endre data.

Deaktiver virusbeskyttelse
Selv et viktig verktøy for nettverkssikkerhet, virusbeskyttelse kan være et mareritt for den rettsmedisinske sensor. Mens du utfører en skanning, den virusprogrammet vil i praksis få tilgang til hver fil. Dette kan ikke bare endre tid /dato-stempel av kritiske mistenkt filer, men visse verktøy som Norton Antivirus vil automatisk oppdage og fjerne " hacke verktøy " som standard, noe som kan være avgjørende for etterforskningen.

Det er viktig å stoppe alle påtrengende tjenester som virusskannere så snart som mulig.

Tenk isolasjon

Hvis det er et angrep pågår, er det viktig å veie verdien av potensialet " live " bevis mot risikoen for en opptrapping. Dette skal diskuteres med den rettsmedisinske sensor eller Incident Response Team så snart som mulig for å finne det beste løpet av handlingen.

Isolere et system fra nettverket er vanligvis bare gjøres i tilfeller av innbruddsforsøk eller virusaktivitet, men det bør bemerkes at nettverksaktivitet kunne overskrive data i visse tilfeller.

Rollen til første responder kan sammenlignes med den rollen som en paramedic. Din første jobb er å unngå å forårsake ytterligere skade, mens på samme tid å koordinere videre faglig støtte. Ved å holde et nivå hodet og klare retningslinjer, vil ingen hendelse være en katastrofe.

Chris Cox er en nettverksadministrator for den amerikanske hæren, basert i Fort Irwin, California.