8.3tekniskaforberedelser

För att utredningsarbetet skall vara effektivt krävs det goda tekniska förberedelser. Det behövs en uppsättning verktyg som har testats väl i labbmiljö så att man vet exakt hur de fungerar när de skall användas. I en organisation där man har få incidenter som kräver utredning kan det vara nödvändigt att ordna regelbundna labbtillfällen så att personal och checklistor alltid är uppdaterade.

I princip all dator- och nätutrustning kan generera loggar. Det är av stort värde om dessa samlas på en central plats i organisationen dels så att rapporter kan skapas tex dygnsvis men även för att kunna gå tillbaka i tiden i samband med undersökning av incidenter. Vid intrång och liknande är det givetvis också värdefullt att man har loggarna sparade på en server som är separerad från systemet som är utsatt för intrånget, eftersom man inte kan lita på att filerna på det utsatta systemet är oförändrade. Trafikdata, uppgifter om vad på nätet som pratat med vad, är en form av loggar som man också kan ha stor nytta av vid utredning av incidenter. För att ha tillgång till bra sådana data måste man ha implementerat loggningen innan incidenterna sker. Exempel på system som genererar sådana data är flow-loggning från routrar och Argus. Se även Systemutveckling och systemanpassning: Loggning, generella krav

Vid incidenter kan det vara bra att veta vilka filer som är modifierade jämfört med en känd "baslinje". Program som kallar sig något i stil med Intrusion Detection System brukar erbjuda sådan funktionalitet. Ytterligare förklaringar och exempel på program finns på Wikipedia, http://en.wikipedia.org/wiki/Host-based_intrusion_detection_system

Innan incidenter inträffar gäller det också att se till att man har tillgång till de verktyg som man ska använda under utredning och efterarbete. Viktigast är:
Datorer och hårddiskar för kopiering av data från drabbade system.
Program för analys samt kunskap om hur de används.
Se vidare under Kapitel 13 (Länkar)