8.4 Utredning

Hur går vi vidare

  • För att effektivt hantera en allvarlig händelse behövs en insatsgrupp, ett incidenthanteringsteam med olika kompetens. Teamet behöver bl.a.

  • Kunskaper om gällande lagar och förordningar, civilrättsliga avtal, samt organisationsaspekterm, regler och procedurer.

  • Kunskap om aktuell teknisk plattform, nätarkitektur och andra lokala förhållanden.

  • Kunskap om berörda applikationer.

  • Kunskap om nätverkstrafik och nätverkstrafikloggar

  • Kunskap om säkerhet.

  • Kunskap om hur incidenter utreds - insamlande och analys av data

  • Befogenhet att fatta beslut om de åtgärder som krävs. Ett säkerhetsteam (CSIRT/IRT) bör ledas av någon som har tillräckliga befogenheter och resurser att besluta om driftstopp, polisanmälningar eller användning av externa experter. Andra nödvändiga resurser att ta i anspråk kan vara.

  • Juridisk expertis.

  • Informations- och mediaansvariga.

  • Någon som kan se till att incidenten dokumenteras. De verktyg som finns för att hjälpa till vid utredning av incidenter, kräver en del förkunskaper. Det gör att man bör bekanta sig med verktygen i förväg så att man kan använda dem effektivt när det behövs. En forensics-undersökning bör helst ske på datorer som inte stängts av men även på datorer som har stängts av går det att hitta information. De 3 första stegen i att hantera en Forensics undersökning är

Säkra och isolera.

  • Ett första steg om möjligt är att ta bort systemet från nätet genom att t.ex. dra ur nätverkskabeln.

Dokumentera

  • Ta fram papper och skaffa dig en uppfattning om situtionen. Vilket system är drabbat, anteckna tid, datum, vem som upptäckte intrånget. Fortsätt från och med nu att anteckna allt som sker med systemet.

Leta efter spår/bevis.

  • Avaktivera alla antivirus/spyware-program under undersökningen (annars kommer intressanta filer att försvinna framför ögonen på dig)

  • Det är nu som du tar fram en CD med program som samlar in data och sparar. Montera CD och starta insamlingsprogrammet som genomsöker systemet, samlar in information och sparar. När detta är klart kan du fortsätta med att analysera dessa efter spår.

Datainsamling på system med intrång

  • Möjligheten att återskapa data är naturligtvis av intresse för alla som förlorat data men när det gäller forensics-analys kan detta få en annan betydelse. Plötsligt kan det som andra kastat bort bli en viktig del i att kunna förstå vad som har hänt i det förflutna. Dokumentera även sådant som just då känns onödigt, som "listade alla filer i bibliotek X", när du två dagar senare går igenom dina anteckningar, så slipper du fundera på "Kom vi verkligen ihåg att titta i det biblioteket?". Man kan välja att dokumentera på dator, eller en bandspelare, men papper är att föredra, eftersom det går långsammare, och då det är lättare att behålla ett lugnt tempo i en ofta stressad situation. Om man tar en PC, så kan det vara så enkelt som att ändra på en flagga för att återfå en fil och hoppas att den inte skrivits över. I unix är det lite mera komplicerat, även om data inte tas bort när man tar bort en fil så förlorar man kunskapen om var data ligger på hårddisken. Till hjälp med detta finns program som tar tillbaka tidigare raderade filer, för Windows se Norton Utilities och för unix se The Coroners Toolkit (TCT) (http://www.first.org/conference/2007/papers/venema-wietse-slides.pdf eller
    http://www.porcupine.org/forensics/) och programmen unrm, Lazarus.
    Tyvärr klarar inte 'unrm/lazarus' kombinationen återskapandet av borttagna filer som Norton Utilities på PC.

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt