DFIR, czyli informatyka śledcza, to wyspecjalizowana dziedzina IT, która łączy w sobie informatykę kryminalistyczną (DF – Digital Forensic) oraz reagowanie na incydenty (IR – Incident Response). Zajmuje się analizą danych w celu wykrycia i udokumentowania ataków, sabotaży, oszustw, włamań oraz innych incydentów cyberbezpieczeństwa. Specjaliści DFIR znajdują zatrudnienie w policji i służbach specjalnych, zespołach SOC/CSIRT oraz w dojrzałych organizacjach przetwarzających krytyczne dane. Nierzadko działają także jako niezależne jednostki – freelancerzy.

 

Powtarzające się ataki mogą skutecznie uniemożliwić prowadzenie biznesu, dlatego z usług DFIR korzystają także mniejsze firmy. Informatyka śledcza przydaje się również w przypadku podejrzenia szkodliwej działalności pracowników (tzw. insiderów). Dowody na zamierzone działanie na szkodę firmy mogą wyjaśnić np. liczne wycieki firmowych danych.

 

Od specjalistów DFIR wymaga się zarówno dużej wiedzy technicznej, jak i prawnej. Czasami pełnią rolę biegłych sądowych. Informatycy śledczy w swojej pracy kierują się definicjami przestępstw komputerowych opisanymi w konwencji Rady Europy ETS 185 (tzw. konwencja budapesztańska) oraz treścią innych zapisów prawnych, w zależności od sprawy (np. Ustawa o Krajowym Systemie Cyberbezpieczeństwa, dyrektywa RODO).

 

Informatyka śledcza jest zdecydowanie potrzebną i szybko rozwijającą się dziedziną. Przyjrzyjmy się temu, w jaki sposób specjaliści analizują poszczególne sprawy.

   

Eksperci DFIR działają zgodnie z ustalonymi procedurami. Zachowanie odpowiedniej kolejności działań jest wymagane z uwagi na bezpieczeństwo danych oraz niepodważalność całego procesu.

 

Etap pierwszy – zabezpieczenie nośników danych

 

Wytypowanie i zabezpieczenie nośników danych, które mogą zawierać dowody w sprawie, jest pierwszym krokiem w procesie informatyki śledczej. Mogą to być dyski twarde komputerów, serwery, urządzenia sieciowe czy urządzenia mobilne. Oprócz pamięci masowej specjaliści zabezpieczają także konta w mediach społecznościowych, SMS-y i skrzynki poczty elektronicznej. W szczególnie poważnych przypadkach zabezpiecza się także przestrzeń fizyczną np. biura lub serwerownie, uniemożliwiając korzystanie z tych pomieszczeń osobom postronnym.

 

Etap drugi – przetwarzanie danych w celu analizy

 

Dane pobiera się poprzez wykonywanie bitowych kopii zapasowych nośników, obrazów systemów i przechwytywania zapisów w dziennikach logów serwerów i firewalli.

 

Etap trzeci – sprawdzenie i weryfikacja pobranych danych przy zachowaniu szczególnej ostrożności

 

Specjaliści DFIR potwierdzają integralność i kompletność danych. Wszystkie czynności wykonuje się na kopiach, a każde działanie jest dokładnie dokumentowane.

 

Etap czwarty – wyliczenie sumy kontrolnej

 

Wygenerowanie sumy kontrolnej dla pozyskanych plików jest w informatyce śledczej możliwe dzięki zastosowaniu narzędzi wykorzystujących klucze kryptograficzne, np.: MD5, SHA-1 lub SHA-256. Zachowanie sumy kontrolnej pozwoli w późniejszych etapach kontrolować integralność danych i da pewność, że informacje nie zostały zmodyfikowane w trakcie analizy lub dochodzenia.

 

Etap piąty – analiza i stworzenie podsumowującego raportu specjalistycznego

 

Analiza powłamaniowa pomoże firmie podjąć kroki w celu usunięcia podatności i naprawy systemów. Wskaże także obszary sieci, które wymagają dokładniejszej ochrony. Ten etap kończy się często stworzeniem szczegółowego raportu, który powinien wyznaczać kierunku rozwoju organizacji.

 

W raporcie tworzonym przez specjalistów DFIR zawarte są zebrane dowody wraz z wykazem narzędzi i metodologii wykorzystanych do ich pobrania. Raport powinien przedstawiać także wnioski z analizy: np. argumentację dotyczącą wpływu przedstawianych działań na skuteczność ataku czy wycieku danych. Dokumenty są prezentowane w taki sposób, by pozyskane dane były zrozumiałe dla osób niebędących ekspertami IT.

 

Etap szósty – rozprawa sądowa

 

Jeśli dochodzi do rozpraw sądowych, zespoły specjalistów DFIR współpracują z prawnikami w celu zrozumienia kontekstu prawnego i wybrania korzystnej drogi obrony lub oskarżenia. Sami specjaliści mogą być także wezwani do złożenia zeznań w trakcie śledztwa oraz rozprawy. Obrona sprawców może podważać wykorzystane metody lub narzędzia, dlatego tak ważna jest dbałość o kompletność i integralność danych.

 

Przedstawione powyżej etapy dotyczą najbardziej drastycznych przypadków, gdy informatyka śledcza wykorzystywana jest do pozyskania dowodów dla postępowania sądowego. Specjaliści DFIR pomagają jednak firmom także w mniej ekstremalnych przypadkach, przyczyniając się tym samym do poprawy bezpieczeństwa w organizacji.

   

Eksperci DFRI, oprócz zabezpieczania i przetwarzania dowodów, zajmują się także reagowaniem na incydenty. Tego rodzaju pomoc jest nieoceniona w przypadku przedsiębiorstwa, które właśnie doświadcza ataku. Pozwala przede wszystkim upewnić się, że systemy faktycznie zostały zainfekowane, rozpoznać rodzaj zagrożenia i przeanalizować skalę problemu. Eksperci DFRI mogą także przywrócić dane znajdujące się na zniszczonych nośnikach oraz odzyskać usunięte lub ukryte pliki, wiadomości i informacje.

 

Pomocy specjalistów DFIR należy szukać w strukturach SOC, czyli Security Operations Center. To zespoły ekspertów o zróżnicowanych kompetencjach, monitorujące ruch sieciowy w firmie przez całą dobę. Każdy zespół SOC składa się z kilku linii wsparcia. Do takich zadań, jak DFIR, oddelegowani są zawsze najbardziej doświadczeni i wyszkoleni w tym kierunku specjaliści IT. Pracując w zgodzie z najlepszymi standardami i wykorzystując narzędzia do automatyzacji pracy, takie jak platformy SIEM/SOAR, są oni w stanie zatrzymać niemal każdy atak cybernetyczny.

 

Usługi DFIR, a także analiza powłamaniowa, testy penetracyjne i doradztwo IT są dostępne w ramach usług profesjonalnych IT, które polecane są organizacjom każdej wielkości.

 

Z uwagi na współczesne cyberzagrożenia dziedzina DFIR będzie nabierać coraz większego znaczenia. Różne konflikty, takie jak wojna w Ukrainie czy starcia na Bliskim Wschodzie, niosą realne zagrożenie cybernetyczne dla całego świata. Ofiarami ataków hakerskich pada zarówno infrastruktura krytyczna, rządowe witryny, jak i prywatne firmy oraz korporacje. Wiedza na temat źródeł i metod ataku pozwoli zapobiegać kolejnym incydentom w przyszłości.