Come si fa un'indagine sulla rete legale forense senza alcuna conoscenza preliminare?

1

Mi viene chiesto di eseguire un'indagine forense su una rete. Il motivo è che negli ultimi mesi stanno accadendo cose strane sulla rete. Le VLAN vengono eliminate, vengono apportate modifiche alla configurazione e si verificano tutti i tipi di modifiche sui dispositivi di rete. L'IT spazia dai Firewall, al dispositivo SSL VPN e fino agli switch. Gli amministratori di sistema si sentono come se fossero stati giocati, e mi è stato chiesto di vedere se riesco a trovare qualcosa (questa non è stata etichettata come una vera "indagine forense" dal momento che non sono un investigatore forense, ma mi è stato semplicemente chiesto di darmi miglior sforzo su questo).

La domanda è, come faccio a farlo? Tutto appena arriva alla raccolta dei log e alla ricerca di eventi nel periodo in cui l'azienda ha avvertito i cambiamenti? Esiste una metodologia di base "for-dummies"? Questo tipo di indagine è un compito facile o è uno sforzo noioso e noioso che richiede tempo?

    
posta Franko 05.03.2013 - 16:59
fonte

4 risposte

4

OK. Prometto che non sto cercando di essere cattivo con questo.

Per parafrasare la domanda: come faccio ad eseguire l'analisi forense senza esperienza precedente?

Non lo fai. Seriamente. Ci sono libri di manichini disponibili che toccheranno le basi e ci sono un certo numero di siti web che ti guideranno attraverso situazioni comuni ma per eseguire qualsiasi analisi forense difensiva avrai bisogno dell'addestramento e della documentazione corretti.

Al punto di ' questo non è stato etichettato come una vera "indagine forense" '; forse no, ma potrebbe e c'è una reale possibilità che tu possa modificare i dati probatori nelle tue analisi. Se dovesse diventare un'indagine "reale", potresti trovarti in una brutta situazione.

-IF- hai capito per iscritto che non si è mai trattato di un problema legale, con un'indennità completa per te, quindi prendi una copia di Computer Forensics for Dummies e prendi una palla.

    
risposta data 05.03.2013 - 17:07
fonte
3

Un'inchiesta forense implica la conservazione dei dati per le future forze dell'ordine, non sembra che ti venga chiesto di farlo, ma sembra che ti venga chiesto di indagare e risolvere i problemi di sicurezza sulla tua rete che stanno causando problemi. Questa è solo una semplice vecchia recensione. Se si aspettano che tu faccia una vera indagine forense, allora digli di no, non sei attrezzato per questo e potresti metterti nei guai se lo fai male.

Per quanto riguarda ciò che comporterà e quanto tempo ci vorrà, a questi non si può rispondere dato che ci sono troppe dipendenze. Se puoi ottenerlo, dipende dal fatto che la tua azienda stia effettivamente acquisendo i dati di cui hai bisogno.

Mi avvicinerei a questo:

  1. ottenere un elenco di origini dati di sicurezza disponibili: registri, sistemi IDS / IPS
  2. ottieni un elenco di eventi: quando la gente pensa che questi strani eventi siano accaduti? Cos'altro stava succedendo in quel momento? Gli strani avvenimenti possono essere collegati? Ad esempio, qualcuno ha lasciato l'azienda per il momento in cui sono iniziate le cose strane?
  3. arruolare l'assistenza di specialisti tecnici per aiutarti a risolvere tutto. Usali per dettagliare cosa può aver causato i problemi. Se non hai esperienza nelle tecnologie, avrai bisogno del loro aiuto, ed è nel loro migliore interesse aiutarti a risolvere i problemi. Convincili a tradurre le possibilità tecniche in query eseguibili che puoi utilizzare per cercare le tue fonti di dati per indizi
  4. Possibilità di mappare le fonti e le tempistiche dei dati: è semplicemente improbabile che i registri relativi al tempo in cui "le cose hanno iniziato a succedere" abbiano esito positivo, è necessario sapere che cosa si sta cercando. Utilizza le query sviluppate dai tuoi specialisti tecnici per focalizzare la ricerca
risposta data 05.03.2013 - 17:48
fonte
0

Lascia che ti aiuti se fossi nei tuoi panni andrei a chiedere agli amministratori dei dispositivi di rete le recenti modifiche e le richieste di revisione delle procedure di controllo degli accessi e di gestione delle password. Quali sintomi si stanno trombando è normale, considerando il ritmo e le operazioni di un'organizzazione. Non hai bisogno di forense a meno che le tue scatole non siano possedute da un worm intelligente che è praticamente assente nei vettori di attacco attuali contro i deviatori della rete top line a meno che non stiamo parlando di roba cinese zte o huwaei per quella materia.

Se vuoi vincere velocemente, metti una buona casella di identificazione di fronte al core fw e lascia che veda tutto il traffico se sceglie qualcosa che lo riguarda con i tuoi sintomi di attacco.

    
risposta data 05.03.2013 - 18:00
fonte
-1

La cosa migliore che puoi fare è ottenere un elenco di tutti gli utenti privilegiati da ciascun dispositivo di rete. Convalidare tale elenco con il responsabile delle operazioni di rete o chiunque sia responsabile della rete. Infine, imponi una modifica della password per tutti gli account, inclusi gli account amministrativi integrati.

    
risposta data 05.03.2013 - 17:02
fonte

Leggi altre domande sui tag