Maturitní témata SSPŠ oboru KB

20. Forenzní analýza

3 min čtení

20. Forenzní analýza

Co se po vás bude chtít?

Úvod do digitální forenzní analýzy

  • Co je digitální forenzní analýza:

    • Vědecká disciplína zabývající se sběrem a analýzou digitálních důkazů
    • Využití při vyšetřování kybernetických incidentů
    • Podpora právních řízení a interních vyšetřování

  • Cíle forenzní analýzy:

    • Identifikace bezpečnostního incidentu
    • Určení rozsahu kompromitace
    • Zjištění způsobu útoku
    • Identifikace útočníka
    • Obnova časové osy událostí

  • Typy forenzní analýzy:

    • Počítačová forenzika - analýza počítačů, disků, souborů
    • Síťová forenzika - analýza síťového provozu
    • Mobilní forenzika - analýza mobilních zařízení
    • Cloudová forenzika - analýza cloudových prostředí
    • Paměťová forenzika - analýza operační paměti (RAM)

Sběr a uchování důkazů

  • Metody sběru důkazů:

    • Live acquisition - sběr z běžícího systému
    • Dead acquisition - sběr z vypnutého systému
    • Vytváření forenzních obrazů (images)
    • Bitová kopie vs logická kopie

  • Zachování integrity:

    • Výpočet a ověření hashů (MD5, SHA-256)
    • Write-blockery pro zabránění změnám
    • Práce s kopiemi, nikdy s originálem

Analýza logů

  • Typy logů:

    • Systémové logy - události operačního systému
    • Aplikační logy - logy jednotlivých aplikací
    • Bezpečnostní logy - přihlášení, pokusy o přístup
    • Síťové logy - firewall, proxy, IDS/IPS
    • Webové logy - access log, error log

  • Logy v Linuxu:

    • /var/log/ - hlavní adresář logů
    • /var/log/syslog nebo /var/log/messages
    • /var/log/auth.log - autentizace
    • /var/log/secure - bezpečnostní události
    • journalctl - systemd journal

  • Logy ve Windows:

    • Event Viewer (Prohlížeč událostí)
    • Security, System, Application logy
    • PowerShell a command history

  • Analýza logů:

    • Hledání anomálií a podezřelých vzorců
    • Korelace událostí z různých zdrojů
    • Sestavení časové osy (timeline)

Forenzní nástroje

  • Vytváření obrazů:

    • dd - základní nástroj pro vytváření kopií
    • dcfldd - rozšířená verze dd s hashováním
    • FTK Imager - GUI nástroj pro Windows

  • Analýza souborových systémů:

    • Autopsy - open-source forenzní platforma
    • Sleuth Kit - sada CLI nástrojů
    • FTK (Forensic Toolkit)
    • EnCase

  • Analýza paměti:

    • Volatility - framework pro analýzu RAM
    • Rekall - alternativa k Volatility

  • Síťová forenzika:

    • Wireshark - analýza pcap souborů

Forenzní postupy

  • Identifikace:

    • Rozpoznání bezpečnostního incidentu
    • Určení rozsahu a priority

  • Izolace:

    • Odpojení kompromitovaných systémů
    • Zabránění dalšímu šíření

  • Sběr:

    • Sběr volatilních dat
    • Vytvoření forenzních obrazů
    • Dokumentace prostředí

  • Analýza:

    • Zkoumání shromážděných důkazů
    • Rekonstrukce událostí
    • Identifikace IOC (Indicators of Compromise)

  • Dokumentace:

    • Podrobný záznam všech kroků
    • Zachování řetězce důkazní hodnoty
    • Příprava reportu

Indicators of Compromise (IOC)

  • Typy IOC:

    • IP adresy a domény
    • Hashe souborů (malware)
    • URL adresy
    • E-mailové adresy
    • Registry klíče
    • Názvy souborů a cesty

  • Sdílení IOC:

    • STIX/TAXII formáty
    • Threat intelligence platformy
    • MISP (Malware Information Sharing Platform)

Dokumentace a reporting

  • Obsah forenzního reportu:
    • Executive summary
    • Metodologie
    • Časová osa událostí
    • Nalezené důkazy
    • Závěry a doporučení

Připrav se na HAXAGONu

Analýza síťového provozu:

  • Analýza síťového provozu - úvod
  • Analýza síťového provozu - pokročilý
  • Diagnostika a oprava sítě

Pro forenzní analýzu paměti RAM:

Battlefield:

  • Busted

Příchozí odkazy