Varnost
Forenzika
Sistemska forenzika je postopek, s katerim poskušamo pridobiti podatke iz določenega sistema. Podatki so lahko neposredno dostopni na preiskovanemu sistemi, lahko so pa tudi skriti, pobrisani ali nedostopni zaradi sistemske napake.
Sam postopek je različen glede na to, ali imamo opravka z živim (delujočim) ali mrtvim (nedelujočim) sistemom. Pri forenziki je potrebno upoštevanje osnovnih pravil forenzične metodologije:
- minimiziranje spremeb ali izgube podatkov
- sledljivost in ponovitev postopkov (pri analizi živih sistemov to ni vedno mogoče)
- analiza pridobljenih podatkov
- izdelava poročila
Če gre za Incident Response dogodek, se pravi, da gre za analizo sistema, na katerem je varnostni incident lahko v teku, so tu potrebni še določeni dodatni postopki:
- akvizicija Volatile podatkov (podatkov, ki so prisotni le v tekočem sistemu, kot so podatki o mrežnih povezavah, tekočih procesih, vsebina aktivnega spomina – RAMa)
- potrditev incidenta
- izvedba postopkov, ki so določeni v varnostni politiki organizacije (odklop sistema, nadaljne spremljanje aktivnosti na sistemu,..)
Sam postopek zahteva veliko znanja s področij delovanja podatkovnih sistemov, mrežnih komunikacij ter poznavanja orodij. Četudi obstaja veliko orodij, ki olajšajo pridobitev podatkov, je ključnea pomena, da razumemo kako orodja delujejo in kako smo prišli do rezultatov.
Kdo so uporabniki sistemske forenzike?
To so lahko organizacije, ki so doživele varnostni incident in želijo vedeti, kaj se je na določenem sistemu dogajalo, do katerih podatkov se je nepooblaščeno dostopalo ali spreminjalo, kdo je izvedel varnostni incident.
Stranke v pravdnih postopkih, ki potrebujejo podake iz digitalnih nosilcev podatkov za uporabo v pravdnih postopkih.
Stranke, ki so doživele določene sistemske ali operativne napake in želijo pridobiti izgubljene podatke.
Znanja in reference:
Varnostni pregledi
Pri varnostnih pregledih je pomenbna zelo jasna definicija namena pregleda. Lahko pregledujemo skladnost sistemov z določenimi varnostnimi politikami oz. pravilniki, lahko pa pregledujemo določen sistem z namenom iskanja varnostnih pomankljivosti. Lahko sodelujemo pri izvedbi notranjega varnostnega pregleda ali pri preventivnem varnostnem pregledu. Pregledi se vršijo na posameznih sistemih (strežnik, požarna pregrada, ipd), posamezni storitvi oz. aplikaciji ali pa na delu omrežja.
Znanja in reference:
- certificiran notranji pregledovalec (internal auditor) po BS7799-2 standardu
- Izvedba SANS Auditing Networks, Perimeters & Systems delavnice
- Izvedba SANS Network Penetration Testing and Ethical Hacking delavnice
Varnostni incidenti
Pri varnstnem incidentu je zelo pomembno, da ima organizacija predhodno določen postopek ravnanja v primeru varnostnega incidenta. Kljub temu se pogosto zgodi, da se tega zavemo šele ob neljubem dogodku (podobno kot je zgodba z izdelovanjem varnostnih kopij). V vsakem primeru pa je izredno pomembno, da se ob odkritju varnostnega incidenta nemudoma strokovno lotimo pregleda. V primeru nestrokovnega posega v sistem, je velika verjetnost, da pride do izgube pomembnih podatkov za analizo dogodka. Zelo pomembno je pridobiti vse možne podatke, od log zapisov na požarnih pregradah, IDS/IDP sistemih, kot tudi tiste na samem sistemu ter jih ustrezno analiziramo.
Znanja in reference:
- Izvedba SANS Intrusion Detection In-Depth delavnice
- GIAC certificiran sistemski forenzik (GCFA)
- Izvedba SANS Auditing Networks, Perimeters & Systems delavnice
Požarne pregrade in IDS
Četudi obstaja vrsta različnih produktov požarnih pregrad (firewall), je v osnovi njihovo delovanje precej podobno. Pri Forensis se ukvarjamo predvsem z Juniper Netscreen požarnimi pregradami, lahko vam pa naredimo analizo konfiguracije požarne pregrade (ruleset) ali pa v praksi preverimo skladnost pravil z željeno varnostno politiko. Nudimo tudi podporo za Snort IDS sisteme.
Znanja in reference:
- Izvedba SANS Network Penetration Testing and Ethical Hacking delavnice
- Izvedba SANS Intrusion Detection In-Depth delavnice
- Izvedba SANS Auditing Networks, Perimeters & Systems delavnice
- dolgoletne izkušnje z Juniper Netscreen (ScreenOS) sistemi