Triage – szybsza droga do celu w informatyce śledczej

Podejście triage cieszy się coraz większą popularnością w dziedzinie informatyki śledczej. Nazwa ta pochodzi od stosowanej w medycynie ratunkowej procedury selekcji poszkodowanych w wypadkach masowych. W informatyce śledczej terminem triage określa się podejście polegające na wybraniu i zabezpieczeniu tylko tych danych, które są istotne dla sprawy. Innymi słowy jest to kategoryzacja informacji wykonywana przed przystąpieniem do czasochłonnej operacji kopiowania danych.

Zastosowanie opisywanego rozwiązania pozwala znacznie ograniczyć czas potrzebny na zabezpieczenie i analizę, zredukować wolumen danych i w efekcie znacząco obniżyć koszty.

Na czym polega podejście triage?

Przed przeprowadzeniem zabezpieczenia według metodyki triage, ekspert konfiguruje specjalne oprogramowanie pod kątem wymagań danej sprawy – ustala kryteria, według których dane zostaną zakwalifikowane, jako istotne. Oprogramowanie do wykonywania zabezpieczeń według metodyki triage można skonfigurować pod kątem typu pliku, rozmiaru, dat modyfikacji czy obecności określonych słów kluczowych w treści.

Następnie oprogramowanie na dysku zewnętrznym jest podłączane do każdego z podejrzanych komputerów. Aplikacja odnajduje dane według określonych kryteriów i wykonuje ich zabezpieczenie. Wcześniejsze skonfigurowanie oprogramowania przez eksperta znającego tematykę zadania pozwala na zautomatyzowane procesu – aplikację może obsłużyć osoba po zaledwie podstawowym przeszkoleniu.

Decyzja o tym jakie dane zostaną zabezpieczone należy do eksperta konfigurującego oprogramowanie triage. Zarówno można zabezpieczyć pojedyncze pliki spełniające określone kryteria z wielu komputerów jak również można wybrać niektóre komputery do pełnego zabezpieczenia metodą tradycyjną.

Triage w praktyce – akcja śląskiej policji

Dobrym przykładem efektywnego zastosowania opisywanego podejścia jest akcja śląskiej policji. Pracownicy pewnej firmy pobierali nielegalne treści z sieci internet. Firma posiadała ponad 100 komputerów. Policjanci w asyście informatyków śledczych zastosowali podejście triage, które pozwoliło wytypować jedynie 10 komputerów do pełnego zabezpieczenia. Zastosowanie opisywanej metodyki pozwoliło zredukować liczbę analizowanych danych o 90%. Gdyby policja zastosowała tradycyjne podejście zabezpieczenie trwałoby znacznie dłużej a firma zostałaby czasowo sparaliżowana.

Triage i live forensic

Ciekawym rozwiązaniem jest połączenie podejścia triage i metodyki live forensic, czyli wykonania zabezpieczenia prowadzonego na działającym komputerze. Live forensic wprawdzie odchodzi od klasycznej złotej zasady informatyki śledczej, polegającej na unikaniu jakiejkolwiek ingerencji śledczego w zabezpieczane dane, jednak pozwala uzyskać dostęp do zasobów nieosiągalnych po wyłączeniu komputera i zabezpieczeniu off line, takich jak dane przetrzymywane w chmurze, dane szyfrowane czy pamięć RAM. W niektórych wypadkach live forensic staje się więc jedyną dostępną metodą zabezpieczenia, ponieważ systemu nie można wyłączyć, na przykład wtedy gdy występuje szyfrowanie dysku twardego i nie ma dostępu do klucza deszyfrującego.

Warto dodać, że materiały pozyskiwane z działających systemów komputerowych stanowią nowy standard dowodowy, z którym funkcjonujący wymiar sprawiedliwości będzie spotykał się coraz częściej. Należy jednak pamiętać, że wszelkie czynności wykonywane przez śledczego na zabezpieczanym komputerze muszą być starannie dokumentowane. Użycie rozpoznawalnego, dedykowanego oprogramowania zgodnego z metodyką triage pozwala przedstawić odpowiednią dokumentację i w efekcie dostarczyć bardziej wiarygodne dowody.

Triage – Zalety

Podsumowując, podejście triage pozwala:

  • zredukować wolumen danych oraz czas potrzebny na zabezpieczenie i późniejszą analizę,
  • skorzystać z pomocy mniej wyszkolonego personelu podczas zabezpieczenia (wiedza eksperta konieczna na etapie konfigurowania aplikacji i analizy),
  • efektywnie rozwiązywać problem zabezpieczeń dużej liczby komputerów,
  • uzyskać dostęp do większej liczby źródeł danych, takich jak dane ulotne, zasoby zewnętrzne i informacje szyfrowane,
  • znacznie ograniczyć koszty i czas prowadzonego postępowania.

Źródła:

Podobne wpisy

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *