Программное обеспечение для цифровой криминалистики поможет разобраться во всем, начиная от незначительных нарушений в сети и заканчивая разрушительными кибератаками и проблемами с конфиденциальностью данных.
Новости Донбасса
С момента появления криминалистики данных почти сорок лет назад методы расследования событий безопасности уступили место рынку поставщиков и инструментов, предлагающих программное обеспечение для цифровой криминалистики (DFS).
Хотя существует несколько инструментов с открытым исходным кодом для захвата дисков и данных, сетевого анализа и криминалистической экспертизы конкретных устройств, все больше поставщиков используют общедоступные инструменты. По мере того, как киберпреступность процветает и развивается, организациям требуется ряд инструментов для защиты от инцидентов и расследования инцидентов.
В этой статье рассматриваются лучшие программные инструменты цифровой криминалистики и реагирования на инциденты (DFIR), а также то, что клиенты должны учитывать при покупке или приобретении таких инструментов. Мы включили сюда несколько бесплатных инструментов с открытым исходным кодом, но основное внимание уделяется коммерчески доступным и поддерживаемым решениям и услугам.
Также ознакомьтесь с лучшими инструментами и программным обеспечением для реагирования на инциденты.
Перейти к:
Лучшие инструменты цифровой криминалистики
Корпорация парабенов
Набор сыщика и вскрытие
OpenText
Магнит Криминалистика
КАИН
Kroll Компьютерная криминалистика
САНС СИФТ
Экстерро
Волатильность
Х-Пути
Целлебрит
ProDiscover
Wireshark
Эксплико
ЛогРитм
Глобальная цифровая криминалистика
Тенденции цифровой криминалистики: миграция данных, скорость и отсутствие доверия
Рекомендации по программному обеспечению для цифровой криминалистики (DFS)
Зачем вам нужно программное обеспечение для цифровой криминалистики?
Каковы общие возможности продуктов DFS?
Лучшие инструменты цифровой криминалистики
eSecurity Planet оценила множество поставщиков, чтобы составить список лучших продуктов для цифровой криминалистики, анализируя все, от характеристик продукта до мнений аналитиков и пользователей. Эти 16 продуктов выделялись на этом важном рынке.
Корпорация Парабенов
Логотип, название компании Описание генерируется автоматически
Paraben Corporation вышла на рынок кибербезопасности в 1999 году, сосредоточившись на цифровой криминалистике, оценке рисков и решениях в области безопасности. Сегодня, в мире с миллиардами устройств, Paraben занимается судебными расследованиями, связанными с электронной почтой, компьютерами, смартфонами и устройствами Интернета вещей (IoT).
Ключевые отличия
Криминалистическая платформа Paraben E3 оптимизирует данные из нескольких источников.
E3: Universal охватывает все устройства, E3: DS — для мобильной криминалистики, E3: P2C — для компьютерной криминалистики, а E3: EMAIL — для электронной почты.
Есть хеш-базы для фильтрации; просмотрщики файлов, шестнадцатеричных файлов, текста, RTF и электронных писем; и автоматическое обнаружение встроенных данных (OLE).
Paraben предоставляет удаленный доступ со сбором с машин и облачных хранилищ.
Paraben предлагает поддержку IoT для таких брендов, как Xbox и Amazon Echo, и облачную поддержку для Google, Dropbox и Slack.
Пользователи имеют возможность работать с несколькими источниками данных вместе для анализа; может собирать данные из самых разных источников, включая компьютеры, смартфоны, Интернет вещей и облака, для сортировки данных по логическим категориям; восстановить информацию; и поиск на нескольких языках.
Включены возможности, предоставляемые по единой цене с такими компонентами, как облако для компьютеров и мобильных устройств.
Цены. Доступ к учебным курсам с включенной лицензией на программное обеспечение предоставляется по месячной цене. Также доступна бесплатная версия.
Набор Сыщика И Вскрытие
Изображение, содержащее клипарт, автоматически сгенерированное описание
Sleuth Kit (TSK) и Autopsy — популярные инструменты для цифровых расследований с открытым исходным кодом. Sleuth Kit позволяет администраторам анализировать данные файловой системы с помощью библиотеки инструментов командной строки для исследования образов дисков. Autopsy — это его графический пользовательский интерфейс (GUI) и платформа цифровой криминалистики, используемая в исследованиях государственных и частных компьютерных систем для расширения возможностей TSK.
Ключевые отличия
TSK предлагает хорошо зарекомендовавшие себя и проверенные инструменты для захвата дисков и данных.
Возможности включают анализ временной шкалы, фильтрацию хэшей, пометку файлов и папок и извлечение мультимедиа.
Autopsy позволяет пользователям эффективно анализировать жесткие диски и смартфоны.
Его подключаемая архитектура позволяет пользователям находить дополнительные модули или разрабатывать собственные модули на Java или Python.
Sleuth Kit — это набор инструментов командной строки и библиотека C для анализа образов дисков и восстановления файлов.
Компания Basis Technology предлагает коммерческое обучение, поддержку и индивидуальную разработку.
Основная функциональность TSK заключается в анализе данных тома и файловой системы.
Библиотеку можно включить в более крупные инструменты цифровой криминалистики, а инструменты командной строки можно напрямую использовать для поиска улик.
TSK используется правоохранительными органами, военными и корпоративными экспертами для расследования того, что произошло на компьютере.
TSK можно использовать для восстановления фотографий с карты памяти камеры.
Цены: TSK и Autopsy являются бесплатными программами с открытым исходным кодом, но доступна коммерческая поддержка.
OpenText
Компания OpenText, основанная в 1991 году в Ватерлоо, Онтарио, предлагает услуги по управлению корпоративным контентом, сетям, автоматизации, обнаружению, безопасности и аналитике. Решения OpenText EnCase включают Endpoint Security (обнаружение и реагирование конечных точек или EDR), Endpoint Investigator (DFIR), Forensic, Mobile Investigator и Advanced Detection. Эти решения помогают восстанавливать улики с различных типов устройств и жестких дисков, автоматизировать подготовку улик, глубокий и сортировочный анализ, а также сбор и сохранение улик.
Ключевые отличия
EnCase Forensic доказала свою эффективность в поиске, расшифровке, сборе и сохранении криминалистических данных с различных устройств, обеспечивая целостность доказательств и интегрируясь с рабочими процессами расследования.
EnCase может собирать доказательства из различных источников и углубляться в каждый источник, чтобы раскрыть потенциально важную информацию.
Предопределенные или настраиваемые условия и фильтры позволяют быстро находить улики.
Обработка доказательств, интегрированные рабочие процессы и гибкая отчетность — все это функции, предлагаемые EnCase.
EnCase работает с компьютерами, ноутбуками и мобильными устройствами, чтобы определить, требуется ли дальнейшее расследование.
Платформа ранжирует доказательства по важности.
Предоставляется оценка доказательств в режиме реального времени.
Цены: Цены на OpenText EnCase предоставляются по запросу.
Магнит Криминалистика
Логотип, название компании Описание генерируется автоматически
Заметив, что цифровых криминалистических инструментов, используемых правоохранительными органами, недостаточно, канадский полицейский Джад Салиба в 2011 году основал Magnet Forensics. Компания предлагает цифровые криминалистические инструменты для государственных и частных организаций. Продукты включают Magnet Axiom Cyber для реагирования на инциденты, Magnet Automate Enterprise и Magnet Ignite для сортировки.
Ключевые отличия
Сейчас у Magnet Forensics более 4000 клиентов в более чем 100 странах.
Magnet поддерживает все источники цифровых доказательств, а не только ОС Linux и Windows.
Реагирование на инциденты Magnet Axiom Cyber используется для удаленного сбора данных, а также восстановления и анализа доказательств с компьютеров, облачных хранилищ и мобильных устройств.
Magnet Automate Enterprise — это решение для автоматизации, используемое для одновременного сбора и обработки доказательств с нескольких конечных точек после инцидента безопасности.
Magnet Ignite выполняет быстрое удаленное сканирование и первоначальный анализ конечных точек в качестве действия по сортировке.
Magnet Forensics выполняет удаленный сбор данных с конечных точек Mac, Windows и Linux, даже если они не подключены к корпоративным сетям.
Данные можно восстановить из таких приложений, как Microsoft Office 365 и Slack, а также из служб хранения, таких как Amazon Web Services и Microsoft Azure.
Все улики собираются в одном месте, где службы безопасности могут их проанализировать.
Доказательства могут быть одновременно восстановлены и обработаны с нескольких конечных точек.
SIEM (информация о безопасности и управление событиями) и инструменты EDR интегрированы в рабочие процессы, и цифровое расследование может быть автоматически инициировано при обнаружении угрозы.
Цены: Magnet не предоставляет цены, но доступны бесплатные пробные версии.
КАИН
Картинка с логотипом Описание генерируется автоматически
Computer-Aided Investigative Environment (CAINE) — это итальянский дистрибутив с открытым исходным кодом, основанный на Ubuntu и Linux, для целей цифровой криминалистики. CAINE интегрируется с существующими средствами безопасности систем Windows, Linux и Unix.
Ключевые отличия
CAINE обеспечивает автоматическое извлечение таймлайнов из RAM (оперативной памяти).
Это интероперабельная среда, которая поддерживает цифрового следователя на всех четырех этапах цифрового расследования.
Все блочные устройства заблокированы в режиме только для чтения.
CAINE можно использовать с графическим интерфейсом Unblock, который присутствует на рабочем столе CAINE.
CAINE гарантирует, что все диски защищены от случайных операций записи.
Если пользователю необходимо записать диск, его можно разблокировать.
Цены: CAINE имеет открытый исходный код и поэтому бесплатен.
Kroll Компьютерная Криминалистика
Посмотреть исходное изображение
Услуги компьютерной криминалистики и эксперты Kroll гарантируют, что ни одно цифровое доказательство не будет упущено из виду, и помогут на любом этапе расследования или судебного разбирательства, независимо от количества или местоположения источников данных.
Ключевые отличия
Вещественные и цифровые доказательства исследуются, чтобы выяснить, что произошло, а что нет, с использованием комбинации компьютерной судебной экспертизы и традиционных методов расследования.
Существуют надежные методологии и решения для идентификации и сохранения электронных данных.
Независимо от объема и сложности потребностей в сборе, Kroll собирает данные для электронного расследования и судебно-медицинской экспертизы или судебно-медицинской экспертизы.
Независимо от того, были ли данные удалены или изменены преднамеренно или случайно, Kroll анализирует оставленные цифровые подсказки, чтобы раскрыть важную информацию.
Эксперты доступны по вызову в качестве свидетеля-эксперта или специального мастера.
Цена: доступна по запросу.
САНС СИФТ
Автоматически сгенерированное текстовое описание
SIFT Workstation — это набор бесплатных инструментов реагирования на инциденты с открытым исходным кодом и криминалистических инструментов для проведения цифровых криминалистических экспертиз. Предлагая множество бесплатных решений DFIR с открытым исходным кодом, рабочая станция SIFT предоставляет различные варианты развертывания, включая виртуальную машину (ВМ), встроенную установку в Ubuntu или установку в Windows через подсистему Linux.
Ключевые отличия
Разработанный Институтом SANS в 2007 году, SIFT работает на 64-битной ОС, автоматически обновляет программное обеспечение с помощью новейших инструментов и методов судебной экспертизы и является оптимизатором памяти.
SIFT Workstation постоянно обновляется и имеет более 125 000 загрузок.
Рабочая станция SIFT используется в рамках обучения Института SANS по реагированию на инциденты, сетевой криминалистике и анализу киберугроз.
Он может анализировать файловые системы, сетевые данные, образы памяти и многое другое.
Поддержка доступна для NTFS, ISO9660 CD, HFS и FAT.
Рабочая станция SIFT была обновлена для улучшения использования памяти.
Существует перекрестная совместимость между системами Linux и Windows.
Цены: Доступно бесплатно от SANS.
Экстерро
Картинка с текстом, клипартом Описание генерируется автоматически
Компания Exterro, родом из Портленда, штат Орегон, была запущена в 2004 году и специализируется на программном обеспечении для управления рабочими процессами и решениях для управления, управления рисками и соответствия требованиям (GRC). В то время как все наши решения по своей сути поддерживают потребности организаций в обеспечении соответствия требованиям, Exterro особенно ценен для помощи штатным юридическим группам, оптимизации процессов соответствия и контроля рисков.
Exterro предлагает продукты для электронного обнаружения, конфиденциальности, управления рисками и цифровой криминалистики. Известная своими криминалистическими продуктами, получившими название FTK, ее возможности включают исследование данных Mac и мобильных устройств, удаленный сбор конечных точек агентов, масштабируемую DPE (среду обработки данных) и автоматизированные рабочие процессы.
Ключевые отличия
Операции Exterro сертифицированы SOC 2 Type 2 и одобрены FedRAMP.
Продукты делятся на FTK Imager, FTK Lab, FTK Central, FTK Enterprise и FTK Connect (ранее известные как решения для конкретных API).
В целом Exterro FTK Forensic Toolkit уже более 30 лет используется в цифровой криминалистике для воспроизводимых и надежных расследований.
Все решения FTK отличаются быстрой обработкой данных, в том числе для извлечения мобильных данных.
Exterro обеспечивает удаленное расследование конечных точек, сортировку, сбор и исправление.
Доступна неограниченная масштабируемость DPE для удовлетворения высоких требований.
Экстерро требует минимальной подготовки.
Exterro — это веб-платформа для совместной работы, позволяющая централизовать судебные доказательства.
Автоматизация доступна для задач рабочего процесса и оркестрации с помощью платформ SIEM и SOAR (организация безопасности, автоматизация и реагирование).
Эксперты могут выполнить быструю оценку риска предположительно скомпрометированной конечной точки — даже если она отключена от сети VPN — путем предварительного просмотра содержимого удаленной от сети конечной точки перед выполнением трудоемкого сбора данных.
Интеграция с платформами кибербезопасности, такими как Palo Alto Cortex XSOAR, позволяет пользователям собирать и сохранять данные конечных точек сразу после обнаружения возможной угрозы.
Не требуется API (интерфейс прикладного программирования) или сценариев Python.
Цены: FTK Imager бесплатен; предложение доступно по запросу для других решений Exterro FTK.
Волатильность
Volatility — это инструмент командной строки для анализа памяти и судебной экспертизы для извлечения артефактов из дампов памяти. Volatility Workbench является бесплатным, с открытым исходным кодом и работает в Windows. Эта криминалистическая структура для реагирования на инциденты и анализа вредоносных программ написана на Python и поддерживает Microsoft Windows, Mac OS X и Linux.
Ключевые отличия
Нет необходимости устанавливать интерпретатор сценариев Python.
Технология криминалистики памяти позволяет следователям анализировать состояния во время выполнения, используя данные ОЗУ.
Знание внутреннего устройства операционной системы (ОС), вредоносного кода и аномалий используется для улучшения его инструментов.
Встроенный API можно использовать для поиска флагов PTE (запись в таблице страниц).
Volatility поддерживает рандомизацию расположения адресного пространства ядра (KASLR).
Существует автоматическое выполнение команды отказа после нескольких неудачных запусков.
В 2020 году Volatility Foundation выпустила полностью переписанную структуру, известную как Volatility 3, для решения технических проблем и проблем с производительностью, связанных с исходной кодовой базой, выпущенной в 2007 году.
Цены: Платформа Volatility бесплатна и имеет открытый исходный код.
Х-Пути
X-Ways Forensics — это рабочая среда для компьютерных судебно-медицинских экспертов. Известный тем, что он не требователен к ресурсам, но при этом быстр, он основан на шестнадцатеричном и дисковом редакторе WinHex и предлагает дополнительное программное обеспечение для захвата дисков и данных, клонирование, создание образов и другие инструменты.
Ключевые отличия
X-Ways является портативным и запускается с USB-накопителя в любой системе Windows без установки, если это необходимо.
X-Ways загружается и устанавливается за считанные секунды.
Компьютерные судебные эксперты могут обмениваться данными и сотрудничать со следователями, использующими X-Ways Investigator.
X-Ways работает под управлением Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016/2019/11, 32-бит/64-бит и стандарт/PE/FE.
Произведено автоматическое обнаружение потерянных или удаленных разделов.
Разделение на чтение доступно для структур файловой системы внутри файлов образов.dd.
X-Ways обеспечивает анализ удаленных компьютеров.
X-Ways может получать доступ к конфигурациям дисков и RAID и обнаруживать NTFS (файловые системы с новой технологией) и ADS (альтернативные потоки данных).
Есть шаблоны для просмотра и редактирования бинарных данных.
X-Ways предлагает встроенную интерпретацию систем JBOD, RAID 0, RAID 5, RAID 5EE и RAID 6, программных RAID-массивов Linux, динамических дисков Windows и LVM2.
Встроенная поддержка доступна для FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet и UDF.
Ценообразование: X-Ways публикует свои цены и заявляет о ценовом преимуществе по сравнению с конкурентами.
Целлебрит
Картинка с текстом, клипартом Описание генерируется автоматически
Основанная в 1999 году в Израиле, компания Cellebrite специализируется на криминалистике мобильных устройств для правоохранительных органов и предприятий, которым необходимо собирать, просматривать, анализировать или управлять данными устройств. Платформа для расследований Digital Intelligence помогает унифицировать жизненный цикл расследования и сохранять цифровые доказательства.
Ключевые отличия
Универсальное устройство криминалистического извлечения Cellebrite (UFED) может извлекать физические и логические данные.
Методы восстановления включают эксклюзивные загрузчики, возможность автоматической EDL (аварийной загрузки) и интеллектуальный ADB (Android Debug Bridge).
Cellebrite может предоставить анализ для Windows и Mac.
Пользователи могут найти историю Интернета, загрузки, недавние поиски, популярные сайты, местоположения, мультимедиа, сообщения, корзину, USB-подключения и многое другое.
Доступны такие функции, как категоризация изображений и видео, фильтрация и поддержка шифрования всего диска.
Cellebrite показывает хронологию события и раскрывает реальную историю каждого случая.
Cellebrite предназначен для масштабирования и просеивания больших наборов данных.
Cellebrite создает настраиваемые отчеты, готовые для суда.
Платформа легко экспортирует результаты.
Цена: доступна по запросу.
ProDiscover
Скриншот видеоигры. Описание автоматически сгенерировано со средней достоверностью.
ProDiscover был запущен в 2001 году, чтобы помочь государственным и частным организациям раскрывать цифровые преступления. По состоянию на 2021 год базирующийся в Индии провайдер работает более чем в 70 странах с более чем 400 клиентами, включая NIST, NASA и Wells Fargo. ProDiscover Forensics собирает доказательства из компьютерных систем для использования в судебно-медицинских расследованиях для сбора, сохранения, фильтрации и анализа доказательств.
Ключевые отличия
ProDiscover предлагает три продукта, которые отдают приоритет компьютерной криминалистике, реагированию на инциденты, электронному обнаружению и расследованиям соблюдения корпоративной политики.
ProDiscover находит данные на диске компьютера, а также защищает улики и создает отчеты.
Данные EXIF могут быть извлечены из файлов JPEG.
Можно делать копии подозрительных дисков.
Доступна поддержка VMware для запуска захваченных образов.
ProDiscover поддерживает файловые системы Windows, Mac и Linux.
Доказательственные отчеты могут быть подготовлены и представлены в суде.
Предварительные просмотры ProDiscover и образы дисков.
Доступна экспертиза памяти.
ProDiscover предлагает текстовый поиск с многоязычными возможностями.
ProDiscover включает в себя облачные исследования, социальные сети, Интернет и электронную почту.
Цена: доступна по запросу.
Wireshark
Значок Описание создается автоматически
Wireshark, впервые разработанный в 1998 году, проводит криминалистическое расследование и анализ сетевых пакетов, а также проводит тестирование и устранение неполадок в сетях. Это включает проверку сотен протоколов в браузере пакетов с тремя панелями, который инкапсулирует структуры данных.
Ключевые отличия
Wireshark совместим с несколькими платформами и работает на Windows, Linux, macOS, Solaris, FreeBSD и NetBSD.
Сетевой анализ доступен с анализом VoIP (передача голоса по интернет-протоколу).
Wireshark может захватывать файлы, сжатые с помощью gzip, и экспортировать выходные данные в XML, CSV или обычный текст.
Пользователи могут видеть, что происходит в сети.
Доступен захват в реальном времени и автономный анализ.
Захваченные сетевые данные можно просматривать через графический интерфейс или с помощью утилиты TShark в режиме телетайпа (TTY).
Wireshark может читать и записывать множество различных форматов файлов захвата: tcpdump (libpcap), Pcap NG, Catapult DCT2000, iplog Cisco Secure IDS, Microsoft Network Monitor, Network General Sniffer (сжатый и несжатый), Sniffer Pro и NetXray, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime и WildPackets EtherPeek/TokenPeek/AiroPeek.
Доступна поддержка расшифровки, включая IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP и WPA/WPA2.
Цены: Wireshark является бесплатным продуктом с открытым исходным кодом и может похвастаться активным сообществом пользователей, но также доступно коммерческое обучение.
Эксплико
Описание логотипа генерируется автоматически
Созданный в 2007 году, Xplico представляет собой инструмент для судебной экспертизы сети, который реструктурирует данные с помощью анализатора пакетов. Он специализируется на идентификации протокола, независимого от порта (PIPI), для восстановления данных приложения для идентификации его протоколов. Доступный как бесплатный инструмент с открытым исходным кодом, основной целью Xplico является извлечение данных приложения из перехвата интернет-трафика.
Ключевые отличия
Xplico поддерживает HTTP, IMAP, POP, SMTP, IPv6 и другие.
Xplico создает XML-файлы, которые идентифицируют потоки и pcap (входной файл), содержащиеся в каждой повторно собранной структуре данных.
Возможна многопоточность.
Ограничений на ввод данных нет.
Xplico может выполнять резервный поиск DNS (система доменных имен) из пакета DNS.
Xplico предоставляет выходные данные и информацию в базе данных SQLite или базе данных Mysql и/или файлах.
Все данные, повторно собранные Xplico, имеют связанный файл XML, который однозначно идентифицирует их.
Проработка в реальном времени.
Повторная сборка TCP (протокол управления передачей) с проверкой ACK (подтверждение) доступна для любого пакета или программной проверки ACK.
Обратный поиск DNS из пакетов DNS содержится во входных файлах, а не с внешнего DNS-сервера.
Цены: Xplico является бесплатным и открытым исходным кодом.
ЛогРитм
Изображение, содержащее текст, часы, знак. Описание генерируется автоматически.
LogRhythm наиболее известен благодаря SIEM, анализу угроз и UEBA (анализ поведения пользователей и объектов). Основанная в 2003 году в Боулдере, штат Колорадо, компания включает в себя сетевую криминалистику с помощью функции, известной как NetMon, но компания переориентирует свои усилия в области судебной экспертизы в рамках своих решений по обнаружению и реагированию на сети (NDR) и мониторингу конечных точек.
Ключевые отличия
LogRhythm объединяет перехваченные пакеты и производные метаданные, сохраняет данные журнала и использует сетевые криминалистические датчики для заполнения пробелов.
LogRhythm измеряет среднее время ответа (MTTR).
Панели мониторинга способны выявлять угрозы.
LogRhythm предлагает распознавание более 3000 приложений и метаданные для просмотра сетевых сеансов.
Глубокая аналитика пакетов (DPA) на основе сценариев доступна для обнаружения в реальном времени.
LogRhythm обеспечивает полный захват пакетов на основе сеанса.
LogRhythm предлагает анализ уровней 4–7 с идентификатором приложения.
Доступен выборочный захват пакетов SmartCapture.
Действия автоматизации могут получать сеансы посредством перехвата пакетов и анализа будущих случаев.
Цены: доступны по запросу, но вы все равно можете получить NetMon Freemium.
Глобальная Цифровая Криминалистика
Логотип, название компании Описание генерируется автоматически
Global Digital Forensics занимается компьютерным криминалистическим анализом и судебным сопровождением уже более двух десятилетий. Он предлагает ряд криминалистических услуг, охватывающих все цифровые устройства. Компания GDF, основанная в 1992 году, также предоставляет услуги по обнаружению электронных данных, тестированию на проникновение и реагированию на нарушения.
Ключевые отличия
У Global Digital Forensics есть собственные лаборатории, а также глобальная сеть респондентов, что позволяет ей проводить судебный анализ практически всего в любой среде.
GDF предоставляет экспертные показания компьютерных свидетелей по делам.
Особенности включают в себя инструменты расследования для компьютеров, электронной почты, мобильных устройств, социальных сетей и дисководов.
Доступны услуги поиска и восстановления данных.
GDF предоставляет криминалистическую оценку готовности.
Доступны GPS и отслеживание смартфонов, анализ истории Интернета, восстановление изображений и аутентификация, а также анализ отрыва.
GDF предлагает восстановление данных со всех устройств, от мейнфреймов до смартфонов.
Пользователи могут найти доказательства в лог-файлах и видео.
Цена: доступна по запросу.
Тенденции цифровой криминалистики: миграция данных, скорость и отсутствие доверия
Рынок криминалистики данных сильно изменился с момента нашего последнего обновления более года назад, и его можно охарактеризовать двумя словами: скорость и безопасность.
Ли Проктор из Paraben говорит, что данные переносятся, чтобы сделать их более доступными и под рукой для инструментов судебной экспертизы, которые используются для их расследования.
И поскольку киберпреступники продолжают увеличивать частоту и серьезность своих атак, предприятия будут стремиться увеличить эту потребность в скорости, включив автоматизацию в свои рабочие процессы цифровой криминалистики и реагирования на инциденты.
«Риски как внутренних, так и внешних угроз только усилились с переходом на гибридные и удаленные модели работы», — сказал Адам Белшер, генеральный директор Magnet Forensics. «Успех стратегии кибербезопасности теперь зависит как от отдельного сотрудника, так и от среды, созданной для его защиты. Сотрудники подвергаются большему количеству векторов угроз, чем когда-либо, потому что они используют свои собственные устройства и больше сторонних приложений. Одна ошибка одного человека может нанести серьезный ущерб всей сети предприятия».
Как можно быстрее передать судебные доказательства в руки следователей — это ключ к привлечению киберпреступников к ответственности. Быстрая обработка обязательна, особенно для данных мобильных устройств.
Не менее 70% расследований правоохранительных органов и растущее число гражданских дел связаны с мобильными данными. Офицеры на передовой должны иметь возможность быстро извлекать, обрабатывать и анализировать мобильные улики, чтобы затем передавать их аналитику для проверки, сохраняя при этом цепочку хранения.
«На сегодняшний день следователи пытались решить эти проблемы, обрабатывая данные вручную или передавая данные между несколькими криминалистическими платформами, но это медленный и громоздкий процесс, который приводит к росту незавершенных дел и повышает риск потери или компрометации данных», — сказал Харш Бел., директор по управлению продуктами Exterro. «Наличие одной платформы для совместной работы, на которой можно собирать, обрабатывать и просматривать все типы данных устройств, — лучший способ упростить этот рабочий процесс».
Проведение Внутренних Расследований В Рамках Нулевого Доверия
Все больше и больше организаций разрешают своим сотрудникам работать из дома на неопределенный срок. Это привело к большей зависимости от защищенной сети VPN и архитектуры с нулевым доверием. Но отделы ИТ и отдела кадров (HR) по-прежнему должны иметь возможность проводить внутренние расследования, такие как судебный сбор доказательств, связанных с подозрительной активностью конечных устройств или мошенническим сотрудником.
«Возможность удаленно реагировать на инциденты и проводить сортировку конечных точек означает, что следователю не нужно физически присутствовать для сопоставления доказательств, что приводит к более быстрому реагированию, что жизненно важно в случаях, когда вредоносное ПО может иметь время для распространения», — сказал он. Бел. «Исследуя данные за пределами сети, он может обеспечить их изоляцию и соответствие требованиям инфраструктуры с нулевым доверием, которая требует аутентификации всего доступа».
Рекомендации по покупке программного обеспечения для цифровой криминалистики (DFS)
Теперь, когда вы знаете ведущих поставщиков цифровой криминалистики, вот что наиболее важно при оценке решений DFS.
Как это решение улучшит ваши возможности цифровой криминалистики?
Какие типы устройств и форматы файлов поддерживает продукт?
Поставляется ли программное обеспечение с удобным интерфейсом или обучением персонала?
Какие интеграции и плагины совместимы или могут быть настроены для использования?
Какие расширенные аналитические функции выделяют решение?
Следующие разделы касаются важности возможностей DFS и тенденций на рынке DFS.
Зачем вам нужно программное обеспечение для цифровой криминалистики?
Вам необходимо программное обеспечение для цифровой криминалистики (DFS), поскольку оно играет решающую роль в комплексной инфраструктуре кибербезопасности. Уязвимости — неотъемлемая часть цифровых систем, и в инцидентах безопасности нет недостатка.
В то время как диспетчер информации и событий безопасности (SIEM) и обнаружение и реагирование конечных точек (EDR) могут предлагать функции регистрации, оповещения и защиты в режиме реального времени, DFS специализируется на исследовании ИТ-систем в контексте событий безопасности. Цифровая криминалистика часто объединяется с реагированием на инциденты, поскольку объединенное решение известно как цифровая криминалистика и реагирование на инциденты (DFIR).
Каковы общие возможности продуктов DFS?
Некоторые ключевые особенности инструментов цифровой криминалистики включают в себя:
Расширенный поиск и фильтрация данных и метаданных
Автоматическое формирование отчетов
Побитовые копии и клонирование дисков
Закладка файлов и секторов
Сохранение доказательств с помощью хэшей
Восстановление файлов для скрытых и удаленных данных
Получение криминалистически обоснованных доказательств
Взлом хэшей и паролей
Создание и монтирование образов для поддержки различных форматов
Живое и удаленное получение доказательств
Анализ оперативной памяти и файла подкачки
Инструменты анализа реестра
Блокировка записи
