ݺߣ

ݺߣShare a Scribd company logo

Baze podataka i računalna forenzika

Download as PPTX, PDF
Damir Delija
Damir Delija
1 of 20
Downloaded 11 times
sigurnost integrirana BAZE PODATAKA I RAČUNALNA FORENZIKA Damir Delija Dr.Sc.E.E
Plan predavanja sigurnost  Cilj prezentacije dati pregled što je računalna forenzika i kakvo je stanje za baze podataka  Proći će se kroz integrirana što je računalna forenzika i specifičnosti na području baza podataka reakcije na incidente i računalna forenzika alati, komercijalni i open source primjene i uvođenja alata u postojeće velike sustave
Razvoj računalne forenzike sigurnost Dva osnovna motiva  razvoj računalnih znanosti i integrirana  razvoj računalnih incidenata tj užem smislu računalni kriminal
Računalna forenzika sigurnost “Computer Forensics is simply the application of computer investigation and analysis techniques in the interest of determining integrirana potential legal evidence" Judd Robbins
Zahtjevi na postupak računalne sigurnost forenzike  Postupak mora biti dobro dokumentiran i rezultati moraju biti ponovljivi  Princip "najbolji dokazni materijal" tj. analiza se radi na egzaktnoj kopiji a ne živom integrirana sustavu  Lanac kontrole dokaza (Chain of custody) mora garantirati pouzdanost dokaza
Legalni kriteriji sigurnost Uspostavljeni su slučaju Daubert/Frye:  Da li je tehnika i postupak pouzdano testiran;  Da li je tehnika i postupak objavljen, provjeren od znanstvene zajednice; integrirana  Da li se pouzdano zna koja je vjerojatnost greške tehnike ili postupka;  Da li je tehnika i postupak prihvaćena od znanstvene zajednice.
Koraci forenzičkog postupka sigurnost Priprema priprema alata i opreme potrebne za forenzički postupak; Prikupljanje prikupljanje dokumenta, logova, datoteka i izrada kopija fizičkih objekata koji sadrže elektroničke dokaze integrirana Ispitivanje dokaza izdvajanje dokaza iz prikupljenog materijala Analiza analiza dokaza prikupljenih u koraku ispitivanja dokaza Izvještavanje izrada izvještaja o nalazima
Računalna forenzika - sigurnost obzirom na obuhvat sustava Forenzika pojedinačnog računala (host based)  najčešći slučaj - analize radne stanice  ulazi i forenzika aplikacije Mrežnu forenziku (network enabled), integrirana  analizu sustava na razini mreže, analizu prometa na mreži, upravljanja mrežom Forenzika logova sustava (system log forensic)
Specifičnosti forenzike poslužitelja sigurnost baza podatka i baza podataka Sličnosti:  forenzičke metode koje se koriste su iste kao i za druge složene računalne sustave Razlike: integrirana  zahtjevi maksimalne raspoloživosti sustava,  veliki volumen podataka,  visoka pouzdanost podataka,  neprihvatljivost zaustavljanja sustava  ograničena ekspertiza raspoloživa u trenutku incidenta
Dodatne specifičnosti forenzike sigurnost sustava baza podataka Način na koji se dolazi do pokretanja forenzičkog postupka (otkrića incidenta ) integrirana većina „data breach“ incidenata otkriva se naknadno i izvana otežano otkrivanje tragova i vektora ulaska
Standardni koraci računalne sigurnost forenzike za baze podataka Pokretanje dokumentiranog opisa događaja u sustavu Identificiranje i kontrola incidenta Izrada i pohrana datoteka sa elektroničkim dokazima u lancu odgovornosti o dokazima Oporavak usluga i vraćanje / rekonstrukcija obrisanih podataka integrirana Prikupljanje i klasificiranje metadata podataka po vremenu Povezivanje svih informacija o događajima u lanac događaja na osnovi vremena Analiza metadata timelinea Dokumentiranje cijelog forenzičkog procesa Korištenje rezultata u daljim koracima Detaljna analiza ključnih podatka
Računalna forenzika - po pristupu sigurnost Proaktivna računalna forenzika  primjeni metoda računalne forenzike na zdravom sustavu kako za dobivanje baseline sustava. integrirana Retroaktivna računalna forenzika (klasična forenzika)  Primjena i bez proaktivne ali puno manja efikasnost Preduvjet za forenziku je kvalitetna administracija sustava
Rezultat forenzičkog postupka sigurnost završno izvješće o incidentu  Završno izvješće o incidentu sadrži relevantne podatke o incidentu; glavni cilj - podizanje razine sigurnosti; informacije iz tog izvješća moraju omogućiti: integrirana  prepoznavanje izvora napada;  prepoznavanja i uklanjanje sigurnosnih propusta Koristi se u sklopu procesa za upravljanje sigurnosnim incidentima Računalna forenzika kao dio procesa kontrole incidenata i kao dio procesa nadzora sustava
Alati i ekspertiza sigurnost Ne postoje namjenski alat za forenziku baza Postoje alati za forenziku računalnog sustava na nivou operacijskog sustava i sklopovlja integrirana Ne postoje alati forenziku baze podataka i pripadne aplikacije Ekspertiza vrlo rijetka
Komercijalni alati ili Opensource sigurnost  Nema idealnog alata može postojati zahtjevani alat!  Prednost sa pravne strane na komercijalnim alatima integrirana  Opensource dodatni / kontrolni  Filozofija odabira ista kao i za druge korporativne sustave ključno je što mislite raditi i kako, u vašem sustavu  Na samim bazama – open source ili home made dominiraju
Alati sigurnost  EnCase guidance software  FTK  Helix CD integrirana  The Coroner's Toolkit (TCT)  logminer  Mnogi drugi
Primjene i uvođenja alata u sigurnost postojeće sustave  Primjene i uvođenja alata u postojeće velike sustave dio incident responsa (IR) dio preventivne pripreme integrirana  Samo novi pogled na stare prokušane tehnike kontrole sustava dobra administracija sustva  Dio pripreme za nastavak poslovanja bitno razumjevanje važnosti
Zaključak sigurnost  Računalna forenzika je dio kontrole i oporavka od incidenta  prepoznavanje mogućnosti računalne forenzike U dogledno vrijeme možemo očekivati sve veću pojavu i objavljivanje incidenata incidenti se ne mogu više držati unutar kuće  integrirana incidenati moraju biti legalno ispravno odrađeni  Korištenje metoda računalne forenzike mora biti sustavno i kao takvo ugrađeno u organizaciju Potrebna znanja i postupci moraju biti prepoznati kao nešto što se mora imati na raspolaganju Bez takvog pristupa računalni sustavi su izuzetno ugroženi
Linkovi i siteovi sigurnost www.databasesecurity.com Krovni site za forenziku baza podataka www.databasesecurity.com/oracle-forensics.htm Oracle forenzika integrirana www.sans.org/reading_room Različiti aspekti računalne sigurnosti http://forensics.sans.org/community/downloads/ "SANS Computer forensic and E-Discovery" SANS portal za računalnu forenziku
Pitanja ? sigurnost integrirana damir.delija@insig2.hr www.insig2.hr

More Related Content

Baze podataka i računalna forenzika

  • 1. sigurnost integrirana BAZE PODATAKA I RAČUNALNA FORENZIKA Damir Delija Dr.Sc.E.E
  • 2. Plan predavanja sigurnost  Cilj prezentacije dati pregled što je računalna forenzika i kakvo je stanje za baze podataka  Proći će se kroz integrirana što je računalna forenzika i specifičnosti na području baza podataka reakcije na incidente i računalna forenzika alati, komercijalni i open source primjene i uvođenja alata u postojeće velike sustave
  • 3. Razvoj računalne forenzike sigurnost Dva osnovna motiva  razvoj računalnih znanosti i integrirana  razvoj računalnih incidenata tj užem smislu računalni kriminal
  • 4. Računalna forenzika sigurnost “Computer Forensics is simply the application of computer investigation and analysis techniques in the interest of determining integrirana potential legal evidence" Judd Robbins
  • 5. Zahtjevi na postupak računalne sigurnost forenzike  Postupak mora biti dobro dokumentiran i rezultati moraju biti ponovljivi  Princip "najbolji dokazni materijal" tj. analiza se radi na egzaktnoj kopiji a ne živom integrirana sustavu  Lanac kontrole dokaza (Chain of custody) mora garantirati pouzdanost dokaza
  • 6. Legalni kriteriji sigurnost Uspostavljeni su slučaju Daubert/Frye:  Da li je tehnika i postupak pouzdano testiran;  Da li je tehnika i postupak objavljen, provjeren od znanstvene zajednice; integrirana  Da li se pouzdano zna koja je vjerojatnost greške tehnike ili postupka;  Da li je tehnika i postupak prihvaćena od znanstvene zajednice.
  • 7. Koraci forenzičkog postupka sigurnost Priprema priprema alata i opreme potrebne za forenzički postupak; Prikupljanje prikupljanje dokumenta, logova, datoteka i izrada kopija fizičkih objekata koji sadrže elektroničke dokaze integrirana Ispitivanje dokaza izdvajanje dokaza iz prikupljenog materijala Analiza analiza dokaza prikupljenih u koraku ispitivanja dokaza Izvještavanje izrada izvještaja o nalazima
  • 8. Računalna forenzika - sigurnost obzirom na obuhvat sustava Forenzika pojedinačnog računala (host based)  najčešći slučaj - analize radne stanice  ulazi i forenzika aplikacije Mrežnu forenziku (network enabled), integrirana  analizu sustava na razini mreže, analizu prometa na mreži, upravljanja mrežom Forenzika logova sustava (system log forensic)
  • 9. Specifičnosti forenzike poslužitelja sigurnost baza podatka i baza podataka Sličnosti:  forenzičke metode koje se koriste su iste kao i za druge složene računalne sustave Razlike: integrirana  zahtjevi maksimalne raspoloživosti sustava,  veliki volumen podataka,  visoka pouzdanost podataka,  neprihvatljivost zaustavljanja sustava  ograničena ekspertiza raspoloživa u trenutku incidenta
  • 10. Dodatne specifičnosti forenzike sigurnost sustava baza podataka Način na koji se dolazi do pokretanja forenzičkog postupka (otkrića incidenta ) integrirana većina „data breach“ incidenata otkriva se naknadno i izvana otežano otkrivanje tragova i vektora ulaska
  • 11. Standardni koraci računalne sigurnost forenzike za baze podataka Pokretanje dokumentiranog opisa događaja u sustavu Identificiranje i kontrola incidenta Izrada i pohrana datoteka sa elektroničkim dokazima u lancu odgovornosti o dokazima Oporavak usluga i vraćanje / rekonstrukcija obrisanih podataka integrirana Prikupljanje i klasificiranje metadata podataka po vremenu Povezivanje svih informacija o događajima u lanac događaja na osnovi vremena Analiza metadata timelinea Dokumentiranje cijelog forenzičkog procesa Korištenje rezultata u daljim koracima Detaljna analiza ključnih podatka
  • 12. Računalna forenzika - po pristupu sigurnost Proaktivna računalna forenzika  primjeni metoda računalne forenzike na zdravom sustavu kako za dobivanje baseline sustava. integrirana Retroaktivna računalna forenzika (klasična forenzika)  Primjena i bez proaktivne ali puno manja efikasnost Preduvjet za forenziku je kvalitetna administracija sustava
  • 13. Rezultat forenzičkog postupka sigurnost završno izvješće o incidentu  Završno izvješće o incidentu sadrži relevantne podatke o incidentu; glavni cilj - podizanje razine sigurnosti; informacije iz tog izvješća moraju omogućiti: integrirana  prepoznavanje izvora napada;  prepoznavanja i uklanjanje sigurnosnih propusta Koristi se u sklopu procesa za upravljanje sigurnosnim incidentima Računalna forenzika kao dio procesa kontrole incidenata i kao dio procesa nadzora sustava
  • 14. Alati i ekspertiza sigurnost Ne postoje namjenski alat za forenziku baza Postoje alati za forenziku računalnog sustava na nivou operacijskog sustava i sklopovlja integrirana Ne postoje alati forenziku baze podataka i pripadne aplikacije Ekspertiza vrlo rijetka
  • 15. Komercijalni alati ili Opensource sigurnost  Nema idealnog alata može postojati zahtjevani alat!  Prednost sa pravne strane na komercijalnim alatima integrirana  Opensource dodatni / kontrolni  Filozofija odabira ista kao i za druge korporativne sustave ključno je što mislite raditi i kako, u vašem sustavu  Na samim bazama – open source ili home made dominiraju
  • 16. Alati sigurnost  EnCase guidance software  FTK  Helix CD integrirana  The Coroner's Toolkit (TCT)  logminer  Mnogi drugi
  • 17. Primjene i uvođenja alata u sigurnost postojeće sustave  Primjene i uvođenja alata u postojeće velike sustave dio incident responsa (IR) dio preventivne pripreme integrirana  Samo novi pogled na stare prokušane tehnike kontrole sustava dobra administracija sustva  Dio pripreme za nastavak poslovanja bitno razumjevanje važnosti
  • 18. Zaključak sigurnost  Računalna forenzika je dio kontrole i oporavka od incidenta  prepoznavanje mogućnosti računalne forenzike U dogledno vrijeme možemo očekivati sve veću pojavu i objavljivanje incidenata incidenti se ne mogu više držati unutar kuće  integrirana incidenati moraju biti legalno ispravno odrađeni  Korištenje metoda računalne forenzike mora biti sustavno i kao takvo ugrađeno u organizaciju Potrebna znanja i postupci moraju biti prepoznati kao nešto što se mora imati na raspolaganju Bez takvog pristupa računalni sustavi su izuzetno ugroženi
  • 19. Linkovi i siteovi sigurnost www.databasesecurity.com Krovni site za forenziku baza podataka www.databasesecurity.com/oracle-forensics.htm Oracle forenzika integrirana www.sans.org/reading_room Različiti aspekti računalne sigurnosti http://forensics.sans.org/community/downloads/ "SANS Computer forensic and E-Discovery" SANS portal za računalnu forenziku
  • 20. Pitanja ? sigurnost integrirana damir.delija@insig2.hr www.insig2.hr