Forensic vizsgálat
A megbízóinknál bekövetkezett incidenseket, legyenek azok hackertámadások, vírustevékenységek, kémkedések, adatlopások, vagy bármilyen nem kívánt információbiztonsági események, bizonyító erejű pontossággal kivizsgáljuk. A nyomozati munka során automatizált és manuális eszközökkel felderítjük a tevékenykedők nyomait, még akkor is, ha azokat szándékosan elrejtik, és az elméleti ismeretek, és a gyakorlati tapasztalatok alapján az eseményeket korrelálva elemezzük. A feltárt bizonyítékok alapján a tevékenységeket feltérképezzük, majd levonjuk az egyértelmű következtetéseket, és szükség esetén javaslatot is teszünk az incidensek előfordulásának és hatásainak minimalizálására.
A forensic vizsgálatok céljai és módjai
A naplók elemzéséből, fájlrendszer, programfuttatások és állománykezelések vizsgálatából, valamint titkosított és rejtett tartalmak kereséséből és visszafejtéséből álló nyomozati munka irányulhat a megbízónknál felfedezett incidensek kivizsgálására, vagy esetleges incidensek felfedezésére. A megbízó IT infrastruktúráján belülről, az internet felől, és belső és külső tevékenységek eredményéből származó incidensek kivizsgálása során információkat és bizonyítékokat gyűjtünk megbízóink érintett eszközeiről, az incidensek felfedezése során megvizsgáljuk az érintett eszközöket, hogy történtek-e azokon jogszabályokat, szabványokat, szabályzatokat, vagy a megbízóink érdekeit sértő tevékenységek.
A nyomozás történhet egy vagy több forrásból származó, tükrözött események korrelálásából és elemzéséből, a korábbi események időben visszafelé történő elemzéséből, és az aktuális események éles, futó eszközökön, valós időben történő forgalomelemzéséből.
A nyomozás állhat átadott információk, pl. dokumentációk és személyes kikérdezések által nyert információk elemzéséből, eszközök, pl. munkaállomás, notebook, telefon, adathordozó, szerver, tűzfal, hálózati eszköz, naplógyűjtő, SIEM rendszer, vírusellenőrző, egyéb védelmi rendszer vizsgálatából, álinformációk alkalmazásából és nyomkövetéséből, csali információk haladási útjának felderítéséből (pl. egy e-mailt elolvasnak-e, és eljut-e egy célig), illetve mézesbödön alkalmazásából és elemzéséből, vagyis egy csali szerver beüzemeléséből és az azt érő támadások vizsgálatából.