Сетевая экспертиза
Компьютерно-сетевая экспертиза представляет собой один из видов компьютерно-технических исследований. Данный вид анализа во многом схож с программно-компьютерной экспертизой, однако фокус экспертного внимания смещен на исследование сетевой работы пользователя. То есть анализируется, в первую очередь, действия человека, произведенные посредством компьютерных сетей. Для проведения компьютерно-сетевой экспертизы эксперт должен обладать специальными познаниями в области сетевых технологий, чтобы эффективно отслеживать движение информационных пакетов посредством изучения информационного следа. Знание принципов работы сетей позволяет соединить в общую доказательную базу все разрозненные объекты, полученные в ходе расследования, а также сведения о них. Вследствие чего наиболее эффективно решаются поставленные экспертные задачи.
Компьютерно-сетевая экспертиза в первую очередь рассматривает функциональную принадлежность компьютерных систем, реализующих сетевые технологии. Чаще всего с помощью данного исследования получаются доказательства по делам, связанным с интернет-технологиями. Предметом исследования являются информационно-компьютерные сети и обнаруживаемые следы сетевой активности пользователя. В ходе расследования преступлений, совершенных с использованием сети интернет, при отсутствии возможности получить доступ к компьютеру правонарушителя, получить доказательства можно с помощью исследования информационных следов в сети. В таких случаях используется компьютерно-сетевая экспертиза.
Данный вид исследований применяется не только при расследовании различных преступлений. Компьютерно-сетевая экспертиза способна проанализировать эффективность работы сетевой системы, определить возможность внесения изменений в рабочий процесс системы, предложить пути модернизации организованной сетевой системы путем обновления компонент системы или организации более четкой архитектуры ее работы. Во многих случаях, исследование одного персонального компьютера или даже многих компьютеров по отдельности не дает должного результата, так как при сетевой организации работы данные хранятся распределенным образом, а многие рабочие процессы организованы с использованием сетевых технологий.
Круг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы.
Наиболее популярные продукты категории Сетевая экспертиза Все продукты категории
Поставщики Сетевая экспертиза
Производители Сетевая экспертиза
F.A.Q. Сетевая экспертиза
Какие задачи решает компьютерно-сетевая экспертиза?
Круг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы. В общем случае эксперт по проведению компьютерно-сетевой экспертизы в процессе своей деятельности решает следующие задачи:
- Выявление связей между применением конкретных сетевых объектов и результатами их работы.
- Исследование событий, имевших место в сети – установление его обстоятельств и механизма действия, исходя из полученных результатов. Например, исследуются пути распыления по сети вредоносных программ, сценарии нерегламентированного доступа к данным и системам и так далее.
- Исследование отображений сети в информационных блоках накопителей данных с целью выявления свойств и состояния исследуемой сети. Анализируются жесткие диски, компакт-диски, внешние накопители данных (флэшки, внешние диски и пр.), дискеты, RAID-массивы и так далее.
- Выявление механизма изменения свойств исследуемой сети, а также причин данного изменения.
- Установление фактов несоблюдения предписанного режима использования сети, выявление использования недопустимого или запрещенного программного обеспечения.
- Определение исходного состояния все исследуемой сети, а также каждого ее компонента по отдельности. Выявление изменений, внесенных в начальное состояние компьютерной сетевой системы – были ли добавлены дополнительные сетевые устройства, изменена ли конфигурация сервера или рабочих мест и так далее.
- Установление текущего состояния сетевой системы или сетевого программного или аппаратного средства. Выявление физических дефектов аппаратных средств; определение компонент доступа в сеть и состояния журнала системных событий.
- Определение специфических характеристик сетевой системы, определение ее конфигурации, типа устройства архитектуры. Установление механизма организации доступа к массивам данных, а также установленных сетевых программно-аппаратных средств.
- Установление факта соответствия обнаруженных характеристик и характеристик, являющихся типовыми для подобных сетевых систем.
- Определение принадлежности исследуемого объекта к клиентской или серверной части сетевой системы.
- Определение специфических характеристик отдельных компонент сетевой системы – программных объектов и аппаратных средств. Определение функционального предназначения, роли и места анализируемого объекта в сетевой системе.
Почему важна криминалистика сети?
Сетевая криминалистика важна, потому что очень много распространенных атак влечет за собой некоторый тип неправильного использования сетевых ресурсов.
Как можно атаковать сеть?
Атаки обычно нацелены на конфиденциальность и целостность доступности. Утрата любого из этих предметов является нарушением безопасности.
Где лучшее место для поиска информации?
Информацию можно найти, выполнив живой анализ сети, проанализировав информацию IDS или изучив журналы, которые можно найти на маршрутизаторах и серверах.
Как судебный аналитик знает, как глубоко искать информацию?
Некоторое количество информации может быть получено при просмотре уровня квалификации атакующего. Атакующие с небольшим навыком гораздо реже используют передовые методы сокрытия.
Материалы
Компьютерно-сетевая экспертиза
https://sudexpa.ru/expertises/kompiuterno-setevaia-ekspertiza/Network Forensics
https://www.cfila.com/network-forensics