Цифрова криміналістика

Збирає, обробляє, зберігає, аналізує та надає докази, пов’язані з комп’ютерною технікою, для пом’якшення наслідків уразливості мережі та/або для кримінальних, шахрайських, контррозвідувальних або правоохоронних розслідувань.

Нижче наведені ролі для цього спеціального простору. Клацніть кожну роль, щоб побачити KSA (Знання, навички та здібності) та Завдання.

(IN-FOR-001)
Проводить детальні розслідування комп’ютерних злочинів, встановлює документальні чи фізичні докази, включаючи цифрові засоби масової інформації та журнали, пов’язані з інцидентами вторгнення в кіберпростір.

Завдання

  • T0059: Розробляти план розслідування передбачуваного злочину, порушення або підозрілої активності з використанням комп’ютерів та Інтернету.
  • T0096: У разі необхідності, встановлювати зв’язки між командою з реагування на інцидент та іншими групами, як внутрішніми (наприклад, юридичним відділом), так і зовнішніми (наприклад, правоохоронними органами, постачальниками, фахівцями зі зв’язку з громадськістю).
  • T0220: Вирішувати конфлікти, пов’язані із застосуванням законодавства, нормативних правових актів, політик, стандартів і процедур.
  • T0308: Аналізувати дані про інциденти, пов’язані з появою нових тенденцій.
  • T0398: Проводити моніторинг файлів і регістра в функціонуючій системі після виявлення вторгнення за допомогою динамічного аналізу.
  • T0419: Здобувати і підтримувати нарощування професійних знань з питань конституційних прав, які виникають при реальному застосуванні важливих законів, нормативних правових актів, політик, угод, стандартів, процедур чи інших публікацій.
  • T0401: Підтримувати у постійній готовності набір засобів кіберзахисту (наприклад, спеціалізоване програмне забезпечення/технічне забезпечення) з метою забезпечення діяльності групи реагування на інциденти.
  • T0403: Читати, інтерпретувати, писати, модифікувати і використовувати прості скрипти (наприклад, Perl, VBScript) в ОС Windows і UNIX (наприклад, ті, що реалізують наступні функції: граматико-синтаксичний аналіз великих файлів даних, автоматизація ручних завдань і витяг/обробка віддалених даних)
  • T0411: Визначати та/або розробляти засоби зворотного проектування з метою поліпшення характеристик і виявлення вразливостей.
  • T0425: Аналізувати політику організації у сфері кібербезпеки.

Знання

  • K0001: Знання концепцій і протоколів комп’ютерних мереж, а також методології забезпечення мережевої безпеки.
  • K0002: Знання процесів аналізу і зниження ризиків (наприклад, методів аналізу та зниження негативних наслідків від реалізації ризиків).
  • K0003: Знання законів, нормативних правових актів, політик і етичних норм, і як вони пов’язані з забезпеченням кібербезпеки і конфіденційності.
  • K0004: Знання принципів забезпеченням кібербезпеки і конфіденційності.
  • K0005: Знання кіберзагроз та вразливостей.
  • K0006: Знання конкретних функціональних наслідків в результаті помилок в системі безпеки.
  • K0017: Знання концепцій і методик обробки цифрових даних, що використовуються в кримінальних розслідуваннях.
  • K0021: Знання резервного копіювання та відновлення даних.
  • K0042: Знання методології реагування на інциденти і обробки даних інцидентів.
  • K0060: Знання операційних систем.
  • K0070: Знання загроз і вразливостей безпеки систем і прикладних процесів (наприклад, перевищення допустимого завантаження буферної пам’яті, мобільний код, процедурна мова/мова структурованих запитів [PL/SQL] і вторгнення, уразливості типу «стан гонки», незахищений канал, повторна передача, повторно-орієнтовані атаки, шкідливий код).
  • K0077: Знання операційних систем сервера і клієнта.
  • K0078: Знання засобів діагностики і способів виявлення несправностей в серверах.
  • K0107: Знання засобів і законів нормативних правових актів розслідування внутрішніх загроз, підготовки звітних документів і проведення кіберрозслідувань.
  • K0109: Знання фізичних компонентів і архітектури ЕОМ, включаючи функції різних компонентів і периферійних пристроїв (наприклад, процесорів, мережевих адаптерів, сховищ даних).
  • K0117: Знання реалізацій файлових систем (наприклад, Файлова система нової технології [NTFS], Таблиця розміщення файлів [FAT], Розширення файлу [EXT]).
  • K0118: Знання процедур вилучення і зберігання цифрових доказів.
  • K0119: Знання методологій проведення хакерських атак.
  • K0122: Знання процесу розслідування впливу технічного забезпечення, операційних систем і мережевих технологій.
  • K0123: Знання правового регулювання, що стосується допустимості/застосовності (наприклад, правил збору, зберігання та подання речових доказів).
  • K0125: Знання процесів збору, форматування, доставки і зберігання електронних доказів протягом усього етапу постачання/поставок.
  • K0128: Знання типів і системи збору даних, які постійно оновлюються.
  • K0131: Знання способів, засобів і метаданих збору, дослідження/аналізу електронних поштових повідомлень, що доставляються з використанням Web-мережі.
  • K0132: Знання тих системних файлів, які містять відповідну інформацію (наприклад, реєстраційні журнали та файли, файли налаштувань), а також, де можна знайти такі системні файли.
  • K0133: Знання типів цифрових даних, що використовуються в криміналістиці, а також способів їх розпізнавання.
  • K0134: Знання портативних засобів проведення криміналістичної експертизи.
  • K0145: Знання інструментів визначення взаємозв’язків між подіями, пов’язаними зі сферою безпеки.
  • K0155: Знання законодавства про електронні докази..
  • K0156: Знання правових основ збору свідчень і судочинства.
  • K0167: Знання способів підвищення вимог до системного і мережевого адміністрування та операційних систем.
  • K0168: Знання діючих законів, законодавчих актів парламенту (наприклад, статті 10, 18, 32, 50 кодексу США), директив президента, постанов і розпоряджень органів виконавчої влади та/або кодексу і процедур адміністративного/кримінального права.
  • K0179: Знання концепцій архітектури безпеки мережі, включаючи топологію, протоколи, компоненти і принципи (наприклад, прикладна система ешелонованої захисту).
  • K0182: Знання засобів і способів обробки даних (наприклад, програма для відновлення втрачених даних «Foremost»).
  • K0183: Знання концепцій технічного аналізу виробів.
  • K0184: Знання тактик, способів і процедур протидії кримінальному розслідуванню.
  • K0185: Знання процедур проведення криміналістичної експертизи, а також додатків, що її підтримують (наприклад, VMWare, Wireshark).
  • K0186: Знання процедур і засобів виявлення та усунення несправностей.
  • K0187: Знання типів файлів, якими зловживають порушники, в разі аномального функціонування системи.
  • K0188: Знання інструментів аналізу шкідливого ПЗ (наприклад, Oіly Debug, Ida Pro).
  • K0189: Знання шкідливого ПЗ, що виявляється у віртуальних машинах (наприклад, відоме шкідливе ПЗ, виявлення і блокування/видалення відомого і «розпакованого» шкідливого ПЗ, яке «шукає» послідовності, що відносяться до віртуальної машини і які відображаються на екрані комп’ютера).
  • K0305: Знання способів маскування даних (наприклад, алгоритми шифрування і стенографія).
  • K0624: Знання ризиків безпеки додатків (рейтинг Відкритого проекту з безпеки прикладних програм Інтернету).

Навички

  • S0032: Навичка розробки, тестування і впровадження планів реагування на нештатні ситуації і відновлення мережевої інфраструктури.
  • S0046: Навичка аналізу на мережевому рівні (IP-пакетів) з використанням відповідних засобів (наприклад, ПЗ для аналізу мережевого трафіку «Wireshark», «tcpdump»).
  • S0047: Навичка забезпечення цілісності доказу відповідно до стандартних функціональних процедур або національних стандартів.
  • S0062: Навичка аналізу даних, що зберігаються в робочій пам’яті, з метою вилучення інформації.
  • S0065: Навичка ідентифікації та витягування даних, що представляють інтерес для криміналістичної експертизи, з різних електронних ЗМІ (тобто електронні засоби для криміналістичної експертизи).
  • S0067: Навичка визначення, модифікації і грамотного поводження з компонентами прикладних систем в рамках ОС «Windows», «Unix» або «Linux» (наприклад, паролі, реєстраційні дані користувачів, файли).
  • S0068: Навичка збору, обробки, пакування, транспортування і зберігання електронного доказу з метою запобігання модифікації, втрати, фізичного руйнування або знищення даних.
  • S0069: Навичка збору і налаштування робочої станції для криміналістичної експертизи.
  • S0071: Навичка використання комплексу засобів для проведення криміналістичної експертизи (наприклад, комплекси «EnCase», «Sleuthkit», «FTK»).
  • S0073: Навичка використання віртуальних машин (наприклад, Microsoft Hyper-V, VMWare vSphere, Citrix XenDesktop/Server, Amazon Elastic Compute Cloud, тощо).
  • S0074: Навичка фізичного демонтажу ПК.
  • S0075: Навичка проведення криміналістичної експертизи в різних інфраструктурах, що використовують різні ОС (наприклад, системи мобільного зв’язку).
  • S0087: Навичка поглибленого аналізу виявленої шкідливої програми/коду (наприклад, криміналістичний аналіз шкідливого ПЗ).
  • S0088: Навичка використання засобів бінарного аналізу (наприклад, редактор файлів «Hexedit», коди команд «xxd» (ОС Linux) і «hexdump» (Free BSD)).
  • S0089: Навичка застосування односпрямованих хеш-функцій (наприклад, SHA і MD5).
  • S0090: Навичка аналізу аномального програмного коду для визначення, чи шкідливий він, чи безпечний.
  • S0091: Навичка аналізу швидко змінюваних даних.
  • S0092: Навичка ідентифікації методів обфускації.
  • S0093: Навичка інтерпретації результатів роботи налагоджувача з метою визначення тактики, техніки та процедури.

Вміння

  • A0005: Вміння дешифрувати здобуті цифрові дані.
  • A0175: Вміння перевіряти цифрові мультимедійні дані на декількох платформах операційної системи.

(IN-FOR-002)
Аналізує цифрові докази та досліджує інциденти, пов’язані з безпекою комп’ютерів, для отримання корисної інформації з метою зменшення системної/ мережевої уразливості.

Завдання

  • T0027: Проводити аналіз файлів системного журналу, доказів та іншої інформації для визначення найкращих методів виявлення злочинця (ів), які вторгаються в мережу.
  • T0036: Підтверджувати відомі факти вторгнення та добувати нову інформацію, якщо це можливо, після виявлення вторгнення за допомогою динамічного аналізу.
  • T0048: Створювати дублікати доказів (наприклад, криміналістичного зображення) з гарантією виключення ненавмисних змін оригінальних доказів з метою використання їх у процесі відновлення даних та аналізу. Такі дублікати включають, але не обмежуються, жорсткі диски, дискети, компакт-диски, КПК, мобільні телефони, GPS та всі формати запису.
  • T0049: Розшифровувати дані за допомогою технічних засобів.
  • T0075: Надавати технічне резюме висновків відповідно до встановлених процедур звітування.
  • T0087: Забезпечувати дотримання ланцюга забезпечення схоронності для всіх цифрових носіїв відповідно до Федеральних правил про докази.
  • T0103: Вивчати відновлені дані для отримання інформації стосовно проблеми.
  • T0113: Визначати цифрові докази для вивчення та аналізу таким чином, щоб уникнути ненавмисних змін.
  • T0165: Проводити динамічний аналіз завантаження «образу» диска (без необхідності наявності самого жорсткого диска) з метою розуміння процесу вторгнення в природному середовищі і як користувач міг його спостерігати.
  • T0167: Проводити сигнатурний аналіз файлів.
  • T0168: Порівнювати результати обчислення хеш-функції з результатами, які були отримані раніше і зберігаються в базі даних.
  • T0172: Проводити криміналістичний аналіз в режимі реального часу (наприклад, використовуючи Helix спільно з LiveView).
  • T0173: Проводити аналіз відповідності плану-графіку.
  • T0175: Проводити в масштабі реального часу аналіз інцидентів (наприклад, збір криміналістичних матеріалів, зіставлення і відстеження вторгнень, аналіз загроз і пряме відновлення системи), пов’язаних з відображенням кібератак, з метою підтримки створюваних груп реагування на інциденти (IRT).
  • T0179: Проводити статистичний аналіз засобів масової інформації.
  • T0182: Проводити аналіз шкідливого ПЗ 1, 2 і 3 рівнів.
  • T0190: Готувати цифрові електронні засоби обробки зображень шляхом гарантованого забезпечення цілісності даних (наприклад, блокування записів відповідно до стандартних функціональних процедур).
  • T0212: Надавати технічну допомогу відповідному персоналу з питань цифрового доказу (свідчення).
  • T0216: Розпізнавати і звітувати про речові докази, що вказують на конкретну операційну систему.
  • T0238: Добувати дані за допомогою технік «вирізання» даних (наприклад, набір інструментів для судово-криміналістичної експертизи Forensic Tool Kit [FTK], програма Foremost).
  • T0240: Перехоплювати та аналізувати мережевий трафік, пов’язаний з незаконними діями, використовуючи засоби мережевого моніторингу.
  • T0241: Використовувати спеціалізоване обладнання і техніки каталогізації, документування, вилучення, накопичення, архівування та зберігання цифрових доказів.
  • T0253: Проводити зовнішній (попередній) бінарний аналіз.
  • T0279: Виконувати обов’язки технічного експерта, взаємодіяти з представниками правоохоронних органів та роз’яснювати деталі інцидентів, при необхідності.
  • T0285: Сканувати цифрові носії на предмет наявності вірусів.
  • T0286: Проводити криміналістичний аналіз файлової системи.
  • T0287: Проводити статистичний аналіз з метою створення «образу» диска (без необхідності наявності вихідного диска).
  • T0288: Проводити аналіз стаціонарного шкідливого програмного забезпечення.
  • T0289: Використовувати портативний набір засобів проведення криміналістичної експертизи з метою забезпечення проведення операцій, при необхідності.
  • T0312: Співпраціювати з аналітиками розвідки з метою зіставлення даних при оцінці загроз.
  • T0396: Обробляти зображення відповідними засобами в залежності цілей аналізу.
  • T0397: Аналізувати реєстраційні записи ОС «Windows».
  • T0398: Проводити моніторинг файлів і регістра в функціонуючій системі після виявлення вторгнення за допомогою динамічного аналізу.
  • T0399: Вводити інформацію про електронний носій в базу даних (наприклад, база обліку і контролю виробів Product Tracker Tool) обліку та контролю придбаних електронних носіїв.
  • T0400: Зіставляти дані про інциденти та готувати звітні документи з кіберзахисту.
  • T0401: Підтримувати у постійній готовності набір засобів кіберзахисту (наприклад, спеціалізоване програмне забезпечення/технічне забезпечення) з метою забезпечення діяльності групи реагування на інциденти.
  • T0432: Збирати та аналізувати факти вторгнення (наприклад, вихідний код, шкідливе ПЗ та системні налаштування) і використовувати отримані дані з метою зниження негативних наслідків від можливих інцидентів, пов’язаних з відображенням кібератак, всередині підприємства.
  • T0532: Аналізувати криміналістичні зображення та інші джерела даних (наприклад, енергозалежні дані) з метою добування потенційно важливої інформації.
  • T0546: Писати і публікувати рекомендації з кібербезпеки, а також звітні документи і експертні доклади з результатами аналізу інцидентів для відповідної аудиторії.

Знання

  • K0001: Знання концепцій і протоколів комп’ютерних мереж, а також методології забезпечення мережевої безпеки.
  • K0002: Знання процесів аналізу і зниження ризиків (наприклад, методів аналізу та зниження негативних наслідків від реалізації ризиків).
  • K0003: Знання законів, нормативних правових актів, політик і етичних норм, і як вони пов’язані з забезпеченням кібербезпеки і конфіденційності.
  • K0004: Знання принципів забезпеченням кібербезпеки і конфіденційності.
  • K0005: Знання кіберзагроз та вразливостей.
  • K0006: Знання конкретних функціональних наслідків в результаті помилок в системі безпеки.
  • K0018: Знання алгоритмів шифрування.
  • K0021: Знання резервного копіювання та відновлення даних.
  • K0042: Знання методології реагування на інциденти і обробки даних інцидентів.
  • K0060: Знання операційних систем.
  • K0070: Знання загроз і вразливостей безпеки систем і прикладних процесів (наприклад, перевищення допустимого завантаження буферної пам’яті, мобільний код, процедурна мова/мова структурованих запитів [PL/SQL] і вторгнення, уразливості типу «стан гонки», незахищений канал, повторна передача, повторно-орієнтовані атаки, шкідливий код).
  • K0077: Знання операційних систем сервера і клієнта.
  • K0078: Знання засобів діагностики і способів виявлення несправностей в серверах.
  • K0109: Знання фізичних компонентів і архітектури ЕОМ, включаючи функції різних компонентів і периферійних пристроїв (наприклад, процесорів, мережевих адаптерів, сховищ даних).
  • K0117: Знання реалізацій файлових систем (наприклад, Файлова система нової технології [NTFS], Таблиця розміщення файлів [FAT], Розширення файлу [EXT]).
  • K0118: Знання процедур вилучення і зберігання цифрових доказів.
  • K0119: Знання методологій проведення хакерських атак.
  • K0122: Знання процесу розслідування впливу технічного забезпечення, операційних систем і мережевих технологій.
  • K0123: Знання правового регулювання, що стосується допустимості/застосовності (наприклад, правил збору, зберігання та подання речових доказів).
  • K0125: Знання процесів збору, форматування, доставки і зберігання електронних доказів протягом усього етапу постачання/поставок.
  • K0128: Знання типів і системи збору даних, які постійно оновлюються.
  • K0131: Знання способів, засобів і метаданих збору, дослідження/аналізу електронних поштових повідомлень, що доставляються з використанням Web-мережі.
  • K0132: Знання тих системних файлів, які містять відповідну інформацію (наприклад, реєстраційні журнали та файли, файли налаштувань), а також, де можна знайти такі системні файли.
  • K0133: Знання типів цифрових даних, що використовуються в криміналістиці, а також способів їх розпізнавання.
  • K0134: Знання портативних засобів проведення криміналістичної експертизи.
  • K0145: Знання інструментів визначення взаємозв’язків між подіями, пов’язаними зі сферою безпеки.
  • K0155: Знання законодавства про електронні докази..
  • K0156: Знання правових основ збору свідчень і судочинства.
  • K0167: Знання способів підвищення вимог до системного і мережевого адміністрування та операційних систем.
  • K0168: Знання діючих законів, законодавчих актів парламенту (наприклад, статті 10, 18, 32, 50 кодексу США), директив президента, постанов і розпоряджень органів виконавчої влади та/або кодексу і процедур адміністративного/кримінального права.
  • K0179: Знання концепцій архітектури безпеки мережі, включаючи топологію, протоколи, компоненти і принципи (наприклад, прикладна система ешелонованої захисту).
  • K0182: Знання засобів і способів обробки даних (наприклад, програма для відновлення втрачених даних «Foremost»).
  • K0183: Знання концепцій технічного аналізу виробів.
  • K0184: Знання тактик, способів і процедур протидії кримінальному розслідуванню.
  • K0185: Знання процедур проведення криміналістичної експертизи, а також додатків, що її підтримують (наприклад, VMWare, Wireshark).
  • K0186: Знання процедур і засобів виявлення та усунення несправностей.
  • K0187: Знання типів файлів, якими зловживають порушники, в разі аномального функціонування системи.
  • K0188: Знання інструментів аналізу шкідливого ПЗ (наприклад, Oіly Debug, Ida Pro).
  • K0189: Знання шкідливого ПЗ, що виявляється у віртуальних машинах (наприклад, відоме шкідливе ПЗ, виявлення і блокування/видалення відомого і «розпакованого» шкідливого ПЗ, яке «шукає» послідовності, що відносяться до віртуальної машини і які відображаються на екрані комп’ютера).
  • K0224: Знання концепцій системного адміністрування операційних систем, наприклад, ОС (і не тільки) «Unix/Linux», «IOS», «Android» і «Windows».
  • K0254: Знання теорії бінарного аналізу.
  • K0255: Знання концепцій мережевої архітектури, включаючи топологію, протоколи та компоненти.
  • K0301: Знання відповідних засобів, що використовуються при аналізі на пакетному (мережевому) рівні (наприклад, програмні комплекси аналізу трафіку «Wireshark», «tcpdump»).
  • K0304: Знання концепцій і методик обробки цифрових даних, що використовуються при проведенні криміналістичних розслідувань.
  • K0347: Знання і розуміння розробки операцій.
  • K0624: Знання ризиків безпеки додатків (рейтинг Відкритого проекту з безпеки прикладних програм Інтернету).

Навички

  • S0032: Навичка розробки, тестування і впровадження планів реагування на нештатні ситуації і відновлення мережевої інфраструктури.
  • S0047: Навичка забезпечення цілісності доказу відповідно до стандартних функціональних процедур або національних стандартів.
  • S0062: Навичка аналізу даних, що зберігаються в робочій пам’яті, з метою вилучення інформації.
  • S0065: Навичка ідентифікації та витягування даних, що представляють інтерес для криміналістичної експертизи, з різних електронних ЗМІ (тобто електронні засоби для криміналістичної експертизи).
  • S0067: Навичка визначення, модифікації і грамотного поводження з компонентами прикладних систем в рамках ОС «Windows», «Unix» або «Linux» (наприклад, паролі, реєстраційні дані користувачів, файли).
  • S0068: Навичка збору, обробки, пакування, транспортування і зберігання електронного доказу з метою запобігання модифікації, втрати, фізичного руйнування або знищення даних.
  • S0069: Навичка збору і налаштування робочої станції для криміналістичної експертизи.
  • S0071: Навичка використання комплексу засобів для проведення криміналістичної експертизи (наприклад, комплекси «EnCase», «Sleuthkit», «FTK»).
  • S0073: Навичка використання віртуальних машин (наприклад, Microsoft Hyper-V, VMWare vSphere, Citrix XenDesktop/Server, Amazon Elastic Compute Cloud, тощо).
  • S0074: Навичка фізичного демонтажу ПК.
  • S0075: Навичка проведення криміналістичної експертизи в різних інфраструктурах, що використовують різні ОС (наприклад, системи мобільного зв’язку).
  • S0087: Навичка поглибленого аналізу виявленої шкідливої програми/коду (наприклад, криміналістичний аналіз шкідливого ПЗ).
  • S0088: Навичка використання засобів бінарного аналізу (наприклад, редактор файлів «Hexedit», коди команд «xxd» (ОС Linux) і «hexdump» (Free BSD)).
  • S0089: Навичка застосування односпрямованих хеш-функцій (наприклад, SHA і MD5).
  • S0090: Навичка аналізу аномального програмного коду для визначення, чи шкідливий він, чи безпечний.
  • S0091: Навичка аналізу швидко змінюваних даних.
  • S0092: Навичка ідентифікації методів обфускації.
  • S0093: Навичка інтерпретації результатів роботи налагоджувача з метою визначення тактики, техніки та процедури.
  • S0131: Навичка аналізу шкідливого ПЗ.
  • S0132: Навичка проведення бітового аналізу.
  • S0133: Навичка обробки цифрових доказів, включаючи захист та створення юридично обґрунтованих копій доказів.
  • S0156: Навичка здійснення аналізу на мережевому (пакетному) рівні.

Вміння

  • A0005: Вміння дешифрувати здобуті цифрові дані.
  • A0043: Вміння проводити криміналістичну експертизу в інфраструктурах на основі ОС «Windows» і «Unix»/«Linux».