Endepunktanalyse - forensics
Ved alvorlige digitale hendelser tilbys forensics som en støtte til kartlegging og tekniske undersøkelser ved alvorlige cyberhendelser mot samfunnet.
Hva er endepunktsanalyse
Hendelser i cyberrommet kan oppdages og analyseres ved hjelp av flere metoder, blant annet nettverks- eller skadevareanalyse. I tillegg har NCSC evne til å tolke aktivitet på endepunkter, som laptoper og smarttelefoner. NCSC samler ved behov inn og støtter virksomheter i denne typen analyse. Analysens mål er å gi informasjon om aktiviteten og bidra til et oppdatert risikobilde.
Begrepet «forensics» kommer fra "digital/computer forensics", og innebærer innhenting og analyse av data i forbindelse med en etterforskning. Seksjon for cyberanalyse tilbyr forensics som en støtte til kartlegging og tekniske undersøkelser ved alvorlige cyberhendelser mot samfunnet.
Forensicsprosessen deles inn i fem faser.
- Datainnsamling
- Bearbeiding av data
- Analyse
- Rapportering
- Evaluering
Datainnsamling
Innsamling og sikring av relevante data er første steg under en hendelse. Et godt datagrunnlag kreves for å kartlegge spor i en hendelse. NCSC ser i hendelser at trusselaktører aktivt skjuler egne spor, og benytter vanlige administrasjonsverktøy for å oppnå et mål. Denne teknikken gjør det vanskelig å skille trusselaktører fra systemadministratorer. I noen tilfeller er det ikke mulig gjenskape aktiviteten, noe som viser hvor viktig objektive datakilder er, slik som nettverkslogger. Sentralisert logging er også et godt tiltak som gjør vanskeligere for trusselaktøren å skjule sine spor.
På lik linje med at trusselaktørene utvikler sine metoder for å skjule seg, må en forensicsanalytiker være kreativ for å finne nye deteksjonsmetoder. Seksjon for cyberanalyse gjennomfører derfor kontinuerlig metodeutvikling innen forensics.
Bearbeiding av data
Rå-data bearbeides av programvare for klargjøring til analyse. Eksempler på bearbeidingen er søk etter kjent skadevare, uthenting av relevante loggfiler og gjenoppretting av slettede filer.
Analyse
Analyse gjennomføres når data er hentet inn og bearbeidet. Analytikeren kan så gå igjennom resultater fra forskjellige kilder for å besvare informasjonsbehov. Et eksempel på analyse er evaluering av alle programmer som er kjørt på en datamaskin. På denne måten kan analytikeren identifisere skadelig programvare. Mange trusselaktører er godt trent i å skjule spor, og det kreves derfor gode metoder og tålmodighet for å finne sporene.
Rapportering
Når analyse er gjennomført, utarbeides en teknisk forensicsrapport som beskriver og oppsummerer funn. Resultatet av analysen brukes for å kunne si noe om hva funnene faktisk betyr for den berørte virksomheten. Denne rapporten benyttes også som et grunnlag for rådgivning og tiltaksutvikling i NCSC.
Evaluering
I en digital verden med konstant utvikling er evaluering av egen evne og metode en forutsetning. Etter hendelser ser vi på utfordringer og forbedringspotensial under håndteringen. Evalueringen skal føre til konkrete tiltak. Eksempler på slike tiltak er automatisering av manuelle prosesser, innhenting eller utvikling av nye verktøy, eller endring i arbeidsmetodikk for å effektivisere tidsbruk.