标签 用“数字取证”标记的帖子
标签:

数字取证

数字证据
CTO / CIO.网络安全

当人们失败技术时:数字证据搜索

经过米格尔古林
写道米格尔古林

作为一家学区的技术领导者,我们都令人担忧地呼吁人力资源部门拿起员工的电脑以立即采取行动。在大多数情况下,它是并非间谍软件和恶意软件克服的技术。相反,它是一名学区工作人员,失败了该技术,导致它被收集以获得证据。你做什么工作?

需要采取的步骤

在我作为技术总监的保单中,我遇到了至少七到八个举例,校园技术必须被没收,并且由于技术使用不当而终止。区域系统中的账户必须冻结,密码更改,或者,天堂禁止,删除。在其他情况下,必须将谷歌电子邮件帐户委托给另一个审查。技术领导者应采取哪些步骤保护该地区及其资产?

作为理所当然(例如,在工作人员的电脑上的色情病例),我注意到地区期待技术部门发挥数字取证作用。这确保了技术部门的工作人员,常为常见的意义,不会无意中摧毁证据。较大的地区有利于内部警察侦探,专门从事计算机取证,在较小的地区,有一辆推动在训练有素的数字取证训练的地方官员。它只需要一个专门的学生群体的一个分布式拒绝服务(DDOS / DOS)攻击,或者工作人员的技术使用,以使这是一个有价值的投资。

我监管的一些步骤包括以下内容:

  1. 要求由主管和/或人力资源领导人员提交和授权投诉表。如果校长有投诉,我立即将它们转到人力资源。我解释了技术部门可以在人力资源涉及之前不采取任何行动。这可以防止若干问题稍后通过剥夺证据收集过程。与此同时,我建议没收受影响的设备。
  2. 进行数字证据搜索。同样,计算机取证不是要轻描淡写的东西。但是还有其他事情可以在不影响证据的情况下完成,例如对互联网日志的详细搜索,看看单个用户已达到什么。当然,所有具有虚拟专用网络(VPN)的用户或所有设备的私人Internet访问(PIA)或浏览VPN在移动设备上(提及我使用的两个,但这不是一种认可)可以防止窥探眼睛。
  3. 向适当的工作人员提交机密调查结果,然后按照指示采取行动

数字证据搜索

下面,您将找到我在前一所学区使用的数字证据搜索表格。它是从许多人调整的,你可以在网上找到。这是这一点Google文档版本

数字证据搜索请求

方向:人力资源工作人员将完成此表格的第I部分,然后将其发送给技术部门完成。

第一部分:关于用户

(由人力资源工作人员完成)

Active Directory(广告)用户名:

___________________________________
当前作业:___________________________________

 要评估的地区设备:

__desktop计算机(Win / Mac)

__laptop计算机(Win / Mac)

__Bablet(iPad / Android)

__Mobile设备/外部USB存储

要求行动授权:__________________________

__又发出的地区设备

__对计算机存储可疑(例如,令人反感,显式,图形)内容

__浏览可疑网站流量和/或内容的互联网日志

__suspend帐户(圆圈:电子邮件|等级簿|PD跟踪器|计算机登录/广告)

__Change Google Apps密码/新密码:__________________________

__Change计算机登录/广告/ PD跟踪器密码

__Change Web内容管理系统密码

__delegate电子邮件帐户到_________________________(指定地区员工)

请求完成日期/时间:____________________________

第二节:数字证据发现

(由技术部门工作人员完成)

技术部门采取的行动
(所有努力都将保护免受污染的证据)

__internet日志审核__internet浏览器搜索和分析

__驾驶搜索和分析__移动计算机硬盘副本

__文件复制到光盘(CD)__ uspended账户请求第I节

__anti-malware软件验证为最新__阅读计算机注册表和/或偏好

__展会设备上装载的软件/应用程序,以确保适当和法律地位

__requested行动授权:_______________________________ /已完成(见上文)

笔记:

第三节:调查结果

  1. 由负责任使用协议(RUA)和地区政策/程序定义的内容是不合适的内容,位于任何用户的设备上?(圆圈:是的不 )
  1. 详细描述了发现的不适当内容,包括网站,图像,视频,文档,未经授权的软件等的描述在下面提供的空间中:
数字证据来源: 描述
设备存储
Internet日志,包括网站和IP地址
图片
视频
文件
计算机注册表,首选项,库
隐藏数据(例如,擦拭硬盘驱动器,加密数据,隐写术)

推荐

__没有可疑内容被发现。

__传送进一步的数字取证调查调查

__其他: _________________________________________________________________________________

  1. 此表格的何时和向谁提交人力资源:

谁:____________________________日期和时间:______________________________

结论

如果您已经接收到从地区领导地位关于一个数字成员的职位的收到呼叫,那么您正在表现得差的工作人员,您采取了哪些步骤?请在以下意见部分分享您的经验。

更新:此博客条目已在4/23/2018中为VPN的新鲜链接进行了更新。

0评论
0. Facebook 推特 Pinterest. linkedin 电子邮件