Forensics
Digitaal forensisch onderzoek is een activiteit binnen het incidentresponsproces en richt zich op het duiden van afwijkende gebeurtenissen op IT-infrastructuur, zoals computersystemen, netwerkcomponenten en mobiele dragers. Het geeft antwoord op vragen: “Wat is er gebeurd?”, "Wat is de schade?" en "Wat moeten we doen?". Deze antwoorden helpen bij het bepalen van de vervolgstappen om herhaling van incidenten te voorkomen of ze eerder te herkennen.
Wat betekent forensisch onderzoek voor mijn organisatie?
Een kwaadwillende kan het gemunt hebben op een organisatie, of gebruik maken van de gelegenheid om malafide activiteiten te ontplooien. Denk bijvoorbeeld aan ransomware. Iedere organisatie moet zich daarom voorbereiden om digitaal forensisch onderzoek mogelijk te maken. Dat kan met behulp van een incidentresponsplan en technische middelen. Ook is het voor organisaties van belang om kennis en procedures in het beveiligingsregime te ontwikkelen, te implementeren en te onderhouden als het aankomt op de voorbereiding voor forensisch onderzoek.
Wat doet het NCSC?
Het NCSC heeft diepgaande kennis om doelgroepsorganisaties hulp te bieden bij het uitvoeren van forensische onderzoeken. Het reageren op incidenten is een kerntaak van het NCSC. Onze specialisten kunnen helpen bij het oplossen van incidenten en het uitvoeren van forensisch onderzoek.
Daarnaast werken onze analisten en adviseurs aan het weerbaar maken van onze doelgroeporganisaties. We delen onze kennis via whitepapers en factsheets, waar op deze website allerlei vrij te downloaden voorbeelden van te vinden zijn. Via het Nationaal Detectie Netwerk wordt het NCSC automatisch geïnformeerd over ongewenste bewegingen bij onze doelgroeporganisaties.
Welke onderzoeksvragen worden er gesteld?
Voorbeelden van forensisch onderzoek
- Disk: er wordt onderzocht of er sporen zijn te vinden van de malware op disk. Bijvoorbeeld een binary die is gebruikt voor het downloaden voor additionele malware of C2-verkeer met een kwaadwillende voor het ontvangen van instructies.
- Memory: malware is niet altijd te vinden op disk. Steeds vaker is er fileless malware die zich geheel in geheugen bevindt. Er wordt onderzocht of er processen bestaan met vreemde eigenschappen.
- Log: een computersysteem genereert veel loginformatie. Tijdens een forensisch onderzoek worden logbestanden doorzocht voor het verkrijgen van inzicht in wat er met het systeem is gebeurd.
In de praktijk worden verschillende bronnen gecombineerd voor een forensisch onderzoek. Daarom wordt in de praktijk een timeline gemaakt met daarin zoveel mogelijk bronnen. Bijvoorbeeld disk, memory en log. De tijdlijn maakt chronologisch inzichtelijk wat er zich heeft afgespeeld in het besmette systeem.