Forensics

Digitaal forensisch onderzoek is een activiteit binnen het incidentresponsproces en richt zich op het duiden van afwijkende gebeurtenissen op IT-infrastructuur, zoals computersystemen, netwerkcomponenten en mobiele dragers. Het geeft antwoord op vragen: “Wat is er gebeurd?”, "Wat is de schade?" en "Wat moeten we doen?". Deze antwoorden helpen bij het bepalen van de vervolgstappen om herhaling van incidenten te voorkomen of ze eerder te herkennen.

Wat betekent forensisch onderzoek voor mijn organisatie?

Een kwaadwillende kan het gemunt hebben op een organisatie, of gebruik maken van de gelegenheid om malafide activiteiten te ontplooien. Denk bijvoorbeeld aan ransomware. Iedere organisatie moet zich daarom voorbereiden om digitaal forensisch onderzoek mogelijk te maken. Dat kan met behulp van een incidentresponsplan en technische middelen. Ook is het voor organisaties van belang om kennis en procedures in het beveiligingsregime te ontwikkelen, te implementeren en te onderhouden als het aankomt op de voorbereiding voor forensisch onderzoek.

Wat doet het NCSC?

Het NCSC heeft diepgaande kennis om doelgroepsorganisaties hulp te bieden bij het uitvoeren van forensische onderzoeken. Het reageren op incidenten is een kerntaak van het NCSC. Onze specialisten kunnen helpen bij het oplossen van incidenten en het uitvoeren van forensisch onderzoek.

Daarnaast werken onze analisten en adviseurs aan het weerbaar maken van onze doelgroeporganisaties. We delen onze kennis via whitepapers en factsheets, waar op deze website allerlei vrij te downloaden voorbeelden van te vinden zijn. Via het Nationaal Detectie Netwerk wordt het NCSC automatisch geïnformeerd over ongewenste bewegingen bij onze doelgroeporganisaties.

Welke onderzoeksvragen worden er gesteld?

Het risico om gepakt en gestraft te worden voor het compromitteren van computersystemen is klein. Een kwaadwillende die zich toegang verschaft tot een systeem, zal de informatie die hij of zij vindt gebruiken voor eigen gewin. Bijvoorbeeld spionage, dataverkoop en afpersing. Het vaststellen van de schade geeft inzicht in het hersteltraject, het vervullen van meldplichten en het notificeren van doelgroepen of klanten.

Een kwaadwillende zal in de post-exploitatiefase zijn toegang willen verstevigen en de omgeving verkennen op zoek naar andere waardevolle informatie. Het uitbreken naar andere systemen wordt ook wel horizontale verspreiding genoemd. Voor het succesvol verwijderen van de dreiging is het noodzakelijk vast te stellen of er andere systemen besmet zijn geraakt. Lukt dit niet, dan bestaat de kans dat de kwaadwillende na de herstelfase via een ander systeem het oorspronkelijke systeem opnieuw compromitteert.

Voorbeelden van forensisch onderzoek

Disk: er wordt onderzocht of er sporen zijn te vinden van de malware op disk. Bijvoorbeeld een binary die is gebruikt voor het downloaden voor additionele malware of C2-verkeer met een kwaadwillende voor het ontvangen van instructies.
Memory: malware is niet altijd te vinden op disk. Steeds vaker is er fileless malware die zich geheel in geheugen bevindt. Er wordt onderzocht of er processen bestaan met vreemde eigenschappen.
Log: een computersysteem genereert veel loginformatie. Tijdens een forensisch onderzoek worden logbestanden doorzocht voor het verkrijgen van inzicht in wat er met het systeem is gebeurd.

In de praktijk worden verschillende bronnen gecombineerd voor een forensisch onderzoek. Daarom wordt in de praktijk een timeline gemaakt met daarin zoveel mogelijk bronnen. Bijvoorbeeld disk, memory en log. De tijdlijn maakt chronologisch inzichtelijk wat er zich heeft afgespeeld in het besmette systeem.

Forensics

Wat betekent forensisch onderzoek voor mijn organisatie?

Wat doet het NCSC?

Welke onderzoeksvragen worden er gesteld?

Wat is de oorzaak?

Wat is de schade?

Wat is de omvang?

Wat is het advies?

Voorbeelden van forensisch onderzoek

Deel deze pagina