Ga direct naar inhoud

Waarom forensisch onderzoek?

Forensisch onderzoek wordt om verschillende redenen uitgevoerd. Een organisatie die forensisch onderzoek uitvoert, heeft of denkt te maken te hebben met een incident. Vaak is de omvang en impact daarbij nog niet vastgesteld. Met behulp van forensisch onderzoek wordt geprobeerd de schade te beperken en de dreiging te verwijderen.

Welke onderzoeksvragen worden er gesteld?

Er bestaan op hoofdlijnen vier onderzoeksvragen die van belang zijn om een situatie in kaart te brengen. Aan de hand van de volgende vier onderzoeksvragen kunnen vervolgstappen worden bepaald:

  • Wat is de oorzaak?
    Een systeem dat raar verdrag vertoont is mogelijk gecompromitteerd en besmet met malware. Het is van belang te achterhalen hoe het systeem besmet heeft kunnen raken. Belangrijke vragen hierbij zijn: om welke software gaat het? Welke programma’s zijn er als eerst gecompromitteerd en wanneer?
  • Wat is de schade?
    Het risico om gepakt en gestraft te worden voor het compromitteren van computersystemen is klein. Een kwaadwillende die zich toegang verschaft tot een systeem, zal de informatie die hij of zij vindt gebruiken voor eigen gewin. Bijvoorbeeld spionage, dataverkoop en afpersing. Het vaststellen van de schade geeft inzicht in het hersteltraject, het vervullen van meldplichten en het notificeren van doelgroepen of klanten.
  • Wat is de omvang?
    Een kwaadwillende in de post-exploitatiefase zal zijn toegang willen verstevigen en zal de omgeving verkennen op zoek naar andere waardevolle informatie. Het uitbreken naar andere systemen wordt ook wel horizontale verspreiding genoemd. Voor het succesvol verwijderen van de dreiging is het noodzakelijk vast te stellen of er andere systemen besmet zijn geraakt. Lukt dit niet, dan bestaat de kans dat de kwaadwillende na de herstelfase via een ander systeem het oorspronkelijke systeem opnieuw compromitteert.
  • Wat is het advies?
    De herstelfase gaat van start wanneer de oorzaak, schade en impact zijn bepaald. De herstelfase verschilt per casus en is gericht op herstel van schade en op het verkleinen van de kans op toekomstige soortgelijke incidenten.

Voorbeelden van forensisch onderzoek

  • Disk: er wordt onderzocht of er sporen zijn te vinden van de malware op disk. Bijvoorbeeld een binary die is gebruikt voor het downloaden voor additionele malware of C2-verkeer met een kwaadwillende voor het ontvangen van instructies.
  • Memory: malware is niet altijd te vinden op disk. Steeds vaker is er fileless malware die zich geheel in geheugen bevindt. Er wordt onderzocht of er processen bestaan met vreemde eigenschappen.
  • Log: een computersysteem genereert veel log-informatie. Tijdens een forensisch onderzoek worden logbestanden doorzocht voor het verkrijgen van inzicht in wat er met het systeem is gebeurd.  

In de praktijk worden verschillende bronnen gecombineerd voor een forensisch onderzoek. Daarom wordt in de praktijk een timeline gemaakt met daarin zoveel mogelijk bronnen. Bijvoorbeeld disk, memory en log. De tijdlijn maakt chronologisch inzichtelijk wat er zich heeft afgespeeld in het besmette systeem.