Forensic không phải là khái niệm xa lạ với những người làm an toàn thông tin, nhưng với số đông người dùng thì vẫn là một khái niệm khá mới mẻ.
Forensic là gì?
Trong lĩnh vực an toàn thông tin, Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.
Mục tiêu của Forensic?
Mục tiêu cốt lõi của dịch vụ là phát hiện, bảo quản, khai thác và đưa ra kết luận về dữ liệu thu thập được. Cần lưu ý rằng dữ liệu phải đảm bảo tính xác thực, và được lấy mà không bị hư hại, nếu không dữ liệu đấy sẽ không còn ý nghĩa.
Tại sao cần phải Forensic?
Bạn là chủ doanh nghiệp một ngày đẹp trời gặp phải những vấn đề sau:
- Công ty của bạn bị gởi email/tin nhắn nặc danh khủng bố và các bạn muốn biết ai là thủ phạm ?
- Công ty của bạn bị DOS(tấn công từ chối dịch vụ) và các bạn muốn biết tin tặc ở đâu gây ra ?
- Website bị deface, hệ thống công ty bị xâm nhập và bạn muốn tìm ra ai là thủ phạm ?
- Thông tin, dữ liệu nhạy cảm trong công ty bị tiết lộ ra ngoài mà bạn không biết nguyên nhân tại sao ?
Bạn muốn xác định nguyên nhân bị tấn công, tìm cách khắc phục để sự việc không tái diễn hay xa hơn là xác định thủ phạm. Đó là lúc bạn cần đến Forensics.
Forensic những gì?
Forensic thường làm việc với các đối tượng:
- Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi dữ liệu khi bị xóa…
- File System: Phân tích các file hệ thống, hệ điều hành windows, linux, android…
- Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, reverse ứng dụng…
- Network: Phân tích gói tin mạng, sự bất thường trong mạng
- Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump ra