《商業服務新議題》防資訊犯罪 數位鑑識上陣

資訊犯罪案例層出不窮，文件倉提升數位鑑識能量成為企業重要的課題，數位鑑識崛起，即為了保存數位證據衍生之專門領域。據美國聯邦調查局全國電腦犯罪特勤組（NCCS）估計，平均有85％至95％的電腦網路入侵案件未被發現，被發現且遭舉發的比率低於10％；換言之，只有將近1％的電腦犯罪被偵辦。受害者在系統中大多能發現被入侵之蛛絲馬跡，卻苦於數位證據「易於複製與修改，但不易保留」以及「不易證實來源及完整性」，無法於法庭提出具備證據能力之數位證據。大多數企業面對提升數位鑑識能量都存在風險價值與投資成本之間取捨的問題，根據以往實際案例，企業可分階段取得應有之數位鑑識能量：階段1.提升現場蒐集數位證據能量以甲企業為例，希望能於案發後第一時間立即進行數位證據保存作業，避免揮發性資料因時間推移而被覆蓋，進而導致後續訴訟作業難以進行。於是甲企業本階段將提升能量之重心放在以下項目─●採購通過國際工具檢測組織之現場鑑識工具●客製化合適之數位證據蒐集作業●制定現場鑑識人員標準作業流程完成本階段後，甲企業一方面可以針對資安事件進行數位證據蒐集，另方面避免建置初期即投入過多資源。通過國際工具檢測之現場鑑識工具大多數已經發展成熟，本身預設數位證據蒐集功能，甲企業只需要將現場鑑識工具之相關設定，例如蒐證路徑、作業系統等，調整為符合甲企業所需內容即可。當資安事件發生，現場鑑識人員即可以此設定好之現場鑑識工具，簡單地完成數位證據蒐集作業。階段2.建置數位鑑識作業環境當甲企業完成鑑識能量提升後，隨即面臨蒐集完成之數位證據後續處理的問題，若資安事件數量不多，甲企業可以將鑑識分析作業外包給專業鑑識團隊，如果一段時間後發現外包成本大於自行提升鑑識分析能量，則甲公司應考慮將這部份納入規劃。本階段建置過程中，甲企業之鑑識人員透過相關國際標準瞭解鑑識實驗室建置之目的及相關標準，規劃下列各鑑識實驗室分區以利作業─●攝影紀錄區：以攝影、拆卸工具和防靜電設備進行紀錄。●硬碟複製區：以各種防寫及硬碟複製設存倉複製原始物證。●證物封存區：放置條碼機、標籤及符合國際規範之表單。●鑑識分析區：安裝專業鑑識軟體，進行鑑識分析。●證據保存區：以保險櫃存放重要證物階段3.建置數位鑑識標準作業流程乙組織之情況與甲企業類似，卻在第二階段結束後，考量組織文化，決定暫不進行數位鑑識標準作業流程之建置，經過一段時間後，乙組織負責人發現自現場蒐證程序結束後，負責後續處理的鑑識分析人員不瞭解封存、調閱及分析等相關程序，導致發生錯誤及額外時間成本。正確的鑑識能量提升應是，即使無法立即完成，也應逐步完善相關流程，避免增加組織成本。本階段包含：●數位鑑識前置準備標準作業程序。●數位證據蒐集、封存及運送作業程序。●數位證據保存及調閱作業程序。●數位鑑識分析參考指引程序。階段4.提升數位鑑識分析能量具備鑑識分析能力的人員培訓不易，鑑識科技日新月異，鑑識分析人員也無法精通所有資訊領域，例如擅長網路鑑識的人或許無法同樣精通影片還原，所以當組織遭遇各種不同類型之資安事件時，若超出鑑識分析人員所能處理的範圍，組織必須另外規劃外部教育訓練並同時請專家協助。所以鑑識能量提升為持續不斷的過程而非階段，概略上本階段所需要的能量有3個領域─●認知模組：針對數位鑑識觀念進行基礎認知學習，並對於事故發生時如何遵循鑑識程序之要求進行基本處理予以說明。●程序模組：說明數位鑑識作業標準程序，參與同仁可習得現場鑑識前之相關準備工作及數位證據蒐集、封存及運送要求，針對不同環境設備之實務標準程序加以理解。●技術模組：深入介紹相關專業數位鑑識工具之運用與不同環境下之分析方式，再分享新技術之鑑識分析方式。資訊技術一日千里，愈來愈多的系統漏洞、程式弱點被找到，甚至堂而皇之供任何人取用。反觀數位鑑識技術，雖然已有許多企業及政府單位正視，但仍無法與攻擊手法之進步相提並論，造成的損失與日俱增。如能加緊腳步建構數位鑑識之能量，才能提供安全且有保障之商業服務。（本文作者為勤業眾信聯合會計師事務所企業風險管理服務協理、資深顧問）儲存