2013年10月5日 星期六

我的數位鑑識初體驗

最近機關成立自己的數位鑑識小組,用以搜證及分析資安事件發生的來源與原因,幸與不幸,我正是成員之一。
機關以專案方式委託專業公司為我們制定相關程序,並安排近150小時的訓練課程,課程範圍涵鑑識工具(Encase Forensic)、搜證工具(Encase Forensic portable、Helix Pro)、OpenSource Tools、各類證據型態判讀及分析、證據鑑識方法及AntiForensic對策。主管認為要能防守,就必須瞭解攻擊手法,所以除了鑑識知識外,還要學駭客入侵手法分析及滲透測試技巧。
現場搜證比較單純,反正就是把現場可能的證物扣回去,鑑識工作就困難出了,畢竟要從一堆數位資料中找出真正的證據,原本就有點像大海裡撈針 ,何況駭客(如果是)能入侵到機關內部,絕不是等閒之輩,豈會不隱匿行蹤,就這樣找幾個外行人訓練,真的能達成鑑識任務???
這是我自去年參加資安防護訓練之後,第二次參與這麼完成的教育訓練,雖說訓練,但是沒有練習環境,很多都是紙上談兵,在台灣有刑法第三十六章妨礙電腦使用罪,隨便「測試」別人的電腦可是會吃官司的,沒有實戰,訓練就像背書本一樣,久了就忘了!
這次的數位鑑識訓練也是相同的情形,課程三個月不複習就忘掉一半,機關一年能有幾件需要鑑識的案件? 何況我們這個小組是兼職作業,平時的工作仍然要兼顧,業務只會愈來愈多,鑑識最後只會淪為工作的點綴,老闆! 請不要期待我們能交出多好的成績!

2 則留言:

  1. 辛苦了哈~在此也分享一個深入探討數位鑑識分析的部落格 http://www.cnblogs.com/pieces0310/

    回覆刪除