Введение в историческую криминалистику и немножко о психологии
«Базовый уровень»
Друзья, а какие курсы или направления научной мысли еще вас интересуют?
Нам нужно ваше мнение . Лида Соловьева и Олег Павлюченко Aispik
Vkontakte
Twitter
Одноклассники
Взлом клятвы Гиппократа. Криминалистическая забава с медицинским Интернетом вещей
«Праздничный промо»
Взлом клятвы Гиппократа. Криминалистическая забава с медицинским Интернетом вещей. Анонс
в документе содержится криминалистический анализ области медицинского интернета вещей (IoMT), различных критических аспектов, имеющим отношение к данной области, включая разработку современных и эффективных методик forensics-анализа; методов получения данных с медицинских устройств; изучение проблем конфиденциальности и безопасности медицинских систем, и того, как это влияет на forensics-исследования; обзор forensics-технологий, с акцентом применимые к медицинским устройствам; анализ примеров из реальной практики.
Этот документ предлагает качественный материал текущего состояния медицинской криминалистики, что делает его ценным ресурсом для специалистов в области безопасности, forensics-специалистов и специалистов из различных отраслей промышленности. Представленная информация может помочь улучшить понимание и внедрение эффективных методов forensics-анализа.
-------
Быстрое внедрение Интернета вещей (IoT) в отрасли здравоохранения, известного как Интернет медицинских вещей (IoMT), произвело революцию в уходе за пациентами и медицинских операциях. Устройства IoMT, такие как имплантируемые медицинские устройства, носимые медицинские мониторы и интеллектуальное больничное оборудование, формируют и передают огромные объёмы конфиденциальных данных по сетям.
Криминалистика медицинских сетей Интернета вещей — это развивающаяся область, которая фокусируется на идентификации, сборе, анализе и сохранении цифровых доказательств с устройств и сетей IoMT. Она играет решающую роль в расследовании инцидентов безопасности, утечек данных и кибератак, направленных против организаций здравоохранения. Уникальная природа систем IoMT с их разнообразным набором устройств, протоколов связи и форматов данных создаёт значительные проблемы для традиционных методов цифровой криминалистики.
Основными задачами forensics-анализа медицинских сетей Интернета вещей являются:
📌 Реагирование на инциденты: Быстрое реагирование на инциденты безопасности путём определения источника, масштабов и последствий атаки, а также сбора доказательств или соблюдения нормативных требований.
📌 Сбор доказательств: Разработка специализированных методов получения и сохранения цифровых доказательств с устройств, сетей и облачных систем IoMT при сохранении целостности данных и цепочки хранения.
📌 Анализ данных: Анализ собранных данных, включая сетевой трафик, журналы устройств и показания датчиков для реконструкции событий, приведшие к инциденту, и определить потенциальные уязвимости или векторы атак.
📌 Анализ угроз: использование информации, полученной в ходе исследований для улучшения анализа угроз, совершенствования мер безопасности и предотвращения атак на IoMT.
Криминалистика медицинских сетей Интернета вещей требует междисциплинарного подхода, сочетающего опыт цифровой forensics-анализа, кибербезопасности, особенностей сектора здравоохранения и технологий Интернета вещей. Forensics-исследователи должны ориентироваться в сложностях систем IoMT, включая неоднородность устройств, ограниченность ресурсов, проприетарные протоколы и необходимость сохранения конфиденциальности пациентов и данных.
Когда велоцирапторы встречаются с виртуальными машинами. Криминалистическая сказка
«Праздничный промо»
Когда велоцирапторы встречаются с виртуальными машинами. Криминалистическая сказка. Анонс
Добро пожаловать в захватывающий мир криминалистического анализа в средах VMware ESXi с использованием Velociraptor, инструмента, который обещает немного облегчить вашу жизнь. Velociraptor, с его передовыми методами криминалистической обработки, адаптирован к сложностям виртуализированных серверных инфраструктур. Независимо от того, занимаетесь ли вы извлечением данных, анализом журналов или выявлением вредоносных действий, Velociraptor поможет в этом.
Но давайте не будем обманывать себя — это серьёзный бизнес. Целостность и безопасность виртуализированных сред имеют первостепенное значение, а способность проводить тщательные криминалистические расследования имеет решающее значение. Поэтому, хотя мы и можем немного иронизировать, важность этой работы трудно переоценить. Специалисты по безопасности, криминалисты-ИТ-аналитики и другие специалисты полагаются на эти инструменты и методологии для защиты своих инфраструктур. И это, дорогой читатель, не повод для смеха.
-------
В документе представлен комплексный анализ криминалистики с использованием инструмента Velociraptor. Анализ посвящён различным аспектам криминалистики, специфичных, которые имеют значение для поддержания целостности и безопасности виртуализированных серверных инфраструктур. Рассматриваемые ключевые аспекты включают методологии извлечения данных, анализ журналов и выявление атак на виртуальных машинах ESXi.
Анализ особенно полезен специалистам по безопасности, ИТ-криминалистам и другим специалистам из различных отраслей, которым поручено расследование нарушений безопасности в виртуализированных средах и устранение их последствий.
В документе описывается применение Velociraptor, инструмента криминалистики и реагирования на инциденты, для проведения криминалистического анализа в виртуализированных средах. Использование Velociraptor в этом контексте предполагает фокус на методах, адаптированных к сложностям виртуализированных серверных инфраструктур
Ключевые аспекты анализа
📌 Методологии извлечения данных: рассматриваются методы извлечения данных из систем ESXi, что важно для криминалистики после инцидентов безопасности.
📌 Анализ журналов: включает процедуры проверки журналов ESXi, которые могут выявить несанкционированный доступ или другие действия.
📌 Идентификация вредоносных действий: перед анализом артефактов и журналов в документе описываются методы идентификации и понимания характера вредоносных действий, которые могли иметь место в виртуальной среде.
📌 Использование криминалистике: подчёркивает возможности Velociraptor в решении сложных задач, связанных с системами ESXi, что делает его ценным инструментом для forensics-аналитиков.
Применение
Анализ полезен для различных специалистов в области кибербезопасности и информационных технологий:
📌 ИБ-специалисты: для понимания потенциальных уязвимостей и точек входа для нарушений безопасности в виртуализированных средах.
📌 Forensics-аналитики: предоставляет методологии и инструменты, необходимые для проведения тщательных расследований в средах VMware ESXi.
📌 ИТ-администраторы: специалисты по проактивному мониторингу и защите виртуализированных сред от потенциальных угроз.
📌 Отрасли, использующие VMware ESXi, предоставляют информацию об обеспечении безопасности виртуализированных сред и управлении ими, что крайне важно для поддержания целостности и безопасности бизнес-операций.
VMWARE ESXI: СТРУКТУРА И АРТЕФАКТЫ
📌 Bare-Metal гипервизор: VMware ESXi — это Bare-Metal гипервизор, широко используемый для виртуализации информационных систем, часто содержащий критически важные компоненты, такие как серверы приложений и Active Directory.
📌 Операционная система: работает на ядре POSIX под названием VMkernel, которое использует несколько утилит через BusyBox. В результате получается UNIX-подобная организация файловой системы и иерархия.
📌 Артефакты криминалистики: с точки зрения криминалистики, VMware ESXi сохраняет типичные системные артефакты UNIX / Linux, такие как история командной строки и включает артефакты, характерные для его функций виртуализации.
ICSpector: Решение проблем криминалистики, о которых вы и не подозревали
Microsoft ICS Forensics Tools (ICSpector) — инструмент с открытым исходным кодом, предназначенный для проведения криминалистического анализа промышленных систем управления (ICS), в частности, программируемых логических контроллеров (PLC).
Технические характеристики
Состав и архитектура
📌Модульная конструкция: ICSpector состоит из нескольких компонентов, что обеспечивает гибкость и индивидуальную настройку в зависимости от конкретных потребностей. Пользователи могут также добавлять новые анализаторы.
📌Сетевой сканер: Идентифицирует устройства, взаимодействующие по поддерживаемым протоколам OT, и обеспечивает их работоспособность. Он может работать с предоставленной IP-подсетью или с определенным списком IP-адресов.
📌Извлечение данных и анализатор: Извлекает метаданные и логику ПЛК, преобразуя необработанные данные в удобочитаемую форму, чтобы выделить области, которые могут указывать на вредоносную активность.
Криминалистические возможности
📌Идентификация скомпрометированных устройств: помогает идентифицировать скомпрометированные устройства с помощью ручной проверки, автоматизированного мониторинга или во время реагирования на инциденты.
📌Создание моментальных снимков: Позволяет создавать моментальные снимки проектов контроллеров для сравнения изменений с течением времени, что помогает обнаруживать несанкционированное вмешательство или аномалии.
📌Поддержка ПЛК Siemens: В настоящее время поддерживаются семейства Siemens SIMATIC S7-300 и S7-400, в будущем планируется поддержка других семейств ПЛК.
Интеграция с другими инструментами
📌Microsoft Defender для Интернета вещей: Может использоваться совместно с Microsoft Defender для Интернета вещей, который обеспечивает безопасность на сетевом уровне, непрерывный мониторинг, обнаружение активов, угроз и управление уязвимостями в средах Интернета вещей/OT.
Примеры использования
📌Реагирование на инциденты: активности по реагированию на инциденты позволяют обнаружить скомпрометированные устройства и понять, был ли взломан код ПЛК.
📌Проактивная защита: Помогает в проактивном реагировании на инциденты, сравнивая программы ПЛК на инженерных рабочих станциях с программами на реальных устройствах для обнаружения несанкционированных изменений.
Отрасли
📌Атомные, тепловые и гидроэлектростанции: Электростанции в значительной степени зависят от промышленных систем управления для управления критически важными операциями. ICSpector можно использовать для обеспечения целостности программируемых логических контроллеров, которые управляют этими процессами. Обнаруживая любые аномальные индикаторы или скомпрометированные конфигурации, ICSpector помогает предотвратить сбои в работе, которые могут привести к отключению электроэнергии или угрозе безопасности.
📌Водоочистные сооружения: На этих объектах используются микросхемы управления процессами очистки, обеспечивающие безопасность воды. ICSpector может помочь в мониторинге и проверке целостности ПЛК, гарантируя, что процессы очистки воды не будут нарушены, что имеет решающее значение для здоровья и безопасности населения.
📌Промышленное производство: В производственных условиях микросхемы используются для управления оборудованием и производственными линиями. ICSpector можно использовать для обнаружения любых несанкционированных изменений или аномалий в ПЛК, обеспечивая стабильное качество продукции и предотвращая дорогостоящие простои из-за отказа оборудования.
📌Сектора критической инфраструктуры: сюда входят такие отрасли, как энергетика, водоснабжение, транспорт и системы связи. ICSpector можно использовать для защиты систем управления этими критически важными инфраструктурами от кибератак, обеспечивая их непрерывную и безопасную работу.
📌Предприятия химической промышленности: На этих предприятиях используются микросхемы для управления сложными химическими процессами. ICSpector может помочь в обеспечении безопасности ПЛК, управляющих этими процессами, и их исправности, что жизненно важно для предотвращения опасных инцидентов.
📌Нефтегазовая промышленность: Системы ICS широко используются в нефтегазовом секторе для процессов бурения, переработки и распределения. ICSpector можно использовать для мониторинга и проверки целостности этих систем, предотвращая сбои, которые могут привести к значительным финансовым потерям и ущербу окружающей среде
