cloud forensics
Cloud computing is de toekomst. Dit paradigma biedt aanzienlijke economische voordelen voor de zakelijke entiteiten. Als gevolg van deze vooruitgang, het heeft zijn uitdagingen en bedreigingen die de zakelijke entiteit in gevaar kan brengen. Cloud computing is uitgegroeid tot een nieuw slagveld voor cybercriminaliteit. Om deze zaken te onderzoeken hadden we cloud forensics nodig.”Cloud forensics is the application of digital forensics in cloud computing as a subset of network forensics to collect and preserve evidence in a way that is usable for presentation in a court of law.”
Cloud forensic is de samensmelting van alle verschillende forensische forensics (d.i. digital forensics, network forensics, hardware forensics etc. ). Het gaat om interacties tussen verschillende cloudactoren (dat wil zeggen cloud providers, cloud consument, cloud broker, cloud carrier, cloud auditors) om zowel interne als externe onderzoeken te vergemakkelijken. Juridisch is het multi-jurisdictioneel en multi-huurder situaties.
cloud forensics stappen
· identificatie
Identificeer de onjuiste handeling of potentieel criminele activiteiten waarbij IT-gebaseerde systemen zijn betrokken. Deze activiteiten kunnen een klacht van een individu zijn, anomalieën gedetecteerd door IDS, monitoring en profilering vanwege een audit trail, verdachte gebeurtenissen in een cloud zullen afhangen van de goedkeuring van het implementatiemodel(dat wil zeggen Private, publieke, Community en hybride), de vorm van clouddiensten(dat wil zeggen. SaaS, PaaS en IaaS) gebruikt en de geografische regio kiest voor inzet.
· bewaring en verzameling
verzamelen van gegevens door alle bronnen zonder afbreuk te doen aan de integriteit ervan volgens de wettelijke en forensische standaard. Bewaar alle bewijzen en gegevens zonder de integriteit ervan te temperen voor verder onderzoek. Er zou een mogelijkheid kunnen zijn dat het verzamelen van gegevens een extreem grote hoeveelheid gegevensopslag vereist.
daarom moet de onderzoeker zich buigen over de regels en regelgeving met betrekking tot gegevensbescherming en privacykwesties en hun impact op het in de cloud opgeslagen bewijsmateriaal. Bij het verzamelen van gegevens uit de cloud leverancier kant altijd rekening houden met de gegevens van de andere gebruiker of organisatie. Voor verder onderzoek moet een nauwkeurig beeld van de cloudservicegegevens worden verkregen. Een onderzoeker kan proberen om gegevens in de cloud te bewaren door het dienen van een juridische orde aan de cloud service provider.
* detectie
door gebruik te maken van meerdere manieren en algoritmen (bijvoorbeeld filteren, pattern matching) kunnen we de verdachte activiteit of kwaadaardige code detecteren.
* analyse
met behulp van enkele forensische hulpmiddelen kunnen we de gegevens en criminaliteit analyseren en onderzoeken. De wettelijke autoriteit kan de vraag stellen aan de organisatie of een individu om enig bewijs te vinden. Na het analyseren van de gegevens die we moeten hebben om de getuigenis te delen met de wetshandhavingsinstanties en het slachtoffer organisatie of een individu.
uitdagingen in cloud forensics: –
* rechtsgebieden
* toezicht houden op de externe keten van afhankelijkheden ten opzichte van externe cloudproviders
· verschillende providers hebben verschillende benaderingen van cloud computing.
* gebrek aan internationale samenwerking en wetgevingsmechanisme bij grensoverschrijdende toegang tot gegevens & uitwisseling
· gebrek aan wet-en regelgeving en juridisch advies
· verminderde toegang tot en controle over forensische gegevens op alle niveaus van de klant
· soms gebrek aan forensische expertise
· elke cloudserver bevat bestanden van veel gebruikers. Het is moeilijk om de gegevens van een individuele gebruiker te isoleren van de andere
* behalve cloudserviceproviders is er meestal geen bewijs dat een gegeven gegevensbestand koppelt aan een bepaalde verdachte
Cloud Forensische oplossing
· Forensische Tool testen
Momenteel zijn er geen volwaardige cloudspecifieke forensische tools beschikbaar op de markt. Toch gebruiken forensische experts de bestaande tools om bewijs te verzamelen uit de cloudomgeving.
forensische deskundigen gebruiken onderstaande instrumenten voor hun onderzoek
1. Encase Enterprise — om gegevens op afstand te verzamelen vanuit de guest OS-laag van de cloud. Het is het beste om IaaS-gegevens te analyseren, maar niet de momentopname van gegevens.
2. Accessdata FTK – om gegevens op afstand te verzamelen vanuit de guest OS-laag van de cloud.
3. FORST-Open stack cloud computing platform om API ‘ s logs, virtuele schijf en gast firewall logs te verwerven.
4. UFED cloud analyzer-om cloudgegevens en metadata te analyseren.
5. Docker Forensics Toolkit & Docker Explorer-haalt en interpreteert forensisch artefact uit dick-afbeeldingen van Docker Host-systeem.
6. Diffy (door Netflix)
· transparantie van clouddiensten en gegevens
gebrek aan transparantie met betrekking tot de interne cloudinfrastructuur. Cloudserviceproviders kunnen de gedetailleerde interne implementatie van hun producten niet delen omdat dit een bedreiging voor hun systeem kan vormen.
· SLA
Service level agreements moeten duidelijke en nauwkeurige procedurele informatie bevatten over hoe een forensisch onderzoek zou worden behandeld door de onderzoeker en door de clouddienstverlener in het geval van een crimineel incident. Ook moeten de rollen en verantwoordelijkheden van elke partij met de juridische gevolgen van hun handelingen worden vermeld.
· Forensics-as-a-service
cloudserviceproviders moeten een mechanisme of diensten aanbieden waarmee onderzoekers diepgaand forensisch onderzoek kunnen uitvoeren.
conclusie, dit onderwerp is bedoeld om bewustzijn over Cloud forensics te delen.