Внедрение автоматизации в цифровую криминалистику.

Аннотация:Тревожный рост числа киберпреступлений требует принятия превентивных мер и проведения анализа после атаки для выявления виновного. Кибер-криминалистика или цифровая криминалистика применяет науку для поддержания строгой цепи хранения во время идентификации, сбора, изучения и анализа цифровых данных при сохранении целостности. Программное обеспечение, программы, операционные системы и устройства на основе ИИ разрабатываются в массовом масштабе для автоматизации самых разных процессов и операций. Основные цели интеграции ИИ и автоматизации включают эффективность, точность и снижение затрат. В этом документе исследуется полезность технологии на базе ИИ, чтобы сделать работу цифровой криминалистики более эффективной. Эта тенденция может максимизировать точность цифровых криминалистических расследований, позволяя разрешать больше цифровых расследований.

Введение

В настоящее время большинство из нас привыкли носить с собой мобильные телефоны везде, куда бы мы ни пошли. В 2023 году, включая как умные, так и обычные телефоны, текущее количество пользователей мобильных телефонов составляет 7,33 миллиарда человек, что составляет 90,04% людей в мире, владельцев мобильных телефонов. От компьютеров до телефонов и носимых устройств большой объем данных собирается для отдельного пользователя и, таким образом, создается цифровой след этого пользователя. Технологии развиваются, но и преступления, связанные с ними. Следовательно, цифровая криминалистика может использоваться для извлечения информации и использования ее для раскрытия правды.

Судебная экспертиза - это приложение науки к вопросам права. Область криминалистики существует уже более 100 лет, но компьютерная криминалистика возникла после того, как компьютеры стали популярны примерно в 1980-х годах. Первыми компьютерными криминалистами были сотрудники правоохранительных органов, которые также увлекались компьютерами. Некоторые из самых ранних инструментов, используемых в цифровых криминалистических расследованиях, были созданы в лабораториях ФБР примерно в 1984 году, а судебными расследованиями руководил специалист ФБР CART (группа компьютерного анализа и реагирования), который отвечал за помощь в цифровых расследованиях. Считается, что цифровая криминалистика значительно выросла в 1990-х годах в результате совместных усилий нескольких правоохранительных органов и руководителей отделов и даже регулярных встреч для обмена опытом.

Цифровая криминалистика — это отрасль криминалистики, которая занимается восстановлением и исследованием материалов, обнаруженных в цифровых устройствах, связанных с киберпреступностью. Термин цифровая криминалистика впервые использовался как синоним компьютерной криминалистики или киберкриминалистики. С тех пор он расширился, чтобы охватить исследование любых устройств, которые могут хранить цифровые данные. Цифровая криминалистика включает в себя предоставление контекста для восстановленных данных, например, объяснение их источника и цели для гражданского или уголовного судопроизводства и внутренних расследований. Некоторые из популярных дел, которые были раскрыты с помощью цифровой криминалистики, - это Убийца BTK, Деннис Рейдер, где дискета, отправленная Рейдером в полицию, раскрыла его настоящую личность. и Убийца Craigslist, Филип Маркофф, которого отследили по IP-адресу из электронных писем, используемых в переписке Craigslist.

Расследование Times в 2019 году подтвердило ожидание проверки 12 667 устройств из 33 полицейских сил Великобритании. Долгожданные расследования показывают, насколько перегружена команда цифровой криминалистики из-за огромного объема собранных цифровых доказательств. Следователи цифровой криминалистики должны следовать определенным стандартам и процедурам при проведении расследования.

В этом документе делается попытка снять нагрузку с следователей и предлагается использовать автоматизацию, чтобы взять на себя основную часть процесса расследования.

Цифровая криминалистика

По сути, цифровая криминалистика (или киберкриминалистика) включает в себя сбор, изучение, анализ и сообщение электронных доказательств, когда речь идет об обнаружении цифровой преступной деятельности. Криминалисты должны обязательно проанализировать носители данных, оборудование, операционные системы, сети и приложения, чтобы найти точку взлома.

Чтобы сохранить доказательства, компьютерная криминалистика может полагаться на образ диска, или виртуальные диски могут использоваться для имитации всей машины. Сетевая криминалистика занимается мониторингом и анализом трафика компьютерной сети. Следует проявлять осторожность при обращении с доказательствами и их обработке, а также соблюдать зарегистрированную цепочку хранения, чтобы защитить и сохранить доказательства. Мобильные устройства имеют свой собственный набор проблем, таких как нестабильность памяти, поскольку DRAM с низким энергопотреблением, используемая в смартфонах, может терять данные при выключении, что требует правильного обращения.

Любой аспект корпоративной системы может стать объектом преступной деятельности, кражи данных или несанкционированного доступа. Требуемый уровень расследования зависит от критичности скомпрометированного приложения, системы или сети. Первый план действий заключается в том, чтобы определить, есть ли необходимость в расследовании. Если необходимость подтверждается, необходимо следовать этапам судебно-медицинской экспертизы.

Этапы цифровой судебной экспертизы

• Первый ответ:

Действие, выполняемое сразу после возникновения инцидента безопасности, называется первым реагированием.

• Поиск и изъятие:

Персонал осматривает орудия, использованные для совершения преступления. Затем эти гаджеты методично изымаются, чтобы извлечь из них информацию.

• Соберите доказательства:

Приобретенные устройства используются экспертами для сбора данных. Они работают с доказательствами, используя четко определенные судебно-медицинские процедуры.

• Защитите доказательства:

Судебно-медицинский персонал должен иметь доступ в безопасную среду, где они могут обезопасить улики.

• Сбор данных:

Сбор данных — это процесс извлечения информации, хранящейся в электронном виде (ESI), из подозреваемых цифровых активов. Это помогает получить представление об инциденте.

• Анализ данных:

Подотчетный персонал сканирует полученные данные, чтобы определить доказательную информацию, которая может быть представлена ​​в суд. Этот этап посвящен изучению, идентификации, разделению, преобразованию и моделированию данных для преобразования их в полезную информацию.

• Оценка доказательств:

Процесс оценки улик связывает доказательные данные с инцидентом, связанным с безопасностью.

• Документация и отчетность:

Этот процесс после расследования включает в себя обобщение и регистрацию всех результатов. Кроме того, отчет должен содержать достаточные и законные доказательства, установленные судом.

• Давать показания в качестве свидетеля-эксперта:

Для подтверждения достоверности показаний судебные следователи также должны поговорить со свидетелем-экспертом. Свидетель-эксперт - это профессионал, который изучает преступление, чтобы собрать доказательства.

Автоматизация

Автоматизация — это разработка и использование технологий для производства и предоставления товаров и услуг с минимальным вмешательством человека или без него. По сути, это заменяет ручные шаги автоматическими, снижая нагрузку на человека. Технический прогресс упростил человеческий труд и повысил производительность. Согласно исследованию 2013 года, почти половина всех рабочих мест потенциально может быть автоматизирована в ближайшие несколько десятилетий.

Одним из способов проявления автоматизации в цифровой криминалистике является создание специализированных программных приложений, которые выполняют сложные следственные действия одним нажатием кнопки. Это называется «кнопочной судебной экспертизой» (PBF).

• Кнопочная экспертиза (PBF):

В ответ на развитие киберпреступлений и необходимость сбора новых форм доказательств также появились специализированные программные и аппаратные средства, помогающие следователям в сборе, анализе и сохранении доказательств. Эти программные пакеты позволяют следователям выполнять сложные функции анализа, просто зная, какие кнопки нажимать. Таким образом, автоматизация может оказать значительное влияние на затраты на расследование.

Специальные инструменты, которые представляют собой полностью автоматизированные корпоративные продукты и все, что между ними, точно адаптированы/подходят для конкретного отдельного исследователя или организации. Они предоставляют широкий набор функций, которые необходимы экспертам-криминалистам. Эти функции включают в себя возможность приобретать и обрабатывать устройства хранения, проводить поиск, создавать отчеты и многое другое, в зависимости от того, насколько автоматизирована встроенная система костюма.

Цифровые расследования, будь то киберпреступление или преступление, связанное с цифровыми устройствами, требуют от следователей анализа огромных объемов данных за короткий промежуток времени. Сложность и объем данных в дополнение к временным ограничениям усиливают важность искусственного интеллекта и автоматизации в цифровой криминалистике и, в частности, в информировании мирового сообщества о методах, структурах и подходах, с помощью которых можно разрабатывать цифровые криминалистические системы на основе ИИ и автоматизации. коммерческий масштаб. Очевидно, что до тех пор, пока не будут разработаны устойчивые цифровые криминалистические системы, масштабы и количество компьютерных преступлений будут только расти и достигнут точки, способной нанести долгосрочный побочный ущерб отрасли.

• Искусственный интеллект (ИИ):

Самое чистое определение ИИ — это разработка компьютерных систем и программ, которые могут действовать разумно. Автоматизированные процессы с поддержкой ИИ в конечном итоге обеспечивают автономное принятие решений, что приводит к дополнительной автоматизации, когда система выполняет действия в соответствии с принятыми ею решениями. Это область исследований, целью которой является моделирование человеческого интеллекта и поведения. ИИ может позволить компьютерам рассуждать, приобретать новые знания о мире, планировать и учиться на этом опыте. Аспекты ИИ уже используются в вредоносных программах и цифровой криминалистике, чтобы помочь программному обеспечению более эффективно скрывать или обнаруживать.

В киберкриминалистике цель состоит в том, чтобы построить знания, которые эксперт применяет при проведении расследования, в форме представления знаний, где цифровая криминалистическая информация может рассуждать.

• Машинное обучение (ML):

ML — это средство, с помощью которого компьютерная система или алгоритм могут потреблять большие объемы данных и в конечном итоге делать прогнозы или делать выводы. Вместо того, чтобы давать компьютеру набор правил, которым нужно следовать, мы даем ему достаточно данных, структуру модели с алгоритмом обучения и достаточно времени для понимания данных, и он найдет правильные параметры для модели, чтобы установить правильное решение, которое мы хотим. иметь.

К преимуществам машинного обучения относятся возможность автоматизации, беспристрастность и способность со временем становиться лучше. Эти характеристики ценны в среде цифровой криминалистики, например, если вы посмотрите на файл, можем ли мы определить, является ли он вредоносным ПО или нет, на основе исторических примеров других файлов.

• Глубокое обучение (DL):

Глубокое обучение — это специализированное подмножество технологии машинного обучения, которое решает сложные наборы данных с помощью искусственных нейронных сетей (ИНС). Стандартный алгоритм машинного обучения со сложными данными иногда нуждается в разработчике для исправления неправильного обучения. Алгоритмы DL сами выполняют эту коррекцию, проверяя то, что было изучено. Кроме того, из-за аппаратных ограничений системы стандартный алгоритм машинного обучения может не обрабатывать сложные наборы данных. Чтобы преодолеть это, DL использует ANN для упрощения данных способами, которые невозможны со стандартными алгоритмами ML. Используя неконтролируемые обучающие сети, такие как ограниченная машина Больцмана и сверточные нейронные сети, алгоритм глубокого обучения упрощает набор данных и проверяет то, что он изучил. DL и ML похожи, но DL имеет автоматическое извлечение признаков, а выбор модели постоянно оценивается самостоятельно.

Как мы можем подготовиться к неизвестным, недавно созданным вредоносным программам, иногда даже основанным на мутации существующих? Один из подходов, которые используются с искусственным интеллектом, заключается в создании самообучающейся системы, которая генерирует автономный ответ на угрозу, сопротивляется и усваивает новую необходимую информацию для самосовершенствования. В отличие от машинного обучения, чем больше данных мы загружаем в эти системы глубокого обучения, тем лучше они становятся. С DL мы можем инстинктивно обнаруживать и предотвращать угрозу до ее выполнения. Теперь мы можем анализировать данные о вредоносном ПО быстрее, занимая гораздо меньше места и с более высокими показателями обнаружения. Криминалистические расследования выигрывают от использования DL в расследованиях вредоносных программ на основе данных, классификации вредоносных программ и анализе вредоносных программ, которые включают сверточные нейронные сети и рекуррентные нейронные сети.

изображает пример того, как AI, ML и DL могут работать вместе для обеспечения безопасности. Входящий трафик из неизвестного источника виден, этот трафик затем сохраняется в базе данных, чтобы система предотвращения вторжений (IPS) могла определить, является ли этот трафик вредоносным или нет. Если трафик является вредоносным, запросы блокируются через брандмауэр. Система IPS может определить, является ли трафик вредоносным, используя технологии IA. Автоматизация запускает процесс, в то время как ML/DL учится на зарегистрированных данных и учит ИИ, какой трафик является хорошим или вредоносным, на основе шаблонов трафика или сигнатур.

Автоматизация цифровой криминалистики

Цель состоит в том, чтобы помочь следователям-криминалистам с помощью инструмента автоматизации, который будет давать значительно лучшие и более быстрые результаты по сравнению с теми инструментами, которые используются в настоящее время. Следует учитывать три аспекта:

(1) сокращение рутинного и повторяющегося анализа при одновременном уменьшении количества доказательств, которые должны быть лично проверены экспертом, (2) корреляция доказательств,

(3) распределение процессов

Автоматизация и ИИ — это независимые концепции, которые можно использовать вместе для разработки систем ИИ. Использование самоорганизующихся карт (SOM) и автоматизированного профилирования доказательств (AEP) было признано высокоэффективным Al Fahdi et al. Исследователь провел серию экспериментов и пришел к выводу, что автоматизация стандартных цифровых криминалистических процедур возможна с помощью таких методов, как SOM и AEP, что делает весь процесс более эффективным и менее затратным.

В исследовании, проведенном институтом CARI, Баттерфилд с многогранной точки зрения исследовал применимость и потенциал автоматизации для цифровой криминалистики. Во-первых, исследование предоставило всесторонний обзор данных, связанных с онтологией. Эти данные были объединены со сбором первичных данных непосредственно из подразделений цифровой криминалистики (DFU). Перед DFU была поставлена ​​задача собрать эти данные, а также различные тенденции и взаимосвязи, которые были извлечены из данных для раскрытия уголовных дел. Исследователи разработали решение того, как автоматизированное программное обеспечение может выполнять тот же анализ тенденций и действия по выявлению взаимосвязей. Это программное обеспечение может привести к тому, что часть времени будет потрачена на получение тех же выводов, что и полученные DFU.

Мультиагентная система (MAS) — это компьютеризированная система, включающая более одного агента. Гарфинкель определил криминалистическое извлечение признаков (FFE) и перекрестный анализ (CDA) как два метода анализа больших объемов криминалистических данных. Набор инструментов MultiAgent Digital Investigation (MADIK) представляет собой многоагентную систему, помогающую экспертам в области компьютерной криминалистики проводить исследования. Это также позволяет агентам рассуждать о доказательствах таким образом, который более адекватен конкретному рассматриваемому делу. К ним относятся агенты, которые автоматизируют поиск соответствующих файлов и имен файлов, дат создания и доступа, извлекаемых файлов, использования браузера и кредитных данных.

Программное обеспечение Endpoint Detection and Response (EDR) ориентировано на мониторинг конечных точек для обнаружения подозрительных действий и сбора данных для криминалистической экспертизы и расследований безопасности. Это также может обеспечить более детальный контроль и прозрачность атаки. ИТ-специалисты теперь могут быстрее выступать посредниками, потому что они больше знают об атаке. Это очень впечатляет, потому что EDR становится умнее по мере его использования. Это связано с тем, что алгоритмы этих продуктов основаны на данных и искусственном интеллекте (ИИ). ИИ создает базу данных о том, что происходит конкретно внутри организации, а также о том, что происходит в мире в целом.

Профилирование компьютерных преступлений — одна из важных областей, в которой используется ИИ. Программное обеспечение на основе ИИ используется для облегчения этапов изучения и анализа цифровой криминалистики. Таким образом, он позволяет экспертам-криминалистам исследовать и анализировать цифровые улики по широкому спектру компьютерных преступлений, включая, помимо прочего, вредоносное ПО, шпионское ПО, взлом, кражу данных и кражу личных данных.

Компания Magnet Forensics недавно запустила более современный инструмент для проведения цифровых криминалистических расследований. Недавно компания анонсировала систему Magnet AUTOMATE, которая позволит экспертам по цифровой криминалистике расследовать и раскрывать дела намного быстрее, чем раньше (Magnet Forensics, 2019). Недавно запущенный инструмент основан на повторяемом механизме криминалистического рабочего процесса. Согласно Magnet, AUTOMATE — это гибкая платформа для быстрого создания индивидуальной автоматизации вокруг стандартного рабочего процесса. Инструмент заслуживает внимания из-за его заявлений о предоставлении важных доказательств по сложным уголовным делам в течение 48 часов.

Проблемы автоматизации

Исследователи выделяют пять жизненно важных проблем в процессе расследования цифровой криминалистики: проблемы сложности, проблемы разнообразия, согласованности и корреляции, проблемы количества или объема и проблемы единой временной шкалы. Предварительно запрограммированные инструменты не обладают ни исчерпывающими знаниями, ни способностью обрабатывать информацию для уникальных сценариев.

Эксперты-криминалисты различаются по степени автоматизации, которую они предпочитают использовать, и PBF считается высокоавтоматизированной практикой. Он получает значительное количество осуждения со стороны кибер-криминалистов. Их опасения связаны со снижением экспертных знаний, когда они слишком сильно полагаются на PBF, который воспринимается как низкокачественный или менее тщательный. Напротив, следователи также приветствуют определенную степень автоматизации, которая помогает им в их повседневных задачах. Очевидно, что для выполнения процесса киберкриминалистики необходим некоторый уровень автоматизации, но PBF будет плохой заменой для всех видов деятельности.

Технология, основанная на интеллектуальной автоматизации (IA), может служить только инструментом для облегчения расследований, которые по-прежнему требуют контроля со стороны опытных следователей-людей. Точность результата судебной экспертизы в некоторой степени зависит от способностей человека-исследователя, поскольку инструменты с поддержкой ИИ все еще находятся в стадии разработки и не всегда могут давать точную, полную или надежную информацию, необходимую для судебных дел. В исследовании обсуждались сложные и непредсказуемые умонастроения преступников, и в результате была сформулирована теория о том, что полная автоматизация цифровой криминалистики потенциально невозможна. В результате многие уголовные дела не соответствуют стандартной схеме или историческим тенденциям. Кроме того, развивающиеся технологии и приемы позволяют преступникам осваивать новые и усовершенствованные методы совершения преступлений.

Будущая сфера

Поскольку автоматизация может ускорить расследование, она может свести к минимуму незавершенные дела, избегая при этом предвзятости и предвзятости. Чтобы переоценить эти автоматизированные процессы, исследователям необходимо рассмотреть более быстрые способы проведения всестороннего анализа, такие как профилирование или автоматическая реконструкция событий. В настоящее время разрабатываются инструменты судебной экспертизы для обнаружения цифровых доказательств, но они практически не помогают в расследованиях, поэтому большая часть анализа проводится вручную. Исследователи изучают многочисленные попытки автоматизировать процесс анализа, который позволит раскрыть значение информации и даже прийти к выводам о данных.

39% предприятий и организаций согласны с тем, что они полагаются на автоматизацию, 34% используют машинное обучение, 32% в значительной степени зависят от искусственного интеллекта, а 92% специалистов по безопасности также доверяют поведенческой аналитике для выявления угроз. Параллельно с технологическими достижениями в этой области меняются и навыки, требуемые от специалистов по киберкриминалистике. Правовая система, связанная с киберрасследованиями, также претерпела положительные изменения. Благодаря современным возможностям смартфонов и использованию экспертами по мобильной криминалистике специализированного аппаратного и программного обеспечения мобильные телефоны очень похожи на «цифровую ДНК». Включение IA в традиционную цифровую криминалистику может облегчить обнаружение элементов в видео, фотографиях и других формах цифровых доказательств, чтобы принимать очень точные решения относительно того, где и принимать обоснованные решения относительно возможного времени и места будущих преступлений на основе выявленных общих черт.

Заключение

Исследование показало, что цифровое расследование необходимо автоматизировать, поскольку накопилось большое количество незавершенных дел и дел, а профессионалов, способных их решить, немного. Включение автоматизации в систему снимет нагрузку с криминалистов.

Технологические достижения находятся на самом высоком уровне, но киберпреступления также постоянно совершенствуются. Следовательно, машинное обучение можно использовать для прогнозирования возможных атак и их расследования. Были проведены значительные исследования по этой теме, однако практическая реализация невелика по сравнению с ними.

В Wisemonkeys мы — группа молодых умов, пытающихся создать среду для передачи знаний обществу. От представления статей до написания блогов и публикации даже вопросов и ответов. Задайте вопрос и получите мгновенный ответ от экспертов онлайн.

"Зарегестрируйтесь сейчас бесплатно!"