计算机安全专家们应当开始关注CSI。从这种方法中,他们可以学到如何把电视节目中的抓捕术和电视剧中的战略情节运用到网络空间中来,这包括在暗处等待网络袭击者自己上钩。
这是来自于Jon Orbeton的建议,Jon Orbeton是Check Point 软件技术有限公司区域试验室的高级网络安全分析专家,他经常处理的是数字犯罪的侦查案例。Orbeton说,和数字入侵者的斗争并不如看起来般简单。
“网络空间的安全专家人经常使用的是我叫做‘跟踪’方法,也就是从一个站点换到另一个站点,试图以此方法捕获入侵者,” Orbeton说,Orbeton曾经在FBI,英国的Scotland Yard,以及美国联邦经济情报局,“但是,你如何来确定入侵者什么时候出入你的系统。”
当一个企业网络估测可能有入侵者进入了网络系统或者是数据库的时候,最重要的事情因当时立即控制住入侵者,但是,想要做到这一点,信息安全人员需要做许多的准备,才能够遏制住罪犯。
“应当保证整个网络系统都在他们的视线之内,而不是仅仅的几个服务器。” Oberton在最近一次2006 RSA网络安全会议上建议企业的调查官员。相似的,就像警察搜集指纹一样,数字专家们应当搜集的是注册的信息也就是一系列的身份认证信息。并且尽管有CSIs来监控网络行为,企业的安全官员也应当对数字模式进行监控。
与此同时,从稽查中的随时监控也可以学到如何进行数字监控,也就是建立网络空间随时监控进入网络中的“指纹,足迹和轮胎纹”也就是IP地址等线索。
一旦搜集到信息,Orbeton用三句话总结了他自己的操作规范,他通常会浏览所有的系统,建立一个入侵者档案,并且把入侵者信息输入到各个系统中。
入侵者的档案包括所有的可疑密码以及入侵使用的工具手段和具体案情发生的时间数据。
“你需要建立一个足够完整的档案,这样才不会出现信息重叠的错误,但是也不能够过于详细,应当保证意赅。” Orbeton说,“我通常是通过Google来搜集信息。”
一旦档案创建,Orbeton就会建立一个软盘,并建立一个各个元素的映射关系,这样方便于按照特征寻找,对数据加密,并输送到数据库中,这样数据就得到了最终的分类,便于查找。
Orbeton使用这些方法在过去的几年中获得了很多次成功,比如有一次他就在监控过程中,发现了一个入侵者正在偷窃数以百万计的信用卡密码。
“我们借鉴了传统侦查方面的方法,建立了犯罪档案,实时监控所有的系统,并且发现从未见过的三个未知的系统网站。” Oberton说。这也就是他的团队如何发现罪犯的过程,之后他们就很快抓住了作案者,不过Oberton从未公布罪犯的身份和来自的组织。