CCE(Certified Computer Examiner) - 電腦鑑識調查專家

受惠於網路無遠弗界的便利性,企業e化也愈來愈受到重視與普及。根據統計,企業內的資料有85%是以電子化的方式進行存放,這其中,新產生的資料更有高達93%是電子化的,而且約有75%的資料從來未曾以紙張的形式印出來過。

這意謂著一件事實,隨著人們與企業愈來愈依賴電腦科技,當所有的資料都存放在電腦中時,資訊安全的重要性與日俱增,尤其是因資料外洩而帶來的企業損失更為可觀。

日前,McAfee引述普渡大學所進行一項由資訊保險暨安全教育研究中心的研究員檢驗CIO問卷結果指出,去年全球因為資料外洩就造成了高達1兆美元的企 業損失。這項分析是由來自美、英、德、日、中、印、巴西及杜拜等等國家的800位CIO的受訪結果,在受訪的企業中,去年總計有高達46億美元的IP價值 損失,並花費約6億美元來補救相關的資料外洩問題。

需要特別提出的是,有39%受訪者認為,在現有經濟景氣下重要資料也比過去更容易外洩,換言之,企業需要上緊發條來面對日新月異的網路犯罪手段。然而,因 內部人員疏忽或惡意而導致的意外事件,也不容忽視,前不久香港消防處才發生了內部文件外洩事件,部分消防員的個人資料和考核報告,都可以在網上下載。 

雖然消防處已經針對此一事件明定了作業流程,往後內部人員若要將限閱或機密文件帶離辦公室處理,就必須向上級申請及做出相應的保密措施,卻也只能亡羊補牢,顯示出內部資料外洩的重要性。
 
電腦鑑識新興市場  
資料外洩、金融舞弊事件層出不窮,防範資安犯罪當然不能再墨守成規,企業事先建置資安防護的相關解決方案來進行預防,事後找出問題的癥結點,將原兇繩之以法,才能收到嚇阻不法行為的功效。 

不過,就蒐證的技巧而言,隨著資訊的發展也有了不同於傳統以實體證據例如指紋或彈道為主的鑑識手法-數位鑑識。這是利用科學驗證的方式來加以蒐集、分析、 調查數位證據,並且提供數據還原,例如在各種儲存媒體與網路傳輸下被刪除或移走的資料將其還原,進而提供給法院採信的一種工具。 

而電腦鑑識則被定義為以周延的方法及程序保存、保存、萃取、記載及解讀電腦媒體證據與分析其成因的科學。數位鑑識技術的發展已經十多年,在國外的運用已經 相當成熟,甚至也有相關的法規支持,例如美國和歐洲分別施行Sarbannes-Oxley和Basel II法案後,以數位鑑識作為風險管理的公司便愈來愈多。而在新加坡、香港等地電腦鑑識的需求也蓬勃發展,不過台灣仍屬於啟蒙階段。 

晨宇資訊總經理黃蕙菁指出,在台灣遇到網路犯罪問題,最好的途徑是報請刑事警察局偵九隊或是各縣市電腦犯罪專責組偵查,然而許多企業在遇到問題時,都通常 都不願意主動報案,原因之一是不想讓事件曝光,一旦讓警方涉入不但會變成人人關注的大新聞,無形中對企業形象造成毀損,而且司法程序也可能拖上好長一段時間。 

「但是,這對資安防範是沒有助益的。企業若是考量到名譽問題,不妨可以仿效國外,多數的企業傾向自行設立鑑識團隊來追蹤或抓出商業間諜、大型的犯罪組織、 詐欺與散發垃圾郵件的歹徒,或是找尋風險管理公司尋求協助,儘管這會為企業成本帶來負擔,但比起名譽損失或鉅額的賠償金,這些投資仍然較為划算。」 

CCE專業認證  
黃蕙菁表示,這就是晨宇資訊為什麼想要引進電腦鑑識調查專家(Certified Computer Examiner,CCE)的主要原因,企業需要更全面性的防範資安,設立獨立運作的鑑識團隊。



而對IT人員而言,電腦鑑識調查也是另一項轉職的出路,因為鑑識調查需要對IT具有一定程度的瞭解,而且還需要有調查與分析的能力,以及需有足夠的法律知識、專業與權威性,這通常需要有足夠的經驗才能做得到,IT人員至少就具備了第一項基本條件。 

CCE認證是由國際電腦鑑識調查協會(The International Society of Forensic Computer Examiners,ISFCE)所主導的專業認證,目前已有超過千位以上的電腦鑑識調查專家取得CCE認證,而且ISECE已在2008年4月成為美國 刑事鑑識實驗室主管協會(ASCLD/LAB)之數位鑑識實驗室的合作夥伴。 

在台灣,經濟部標準檢驗局所督導之財團法人全國認證基金會早在民國94年,便與美國刑事鑑識實驗室主管協會簽署合作協議備忘錄,希望藉由相互合作發展與共 同評鑑的方式,加強國內鑑識科學實驗室技術發展的專業性與國際性,延伸評鑑後的認證效益,使得彼此雙方實驗室於未來如經共同評鑑後可以獲得相互的認可。換 言之,美國刑事鑑識實驗室主管協會已經受到了國內標檢局的認可,是相當具有公信力的獨立單位。 

這門課程的內容從道德規範、鑑識人員基本常識到法律的隱私問題以及如何讓取得或保存的資料過程具有法律上的效益,並且能夠精準的針對問題來進行事後的分析 都含括在內。CCE在人員資格需求上相當特別,除了要具有基本的資訊安全概念及系統管理、網路管理等基本能力之外,還要求要身家清白,沒有刑事犯罪紀錄, 並且能夠遵守道德規範。 

「這就好像是警察或法官的角色永遠都必須保持立場中立、不偏頗的道理是一樣的,不然就會遭人質疑公正性。」黃蕙菁說。

二階段考試  
取得電腦鑑識調查專家需要通過幾項關卡,首先須上滿五天的課程,在最後一天的課程結束後,立即會舉行一場線上的測試,總共是75題複選題,答題時間是45 分鐘,需要答對80%才算及格。通過了之後,國際電腦鑑識調查協會有實作測驗,受試者需在90天內完成全部測驗。換言之,從課程開始至取得認證約莫至少需 要4個月的時間。

黃蕙菁指出,CCE的課程內容需要用到幾項工具,例如SMART、Simple Carver、Passware Kit以及Forensic Tool Kit(Demo version),市價約2,500美金,而這些工具晨宇已經事先取得授權,完全無須額外再支付費用。目前一般學員的費用是120,000元,在政府單位 或警調單位服務的人員則有折扣優惠為98,000元。 

根據瞭解,目前在國外具有電腦鑑識調查專家資格的人員,年薪約在400萬左右,台灣行情雖然還不及國外,但在經濟不景氣以及工作職缺釋出減少下,或許也是另一項投資自己或是轉職的方向。 

但黃蕙菁也提醒企業,若是想直接讓IT人員負責電腦鑑識採證,藉以節省人事成本是行不通的作法,雖然所有的鑑識數據都能在電腦中被找到,但是沒有照著一定的條件、流程或作法採集來的資料,甚至不具有採信上的效益,而這樣的採證也就失去了意義。 

專業不能取代  
「在國外的報導中,企業最常犯的錯誤之一就是讓沒有經過專業鑑識的內部IT人員直接委派進行數位鑑識調查。有個案例可以清楚的說明這種作法並不妥當。假設 某企業懷擬某台電腦上的資料存有證據,而且對於現在面臨的案件相當重要,因此這家企業的法務人員要求IT人員去列印、下載或儲存這些資料在可攜式媒體上, 而且IT人員也照著要求執行了,看起來這些過程都很妥當,而且資料也被收集回來了,成本也保持在最低的限度,但是卻是很糟糕的決策。」 

黃蕙菁引述專家觀點指出問題的徵結,首先這些檔案內容只是資料而不是證據,除非IT人員有經過電腦鑑識的認證,並且接受過證據保存程序、採集的訓練,否則他們並不懂得圍起「封鎖線」,保留現場的完整性。 

而且就算正確的證據採集技術被使用,但是在採集的當下很有可能就改變了資料的樣貌,例如在列印或存檔時,Meta data無可避免地會被改變,但Meta data在鑑識上卻是很重要的線索,換言之,證據是受到破壞了。最後,重新打開電腦也會改變電腦內的快取記憶體或暫存檔,這又會進一步破壞或損掉電腦上留 存的證據。 

雖然,一個優秀的電腦鑑識人員是能夠讓被損壞的證據再還原回來的,但這要花上數位的時間與成本,這比起由專業人員來做為首次的資料保存的成本要高出許多, 而且也不是每一項證據都能保證可以還原,最重要的一點是,讓IT人員來採集證據而不請鑑識人員來處理,其實是違反專業倫理,理想的作法是尋找經過認證的外 部人員來進行電腦採集。 

結語  
做好資安防護工作是現今所有企業都須積極面對的問題,國際電腦鑑識調查協會以第三方獨立機構的立場,設計出電腦鑑識調查專家課程,目的就是教導有心朝向此 領域發展的人員,如何善用工具,找出具有法律效益的證據,協助企業有效防範。這類的證照在台灣才剛推出不久,有心朝向此領域的IT人員不妨也可以多加參酌研究。


轉自 網管人

0 意見: