ebook img

Computer incident response and forensics team management : conducting a successful incident response PDF

349 Pages·2014·42.87 MB·English
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Computer incident response and forensics team management : conducting a successful incident response

Computer Incident Response and Forensics Team Management This page intentionally left blank Computer Incident Response and Forensics Team Management Conducting a Successful Incident Response Leighton R. Johnson III Mike Kessler, Technical Editor AMSTERDAM • BOSTON • HEIDELBERG • LONDON NEW YORK • OXFORD • PARIS • SAN DIEGO SAN FRANCISCO • SINGAPORE • SYDNEY • TOKYO Syngress is an imprint of Elsevier Acquiring Editor: Chris Katsaropoulos Editorial Project Manager: Benjamin Rearick Project Manager: Punithavathy Govindaradjane Designer: Matthew Limbert Syngress is an imprint of Elsevier 225 Wyman Street, Waltham, MA 02451, USA Copyright © 2014 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or any information storage and retrieval system, without permission in writing from the publisher. Details on how to seek permission, further information about the Publisher's permissions policies and our arrangements with organizations such as the Copyright Clearance Center and the Copyright Licensing Agency, can be found at our website: www.elsevier.com/permissions. This book and the individual contributions contained in it are protected under copyright by the Publisher (other than as may be noted herein). Notices Knowledge and best practice in this field are constantly changing. As new research and experience broaden our understanding, changes in research methods or professional practices, may become necessary. Practitioners and researchers must always rely on their own experience and knowledge in evaluating and using any information or methods described herein. In using such information or methods they should be mindful of their own safety and the safety of others, including parties for whom they have a professional responsibility. To the fullest extent of the law, neither the Publisher nor the authors, contributors, or editors, assume any liability for any injury and/or damage to persons or property as a matter of products liability, negligence or otherwise, or from any use or operation of any methods, products, instructions, or ideas contained in the material herein. Library of Congress Cataloging-in-Publication Data Johnson, Leighton. Computer incident response and forensics team management: conducting a successful incident response/Leighton Johnson. pages cm Includes bibliographical references and index. ISBN 978-1-59749-996-5 (alk. paper) 1. Computer crimes--Investigation. 2. Evidence, Criminal. 3. Forensic sciences. I. Title. HV8079.C65J637 2014 658.4'78--dc23 2013035259 British Library Cataloguing-in-Publication Data A catalogue record for this book is available from the British Library ISBN: 978-1-59749-996-5 Printed and bound in the United States of America 14 15 16 17 18 10 9 8 7 6 5 4 3 2 1 For information on all Syngress publications, visit our website at store.elsevier.com/Syngress Dedication I dedicate this book to RKS who has supported me throughout the writing and editing of this book. This page intentionally left blank Contents About the Author �������������������������������������������������������������������������������������xiii Section 1 Introduction �����������������������������������������������������������������������1 Section 2 Definitions ��������������������������������������������������������������������������7 Part 1 Incident Response Team Section 3 The Stages of Incident Response �����������������������������������21 Methodology #1 ��������������������������������������������������������������������������21 Preparation �����������������������������������������������������������������������������21 Identification ��������������������������������������������������������������������������22 Containment ��������������������������������������������������������������������������26 Investigation ��������������������������������������������������������������������������26 Eradication �����������������������������������������������������������������������������27 Recovery ���������������������������������������������������������������������������������27 Follow-Up �������������������������������������������������������������������������������28 Methodology #2 ��������������������������������������������������������������������������28 Preparation �����������������������������������������������������������������������������28 Detection and Analysis ���������������������������������������������������������29 Containment, Eradication, and Recovery ����������������������������29 Post-incident Activity �����������������������������������������������������������������30 Secure and Evaluate the Scene ��������������������������������������������31 Document the Scene��������������������������������������������������������������31 Perform Evidence Collection ������������������������������������������������32 Package, Transport, and Store the Collected Digital Evidence ���������������������������������������������������������������������������������32 Section 4 The Security Incident Response Team Members ���������37 Types of Technical Skills Needed ����������������������������������������������39 Types of Personal Skills Needed �����������������������������������������������43 Section 5 Incident Evidence ������������������������������������������������������������47 vii Section 6 Incident Response Tools �������������������������������������������������55 viii Contents Section 7 Incident Response Policies and Procedures ������������������63 SIRT IR Policies ���������������������������������������������������������������������������64 Incident Response Plan ���������������������������������������������������������65 Corporate IR Strategy and General Use Security Policies �������70 Section 8 Legal Requirements and Considerations ����������������������73 Privacy �����������������������������������������������������������������������������������������73 Ethics �������������������������������������������������������������������������������������������75 Investigation Guidelines ������������������������������������������������������������76 US Federal Rules of Evidence �����������������������������������������������77 US Federal Rules for Civil Procedures ���������������������������������79 Section 9 Governmental Laws, Policies, and Procedures �������������81 US Government ���������������������������������������������������������������������������81 Privacy Act �����������������������������������������������������������������������������82 Computer Security Act ����������������������������������������������������������83 Clinger–Cohen Act ����������������������������������������������������������������83 Computer Fraud & Abuse Act ����������������������������������������������84 COPPA ������������������������������������������������������������������������������������84 Electronic Communications Privacy Act of 1986 (ECPA) ���85 FISMA �������������������������������������������������������������������������������������85 USA Patriot Act ����������������������������������������������������������������������86 Canadian Government ���������������������������������������������������������������86 EU �������������������������������������������������������������������������������������������������88 Part 2 Forensics Team Section 10 Forensics Process ������������������������������������������������������������97 Prepare ����������������������������������������������������������������������������������������98 Identify ��������������������������������������������������������������������������������������100 Preserve �������������������������������������������������������������������������������������101 Select �����������������������������������������������������������������������������������������101 Examine �������������������������������������������������������������������������������������103 Classify ��������������������������������������������������������������������������������������103 Analyze ��������������������������������������������������������������������������������������104 Present ���������������������������������������������������������������������������������������105 Section 11 Forensics Team Requirements Members ��������������������107 Member Criteria������������������������������������������������������������������������107 Forensics Analyst or Specialist ������������������������������������������107 Forensics Investigator ���������������������������������������������������������108 Forensics Examiner �������������������������������������������������������������109 Contents ix Member Expertise ��������������������������������������������������������������������110 Forensics Expertise Areas ��������������������������������������������������110 Developing and Refining the Investigation Plan ��������������111 Member Certification ���������������������������������������������������������������111 Vendor Neutral Certifications ���������������������������������������������111 Digital Forensics Certified Practitioner or Digital Forensics Certified Associate ���������������������������������������������116 Certified Digital Forensics Examiner ���������������������������������117 Certified eDiscovery Specialist �������������������������������������������117 Vendor Specific Certifications ��������������������������������������������118 Section 12 Forensics Team Policies and Procedures ��������������������121 Forensics Analysis Process ������������������������������������������������������122 Data Collection ��������������������������������������������������������������������������122 Chain of Custody ����������������������������������������������������������������������123 Evidence Handling and Control ����������������������������������������������123 Evidence “Hand-over” to External Parties, LEO �������������������123 Hardware Specific Acquisition—SIM Cards, Cell Phone, USB Storage, etc������������������������������������������������������������������������124 Data Type Acquisition—Audio Files, Video Files, Image Files, Network Files, Log Files ������������������������������������������������124 Investigation Process ���������������������������������������������������������������125 Examination Process ����������������������������������������������������������������125 Data Review ������������������������������������������������������������������������������126 Research Requirements �����������������������������������������������������������126 Forensics Reporting �����������������������������������������������������������������126 Analysis of Results �������������������������������������������������������������������127 Expert Witness Process �����������������������������������������������������������128 Section 13 Management of Forensics Evidence Handling �����������131 Chain of Evidence ���������������������������������������������������������������������131 Initial Evidence Gathering ��������������������������������������������������131 Image Control ����������������������������������������������������������������������132 Multiple Devices ������������������������������������������������������������������132 Research Requirements ������������������������������������������������������133 Data Collection Criteria �������������������������������������������������������133 Log Reviews�������������������������������������������������������������������������134 eDiscovery ����������������������������������������������������������������������������135 US Federal Rules of Civil Procedure ����������������������������������������139 UK Civil Procedure Rules ���������������������������������������������������������140 Digital Evidence Layers ������������������������������������������������������141

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.