暗網潛航——虛擬戰場生死最前線(七): 一點丹衷 神人鑒知

  安全監控中心(SOC)可以收集漏洞及危機情報,率先預防攻擊,另一個重要功能是取證,當中包括兩大範疇:鑒識控制台(Forensics Console)及法規監察(Compliance Monitoring)。

  我們常說「電腦取證」或「電子取證」,就是說如果攻擊事情發生後如何提取電子證據,把前因後果、來龍去脈甚至損害程度都清楚了解,從而制訂對應方案防止再次發生,或交予法庭和調查機關作為證據,在司法程序中使用。而鑒識控制台最核心的功能,就是取證方法。

  有人會說,把系統日誌拿出來不就成了嗎?這樣想實在太天真了,因為這是司法取證程序,有法例監管及國際準則。不依從程序取證,證據完整性已遭破壞或污染,甚至會被視為非法取證,不會被法庭接納。

  所以我們採購監控中心後台系統時,都很重視鑒識控制台是否合乎國際電子取證標準。如果你的系統內根本沒有鑒識控制台或不達標,我可以老實告訴你,你買回來的只是日誌收集系統吧。而在電子取證中,我們非常注重提取證據時的完整性,所有受過電子取證的法証專家,都可以「凍結時間」!

  事實上,電子系統內的時間全都受時間伺服器(Time server)所定義。當你創造一個檔案在系統內,它會擁有「時間標籤」,每次你把它抄錄、移動及改動時,它的時間標籤都會改變。如果你要提交一條完整的證據鏈,說出事故發生時的來龍去脈及先後次序,最重要的就是時間的連續性,一定要保存證據的時間狀態。

  因應不同的系統存貯資料技術,電子法證專家需要分辨不同的檔案架構(File system),把時間標籤凍結,再用「單向函數」(one way hash)加密方式把時間標籤完整地保存起來,才成為完整的電子證據。否則,像王家衛電影的敍事方式,可以作為法庭證據嗎?

  假如安全監控中心無法利用鑒識控制台取證,猶如一個司令在戰場上有口難言,難以指揮各種兵種互相配合,情況令人擔憂。

TOZ聯合創辦人

龐博文


hd