CA引進Network Forensics 台灣衛賢中文化EnCase 電腦鑑識相關工具在台起步

CA(Computer Associates，組合國際)於去年買下Network Forensics軟體，今年初在一場引進新品來台的發表會上，邀請到了出身於美國FBI，目前為Online Security總裁的Erik Laykin(以下簡稱雷懇)為其站台。Online Security和CA為策略聯盟關係，由Online Security提供CA客戶網路搜證和鑑識的服務。
CA跨足電腦鑑識軟體
「電腦鑑識科學」(包含網路鑑識)名稱源起於1991年美國波特蘭的國際電腦專家協會上，至今仍屬一新興的學門領域，尤其網路蓬勃後，帶來了更複雜的難度。對於台灣來說，電腦鑑識尚在起步的階段，相關的法律條文仍待研擬，坊間提供相關工具、軟體及服務的公司亦不多。今年年初CA引進了此項藉由3D視覺化圖形介面呈現的Network Forensics，之前口中所稱的「秘密武器」終於現身。
雷懇在發表會上首先介紹了較常見的駭客攻擊手法如更換網站首頁等，駭客的囂張程度包括美國政府等多個機關的網站首頁亦曾遭受攻擊、「變臉」。而每年在拉斯維加斯(Las Vegas)舉行的駭客年會聚集了來自超過31個國家的駭客共同切磋較量。駭客的技術和社交工程等技倆不斷精進，而網路犯罪率也呈現了倍數以上的可觀成長。根據FBI的調查統計，1999年全美網路犯罪事件為9,895件，2002年已攀升至82,094件。而目前與駭客相關的網站至少有400,000個、440個以上的駭客討論區，以及30本以上的相關刊物。其知識、技巧、工具可以在網路上輕易取得。
電腦鑑識導源於最重機密安全的軍方、政府，近年亦逐漸應用至企業端，包括高科技業的智慧財產權保護、網路金融犯罪的調查等，都需要相關的工具和技術協助。電腦鑑識調查過程中會應用到的工具、軟體甚廣，包括要建立電腦鑑識工作站的種種設備，出外鑑識所使用的電腦鑑識工具箱等，而光是軟體工具便林林總總(請參閱本期『台灣電腦鑑識領域現況與未來發展』一文)，雷懇便提到CA的Network Forensics、20/20只是電腦鑑識會運用到的眾多軟體的一部份。
「最重要的是活躍的思考，再配合良好工具的使用。」雷懇強調，工具只是輔助，重要的是調查人員的思維和經驗。他並表示，這類人才培養不易，企業可以選擇委外，但許多公司只採購工具軟體，將任務交由IT人員負責，除了徒增IT人員的工作負擔外，他建議此類工作的專業程度高，還是應由專門人員負責較為適宜。 以3D立體圖像將網路各節點呈現並做關聯連接的Network Forensics，已成功應用在企業和政府端，雷懇舉例，美國一家企業藉助此軟體，讓一件公司內部的性騷擾案件得以水落石出；今年初，美國政府甚至因為該軟體而成功阻擋了爆炸事件的發生。
電腦鑑識常需拷貝硬碟資料，再從資料分析中找出蛛絲馬跡，必需趁員工下班後深夜突襲辦公室，先照張數位照片做為座位回復的依據，然後做硬碟拷貝鏡像處理。雷懇分享其經驗表示，如果有些企業是24小時輪班有人駐守的話，他們還會佯裝進入。「不過最重要的是出其不意，掌握先機。」雷懇說道。問到美國知名的電視影集「CSI犯罪現場」劇中是否做了電腦鑑識的錯誤示範，雷懇雙手一攤表示，你也知道這是好來塢，「Just a TV show, take easy.」。
對於有心入行者有何建議？雷懇指出電腦鑑識需要具備很多技術，無論是出身軍方、法律、科技、調查員或是警方都會有幫助，因為牽涉不同領域知識，端視你在哪個產業能夠發揮。目前美國已經有多所大學開設相關課程，坊間廠商也開設有認證課程，如著名的鑑識軟體EnCase的廠商Guidance。但相比於喜好嚐試、善將軟體功能發揮到極致的駭客，鑑識人員也需具備同等的好奇心才足以勝任。雷懇提到，帶動電腦鑑識發展的起因並非網路安全，而是來自法律面的需求，因為美國是個訴訟興盛的國家，因應數位化的發展，電子證據的需求越形殷切。他說道：「電腦鑑識是新興領域，尚未有特定標準，工具軟體也仍有極大的研發空間，未來相當具有前景。」

台灣衛賢年中推出中文版EnCase
成立於1992年的Hill & Associates，總部位於香港，公司創辦元老出身自香港警方，經營的業務範圍包括有保全服務、風險管理、商業調查、品牌保護，以及最新的「資訊安全」。2000年在台成立分公司台灣衛賢，是目前在台少數有提供電腦鑑識服務的公司。台灣衛賢資訊安全顧問黃凱文表示，資訊安全這塊業務近年越來越重要，因此在台獨家代理了Guidance Software的EnCase軟體鑑識版和企業版，及i2的Analyst's Notebook調查員分析軟體。並且預訂今年年中推出各自的中文版軟體。
台灣衛賢目前以商業調查的業務量居冠，包括協助外商公司在台做員工調查，詐欺與收賄調查等。至於品牌保護，包括有智慧財產權保護，例如曾協助警方做盜版光碟調查等。資訊安全服務則包含有鑑識服務、滲透測試、緊急應變支援等。 EnCase屬電腦鑑識領域中享有盛名的軟體，並被美國法院承認，其鑑識結果具有公信力，因此廣被美國軍方、警方及企業採用。EnCase最早是針對法庭需要推出鑑識版本，後因應企業需求，發展出企業版本，其差異在於企業版本是為了解決企業內電腦數目眾多，且跨國企業還會有許多分點，因此可透過企業內部網絡進行調查，員工並不會察覺。因此鑑識版本是針對電腦單機，企業版本則可透過網路進行遠距調查。
黃凱文提到，企業使用該軟體，並非只是在事件發生後進行調查之用，而是先安裝在員工電腦中，可事先防止商業機密外洩事件的發生，將證據在第一時間保存下來。而曾在研討會中被問及電腦鑑識軟體是否雷同IDS(入侵偵測系統)，黃凱文特別釐清兩者的差異，他表示IDS主要的工作為偵測網路上的異常流量，其目的為「偵測」；電腦鑑識則是針對電腦內的硬碟和記憶體，強調事件的「回應」。因此兩者為相輔相成，並非雷同。
電腦鑑識軟體所運用到的技術包括有：可藉由「關鍵字搜尋」在龐雜的電腦檔案中過濾出可疑者；並運用雜湊函數(Hash)演算法及特徵(Signature)分析等找出被隱藏或竄改的檔案；在鑑識過程中，包括檔案的銷毀、時間戳記、信件回覆等都是關鍵。
目前EnCase在台的客戶主要為軍方等公家單位，黃凱文表示，需求較迫切的金融、高科技等仍在評估階段，畢竟該軟體的費用不低。至於該類軟體的後進競爭者是否會越來越多？他認為，其他廠商要投入此類軟體研發有其門檻和難度，且市場有限，因此有足夠資源和能力投入的廠商有限。

CA的eTrust Network Forensics
Network Forensics可擷取原始的網路數據，並運用先進的稽核分析，以找出網路使用情況、內部資料竊取、企業安全或人力資源政策違規等狀況。可將網路活動視覺化、揭露非正常傳輸，及查核安全漏洞。
藉由監控並記錄網路活動於一可查詢的知識庫，讓使用者能以有效率的方式分析使用者、主機、網域、應用程式、協定與位址等，並根據既有的網路基準值來偵測任何變動與異常。而將網路活動視覺化並超越單純的實體拓樸網路圖，讓企業更易了解網路的相依關係。

Guidance的EnCase軟體
1997年成立於美國加州的Guidance Software公司，全球有超過7,000名企業與政府的使用者，每年並培訓數千名鑑識和資訊調查人員。旗下幕僚以及管理團隊對於資訊調查與保安的知識，獲得了包括美國陸軍犯罪調查司令部、加州司法部門、加州保險部門、聖地牙哥地區電腦鑑識室、維吉尼亞州警察署等機構的支援。
EnCase軟體被美國知名資訊安全雜誌『SC Magazine』評鑑為五顆星，獲得「最佳產品」殊榮。最新改版的EnCase企業版，可協助企業安全並徹底地進行內部調查，執行「企業事件回應」、「資訊稽核」、和「鑑識搜證」工作。Guidance並提供有系統整合及執行服務。
EnCase資格檢定制度又稱EnCE，EnCE憑證的取得是對Guidance Software公司電腦鑑識產品與技能之高度專業技能與知識的認證，取得憑證須參加中級的訓練課程。Guidance提供的課程等級包括有初級、中級、進階及專業，每階段課程均針對不同技術層面的學生而設計。在加州的帕莎迪納市、維吉尼亞州的使特林市，及英國利物浦提供有培訓課程。每位學生可分配到個人工作站，老師和學生比例為一比八。關於資格取得資訊，可參考以下網址：
http://www. guidancesoftware.com/certification/ ence.htm