Wednesday, April 26, 2006

Forensics Warnings from CIO Magazine

The April 2006 issue of CIO Magazine features an article called CSI for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise?. It addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise of electronic data discovery (eDiscovery in some quarters) tools. For a management magazine, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article makes several useful points:

Beware cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensics Label

Many salespeople attach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 label "forensics" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security and compliance analysis tools, and that can be very misleading. In law enforcement circles, "forensics" means a well-defined set of discovery and investigative processes that hold up in court for civil or criminal proceedings. An enterprise that relies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools' records or analysis in, for example, a wrongful termination suit, is probably in for an unpleasant surprise. "It may not hold up in court," says Schwalm, a former Secret Service agent. "Very few vendors have an idea of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements [are for proof, from a legal perspective]. They're really providing just a paper trail. You should challenge what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor means by ‘forensics capability,'" he adds.

One gotcha of using EDD tools for legal purposes is proving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inviolability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. Tools that keep or aggregate event logs may not provide access control that lets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise prove that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying data is unaltered and accurate.

This issue is particularly critical because most vendors pitch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir EDD tools as a way of detecting internal threats. Yet an insider is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best position to access and alter data to cover his tracks or deflect blame to someone else, making truly secure access control and data management policies a must to even consider relying on EDD tools in a legal case. To thwart insider manipulations, critical functions such as setting up new vendors or changing payment destinations should require multiple levels of approval. "One person shouldn't be minding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole store," says 2Checkout's Denman.

A related concern is being able to go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original raw data, since most EDD tools alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original data to put it into a searchable database and to make formats from different types of monitoring appliances consistent. Such regularization is necessary to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 records, but to be legally effective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re must be a defensible way to show that it didn't distort cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original data, says Gartner's Litan.
(emphasis added)

Amen. Since we're talking about centralized logs, has anyone tried Splunk? This "Google for system logs" seems like a really neat idea.

To hear a vendor's take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important of electronic data discovery tools, John Patzakis from Guidance Software wrote a good article called Why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eDiscovery Revolution is Important to InfoSec (.pdf, ISSA membership required). It's basically a cost-avoidance argument, like everything else should be with security. (There is no return on security investment.) John states:

In 2006, companies will spend $2 billion on eDiscovery services, and that figure is expected to climb to $3 billion in 2007... corporate information security can play a very key role in solving this critical problem by dramatically reducing costs and improving compliance... According to standard price lists from top eDiscovery providers, a company can expect to pay $11,000 to $15,000 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processing of a single hard drive...

A key reason for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se high costs involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional role of outside counsels who represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company and typically oversee and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eDiscovery process on a per-case basis. These law firms habitually rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own consultants to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eDiscovery needs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case at hand, and both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law firm and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir consultants typically approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue as a case-specific litigation support project. Thus, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus is on addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immediate case, and not on solving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end client’s long-term problems by establishing a systematic methodology...

When a company transitions from outsourced eDiscovery to establishing a largely in-house process, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost savings are dramatic. Many major organizations are now saving tens of millions of dollars in “hard” out-of-pocket costs annually when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y turn to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir internal resources and enterprise class computer investigation technology to collect, search and process computer data for eDiscovery.


In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, buy Encase and do it yourself! Learn how to use Encase at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 Computer and Enterprise Investigations Conference in Lake Las Vegas, NV. I am speaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re on Thursday, 4 May 2006 from 1400-1530 on Network Forensics.

3 comments:

Anonymous said...

And while you are learning forensics, make sure to get your private investigator's license!

See http://www.securityfocus.com/columnists/399/3
for details.

This blog post and Rasch's article are great complements to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Anonymous said...

I have tried Splunk. Works great on Pix, Linux, Solaris, Apache and Windows logs. The searches are really fast. They have just recently released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current Freebsd version. It was a few versions behind last week. I read one post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir forum about issues with Freebsd 6.0 but it should work fine on 5.x. The folks at Splunk are great and very interested in working / talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. The free version will index 500mb per day.

Anonymous said...

Now that you tried Splunk, try LogLogic. It does everything what splunk does plus reports, anomaly detection, etc