Forenzní analýza

Forenzní analýza vám může dát odpověď na otázky, zda vaši IT administrátoři zneužívají svých pravomocí, zda došlo k porušení zákona, nebo vašich interních směrnic, co bylo příčinou bezpečnostního incidentu, kdo jej zavinil a řadu dalších.

Forenzní analýza představuje nezávislé posouzení stavu IS, sítě, dat apod. V podstatě se jedná o způsob vyšetřování v oblasti informačních technologií, jehož účelem je objektivně určit a zdokumentovat důvody, průběh a důsledky bezpečnostního incidentu. Výsledkem analýzy je získání objektivních informací o stavu věci. Na základě toho pak může vedení organizace rozhodnout, jak bude dále postupovat při případném vymáhání způsobené škody apod.

Typický průběh forenzní analýzy:

  • Definice problému, určení cíle analýzy.
  • Výběr metody pro získávání dat – jaká data se budou zkoumat, kdo je vlastní, kde a v jakém formátu jsou uložena.
  • Fyzické zajištění vybraných dat.
  • Určení techniky zkoumání dat.
  • Analýza získaných dat (vizualizace, dešifrování, lámání hesel).
  • Interpretace výsledků.


Forenzní analýza zahrnuje sběr, zhodnocení, identifikaci, analýzu, interpretaci, dokumentaci a prezentaci důkazů s cílem odhalit příčiny bezpečnostního incidentu. Jednoduše řečeno, jde o to analyzovat data a zjistit kdy, jak a kdo způsobil bezpečnostní incident.

Nejprve je nutné vymezit, která data je třeba prozkoumat, resp. kde by se mohly nacházet informace nutné k vyšetřování. Důkazy je pak třeba zabezpečit před změnou nebo ztrátou. V praxi se provádí duplikace zkoumaného média (pevného disku, CD apod.). Šetření pak probíhá na této kopii nebo jsou z ní exportovány pouze konkrétní důkazy do jiné vhodné formy.

Ke zkoumaným oblastem patří: smazané soubory, data uložená v paměti, data v podobě záznamů (tzv. logů), činnosti jednotlivých služeb, které na daném zařízení běží, atd.

V průběhu analýzy je pořizován záznam průběhu činností tak, aby byly zřejmé jednotlivé kroky. Na závěr jsou získané informace jednoduše a ve srozumitelné formě prezentovány - co se stalo, kdo je za to odpovědný a jaké důsledky z toho plynou.

Auditor provádějící forenzní analýzu musí disponovat množstvím znalostí z různých oblastí IT (operační systémy, software, hardware, sítě). Tyto schopnosti vám v plném rozsahu nabízí naši specialisté.

Mezi hlavní přínosy forenzní analýzy patří:

  • vyšetření incidentu nezávislým odborníkem orientujícím se v bezpečnostních technologiích;
  • omezení dalších potenciálních útoků/incidentů využívajících dané zranitelnosti – zvýšení úrovně bezpečnosti;
  • závěry analýzy zpravidla vedou k odhalení řady dalších (vedlejších) nedostatků v informačním systému klienta.