数字取证涉及广泛的人员,包括数字调查员、事件响应人员、IT人员、人力资源人员、内部法务、外部律师以及专家。确保所有人步调一致,同时维护数据的安全性与完整性是一项艰巨的任务。Exterro 的 FTK Lab 分工协作解决方案,可以协助取证相关人员轻松采用分工协作的方法处理任何规模的调查。整个解决方案的构建以协作为核心理念。精细的用户控制、集中式数据库、用户友好的基于 Web 的访问以及多案件管理功能,为您提供应对甚至最严苛案件量所需的解决方案。
什么是 FTK Lab?
FTK Lab 基于 FTK® 技术构建,是一个支持分工协作、集中式案件管理和基于Web审查的调查平台。调查人员无需再因等待调查所需信息而遭遇进度迟缓,可以通过一个具有不同用户控制级别的中央数据库来掌控一切。如果您需要更强大的处理能力来处理企业或政府机构环境中典型的海量数据集,FTK Lab 的分布式处理支持能够利用多硬件环境,提供更强大的能力,从而缩短案件处理时间。
FTK Lab 云端能力,潜力无限
随着数据量持续增长,需要更快的处理时间和更强大的引擎。利用云的力量扩展您的环境并控制成本,借助业界率先推出的云端 FTK Lab 取证解决方案,依托可靠的云处理和存储服务。
在数字取证调查中,您需要与各类团队协同工作。通过分而治之的策略,每位成员均可借助 FTK Lab 基于 Web 的界面,访问共享案件数据库。
FTK Lab 的一些卓越功能
角色分配
允许每位用户仅访问与其调查部分相关的数据。通过这套高效、精细、基于角色的系统,并非所有用户都能访问整个数字证据数据库。分割证据能创造更高效、更安全的工作流程,也意味着您可以引入非技术用户,而无需担心数据遭到破坏。
实时协作
集中式架构和一个共享的案件数据库确保各方信息同步,让您以前所未有的速度处理案件。借助基于Web的审查系统,律师、人力资源人员和外聘专家等非技术用户无论身处何地,都可以立即参与流程,毫无延迟。
易于使用
其设计对非技术用户访问十分友好。用户可以轻松配置和更改搜索后的排序权重标准,以显示最相关的结果。可以轻松地在更多案件里程碑为更多用户自动发送电子邮件通知,并自动扩展审计日志和证据跟踪细节,以改进监管链文档。
近乎无限的扩展性
某些案件会产生海量数据,可能让您现有设备不堪重负,但当您需要更多能力时也无需惊慌。FTK Lab 的设计旨在利用多台机器,将处理负载分布到整个服务器集群,而不仅仅是单台硬件。除了加速数据分析,您还通过使用具有冗余处理的系统来提高可靠性,以应对硬件或软件故障及问题。
密码破解与恢复
市场领先的解密密码破解和恢复能力。
向导驱动的多机器支持
借助向导驱动的处理、过滤和报告功能进行取证分析。
集成与增强的协作
FTK、FTK Enterprise 和 E-Discovery 无缝集成。由于所有数据都存储在一个案件数据库中,调查人员可以减少管理案件所需的时间、成本和复杂性。
QView® 集成
享受 QView 简单、直观、可自定义、面板驱动的审查界面。QView 专为审查人员设计,利用多案件功能,例如跨多个案件进行标记、搜索、标签和书签操作。此外,便捷的移动聊天应用程序和多媒体审查,以及相似人脸和图像检测功能,都得到了统一数据库的支持。
可自定义的处理
允许您建立全企业范围的处理标准,为您的调查创造一致性,并减少数据遗漏的可能性。FTK Lab 独特地支持分布式处理,允许调查人员利用额外的硬件来显著提高案件处理和解决速度。
面部与图像识别
训练您的系统以查找特定人员或在图像中查找物体,然后过滤结果仅查看相关图片。无需查看每张图像或缩略图即可加速调查并建立关联。
面部与物体检测
快速定位案件中某个人或物体的所有图像,无需训练系统。此外,还可以上传案件外部的图像,并将其与当前案件内的图片进行比较,而无需将其导入。
互联网浏览器和基于Web的电子邮件证据
几乎每项调查都涉及互联网痕迹的分析。网页浏览缓存存储了嫌疑人访问过的网站记录,基于Web的电子邮件可能有助于证明意图或关联其他事件,即时消息对话或社交媒体网站可能包含证据。FTK Lab 将所有浏览器的 URL 搜索历史分组在一个部分中,并按日期、时间和类别(例如,成人、聊天、暗网、新闻等)进行组织。
便携式案件
将数据导出到便携式案件中,以供离线审查。无需花费时间生成只能以几种不同格式查看的报告。便携式案件通过快速导出让调查工作更轻松。此外,审查人员创建的标签和书签会同步回原始案件。
支持 Apple® 文件系统
随着自带设备办公的普及,组织经常需要处理来自 Apple 设备的数据。使用 FTK Lab,可以快速解析来自任何 Apple 操作系统(最高至 macOS® 10.15 Catalina)的数据。
案例分析 1:欧洲某政府机构借助 FTK® Lab,赋能分布式团队,执行税务调查
当调查挑战的浪潮日益高涨
几十年来,该税务机构不得不应对偷税漏税者和其他罪犯,确保征收足够的税款来资助其政府庞大的福利体系。然而,偷税者以及追查他们的机构都已走向数字化,行业工具不再是实体账本和收据,取而代之的是计算机和智能手机,证据形式则包括了电子邮件、短信和照片等。
"如今,所有有价值的信息都是数字化的。我们对报告和账本上记录的内容不感兴趣。"
该税务机构专门的数字取证调查团队成立于1991年,与内部审计人员以及偶尔会与警方调查人员合作,收集税务欺诈和其他金融犯罪的证据。他们使用的最重要技术之一是 Exterro FTK® Forensic Toolkit 取证工具包;他们赞赏其能够扫描大多数常见文档格式、强大的光学字符识别、过滤功能以及对未受过数字取证培训的审计人员和其他专业人员的易用性。
核心团队负责管理工作流程,创建案件并将其分派给驻扎在全国四个办事处的调查人员和审计人员。但要查看数据和处理案件,团队成员必须前往税务机构的总部办公室,那里设立了一个"安全区",包括存放机密证据的独立计算机和该机构的 FTK 程序实例。
团队成员和审计人员每次需要到访一至两周,审计人员需入住酒店——这对一个公共机构来说是一笔不小的开支。他们希望找到一个解决方案,既能帮助他们控制管理分布式调查团队的成本,又不会丢失他们破案和收集不法行为关键证据所需的核心功能。
寻找安全的远程数字取证解决方案
该团队研究了各种可能的解决方案。他们对任何解决方案提出了三个必须满足的关键要求——但即使如此,他们不想放弃已经逐渐喜爱的一些 FTK 功能,如 OCR、过滤以及电子邮件去重等电子发现功能。
→ 具备远程能力:为消除与调查相关的差旅成本,审计人员和调查人员需要能够登录平台,在全国各地的家中和办公室审查他们的案件。
→ 安全性:由于调查材料通常是敏感的个人和财务信息,该机构需要确保无论从何处访问,数据都是安全的。
→ 易于学习:由于外部合作者(如警方调查人员)偶尔也需要访问,他们需要一个容易上手并能立即使用的系统。
最终,数字取证团队在与IT和运营安全部门的同事商议后,认定 FTK Lab 能够满足他们的一切需求。他们并未在专用服务器上运行其实例,而是创建了一个虚拟存储区域网络来运行 FTK。
获得意想不到的收益
通过使用虚拟机而非独立计算机,调查人员和审计人员可以从全国各地的办公室和家中安全连接——警方调查人员等外部合作者同样可以。由于审计人员和调查人员不再需要前往总部处理案件,该税务机构大幅削减了差旅成本。即使考虑到解决方案本身的成本,他们在预算方面依旧实现了节余。
但除了节省开支,该税务机构还大幅加快了项目时间线,使他们能够更高效地结案。通过集中化解决方案,数字取证团队可以在一周内准备好案件并分配给审计人员,而以前他们可能不得不等待一个月来协调差旅安排——如果审计人员未能在规定时间内解决案件,他们将返回原办公室,并需要计划再次前往总部。
对于未受过数字取证培训的审计人员来说,FTK Lab 也更容易上手。"他们大多数人觉得它相当简单直观,"一位调查人员解释道。"我们给他们一些培训,大约一天时间,以及一些书面文档。然后他们就去完成自己的工作。"
案例分析 2:某国家警察机构借助 FTK® Lab,高效处理案件取证数据
当面对大规模调查时,该警察机构寻求 FTK Lab 分工协作解决方案的协助,以便在协作、可扩展的环境中分割并处理海量数据集。FTK Lab 能够迅速将证据交到调查人员手中,从而更快地破案并确保起诉。
有些案件产生的数据量极为庞大,足以压垮现有设备。FTK Lab 能够在需要时通过利用多台机器并将处理负载分布到整个服务器集群(而非单台硬件)来提供更强大的处理能力。
一个具备高达16倍分布式处理引擎能力的集中式处理中心,可在数小时而非数日内完成大型数据集的处理。
除了加速数据分析,FTK Lab 还能通过采用具备冗余处理的系统来提高可靠性,以应对硬件或软件故障及问题。
7TB 数据在 2 小时内处理完成
该警察机构通过其分布式部署的 FTK Lab 取得了惊人的处理和索引结果。该机构配置了一台分布式处理管理器来管理11台分布式处理引擎,从而将处理能力分布在11台硬件上,实现了闪电般快速的处理。
这11台DPE均为企业级硬件,专为卓越的处理性能而设计。固态硬盘以其比机械硬盘更快速、更耐用而著称,至强金牌CPU针对繁重工作负载进行了优化并具备高可扩展性。每台机器配备128 GB内存,也确保了峰值处理速度。
在此配置下,该机构仅用1小时40分钟就处理了来自一个Mac镜像的7TB数据(包含一个备份文件夹和多个PST电子邮件文件)。若包含索引建立,整个7TB数据的处理在不到12小时内完成(11小时44分钟)。
硬件规格
11台DPE机器均为配置固态硬盘的相同服务器:
服务器:1x HPE BladeSystem c7000 机箱 (10U) 12x HPE ProLiant BL460c Gen10 服务器刀片
CPU:每台2x Intel Xeon SP Gold 6136 (12核/24线程, 3.00-3.70 GHz)
内存:每台128GB ECC DDR4-2666
存储:系统盘 480GB RAID-1 (SSD, SAS-12G, 内置)
临时数据库:3.8 TB SSD, SAS-12G, 内置
软件:FTK Lab 版本 7.4
该机构的7TB数据集包含以下数据类型:
处理对象总数:14,423,214
归档文件 141,391
数据库 8,094
文档 1,195,252
电子邮件 776,511
可执行文件 2,912,513
文件夹 2,013,988
图形文件 3,857,164
聊天文件 1,081
多媒体文件 75,829
电子表格 25,658
演示文稿 3,818
空闲空间 378,015
系统文件 302
加密文件 7,158
已知类型 1,959,151
未知类型 1,067,289
其中在"文档"数据类型内 (1,195,252):
Adobe 文件 245,235
Apple iWork Pages 239
Apple iWork Docs1
HTML + XML 439,887
Lotus Docs 3
Microsoft Docs 53,682
OpenDocument Writer 1,033
WordPerfect 19
其他 455,153 |
微信扫一扫
