Cybersecurity
Hoe AI digitaal forensisch onderzoek verbetert
Professionals op het gebied van digitaal forensisch onderzoek kunnen kunstmatige intelligentie gebruiken om hun huidige processen te versnellen en te verbeteren, waardoor hun onderzoekstijd wordt verkort en de efficiëntie wordt verbeterd. Hoewel de impact ervan overwegend positief is, zijn er toch enkele problemen. Kan AI forensische analisten vervangen? Wat nog belangrijker is: zouden AI-gestuurde bevindingen zelfs in de rechtszaal stand houden?
Wat is digitale forensische wetenschap?
Digitale forensische wetenschap – voorheen bekend als computerforensisch onderzoek – is een tak van de forensische wetenschap die zich uitsluitend bezighoudt met elektronische apparaten. Het is de taak van een forensisch analist om cybercriminaliteit te onderzoeken en gegevens te herstellen om bewijsmateriaal te produceren.
Professionals uit de industrie gebruiken computerwetenschap en onderzoekstechnieken om gegevens op computers, telefoons, flashdrives en tablets te achterhalen. Ze hebben tot doel gegevens te vinden, te bewaren, te onderzoeken en te analyseren die relevant zijn voor hun zaak.
Hoe werkt digitaal forensisch onderzoek?
Digitale forensische wetenschap volgt doorgaans een proces dat uit meerdere stappen bestaat.
1. Inbeslagname
Teams moeten eerst de betreffende media afpakken van hun verdachte. Op dit punt starten ze een keten van bewaring – een chronologisch elektronisch spoor – om bij te houden waar het bewijsmateriaal zich bevindt en hoe ze het gebruiken. Deze stap is van cruciaal belang als ze voor de rechter verschijnen.
2. Behoud
Onderzoekers moeten de integriteit van de originele gegevens behouden, dus beginnen ze hun onderzoek met het maken van kopieën. Ze streven ernaar om zoveel mogelijk verborgen of verwijderde informatie te ontsleutelen of te herstellen. Zij moet het ook beveiligen tegen ongeoorloofde toegang door de internetverbinding te verwijderen en deze in een beveiligde opslagplaats te plaatsen.
3. Analyse
Forensische onderzoekers analyseren gegevens met verschillende methoden en hulpmiddelen. Omdat apparaten elke keer dat de gebruiker iets downloadt, een website bezoekt of een bericht plaatst, informatie opslaan, ontstaat er een soort elektronisch papieren spoor. Experts kunnen harde schijven, metagegevens, datapakketten, netwerktoegangslogboeken of e-mailuitwisselingen controleren om informatie te vinden, verzamelen en verwerken.
4. Rapportage
Analisten moeten elke actie die ze ondernemen documenteren om ervoor te zorgen dat hun bewijsmateriaal later stand houdt bij een strafrechter of civiele rechtbank. Wanneer ze hun onderzoek afronden, rapporteren ze hun bevindingen aan wetshandhavingsinstanties, de rechtbank of het bedrijf dat hen heeft ingehuurd.
Wie gebruikt digitaal forensisch onderzoek?
Digitaal forensisch onderzoek onderzoekt onwettige activiteiten met betrekking tot elektronische apparaten, dus wetshandhavingsinstanties maken hier vaak gebruik van. Interessant genoeg jagen ze niet alleen op cybercriminaliteit. Elk wangedrag – of het nu gaat om een geweldsmisdrijf, een civiel misdrijf of een witteboordencriminaliteit – dat verband houdt met een telefoon, computer of flashdrive is eerlijk spel.
Bedrijven huren vaak forensische analisten in nadat ze een datalek hebben meegemaakt of het slachtoffer zijn geworden van cybercriminaliteit. Houd er rekening mee dat ransomware-aanvallen veel geld kunnen kosten 30% van het bedrijfsresultaat van een organisatieis het niet ongewoon dat leiders deskundige onderzoekers inhuren om een deel van hun verliezen terug te verdienen.
De rol van AI in digitale forensische wetenschap
Een digitaal forensisch onderzoek is doorgaans een complex en langdurig proces. Afhankelijk van het type en de ernst van het misdrijf – en het aantal Megabtyes-onderzoekers dat ze moeten doorzoeken – kan een enkele zaak weken, maanden of zelfs jaren duren. De ongeëvenaarde snelheid en veelzijdigheid van AI maken het tot een van de beste oplossingen.
Forensische analisten kunnen AI op verschillende manieren gebruiken. Ze kunnen machine learning (ML), natuurlijke taalverwerking (NLP) en generatieve modellen gebruiken voor patroonherkenning, voorspellende analyse, het zoeken naar informatie of gezamenlijk brainstormen. Het kan hun alledaagse dagelijkse taken of geavanceerde analyses aan.
Manieren waarop AI digitaal forensisch onderzoek kan verbeteren
AI zou meerdere aspecten van de digitale forensische wetenschap aanzienlijk kunnen verbeteren, waardoor de manier waarop onderzoekers hun werk doen permanent zou veranderen.
Processen automatiseren
Automatisering is een van de grootste mogelijkheden van AI. Omdat het autonoom kan werken – zonder menselijke tussenkomst – kunnen analisten het repetitief, tijdrovend werk laten afhandelen, terwijl ze prioriteit geven aan cruciale verantwoordelijkheden met hoge prioriteit.
Sindsdien profiteren ook de experts die door merken worden ingehuurd 51% van de beveiligingsbeslissers is het ermee eens dat de waarschuwingsvolumes op hun werkplek overweldigend zijn; 55% geeft toe dat ze geen vertrouwen hebben in het vermogen van hun team om prioriteiten te stellen en op tijd te reageren. Ze kunnen AI-automatisering gebruiken om logbestanden uit het verleden te bekijken, waardoor het identificeren van cybercriminaliteit, netwerkinbreuken en datalekken beter beheersbaar wordt.
Geef essentiële inzichten
Een ML-model kan continu cybercriminaliteitsgebeurtenissen in de echte wereld registreren en het dark web doorzoeken, waardoor het opkomende cyberdreigingen kan detecteren voordat menselijke onderzoekers zich ervan bewust worden. Als alternatief kan het leren code te scannen op verborgen malware, zodat teams de bron van cyberaanvallen of inbreuken sneller kunnen vinden.
Versnel processen
Onderzoekers kunnen AI gebruiken om onderzoek, analyse en rapportage aanzienlijk te versnellen, omdat deze algoritmen snel grote hoeveelheden gegevens kunnen analyseren. Ze kunnen het bijvoorbeeld gebruiken om bruut een wachtwoord op een vergrendelde telefoon te forceren, een ruwe schets van een rapport te typen of een wekenlange e-mailuitwisseling samen te vatten.
De snelheid van AI zou vooral nuttig zijn voor de experts die bedrijven inhuren, omdat veel IT-afdelingen te langzaam te werk gaan. In 2023 bijvoorbeeld bedrijven duurde gemiddeld 277 dagen om te reageren op een datalek. Een ML-model kan sneller verwerken, analyseren en uitvoeren dan welk mens dan ook, en is dus ideaal voor tijdgevoelige toepassingen.
Vind kritisch bewijs
Een met NLP uitgerust model kan communicatie scannen om verdachte activiteiten te identificeren en te markeren. Onderzoekers kunnen het opleiden of ertoe aanzetten om zaakspecifieke informatie te zoeken. Als ze bijvoorbeeld vragen om te zoeken naar woorden die verband houden met verduistering, kan het hen doorverwijzen naar teksten waarin de verdachte toegeeft dat hij bedrijfsgelden heeft verduisterd.
Uitdagingen die AI moet overwinnen
Hoewel AI een krachtig forensisch hulpmiddel zou kunnen zijn – waardoor zaken met weken kunnen worden versneld – is het gebruik ervan niet zonder nadelen. Zoals de meeste op technologie gerichte oplossingen kent het tal van privacy-, veiligheids- en ethische kwesties.
Het ‘black box’-probleem – waarbij algoritmen hun besluitvormingsproces niet kunnen verklaren – is het meest urgent. Transparantie is van cruciaal belang in de rechtszaal, waar analisten getuigenissen van deskundigen afleggen in strafzaken en civiele zaken.
Als ze niet kunnen beschrijven hoe hun AI gegevens analyseert, kunnen ze de bevindingen ervan niet in de rechtszaal gebruiken. Volgens de Federal Rules of Evidence – normen die bepalen welk bewijs toelaatbaar is in Amerikaanse rechtbanken – is een door AI aangedreven digitaal forensisch hulpmiddel alleen acceptabel als de getuige blijk geeft van persoonlijke kennis van zijn functies, legt vakkundig uit hoe het tot zijn conclusies is gekomen en bewijst dat zijn bevindingen juist zijn.
Als algoritmen altijd accuraat zouden zijn, zou het black box-probleem geen probleem zijn. Helaas hallucineren ze vaak, vooral als er sprake is van onbedoelde snelle engineering. Een onderzoeker die een NLP-model vraagt om gevallen te laten zien waarin de verdachte bedrijfsgegevens heeft gestolen, lijkt misschien onschuldig, maar kan resulteren in een vals antwoord om aan de vraag te voldoen.
Fouten zijn niet ongewoon omdat algoritmen niet kunnen redeneren, de context kunnen begrijpen of situaties alomvattend kunnen interpreteren. Uiteindelijk kan een onjuist getrainde AI-tool onderzoekers meer werk opleveren, omdat ze valse negatieven en positieven moeten doorzoeken.
Vooroordelen en gebreken kunnen deze problemen nog duidelijker maken. Een AI die opdracht krijgt bewijs van cybercriminaliteit te vinden, kan bijvoorbeeld bepaalde soorten cyberaanvallen over het hoofd zien op basis van vooroordelen die tijdens de training zijn ontwikkeld. Als alternatief zou het de signalen van daarmee verband houdende misdaden kunnen negeren, in de overtuiging dat het een specifiek soort bewijsmateriaal te veel prioriteit moet geven.
Zal AI onderzoeksexperts vervangen?
De automatiserings- en snelle verwerkingsfuncties van AI kunnen maandenlange zaken in een paar weken comprimeren, waardoor teams daders van cybercriminaliteit achter de tralies kunnen zetten. Helaas is deze technologie nog relatief nieuw en zijn Amerikaanse rechtbanken niet dol op onbewezen, grensverleggende technologieën.
Voorlopig – en waarschijnlijk ook in de komende decennia – zal AI digitale forensische analisten niet vervangen. In plaats daarvan zal het hen helpen met dagelijkse taken, hun besluitvormingsprocessen begeleiden en repetitieve verantwoordelijkheden automatiseren. Menselijk toezicht zal nodig blijven totdat ze het black box-probleem voorgoed hebben opgelost en het rechtssysteem een permanente plek voor AI heeft gevonden.