Følg os

Cybersecurity

Hvordan AI forbedrer Digital Forensics

mm

Udgivet

 on

Digitale retsmedicinere kan bruge kunstig intelligens til at accelerere og forbedre deres nuværende processer, reducere deres undersøgelsestid og forbedre effektiviteten. Men selvom dens indvirkning for det meste er positiv, eksisterer der nogle problemer. Kan AI erstatte kriminaltekniske analytikere? Endnu vigtigere, ville AI-drevne resultater overhovedet holde stand i retten?

Hvad er Digital Forensic Science?

Digital retsmedicin - tidligere kendt som computerforensik - er en gren af ​​retsmedicinsk videnskab, der udelukkende beskæftiger sig med elektroniske enheder. En retsmedicinsk analytikers opgave er at efterforske cyberkriminalitet og gendanne data for at frembringe beviser.

Brancheprofessionelle bruger datalogi og undersøgelsesteknikker til at afdække data på computere, telefoner, flashdrev og tablets. De sigter mod at finde, bevare, undersøge og analysere data, der er relevante for deres sag.

Hvordan virker Digital Forensics?

Digital retsmedicin følger generelt en proces med flere trin.

1. Anfald

Hold skal først beslaglægge det pågældende medie fra deres mistænkte. På dette tidspunkt starter de en varetægtskæde - et kronologisk elektronisk spor - for at spore, hvor beviserne er, og hvordan de bruger det. Dette trin er kritisk, hvis de går i retten.

2. Bevaring

Efterforskere skal bevare de originale datas integritet, så de begynder deres undersøgelse med at lave kopier. De sigter mod at dekryptere eller gendanne så meget skjult eller slettet information som muligt. De skal også sikre den fra uautoriseret adgang ved at fjerne dens internetforbindelse og placere den på sikker opbevaring.

3. Analyse

Retsmedicinere analyserer data med forskellige metoder og værktøjer. Da enheder gemmer oplysninger, hver gang deres bruger downloader noget, besøger et websted eller opretter et indlæg, udsendes en slags elektronisk papirspor. Eksperter kan tjekke harddiske, metadata, datapakker, netværksadgangslogfiler eller e-mail-udvekslinger for at finde, indsamle og behandle oplysninger.

4. Rapportering

Analytikere skal dokumentere enhver handling, de foretager sig for at sikre, at deres beviser holder stand i en strafferetlig eller civil domstol senere. Når de afslutter deres undersøgelse, rapporterer de deres resultater - enten til retshåndhævende myndigheder, retten eller det firma, der hyrede dem.

Hvem bruger Digital Forensics? 

Digital efterforskning efterforsker ulovlig aktivitet relateret til elektroniske enheder, så retshåndhævende myndigheder bruger det ofte. Interessant nok forfølger de ikke udelukkende cyberkriminalitet. Enhver forseelse - uanset om det er en voldsforbrydelse, civil lovovertrædelse eller funktionær kriminalitet - der kan være forbundet til en telefon, computer eller flashdrev er fair game.

Virksomheder hyrer ofte retsmedicinske analytikere efter at have oplevet et databrud eller blevet ofre for cyberkriminalitet. At overveje ransomware-angreb kan koste mere 30 % af en organisations driftsindtægter, er det ikke ualmindeligt, at ledere hyrer ekspertetterforskere til at forsøge at inddrive nogle af deres tab.

AI's rolle i digital retsvidenskab 

En digital retsmedicinsk undersøgelse er typisk en kompleks, langvarig proces. Afhængigt af lovovertrædelsens type og sværhedsgrad - og antallet af Megabtyes-efterforskere skal gennemskue - kan en enkelt sag tage uger, måneder eller endda år. AI's uovertrufne hastighed og alsidighed gør det til en af ​​de bedste løsninger.

Retsmedicinske analytikere kan bruge AI på flere måder. De kan bruge maskinlæring (ML), naturlig sprogbehandling (NLP) og generative modeller til mønstergenkendelse, forudsigelig analyse, informationssøgning eller kollaborativ brainstorming. Det kan håndtere deres hverdagslige pligter eller avancerede analyser.

Måder AI kunne forbedre digital efterforskning

AI kunne væsentligt forbedre flere aspekter af digital retsmedicinsk videnskab og permanent ændre, hvordan efterforskere udfører deres job.

Automatiser processer

Automatisering er en af ​​AI's største muligheder. Da det kan arbejde selvstændigt - uden menneskelig indgriben - kan analytikere lade det håndtere gentagne, tidskrævende arbejde, mens de prioriterer kritiske, højt prioriterede ansvarsområder.

De eksperter, der er hyret af mærker, kommer også til gode siden 51 % af sikkerhedsbeslutningstagerne er enig i, at deres arbejdspladsers alarmmængder er overvældende, hvor 55 % indrømmer, at de mangler tillid til deres teams evne til at prioritere og reagere i tide. De kan bruge AI-automatisering til at gennemgå tidligere logfiler, hvilket gør identifikationen af ​​cyberkriminalitet, netværksbrud og datalæk mere overskuelig.

Giv vital indsigt

En ML-model kan kontinuerligt logge cyberkriminalitetshændelser i den virkelige verden og gennemsøge det mørke web, hvilket gør den i stand til at opdage nye cybertrusler, før menneskelige efterforskere bliver opmærksomme på dem. Alternativt kan den lære at scanne kode for skjult malware, så teams hurtigere kan finde kilden til cyberangreb eller brud.

Fremskynde processer

Efterforskere kan bruge AI til at fremskynde undersøgelse, analyse og rapportering betydeligt, da disse algoritmer hurtigt kan analysere store mængder data. For eksempel kan de bruge det til brute force en adgangskode på en låst telefon, skrive et groft udkast til en rapport eller opsummere en ugers e-mail-udveksling.

AI's hastighed ville især være nyttig for de eksperter, virksomheder ansætter, da mange it-afdelinger bevæger sig for langsomt. For eksempel i 2023 virksomheder tog 277 dage i gennemsnit at reagere på et databrud. En ML-model kan behandle, analysere og output hurtigere end noget menneske, så den er ideel til tidsfølsomme applikationer.

Find kritiske beviser

En NLP-udstyret model kan scanne kommunikation for at identificere og markere mistænkelig aktivitet. Efterforskere kan træne eller bede den om at søge sagsspecifik information. For eksempel, hvis de beder den om at søge efter ord, der er relateret til underslæb, kan det lede dem mod tekster, hvor den mistænkte indrømmer at have misbrugt virksomhedsmidler.

Udfordringer, AI skal overvinde

Selvom AI kunne være et kraftfuldt kriminalteknisk værktøj - potentielt accelererende sager med uger - er dets brug ikke uden ulemper. Som de fleste teknologicentrerede løsninger har den adskillige privatlivs-, sikkerheds- og etiske problemer.

Problemet med den "sorte boks" - hvor algoritmer ikke kan forklare deres beslutningsproces - er det mest presserende. Gennemsigtighed er afgørende i retssalen, hvor analytikere afgiver ekspertvidneudsagn i straffesager og civile sager.

Hvis de ikke kan beskrive, hvordan deres AI analyserede data, kan de ikke bruge resultaterne i retten. Ifølge Federal Rules of Evidence - standarder for, hvilke beviser der er tilladt i amerikanske domstole - er et AI-drevet digitalt retsmedicinsk værktøj kun acceptabelt hvis vidnet udviser personlig viden af dets funktioner, forklarer ekspert, hvordan det kom til sine konklusioner og beviser, at dets resultater er nøjagtige.

Hvis algoritmerne altid var nøjagtige, ville black box-problemet ikke være et problem. Desværre hallucinerer de ofte, især når utilsigtet hurtig ingeniørarbejde er involveret. En efterforsker, der beder en NLP-model om at vise dem tilfælde, hvor den mistænkte stjal virksomhedsdata, kan virke harmløse, men kan resultere i et falsk svar for at tilfredsstille forespørgslen.

Fejl er ikke ualmindeligt, da algoritmer ikke kan ræsonnere, forstå kontekst eller fortolke situationer udtømmende. I sidste ende kan et ukorrekt uddannet kunstig intelligens-værktøj give efterforskere mere arbejde, da de bliver nødt til at sortere gennem falske negative og positive.

Fordomme og defekter kan gøre disse problemer mere udtalte. For eksempel kan en AI, der bliver bedt om at finde bevis for cyberkriminalitet, overse nogle typer cyberangreb baseret på bias udviklet under træning. Alternativt kan den se bort fra tegn på tilknyttede forbrydelser og tro, at den skal overprioritere en bestemt slags bevismateriale.

Vil AI erstatte efterforskningseksperter?

AI's automatiserings- og hurtige behandlingsfunktioner kan komprimere måneder lange sager til et par uger og hjælpe teams med at sætte cyberkriminalitet bag tremmer. Desværre er denne teknologi stadig relativt ny, og amerikanske domstole er ikke glade for ubeviste, grænseoverskridende teknologier.

For nu - og sandsynligvis årtier fremover - vil AI ikke erstatte digitale kriminaltekniske analytikere. I stedet vil det hjælpe dem med daglige pligter, hjælpe med at guide deres beslutningsprocesser og automatisere gentagne ansvarsområder. Menneskelig overvågning vil forblive nødvendig, indtil de løser black box-problemet for altid, og retssystemet finder et permanent sted for AI.

Zac Amos er en teknisk forfatter, der fokuserer på kunstig intelligens. Han er også Features Editor på ReHack, hvor du kan læse mere om hans arbejde.