全国网安部门手机取证培训-Actionable-Intelligence课件(1).pptx

1、1移动数字取证技术培训移动数字取证技术培训 实现端到端的数字取证实现端到端的数字取证(EEDI)平台平台 2议程议程 引言5 种挑战6 个 EEDI 构建模块手机取证新技术案例分析12343移动数据取证面临的主要挑战移动数据取证面临的主要挑战41.设备解锁2.数量3.多样性4.速度5.易变性主要挑战主要挑战5种挑战5The 3 Vs2016 年年 3 月月 30 日日Bloomberg Technology 新闻新闻“据知情人士介绍，美国联邦调查局与以色列 Cellebrite Mobile Synchronization Ltd.合作，破解了去年加利福尼亚圣贝纳迪诺枪击案中使用的 iPhon

2、e。”A few months back6时间时间:2015 年 11 月 13 日晚上 9:16地点地点:巴黎北郊同时发生爆炸和枪击事件有130 人死亡，368 人受伤7时间时间:2016 年 7 月 15 日地点地点:土耳其伊斯坦布尔 土耳其反政府武装在多个主要城市发起协同军事行动来推翻政府，冲突中有241 人死亡，2194 人受伤。双峰枪战双峰枪战 德克萨斯州韦科 -案例分析时间时间:2015 年 5 月 17 日地点地点:德克萨斯州韦科德克萨斯州韦科在一次黑帮枪战中，9 名摩托车手死亡。警方在现场逮捕了177 名摩托车手，缴获了 180 多台设备。大量的证据让警方和检察官办公室疲于应对

3、。他们不断要求法院给予更多的时间，让他们能完成审判案件的准备工作。9时间时间:2016 年 12 月 23 日地点地点:马哈拉施特拉邦 Surjagarh Gadchiroli 地区有500 人参与暴动，在暴乱中烧毁了 80 辆卡车，共造成3 人死亡，多名安保人员受伤。10成百上千台移动设备成百上千台移动设备成千上万的目击者成千上万的目击者海量且快速变化的情报海量且快速变化的情报争取时间预防案件发生11如何管理积压工作?应急人员如何帮忙收集数据哪些数据源是重要的?如何保护个人数据?需要哪些培训 跨团队 成员如 何协作?如何快速分析数据?难题排序法庭判决和立法如何影响.需要进行跨案件交叉分析吗?

4、下一条线索是什么？会在哪里?工作需要哪些工具KPI 报告?12设备锁定主要挑战主要挑战1235789=Z7415963=N5种挑战13数量主要挑战主要挑战4 8 16 32 64 2565种挑战14多样性主要挑战主要挑战Whatsapp、Wechat、SnapChat、Facebook Messenger、Line、QQ5种挑战15速度主要挑战主要挑战256kbps、1mbps和10Gbps5种挑战16易变性主要挑战主要挑战Radio Tactics UKWynyardCellhunter5种挑战171.设备锁定2.数量3.多样性4.速度5.易变性主要挑战主要挑战5种挑战18准备不足准备不足运

5、营影响：运营影响：功能停滞 更替率高 结案时间延长 不必要的成本 人员更换 失误 外包18资源资源 数字数据数字数据准备不足准备不足19有限的资源人工流程人工流程数据访问工具数据访问工具线索生成时间线索生成时间人员减少人员减少用较少的资源做更多的事 需要提高现有人员的工作效率利用这种数字金矿的挑战206 个构建模块个构建模块行动情报实现端到端的数字调查案例分析：英国伦敦大都会警察局（UK London Metropolitan Police）21智慧智慧数据数据信息信息知识知识把真正的调查“智慧”运用到自动的直观推断之中，以缩短发现线索的时间，以便快速有效地采取行动把事件和证据信息串联为有用信

6、息的大数据分析与相关技术 把数据转化为可用信息的高级技术和方法提取数字设备数据的基本技术深入的数字调查与取证概念222.使用多层调查模式使用多层调查模式4.持续的人员培训持续的人员培训6.持续的能力提升持续的能力提升6 个构建模块5.KPI 报告报告+控制控制3.快速地跨案件协作快速地跨案件协作+高级分析高级分析1.高级解锁高级解锁+漏洞利用漏洞利用 23使用多层调查模式使用多层调查模式高级解锁和漏洞利用高级解锁和漏洞利用快速快速地地跨案件协作和高级分析跨案件协作和高级分析持续的人员培训持续的人员培训KPI 报告和控制报告和控制 人员人员流程流程产品产品123453-5 年规划 多机构保障未来

7、从从端到端端到端的的数字调查数字调查(EEDI)平台平台的的 6 个个主要的主要的构建模块构建模块 持续的能力提升持续的能力提升6产品产品流程流程人员人员数字调查遇到的挑战：数字调查遇到的挑战：设备锁定数量多样性速度易变性24案例分析2012年至 2015年 EEDI试点 2016年开始从部分到全方位部署手机取证系统150 名实验室分析师和 350 名一线侦查员六个 EEDI 构建模块的最早采纳者25构建模块构建模块#1高级保险库/锁破解+漏洞利用 26构建模块#1高级解锁高级解锁+漏洞利用漏洞利用 移动设备解锁、解密技术移动设备解锁、解密技术立即可用时间敏感性的重大突破直达采购流程双刃剑27

8、设备细分设备细分28Android 统计数据统计数据全球已交付 11.33 亿部亿部 Android 电话Android 占全球智能手机市场的 87.5%美国有 1.07亿亿 Android 智能手机用户Android 占中国市场的 64.6%29Android 操作系统分布操作系统分布GingerbreadIce Cream SandwichJelly BeanKitKatLollipopMarshmallowNougat30构建模块构建模块#2使用多层调查模式31构建模块#2使用多层调查模式使用多层调查模式典型调查结构典型调查结构中心数字取证实验室业务部门调查分析部门32Central D

9、igital LabSub DivisionSub DivisionSub DivisionSub DivisionSub DivisionSub Division案件调查及分析部门手机取证大数据分析系统/平台手机取证深度采集及关联分析工具手机取证快速采集设备技术工具技术工具目标数量目标数量办案人员移动取证数据来源70%25%5%中中心心数字实验室数字实验室警种/部门警种/部门警种/部门警种/部门警种/部门警种/部门33 每年 385,000 起案件 每年 45,000 台数字设备 每年 50,430 个 TB 数据量每年增长 100%事实和数字(2016)40%移动设备侦查148%数字侦查数

10、据34构建模块构建模块#3快速地跨案件协作和高级分析35构建模块#3快速快速地地跨案件协作和高级分析跨案件协作和高级分析手机取证数据分析技术用来发现隐藏情报的高级分析快速地跨案件分析与协作基于角色的工作流程统一数据管理和控制36专用解决方案专用解决方案利用数字数据的威力利用数字数据的威力手机取证数据分析节约了宝贵的时间和人力资源统一数据、工作流程和团队统一数据、工作流程和团队缩短案件周期缩短案件周期技术投资最大化技术投资最大化37实现端到端的数字调查行动情报平台行动情报平台数据源数据源移动设备云电信运营商提取和解码提取和解码应急人员和移动 实验室警察局取证实验室储存和索引储存和索引分析和报告分

11、析和报告文本链路图片视频分析企业平台案件管理 系统第三方分析记录管理系统取证人员侦查员分析人员检察官指挥人员管理人员38MPS LabNet-数据分析警务项目目标是可使用 2 小时远程访问和分析数据支持所有侦查员从中心系统转移到子系统39构建模块构建模块#4持续的人员培训 培训40构建模块#4持续的人员培训持续的人员培训 分析分析人员人员+取证人取证人员员所有中心实验室+分实验室认证培训专业高级培训侦查员侦查员培训逻辑数字鉴别调查培训师反恐单位反恐单位预防、事件响应、事件后数字调查检察官检察官从法律角度进行数字调查41各侦查团队+运营单位将来:为一线人员提供 UFED Android 培训UF

12、ED 培训培训一线人员移动警车内的 MDT+中心取证实验室分部的小实验室+Cellebrite UFED Infield 管理员与操作员培训(CUFM+CUFO)+Cellebrite UFED InField 操作员培训(CUFO)Cellebrite UFED InField 培训师培训(CUFO TTT)+Cellebrite UFED Analytics 培训+Cellebrite UFED Analytics 培训Cellebrite UFED Analytics 培训42各侦查团队+运营单位可选利益相关者培训可选利益相关者培训:-Cellebrite 移动取证知识普及(CMFF)-

13、法律专业人士移动取证培训(MFLP)-Cellebrite 社交网络侦查员(CSNI)年度培训年度培训中心取证实验室分部的小实验室+更多利益相关者更多利益相关者:-指挥人员-检察官-应急人员-特别行动组-支持人员(IT 等)进修培训+新人入职培训计划进修培训+新人入职培训计划未来未来可选的可选的培训培训+Cellebrite 高级智能手机分析Certified 证据修复技术员-F(CERT-F)Cellebrite 高级智能手机提取(CASE)Cellebrite 高级 JTAG 提取(CAJE)Cellebrite 云提取与报告(CLEAR)进修培训+新人入职培训计划43高级 MPS 技能(

14、2016)蜂窝基站分析(约 300 个案例)专业音频+视频(约 50 个案例)复杂和简单 Chip off(约 85 个案例)44构建模块构建模块#5KPI 报告+控制45构建模块#5KPI 报告报告+控制控制手机取证网络手机取证网络管理系统管理系统使用监控控制用户对配置文件的访问许可控制软件版本控制KPI 报告46Central Digital LabSub DivisionSub DivisionSub DivisionSub DivisionSub DivisionSub Division侦查单位一线/办案人员移动取证数据源取证中心取证中心管理系统管理系统中心用户管理中心许可与版本控制实

15、时监控使用跟踪KPI 报告中心中心数字实验室数字实验室警种部门警种部门警种部门警种部门警种部门警种部门47KPI 报告:设备数量40%移动设备调查50%计算机调查62%-第 3 层 SSK38%-第 2 层+1(网络中心+实验室)2015表表1 设备检查量变化趋势设备检查量变化趋势检查次数/年电话(通过实验室/FSP)电话（通过SSK）计算机计算机(通过网络中心)视频音频合计48KPI 报告:数据量每年100%的数字调查数据10%-第 3 层(SSK)30%-第 2 层(网络中心)60%-第 1 层(实验室)2017表表3 数据量数据量SSK数(#)网络中心数(#)SSK数据量(Tb)网络中心

16、数据量(Tb)中心实验室数据量(Tb)总数据量(Tb)49构建模块构建模块#6持续的能力提升50构建模块#6持续的能力提升持续的能力提升能力提升能力提升新技术跟踪和升级(专业解锁/提取/解密)更多更多数据源数据源移动终端+云分析器+OSINT5110%-30%30%-90%90%-100%侦查单位的鉴别数据调查 分部和中心实验室的高级移动数字数据调查私有云数字数据调查高级移动设备调查，专业解锁解密技术超过 100%(Facebook,google 服务)高级高级高级高级第第 1 和和 2 层层第第 3 层层技术工具技术工具手机深度取证手机快速取证专业解锁/提取/解密云分析器端到端端到端的的数字

17、调查数字调查路线图路线图:-OSINT-计算机取证数据计算机取证数据-BSSID 数据库数据库-全球地图覆盖全球地图覆盖持续提升数字调查能力与技术持续提升数字调查能力与技术52未来能力联合培养安全、加密和密码智能设备和内嵌系统汽车电子设备53未来能力联合培养云计算面部识别计算机、WiFi 和网络54常规常规主要主要绩效指标绩效指标(KPI)报告和控制报告和控制使用多层调查模式使用多层调查模式持续持续的的提升数字调查能力与技术提升数字调查能力与技术持续的能力与知识持续的能力与知识培训培训高效的多利益相关者信息共享、协作和高级分析高效的多利益相关者信息共享、协作和高级分析人员人员流程流程产品产品1

18、23453-5 年规划多机构保障未来从从端到端端到端的的数字调查数字调查(EEDI)平台的平台的 6 个个主要主要构建模块构建模块 高级保险室高级保险室/锁破解和漏洞利用锁破解和漏洞利用6产品产品流程流程人员人员解决数字调查难题解决数字调查难题:设备锁定数量多样性速度易变性55端到端数字调查的积极结果20/20/20 伦敦市长的目标伦敦市长的目标20%犯罪率下降公众信心上升运行费用削减56端到端数字调查的积极结果截止到截止到 2015 年底的结果年底的结果90%的数字调查产生积极结果31%使用数字调查数据指控7%排除52%协助调查57端到端数字调查的积极结果截止到截止到 2015 年底的结果年

19、底的结果移动设备调查数量增加 40%节约保释申请费 130万英镑节约侦查员差旅费 90万英镑弃保潜逃和保释中重复犯罪情况减少58行动情报规划行动情报规划1一次性成本一次性成本+年度经常性成本年度经常性成本+年度扩展推进成本年度扩展推进成本3固定预算固定预算2专业服务专业服务+基础设施成本基础设施成本 五年总规划596 个构建模块个构建模块一次性预算一次性预算经常性预算经常性预算年度扩展和年度扩展和推进推进预算预算第 1 年第 1 年第 1 年第 2-5 年第 2-5 年第 2-5 年第 3-5 年第 3-5 年第 3-5 年第 2 年第 2 年第 2 年第 3-5 年第 3-5 年第 3-5

20、年第 4-5 年第 4-5 年第 4-5 年使用多层调查模式使用多层调查模式1常规常规主要主要绩效指标绩效指标(KPI)报告和控制报告和控制2持续提升数字调查能力和技术持续提升数字调查能力和技术3持续的能力与知识持续的能力与知识培训培训4快速找出快速找出行动情报行动情报，确保实时协作确保实时协作5高级保险室高级保险室/锁破解和漏洞利用锁破解和漏洞利用660锁定锁定数量数量多样性多样性速度速度易变性易变性规划因素规划因素616 个构建模块个构建模块第 1 年第 1 年第 2-5 年第 2-5 年第 3-5 年第 3-5 年第 3-5 年第 4-5 年第 2 年3rd Year3rd Year第

21、3-5 年第 4-5 年第 4-5 年第 4-5 年第 5 年以后第 2 年第 5 年以后使用多层调查模式使用多层调查模式1常规常规主要主要绩效指标绩效指标(KPI)报告和控制报告和控制2持续提升数字调查能力和技持续提升数字调查能力和技术术3持续的能力与知识持续的能力与知识培训培训4快速找出快速找出行动情报行动情报，确保实时协作确保实时协作5高级保险室高级保险室/锁破解和漏洞锁破解和漏洞利用利用6一次性预算一次性预算经常性预算经常性预算年度扩展和年度扩展和推进推进预算预算62100%连续连续性性持续发展持续发展移动数字取证系统性建设规划移动数字取证系统性建设规划综合的综合的端到端解决方案端到端解决方案单一供应商单一供应商问责制问责制63请看演示请看演示!UFED 新功能新功能UFED PremiumUFED Analytics Enterprise 2.064谢谢