Proses Forensik Digital DFIR Selepas Insiden Siber
Forensik digital (DFIR) ialah disiplin yang mengumpul, memelihara dan menganalisis bukti elektronik dengan cara yang boleh dipertahankan di mahkamah, regulator dan tuntutan insurans. Artikel ini menerangkan langkah-langkah utama proses DFIR — chain of custody, acquisition disk dan memory, analisis timeline, IOC pivoting, dan pelaporan rasmi — serta peranan tools industri seperti X-Ways, Volatility, Velociraptor dan EnCase. Kami juga membincangkan mengapa kualiti forensik menentukan kejayaan tuntutan insurans, litigasi dan pelaporan kepada regulator Malaysia.
Apakah DFIR dan Mengapa Ia Berbeza Daripada IT Troubleshooting
DFIR (Digital Forensics and Incident Response) menggabungkan dua disiplin: forensik digital yang memelihara bukti untuk analisis mendalam dan kegunaan undang-undang, dan respons insiden yang berfokus kepada containment dan pemulihan operasi. Berbeza dengan IT troubleshooting biasa, DFIR mengutamakan integriti bukti — setiap tindakan didokumentasikan, setiap fail di-hash, dan setiap akses bukti dicatatkan.
Bagi syarikat Malaysia, kualiti DFIR menentukan kejayaan tuntutan insurans siber, pelaporan kepada MaCERT/NACSA/BNM, dan kebolehan untuk mempertahankan diri dalam saman sivil oleh subjek data atau pelanggan. Kerja yang tergesa-gesa tanpa disiplin forensik boleh memusnahkan bukti yang penting selama-lamanya.
Chain of Custody — Asas Bukti Yang Boleh Dipertahankan
Chain of custody (rantaian penjagaan bukti) ialah dokumen yang mencatatkan siapa, bila, di mana dan bagaimana setiap item bukti dikumpul, disimpan, dipindahkan dan dianalisis. Tanpa chain of custody yang lengkap, bukti boleh dipertikai di mahkamah atau ditolak oleh regulator.
Amalan terbaik termasuk: borang chain of custody bercetak atau digital yang ditandatangani pada setiap perpindahan, penyimpanan bukti dalam evidence locker terkunci dengan akses terkawal, hashing setiap imej (SHA-256) sebelum dan selepas pemindahan, serta dokumentasi tools dan versi yang digunakan untuk acquisition.
- Borang chain of custody untuk setiap item bukti.
- Hash SHA-256 sebelum/selepas setiap pemindahan.
- Evidence locker terkunci dengan akses logged.
- Dokumentasi tools, versi dan operator yang melakukan acquisition.
Evidence Acquisition — Disk Image dan Memory Dump
Acquisition ialah fasa pengumpulan bukti. Untuk host yang dijangkiti, dua jenis acquisition adalah kritikal: memory dump (RAM) dan disk image (storan kekal). Memori mengandungi bukti volatile — proses berjalan, koneksi rangkaian aktif, kunci enkripsi yang tersimpan dalam ingatan — yang hilang apabila kuasa dimatikan.
Disk image dibuat menggunakan tools seperti FTK Imager, dc3dd atau X-Ways untuk menghasilkan salinan bit-for-bit (forensic image) dalam format E01 atau raw. Imej dihasilkan dengan write-blocker untuk memastikan disk asal tidak diubah suai. Memory dump menggunakan tools seperti WinPmem atau Magnet RAM Capture untuk menangkap RAM aktif.
Untuk persekitaran enterprise dengan ratusan endpoint, acquisition manual tidak praktikal. Velociraptor, Magnet AXIOM Cyber dan KAPE digunakan untuk acquisition terpilih (triage collection) merentas estate — mengambil hanya artifak yang relevan (event logs, prefetch, $MFT, registry hives) untuk analisis pantas.
- Memory dump dahulu (sebelum reboot): WinPmem, Magnet RAM.
- Disk image dengan write-blocker: FTK Imager, dc3dd, X-Ways.
- Triage collection enterprise: Velociraptor, KAPE, AXIOM Cyber.
- Cloud forensik: AWS/Azure/GCP snapshots dengan IAM ketat.
Analisis Forensik — Timeline, IOC Pivoting dan Korelasi
Selepas acquisition, fasa analisis bermula. Objektif utama: bina semula timeline serangan dari titik kemasukan pertama sehingga kesan akhir, kenal pasti semua aset terjejas (blast radius), dan ekstrak IOC untuk pivoting merentas estate.
Timeline dibina daripada banyak sumber: Windows event logs (Security, System, Application), Sysmon logs, prefetch, ShimCache, AmCache, ScheduledTasks, $MFT, web browser history, dan log aplikasi. Tools seperti Plaso/log2timeline mengagregat sumber-sumber ini ke dalam super timeline tunggal yang boleh ditapis dan dianalisis.
Memory forensik menggunakan Volatility 3 atau Rekall untuk mengekstrak proses tersembunyi, injected DLL, koneksi rangkaian dan token kelayakan. Penemuan dari memory sering mendedahkan teknik fileless attacks yang tidak meninggalkan jejak di disk.
- Super timeline dengan Plaso/log2timeline + Timesketch.
- Memory analysis dengan Volatility 3 / Rekall.
- IOC pivoting merentas estate: EDR queries, YARA rules.
- Threat intel enrichment: VirusTotal, MISP, vendor feeds.
Tools Industri Standard — X-Ways, EnCase, Volatility, Velociraptor
Pasaran DFIR mempunyai beberapa tools yang menjadi standard industri. X-Ways Forensics dan EnCase Forensic ialah komersial untuk disk forensik mendalam dengan ciri carving, signature analysis dan reporting. Magnet AXIOM popular untuk forensik mudah alih (smartphone) dan cloud.
Volatility 3 ialah open-source standard untuk memory forensik dengan ratusan plugin untuk pelbagai versi Windows, Linux, macOS. Velociraptor (oleh Rapid7, dikekalkan oleh komuniti) ialah platform endpoint forensik dan threat hunting di skala enterprise. KAPE (Kroll Artifact Parser and Extractor) digunakan untuk triage collection cepat.
Pilihan tools bergantung kepada kes — tetapi disiplin proses (chain of custody, dokumentasi, hashing) lebih penting daripada tools tertentu. Pasukan DFIR berpengalaman menggunakan kombinasi 5-10 tools dalam setiap kes besar.
Pelaporan untuk Undang-Undang, Insurans dan Regulator
Output akhir kerja DFIR ialah laporan forensik bertulis. Laporan ini perlu memenuhi standard yang berbeza-beza bergantung kepada penonton: ringkasan eksekutif untuk papan pengarah, laporan teknikal terperinci untuk peguam dan regulator, serta lampiran bukti untuk juri pengadilan jika perlu.
Komponen laporan tipikal: executive summary, methodology, chain of custody, findings (dengan timeline dan IOC), root cause analysis, dan recommendations. Setiap dakwaan mesti disokong oleh bukti yang boleh dijejaki ke artifak forensik tertentu — bukan pendapat tanpa sokongan.
Bagi tuntutan insurans siber, kualiti laporan menentukan jumlah tuntutan yang diluluskan. Bagi pelaporan kepada MaCERT/NACSA/BNM, format laporan biasanya perlu mengikut template regulator. Bagi litigasi, expert witness statement perlu ditulis dengan teliti untuk bertahan dalam cross-examination.
Tuntutan Insurans dan Litigasi — Mengapa DFIR Berkualiti Penting
Insurer siber semakin terampil dalam menolak tuntutan yang lemah. Sebab tipikal penolakan termasuk: kekurangan kawalan pra-syarat (MFA, EDR, backup), kelewatan pemberitahuan, dan kualiti forensik yang tidak mencukupi untuk membuktikan punca dan magnitud kerugian. Laporan DFIR yang lengkap dengan chain of custody yang ketat adalah pertahanan utama.
Dalam litigasi sivil — saman oleh subjek data PDPA atau pelanggan korporat yang menuntut pampasan SLA — bukti forensik yang boleh dipertahankan adalah keperluan asas. Tanpa DFIR berkualiti, plaintif boleh dengan mudah membuat dakwaan tanpa rebuttal teknikal.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Bolehkah pasukan IT dalaman melakukan DFIR sendiri?
Untuk insiden kecil, ya — dengan latihan dan disiplin. Untuk insiden material (ransomware, pencerobohan data, kes dengan implikasi undang-undang), libatkan vendor DFIR luaran kerana independensi dan kepakaran memperkuat pertahanan dalam tuntutan dan litigasi.
Berapa lama proses DFIR biasanya mengambil masa?
Insiden kecil (1-2 host): 1-2 minggu. Insiden enterprise (ratusan host, pencerobohan data): 6-12 minggu untuk laporan penuh. Triage awal dan IOC sweep boleh dilakukan dalam 24-72 jam pertama.
Adakah bukti dari awan (cloud) boleh diakses untuk forensik?
Ya — AWS, Azure dan GCP menyediakan API untuk forensic acquisition (snapshots, log eksport). Walau bagaimanapun, IAM dan log retention mesti dikonfigurasi terlebih dahulu. Tanpa persediaan, bukti kritikal mungkin hilang selepas tetingkap retensi.
Bolehkah laporan DFIR digunakan di mahkamah Malaysia?
Ya, jika chain of custody dipelihara dan analyst memenuhi standard expert witness. Bagi kes besar, peguam biasanya bekerja rapat dengan pasukan DFIR sejak awal untuk memastikan bukti dikumpul mengikut standard forensik.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.