計(jì)算機(jī)安全專家們應(yīng)當(dāng)開始關(guān)注CSI。從這種方法中，他們可以學(xué)到如何把電視節(jié)目中的抓捕術(shù)和電視劇中的戰(zhàn)略情節(jié)運(yùn)用到網(wǎng)絡(luò)空間中來，這包括在暗處等待網(wǎng)絡(luò)襲擊者自己上鉤。

這是來自于Jon Orbeton的建議，Jon Orbeton是Check Point 軟件技術(shù)有限公司區(qū)域試驗(yàn)室的高級網(wǎng)絡(luò)安全分析專家，他經(jīng)常處理的是數(shù)字犯罪的偵查案例。Orbeton說，和數(shù)字入侵者的斗爭并不如看起來般簡單。

“網(wǎng)絡(luò)空間的安全專家人經(jīng)常使用的是我叫做‘跟蹤’方法，也就是從一個(gè)站點(diǎn)換到另一個(gè)站點(diǎn)，試圖以此方法捕獲入侵者，” Orbeton說，Orbeton曾經(jīng)在FBI，英國的Scotland Yard，以及美國聯(lián)邦經(jīng)濟(jì)情報(bào)局，“但是，你如何來確定入侵者什么時(shí)候出入你的系統(tǒng)。”

當(dāng)一個(gè)企業(yè)網(wǎng)絡(luò)估測可能有入侵者進(jìn)入了網(wǎng)絡(luò)系統(tǒng)或者是數(shù)據(jù)庫的時(shí)候，最重要的事情因當(dāng)時(shí)立即控制住入侵者，但是，想要做到這一點(diǎn)，信息安全人員需要做許多的準(zhǔn)備，才能夠遏制住罪犯。

“應(yīng)當(dāng)保證整個(gè)網(wǎng)絡(luò)系統(tǒng)都在他們的視線之內(nèi)，而不是僅僅的幾個(gè)服務(wù)器。” Oberton在最近一次2006 RSA網(wǎng)絡(luò)安全會議上建議企業(yè)的調(diào)查官員。相似的，就像警察搜集指紋一樣，數(shù)字專家們應(yīng)當(dāng)搜集的是注冊的信息也就是一系列的身份認(rèn)證信息。并且盡管有CSIs來監(jiān)控網(wǎng)絡(luò)行為，企業(yè)的安全官員也應(yīng)當(dāng)對數(shù)字模式進(jìn)行監(jiān)控。

與此同時(shí)，從稽查中的隨時(shí)監(jiān)控也可以學(xué)到如何進(jìn)行數(shù)字監(jiān)控，也就是建立網(wǎng)絡(luò)空間隨時(shí)監(jiān)控進(jìn)入網(wǎng)絡(luò)中的“指紋，足跡和輪胎紋”也就是IP地址等線索。

一旦搜集到信息，Orbeton用三句話總結(jié)了他自己的操作規(guī)范，他通常會瀏覽所有的系統(tǒng)，建立一個(gè)入侵者檔案，并且把入侵者信息輸入到各個(gè)系統(tǒng)中。

入侵者的檔案包括所有的可疑密碼以及入侵使用的工具手段和具體案情發(fā)生的時(shí)間數(shù)據(jù)。

“你需要建立一個(gè)足夠完整的檔案，這樣才不會出現(xiàn)信息重疊的錯(cuò)誤，但是也不能夠過于詳細(xì)，應(yīng)當(dāng)保證意賅。” Orbeton說，“我通常是通過Google來搜集信息。”

一旦檔案創(chuàng)建，Orbeton就會建立一個(gè)軟盤，并建立一個(gè)各個(gè)元素的映射關(guān)系，這樣方便于按照特征尋找，對數(shù)據(jù)加密，并輸送到數(shù)據(jù)庫中，這樣數(shù)據(jù)就得到了最終的分類，便于查找。

Orbeton使用這些方法在過去的幾年中獲得了很多次成功，比如有一次他就在監(jiān)控過程中，發(fā)現(xiàn)了一個(gè)入侵者正在偷竊數(shù)以百萬計(jì)的信用卡密碼。

“我們借鑒了傳統(tǒng)偵查方面的方法，建立了犯罪檔案，實(shí)時(shí)監(jiān)控所有的系統(tǒng)，并且發(fā)現(xiàn)從未見過的三個(gè)未知的系統(tǒng)網(wǎng)站。” Oberton說。這也就是他的團(tuán)隊(duì)如何發(fā)現(xiàn)罪犯的過程，之后他們就很快抓住了作案者，不過Oberton從未公布罪犯的身份和來自的組織。