DFIR:數字取證與事件應急響應
責編:gltian |2022-10-28 11:12:15數字取證和事件應急響應(DFIR:Digital Forensics and Incident Response),是兩個相關但又獨立的領域。讓我們深入了解一下什么是數字取證和應急事件應急響應,以及為什么它們經常被歸類在一起。
數字取證(Digital Forensics)
數字取證學描述了電子證據的收集、分析和報告。它涵蓋了整個過程:從識別數字證據的那一刻起,到完成分析并呈現于法庭訴訟時。多年來有幾個類似的定義,包括美國國家標準與技術研究所(NIST)的以下定義:”將科學應用于數據的識別、收集、檢查和分析,同時保持信息的完整性并保持數據的嚴格監管鏈“,以及數字證據科學工作組(SWGDE)的定義:”用于獲取、保全、分析和報告證據的過程,使用的科學方法明顯可靠、準確和可重復,以便用于司法程序”。
NIST為數字取證的各個階段描述了兩個不同的框架。在NIST800-86中,描述的四個基本階段是:收集、檢查、分析和報告。最近,NIST建議數字取證調查的七個步驟,細分為兩個較大的階段:收集和解釋。該過程從收集潛在證據開始,收集階段包括以下步驟:1.保護2.獲取3.保全。第二階段解釋,包括這些步驟:4.恢復5.導航6.識別/提取7.分析。
這些步驟之后將通過書面報告說明結果。因為數字取證中的信息是用于司法目的的,所以在整個步驟中保持數據的完整性是至關重要的。
數字取證是一個更具包容性的術語,以前通常被稱為計算機取證,因為這種類型的證據在歷史上是與計算機犯罪有關的。然而,如今數字證據出現在大多數其他類型的犯罪中,從謀殺到販毒、家庭暴力、針對兒童的互聯網犯罪等。因此,數字取證一詞已獲得青睞,它包含了所有形式的電子證據,從電腦到手機、云中的數據、智能手表和智能電視等。
事件應急響應(Incident Response)
事件應急響應是指切實減輕計算機安全事件的危害。NIST使用”事件處理”這一術語,并將事件應急響應共同定義為”減輕違反安全政策和建議做法的行為”。事件應急響應的目標是減少對組織的傷害。這種傷害可以是財務損失、聲譽損失、數據丟失或更改,系統癱瘓等形式。例如,對于醫院系統或水處理設施來說,盡力縮短系統宕機時間在事件中最為關鍵。在選舉系統的例子中,最關鍵的需求可能是保持數據的完整性。這些事件可能包括勒索軟件、商業電子郵件泄露、知識產權盜竊等等。
有兩個主要框架被用于事件應急響應,即NIST框架和SANS框架。
NIST的步驟是:
- 準備工作
- 檢測和分析
- 遏制、根除和恢復
- 事故后的活動
SANS框架的步驟是:
- 準備工作
- 鑒定
- 遏制
- 鏟除
- 恢復
- 汲取教訓
我們可以看到在這兩個框架中,都有類似的步驟。NIST計算機安全事件處理指南中有關于事件應急響應計劃要求的細節。
事件應急響應可以由內部安全團隊處理,也可以外包給第三方公司,或者兩者結合。事件應急響應可以涉及企業環境或組織,如政府或非營利組織。重要的是可能會有法律報告要求,這取決于要考慮的司法管轄區和商業部門,也可能有時效性因素。
數字取證與事件應急響應(DFIR)
我們經常看到數字取證和事件應急響應這兩個術語被組合在一起,有時被縮寫為DFIR。這是因為數字取證中使用的工具和方法經常被用于事件應急響應。事件應急響應從業者接受數字取證方面的培訓并了解數字取證是非常重要的。此外,有些應對的事件可能需要通知執法部門。
由于數字取證和事件應急響應之間存在如此密切的聯系,因此,具有數字取證背景的人有時會在其職業生涯中轉入事件應急響應角色,反之亦然,這一點并不奇怪。數字取證和事件應急響應都需要從數字來源收集數據并分析這些信息。然而,最終目標是不同的。在數字取證中,最終目標是提供可用于司法程序的數字分析,而在事件應急響應中,目標是減少計算機安全事件對一個組織造成的傷害。
在一些地方,你會看到DFIR這個組合詞的使用,這包括網站、活動,甚至是支持從事數字取證和事件應急響應的社區的標簽。例如,網站aboutDFIR和DFIR.training都是參考網站,還有一些會議,如SANS研究所的DFIR峰會,都會提供對數字取證專業人士和事件應急響應從業者有價值的信息。
在定義和使用中需要注意的是,數字取證僅限于為支持法庭訴訟工作而收集和分析數字證據的情況,可能是一項上法庭的調查,但不包括為司法程序以外的目的進行的調查或分析,如數據保留或數據分析。但在某些情況下,數字取證專業人員使用的相同工具和技能可能被用于其他任務,包括情報分析和事件應急響應。
數據源
如前所述,DFIR中可以有各種數據源。這些來數據源可以包括傳統計算機、移動設備、物聯網設備和云資源。
傳統的計算機將包括個人計算機(PC)、筆記本電腦和臺式機,以及服務器,涵蓋各類系統(OS),如Windows、Linux和MacOS,還有其他存儲介質,如外部硬盤、閃存驅動器和軟盤。
移動設備將包括現代安卓和iOS手機,以及傳統的功能手機和其他智能手機,涵蓋相關的存儲容器,如SIM卡和各類存儲卡。
物聯網設備可以包括智能手表、照相機、車輛、無人駕駛飛機或無人機、智能電視、家用電器、視頻游戲系統、智能揚聲器、生物醫學設備(如胰島素泵和心臟起搏器)、聯網基礎設施、機器人系統等等。
云數據源可以包括社交媒體和互聯網服務提供商,云服務提供商,如亞馬遜、AWS和Azure。以及數據存儲網站,如Dropbox、OneDrive、iCloud。如果數據可以以電子數據的方式存儲在一個空間,無論是物理的或虛擬的,它都可以成為調查或事件應急響應中的數據來源。
必要的技能
數字取證和事件應急響應是多學科的領域,需要廣泛的技能。最重要和最受歡迎的技能包括網絡取證、事件處理、系統取證、數據恢復、調查技術、數據采集、數據分析、網絡威脅情報、惡意軟件分析和云取證。根據調查的類型和范圍,分析也可能使用其他技能,如開放源碼情報(OSINT)和惡意軟件分析。
有幾個很好的資源來學習這些關于數字取證和事件應急響應的技能。什么資源最適合你,可能取決于你的職業和教育狀況。雖然歷史上人們進入數字取證領域往往是因為他們在政府或執法機構工作,并且碰巧擅長使用計算機,但今天的情況并非如此。今天,世界各地都有各種高等教育項目,可以在本科和研究生階段學習數字取證和事件應急響應。除了正規的學校教育,還有各種各樣的課堂式培訓項目,可在網上或親自參加。
資源
除了課堂形式的課程外,還有各種數字取證的網絡資源。兩個資源網站包括前面提到的DFIR。還有凱文-帕加諾(KevinPagano)的”數字取證入門”頁面,分享取證工具、筆記、播客和博客的鏈接。
此外,還有一些專門研究數字取證主題的學術同行評審期刊,如 Forensic Science International: Digital Investigation 、Journal of Forensic Sciences。
還有其他各種平臺可以與社區中的其他人討論數字取證和事件應急響應。這些平臺包括列表服務器和論壇。ForensicFocus有一個論壇,供取證人員和事件應急響應者討論各種不同的主題。多個社區組織為其成員舉辦論壇和列表服務器,包括HTCIA、SANS和國際計算機調查專家協會(IACIS)。此外,還有一個Discord服務器,有大約10,000名成員在討論有關數字取證和事件應急響應的信息。除了虛擬環境外,還有一些專門針對數字取證和事件應急響應領域的會議。
那些擁有或正在學習數字取證技能的人可以在奪旗比賽或CTFs中測試他們的能力。社區內有幾個CTF,包括SANSDFIR網絡戰爭錦標賽和年度Magnet Forensics CTF。CTF參與者經常起草關于挑戰的文章。
總結
數字取證和事件響應是兩個相關領域,它們是為不同的目的使用相似的方法工具和程序。雖然數字取證和事故響應之間有多種共性,但它們卻有不同的用途。因此,工具、技術和方法的應用也會有所不同,這取決于工作的目的是為了法院訴訟的可能性,還是為了減輕計算機安全事件的危害。
DFIR專業人員在從一個領域轉移到另一個領域時,必須認識到這些差異,以確保他們使用了最佳的實踐方式。從業者應從這兩個領域的共性中獲得價值,但也應理解,數字取證場景中的最佳實踐可能不適合減輕事故響應中的傷害,反之亦然。盡管數字取證和事故響應具有獨特的使命,但由于它們具有很強的共性,因此它們將繼續被一起引用。
原文鏈接:
https://www.magnetforensics.com/blog/dfir-what-is-digital-forensics-and-incident-response/
參考鏈接:
1. https://doi.org/10.6028/NIST.SP.800-86
2. https://drive.google.com/file/d/1OBux0n7VZQe7HSgObwAtmhz5LgwvX0oY/view
3. https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8354-draft.pdf
4. DFIRLhttps://www.magnetforensics.com/digital-forensics-in-real-life-podcast/
5. https://htcia.org/
6. https://www.swgde.org/
7. https://www.nist.gov/organization-scientific-area-committees-forensic-science/digital-evidence-subcommittee
8. http://dx.doi.org/10.6028/NIST.SP.800-61r2
9. https://www.sans.org/white-papers/33901/
10. https://www.magnetforensics.com/blog/twitter-for-dfir-professionals/
11. https://doi.org/10.1016/j.fsidi.2021.301184
12. https://aboutdfir.com/a-beginners-guide-to-the-digital-forensics-discord-server/
來源:數據安全與取證