本文由杨非凡编译,陈裕铭、Roe校对,转载请注明。

数字取证和事件应急响应(DFIR:Digital Forensics and Incident Response),是两个相关但又独立的领域。让我们深入了解一下什么是数字取证和应急事件应急响应,以及为什么它们经常被归类在一起。

数字取证(Digital Forensics)

数字取证学描述了电子证据的收集、分析和报告。它涵盖了整个过程:从识别数字证据的那一刻起,到完成分析并呈现于法庭诉讼时。多年来有几个类似的定义,包括美国国家标准与技术研究所(NIST)的以下定义:"将科学应用于数据的识别、收集、检查和分析,同时保持信息的完整性并保持数据的严格监管链“,以及数字证据科学工作组(SWGDE)的定义:"用于获取、保全、分析和报告证据的过程,使用的科学方法明显可靠、准确和可重复,以便用于司法程序"。

NIST为数字取证的各个阶段描述了两个不同的框架。在NIST800-86中,描述的四个基本阶段是:收集、检查、分析和报告。最近,NIST建议数字取证调查的七个步骤,细分为两个较大的阶段:收集和解释。该过程从收集潜在证据开始,收集阶段包括以下步骤:1.保护2.获取3.保全。第二阶段解释,包括这些步骤:4.恢复5.导航6.识别/提取7.分析。

这些步骤之后将通过书面报告说明结果。因为数字取证中的信息是用于司法目的的,所以在整个步骤中保持数据的完整性是至关重要的。

数字取证是一个更具包容性的术语,以前通常被称为计算机取证,因为这种类型的证据在历史上是与计算机犯罪有关的。然而,如今数字证据出现在大多数其他类型的犯罪中,从谋杀到贩毒、家庭暴力、针对儿童的互联网犯罪等。因此,数字取证一词已获得青睐,它包含了所有形式的电子证据,从电脑到手机、云中的数据、智能手表和智能电视等。

事件应急响应(Incident Response)

事件应急响应是指切实减轻计算机安全事件的危害。NIST使用"事件处理"这一术语,并将事件应急响应共同定义为"减轻违反安全政策和建议做法的行为"。事件应急响应的目标是减少对组织的伤害。这种伤害可以是财务损失、声誉损失、数据丢失或更改,系统瘫痪等形式。例如,对于医院系统或水处理设施来说,尽力缩短系统宕机时间在事件中最为关键。在选举系统的例子中,最关键的需求可能是保持数据的完整性。这些事件可能包括勒索软件、商业电子邮件泄露、知识产权盗窃等等。

有两个主要框架被用于事件应急响应,即NIST框架和SANS框架。

NIST的步骤是:

  • 准备工作

  • 检测和分析

  • 遏制、根除和恢复

  • 事故后的活动

SANS框架的步骤是:

  • 准备工作

  • 鉴定

  • 遏制

  • 铲除

  • 恢复

  • 汲取教训

我们可以看到在这两个框架中,都有类似的步骤。NIST计算机安全事件处理指南中有关于事件应急响应计划要求的细节。

事件应急响应可以由内部安全团队处理,也可以外包给第三方公司,或者两者结合。事件应急响应可以涉及企业环境或组织,如政府或非营利组织。重要的是可能会有法律报告要求,这取决于要考虑的司法管辖区和商业部门,也可能有时效性因素。

数字取证与事件应急响应(DFIR)

我们经常看到数字取证和事件应急响应这两个术语被组合在一起,有时被缩写为DFIR。这是因为数字取证中使用的工具和方法经常被用于事件应急响应。事件应急响应从业者接受数字取证方面的培训并了解数字取证是非常重要的。此外,有些应对的事件可能需要通知执法部门。

由于数字取证和事件应急响应之间存在如此密切的联系,因此,具有数字取证背景的人有时会在其职业生涯中转入事件应急响应角色,反之亦然,这一点并不奇怪。数字取证和事件应急响应都需要从数字来源收集数据并分析这些信息。然而,最终目标是不同的。在数字取证中,最终目标是提供可用于司法程序的数字分析,而在事件应急响应中,目标是减少计算机安全事件对一个组织造成的伤害。

在一些地方,你会看到DFIR这个组合词的使用,这包括网站、活动,甚至是支持从事数字取证和事件应急响应的社区的标签。例如,网站aboutDFIR和DFIR.training都是参考网站,还有一些会议,如SANS研究所的DFIR峰会,都会提供对数字取证专业人士和事件应急响应从业者有价值的信息。

在定义和使用中需要注意的是,数字取证仅限于为支持法庭诉讼工作而收集和分析数字证据的情况,可能是一项上法庭的调查,但不包括为司法程序以外的目的进行的调查或分析,如数据保留或数据分析。但在某些情况下,数字取证专业人员使用的相同工具和技能可能被用于其他任务,包括情报分析和事件应急响应。

数据源

如前所述,DFIR中可以有各种数据源。这些来数据源可以包括传统计算机、移动设备、物联网设备和云资源。

传统的计算机将包括个人计算机(PC)、笔记本电脑和台式机,以及服务器,涵盖各类系统(OS),如Windows、Linux和MacOS,还有其他存储介质,如外部硬盘、闪存驱动器和软盘。

移动设备将包括现代安卓和iOS手机,以及传统的功能手机和其他智能手机,涵盖相关的存储容器,如SIM卡和各类存储卡。

物联网设备可以包括智能手表、照相机、车辆、无人驾驶飞机或无人机、智能电视、家用电器、视频游戏系统、智能扬声器、生物医学设备(如胰岛素泵和心脏起搏器)、联网基础设施、机器人系统等等。

云数据源可以包括社交媒体和互联网服务提供商,云服务提供商,如亚马逊、AWS和Azure。以及数据存储网站,如Dropbox、OneDrive、iCloud。如果数据可以以电子数据的方式存储在一个空间,无论是物理的或虚拟的,它都可以成为调查或事件应急响应中的数据来源。

必要的技能

数字取证和事件应急响应是多学科的领域,需要广泛的技能。最重要和最受欢迎的技能包括网络取证、事件处理、系统取证、数据恢复、调查技术、数据采集、数据分析、网络威胁情报、恶意软件分析和云取证。根据调查的类型和范围,分析也可能使用其他技能,如开放源码情报(OSINT)和恶意软件分析。

有几个很好的资源来学习这些关于数字取证和事件应急响应的技能。什么资源最适合你,可能取决于你的职业和教育状况。虽然历史上人们进入数字取证领域往往是因为他们在政府或执法机构工作,并且碰巧擅长使用计算机,但今天的情况并非如此。今天,世界各地都有各种高等教育项目,可以在本科和研究生阶段学习数字取证和事件应急响应。除了正规的学校教育,还有各种各样的课堂式培训项目,可在网上或亲自参加。

资源

除了课堂形式的课程外,还有各种数字取证的网络资源。两个资源网站包括前面提到的DFIR。还有凯文-帕加诺(KevinPagano)的"数字取证入门"页面,分享取证工具、笔记、播客和博客的链接。

此外,还有一些专门研究数字取证主题的学术同行评审期刊,如 Forensic Science International: Digital Investigation 、Journal of Forensic Sciences。

还有其他各种平台可以与社区中的其他人讨论数字取证和事件应急响应。这些平台包括列表服务器和论坛。ForensicFocus有一个论坛,供取证人员和事件应急响应者讨论各种不同的主题。多个社区组织为其成员举办论坛和列表服务器,包括HTCIA、SANS和国际计算机调查专家协会(IACIS)。此外,还有一个Discord服务器,有大约10,000名成员在讨论有关数字取证和事件应急响应的信息。除了虚拟环境外,还有一些专门针对数字取证和事件应急响应领域的会议。

那些拥有或正在学习数字取证技能的人可以在夺旗比赛或CTFs中测试他们的能力。社区内有几个CTF,包括SANSDFIR网络战争锦标赛和年度Magnet Forensics CTF。CTF参与者经常起草关于挑战的文章。

总结

数字取证和事件响应是两个相关领域,它们是为不同的目的使用相似的方法工具和程序。虽然数字取证和事故响应之间有多种共性,但它们却有不同的用途。因此,工具、技术和方法的应用也会有所不同,这取决于工作的目的是为了法院诉讼的可能性,还是为了减轻计算机安全事件的危害。

DFIR专业人员在从一个领域转移到另一个领域时,必须认识到这些差异,以确保他们使用了最佳的实践方式。从业者应从这两个领域的共性中获得价值,但也应理解,数字取证场景中的最佳实践可能不适合减轻事故响应中的伤害,反之亦然。尽管数字取证和事故响应具有独特的使命,但由于它们具有很强的共性,因此它们将继续被一起引用。

原文链接:

https://www.magnetforensics.com/blog/dfir-what-is-digital-forensics-and-incident-response/

参考链接:

1. https://doi.org/10.6028/NIST.SP.800-86

2. https://drive.google.com/file/d/1OBux0n7VZQe7HSgObwAtmhz5LgwvX0oY/view

3. https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8354-draft.pdf

4. DFIRLhttps://www.magnetforensics.com/digital-forensics-in-real-life-podcast/

5. https://htcia.org/

6. https://www.swgde.org/

7. https://www.nist.gov/organization-scientific-area-committees-forensic-science/digital-evidence-subcommittee

8. http://dx.doi.org/10.6028/NIST.SP.800-61r2

9. https://www.sans.org/white-papers/33901/

10. https://www.magnetforensics.com/blog/twitter-for-dfir-professionals/

11. https://doi.org/10.1016/j.fsidi.2021.301184

12. https://aboutdfir.com/a-beginners-guide-to-the-digital-forensics-discord-server/

声明:本文来自数据安全与取证,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。