主页 topics DFIR 什么是 DFIR?
数字取证和事件响应 (DFIR) 组合了两个网络安全领域以简化威胁响应,同时保留针对网络犯罪的证据。
订阅 IBM 时事通讯 请求 SIEM 演示
显示办公室里的所有人员全都使用 IBM Security 的等距图
什么是 DFIR?

DFIR 集成了两个独立的网络安全领域:数字取证,即网络威胁调查,主要是收集数字证据来起诉网络犯罪;和事件响应,即检测和缓解正在进行的网络攻击。 通过组合这两个领域,DFIR 帮助安全团队更快地阻止威胁,同时保留在威胁紧迫性缓解时可能丢失的证据。
什么是数字取证?

数字取证通过收集、分析和保留数字证据(威胁实施者留下的痕迹,例如,恶意软件文件)来调查和重构网络安全事件。 这些重构使调查人员能够查明攻击的根本原因和查明罪魁祸首。 

数字取证调查遵循严格的监管链或者用于跟踪如何收集和处理数据的正式流程。 监管链使调查人员能够证明证据未被篡改。 因此,来自数字取证调查的证据可用于法庭案件、保险索赔和监管审计等官方目的。

美国国家标准技术学会 (NIST)(PDF,2.7 MB)(链接位于 ibm.com 外部)概述了数字取证调查的 4 个步骤:
1.数据收集

发生违规后,取证调查人员从操作系统、用户帐户、移动设备以及威胁参与者可能访问过的任何其他硬件和软件资产收集数据。 取证数据的常见来源包括:

  • 文件系统取证:在端点上存储的文件和文件夹中找到的数据。 
  • 内存取证:在设备的随机存取存储器 (RAM) 中找到的数据。
  • 网络取证:通过检查网络活动找到的数据,例如,网络浏览和设备之间的通信。 
  • 应用程序取证:在应用程序和其他软件的日志中找到的数据。 

为保留证据完整性,调查人员在处理数据之前生成数据的副本。 他们保护原件,从而使其不被更改,对副本执行其余调查。
2. 检查

调查人员梳理数据以获取网络犯罪活动的痕迹,例如,网络钓鱼电子邮件、被更改的文件和可疑的连接。

3. 分析

调查人员使用取证技术来处理数据证据,进行关联并获取洞察。 调查人员还可以引用专有和开源威胁情报订阅源以将其发现链接到特定威胁参与者。yuan

4. 报告

调查人员编写一份报告,解释安全事件期间发生的事项,并在可能的情况下确定嫌疑人或罪犯。 报告可能包含用于阻止未来攻击的建议。 可以与执法部门、保险公司、监管机构和其他当局共享此报告。

什么是事件响应?

事件响应专注于检测和响应安全违规。 事件响应的目标是防患于未然,以及最大程度降低任何网络攻击造成的损失和业务中断影响。

事件响应工作以事件响应计划 (IRP) 为指导,其中概述了事件响应团队应如何处理网络威胁。 事件响应流程有六个标准步骤:

  1. 准备:准备是评估风险、识别和修复漏洞(漏洞管理),并针对不同的网络威胁起草 IRP 的持续过程。

  2. 检测与分析:事件响应者监控网络是否存在可疑活动。 他们分析数据、过滤误报并对警报进行分类。

  3. 遏制:在检测到违规时,事件响应团队采取措施以阻止威胁通过网络传播 

  4. 根除:一旦威胁受到遏制,事件响应者将其从网络中移除,例如,通过破坏 勒索软件文件或者从设备上驱逐威胁参与者。

  5. 恢复:在事件响应者移除所有威胁痕迹后,他们复原受损系统以实现正常运营。

  6. 事后审查:事件响应者审查违规以了解如何发生并做好准备应对未来的威胁。 
DFIR 的优势

当数字取证和事件响应分开进行时,它们会相互干扰。 事件响应者可能在移除网络中的威胁的同时更改或破坏证据,而取证调查者可能因搜索证据而延误威胁解决。 信息可能不会在这些团队之间流动,使每个人的效率低于他们的应有水平。

DFIR 将这两个领域融合成由一个团队执行的单个过程。 这会带来两个重要的优点:

取证数据收集与威胁缓解同时发生。 在 DFIR 流程期间,事件响应者使用取证技术来收集来保留数字证据,同时遏制并根除威胁。 这确保遵循监管链,并且不会因事件响应工作而更改或破坏有价值的证据。

事后审查包含数字证据检查DFIR 使用数字证据来深入了解安全事件。 DFIR 团队检查并分析所收集的证据,以重构从开始到完成的整个事件。 DFIR 流程以一份报告结束,其中详述发生的事项、如何发生、损害的完整范围以及未来如何避免类似攻击。 

带来的优点包括:

  • 威胁预防更有效。 DFIR 团队能够比传统事件响应团队更全面地调查事件。 DFIR 调查可以帮助安全团队更好地了解网络威胁、创建更有效的事件响应运行手册,而且能够在发生之前阻止更多的攻击。 DFIR 调查还可以通过发现未知活动威胁的证据来帮助简化威胁捕获

  • 在威胁解决期间很少或者不丢失证据。 在标准事件响应流程中,事件响应者可能会急于遏制威胁。 例如,如果响应者关闭受感染的设备以遏制威胁的传播,那么设备的 RAM 中的任何证据都将丢失。 DFIR 团队接受过数字取证和事件响应培训,擅长在解决事件的同时保留证据。 

  • 改进了诉讼支持。 DFIR 团队遵循监管链,这意味着可与执法部门共享 DFIR 调查的结果并用来起诉网络罪犯。 DFIR 调查还能够支持保险索赔和违规后监管审计。

  • 更快、更强壮的威胁恢复。 由于取证调查比标准事件响应调查更强大,因此 DFIR 团队可以发现隐藏的恶意软件或系统损坏,而不会忽视。 这有助于安全团队更彻底地根除威胁和从攻击中恢复。

 
DFIR 工具和技术

在某些公司中,DFIR 由内部计算机安全事件响应团队 (CSIRT) 进行处理,有时此团队也被称为计算机紧急响应团队 (CERT)。 CSIRT 成员可以包括首席信息安全官 (CISO)、安全运营中心 (SOC) 和 IT 员工、主管负责人和来自整个公司的其他利益相关者。

许多公司缺乏资源来自行执行 DFIR。 在此情况下,他们可以采用预付费方式雇佣第三方 DFIR 服务。 

内部和第三方 DFIR 专家都使用相同的 DFIR 工具来检测、调查和解决威胁。 其中包括:

  • 端点检测与响应 (EDR)EDR 集成了端点安全工具,并使用实时分析和 AI 驱动的自动化来保护组织远离来自于以前的病毒软件和其他传统端点安全技术的网络协议。

  • 扩展检测响应 (XDR) XDR 采用开放式 网络安全 体系架构,其集成了安全工具并统一了所有安全层上的安全操作,包括用户、端点、电子邮件、应用程序、网络、云工作负载和数据。 通过消除工具之间可见的差距,XDR 帮助安全团队更快且更高效地检测和解决威胁,并限制威胁所导致的损害。
相关解决方案
X-Force 事件响应团队

通过事件响应 (IR) 准备和 24x7 全天候紧急 IR 服务来检测、遏制攻击并从攻击事件中恢复,以降低安全违规造成的影响。

 探索 X-Force 事件响应团队
IBM Security QRadar SIEM

识别并预防破坏业务运营的严重威胁和漏洞。

 探索 QRadar SIEM 解决方案
IBM Security QRadar NDR

通过网络可视性和高级分析及早捕获隐藏的威胁。

 探索 QRadar NDR 解决方案
资源 2022 年 IBM Security X-Force 云威胁态势报告

发现云安全方面的最新威胁情报和趋势,并了解如何使用来自 IBM Security X-Force 的洞察增强安全姿态。

 制定强大的事件响应策略的六个步骤

策划事件响应始于授权人员,制定一致、可重复的流程,然后利用技术去执行。 本指南列出了构建强大的事件响应功能的关键步骤。

 什么是事件响应?

正式的事件响应计划能够帮助网络安全团队限制或预防网络攻击或安全违规造成的损失。

 什么是 SIEM?

安全信息和事件管理 (SIEM) 提供实时事件监控和分析,而且还跟踪和记录安全数据以用于合规性和审计目的。

 什么是威胁情报?

威胁情报是可操作的详细威胁信息,用于帮助预防和对抗针对组织的网络威胁。

 什么是勒索软件?

勒索软件将劫持受害者的设备和数据,直到支付赎金才能释放。 了解勒索软件的工作方式,为何在最近几年勒索软件数量激增,以及各组织如何进行防御。
采取下一步行动

通过准备好事件响应团队、流程和控制,帮助蓝队改进其事件响应计划,并使安全违规的影响降至最低。

了解有关 X-Force 事件响应团队的更多信息