DFIR 集成了两个独立的网络安全领域:数字取证,即网络威胁调查,主要是收集数字证据来起诉网络犯罪;和事件响应,即检测和缓解正在进行的网络攻击。 通过组合这两个领域,DFIR 帮助安全团队更快地阻止威胁,同时保留在威胁紧迫性缓解时可能丢失的证据。
数字取证通过收集、分析和保留数字证据(威胁实施者留下的痕迹,例如,恶意软件文件)来调查和重构网络安全事件。 这些重构使调查人员能够查明攻击的根本原因和查明罪魁祸首。
数字取证调查遵循严格的监管链或者用于跟踪如何收集和处理数据的正式流程。 监管链使调查人员能够证明证据未被篡改。 因此,来自数字取证调查的证据可用于法庭案件、保险索赔和监管审计等官方目的。
美国国家标准技术学会 (NIST)(PDF,2.7 MB)(链接位于 ibm.com 外部)概述了数字取证调查的 4 个步骤:
发生违规后,取证调查人员从操作系统、用户帐户、移动设备以及威胁参与者可能访问过的任何其他硬件和软件资产收集数据。 取证数据的常见来源包括:
为保留证据完整性,调查人员在处理数据之前生成数据的副本。 他们保护原件,从而使其不被更改,对副本执行其余调查。
调查人员梳理数据以获取网络犯罪活动的痕迹,例如,网络钓鱼电子邮件、被更改的文件和可疑的连接。
调查人员使用取证技术来处理数据证据,进行关联并获取洞察。 调查人员还可以引用专有和开源威胁情报订阅源以将其发现链接到特定威胁参与者。yuan
调查人员编写一份报告,解释安全事件期间发生的事项,并在可能的情况下确定嫌疑人或罪犯。 报告可能包含用于阻止未来攻击的建议。 可以与执法部门、保险公司、监管机构和其他当局共享此报告。
事件响应专注于检测和响应安全违规。 事件响应的目标是防患于未然,以及最大程度降低任何网络攻击造成的损失和业务中断影响。
事件响应工作以事件响应计划 (IRP) 为指导,其中概述了事件响应团队应如何处理网络威胁。 事件响应流程有六个标准步骤:
当数字取证和事件响应分开进行时,它们会相互干扰。 事件响应者可能在移除网络中的威胁的同时更改或破坏证据,而取证调查者可能因搜索证据而延误威胁解决。 信息可能不会在这些团队之间流动,使每个人的效率低于他们的应有水平。
DFIR 将这两个领域融合成由一个团队执行的单个过程。 这会带来两个重要的优点:
取证数据收集与威胁缓解同时发生。 在 DFIR 流程期间,事件响应者使用取证技术来收集来保留数字证据,同时遏制并根除威胁。 这确保遵循监管链,并且不会因事件响应工作而更改或破坏有价值的证据。
事后审查包含数字证据检查。 DFIR 使用数字证据来深入了解安全事件。 DFIR 团队检查并分析所收集的证据,以重构从开始到完成的整个事件。 DFIR 流程以一份报告结束,其中详述发生的事项、如何发生、损害的完整范围以及未来如何避免类似攻击。
带来的优点包括:
在某些公司中,DFIR 由内部计算机安全事件响应团队 (CSIRT) 进行处理,有时此团队也被称为计算机紧急响应团队 (CERT)。 CSIRT 成员可以包括首席信息安全官 (CISO)、安全运营中心 (SOC) 和 IT 员工、主管负责人和来自整个公司的其他利益相关者。
许多公司缺乏资源来自行执行 DFIR。 在此情况下,他们可以采用预付费方式雇佣第三方 DFIR 服务。
内部和第三方 DFIR 专家都使用相同的 DFIR 工具来检测、调查和解决威胁。 其中包括:
安全信息和事件管理 (SIEM): SIEM 从安全工具和网络上的其他设备收集安全事件数据并进行关联。
安全统筹与自动化响应 (SOAR):SOAR 使 DFIR 团队能够收集和分析安全数据,定义事件响应工作流程,和自动执行重复或低级别安全任务。
端点检测与响应 (EDR):EDR 集成了端点安全工具,并使用实时分析和 AI 驱动的自动化来保护组织远离来自于以前的病毒软件和其他传统端点安全技术的网络协议。
扩展检测响应 (XDR): XDR 采用开放式 网络安全 体系架构,其集成了安全工具并统一了所有安全层上的安全操作,包括用户、端点、电子邮件、应用程序、网络、云工作负载和数据。 通过消除工具之间可见的差距,XDR 帮助安全团队更快且更高效地检测和解决威胁,并限制威胁所导致的损害。
发现云安全方面的最新威胁情报和趋势,并了解如何使用来自 IBM Security X-Force 的洞察增强安全姿态。
策划事件响应始于授权人员,制定一致、可重复的流程,然后利用技术去执行。 本指南列出了构建强大的事件响应功能的关键步骤。
正式的事件响应计划能够帮助网络安全团队限制或预防网络攻击或安全违规造成的损失。
安全信息和事件管理 (SIEM) 提供实时事件监控和分析,而且还跟踪和记录安全数据以用于合规性和审计目的。
威胁情报是可操作的详细威胁信息,用于帮助预防和对抗针对组织的网络威胁。
勒索软件将劫持受害者的设备和数据,直到支付赎金才能释放。 了解勒索软件的工作方式,为何在最近几年勒索软件数量激增,以及各组织如何进行防御。