什么是数字取证?

作者

Annie Badman

Staff Writer

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

什么是数字取证?

数字取证是以确保其完整性和在法庭上的可采纳性的方式收集和分析数字证据的过程。

数字取证是司法鉴定学的一个领域。它用于调查网络犯罪,但也可以帮助进行刑事和民事调查。网络安全团队可能会使用 数字取证来识别 恶意软件 攻击背后的网络罪犯,而执法机构可能会使用它来分析谋杀嫌疑人设备的数据。

数字取证具有广泛的应用,因为它将数字证据像任何其他形式的证据一样对待。 官员们遵循特定程序从犯罪现场收集物证。同样,数字取证调查人员遵守严格的取证流程(也称为监管链),以确保妥善处理和防止篡改。

数字取证 和 计算机取证 通常互换使用。不过,从技术上讲,数字取证涉及从 任何 数字设备中收集证据,而计算机取证则涉及专门从计算机设备(如电脑、平板电脑、手机和带 CPU 的设备)中收集证据。

数字取证和事件响应 (DFIR) 是一门新兴的网络安全学科,它集成了计算机取证和事件响应活动,以增强网络安全运营。 它有助于加快网络威胁的补救,同时确保任何相关的数字证据不被破坏。

Think 时事通讯

您的团队能否及时捕获下一个零日?

加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此处管理订阅或取消订阅。更多相关信息,请参阅我们的 IBM 隐私声明

https://www.ibm.com/cn-zh/privacy

为什么数字取证很重要

数字取证或数字取证科学在 20 世纪 80 年代初随着个人计算机的兴起首次出现,并在 20 世纪 90 年代变得广为人知。

然而, 直到 21 世纪初,美国等国家才正式制定了数字取证政策。 向标准化进行转变源于 2000 年代计算机犯罪的增加和执法机构在全国范围内的权力下放。

随着涉及数字设备的犯罪增加,越来越多的人参与起诉这些犯罪。为确保刑事调查以法庭可采纳的方式处理数字证据,官员们制定了具体程序。

如今,数字取证变得越来越重要。要理解为什么,请考虑几乎每个人和每件事中可用的海量数字数据。

随着社会继续越来越依赖计算机系统和云计算技术,个人也越来越多地进行更多的在线生活。这种转变涵盖了越来越多的设备,包括手机、平板电脑、IoT 设备、联网设备等。

其结果是,来自不同来源和格式的数据量空前巨大。调查人员可以使用这些数字证据来分析和了解越来越多的犯罪活动,包括网络攻击、数据泄露以及刑事和民事调查。

与所有实物或数字证据一样,调查人员和执法机构必须正确收集、处理、分析和存储证据。否则数据可能会丢失、被篡改或在法庭上不被采纳。

取证专家负责进行数字取证调查,随着该领域需求的增长,工作机会也随之增加。美国劳工统计局估计,到 2029 年,计算机取证职位空缺将增加 31%

什么是数字取证调查程序?

 美国国家标准与技术研究院 (NIST) 概述了数字取证分析过程的四个步骤。 这些措施包括:

数据收集

识别包含与数字取证调查相关的数据、元数据或其他数字信息的数字设备或存储媒体。

对于刑事案件,执法机构将从潜在的犯罪现场扣押证据以确保严格的监管链。

为了保持证据的完整性,取证小组使用硬盘复制器或取证成像工具获取数据的取证副本。

完成复制过程后,他们会保护原始数据并对副本进行其余的调查以避免篡改。
审查

调查人员通过梳理数据和元数据,寻找网络犯罪活动的迹象。

取证审查人员可以从各种来源恢复数字数据,包括网络浏览器历史记录、聊天记录、远程存储设备和已删除或可访问的磁盘空间。他们还可以从操作系统缓存和计算机系统的几乎任何其他部分提取信息。
数据分析

取证分析师使用不同的方法和数字取证工具从数字证据中提取数据和见解。

例如,为了发现“隐藏的”数据或元数据,他们可能会使用专门的取证技术, 如实时分析,以便评估仍在运行的系统中的不稳定数据,他们可能采用 反向隐写术,这种方法能显示通过隐写技术隐藏的数据——隐写术即是将敏感信息隐匿在看似普通的信息载体中。

调查人员还可以参考专有和开源工具,将调查结果与特定的威胁参与者联系起来。
报告

一旦调查结束,取证专家就会创建一份正式报告,概述他们的分析,包括发生的事情和可能负责的人。

报告因具体情况而异。对于网络犯罪,他们可能会提出修复漏洞的建议,以防止未来的网络攻击。报告还经常用于在法庭上展示数字证据,并与执法机构、保险公司、监管机构和其他当局共享。

数字取证工具

当数字取证在 20 世纪 80 年代初出现时,很少有正式的数字取证工具。大多数取证团队都依赖于实时分析,这是一种声名不佳的棘手做法,会带来巨大的篡改风险。

到 20 世纪 90 年代末,对数字证据的需求增长促使了 EnCase 和取证工具包 (FTK) 等更复杂工具的开发.这些工具使取证分析师能够检查数字媒体的副本,而无需依赖现场取证。

如今,取证专家使用多种数字取证工具。这些工具可以是基于硬件的,也可以是基于软件的,并且可以在不篡改数据的情况下分析数据源。常见示例包括用于提取和分析单个文件的文件分析工具,以及用于从基于 Windows 的计算系统收集信息的注册表工具,该工具会对注册表中的用户活动进行编目。

某些提供商还提供用于特定取证目的的专用开源工具,例如 Encase 和 CAINE 等商业平台,可提供全面的功能和报告能力。具体来说,CAINE 拥有一整套针对取证团队需求而定制的 Linux 发行版。

数字取证的分支

数字取证学包含依取证数据来源区分的不同分支。

一些最受欢迎的数字取证分支包括:

  • 计算机取证(或网络取证):结合计算机科学和法律取证,从计算设备收集数字证据。
  • 移动设备取证:调查和评估智能手机、平板电脑和其他移动设备上的数字证据。
  • 数据库取证:检查和分析数据库及其相关元数据,以发现网络犯罪或数据泄露的证据。
  • 网络取证:监控和分析计算机网络流量中发现的数据,包括网页浏览和设备之间的通信。
  • 文件系统取证: 检查存储在台式机、笔记本电脑、手机和服务器等终端设备上的文件和文件夹中的数据。
  • 内存取证:分析设备随机存取存储器 (RAM) 中的数字数据。

DFIR:数字取证和事件响应

当计算机取证和事件响应(检测和缓解正在进行的网络攻击)独立进行时,它们可能会相互干扰,从而给组织带来负面结果。

事件响应团队可以在消除网络威胁的同时,更改或销毁数字证据。取证调查员在寻找和采集证据时可能会推迟解决威胁。

数字取证和事件响应 (DFIR) 将计算机取证和事件响应集成到统一的工作流中,可以帮助信息安全团队更有效地应对网络威胁。同时,它确保可以保存在紧急缓解威胁时可能丢失的数字证据。

DFIR 的两个主要好处包括 :

  • 收集取证数据与缓解威胁同时进行: 事件响应人员在遏制和消除威胁时使用计算机取证技术来收集和保存数据。他们确保遵循适当的监管链,防止有价值的证据被更改或破坏。
  • 事件后审查包括检查数字证据: 除了保存采取法律行动的证据外,DFIR 团队还利用它重建网络安全事件的始末。这一过程有助于他们确定发生了什么、如何发生、损害程度以及如何防止今后发生类似的攻击。

DFIR 可以加快缓解威胁、实现更稳定的威胁恢复以及改善调查刑事案件、网络犯罪、保险索赔以及其他安全事件的证据质量。
相关解决方案
数据安全和保护解决方案

保护多个环境中的企业数据,遵守隐私法规并降低操作复杂性。

         探索数据安全解决方案
    IBM® Guardium

    了解 IBM Guardium,这是一系列数据安全软件,可保护敏感的本地数据和云端数据。

     

             深入了解 IBM Guardium
      数据安全服务

      IBM 提供全面的数据安全服务,以保护企业数据、应用程序和 AI。

             探索数据安全服务
      采取后续步骤

      利用数据安全解决方案,跨混合云保护组织的数据,并简化合规要求。

             探索数据安全解决方案 预约实时演示