デジタル・フォレンジックとインシデント対応(DFIR)は、2つのサイバーセキュリティ分野を組み合わせて、サイバー犯罪に対する証拠を保全しながら脅威への対応を合理化します。
DFIRは、デジタル・フォレンジックとインシデント対応の2つの個別のサイバーセキュリティー分野を統合します。前者は主にサイバー犯罪者訴訟のためのデジタル証拠を収集するためのサイバー脅威の調査で、後者は進行中のサイバー攻撃の検知と軽減を指します。これら2つの分野を組み合わせることで、セキュリティー・チームは脅威をより迅速に阻止し、脅威軽減の緊急性のせいで喪失しかねない証拠を保存できるようになります。
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
X-Force Threat Intelligenceインデックスに登録する
デジタル・フォレンジックは、マルウェアファイルや悪意のあるスクリプトなど、脅威の実行者が残した痕跡であるデジタル証拠を収集・分析・保存することで、サイバーセキュリティー・インシデントを調査および再構築します。このような再構築により、調査員は攻撃の根本原因を特定し、犯人を特定できます。
デジタル・フォレンジック調査は、証拠がどのように収集され、どのように取り扱われるかを追跡するための厳密な保管の連鎖(チェーン・オブ・カストディー)または正式なプロセスに従います。保管の連鎖により、捜査官は証拠が改ざんされていないことを証明できます。その結果、デジタル・フォレンジック調査の証拠は、訴訟や保険金請求、規制監査などの公的目的に使用できるようになります。
米国国立標準技術研究所(NIST)(ibm.com外部のリンク)は、デジタル・フォレンジック調査の4つの手順を概説しています。
侵害発生後、フォレンジック調査員は、オペレーティング・システムやユーザー・アカウント、モバイル・デバイス、および脅威アクターがアクセスした可能性のあるその他のハードウェアやソフトウェア資産からデータを収集します。フォレンジック・データの一般的なソースは次のとおりです。
- ファイル・システム・フォレンジック:エンドポイントに保存されているファイルやフォルダから発見されたデータ。
- メモリー・フォレンジック:デバイスのランダム・アクセス・メモリー(RAM)で発見されたデータ。
- ネットワーク・フォレンジック:ウェブ閲覧やデバイス間の通信など、ネットワークアクティビティを調査することで発見されるデータ。
- アプリケーション・フォレンジック: アプリやその他のソフトウェアのログから発見されたデータ。
証拠の完全性を維持するために、捜査官はデータを処理する前にコピーを作成します。また、原本を改ざんできないように保護し、残りの捜査はコピーに対して行われます。
捜査官は、フィッシング・メールや改ざんファイル、疑わしい接続など、サイバー犯罪アクティビティーの兆候がないかデータを精査します。
捜査官はフォレンジック技術を使用して、デジタル証拠を処理して関連付け、洞察を抽出します。調査員は、独自の脅威インテリジェンス・フィードやオープンソースのものを参照して、調査結果を特定の脅威アクターに結び付けることもできます。
捜査官は、セキュリティー・イベント中に何が起こったかを説明し、可能であれば容疑者または犯人を特定する報告書を作成します。報告書には、将来の攻撃を阻止するための推奨事項が含まれる場合もあります。これは、法執行機関や保険会社、規制当局、その他の当局と共有されることがます。
インシデント対応は、セキュリティー侵害の検出と対応に重点を置いています。インシデント対応の目標は、攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。
インシデント対応の取り組みは、インシデント対応チームがサイバー脅威にどのように対処すべきかを概説するインシデント対応計画(IRP)を指針とします。インシデント対応プロセスには、次の6つの標準的な手順があります。
- 準備:準備とは、リスクを評価し、脆弱性を特定して修復し(脆弱性管理)、さまざまなサイバー脅威に対するIRPを作成する継続的なプロセスです。
- 検知と分析: インシデント対応担当者は、不審なアクティビティーがないかネットワークを監視します。データを分析し、誤検知を除外し、アラートに優先順位をつけます。
- 封じ込め:侵害が検知されると、インシデント対応チームが、その脅威がネットワークに拡散されないよう措置を講じます。
- 根絶:脅威が封じ込められたら、インシデント対応者は、ランサムウェア・ファイルの破壊または脅威アクターがデバイスを使えないようにするなどで、脅威をネットワークから排除します。
- 回復: インシデント対応者は、脅威の痕跡をすべて取り除くとすぐに、損傷したシステムを通常運用に復元します。
- インシデント発生後のレビュー:インシデント対応者は、侵害を見直し、それがどのように発生したかを理解し、将来の脅威に備えます。
デジタル・フォレンジックとインシデント対応を別々に行うと、互いに干渉し合う可能性があります。インシデント対応者はネットワークから脅威を除去する際に、証拠を改ざんまたは破壊してしまう可能性があり、フォレンジック調査員は証拠探索によって脅威の解決を遅れらせてしまう可能性があります。これらのチーム間で情報交換が滞るような場合、全員の効率が本来より低下してしまいます。
DFIRは、これら2つの分野を1つのチームが実行する単一のプロセスに融合します。これにより、次の2つの重要な利点をもたらします。
フォレンジック・データの収集が、脅威の軽減と並行して行われます。DFIRプロセスでは、インシデント対応者がフォレンジック手法を使用してデジタル証拠を収集して保存し、脅威を封じ込めて根絶します。これにより、保管の連鎖が守られ、貴重な証拠がインシデント対応アクティビティーによって改ざんされたり破壊されたりすることがなくなります。
インシデント後レビューには、デジタル証拠の調査が含まれます 。DFIRは、セキュリティー・インシデントを深耕するためにデジタル証拠を使用します。DFIRチームは、収集した証拠を調査・分析し、事件の最初から最後まで再現します。DFIRのプロセスは、何が起きたか、どのように起きたか、被害の全容、そして今後同様の攻撃をどのように回避できるかを詳細に記した報告書で終了します。
結果として次のようなメリットが得られます。
- より効果的な脅威防止。DFIRチームは、従来のインシデント対応チームよりも徹底的にインシデントを調査します。DFIRの調査は、セキュリティー・チームがサイバー脅威をよりよく理解し、より効果的なインシデント対応プレイブックを作成し、より多くの攻撃を未然に防ぐのに役立ちます。DFIRの調査は、未知のアクティブな脅威の証拠を明らかにすることで、脅威ハンティングの合理化にも寄与します。
- 脅威の解決中に証拠が失われることがほとんどなくなります。 標準的なインシデント対応プロセスでは、インシデント対応者は脅威を封じ込めるために急いでいることがあります。例えば、対応チームが感染したデバイスをシャットダウンして脅威の拡散を封じ込めた場合、デバイスのRAMに残っている証拠はすべて失われてしまいます。デジタル・フォレンジックとインシデント対応の両方の訓練を受けたDFIRチームは、インシデントを解決しながら証拠を保全することに長けています。
- 訴訟サポートの改善。 DFIRチームは保管の連鎖に従っているため、DFIRの調査結果を法執行機関と共有し、サイバー犯罪者の起訴に使用できます。DFIRの調査は、保険金請求や侵害後の規制当局の監査にも寄与します。
- より速く、より強固な脅威からの回復。 フォレンジック調査は標準的なインシデント対応調査よりも堅牢であるため、DFIRチームは、他の方法では見過ごされていた隠れたマルウェアやシステムの損傷を発見できます。これにより、セキュリティー・チームは脅威を根絶し、攻撃からより徹底的に回復できます。
一部の企業では、社内のコンピューター・セキュリティー・インシデント対応チーム(CSIRT)(コンピュータ緊急対応チーム(CERT)とも呼ばれる)がDFIRを担当します。CSIRTメンバーには、最高情報セキュリティー責任者(CISO)やセキュリティー・オペレーション・センター(SOC)、ITスタッフ、経営幹部、会社全体のその他の利害関係者が含まれる場合があります。
多くの企業には、DFIRを独自に実行するためのリソースが不足しています。その場合、リテイナーに機能するサードパーティーのDFIRサービスを利用します。
社内とサードパーティーのDFIR専門家はどちらも、同じDFIRツールを使用して脅威を検知・調査・解決します。それには以下が含まれます。
セキュリティ情報およびイベント管理(SIEM):SIEMは、ネットワーク上のセキュリティー・ツールやその他のデバイスからセキュリティー・イベント・データを収集し、相関させます。
セキュリティー・オーケストレーション、オートメーション、対応(SOAR):SOARを使用すると、DFIRチームはセキュリティー・データを収集・分析し、インシデント対応ワークフローを定義し、反復的なセキュリティー・タスクや低レベルのセキュリティー・タスクを自動化できます。
EDR(エンドポイントの検知と対応):EDRはエンドポイント・セキュリティー・ツールを統合し、リアルタイム分析とAI駆動型オートメーションを使用して、ウイルス対策ソフトウェアやその他の従来のエンドポイント・セキュリティー・テクノロジーをすり抜けるようなサイバー脅威から組織を保護します。
XDR(拡張検知と応答) ):XDRは、セキュリティー・ツールを統合し、すべてのセキュリティー・レイヤー(ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウドワークロード、データ)にわたってセキュリティー・オペレーションを一元化するオープンなサイバーセキュリティー・アーキテクチャーです。XDRは、ツール間の可視性のギャップをなくすことで、セキュリティー・チームがより迅速かつ効率的に脅威を検知・解決し、脅威が引き起こす被害を最小限に抑えることを支援します。
組織化されたインシデント対応の実現は、人々に権限を与え、一貫性のある反復可能なプロセスを開発し、テクノロジーを活用して実行することから始まります。このガイドでは、強固なインシデント対応機能を構築するための重要なステップを概説します。
正式なインシデント対応計画により、サイバーセキュリティ チームはサイバー攻撃やセキュリティ侵害による被害を制限または防止できます。
セキュリティ情報およびイベント管理 (SIEM) は、コンプライアンスまたは監査を目的として、イベントのリアルタイムの監視と分析、およびセキュリティ データの追跡とログを提供します。
脅威インテリジェンスは、組織を標的としたサイバー脅威を防止・対抗するための詳細で実行可能な脅威情報です。
ランサムウェアは、身代金が支払われるまで、被害者のデバイスとデータを人質に取ります。ランサムウェアの仕組み、ランサムウェアが近年急増した理由、組織がランサムウェアをどのように防御するかを学びましょう。