什么是数字取证和事件响应(DFIR)? 

DFIR是收集数字法医证据的过程, 搜寻可疑活动, 并持续监视端点事件. 更深入一点,安全专家Scott J. 罗伯茨 定义DFIR 作为“一个多学科的专业,专注于识别, 调查, 纠正计算机网络剥削."

从过程的角度来看, 利用综合取证的事件响应和调查计划将包括调查等职责, 分析管理, 威胁检测, 通信, 以及研究结果的记录.

随后的补救和清理通常包括删除攻击者远程访问功能, 恢复优先级的业务流程和系统, 保护受损用户的账户.

这些过程的细节包含了DFIR框架的以下关键组成部分:

  • Muti-system取证DFIR的特点之一是能够监视和查询所有关键系统和资产类型,以发现违规行为的迹象. 
  • 袭击的情报发现可疑的网络活动意味着知道要寻找什么. 这意味着培养像攻击者一样思考的能力, 不仅仅是修复您自己系统中的漏洞, 但也能发现剥削的迹象. 
  • 端点的可见性安全团队需要了解企业网络和看似无穷无尽的复杂系统 端点 ——然后他们需要一种清晰地组织和解释从他们那里收集到的数据的方法.

DFIR在网络安全中的作用

在更大的网络安全实践框架内, DFIR的作用是详细了解违规行为是如何发生的,以及为纠正该特定事件将采取的具体步骤. 让我们更深入地了解构成整体DFIR实践的各个功能.

事件侦测及应变 

检测受攻击影响的受损用户是了解发生了什么并制定及时响应以确保攻击者从网络中清除的第一步, 漏洞得到了控制和修复, 剩下的 可利用的漏洞 矫正. 从那里, 可以进行深思熟虑的调查, 它可以识别不断进化的攻击者行为,并在未来更准确地发现它.

法医调查

对具体漏洞的调查永远不会像之前的调查那样. 定制应对威胁的情境方法是非常必要的, 这种威胁是否即将发生或已经发生. 展开调查时, 安全团队可能会对受影响的资产执行数据分析。, 获取浏览器历史工件, 事件日志, 目录中的文件, 登记箱.

威胁情报与分析

采集过程中最关键的一步 威胁情报 确保数据适合安全组织中的每个功能. 一旦付诸实践, 情报周期 通过收集会产生结果吗, 分析, 并传播给组织中的相关利益相关者. 这个过程的先决条件是高度重视自动化分析,可以快速搜索数据并显示相关的见解.

恶意软件分析和逆向工程

在分析电位 恶意软件 在网络上, 安全小组会提交可疑样本, 在一连串的分析中进行分析, 然后根据风险评分对威胁进行分类. 这有助于分清轻重缓急. 这是需要立即关注的事情还是可以等待? 在这个分析阶段, 逆向工程恶意软件可以帮助团队找到了解其最终目标并快速根除它的最佳方法.

事件控制和恢复

一旦入侵范围和受影响的资产完全确定, 应用程序, 用户也得到了控制, a 安全运营中心(SOC) 是否会启动预定计划,恢复正常的业务运营流程. 文档是灾难规划的关键,因此团队可以了解备份系统的各种组件. 维护一个自动化的, 离线备份可以进一步帮助从恶意软件攻击中恢复的过程.

数字取证如何用于事件响应? 

数字取证应用于 事件响应 通过融入这个过程. 每个安全专家都知道, 仅仅对事件做出反应并解决问题是不够的, 您必须确切地知道发生了什么以及它是如何发生的,以便系统可以针对攻击路径进行校准,并在下次发现该行为时显示定制警报.

如果有人问,“什么是数字取证?”, 我们更明确地希望讨论多系统取证(上面简要提到过)。. 这是, 监视和查询整个网络中的关键系统和资产类型以发现可疑行为的能力. 让我们更细致地看看这个过程需要做些什么:

  • 收集:跨端点执行有针对性的数字法医证据收集.
  • 监控:持续监视端点事件,如日志、文件修改和进程执行. 
  • 亨特查找并访问可靠的取证工件库,并搜索网络上可疑的与恶意软件相关的活动, 根据您的需要定制特定的威胁搜索需求.

数字取证应该使威胁响应者和猎人能够收集, 查询, 并监视端点的几乎任何方面, 端点组, 或者整个网络. 该实践还可用于在端点上创建连续监视规则以及自动执行服务器任务. 具体用例包括:

  • 客户机监视和警报(检测)DFIR工具可以收集专注于检测的事件查询, 允许从业者自主地监视端点,并在满足某些条件时发送优先级警报.
  • 主动寻找指示器(威胁情报):这表明从许多系统中大规模收集工件,然后可以将这些工件与威胁情报信息(例如哈希值)相结合,以主动寻找已知不良行为者的妥协. 
  • 将事件持续转发到另一个系统:监视查询可用于简单地转发事件.
  • 收集用于在另一个系统上分析的批量文件(数字取证)DFIR工具将从端点收集大容量文件,以便稍后由其他工具进行分析.
  • 解析端点上的指示符(数字取证)工件用于直接解析端点上的文件, 快速返回可操作, 高价值的信息,无需冗长的后期处理.
  • 主动寻找跨多个系统的指标(事件响应)DFIR工具可以同时从许多端点寻找工件.

为什么DFIR是网络安全计划中的关键工具? 

DFIR是网络安全计划中的一个关键工具,因为它有助于更准确、更细致地揭示攻击者正在寻求或已经采取的破坏网络的方法和路径.

企业及其安全计划的最佳利益是超越响应和校准预防措施,以识别未来相同或类似的行为.

DFIR的好处是什么? 

DFIR的好处怎么说都不为过, 由于漏洞调查的目标是可见性,因此安全团队可以从发生的事情中获得洞察力,并创建更强大的程序.

  • 更快的恢复:显示更多相关的警报——基于过去的事件或库构件——意味着DFIR从业者可以更快地响应事件并从事件中恢复.  
  • 更强的安全态势更准确地对威胁做出反应并进行调查, 组织的整体健康和安全状况开始改善. 一个外部 DFIR服务 程序还可以通过进行更深入的调查来帮助进一步增加价值, 把时间还给内部从业者,让他们专注于其他目标和优先事项. 
  • 数据共享功能现代DFIR解决方案将包括准确报告应对威胁或事件所采取的每项行动. 这意味着这些报告和关键的见解可以很容易地与任何感兴趣的利益相关者共享.  
  • 巴特猜测他们是怎么进来的? 到底谁是行凶者? 他们的动机是什么?? 全面的DFIR功能应该能够为这些问题提供明确的答案, 毫无疑问,已经发生了什么,接下来会发生什么.

阅读更多关于DFIR的信息

最新的Rapid7博客文章