信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

數(shù)十年來，數(shù)字取證工作在司法偵查的不同分支中不斷發(fā)展，已成為全球執(zhí)法活動中非常重要的組成部分。與此同時，由于互聯(lián)網(wǎng)和全球化的發(fā)展，犯罪形式多樣化，執(zhí)法人員也需要通過自動化的數(shù)字取證工具，才能獲取關(guān)鍵的數(shù)字證據(jù)，將不法分子送入監(jiān)獄。

日前，Magnet forensics研究團(tuán)隊最新發(fā)布了《企業(yè)數(shù)字取證和事件調(diào)查（DFIR）應(yīng)用現(xiàn)狀》研究報告。報告研究認(rèn)為，數(shù)字取證市場目前發(fā)生了很大變化，可以用兩個詞來概括：速度和準(zhǔn)確率。如何盡快將違法證據(jù)提交給調(diào)查人員是將網(wǎng)絡(luò)犯罪分子繩之以法的關(guān)鍵。然而，這并不容易實現(xiàn)，一些數(shù)字取證領(lǐng)域的從業(yè)者已經(jīng)不堪重負(fù)。因此，需要將更多的自動化技術(shù)納入數(shù)字取證工作流程來實現(xiàn)更快的取證速度，同時更完整的保留證據(jù)鏈。

常見的DFIR事件與挑戰(zhàn)

據(jù)報告研究數(shù)據(jù)顯示，2022年數(shù)據(jù)泄露與賬號竊取占整體取證活動的35%，是最常見的DFIR事件，緊隨其后的是商業(yè)電子郵件泄露（34%）。有14%的受訪者表示，他們的組織會經(jīng)常遭遇BEC騙局。其他常見DFIR事件包括員工不當(dāng)行為（33%）、濫用資產(chǎn)或違反政策（30%）、內(nèi)部欺詐（29%）和感染勒索軟件的端點（28%）。

DFIR事件占比情況

數(shù)據(jù)泄露、賬號竊取和勒索軟件都會對組織業(yè)務(wù)發(fā)展產(chǎn)生巨大影響。DFIR調(diào)查人員在這方面開展工作非常困難，因為快速調(diào)查勒索軟件和數(shù)據(jù)泄露事件需要充分的經(jīng)驗和工具支撐，而網(wǎng)絡(luò)犯罪分子也在試圖讓這些調(diào)查變得更加困難。

45%的受訪者認(rèn)為：“不斷增長的數(shù)字取證需求和數(shù)據(jù)量”是影響DFIR調(diào)查的最大挑戰(zhàn)，其中13%認(rèn)為這是一個非常嚴(yán)重的問題，32%認(rèn)為這是一個較嚴(yán)重的問題。

另一方面，隨著攻擊的規(guī)模和復(fù)雜性都在不斷發(fā)展，威脅行為者使用了更多的技術(shù)來加大檢測難度，有42%的受訪DFIR人員表示，不斷發(fā)展的網(wǎng)絡(luò)攻擊技術(shù)在他們的組織中是一個難以應(yīng)對的嚴(yán)重問題。要跟上新型網(wǎng)絡(luò)攻擊的演進(jìn)步伐無疑是一項艱巨的挑戰(zhàn)，公司需要更多地依賴于研發(fā)專家，專注于為組織配備新的、不斷發(fā)展的戰(zhàn)術(shù)、技術(shù)和程序。

其他關(guān)鍵挑戰(zhàn)還包括無法彼此集成的工具（37%）、耗時重復(fù)的任務(wù)（37%）、獲取數(shù)據(jù)時缺乏合規(guī)的許可機制（34%）、遠(yuǎn)程/混合辦公模式激增（31%）、難以從遠(yuǎn)程網(wǎng)絡(luò)中獲取數(shù)據(jù)（31%）以及缺乏專家（30%））。

影響DFIR調(diào)查的挑戰(zhàn)因素占比

DFIR面臨的困難和挑戰(zhàn)

在DFIR工作中存在大量的重復(fù)性任務(wù)，急需通過自動化工具來完成這些調(diào)查任務(wù)。很多企業(yè)的安全運營中心已經(jīng)在大量利用自動化技術(shù)，因為它們需要處理海量的安全監(jiān)測數(shù)據(jù)。但DFIR所需要的自動化能力和安全運營有明顯差別，因為它主要需要通過編排、執(zhí)行和監(jiān)控取證工作流程來進(jìn)行數(shù)據(jù)獲取和處理。

超過50%的受訪DFIR人員表示，目前的數(shù)字取證工作流中仍然存在大量重復(fù)性的人工操作任務(wù)，企業(yè)在自動化方面的投資對于DFIR工作優(yōu)化會非常有幫助；超過20%的受訪者表示，自動化在遠(yuǎn)程獲取目標(biāo)端點、對目標(biāo)端點進(jìn)行分類、處理數(shù)字證據(jù)以及記錄、總結(jié)和報告事件方面的價值非常顯著。

64%的企業(yè)DFIR從業(yè)者認(rèn)為“調(diào)查疲勞”是一個真實存在的客觀問題（29%對此強烈認(rèn)同，35%比較認(rèn)同），而21%的受訪者強烈表示他們在日常工作中已感到精疲力盡。大量的調(diào)查和數(shù)據(jù)，以及快速運行事件響應(yīng)的必要性所造成的壓力，使這些專業(yè)人員很難放松。此外，64%的受訪者表示，招聘合適的數(shù)字取證人才也是一個主要挑戰(zhàn)（30%強烈認(rèn)同，30%有些認(rèn)同），因為數(shù)字取證工作有一定的行業(yè)屬性，要求也會因公司的業(yè)務(wù)特點不同而有差異。

DFIR工作倦怠和招聘問題

報告研究還顯示，在快速發(fā)展的DFIR領(lǐng)域，需要經(jīng)驗豐富和決策果斷的領(lǐng)導(dǎo)者，才能有效制定取證戰(zhàn)略和合理分配資源。超過33%的受訪者表示，強力的領(lǐng)導(dǎo)者有助于DFIR人員獲取所需的完整數(shù)據(jù)源，而這通常很難實現(xiàn)。

報告數(shù)據(jù)顯示，造成DFIR資源浪費的最大原因是缺乏連貫的事件取證計劃和工作策略（37%），以及缺乏標(biāo)準(zhǔn)化流程（36%）。其他因素還包括無法訪問數(shù)據(jù)來源（35%）、重復(fù)手動的任務(wù)（34%）、技術(shù)工具冗余及復(fù)雜化（28%）。

造成資源浪費的因素

需要特別指出的是，法規(guī)遵從也是DFIR工作面臨的一個重大挑戰(zhàn)。67%的受訪DFIR人員表示，他們的工作角色會受到各種新法規(guī)的影響，46%的受訪者表示沒有足夠的時間來充分理解不斷變化的法規(guī)要求。DFIR團(tuán)隊需要準(zhǔn)確了解法規(guī)要求，必要時應(yīng)該與公司的法務(wù)部門溝通咨詢。

優(yōu)化DFIR工作的建議

企業(yè)應(yīng)該投資于優(yōu)先考慮速度、準(zhǔn)確性和完整性的DFIR解決方案。在分析安全事件時，更多的延遲意味著更大的風(fēng)險。因此，企業(yè)應(yīng)該大力實施自動化，以幫助DFIR專業(yè)人員減少倦怠并降低調(diào)查延誤。

每個企業(yè)都應(yīng)該提前儲備一款好用的自動化數(shù)字取證工具，借助可靠的數(shù)字取證分析工具，可以幫助取證人員獲取關(guān)鍵性的數(shù)字證據(jù)，從而對不法分子進(jìn)行處罰。

此外，提前制定DFIR計劃也是必不可少的。該計劃將明確角色和責(zé)任，并詳細(xì)說明取證和事件響應(yīng)需要如何完成。它還應(yīng)該通過明確的指令和規(guī)則來訪問必要的數(shù)據(jù)，保障關(guān)鍵取證數(shù)據(jù)源的安全可用。

最后，如果企業(yè)內(nèi)部團(tuán)隊缺乏完整的DFIR調(diào)查專業(yè)技能，可以選擇外包部分DFIR調(diào)查業(yè)務(wù)。這也是DFIR應(yīng)用發(fā)展的主流趨勢。近一半的受訪者（47%）表示，使用外包DFIR服務(wù)的主要原因是缺乏專業(yè)知識；而另一個原因（38%）是沒有所需的專業(yè)化工具，這些工具在某些情況下可能非常昂貴。