DFIR是收集数字法医证据的过程, 搜寻可疑活动, 并持续监视端点事件. 更深入一点,安全专家Scott J. 罗伯茨 定义DFIR 作为“一个多学科的专业,专注于识别, 调查, 纠正计算机网络剥削."
从过程的角度来看, 利用综合取证的事件响应和调查计划将包括调查等职责, 分析管理, 威胁检测, 通信, 以及研究结果的记录.
随后的补救和清理通常包括删除攻击者远程访问功能, 恢复优先级的业务流程和系统, 保护受损用户的账户.
这些过程的细节包含了DFIR框架的以下关键组成部分:
在更大的网络安全实践框架内, DFIR的作用是详细了解违规行为是如何发生的,以及为纠正该特定事件将采取的具体步骤. 让我们更深入地了解构成整体DFIR实践的各个功能.
检测受攻击影响的受损用户是了解发生了什么并制定及时响应以确保攻击者从网络中清除的第一步, 漏洞得到了控制和修复, 剩下的 可利用的漏洞 矫正. 从那里, 可以进行深思熟虑的调查, 它可以识别不断进化的攻击者行为,并在未来更准确地发现它.
对具体漏洞的调查永远不会像之前的调查那样. 定制应对威胁的情境方法是非常必要的, 这种威胁是否即将发生或已经发生. 展开调查时, 安全团队可能会对受影响的资产执行数据分析。, 获取浏览器历史工件, 事件日志, 目录中的文件, 登记箱.
采集过程中最关键的一步 威胁情报 确保数据适合安全组织中的每个功能. 一旦付诸实践, 情报周期 通过收集会产生结果吗, 分析, 并传播给组织中的相关利益相关者. 这个过程的先决条件是高度重视自动化分析,可以快速搜索数据并显示相关的见解.
在分析电位 恶意软件 在网络上, 安全小组会提交可疑样本, 在一连串的分析中进行分析, 然后根据风险评分对威胁进行分类. 这有助于分清轻重缓急. 这是需要立即关注的事情还是可以等待? 在这个分析阶段, 逆向工程恶意软件可以帮助团队找到了解其最终目标并快速根除它的最佳方法.
一旦入侵范围和受影响的资产完全确定, 应用程序, 用户也得到了控制, a 安全运营中心(SOC) 是否会启动预定计划,恢复正常的业务运营流程. 文档是灾难规划的关键,因此团队可以了解备份系统的各种组件. 维护一个自动化的, 离线备份可以进一步帮助从恶意软件攻击中恢复的过程.
数字取证应用于 事件响应 通过融入这个过程. 每个安全专家都知道, 仅仅对事件做出反应并解决问题是不够的, 您必须确切地知道发生了什么以及它是如何发生的,以便系统可以针对攻击路径进行校准,并在下次发现该行为时显示定制警报.
如果有人问,“什么是数字取证?”, 我们更明确地希望讨论多系统取证(上面简要提到过)。. 这是, 监视和查询整个网络中的关键系统和资产类型以发现可疑行为的能力. 让我们更细致地看看这个过程需要做些什么:
数字取证应该使威胁响应者和猎人能够收集, 查询, 并监视端点的几乎任何方面, 端点组, 或者整个网络. 该实践还可用于在端点上创建连续监视规则以及自动执行服务器任务. 具体用例包括:
DFIR是网络安全计划中的一个关键工具,因为它有助于更准确、更细致地揭示攻击者正在寻求或已经采取的破坏网络的方法和路径.
企业及其安全计划的最佳利益是超越响应和校准预防措施,以识别未来相同或类似的行为.
DFIR的好处怎么说都不为过, 由于漏洞调查的目标是可见性,因此安全团队可以从发生的事情中获得洞察力,并创建更强大的程序.