数字取证对有效企业事件响应的重要性

数字取证对有效企业事件响应的重要性

事件响应功能的现代化已成为企业安全的关键焦点,数字取证调查的支持是事件响应的重要组成部分,并就如何优化交互提供了指导,尤其是在CISO 领导的团队选择商业平台和工具的情况下。

企业事件响应简介


现代首席信息安全官 (CISO) 了解事件响应在整体企业风险管理策略中的重要性。执行所谓的“右移”过渡的常见策略强调预防-检测-响应规模,这突显了 CISO 领导的团队拥有有效的工具、流程和程序来支持其事件响应计划的重要性。

幸运的是,这种新的重点建立在成熟的基础上。自安全计划成立以来,事件响应一直是安全计划的一个要素,大多数工作专业人员都了解如何处理正在进行的案例或漏洞利用事件。然而,一开始可能并不那么清楚,但今天已经变得非常明显的是,数字取证调查能力在确保事件得到适当响应方面发挥着关键作用。

传统的数字取证调查涉及简单的工具,用于创建PC和移动电话等简单设备的图像副本,以回答有关使用情况的简单问题。如今,这些早期方法已经发展到包括对更复杂的基础架构、系统、应用程序和设备的详细分析和调查,这些基础架构、系统、应用程序和设备在多云网络中蔓延,必须处理网络外、第三方和其他情况。

在本报告中,我们为企业安全团队提供了有关企业事件响应中调查演变的指导,以及如何最好地将数字取证调查平台集成到其事件响应项目中。这是通过将二者的未来目标和目的联系起来,形成一种有效的未来状态,使响应和调查都在相互的协同作用中受益。企业团队在选择事件响应和取证平台以优化交互时提供了一组问题。

调查作为企业事件响应的一个组成部分


最常被引用的事件响应指南来自美国国家标准与技术研究院 (NIST)。他们关于事件处理的特别文献为从业人员提供了有关如何设置、管理、组织和操作事件响应计划的详细而有效的指导。此外,NIST 建议使用已成为当今许多企业计划基础的事件响应生命周期(参见图 1)。


在这里插入图片描述

NIST指南对关于如何将数字取证集成到事件响应中的建议进行了补充。NIST指南准确地反映了数字取证在整个事件响应生命周期中发挥的基础作用,它还有助于企业团队认识到,由于事件响应必须适应现代混合多云基础架构,相应的取证方法也必须适应。此报告根据 NIST 指南编写。

企业事件响应的与调查相关的功能


为了支持现代事件响应,必须调整取证调查方法以应对数字化转型。这包括支持零信任网络、大规模居家办公远程访问、分布式多云中的工作负载托管、对移动应用程序和基础架构的日益依赖,以及通过持续集成和持续部署(CI/CD)管道增加敏捷软件交付的使用。 所有这些进步都需要得到使用中的取证平台的专家支持。

为了应对安全事件处理背景下的持续变化,现代数字取证平台及其相关流程必须灵活并适应新的响应环境。在建立(或发展)可以与事件响应适当集成的数字取证能力时,企业安全团队必须满足以下要求:

角色和职责


需要明确取证和响应团队的角色和职责 ——认识到所涉及的个体可能会有一些重叠。这意味着某些团队成员在事件中可能扮演双重角色。

生命周期覆盖范围


数字取证和事件响应功能必须设计为包括从持续集成/持续交付 (CI/CD) 管道到还原和恢复过程的整个生命周期覆盖范围。

扩大范围


现代取证团队面临的最大调整是取证范围从分析本地控制的设备扩展到分析位于零信任架构中的资产。大多响应团队已经完成了这一转变。

安全领导团队还必须认识到在响应和取证的情景中平台和流程之间存在的相互依赖关系。当考虑到这些因素时,会出现一个简单的概念决策模型,可以帮助管理者优化他们处理这两项任务的方式。 此模型如图 2 所示。


在这里插入图片描述

概念模型应用的关键问题涉及矩阵单元之间存在的相互作用和相互依赖性例如,用于取证和响应的软件平台必须包括共享方式(可能跨 API),并且每个任务的业务流程也必须进行协调(可能通过自动化工作流)。这种集成可以通过全面覆盖的平台来完成,也可以由企业团队在部署后完成。

现代企业取证调查的市场情况


企业团队应清楚地了解事件响应期间必须支持的特定数字取证要求。因此,为安全从业人员提供一个简单的指南,对建立其所选取证平台的覆盖范围完整性是很有帮助的。下文提供了在选择与本地事件响应生态系统集成的取证工具时要问的一些问题。

平台在事件响应期间是否支持文件取证?


对收集的文本和二进制文件进行取证调查是事件响应生命周期的重要组成部分。无论是从移动设备、PC 还是其他系统中提取,文件都是调查人员最重要的数据单元。在安全事件响应的遏制和根除阶段尤其如此。

平台在事件响应期间是否支持操作系统取证?


操作系统在响应过程中也为调查人员提供了有价值的证据。直接从操作系统收集和分析数据一直是调查人员的一项关键活动,尤其是在目标嫌疑人试图通过删除文件或其他活动来掩盖证据的情况下。

平台在事件响应期间是否支持网络取证?


对于数字取证和事件响应,对局域网和广域网的重视程度也在增加。随着对零信任架构的重视,识别感兴趣的网络或数据位置就不那么明显了,网络取证应该包括面向公众的存储库,以及供应商、合作伙伴甚至企业客户的专用网络。

该平台是否支持从非传统来源(比如社交媒体)进行取证收集?


现代企业案件的证据越来越多地位于社交媒体等非传统来源。这意味着所选的取证平台必须包含有助于识别、定位和提取此类数据的工具或界面。随着技术的进步和用户发展到新的在线论坛和系统,这种能力将继续深化。

平台在事件响应期间是否支持应用程序取证?


基于Web和移动生态系统的应用程序的作用现在已经与任何组织最广泛的目标保持一致。应用程序是在企业中获取数据的手段,因此取证和响应活动必然需要适用于旧版、商业和 SaaS 应用程序的良好收集、分析和报告工具。

平台在事件响应期间是否支持云取证?


云基础架构已成为企业 IT 和安全最重要的一个方面。因此,取证平台和事件响应生态系统都必须包括在公共云、私有云或混合云中处理案件的方法。这还包括基于 SaaS 的基础架构,并应允许在必要时与商业云安全团队及其系统进行交互。

该平台是否包括与事件响应系统集成的接口?


与自动化事件响应工具集成的能力是现代数字取证平台的重要要求。这很可能是通过应用程序编程接口 (API) 完成的,因为手动集成可能会减慢收集和分析的速度。取证和响应工具之间交互的标准尚未出现,但可能会在未来几年内看到。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/119255.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Redis缓存(缓存预热,缓存穿透,缓存雪崩,缓存击穿)

目录 一, 缓存 1, 什么是缓存 2, 什么是热点数据(热词) 3, 缓存更新策略 3.1 定期生成 3.2 实时生成 二, Redis缓存可能出现的问题 1, 缓存预热 1.1 什么是缓存预热 1.2 缓存预热的过程 2, 缓存穿透 2.1 什么是缓存穿透 2.2 缓存穿透产生的原因 2.3 缓存穿透的解…

超市商品管理系统 毕业设计 JAVA+Vue+SpringBoot+MySQL

项目下载地址 目录 项目下载地址 一、摘要1.1 简介1.2 项目录屏 二、研究内容2.1 数据中心模块2.2 超市区域模块2.3 超市货架模块2.4 商品类型模块2.5 商品档案模块 三、系统设计3.1 用例图3.2 时序图3.3 类图3.4 E-R图 四、系统实现4.1 登录4.2 注册4.3 主页4.4 超市区域管理4…

基于MIMO+16QAM系统的VBLAST译码算法matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 ........................................................................ for SNR_dBSNRS…

桉木红面模板批发915*1830mm规格建筑木胶板

我们很自豪地介绍我们的产品:桉木红面建筑模板。作为一家专业的建筑木胶板生产批发商,我们提供高质量的915*1830*15mm规格的桉木红面板,为您的建筑项目提供卓越的解决方案。 桉木红面板是由优质的桉木原料制成,经过精细的加工和处…

[Go版]算法通关村第十八关青铜——透析回溯的模版

目录 认识回溯思想回溯的代码框架从 N 叉树说起有的问题暴力搜索也不行回溯 递归 局部枚举 放下前任Go代码【LeetCode-77. 组合】回溯热身-再论二叉树的路径问题题目:二叉树的所有路径Go 代码 题目:路径总和 IIGo 代码 回溯是最重要的算法思想之一&am…

flinksql kafka到mysql累计指标练习

flinksql 累计指标练习 数据流向:kafka ->kafka ->mysql 模拟写数据到kafka topic:wxt中 import com.alibaba.fastjson.JSONObject; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.Produ…

新手入门?初登开发者舞台的你所适合的三大开发工具?

对新手开发者来说,工具的简洁性和实用性和自己的产出直接挂钩,一个好用的工具往往会让编译代码减少很多麻烦,有哪些比较适合的工具,几乎成了每个新人必定会问的问题之一。 针对这些疑惑,今天就来讲讲三大新手型开发工…

多张照片怎么打包发给别人?几个步骤轻松搞定!

在工作和生活中,我们常常需要发送多张照片,因为照片数量较多,打包可以减少发送时间,提高发送效率。那么如何操作呢?有什么好用的软件呢?下面向大家介绍三种常用的软件。 方法一:使用7-zip 1、在…

uni-app打包apk实现自动更新

一、直接复制粘贴就可用(豪横) app.vue文件里写 //app.vue里写 <script>export default {onShow: function() {console.log(App Show)},onHide: function() {console.log(App Hide)},onLaunch: function() {let appVersion uni.getSystemInfo({success: function(e) {ap…

更新电脑显卡驱动的操作方法有哪些?

更新显卡驱动可以有效的提升我们电脑的性能&#xff0c;可以通过设备管理器、显卡驱动软件等方式进行检查驱动是否需要更新&#xff0c;并修复一些电脑上已知的显卡问题。 然而&#xff0c;对于一些不是很懂电脑技术的人员来说&#xff0c;更新电脑显卡驱动是一件比较复杂和混乱…

视频号视频提取小程序,快速下载视频号视频

​视频号提取小程序可以帮助用户方便地从视频号视频平台获取到自己喜欢的视频号内容。通过这个小程序&#xff0c;你可以快速搜索并提取出视频号&#xff0c;并进行相关的操作。 据悉视频下载bot小程序目前已经更名为【提取下载小助手】 使用视频号提取小程序有以下几个步骤&…

1.验证码绕过

1.环境 1.前端验证码 抓包 发到重放器 可重复使用 爆破 总结&#xff0c;前端的验证直接删除验证码即可开始爆破 服务端 3.token 爆破

pycharm远程连接Linux服务器

文章目录 一&#xff1a;说明二&#xff1a;系统三&#xff1a;实现远程连接方式一&#xff1a; 直接连接服务器不使用服务器的虚拟环境步骤一&#xff1a;找到配置服务器的地方步骤二&#xff1a;进行连接配置步骤三&#xff1a;进行项目文件映射操作步骤四&#xff1a;让文件…

如何在群晖Synology+Office实现多人编辑一个文件?

使用群晖Synology Office提升生产力&#xff1a;多人同时编辑一个文件 文章目录 使用群晖Synology Office提升生产力&#xff1a;多人同时编辑一个文件本教程解决的问题是&#xff1a;1. 本地环境配置2. 制作本地分享链接3. 制作公网访问链接4. 公网ip地址访问您的分享相册5. 制…

在Go项目中二次封装Kafka客户端功能

1.摘要 在上一章节中,我利用Docker快速搭建了一个Kafka服务,并测试成功Kafka生产者和消费者功能,本章内容尝试在Go项目中对Kafka服务进行封装调用, 实现从Kafka自动接收消息并消费。 在本文中使用了Kafka的一个高性能开源库Sarama, Sarama是一个遵循MIT许可协议的Apache Kafk…

InstructionGPT

之前是写在[LLM&#xff1a;提示学习Prompt Learning]里的&#xff0c;抽出来单独讲一下。 基本原理 在做下游的任务时&#xff0c;我们发现GPT-3有很强大的能力&#xff0c;但是只要人类说的话不属于GPT-3的范式&#xff0c;他几乎无法理解。例如&#xff0c;我们说把句子A变…

Android Studio Logcat日志VIVO手机显示*号问题

咨询VIVO客服 1、拨盘输入 *#06# 获取串码&#xff0c;发送给客服 2、拨号盘输入*#*#112#*#*-右上角菜单-更多-一键授权 注意不要刷机&#xff0c;恢复出厂设置&#xff0c;手动取消授权哦

【Linux】Linux任务管理与守护进程

Linux任务管理与守护进程 一、任务管理1、进程组概念2、作业概念3、会话概念4、相关操作 二、守护进程1、守护进程的创建2、守护进程的库函数 一、任务管理 1、进程组概念 在Linux中&#xff0c;每个进程除了有一个进程ID之外&#xff0c;还有一个属性是进程组(PGID)&#xff…

CAD迷你看图 mac v4.4.5

CAD迷你看图是一款小巧的DWG文件浏览小工具&#xff0c;支持AutoCAD DWG/DXF等常用图纸文件&#xff0c;可脱离AutoCAD快速浏览DWG图纸&#xff0c;并提供了平移、缩放、全屏等功能。该软件采用独特的云技术&#xff0c;根据不同DWG图纸的需要自动装载相应字体&#xff0c;解决…

木马文件检测系统 毕业设计 JAVA+Vue+SpringBoot+MySQL

项目编号&#xff1a;S041&#xff0c;源码已在 Bilibili 中上架&#xff0c;需要的朋友请自行下载。 https://gf.bilibili.com/item/detail/1104375029为了帮助小白入门 Java&#xff0c;博主录制了本项目配套的《项目手把手启动教程》&#xff0c;希望能给同学们带来帮助。 …