数字取证对有效企业事件响应的重要性
事件响应功能的现代化已成为企业安全的关键焦点,数字取证调查的支持是事件响应的重要组成部分,并就如何优化交互提供了指导,尤其是在CISO 领导的团队选择商业平台和工具的情况下。
企业事件响应简介
现代首席信息安全官 (CISO) 了解事件响应在整体企业风险管理策略中的重要性。执行所谓的“右移”过渡的常见策略强调预防-检测-响应规模,这突显了 CISO 领导的团队拥有有效的工具、流程和程序来支持其事件响应计划的重要性。
幸运的是,这种新的重点建立在成熟的基础上。自安全计划成立以来,事件响应一直是安全计划的一个要素,大多数工作专业人员都了解如何处理正在进行的案例或漏洞利用事件。然而,一开始可能并不那么清楚,但今天已经变得非常明显的是,数字取证调查能力在确保事件得到适当响应方面发挥着关键作用。
传统的数字取证调查涉及简单的工具,用于创建PC和移动电话等简单设备的图像副本,以回答有关使用情况的简单问题。如今,这些早期方法已经发展到包括对更复杂的基础架构、系统、应用程序和设备的详细分析和调查,这些基础架构、系统、应用程序和设备在多云网络中蔓延,必须处理网络外、第三方和其他情况。
在本报告中,我们为企业安全团队提供了有关企业事件响应中调查演变的指导,以及如何最好地将数字取证调查平台集成到其事件响应项目中。这是通过将二者的未来目标和目的联系起来,形成一种有效的未来状态,使响应和调查都在相互的协同作用中受益。企业团队在选择事件响应和取证平台以优化交互时提供了一组问题。
调查作为企业事件响应的一个组成部分
最常被引用的事件响应指南来自美国国家标准与技术研究院 (NIST)。他们关于事件处理的特别文献为从业人员提供了有关如何设置、管理、组织和操作事件响应计划的详细而有效的指导。此外,NIST 建议使用已成为当今许多企业计划基础的事件响应生命周期(参见图 1)。
NIST指南对关于如何将数字取证集成到事件响应中的建议进行了补充。NIST指南准确地反映了数字取证在整个事件响应生命周期中发挥的基础作用,它还有助于企业团队认识到,由于事件响应必须适应现代混合多云基础架构,相应的取证方法也必须适应。此报告根据 NIST 指南编写。
企业事件响应的与调查相关的功能
为了支持现代事件响应,必须调整取证调查方法以应对数字化转型。这包括支持零信任网络、大规模居家办公远程访问、分布式多云中的工作负载托管、对移动应用程序和基础架构的日益依赖,以及通过持续集成和持续部署(CI/CD)管道增加敏捷软件交付的使用。 所有这些进步都需要得到使用中的取证平台的专家支持。
为了应对安全事件处理背景下的持续变化,现代数字取证平台及其相关流程必须灵活并适应新的响应环境。在建立(或发展)可以与事件响应适当集成的数字取证能力时,企业安全团队必须满足以下要求:
角色和职责
需要明确取证和响应团队的角色和职责 ——认识到所涉及的个体可能会有一些重叠。这意味着某些团队成员在事件中可能扮演双重角色。
生命周期覆盖范围
数字取证和事件响应功能必须设计为包括从持续集成/持续交付 (CI/CD) 管道到还原和恢复过程的整个生命周期覆盖范围。
扩大范围
现代取证团队面临的最大调整是取证范围从分析本地控制的设备扩展到分析位于零信任架构中的资产。大多响应团队已经完成了这一转变。
安全领导团队还必须认识到在响应和取证的情景中平台和流程之间存在的相互依赖关系。当考虑到这些因素时,会出现一个简单的概念决策模型,可以帮助管理者优化他们处理这两项任务的方式。 此模型如图 2 所示。
概念模型应用的关键问题涉及矩阵单元之间存在的相互作用和相互依赖性例如,用于取证和响应的软件平台必须包括共享方式(可能跨 API),并且每个任务的业务流程也必须进行协调(可能通过自动化工作流)。这种集成可以通过全面覆盖的平台来完成,也可以由企业团队在部署后完成。
现代企业取证调查的市场情况
企业团队应清楚地了解事件响应期间必须支持的特定数字取证要求。因此,为安全从业人员提供一个简单的指南,对建立其所选取证平台的覆盖范围完整性是很有帮助的。下文提供了在选择与本地事件响应生态系统集成的取证工具时要问的一些问题。
平台在事件响应期间是否支持文件取证?
对收集的文本和二进制文件进行取证调查是事件响应生命周期的重要组成部分。无论是从移动设备、PC 还是其他系统中提取,文件都是调查人员最重要的数据单元。在安全事件响应的遏制和根除阶段尤其如此。
平台在事件响应期间是否支持操作系统取证?
操作系统在响应过程中也为调查人员提供了有价值的证据。直接从操作系统收集和分析数据一直是调查人员的一项关键活动,尤其是在目标嫌疑人试图通过删除文件或其他活动来掩盖证据的情况下。
平台在事件响应期间是否支持网络取证?
对于数字取证和事件响应,对局域网和广域网的重视程度也在增加。随着对零信任架构的重视,识别感兴趣的网络或数据位置就不那么明显了,网络取证应该包括面向公众的存储库,以及供应商、合作伙伴甚至企业客户的专用网络。
该平台是否支持从非传统来源(比如社交媒体)进行取证收集?
现代企业案件的证据越来越多地位于社交媒体等非传统来源。这意味着所选的取证平台必须包含有助于识别、定位和提取此类数据的工具或界面。随着技术的进步和用户发展到新的在线论坛和系统,这种能力将继续深化。
平台在事件响应期间是否支持应用程序取证?
基于Web和移动生态系统的应用程序的作用现在已经与任何组织最广泛的目标保持一致。应用程序是在企业中获取数据的手段,因此取证和响应活动必然需要适用于旧版、商业和 SaaS 应用程序的良好收集、分析和报告工具。
平台在事件响应期间是否支持云取证?
云基础架构已成为企业 IT 和安全最重要的一个方面。因此,取证平台和事件响应生态系统都必须包括在公共云、私有云或混合云中处理案件的方法。这还包括基于 SaaS 的基础架构,并应允许在必要时与商业云安全团队及其系统进行交互。
该平台是否包括与事件响应系统集成的接口?
与自动化事件响应工具集成的能力是现代数字取证平台的重要要求。这很可能是通过应用程序编程接口 (API) 完成的,因为手动集成可能会减慢收集和分析的速度。取证和响应工具之间交互的标准尚未出现,但可能会在未来几年内看到。