수동 증거 수집이 압도적입니다! 자동화된 DFIR(디지털 포렌식 및 사고 대응)이 미래입니다

수십 년 동안 디지털 포렌식 업무는 다양한 사법 조사 분야에서 계속 발전해 왔으며 글로벌 법 집행 활동에서 매우 중요한 부분이 되었습니다. 동시에, 인터넷의 발달과 세계화로 인해 범죄의 형태가 다양해지고 있으며, 법집행관도 자동화된 디지털 증거 수집 도구를 사용하여 핵심 디지털 증거를 확보하고 범죄자를 감옥에 보내야 합니다.

최근 마그넷 포렌식 연구팀은 최신 연구 보고서 "DFIR(Enterprise Digital Forensics and Incident Investigation) 적용 현황"을 발표했습니다. 보고서 조사에 따르면 디지털 포렌식 시장은 속도와 정확성이라는 두 단어로 요약될 수 있는 큰 변화를 겪었다고 합니다. 사이버 범죄자를 처벌하려면 가능한 한 빨리 조사관에게 위반 증거를 확보하는 것이 중요합니다. 그러나 이는 달성하기 쉽지 않으며 디지털 포렌식 분야의 일부 실무자들은 이미 압도당하고 있습니다. 따라서 더 완전한 증거 체인을 유지하면서 더 빠른 포렌식을 달성하려면 더 많은 자동화 기술을 디지털 포렌식 워크플로우에 통합해야 합니다.

일반적인 DFIR 사고 및 과제

보고서 연구 데이터에 따르면 데이터 유출 및 계정 도용은 2022년 전체 포렌식 활동의 35%를 차지했으며 가장 일반적인 DFIR 사고이며 상업용 전자 메일 유출( 34%). 응답자의 14%는 자신의 조직이 BEC 사기에 자주 직면한다고 말했습니다. 기타 일반적인 DFIR 사고로는 직원 위법 행위(33%), 자산 오용 또는 정책 위반(30%), 내부 사기(29%), 랜섬웨어에 감염된 엔드포인트(28%) 등이 있습니다.

DFIR 사고 비율

데이터 유출, 계정 도용, 랜섬웨어는 조직의 비즈니스 발전에 큰 영향을 미칠 것입니다. DFIR 조사관은 랜섬웨어 및 데이터 침해를 신속하게 조사하려면 경험과 도구가 필요하고 사이버 범죄자는 이러한 조사를 더욱 어렵게 만들려고 노력하고 있기 때문에 이를 수행하는 데 어려움을 겪고 있습니다.

응답자의 45%는 "디지털 포렌식 요구 및 데이터 양의 증가"가 DFIR 조사에 영향을 미치는 가장 큰 과제라고 생각하며, 그 중 13%는 이것이 매우 심각한 문제라고 생각하고 32%는 이것이 상대적으로 심각한 문제라고 생각합니다. 심각한 문제.

반면, 공격의 규모와 복잡성이 계속 진화함에 따라 위협 행위자는 탐지를 더욱 어렵게 만들기 위해 더 많은 기술을 사용하고 있습니다. 인터뷰에 참여한 DFIR 직원 중 42%는 진화하는 네트워크 공격 기술이 심각한 문제라고 말했습니다. 처리해야 할 조직. 새로운 사이버 공격의 진화를 따라가는 것은 의심할 여지 없이 어려운 과제이며, 기업은 조직에 새롭고 발전하는 전술, 기술 및 절차를 갖추는 데 초점을 맞춘 연구 개발 전문가에게 더 많이 의존해야 할 것입니다.

다른 주요 과제로는 서로 통합할 수 없는 도구(37%), 시간이 많이 걸리고 반복적인 작업(37%), 데이터 획득 시 규정을 준수하는 권한 메커니즘 부족(34%), 원격/ 하이브리드 작업 모델(31%), 원격 네트워크에서 데이터를 얻는 데 어려움(31%), 전문가 부족(30%)).

DFIR 조사에 영향을 미치는 도전적인 요소의 비율

DFIR이 직면한 어려움과 과제

DFIR 작업에는 반복적인 작업이 많고 이를 수행하기 위한 자동화된 도구가 시급히 필요합니다. 이러한 조사 작업을 완료하세요. 많은 기업 보안 운영 센터에서는 막대한 양의 보안 모니터링 데이터를 처리해야 하기 때문에 이미 자동화 기술을 많이 활용하고 있습니다. 그러나 DFIR에 필요한 자동화 기능은 주로 포렌식 워크플로우를 조정, 실행 및 모니터링하여 데이터 수집 및 처리가 필요하기 때문에 보안 운영과 크게 다릅니다.

인터뷰한 DFIR 직원 중 50% 이상이 현재 디지털 포렌식 워크플로에 여전히 반복적인 수동 작업이 많이 있으며, 자동화에 대한 기업의 투자가 DFIR 작업을 최적화하는 데 매우 도움이 될 것이라고 답했습니다. 대상 엔드포인트를 원격으로 획득하고, 대상 엔드포인트를 분류하고, 디지털 증거를 처리하고, 사건을 기록, 요약 및 보고하는 데 있어 자동화의 가치를 표현했습니다.

기업 DFIR 실무자의 64%는 "조사 피로"가 실제적이고 객관적인 문제라고 믿고 있는 반면(29%는 매우 동의하고 35%는 다소 동의함), 응답자의 21%는 이미 지쳤다고 강력하게 밝혔습니다. 조사 및 데이터의 양으로 인한 스트레스와 사고 대응을 신속하게 실행해야 하는 필요성으로 인해 이러한 전문가들은 긴장을 풀기가 어렵습니다. 또한, 응답자의 64%는 적절한 디지털 포렌식 인재를 채용하는 것도 큰 과제라고 답했습니다(30% 강력히 동의, 30% 다소 동의). 왜냐하면 디지털 포렌식 업무는 특정 산업 특성을 갖고 있고 요구 사항도 회사의 상황에 따라 달라지기 때문입니다. 비즈니스 특성이 다릅니다.

DFIR 소진 및 채용 문제

보고서 조사에 따르면 빠르게 발전하는 DFIR 분야에서 법의학 전략을 효과적으로 수립하고 합리적으로 자원을 할당하려면 경험이 풍부하고 결단력 있는 리더가 필요합니다. 응답자의 33% 이상이 강력한 리더십이 DFIR 직원이 필요한 완전한 데이터 소스를 얻는 데 도움이 되지만 이는 종종 달성하기 어렵다고 말했습니다.

보고서 데이터에 따르면 DFIR 자원을 낭비하는 가장 큰 이유는 일관성 있는 사고 포렌식 계획 및 업무 전략의 부족(37%)과 표준화된 프로세스의 부족(36%)입니다. 다른 요인으로는 데이터 소스에 대한 액세스 부족(35%), 반복적인 수동 작업(34%), 중복되고 복잡한 기술 도구(28%) 등이 있습니다.

자원 낭비를 유발하는 요인

규정 준수도 DFIR 작업이 직면한 주요 과제라는 점에 유의해야 합니다. 설문 조사에 참여한 DFIR 직원의 67%는 자신의 직무가 다양한 새로운 규정에 의해 영향을 받을 것이라고 답했으며, 46%는 변화하는 규정 요구 사항을 완전히 이해할 시간이 충분하지 않다고 답했습니다. DFIR 팀은 규제 요구 사항을 정확하게 이해해야 하며 필요한 경우 회사의 법무 부서와 협의해야 합니다.

DFIR 작업 최적화를 위한 권장 사항

기업은 속도, 정확성 및 완전성을 우선시하는 DFIR 솔루션에 투자해야 합니다. 보안 사고를 분석할 때 대기 시간이 길수록 위험도 커집니다. 따라서 기업은 DFIR 전문가가 번아웃을 줄이고 조사 지연을 줄일 수 있도록 자동화를 적극적으로 구현해야 합니다.

모든 기업은 신뢰할 수 있는 디지털 포렌식 분석 도구의 도움으로 유용한 자동화된 디지털 포렌식 도구를 미리 예약해야 합니다. 이를 통해 포렌식 담당자는 범죄자를 처벌하기 위한 주요 디지털 증거를 확보할 수 있습니다.

또한 DFIR 계획을 미리 세우는 것도 필수입니다. 계획에서는 역할과 책임을 명확히 하고 법의학 및 사고 대응 방법을 자세히 설명합니다. 또한 필요한 데이터에 액세스하기 위한 명확한 지침과 규칙을 통해 중요한 포렌식 데이터 소스의 보안과 가용성을 보장해야 합니다.

마지막으로 회사 내부 팀에 완전한 DFIR 조사 전문 지식이 부족한 경우 DFIR 조사 사업의 일부를 아웃소싱하도록 선택할 수 있습니다. 이는 DFIR 애플리케이션 개발의 주요 추세이기도 합니다. 응답자의 거의 절반(47%)이 아웃소싱 DFIR 서비스를 사용하는 주된 이유는 전문 지식이 부족하기 때문이라고 밝혔으며, 또 다른 이유(38%)는 필요한 전문 도구를 사용할 수 없기 때문에 어떤 경우에는 매우 비쌀 수 있습니다.

참조 링크: https://www.techrepublic.com/article/digital-forensics-incident-response-most-common-dfir-incidents/

위 내용은 수동 증거 수집이 압도적입니다! 자동화된 DFIR(디지털 포렌식 및 사고 대응)이 미래입니다의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!