Pengumpulan bukti secara manual terharu! DFIR Automatik (Forensik Digital dan Tindak Balas Insiden) adalah masa hadapan

Selama beberapa dekad, kerja forensik digital terus berkembang dalam pelbagai cabang penyiasatan kehakiman dan telah menjadi bahagian yang sangat penting dalam aktiviti penguatkuasaan undang-undang global. Pada masa yang sama, disebabkan perkembangan Internet dan globalisasi, bentuk jenayah dipelbagaikan, dan pegawai penguatkuasa undang-undang juga perlu menggunakan alat pengumpulan bukti digital automatik untuk mendapatkan bukti digital utama dan menghantar penjenayah ke penjara.

Beberapa hari lalu, pasukan penyelidik forensik Magnet mengeluarkan laporan penyelidikan terkini "Status Permohonan Forensik Digital dan Siasatan Insiden (DFIR) Perusahaan". Penyelidikan laporan percaya bahawa pasaran forensik digital telah mengalami perubahan besar, yang boleh diringkaskan dalam dua perkataan: kelajuan dan ketepatan. Mendapatkan bukti pelanggaran kepada penyiasat secepat mungkin adalah kunci untuk membawa penjenayah siber ke muka pengadilan. Walau bagaimanapun, ini tidak mudah untuk dicapai, dan beberapa pengamal dalam bidang forensik digital sudah terharu. Oleh itu, lebih banyak teknologi automasi perlu dimasukkan ke dalam aliran kerja forensik digital untuk mencapai forensik yang lebih pantas sambil mengekalkan rantaian bukti yang lebih lengkap.

Insiden dan cabaran biasa DFIR

Menurut data penyelidikan yang dilaporkan, pelanggaran data dan kecurian akaun akan menyumbang 35% daripada keseluruhan aktiviti forensik dalam 2022 , adalah insiden DFIR yang paling biasa, diikuti rapat dengan pelanggaran e-mel perniagaan (34%). 14% daripada responden mengatakan organisasi mereka kerap menghadapi penipuan BEC. Insiden DFIR biasa lain termasuk salah laku pekerja (33%), penyalahgunaan aset atau pelanggaran dasar (30%), penipuan dalaman (29%) dan titik akhir yang dijangkiti perisian tebusan (28%).

Perkadaran insiden DFIR

Kebocoran data, kecurian akaun dan Perisian Tebusan boleh memberi impak yang besar kepada perkembangan perniagaan sesebuah organisasi. Penyiasat DFIR mempunyai tugas yang sukar di sini kerana menyiasat perisian tebusan dan pelanggaran data dengan cepat memerlukan pengalaman dan alatan, dan penjenayah siber cuba menjadikan penyiasatan ini lebih sukar.

45% responden percaya bahawa "keperluan forensik digital yang semakin meningkat dan volum data" adalah cabaran terbesar yang menjejaskan penyiasatan DFIR, dengan 13% menganggap ini sebagai isu yang sangat serius, 32% berpendapat ini adalah masalah yang serius.

Sebaliknya, apabila skala dan kerumitan serangan terus berkembang, pelaku ancaman menggunakan lebih banyak teknik untuk menjadikan pengesanan lebih sukar, dengan 42% responden kakitangan DFIR berkata serangan siber berkembang teknik merupakan masalah yang serius untuk ditangani oleh organisasi mereka. Mengikuti evolusi serangan siber baharu sudah pasti merupakan cabaran yang menggerunkan, dan syarikat perlu lebih bergantung kepada pakar penyelidikan dan pembangunan yang menumpukan pada melengkapkan organisasi dengan taktik, teknik dan prosedur baharu yang berkembang.

Cabaran utama lain termasuk alatan yang tidak boleh berintegrasi antara satu sama lain (37%), tugasan yang memakan masa dan berulang (37%) dan kekurangan mekanisme kebenaran yang mematuhi semasa memperoleh data (34 %) , percambahan model kerja jauh/hibrid (31%), kesukaran mendapatkan data daripada rangkaian jauh (31%), dan kekurangan pakar (30%).

Perkadaran faktor mencabar yang mempengaruhi penyiasatan DFIR

Kesukaran dan cabaran yang dihadapi oleh DFIR

Terdapat sejumlah besar tugas berulang dalam kerja DFIR, dan terdapat keperluan mendesak untuk alat automatik untuk menyelesaikan tugas penyiasatan ini. Banyak pusat operasi keselamatan perusahaan sudah banyak menggunakan teknologi automasi kerana mereka perlu memproses sejumlah besar data pemantauan keselamatan. Walau bagaimanapun, keupayaan automasi yang diperlukan oleh DFIR adalah berbeza dengan ketara daripada operasi keselamatan, kerana ia terutamanya memerlukan pemerolehan dan pemprosesan data melalui orkestrasi, pelaksanaan dan pemantauan aliran kerja forensik.

Lebih 50% kakitangan DFIR yang ditemu bual berkata bahawa masih terdapat sejumlah besar tugasan manual berulang dalam aliran kerja forensik digital semasa, dan pelaburan dalam automasi oleh perusahaan akan mempunyai kesan negatif kesan pada pengoptimuman kerja DFIR. Lebih daripada 20% responden berkata automasi akan mempunyai nilai yang signifikan dalam mendapatkan titik akhir sasaran dari jauh, mengelaskan titik akhir sasaran, memproses bukti digital dan merekod, meringkaskan dan melaporkan insiden.

64% pengamal DFIR korporat percaya bahawa "keletihan penyiasatan" adalah masalah sebenar dan objektif (29% sangat bersetuju dengan ini, 35% agak bersetuju), manakala 21% responden Responden sangat menyatakan perasaan keletihan dalam kerja harian mereka. Tekanan yang disebabkan oleh jumlah penyiasatan dan data, dan keperluan untuk menjalankan tindak balas insiden dengan cepat, menyukarkan profesional ini untuk berehat. Di samping itu, 64% daripada responden mengatakan bahawa merekrut bakat forensik digital yang sesuai juga merupakan cabaran utama (30% sangat setuju, 30% agak setuju), kerana kerja forensik digital mempunyai atribut industri tertentu, dan keperluan juga akan bergantung pada syarikat ciri perniagaan yang berbeza dan berbeza.

Isu keletihan dan pengambilan DFIR

Penyelidikan laporan juga menunjukkan bahawa dalam bidang DFIR yang sedang berkembang pesat, pemimpin yang berpengalaman dan tegas diperlukan untuk merangka strategi forensik dengan berkesan dan memperuntukkan sumber yang munasabah. Lebih daripada 33% responden berkata kepimpinan yang kukuh membantu kakitangan DFIR mendapatkan sumber data lengkap yang mereka perlukan, yang selalunya sukar dicapai.

Data laporan menunjukkan bahawa sebab terbesar pembaziran sumber DFIR ialah kekurangan pelan forensik insiden yang koheren dan strategi kerja (37%), dan kekurangan proses piawai (36%). Faktor lain termasuk kekurangan akses kepada sumber data (35%), tugas manual yang berulang (34%) dan alat teknologi yang berlebihan dan kompleks (28%).

Faktor-faktor yang menyebabkan pembaziran sumber

Perlu diingatkan bahawa pematuhan peraturan juga merupakan wajah DFIR bekerja sebagai cabaran besar. 67% kakitangan DFIR yang ditinjau berkata peranan kerja mereka akan terjejas oleh pelbagai peraturan baharu, dan 46% berkata mereka tidak mempunyai masa yang mencukupi untuk memahami sepenuhnya keperluan kawal selia yang berubah-ubah. Pasukan DFIR perlu mempunyai pemahaman yang tepat tentang keperluan kawal selia dan harus berunding dengan jabatan undang-undang syarikat apabila perlu.

Cadangan untuk mengoptimumkan usaha DFIR

Perniagaan harus melabur dalam penyelesaian DFIR yang mengutamakan kelajuan, ketepatan dan kesempurnaan. Apabila menganalisis insiden keselamatan, lebih banyak kependaman bermakna lebih besar risiko. Oleh itu, syarikat harus bersungguh-sungguh melaksanakan automasi untuk membantu profesional DFIR mengurangkan keletihan dan mengurangkan kelewatan penyiasatan.

Setiap perusahaan harus menempah alat forensik digital automatik yang berguna terlebih dahulu Dengan bantuan alat analisis forensik digital yang boleh dipercayai, kakitangan forensik boleh mendapatkan bukti digital utama untuk menyiasat Penjenayah dihukum.

Selain itu, adalah penting untuk membuat rancangan DFIR terlebih dahulu. Pelan ini akan menjelaskan peranan dan tanggungjawab serta memperincikan bagaimana forensik dan tindak balas insiden perlu dicapai. Ia juga harus memastikan keselamatan dan ketersediaan sumber data forensik kritikal melalui arahan dan peraturan yang jelas untuk mengakses data yang diperlukan.

Akhir sekali, jika pasukan dalaman syarikat tidak mempunyai kepakaran penyiasatan DFIR yang lengkap, ia boleh memilih untuk menyumber luar sebahagian daripada perniagaan penyiasatan DFIR. Ini juga merupakan trend arus perdana dalam pembangunan aplikasi DFIR. Hampir separuh daripada responden (47%) menyatakan bahawa sebab utama untuk menggunakan perkhidmatan DFIR penyumberan luar adalah kekurangan kepakaran manakala satu lagi sebab (38%) adalah ketiadaan alat khusus yang diperlukan, yang dalam beberapa kes boleh menjadi sangat mahal;

Pautan rujukan: https://www.techrepublic.com/article/digital-forensics-incident-response-most-common-dfir-incidents/

Atas ialah kandungan terperinci Pengumpulan bukti secara manual terharu! DFIR Automatik (Forensik Digital dan Tindak Balas Insiden) adalah masa hadapan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!