數十年來,數位鑑識工作在司法偵查的不同分支中不斷發展,已成為全球執法活動中非常重要的組成部分。同時,由於網路和全球化的發展,犯罪形式多樣化,執法人員也需要透過自動化的數位鑑識工具,才能獲得關鍵的數位證據,將不法分子送入監獄。
日前,Magnet forensics研究團隊最新發布了《企業數位鑑識與事件調查(DFIR)應用現況》研究報告。報告研究認為,數位鑑識市場目前發生了很大變化,可以用兩個詞來概括:速度和準確率。如何盡快將違法證據提交給調查人員是將網路犯罪分子繩之以法的關鍵。然而,這並不容易實現,一些數位鑑識領域的從業人員已經不堪重負。因此,需要將更多的自動化技術納入數位取證工作流程來實現更快的取證速度,同時更完整的保留證據鏈。
據報告研究資料顯示,2022年資料外洩與帳號竊取佔整體取證活動的35% ,是最常見的DFIR事件,緊隨其後的是商業電子郵件洩漏(34%)。有14%的受訪者表示,他們的組織會經常遭遇BEC騙局。其他常見DFIR事件包括員工不當行為(33%)、濫用資產或違反政策(30%)、內部詐欺(29%)和感染勒索軟體的端點(28%)。
DFIR事件佔比情況
資料外洩、帳號竊取和勒索軟體都會對組織業務發展產生巨大影響。 DFIR調查人員在這方面開展工作非常困難,因為快速調查勒索軟體和資料外洩事件需要充分的經驗和工具支撐,而網路犯罪分子也在試圖讓這些調查變得更加困難。
45%的受訪者認為:「不斷增長的數位取證需求和資料量」是影響DFIR調查的最大挑戰,其中13%認為這是一個非常嚴重的問題,32%認為這是較嚴重的問題。
另一方面,隨著攻擊的規模和複雜性都在不斷發展,威脅行為者使用了更多的技術來增加偵測難度,有42%的受訪DFIR人員表示,不斷發展的網路攻擊技術在他們的組織中是一個難以應對的嚴重問題。要跟上新型網路攻擊的演進步伐無疑是一項艱鉅的挑戰,公司需要更多地依賴研發專家,專注於為組織配備新的、不斷發展的戰術、技術和程序。
其他關鍵挑戰還包括無法彼此整合的工具(37%)、耗時重複的任務(37%)、取得資料時缺乏合規的授權機制(34%) 、遠距/混合辦公模式激增(31%)、難以從遠端網路中獲取資料(31%)以及缺乏專家(30%))。
影響DFIR調查的挑戰因素佔比
在DFIR工作中存在大量的重複性任務,急需透過自動化工具來完成這些調查任務。許多企業的安全營運中心已經在大量利用自動化技術,因為它們需要處理大量的安全監測資料。但DFIR所需的自動化能力和安全營運有明顯差別,因為它主要需要透過編排、執行和監控取證工作流程來進行資料擷取和處理。
超過50%的受訪DFIR人員表示,目前的數位鑑識工作流程中仍存在大量重複性的人工操作任務,企業在自動化方面的投資對於DFIR工作優化會非常有幫助;超過20%的受訪者表示,自動化在遠端取得目標端點、對目標端點進行分類、處理數位證據以及記錄、總結和報告事件方面的價值非常顯著。
64%的企業DFIR從業人員認為「調查疲勞」是一個真實存在的客觀問題(29%對此強烈認同,35%比較認同),而21%的受訪者強烈表示他們在日常工作中已感到精疲力盡。大量的調查和數據,以及快速運行事件回應的必要性所造成的壓力,使這些專業人員很難放鬆。此外,64%的受訪者表示,招募合適的數位取證人才也是一個主要挑戰(30%強烈認同,30%有些認同),因為數位鑑識工作有一定的行業屬性,要求也會因公司的業務特點不同而有差異。
DFIR工作倦怠和招募問題
報告研究也顯示,在快速發展的DFIR領域,需要經驗豐富和決策果斷的領導者,才能有效制定取證策略和合理分配資源。超過33%的受訪者表示,強力的領導者有助於DFIR人員取得所需的完整資料來源,而這通常很難實現。
報告資料顯示,造成DFIR資源浪費的最大原因是缺乏連貫的事件取證計畫和工作策略(37%),以及缺乏標準化流程(36%)。其他因素還包括無法存取資料來源(35%)、重複手動的任務(34%)、技術工具冗餘及複雜化(28%)。
造成資源浪費的因素
#需要特別指出的是,法規遵從也是DFIR工作面臨的一個重大挑戰。 67%的受訪DFIR人員表示,他們的工作角色會受到各種新法規的影響,46%的受訪者表示沒有足夠的時間來充分理解不斷變化的法規要求。 DFIR團隊需要確切了解法規要求,必要時應與公司的法務部門溝通諮詢。
企業應該投資於優先考慮速度、準確性和完整性的DFIR解決方案。在分析安全事件時,更多的延遲意味著更大的風險。因此,企業應該大力實施自動化,以幫助DFIR專業人員減少倦怠並降低調查延誤。
每個企業都應該提前儲備一款好用的自動化數位鑑識工具,借助可靠的數位鑑識分析工具,可以幫助取證人員獲取關鍵性的數位證據,從而對不法分子進行處罰。
此外,提前製定DFIR計劃也是必不可少的。該計劃將明確角色和責任,並詳細說明取證和事件回應需要如何完成。它也應該透過明確的指令和規則來存取必要的數據,保障關鍵取證資料來源的安全可用。
最後,如果企業內部團隊缺乏完整的DFIR調查專業技能,可以選擇外包部分DFIR調查業務。這也是DFIR應用發展的主流趨勢。近一半的受訪者(47%)表示,使用外包DFIR服務的主要原因是缺乏專業知識;而另一個原因(38%)是沒有所需的專業化工具,這些工具在某些情況下可能非常昂貴。
參考連結:https://www.techrepublic.com/article/digital-forensics-incident-response-most-common-dfir-incidents/
以上是人工取證不堪負荷!自動化DFIR(數位取證和事件回應)才是未來的詳細內容。更多資訊請關注PHP中文網其他相關文章!