Learn more about the process of in-depth breach investigation.
探索水面命令DFIR is the process of collecting digital forensic evidence, hunting for suspicious activities, 和 continuously monitoring for endpoint events. Going a bit more in-depth, security expert Scott J. 罗伯茨 定义DFIR as "a multidisciplinary profession that focuses on identifying, 调查, 和 remediating computer-network exploitation."
从过程的角度来看, 利用综合取证的事件响应和调查计划将包括调查等职责, 分析管理, 威胁检测, 通信, 和 documentation of findings.
随后的补救和清理通常包括删除攻击者远程访问功能, restoring prioritized business processes 和 systems, 和 securing compromised user accounts.
这些过程的细节包含了DFIR框架的以下关键组成部分:
Within the larger framework of cybersecurity practices, DFIR的作用是详细了解违规行为是如何发生的,以及为纠正该特定事件将采取的具体步骤. 让我们更深入地了解构成整体DFIR实践的各个功能.
检测受攻击影响的受损用户是了解发生了什么并制定及时响应以确保攻击者从网络中清除的第一步, the breach contained 和 fixed, 剩下的 可利用的漏洞 矫正. 从那里, a thoughtful investigation can take place, 它可以识别不断进化的攻击者行为,并在未来更准确地发现它.
对具体漏洞的调查永远不会像之前的调查那样. It’s imperative to customize a situational approach to a threat, whether that threat is impending or has already taken place. When launching an investigation, a security team might perform data analysis on the affected asset(s), acquiring browser-history artifacts, 事件日志, 目录中的文件, 登记箱.
The most critical step in gathering 威胁情报 确保数据适合安全组织中的每个功能. 一旦付诸实践, 情报周期 will produce results by collecting, 分析, 和 disseminating to relevant stakeholders in the organization. 这个过程的先决条件是高度重视自动化分析,可以快速搜索数据并显示相关的见解.
在分析电位 恶意软件 在网络上, a security team would submit a suspicious sample, run it through a chain of analyzers, 和 then classify the threat based on risk score. This can help to prioritize the situation. Is it something that needs immediate attention or can it wait? 在这个分析阶段, 逆向工程恶意软件可以帮助团队找到了解其最终目标并快速根除它的最佳方法.
Once a breach has been fully scoped 和 the affected assets, 应用程序, 和 users have been contained, a security operations center (SOC) 是否会启动预定计划,恢复正常的业务运营流程. 文档是灾难规划的关键,因此团队可以了解备份系统的各种组件. 维护一个自动化的, 离线备份可以进一步帮助从恶意软件攻击中恢复的过程.
数字取证应用于 事件响应 by becoming embedded in the process. As every security professional knows, it’s not enough to respond to incidents 和 fix the issue, 您必须确切地知道发生了什么以及它是如何发生的,以便系统可以针对攻击路径进行校准,并在下次发现该行为时显示定制警报.
If someone were to ask, ”what are digital forensics?”, 我们更明确地希望讨论多系统取证(上面简要提到过)。. 这是, 监视和查询整个网络中的关键系统和资产类型以发现可疑行为的能力. Let’s take a more granular look into what that process entails:
Digital forensics should enable threat responders 和 hunters to collect, 查询, 和 monitor almost any aspect of an endpoint, 端点组, 或者整个网络. 该实践还可用于在端点上创建连续监视规则以及自动执行服务器任务. Specific use cases can include:
DFIR是网络安全计划中的一个关键工具,因为它有助于更准确、更细致地揭示攻击者正在寻求或已经采取的破坏网络的方法和路径.
企业及其安全计划的最佳利益是超越响应和校准预防措施,以识别未来相同或类似的行为.
The benefits of DFIR are impossible to overstate, 由于漏洞调查的目标是可见性,因此安全团队可以从发生的事情中获得洞察力,并创建更强大的程序.