數(shù)十年來，數(shù)字取證工作在司法偵查的不同分支中不斷發(fā)展，已成為全球執(zhí)法活動(dòng)中非常重要的組成部分。與此同時(shí)，由于互聯(lián)網(wǎng)和全球化的發(fā)展，犯罪形式多樣化，執(zhí)法人員也需要通過自動(dòng)化的數(shù)字取證工具，才能獲取關(guān)鍵的數(shù)字證據(jù)，將不法分子送入監(jiān)獄。

日前，Magnet forensics研究團(tuán)隊(duì)最新發(fā)布了《企業(yè)數(shù)字取證和事件調(diào)查（DFIR）應(yīng)用現(xiàn)狀》研究報(bào)告。報(bào)告研究認(rèn)為，數(shù)字取證市場目前發(fā)生了很大變化，可以用兩個(gè)詞來概括：速度和準(zhǔn)確率。如何盡快將違法證據(jù)提交給調(diào)查人員是將網(wǎng)絡(luò)犯罪分子繩之以法的關(guān)鍵。然而，這并不容易實(shí)現(xiàn)，一些數(shù)字取證領(lǐng)域的從業(yè)者已經(jīng)不堪重負(fù)。因此，需要將更多的自動(dòng)化技術(shù)納入數(shù)字取證工作流程來實(shí)現(xiàn)更快的取證速度，同時(shí)更完整的保留證據(jù)鏈。

常見的DFIR事件與挑戰(zhàn)

據(jù)報(bào)告研究數(shù)據(jù)顯示，2022年數(shù)據(jù)泄露與賬號(hào)竊取占整體取證活動(dòng)的35%，是最常見的DFIR事件，緊隨其后的是商業(yè)電子郵件泄露（34%）。有14%的受訪者表示，他們的組織會(huì)經(jīng)常遭遇BEC騙局。其他常見DFIR事件包括員工不當(dāng)行為（33%）、濫用資產(chǎn)或違反政策（30%）、內(nèi)部欺詐（29%）和感染勒索軟件的端點(diǎn)（28%）。

DFIR事件占比情況

數(shù)據(jù)泄露、賬號(hào)竊取和勒索軟件都會(huì)對(duì)組織業(yè)務(wù)發(fā)展產(chǎn)生巨大影響。DFIR調(diào)查人員在這方面開展工作非常困難，因?yàn)榭焖僬{(diào)查勒索軟件和數(shù)據(jù)泄露事件需要充分的經(jīng)驗(yàn)和工具支撐，而網(wǎng)絡(luò)犯罪分子也在試圖讓這些調(diào)查變得更加困難。

45%的受訪者認(rèn)為：“不斷增長的數(shù)字取證需求和數(shù)據(jù)量”是影響DFIR調(diào)查的最大挑戰(zhàn)，其中13%認(rèn)為這是一個(gè)非常嚴(yán)重的問題，32%認(rèn)為這是一個(gè)較嚴(yán)重的問題。

另一方面，隨著攻擊的規(guī)模和復(fù)雜性都在不斷發(fā)展，威脅行為者使用了更多的技術(shù)來加大檢測難度，有42%的受訪DFIR人員表示，不斷發(fā)展的網(wǎng)絡(luò)攻擊技術(shù)在他們的組織中是一個(gè)難以應(yīng)對(duì)的嚴(yán)重問題。要跟上新型網(wǎng)絡(luò)攻擊的演進(jìn)步伐無疑是一項(xiàng)艱巨的挑戰(zhàn)，公司需要更多地依賴于研發(fā)專家，專注于為組織配備新的、不斷發(fā)展的戰(zhàn)術(shù)、技術(shù)和程序。

其他關(guān)鍵挑戰(zhàn)還包括無法彼此集成的工具（37%）、耗時(shí)重復(fù)的任務(wù)（37%）、獲取數(shù)據(jù)時(shí)缺乏合規(guī)的許可機(jī)制（34%）、遠(yuǎn)程/混合辦公模式激增（31%）、難以從遠(yuǎn)程網(wǎng)絡(luò)中獲取數(shù)據(jù)（31%）以及缺乏專家（30%））。

影響DFIR調(diào)查的挑戰(zhàn)因素占比

DFIR面臨的困難和挑戰(zhàn)

在DFIR工作中存在大量的重復(fù)性任務(wù)，急需通過自動(dòng)化工具來完成這些調(diào)查任務(wù)。很多企業(yè)的安全運(yùn)營中心已經(jīng)在大量利用自動(dòng)化技術(shù)，因?yàn)樗鼈冃枰幚砗Ａ康陌踩O(jiān)測數(shù)據(jù)。但DFIR所需要的自動(dòng)化能力和安全運(yùn)營有明顯差別，因?yàn)樗饕枰ㄟ^編排、執(zhí)行和監(jiān)控取證工作流程來進(jìn)行數(shù)據(jù)獲取和處理。

超過50%的受訪DFIR人員表示，目前的數(shù)字取證工作流中仍然存在大量重復(fù)性的人工操作任務(wù)，企業(yè)在自動(dòng)化方面的投資對(duì)于DFIR工作優(yōu)化會(huì)非常有幫助；超過20%的受訪者表示，自動(dòng)化在遠(yuǎn)程獲取目標(biāo)端點(diǎn)、對(duì)目標(biāo)端點(diǎn)進(jìn)行分類、處理數(shù)字證據(jù)以及記錄、總結(jié)和報(bào)告事件方面的價(jià)值非常顯著。

64%的企業(yè)DFIR從業(yè)者認(rèn)為“調(diào)查疲勞”是一個(gè)真實(shí)存在的客觀問題（29%對(duì)此強(qiáng)烈認(rèn)同，35%比較認(rèn)同），而21%的受訪者強(qiáng)烈表示他們在日常工作中已感到精疲力盡。大量的調(diào)查和數(shù)據(jù)，以及快速運(yùn)行事件響應(yīng)的必要性所造成的壓力，使這些專業(yè)人員很難放松。此外，64%的受訪者表示，招聘合適的數(shù)字取證人才也是一個(gè)主要挑戰(zhàn)（30%強(qiáng)烈認(rèn)同，30%有些認(rèn)同），因?yàn)閿?shù)字取證工作有一定的行業(yè)屬性，要求也會(huì)因公司的業(yè)務(wù)特點(diǎn)不同而有差異。

DFIR工作倦怠和招聘問題

報(bào)告研究還顯示，在快速發(fā)展的DFIR領(lǐng)域，需要經(jīng)驗(yàn)豐富和決策果斷的領(lǐng)導(dǎo)者，才能有效制定取證戰(zhàn)略和合理分配資源。超過33%的受訪者表示，強(qiáng)力的領(lǐng)導(dǎo)者有助于DFIR人員獲取所需的完整數(shù)據(jù)源，而這通常很難實(shí)現(xiàn)。

報(bào)告數(shù)據(jù)顯示，造成DFIR資源浪費(fèi)的最大原因是缺乏連貫的事件取證計(jì)劃和工作策略（37%），以及缺乏標(biāo)準(zhǔn)化流程（36%）。其他因素還包括無法訪問數(shù)據(jù)來源（35%）、重復(fù)手動(dòng)的任務(wù)（34%）、技術(shù)工具冗余及復(fù)雜化（28%）。

造成資源浪費(fèi)的因素

需要特別指出的是，法規(guī)遵從也是DFIR工作面臨的一個(gè)重大挑戰(zhàn)。67%的受訪DFIR人員表示，他們的工作角色會(huì)受到各種新法規(guī)的影響，46%的受訪者表示沒有足夠的時(shí)間來充分理解不斷變化的法規(guī)要求。DFIR團(tuán)隊(duì)需要準(zhǔn)確了解法規(guī)要求，必要時(shí)應(yīng)該與公司的法務(wù)部門溝通咨詢。

優(yōu)化DFIR工作的建議

企業(yè)應(yīng)該投資于優(yōu)先考慮速度、準(zhǔn)確性和完整性的DFIR解決方案。在分析安全事件時(shí)，更多的延遲意味著更大的風(fēng)險(xiǎn)。因此，企業(yè)應(yīng)該大力實(shí)施自動(dòng)化，以幫助DFIR專業(yè)人員減少倦怠并降低調(diào)查延誤。

每個(gè)企業(yè)都應(yīng)該提前儲(chǔ)備一款好用的自動(dòng)化數(shù)字取證工具，借助可靠的數(shù)字取證分析工具，可以幫助取證人員獲取關(guān)鍵性的數(shù)字證據(jù)，從而對(duì)不法分子進(jìn)行處罰。

此外，提前制定DFIR計(jì)劃也是必不可少的。該計(jì)劃將明確角色和責(zé)任，并詳細(xì)說明取證和事件響應(yīng)需要如何完成。它還應(yīng)該通過明確的指令和規(guī)則來訪問必要的數(shù)據(jù)，保障關(guān)鍵取證數(shù)據(jù)源的安全可用。

最后，如果企業(yè)內(nèi)部團(tuán)隊(duì)缺乏完整的DFIR調(diào)查專業(yè)技能，可以選擇外包部分DFIR調(diào)查業(yè)務(wù)。這也是DFIR應(yīng)用發(fā)展的主流趨勢。近一半的受訪者（47%）表示，使用外包DFIR服務(wù)的主要原因是缺乏專業(yè)知識(shí)；而另一個(gè)原因（38%）是沒有所需的專業(yè)化工具，這些工具在某些情況下可能非常昂貴。

參考鏈接：https://www.techrepublic.com/article/digital-forensics-incident-response-most-common-dfir-incidents/