美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)最近發(fā)布了一份報(bào)告，引起了很少的關(guān)注，但它是商業(yè)和執(zhí)法人員的必讀文件。

隨著數(shù)字領(lǐng)域的發(fā)展，保護(hù)它的難度也在增加。在云計(jì)算領(lǐng)域尤其如此，它現(xiàn)在是所有IT復(fù)雜性之母，其安全挑戰(zhàn)令法醫(yī)調(diào)查人員感到困惑。最近，我注意到越來(lái)越多的執(zhí)法人員參加了我的云課程。他們不是為企業(yè)開(kāi)發(fā)云解決方案，而是學(xué)習(xí)如何打擊網(wǎng)絡(luò)犯罪。需要更多的工具來(lái)幫助每個(gè)人對(duì)抗這些新出現(xiàn)的安全威脅。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了87頁(yè)的NISTR8006出版物，這是一份基石文件，不僅預(yù)測(cè)了云計(jì)算法醫(yī)科學(xué)挑戰(zhàn)，還提供了主動(dòng)的安全解決方案。這種戰(zhàn)略方法對(duì)于為云環(huán)境的安全、可靠和彈性的未來(lái)做好準(zhǔn)備至關(guān)重要，讓您有信心為即將到來(lái)的一切做好準(zhǔn)備。

NISTIR8006文件對(duì)云計(jì)算環(huán)境下的數(shù)字取證科學(xué)挑戰(zhàn)進(jìn)行了分類，并提供了可行的解決方案。本文檔確定了技術(shù)、法律和組織方面的障礙，并倡導(dǎo)建立標(biāo)準(zhǔn)和技術(shù)來(lái)解決這些障礙。NIST的協(xié)作方法，包括行業(yè)、治理和IT領(lǐng)導(dǎo)者(包括我自己)，確保了多種聲音正在開(kāi)發(fā)這些解決方案。

NIST的指導(dǎo)

我不想聽(tīng)起來(lái)像NIST的粉絲，但這是必不可少的東西。NISTIR8006剖析了技術(shù)、法律和組織障礙，提供了一個(gè)路線圖，為克服這些障礙奠定了基礎(chǔ)。長(zhǎng)期以來(lái)，我和其他許多人一直強(qiáng)調(diào)擁有一個(gè)清晰、可操作的框架的價(jià)值，NIST剛剛向數(shù)字取證專業(yè)人員和云架構(gòu)師交付了這個(gè)框架。

這個(gè)文檔在我的實(shí)踐中很有用，因?yàn)樗峁┝艘粋€(gè)由一個(gè)聯(lián)盟而不是一個(gè)有偏見(jiàn)的技術(shù)提供商或思想領(lǐng)袖創(chuàng)建的標(biāo)準(zhǔn)。它鼓勵(lì)行業(yè)內(nèi)的對(duì)話，促進(jìn)針對(duì)云生態(tài)系統(tǒng)復(fù)雜性量身定制的安全框架的開(kāi)發(fā)和采用。這為更有凝聚力的標(biāo)準(zhǔn)奠定了基礎(chǔ)。

在NIST的文件中，我發(fā)現(xiàn)最有趣的是它強(qiáng)調(diào)培訓(xùn)人們解決涉及云計(jì)算平臺(tái)的犯罪。警方和檢察官經(jīng)常忽視網(wǎng)絡(luò)犯罪發(fā)生的平臺(tái)，因?yàn)樾枰獜?fù)雜的調(diào)查知識(shí)，而且這些系統(tǒng)往往缺乏法醫(yī)文件。隨著涉及云平臺(tái)的犯罪越來(lái)越頻繁，迫切需要進(jìn)行法醫(yī)調(diào)查的技能。遷移到云基礎(chǔ)設(shè)施的企業(yè)還面臨著IT必須在傳統(tǒng)環(huán)境中解決的取證問(wèn)題。

NIST還營(yíng)造了法醫(yī)科學(xué)蓬勃發(fā)展的環(huán)境。例如，該文檔探討了虛擬機(jī)管理，并強(qiáng)調(diào)了在虛擬環(huán)境中采取特定安全措施的必要性，例如隔離受損的機(jī)器并無(wú)縫地實(shí)現(xiàn)連接、控制和遏制。這可以防止惡意軟件破壞虛擬生態(tài)系統(tǒng)的完整性，這在過(guò)去10年中一直是攻擊的常見(jiàn)來(lái)源。

云取證的固有困難

由于數(shù)據(jù)復(fù)制、多租戶和缺乏位置透明度，云環(huán)境為取證調(diào)查帶來(lái)了獨(dú)特的技術(shù)挑戰(zhàn)。

跨多個(gè)位置的數(shù)據(jù)復(fù)制使取證過(guò)程復(fù)雜化，這需要能夠精確定位來(lái)源進(jìn)行分析。考慮一下從云系統(tǒng)中檢索已刪除的數(shù)據(jù)的挑戰(zhàn)——這不僅是一個(gè)技術(shù)障礙，而且是一個(gè)責(zé)任問(wèn)題，IT部門往往無(wú)法解決這個(gè)問(wèn)題，直到為時(shí)已晚。

多租戶涉及在多個(gè)用戶之間共享資源，因此難以區(qū)分和隔離數(shù)據(jù)。這是云安全的一個(gè)系統(tǒng)性問(wèn)題，對(duì)于云平臺(tái)取證來(lái)說(shuō)尤其成問(wèn)題。NIST文檔承認(rèn)了這一挑戰(zhàn)，并建議實(shí)施訪問(wèn)機(jī)制和框架，以便公司能夠維護(hù)數(shù)據(jù)完整性并管理事件響應(yīng)。因此，一旦問(wèn)題發(fā)生，處理機(jī)制就到位了，因?yàn)闀?huì)計(jì)是在持續(xù)的基礎(chǔ)上進(jìn)行的。

缺乏位置透明度是一場(chǎng)噩夢(mèng)。數(shù)據(jù)駐留在不同的實(shí)際管轄范圍內(nèi)，都有不同的法律和文化考慮。犯罪可能發(fā)生在不允許搜查物理系統(tǒng)的國(guó)家的公共云存在點(diǎn)上，而其他國(guó)家在執(zhí)法方面有更多選擇。

有效的利益相關(guān)者協(xié)調(diào)和明確的協(xié)議對(duì)于指導(dǎo)云環(huán)境中的取證調(diào)查是必要的。這意味著定義角色和職責(zé)，以確保流程與法規(guī)要求保持一致。

此外，在云取證中優(yōu)先考慮數(shù)據(jù)完整性和保存非常重要。實(shí)施加密措施和經(jīng)過(guò)驗(yàn)證的取證工具對(duì)于數(shù)據(jù)的可信度至關(guān)重要，可以確保數(shù)據(jù)在整個(gè)調(diào)查過(guò)程中不被篡改。

了解這些問(wèn)題可以幫助商業(yè)企業(yè)更好地準(zhǔn)備和管理其云運(yùn)營(yíng)中潛在的取證挑戰(zhàn)。我強(qiáng)調(diào)了預(yù)見(jiàn)性和適應(yīng)性作為技術(shù)成功的基本要素的重要性，特別是在通用云架構(gòu)和解決方案的背景下。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)呼吁行業(yè)利益相關(guān)者重新思考并加強(qiáng)其數(shù)字取證方法。通過(guò)遵循這一指導(dǎo)，組織可以更接近云計(jì)算系統(tǒng)，這些系統(tǒng)提供了改進(jìn)的安全性，并且與數(shù)據(jù)中心中的系統(tǒng)一樣安全，甚至更安全。這只是使安全系統(tǒng)成為現(xiàn)實(shí)的一小步，相信這是朝著正確方向邁出的一步。