詳細な侵害調査プロセスの詳細について学びましょう。
dfir(デジタル・フォレンジック・事故应对)とは、デジタルフォレンジックを用いて証拠を収集し、疑わしいアクティビティを調査して端点の活动を継続的に監視するプロセスを指します。安全专家Scott J. Roberts表示:dfirを「コンピューターネットワーク悪用の特定、調査、是正に重点を置く学際的な専門知識を必要とする仕事」と定義しています。
プロセスの観点から見ると、総合的なフォレンジック(鑑識)を活かした事故应对・調査計画では、調査、分析管理、脅威検知、コミュニケーション、調査結果の文書化などの責務があります。
その後、被害にあった箇所の修正とクリーンアップで、通常は攻撃者のリモートアクセス機能の削除、優先順位の高いビジネスプロセスとシステムの復旧、侵害されたユーザーアカウントの保護などを行います。
これらのプロセスの詳細に、dfirフレームワークの次の主要要素が含まれています。
より大きなサイバーセキュリティ慣行の枠組みの中で、dfirは、侵害がどう発生したか、さらにその特定のインシデントの修復に必要な具体的手順を詳細に把握する上で役立ちます。総合的なdfirで行われる作業をそれぞれ詳しく見ていきましょう。
侵害の影響を受けたユーザーの検出は、何が発生したかを可視化し、攻撃者をネットワークから排除して侵害を封じ込め、修正し、残りの可滥用的脆弱を修復するために迅速な対応を行うための第一歩です。ここから、念入りな調査を行うことで、進化する攻撃者行動を特定し、将来的にこうした行動をより正確に特定できるようになります。
侵害はそれぞれに異なるため、ある侵害に対する調査が以前の侵害の調査と同じとなることは決してありません。脅威が差し迫っている場合でも、すでに発生している場合でも、脅威に対して状況に応じたアプローチを取り入れることが不可欠です。調査を開始する際、セキュリティチームは影響を受けるアセットのデータ分析を実行し、ブラウザ履歴に残されたアーティファクト、活动ログ、ディレクトリからのファイル、レジストリハイブの情報を取得します。
威胁情报収集の上で最も重要なステップは、データがセキュリティ組織のあらゆる機能に合わせて調整されていることを確認することです。智能循环をひとたび実践に移すと、情報を収集、分析し、組織内の関連するステークホルダーに配布することで成果が生まれます。このプロセスでは、データを迅速に検索して関連する情報を明らかにできる自動分析を主に活用することが前提となります。
在网络上恶意软件の疑いがあるものを分析する場合、セキュリティチームはそのサンプルを提出して一連のアナライザーを実行し、リスクスコアに基づいて脅威を分類します。この作業は、状況に優先順位を付けるために役立ち、すぐに対応する必要がある状況か否かを決める判断材料となります。この分析期間で、恶意软件のリバースエンジニアリングを駆使し、元凶である脅威を把握して迅速に根絶するために一番良い方法を見つける上で役立ちます。
侵害の範囲が完全に特定され、影響を受けたアセット、アプリケーション、ユーザーが封じ込められると、セキュリティ オペレーション センター (SOC) が、通常の業務運営プロセスを復元するための所定の計画を開始します。チームがバックアップシステムのさまざまなコンポーネントを理解できるように、文書は災害計画の鍵となります。自動化されたオフラインバックアップを維持すると、恶意软件攻撃からの回復プロセスにさらに役立ちます。
デジタルフォレンジックは、プロセスに組み込まれて事故应对中使用。。セキュリティ担当者であればご存じかと思いますが、インシデントに対応して問題を解決するだけでは不十分で、何がどのように起こったのかを正確に把握し、その攻撃経路に合わせてシステムを調整し、次にそのような行動が発見されたときにカスタマイズされたアラートを発することができるようにしなければなりません。
“数字逻辑是什么??」と尋ねられたら、(先述の)マルチシステムのフォレンジック中心に説明するのが適切でしょう。つまり、ネットワーク全体で重要なシステムとアセットタイプを監視し、疑わしい行動の兆候がないかクエリを実行できる機能です。このプロセスは、分解すると以下のようになります。
デジタルフォレンジックを行うことにより、脅威対応担当者や検出担当者は、あらゆる数の端点とネットワーク全体のほぼすべてに関わる情報を収集、クエリ、監視できるようになります。この手法は、端点上での継続的な監視ルールの作成やサーバータスクの自動化などにも用いることができます。以下是具体的使用例子。。
攻撃者がネットワークの侵害に悪用しようとしたり、すでに使用した手法と経路をより正確かつ詳細に明らかにする上で役立つdfirは、サイバーセキュリティプログラムに欠かせないツールです。
攻撃の対応にとどまらず、今後、同一または類似の動作を認識するための予防措置を調整できることが、企業とそのセキュリティプログラムにとって最大の利益となります。
侵害調査の目標は、セキュリティチームが起こったことを理解し、より強力なプログラムを作成できるようにするための可視化であることを考えれば、dfirのメリットは多大です。