详细的侵权调查过程。。
dfir(数字取证事件响应)是指用数字取证收集证据,调查可疑的活动,并持续监控端点事件的过程。。安全专家Scott J. Roberts表示:dfir它被定义为“一项需要跨学科专业知识的工作,重点是识别、调查和纠正滥用计算机网络的行为。”。
从流程的观点来看,活用综合取证(forensik)的事件应对·调查计划,有调查、分析管理、威胁检测、沟通、调查结果的书面化等责任。。
然后修改和清理被攻击的地方,通常是删除攻击者的远程访问功能,恢复优先级的业务流程和系统,保护被侵犯的用户账户。。
这些过程的细节包括了dfir框架的以下核心要素。。
在更大的网络安全惯例的框架下,dfir可以帮助我们了解侵犯是如何发生的,并帮助我们了解修复该特定事件所需的具体步骤。。让我们来详细分析一下在综合性dfir中所做的工作。。
对受到侵害影响的用户的检测可以可视化发生了什么,将攻击者从网络中清除,封锁侵害,修复,剩下的可滥用的脆弱这是快速修复的第一步。。接下来,我们就可以通过深入的调查来识别不断进化的攻击者行为,并在将来更准确地识别这些行为。。
因为侵害是不同的,所以对某个侵害的调查绝不可能和对以前侵害的调查一样。。无论威胁是迫在眉睫的,还是已经发生的,我们都必须根据情况采取应对措施。。当开始调查时,安全团队会对受影响的资产进行数据分析,并获取浏览器历史中留下的伪影、事件记录、来自目录的文件和注册表配置的信息。。
威胁情报收集最重要的步骤是确保这些数据符合安全组织的所有功能。。智能循环一旦付诸实践,收集信息,分析,分发给组织内的相关利益相关者,就会产生成果。。这个过程的前提是主要使用自动分析,可以迅速搜索数据,明确相关信息。。
在网络上恶意软件当你要分析可疑的东西时,安全团队会提交样本并执行一系列分析器,然后根据风险评分对威胁进行分类。。这个工作有助于给状况安排优先顺序,是判断是否有必要立即应对的判断材料。。在这个分析周期里,恶意软件的逆向工程可以帮助我们找到最好的方法来找出罪魁祸首——威胁,并迅速消灭它们。。
一旦侵犯范围被完全确定,受影响的资产、应用程序和用户被封锁,安全操作中心(SOC)启动预定计划,恢复正常的业务运营流程。。文档是灾难计划的关键,这样团队就能了解备份系统的各个组件。。保持自动化离线备份可以帮助你从恶意软件攻击中恢复。。
数字逻辑被嵌入到过程中事故应对中使用。。我想负责安全的人都知道,仅仅应对突发事件解决问题是不够的,还要正确把握发生了什么,如何发生的,根据攻击路径调整系统,然后再采取这样的行动。当动态被发现时,我们必须能够发出个性化的警报。。
“数字逻辑是什么??以多系统的逻辑为中心来说明会比较合适。。它可以监控整个网络的关键系统和资产类型,并查询是否有可疑行为的迹象。。这个过程可以分解为:。
通过数字取证,威胁应对人员和检测人员可以收集、查询和监控所有数量的端点以及几乎涉及整个网络的所有信息。。这个方法也可以用于创建在端点上的持续监控规则和自动化服务器任务。。以下是具体的使用例子。。
dfir是网络安全程序不可或缺的工具,它可以帮助攻击者更准确、更详细地了解他们试图或已经使用过的方法和路径来侵犯网络。。
调整预防措施,以便识别相同或类似的行为,而不仅仅是应对攻击,这对企业和他们的安全程序来说是最大的好处。。
如果考虑到侵权调查的目标是可视化,以帮助安全团队了解所发生的事情并编写更强大的程序,那么dfir的好处是巨大的。。