標誌 - Pure Storage
部落格首頁

資料鑑識在網路攻擊後復原中扮演的關鍵角色

當您在網路攻擊發生後備份並運行後,下一步將嘗試找出發生了什麼事。了解什麼是資料鑑識,以及為何它如此重要。

分享:

概要

After a cyberattack, data forensics plays an important part in not only enabling you to dig deeper into what happened but also helping prevent being attacked again.  

image_pdfimage_print

想像一下,回家時發現有人破解了您的房子。您的第一個反應是確保進入室內是安全的。然後,您迅速檢查所有門窗是否皆上鎖,以確保住家安全。這樣的即時回應就像您的復原時間目標 (RTO) 一樣,能快速讓系統安全恢復運作。

一旦警方抵達,立即的威脅就消失了。但現在是下一步:找出發生的事情。

警方想知道:誰來了? 他們是如何進來的? 他們拿了什麼? 每一個細節,像是門把上的指紋或泥濘的足跡,都成為重要的線索。

在網路安全方面,資料取證的運作方式與犯罪現場的調查人員相同。 

什麼是資料鑑識?

資料鑑識是收集、分析和保存數位資訊的過程,以調查和識別網路犯罪和資料外洩的證據。

資料鑑識的重要性

雖然鑑識分析可能不像恢復作業那麼急迫,但建立更強大、更安全的防禦策略也同樣重要。資料鑑識有助於揭露攻擊如何發生、背後的對象、受影響的資料和系統、被利用的弱點,以及如何避免再次遭到攻擊。  

資料鑑識也很重要,因為這些原因:

  • 政府需要資訊:如果您被勒索軟體幫派或 OFAC 名單上的實體所襲擊,政府就會涉入其中,並可能危害您的系統。他們需要詳細的調查證據記錄。
  • 知識就是保護:了解對象、內容、方法和原因,可加快分析速度,並找出必須採取哪些措施來防範未來的攻擊。
  • 處理保險索賠:如果您有網路保險,保險公司可能會想調查攻擊事件。如果您沒有保險,因為網路攻擊持續增加,所以會變得更加困難和昂貴。但是,如果您採取主動措施抵禦網路攻擊,包括強大的資料取證計劃,您有較高的機會獲得保險(並更新您的保單)。

即使政府或保險公司並未涉入您的網路攻擊,您仍必須進行一定程度的鑑識,以保護業務。這需要時間,而且程序會中斷。

最順暢的處理方式是善於保存資料。但這通常比聽起來更容易。

取得並保存證據的常見挑戰

資料鑑識管理相當複雜。以下是公司面臨的幾項最大挑戰,以及導覽這些挑戰的秘訣。

  • 時間限制: 您需要迅速採取行動,以遏制攻擊,並讓業務發揮完整功能。但保存和分析證據是一個緩慢而謹慎的過程。自動化工具,如不可變的備份解決方案,可協助您快速收集徹底調查所需的證據。
  • 資料存取: 您正在從無數來源獲取資料。如何找出關鍵線索,而不會不知所措? 使用 SIEM(安全資訊和事件管理)和 SOAR(安全調度、自動化和回應)平台等工具。這些工具可有效篩選和關聯資料,以識別攻擊點和弱點。
  • 缺乏專業知識: 資料取證是一種專業技能,並非每個團隊都具備專業技能。為您的 IT 團隊投資定期訓練,或在需要時考慮與事件回應專家簽約。
  • 證據污染的風險: 調查即時系統可能會意外更改或破壞關鍵證據。堅持嚴格的證據處理程序,以確保一切都能在法庭上獲得許可。使用寫入封鎖程式,隔離受影響的系統,並建立位元對位元的資料複本進行分析,讓原始證據保持不受影響。
  • 備份完整性和再次感染風險: 攻擊後還原系統很棘手,63% 的組織會因為備份中包含惡意程式碼而面臨再次感染的風險。使用 Pure Storage® SafeMode 快照等解決方案,讓您能夠安全快速地將備份還原至乾淨的位置。
  • 法律與法規合規性: 不同地區對於證據處理與通報違規情形,訂有不同的法律(有時也會互相牴觸)。與法律顧問合作,制定符合適用法律的事件回應計劃。隨時掌握法規變更,確保持續遵循法規。
  • 事後分析: 在遏制攻擊之後,恢復正常的壓力可能會將事後分析推向後爐頭。讓事後分析成為您回應計畫中的必要步驟。運用它來找出經驗教訓、證明全面分析所需的資源,並強化您對未來的防禦。

Pure Storage 如何簡化鑑識流程

平均而言,企業只有在遭受勒索軟體攻擊後才能復原約 59% 的資料,但如果您使用 Pure Storage 則無法復原。Pure Storage 為您提供快速、有效的資料復原和資料取證所需的工具。方法如下:

  • 防竄改快照:Pure Storage SafeMode 技術可為您的資料建立不可變更(不可變更)的快照。這些備份是完全安全的,即使是具有管理存取權的攻擊者也無法更改或刪除。這意味著您的資料可以完全還原,完全恢復到攻擊發生前的確切狀態。這不僅能加快恢復正常營運的速度,還能簡化數位取證流程,協助您調查問題。
  • 增強的 SIEM 和 SOAR 功能:Pure Storage 與頂尖的 SIEM 和 SOAR 供應商合作,提供更佳的網路彈性。兩者結合後,您就能更快速地發現潛在的攻擊並自動回應,例如觸發 SafeMode 快照,在關鍵資料遭入侵前將其鎖定。

觀看: 正確的儲存裝置如何協助改善企業級 SIEM 作業

  • 保證乾淨的儲存裝置:當您的系統遭到攻擊時,Pure Storage 可快速提供並設定新的儲存設備。擁有一個乾淨的環境,可確保鑑識調查能在背景順利進行,同時專注於讓業務營運恢復正軌。
  • 網路復原 SLA: Pure Storage 除了隨時可用的簡易復原與取證儲存系統外,還為 SLA 提供 48 小時的復原計畫與配套服務,包括現場專業服務工程師,協助您復原。

發生資料外洩、中斷或資料竊取事件後,第一優先要務是讓系統盡快恢復上線。一旦一切再次運行,就該進行更深入的調查了,這需要花很多時間。因此Pure Storage 設計了其技術與支援,以協助簡化流程,並協助您獲得真正的深度資訊,以強化網路韌性

深入了解在 Evergreen//One 的 Pure Storage 網路復原與彈性 SLA

We’ve Got Your Back

Learn more about the Cyber Recovery and Resilience SLA in Evergreen//One.

Read the Article

Top Stories