什么是数字取证和事件响应 (DFIR)？| IBM

什么是 DFIR？

数字取证和事件响应 (DFIR) 可将两个网络安全领域相结合，从而简化威胁响应，同时保留针对网络罪犯的证据。

DFIR 将两个独立网络安全学科进行了整合：其一为数字取证，即网络威胁调查，它主要用于收集数字证据以起诉网络罪犯；另一个则是事件响应，即检测并缓解正在进行的网络攻击。将这两个学科相结合有助于安全团队更快地阻止威胁，同时保留在缓解威胁的紧急情况下可能丢失的证据。

您的团队能否及时捕获下一个零日？

加入安全领导者的行列，订阅 Think 时事通讯，获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器，我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。

什么是数字取证？

数字取证专家可通过收集、分析和保留数字证据（即，威胁参与者留下的痕迹，如恶意软件文件和恶意脚本）来调查和重建网络安全事件。借助这些重建，专家便可查明袭击的根本原因并找出罪魁祸首。

数字取证调查遵循严格的监管链或正式程序，以便跟踪证据的收集与处理方式。而借助监管链，调查人员可证明相关证据未经篡改。如此一来，来自数字取证调查的证据便可用于法庭案件、保险索赔和监管审计等官方用途。

美国国家标准与技术研究院 (NIST) 概述了数字取证调查的四个步骤：

1. 数据收集

发生泄露后，取证调查人员会从操作系统、用户帐户、移动设备以及威胁参与者可能已访问的所有其他硬件与软件资产中收集数据。常见的取证数据来源包括：

文件系统取证：在存储于端点中的文件和文件夹内发现的数据。
内存取证：在设备的随机存取存储器 (RAM) 中发现的数据。
网络取证：通过检查网络活动（例如，网络浏览和设备之间的通信）所发现的数据。
应用程序取证：在应用程序与其他软件的日志中发现的数据。

为保持证据的完整性，调查人员会在处理数据之前进行复制。他们会保护原件以免其被更改，而调查的后续工作则会在副本上进行。

2. 检查

调查人员会仔细检查这些数据，以从中寻找网络罪犯活动的迹象，如网络钓鱼电子邮件、更改的文件和可疑连接。

3. 分析

调查人员会使用取证技术来处理、关联和提取源于数字证据中的洞察信息。此外，调查人员还可能会引用专有与开源威胁情报源，以将其发现与特定威胁参与者联系起来。

4. 报告

调查人员会编写一份报告，用以解释安全事件期间发生的情况；而在可能的情况下，此报告还可用以识别嫌疑人或罪魁祸首。该报告可能包含阻止未来攻击的相关建议。该报告可与执法部门、保险公司、监管机构和其他部门进行共享。

什么是事件响应？

事件响应侧重于检测和应对安全漏洞。事件响应的目标是在攻击发生之前加以阻止，并最大程度地降低已发生攻击的成本和业务中断时间。

事件响应的具体工作由事件响应计划 (IRP) 提供指导，而该计划概述了事件响应团队应如何应对网络威胁。事件响应流程有六个标准步骤：

准备工作：准备工作是评估风险、识别并修复漏洞（漏洞管理）以及针对不同网络威胁起草 IRP 的一个持续流程。
检测和分析：事件响应人员会监控网络中是否存在可疑活动。他们会分析数据、筛除误报并对警报进行分类。
遏制：检测到泄露时，事件响应团队会采取措施以阻止该威胁在网络中蔓延。
清除：此威胁一旦得到遏制，事件响应人员便会将其从网络中移除；例如，通过销毁勒索软件文件，或从设备中剔除威胁参与者。
恢复：一旦事件响应人员清除此威胁的所有痕迹后，他们便会将受损系统恢复到正常运行。
事件后审查：事件响应人员会回顾泄露事件，以了解其发生原因，并为应对未来的威胁做好准备。

DFIR 的优点

当数字取证和事件响应分开进行时，它们可能会相互干扰。事件响应人员可在从网络中移除威胁的同时更改或销毁证据，而取证调查人员在搜索证据时则可能会推迟威胁处理。此外，这些团队之间可能无法进行信息流通，从而导致每个人的工作效率都低于其应有的水平。

DFIR 可将这两个学科融合为由一个团队执行的单个流程。此举可提供两个重要的优点：

取证数据收集与威胁缓解同时进行。在 DFIR 过程中，事件响应人员会在遏制和消除威胁的同时使用取证技术来收集和保留数字证据。此举可确保监管链得到切实遵循，而有价值的证据也不会因事件响应工作而遭到改变或破坏。

事后审查包括检查数字证据。DFIR 使用数字证据以深入了解安全事件。DFIR 团队会检查并分析所收集的证据，以便完整地重建该事件。DFIR 流程结束时会生成一份报告，其中详细说明了发生的事件、发生的过程、完整的损害程度以及未来如何避免类似的攻击。

由此带来的好处包括：

更有效地预防威胁。较之传统事件响应团队，DFIR 团队会更为彻底地调查事件。DFIR 调查可帮助安全团队更好地了解网络威胁、创建更有效的事件响应运行手册，并在发生更多攻击之前加以阻止。此外，DFIR 调查还可通过揭示处于活动状态的未知威胁的证据来帮助简化威胁搜寻。
在威胁解决过程中，几乎不会丢失任何证据。在标准事件响应流程中，事件响应人员可能会因急于遏制威胁而犯错。例如，如果响应人员关闭受感染的设备以遏制威胁的传播，留在此设备 RAM 中的所有证据便会丢失。由于接受过数字取证与事件响应方面的培训，DFIR 团队擅长在解决事件的同时保存相关证据。
提升诉讼支持力度。DFIR 团队遵循监管链，因此 DFIR 调查的结果可与执法部门共享并用于起诉网络罪犯。此外，DFIR 调查还可为保险索赔和泄露后的监管审计提供支持。
更快、更可靠的威胁恢复。由于取证调查比标准事件响应调查更为可靠，因此 DFIR 团队可能会发现原本会忽视的隐藏恶意软件或系统损坏问题。如此便有助于安全团队清除威胁，并更为彻底地从攻击中恢复。

DFIR 工具和技术

在某些公司中，内部计算机安全事件响应团队 (CSIRT)（有时也称为“计算机紧急响应团队 (CERT)”）会负责处理 DFIR。CSIRT 成员可能包括首席信息安全官 (CISO)、安全运营中心 (SOC) 与 IT 人员、执行领导以及来自整个公司的其他利益相关者。

很多公司缺乏自行开展 DFIR 所需的资源。在此情况下，它们可能会聘请第三方 DFIR 服务公司来提供相关服务。

内部与第三方 DFIR 专家均使用相同的 DFIR 工具来检测、调查和解决威胁。其中包括：

安全信息和事件管理 (SIEM)：SIEM 可从安全工具和网络上的其他设备收集安全事件数据，并对这些数据进行关联。

安全编排、自动化和响应 (SOAR)：SOAR 有助于 DFIR 团队收集并分析安全数据、定义事件响应工作流程，以及自动执行重复或低级别的安全任务。

端点检测和响应 (EDR)：EDR 集成了端点安全工具，并使用实时分析和 AI 驱动式自动化来保护组织免受能突破防病毒软件和其他传统端点安全技术的网络威胁。

扩展检测和响应 (XDR)：XDR 是一种开放式网络安全架构，它集成了安全工具并统一了所有安全层（用户、端点、电子邮件、应用程序、网络、云工作负载和数据）的安全操作。通过消除各工具之间的可见性差距，XDR 可帮助安全团队更快、更高效地检测并解决威胁，从而限制这些威胁所造成的损害。

《2025 年数据泄露成本报告》

数据泄露成本再创新高。获取关于网络安全威胁及其对企业造成的经济损失的最新洞察。