小弟只是一个版主常常一起打嘴砲的肥宅工程师之一,上周答应了版主写一篇短文聊聊资讯安全在”防御”面上,实际的工作内容会要做什么。先说这一篇只会探讨标题上面的三个部分,并没有涵盖所有的防御方式,所以如果真的有兴趣的朋友欢迎自己找寻更多资讯,或可以询问版主(逃。
首先,关于事件调查&数位鉴识这两者其实严格上来说性质是不太相同的,我相信有在该领域工作的人都会理解,不过有时候企业在接案子或是跟客户沟通的时候,时常不会多去做说明…毕竟客户不是花钱请你来做名词解释,他们花钱是来买解决方案的。从nttsecurity[1]的网站也看得出来,他们也没有做过多的说明。下面我会根据我个人的见解分成三段来讲解事件调查&数位鉴识&恶意程式分析。
@事件调查
首先,关于事件调查,英文为Incident Response,主要的目的其实有三个,找出受骇/被入侵原因,确认受损/外泄程度及还原资料/服务的应变措施,因为当你找寻顾问或专家来做事件调查时,想必一定是有很明显的资安问题,例如:骇客攻击/档案加密/资料外泄…等,不然我相信一般人不会特别去请人来帮忙做事件调查。题外话,不过在台湾也是有听过资安健检这个词,所以可能也还是有突然健检就一个不小心被检查到有问题,然后变成要做事件调查的案例…XD。
@数位鉴识
第二个要提到的是数位鉴识,英文为Digital forensics,数位鉴识严格来说算是需具有法律效力的一种搜集证据方式[2],因为数位鉴识有一些会用到的工具也是有过法律认证的,这边我们就不细谈,因为那些机器/工具,我个人也只有看过没有用过,有兴趣的朋友可以看” 《一日系列第四十集》一日刑警”[3]
影片时间26:44以后会有讲解到数位鉴识在做什么(虽然都被马光了XD)。当然数位鉴识也不是只有上面所论述的需要透过特殊机器或装置才能做的一种手段,上述的数位鉴识比较像是今天要”抓贿选/贪污”等等一些被”删除的资料”时,会用到的工具,如果今天是为了抓”骇客”,单独调查一台主机上面的可疑行为或可疑讯息,透过windows内建的cmd,netstat tool,sysinternal tool,memory forensic
tools等,也算是鉴识的一种,换句话说,就是利用简便的工具在不破坏该主机的环境下,做到辨识可疑行为、找寻可疑档案及发现可疑连线等蛛丝马迹。不过,现实的环境往往不会这么美好,毕竟客户迫切的需要回复,所以有时候也会整个主机的硬盘DD,带回实验室后再做鉴识。
@恶意程式分析
再来是恶意程式分析,英文为Malware analysis,大家听到恶意程式分析往往会想到就是要一定要看组合语言,其实恶意程式分析也不是都一定是用C/C++去写的…程式语言越来越多,所以各种程式都可以写成恶意程式,但是如果对恶意程式分析有兴趣的朋友也千万不要逃避学习组合语言,因为这已经算是基本功。分析恶意程式的重点在于,如何判断他是恶意的?如果像是蠕虫,勒索软件,MBR
virus[4]这种破坏型恶意程式当然好判断,那如果这一支程式只是连上网络下载一个exe档案呢?这就会要根据他下载的档案内容或是去找寻这支程式起始点,看是骇客主动下指令去启动的?还是有其他档案丢下他并跑起来等。
@以故事来区别不同的行为
最后,我也用一个我个人遇到的案子来讲解上述三者的不同的内容,某天某日某客户遭遇了勒索软件入侵,客户通报厂商业务,请事件调查小组来进行调查与回报,但由于客户与调查小组分隔两国,调查小组只能以远端桌面进行数位鉴识以及透过回收相关资安产品的纪录档来做分析,然而网络连线不稳定,远端鉴识成效也不好,已加密的主机硬盘,现场support也不会做DD转成image档,后来只好整颗硬盘寄给调查小组,拿到实验室进行硬盘的鉴识工作,并拉出内部所有可疑的档案,让恶意程式分析师进行恶意程式分析,分析完毕后再汇报给鉴识人员&调查小组,由调查小组븊整理所有资讯,包括找出攻击进入点,受损程度评估以及给出可行性的回复措施,再报告给客户并协助做回复的动作。
这个案例是将内容分得很细,但不代表就是分三种人去做这样的事情…XD,整个事件有可能只分两种人或甚至是一种人,就是统称资安顾问,然后可能他还只是一个人QQ…真的很血汗。
@总结
我个人认为这三个名词发生的顺序比较像是 发生事件>>事件调查>>数位鉴识>>恶意程式分析>>回报事件&回复
以上只是肥宅工程师个人的见解,各位大大勿战,如有问题欢迎找版主(逃
[1]https://www.nttsecurity.com/en-uk/services/technical-consulting/incident-response-forensics/overview
[2]http://www.phycos.com.tw/articles/87
[3]https://www.youtube.com/watch?v=u89-ujFTPqk
[4]http://www.ntfs.com/mbr-virus.htm