Cyber risk resources
Steps to Digital Forensics Simplified

デジタルフォレンジックへのステップの簡素化

サイバー犯罪の増加に伴い、悪意のあるアクターをオンラインで追跡することは、政府と民間企業の両方にとって重要な焦点となっています。サイバー犯罪が自社のデジタル環境内で発生した場合、損害を封じ込め、脅威を根絶し、さらなる損失を軽減するために、侵害の範囲を特定し、根本原因を調査することが最優先事項です。

デジタル フォレンジックは、デジタル デバイスから電子データを発見して解釈するプロセスです。多くの場合、サイバー犯罪に関連しており、攻撃の発信元を特定し、ソースを追跡し、紛失または盗難されたデータの回復を可能にするのに役立ちます.通常、デジタル フォレンジックを含む調査には、次の 5 つの重要な手順が含まれます。

1. 識別

調査を開始する際には、電子証拠を探す場所を知ることが非常に重要です。関連する証拠のソースには、携帯電話、コンピューター、サーバー、電子メール、およびインターネット サービス プロバイダーが含まれます (ただし、これらに限定されません)。識別のプロセスはデジタルだけではありません。物理的環境の観察 (例: セキュリティ カメラの位置、キー カード アクセス制御リーダーなど) も、タイムラインをまとめる際の物理的証拠を提供する場合があります。

2.封じ込め

封じ込めは、危機に対する最初の積極的な対応として機能し、ハッカーが悪意のある活動を実行できないようにして、さらなる損害を防ぎます。インシデントの性質によって、制御、監視、追加のセキュリティ対策の有効化など、封じ込めの取り組みの種類が決まります。

特定された場合、損害を軽減し、事業運営のさらなる中断を防ぐために、システムまたはネットワークの分離が必要になる場合があります。システムを分離する必要があるかどうかを判断するには、システム、プラットフォーム、またはアプリケーションが企業ネットワーク内に展開されている範囲などの重要な要因を考慮してください。

3. 収集と保存

データ収集は、確立された手順に細心の注意を払い、データの完全性を確保しながら、元のシステムに損傷を与えることなく実行する必要があります。システムごとに異なるデータ取得方法とツールを使用できます。分析は、証拠の裏付けを可能にするために、侵害の元のポイントではなく、取得したコピーまたは複製画像に対して実施する必要があります。

データを保存するプロセスは、利用可能なすべての情報が本物で有効であることを保証するための鍵です。収集された証拠の基本的な文書には、収集の日時 (いつ)、証拠自体の説明 (What)、オペレーティング システムなどのソース システムの情報 (Where)、ソフトウェアまたはハードウェアの仕様、およびネットワークに関する情報が含まれている必要があります。識別子、使用した取得ツールの詳細 (方法)。また、収集したデータを適切に保存し、証拠の改ざんを防止するための標準も確立する必要があります。

物理的な犯罪現場と同じように、写真 (または、この場合はデジタル コピー) が事件現場の証拠から撮影されます。シーンのビジュアルは、調査の参照ポイントとして使用されます。インシデント対応者はチームで作業することが多いため、これらのビジュアルにより、複数の専門家の間で並行して分析を行うことができます。デジタル コピーは、調査後のインシデント レポートを文書化するのにも非常に役立ちます。

4. 分析と根絶

分析の主な目的は、収集された証拠を精査して解釈することにより、侵害がいつ、どのように発生したかを判断することです。分析プロセスは、さまざまなスキルセット、専門知識、およびトレーニングからリソースを引き出して、学際的なアプローチを利用します。このプロセスでは、承認されたツールと方法論を遵守する必要があります。

時間と日付のパラメーターまたは境界は、多くの場合、攻撃者がシステムに侵入し、システム内を移動し、目的に対してアクションを実行した方法を明らかにするイベントのタイムラインを構築する上で重要であるため、特定される最初の 2 つの重要な要因です。時間と日付のパラメーターは、調査担当者が調査の範囲を絞り込み、外部性と仮説を排除し、攻撃の時間範囲に焦点を合わせて、有用な調査結果をより効率的に取得するのにも役立ちます。

証拠をイベントのタイムラインと照合すると、インシデントの裏付けとなる証拠を特定するのに役立つ場合があります。調査の目標と優先順位に応じて、科学捜査官は、証拠から収集した事実に基づいて解釈し、結論を導き出すことがあります。

脅威根絶プロセスの一環として、悪意のあるネットワーク インジケーターのブロック、侵害されたシステムの再構築、アカウント資格情報のリセットなどのアクティビティは、包括的な修復を確実にするために、従うべき検証手順に従って実行する必要があります。システム全体の徹底的な露出チェックまたは脆弱性評価と継続的な監視により、他の脆弱なリンクや潜在的な脅威を特定することをお勧めします。将来の発生を防ぐために、新しい一連の防御策が提案される場合があります。

上記の手順を補完する重要なアクションの 1 つは、大量のメモを取ることです。文書化は、実行されたアクションを別の人が複製および再現できるように十分に詳細にする必要があります。

5. 報告

このプロセスの最後のステップはレポートです。レポートでは、侵害の原因、攻撃の調査と軽減に使用された手法と方法論、収集された証拠、および利害関係者と意思決定者向けの助言資料を特定する必要があります。レポートは、利害関係者が簡単に理解して必要なアクションを実行できるように、事実に基づいた、公平で、非技術的なものである必要があります。

--

各企業またはシステムは独自のものであり、独自のインシデント対応計画が必要ですが、上記はデジタル フォレンジックを含む調査プロセスの一般的な概要として役立ちます。企業固有のニーズに適したインシデント対応計画に関する専門的なアドバイスが必要な場合は、Blackpanda のサイバー インシデント対応担当者の 1 人との電話を予約して、対応計画を立ててください。