会员服务 登录 注册
×
资讯活动

云计算取证的挑战

发布时间:2024-10-09 来源:金属加工

美国国家标准与技术研究院(NIST)最近发布了一份报告,引起了很少的关注,但它是商业和执法人员的必读文件。

随着数字领域的发展,保护它的难度也在增加。在云计算领域尤其如此,它现在是所有IT复杂性之母,其安全挑战令法医调查人员感到困惑。最近,我注意到越来越多的执法人员参加了我的云课程。他们不是为企业开发云解决方案,而是学习如何打击网络犯罪。需要更多的工具来帮助每个人对抗这些新出现的安全威胁。

美国国家标准与技术研究院(NIST)发布了87页的NISTR8006出版物,这是一份基石文件,不仅预测了云计算法医科学挑战,还提供了主动的安全解决方案。这种战略方法对于为云环境的安全、可靠和弹性的未来做好准备至关重要,让您有信心为即将到来的一切做好准备。

NISTIR8006文件对云计算环境下的数字取证科学挑战进行了分类,并提供了可行的解决方案。本文档确定了技术、法律和组织方面的障碍,并倡导建立标准和技术来解决这些障碍。NIST的协作方法,包括行业、治理和IT领导者(包括我自己),确保了多种声音正在开发这些解决方案。

NIST的指导

我不想听起来像NIST的粉丝,但这是必不可少的东西。NISTIR8006剖析了技术、法律和组织障碍,提供了一个路线图,为克服这些障碍奠定了基础。长期以来,我和其他许多人一直强调拥有一个清晰、可操作的框架的价值,NIST刚刚向数字取证专业人员和云架构师交付了这个框架。

这个文档在我的实践中很有用,因为它提供了一个由一个联盟而不是一个有偏见的技术提供商或思想领袖创建的标准。它鼓励行业内的对话,促进针对云生态系统复杂性量身定制的安全框架的开发和采用。这为更有凝聚力的标准奠定了基础。

在NIST的文件中,我发现最有趣的是它强调培训人们解决涉及云计算平台的犯罪。警方和检察官经常忽视网络犯罪发生的平台,因为需要复杂的调查知识,而且这些系统往往缺乏法医文件。随着涉及云平台的犯罪越来越频繁,迫切需要进行法医调查的技能。迁移到云基础设施的企业还面临着IT必须在传统环境中解决的取证问题。

NIST还营造了法医科学蓬勃发展的环境。例如,该文档探讨了虚拟机管理,并强调了在虚拟环境中采取特定安全措施的必要性,例如隔离受损的机器并无缝地实现连接、控制和遏制。这可以防止恶意软件破坏虚拟生态系统的完整性,这在过去10年中一直是攻击的常见来源。

云取证的固有困难

由于数据复制、多租户和缺乏位置透明度,云环境为取证调查带来了独特的技术挑战。

跨多个位置的数据复制使取证过程复杂化,这需要能够精确定位来源进行分析。考虑一下从云系统中检索已删除的数据的挑战——这不仅是一个技术障碍,而且是一个责任问题,IT部门往往无法解决这个问题,直到为时已晚。

多租户涉及在多个用户之间共享资源,因此难以区分和隔离数据。这是云安全的一个系统性问题,对于云平台取证来说尤其成问题。NIST文档承认了这一挑战,并建议实施访问机制和框架,以便公司能够维护数据完整性并管理事件响应。因此,一旦问题发生,处理机制就到位了,因为会计是在持续的基础上进行的。

缺乏位置透明度是一场噩梦。数据驻留在不同的实际管辖范围内,都有不同的法律和文化考虑。犯罪可能发生在不允许搜查物理系统的国家的公共云存在点上,而其他国家在执法方面有更多选择。

有效的利益相关者协调和明确的协议对于指导云环境中的取证调查是必要的。这意味着定义角色和职责,以确保流程与法规要求保持一致。

此外,在云取证中优先考虑数据完整性和保存非常重要。实施加密措施和经过验证的取证工具对于数据的可信度至关重要,可以确保数据在整个调查过程中不被篡改。

了解这些问题可以帮助商业企业更好地准备和管理其云运营中潜在的取证挑战。我强调了预见性和适应性作为技术成功的基本要素的重要性,特别是在通用云架构和解决方案的背景下。

美国国家标准与技术研究院(NIST)呼吁行业利益相关者重新思考并加强其数字取证方法。通过遵循这一指导,组织可以更接近云计算系统,这些系统提供了改进的安全性,并且与数据中心中的系统一样安全,甚至更安全。这只是使安全系统成为现实的一小步,相信这是朝着正确方向迈出的一步。