云數(shù)據采集與網絡取證分析
云計算和數(shù)字取證之間不斷相互滲透,術語“云取證”是指從云基礎設施采集數(shù)字取證數(shù)據。 長期以來,事件響應和數(shù)字取證一直是計算機犯罪調查的關鍵部分,隨著云計算的快速發(fā)展,事件響應和數(shù)字取證變得越來越具有挑戰(zhàn)性。
僅舉幾例,本地取證證據包括從日志文件、存儲在磁盤上的數(shù)據、網絡流量和入侵標志物等收集到的信息。本地分析與云服務分析之間的基本區(qū)別是,使用本地計算機,通過簡單地進入系統(tǒng),從而可以收集并分析信息。 然而,當涉及到云時,機器無法進行物理訪問,只有計算機的某些部分,可以通過云應用程序接口進行訪問。
在本文中,我們將開始對云進行簡要說明,其次是探索為什么云取證比以往變得更加重要,以及探索從不同云服務和部署模型獲取信息所帶來的挑戰(zhàn)。 最后,我們將討論與云服務提供商建立良好關系,確保云取證成功的最佳實踐。
在云計算中,有幾種不同的部署模型:
- 私有云——此部署模型中,組織運行其自己的私有云,具有完全訪問權限。 云位于防火墻后面,組織向用戶提供了訪問接口,可以同時保留存儲在云中數(shù)據的私密性。
- 公共云——在公共云模型中,服務通過互聯(lián)網提供給公眾。 公共云包括亞馬遜網絡服務,谷歌電腦引擎和微軟的Azure。 在公共云中,經常使用虛擬化環(huán)境。
- 混合云——在混合云模型下,服務在私有的、內部部署和公共云服務之間是混合的。 這種方法可幫助企業(yè)享受云的成本效益,不需要完全依賴第三方提供商。
有三種主要的公共云計算服務模式,也是企業(yè)目前通常使用的。 包括:
- 基礎設施即服務(IaaS),提供整個基礎設施(如物理/虛擬機,防火墻,負載均衡和虛擬機管理程序)
- 平臺即服務(PaaS),提供了一個平臺(如操作系統(tǒng),數(shù)據庫和Web服務器)
- 軟件即服務(SaaS),組織可以訪問該服務,服務提供商負責管理該服務。
云網絡取證的重要性
云網絡取證的重要性不能否認。 當攻擊者試圖攻擊云服務時,取證不僅可以檢測出來,而且有助于組織阻止并防止此類攻擊發(fā)生。
當涉及到網絡取證時,說明攻擊已經發(fā)生,并且,組織需要從一堆數(shù)據中收集證據,來確定黑客是誰,黑客如何攻擊服務,以及黑客得到了哪些信息。 網絡取證調查人員必須仔細檢查所采集到的數(shù)據 – 如文件系統(tǒng),進程,注冊表和網絡流量 – 從而得出上述結論。
云取證過程的基本區(qū)別是,限制了網絡取證審查員所掌握的數(shù)據。數(shù)據有限成為了最大的障礙,因為調查人員必須經常使用虛擬影像,而不是物理機器。 數(shù)據采集很大一部分必須由云提供商提供,可能提供的數(shù)據并不是所需的數(shù)據。還好,云取證所依賴的工具,與傳統(tǒng)取證過程所依賴的工具類型相同。 在過去的幾年中,云取證迅速發(fā)展,所以,專門為云取證創(chuàng)建的新工具,在未來的幾年里,可能會被寫進。
從云收集數(shù)據
收集到的信息類型不同,取決于企業(yè)使用的是哪種云服務模型。右表展示了在使用SaaS、PaaS、IaaS或本地專用網絡時,組織可以獲得哪些信息。
顯然,在進行云網絡取證分析與在本地計算機上執(zhí)行取證分析相比,組織不能訪問云中相同的信息。
云數(shù)據采集:與服務提供商合作
要縮小差距,企業(yè)必須與云提供商合作,來獲取信息進行分析,包括應用程序日志,數(shù)據庫日志或網絡日志。 保持持續(xù)的、開放的溝通,并與云提供商建立良好的關系是必要的,從而獲得那些對成功審核、數(shù)據分析來說,都很重要的信息。
不幸的是,很多云提供商并不在乎他們客戶的調查,而且極度不配合。 要么或者他們具備一個智慧的、并且/或者安全響應的團隊,以協(xié)助取證調查所需要數(shù)據的收集。 在某些情況下,云提供商甚至可能會傳遞不正確的信息,在法庭上無法使用。 這似乎有些牽強,但是對于云提供商來說,定位并提供正確的信息,是非常困難的,與在云提供商環(huán)境下的復雜性相比,企業(yè)環(huán)境下的復雜性,相形見絀。 通常情況下,組織的數(shù)據位于世界各地的多個數(shù)據中心,沒有人真正知道在哪里。更何況,這些數(shù)據與其他組織的數(shù)據并不單獨存儲,因此,確定哪些日志屬于哪個企業(yè),對提供商來說,很困難。
在選擇云提供商時,必須謹慎小心,這一點至關重要。不同的云提供商,競爭力也不同,企業(yè)的云網絡調查,可能會取得巨大的成功,也可能會徹底失敗。
在評估云服務提供商時,企業(yè)不能只盲目地相信云服務提供商所說的。 如果提供商說,云服務是安全的,企業(yè)應該詢問提供商對基礎設施進行了哪些測試,以及是如何測試的。 企業(yè)還應該詢問數(shù)據的位置以及哪些人有權訪問這些數(shù)據。 當出現(xiàn)安全漏洞時,一個重要的標準是與IT部門合作。 我們知道,一個法醫(yī)考官必須與云服務提供商密切合作,以獲得有關漏洞所需要的信息 – 這是一個很大的優(yōu)勢,如果提供商有自己的安全團隊。
隨著云和云服務的加速發(fā)展,云網絡取證會變得越來越重要。 至關重要的是,在建立合同和采用云服務之前,組織務必要仔細閱讀所有的條款,以確保某一天不得不進行云計算調查取證時,組織的服務提供商不會影響組織的效率和成功。
