數十年來，數字取證工作在司法偵查的不同分支中不斷發展，已成為全球執法活動中非常重要的組成部分。與此同時，由于互聯網和全球化的發展，犯罪形式多樣化，執法人員也需要通過自動化的數字取證工具，才能獲取關鍵的數字證據，將不法分子送入監獄。

日前，Magnet forensics研究團隊最新發布了《企業數字取證和事件調查（DFIR）應用現狀》研究報告。報告研究認為，數字取證市場目前發生了很大變化，可以用兩個詞來概括：速度和準確率。如何盡快將違法證據提交給調查人員是將網絡犯罪分子繩之以法的關鍵。然而，這并不容易實現，一些數字取證領域的從業者已經不堪重負。因此，需要將更多的自動化技術納入數字取證工作流程來實現更快的取證速度，同時更完整的保留證據鏈。

常見的DFIR事件與挑戰

據報告研究數據顯示，2022年數據泄露與賬號竊取占整體取證活動的35%，是最常見的DFIR事件，緊隨其后的是商業電子郵件泄露（34%）。有14%的受訪者表示，他們的組織會經常遭遇BEC騙局。其他常見DFIR事件包括員工不當行為（33%）、濫用資產或違反政策（30%）、內部欺詐（29%）和感染勒索軟件的端點（28%）。

DFIR事件占比情況

數據泄露、賬號竊取和勒索軟件都會對組織業務發展產生巨大影響。DFIR調查人員在這方面開展工作非常困難，因為快速調查勒索軟件和數據泄露事件需要充分的經驗和工具支撐，而網絡犯罪分子也在試圖讓這些調查變得更加困難。

45%的受訪者認為：“不斷增長的數字取證需求和數據量”是影響DFIR調查的最大挑戰，其中13%認為這是一個非常嚴重的問題，32%認為這是一個較嚴重的問題。

另一方面，隨著攻擊的規模和復雜性都在不斷發展，威脅行為者使用了更多的技術來加大檢測難度，有42%的受訪DFIR人員表示，不斷發展的網絡攻擊技術在他們的組織中是一個難以應對的嚴重問題。要跟上新型網絡攻擊的演進步伐無疑是一項艱巨的挑戰，公司需要更多地依賴于研發專家，專注于為組織配備新的、不斷發展的戰術、技術和程序。

其他關鍵挑戰還包括無法彼此集成的工具（37%）、耗時重復的任務（37%）、獲取數據時缺乏合規的許可機制（34%）、遠程/混合辦公模式激增（31%）、難以從遠程網絡中獲取數據（31%）以及缺乏專家（30%））。

影響DFIR調查的挑戰因素占比

DFIR面臨的困難和挑戰

在DFIR工作中存在大量的重復性任務，急需通過自動化工具來完成這些調查任務。很多企業的安全運營中心已經在大量利用自動化技術，因為它們需要處理海量的安全監測數據。但DFIR所需要的自動化能力和安全運營有明顯差別，因為它主要需要通過編排、執行和監控取證工作流程來進行數據獲取和處理。

超過50%的受訪DFIR人員表示，目前的數字取證工作流中仍然存在大量重復性的人工操作任務，企業在自動化方面的投資對于DFIR工作優化會非常有幫助；超過20%的受訪者表示，自動化在遠程獲取目標端點、對目標端點進行分類、處理數字證據以及記錄、總結和報告事件方面的價值非常顯著。

64%的企業DFIR從業者認為“調查疲勞”是一個真實存在的客觀問題（29%對此強烈認同，35%比較認同），而21%的受訪者強烈表示他們在日常工作中已感到精疲力盡。大量的調查和數據，以及快速運行事件響應的必要性所造成的壓力，使這些專業人員很難放松。此外，64%的受訪者表示，招聘合適的數字取證人才也是一個主要挑戰（30%強烈認同，30%有些認同），因為數字取證工作有一定的行業屬性，要求也會因公司的業務特點不同而有差異。

DFIR工作倦怠和招聘問題

報告研究還顯示，在快速發展的DFIR領域，需要經驗豐富和決策果斷的領導者，才能有效制定取證戰略和合理分配資源。超過33%的受訪者表示，強力的領導者有助于DFIR人員獲取所需的完整數據源，而這通常很難實現。

報告數據顯示，造成DFIR資源浪費的最大原因是缺乏連貫的事件取證計劃和工作策略（37%），以及缺乏標準化流程（36%）。其他因素還包括無法訪問數據來源（35%）、重復手動的任務（34%）、技術工具冗余及復雜化（28%）。

造成資源浪費的因素

需要特別指出的是，法規遵從也是DFIR工作面臨的一個重大挑戰。67%的受訪DFIR人員表示，他們的工作角色會受到各種新法規的影響，46%的受訪者表示沒有足夠的時間來充分理解不斷變化的法規要求。DFIR團隊需要準確了解法規要求，必要時應該與公司的法務部門溝通咨詢。

優化DFIR工作的建議

企業應該投資于優先考慮速度、準確性和完整性的DFIR解決方案。在分析安全事件時，更多的延遲意味著更大的風險。因此，企業應該大力實施自動化，以幫助DFIR專業人員減少倦怠并降低調查延誤。

每個企業都應該提前儲備一款好用的自動化數字取證工具，借助可靠的數字取證分析工具，可以幫助取證人員獲取關鍵性的數字證據，從而對不法分子進行處罰。

此外，提前制定DFIR計劃也是必不可少的。該計劃將明確角色和責任，并詳細說明取證和事件響應需要如何完成。它還應該通過明確的指令和規則來訪問必要的數據，保障關鍵取證數據源的安全可用。

最后，如果企業內部團隊缺乏完整的DFIR調查專業技能，可以選擇外包部分DFIR調查業務。這也是DFIR應用發展的主流趨勢。近一半的受訪者（47%）表示，使用外包DFIR服務的主要原因是缺乏專業知識；而另一個原因（38%）是沒有所需的專業化工具，這些工具在某些情況下可能非常昂貴。

參考鏈接：https://www.techrepublic.com/article/digital-forensics-incident-response-most-common-dfir-incidents/