美國國家標準與技術研究院(NIST)最近發布了一份報告，引起了很少的關注，但它是商業和執法人員的必讀文件。

隨著數字領域的發展，保護它的難度也在增加。在云計算領域尤其如此，它現在是所有IT復雜性之母，其安全挑戰令法醫調查人員感到困惑。最近，我注意到越來越多的執法人員參加了我的云課程。他們不是為企業開發云解決方案，而是學習如何打擊網絡犯罪。需要更多的工具來幫助每個人對抗這些新出現的安全威脅。

美國國家標準與技術研究院(NIST)發布了87頁的NISTR8006出版物，這是一份基石文件，不僅預測了云計算法醫科學挑戰，還提供了主動的安全解決方案。這種戰略方法對于為云環境的安全、可靠和彈性的未來做好準備至關重要，讓您有信心為即將到來的一切做好準備。

NISTIR8006文件對云計算環境下的數字取證科學挑戰進行了分類，并提供了可行的解決方案。本文檔確定了技術、法律和組織方面的障礙，并倡導建立標準和技術來解決這些障礙。NIST的協作方法，包括行業、治理和IT領導者(包括我自己)，確保了多種聲音正在開發這些解決方案。

NIST的指導

我不想聽起來像NIST的粉絲，但這是必不可少的東西。NISTIR8006剖析了技術、法律和組織障礙，提供了一個路線圖，為克服這些障礙奠定了基礎。長期以來，我和其他許多人一直強調擁有一個清晰、可操作的框架的價值，NIST剛剛向數字取證專業人員和云架構師交付了這個框架。

這個文檔在我的實踐中很有用，因為它提供了一個由一個聯盟而不是一個有偏見的技術提供商或思想領袖創建的標準。它鼓勵行業內的對話，促進針對云生態系統復雜性量身定制的安全框架的開發和采用。這為更有凝聚力的標準奠定了基礎。

在NIST的文件中，我發現最有趣的是它強調培訓人們解決涉及云計算平臺的犯罪。警方和檢察官經常忽視網絡犯罪發生的平臺，因為需要復雜的調查知識，而且這些系統往往缺乏法醫文件。隨著涉及云平臺的犯罪越來越頻繁，迫切需要進行法醫調查的技能。遷移到云基礎設施的企業還面臨著IT必須在傳統環境中解決的取證問題。

NIST還營造了法醫科學蓬勃發展的環境。例如，該文檔探討了虛擬機管理，并強調了在虛擬環境中采取特定安全措施的必要性，例如隔離受損的機器并無縫地實現連接、控制和遏制。這可以防止惡意軟件破壞虛擬生態系統的完整性，這在過去10年中一直是攻擊的常見來源。

云取證的固有困難

由于數據復制、多租戶和缺乏位置透明度，云環境為取證調查帶來了獨特的技術挑戰。

跨多個位置的數據復制使取證過程復雜化，這需要能夠精確定位來源進行分析。考慮一下從云系統中檢索已刪除的數據的挑戰——這不僅是一個技術障礙，而且是一個責任問題，IT部門往往無法解決這個問題，直到為時已晚。

多租戶涉及在多個用戶之間共享資源，因此難以區分和隔離數據。這是云安全的一個系統性問題，對于云平臺取證來說尤其成問題。NIST文檔承認了這一挑戰，并建議實施訪問機制和框架，以便公司能夠維護數據完整性并管理事件響應。因此，一旦問題發生，處理機制就到位了，因為會計是在持續的基礎上進行的。

缺乏位置透明度是一場噩夢。數據駐留在不同的實際管轄范圍內，都有不同的法律和文化考慮。犯罪可能發生在不允許搜查物理系統的國家的公共云存在點上，而其他國家在執法方面有更多選擇。

有效的利益相關者協調和明確的協議對于指導云環境中的取證調查是必要的。這意味著定義角色和職責，以確保流程與法規要求保持一致。

此外，在云取證中優先考慮數據完整性和保存非常重要。實施加密措施和經過驗證的取證工具對于數據的可信度至關重要，可以確保數據在整個調查過程中不被篡改。

了解這些問題可以幫助商業企業更好地準備和管理其云運營中潛在的取證挑戰。我強調了預見性和適應性作為技術成功的基本要素的重要性，特別是在通用云架構和解決方案的背景下。

美國國家標準與技術研究院(NIST)呼吁行業利益相關者重新思考并加強其數字取證方法。通過遵循這一指導，組織可以更接近云計算系統，這些系統提供了改進的安全性，并且與數據中心中的系統一樣安全，甚至更安全。這只是使安全系統成為現實的一小步，相信這是朝著正確方向邁出的一步。