云數(shù)據(jù)采集與網(wǎng)絡(luò)取證分析

作者：佚名 2018-07-02 13:00:53
云計(jì)算 在本文中，我們將開始對(duì)云進(jìn)行簡(jiǎn)要說(shuō)明，其次是探索為什么云取證比以往變得更加重要，以及探索從不同云服務(wù)和部署模型獲取信息所帶來(lái)的挑戰(zhàn)。 最后，我們將討論與云服務(wù)提供商建立良好關(guān)系，確保云取證成功的最佳實(shí)踐。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設(shè)、成都做網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)多倫,10余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):028-86922220

云計(jì)算和數(shù)字取證之間不斷相互滲透，術(shù)語(yǔ)“云取證”是指從云基礎(chǔ)設(shè)施采集數(shù)字取證數(shù)據(jù)。 長(zhǎng)期以來(lái)，事件響應(yīng)和數(shù)字取證一直是計(jì)算機(jī)犯罪調(diào)查的關(guān)鍵部分，隨著云計(jì)算的快速發(fā)展，事件響應(yīng)和數(shù)字取證變得越來(lái)越具有挑戰(zhàn)性。

僅舉幾例，本地取證證據(jù)包括從日志文件、存儲(chǔ)在磁盤上的數(shù)據(jù)、網(wǎng)絡(luò)流量和入侵標(biāo)志物等收集到的信息。本地分析與云服務(wù)分析之間的基本區(qū)別是，使用本地計(jì)算機(jī)，通過(guò)簡(jiǎn)單地進(jìn)入系統(tǒng)，從而可以收集并分析信息。 然而，當(dāng)涉及到云時(shí)，機(jī)器無(wú)法進(jìn)行物理訪問(wèn)，只有計(jì)算機(jī)的某些部分，可以通過(guò)云應(yīng)用程序接口進(jìn)行訪問(wèn)。

[[234783]]

在本文中，我們將開始對(duì)云進(jìn)行簡(jiǎn)要說(shuō)明，其次是探索為什么云取證比以往變得更加重要，以及探索從不同云服務(wù)和部署模型獲取信息所帶來(lái)的挑戰(zhàn)。 最后，我們將討論與云服務(wù)提供商建立良好關(guān)系，確保云取證成功的最佳實(shí)踐。

在云計(jì)算中，有幾種不同的部署模型：

• 私有云——此部署模型中，組織運(yùn)行其自己的私有云，具有完全訪問(wèn)權(quán)限。 云位于防火墻后面，組織向用戶提供了訪問(wèn)接口，可以同時(shí)保留存儲(chǔ)在云中數(shù)據(jù)的私密性。
• 公共云——在公共云模型中，服務(wù)通過(guò)互聯(lián)網(wǎng)提供給公眾。 公共云包括亞馬遜網(wǎng)絡(luò)服務(wù)，谷歌電腦引擎和微軟的Azure。 在公共云中，經(jīng)常使用虛擬化環(huán)境。
• 混合云——在混合云模型下，服務(wù)在私有的、內(nèi)部部署和公共云服務(wù)之間是混合的。 這種方法可幫助企業(yè)享受云的成本效益，不需要完全依賴第三方提供商。

有三種主要的公共云計(jì)算服務(wù)模式，也是企業(yè)目前通常使用的。 包括：

• 基礎(chǔ)設(shè)施即服務(wù)(IaaS)，提供整個(gè)基礎(chǔ)設(shè)施(如物理/虛擬機(jī)，防火墻，負(fù)載均衡和虛擬機(jī)管理程序)
• 平臺(tái)即服務(wù)(PaaS)，提供了一個(gè)平臺(tái)(如操作系統(tǒng)，數(shù)據(jù)庫(kù)和Web服務(wù)器)
• 軟件即服務(wù)(SaaS)，組織可以訪問(wèn)該服務(wù)，服務(wù)提供商負(fù)責(zé)管理該服務(wù)。

云網(wǎng)絡(luò)取證的重要性

云網(wǎng)絡(luò)取證的重要性不能否認(rèn)。 當(dāng)攻擊者試圖攻擊云服務(wù)時(shí)，取證不僅可以檢測(cè)出來(lái)，而且有助于組織阻止并防止此類攻擊發(fā)生。

當(dāng)涉及到網(wǎng)絡(luò)取證時(shí)，說(shuō)明攻擊已經(jīng)發(fā)生，并且，組織需要從一堆數(shù)據(jù)中收集證據(jù)，來(lái)確定黑客是誰(shuí)，黑客如何攻擊服務(wù)，以及黑客得到了哪些信息。 網(wǎng)絡(luò)取證調(diào)查人員必須仔細(xì)檢查所采集到的數(shù)據(jù) – 如文件系統(tǒng)，進(jìn)程，注冊(cè)表和網(wǎng)絡(luò)流量 – 從而得出上述結(jié)論。

云取證過(guò)程的基本區(qū)別是，限制了網(wǎng)絡(luò)取證審查員所掌握的數(shù)據(jù)。數(shù)據(jù)有限成為了最大的障礙，因?yàn)檎{(diào)查人員必須經(jīng)常使用虛擬影像，而不是物理機(jī)器。 數(shù)據(jù)采集很大一部分必須由云提供商提供，可能提供的數(shù)據(jù)并不是所需的數(shù)據(jù)。還好，云取證所依賴的工具，與傳統(tǒng)取證過(guò)程所依賴的工具類型相同。 在過(guò)去的幾年中，云取證迅速發(fā)展，所以，專門為云取證創(chuàng)建的新工具，在未來(lái)的幾年里，可能會(huì)被寫進(jìn)。

從云收集數(shù)據(jù)

收集到的信息類型不同，取決于企業(yè)使用的是哪種云服務(wù)模型。右表展示了在使用SaaS、PaaS、IaaS或本地專用網(wǎng)絡(luò)時(shí)，組織可以獲得哪些信息。

顯然，在進(jìn)行云網(wǎng)絡(luò)取證分析與在本地計(jì)算機(jī)上執(zhí)行取證分析相比，組織不能訪問(wèn)云中相同的信息。

云數(shù)據(jù)采集：與服務(wù)提供商合作

要縮小差距，企業(yè)必須與云提供商合作，來(lái)獲取信息進(jìn)行分析，包括應(yīng)用程序日志，數(shù)據(jù)庫(kù)日志或網(wǎng)絡(luò)日志。 保持持續(xù)的、開放的溝通，并與云提供商建立良好的關(guān)系是必要的，從而獲得那些對(duì)成功審核、數(shù)據(jù)分析來(lái)說(shuō)，都很重要的信息。

不幸的是，很多云提供商并不在乎他們客戶的調(diào)查，而且極度不配合。 要么或者他們具備一個(gè)智慧的、并且/或者安全響應(yīng)的團(tuán)隊(duì)，以協(xié)助取證調(diào)查所需要數(shù)據(jù)的收集。 在某些情況下，云提供商甚至可能會(huì)傳遞不正確的信息，在法庭上無(wú)法使用。 這似乎有些牽強(qiáng)，但是對(duì)于云提供商來(lái)說(shuō)，定位并提供正確的信息，是非常困難的，與在云提供商環(huán)境下的復(fù)雜性相比，企業(yè)環(huán)境下的復(fù)雜性，相形見絀。 通常情況下，組織的數(shù)據(jù)位于世界各地的多個(gè)數(shù)據(jù)中心，沒(méi)有人真正知道在哪里。更何況，這些數(shù)據(jù)與其他組織的數(shù)據(jù)并不單獨(dú)存儲(chǔ)，因此，確定哪些日志屬于哪個(gè)企業(yè)，對(duì)提供商來(lái)說(shuō)，很困難。

在選擇云提供商時(shí)，必須謹(jǐn)慎小心，這一點(diǎn)至關(guān)重要。不同的云提供商，競(jìng)爭(zhēng)力也不同，企業(yè)的云網(wǎng)絡(luò)調(diào)查，可能會(huì)取得巨大的成功，也可能會(huì)徹底失敗。

在評(píng)估云服務(wù)提供商時(shí)，企業(yè)不能只盲目地相信云服務(wù)提供商所說(shuō)的。 如果提供商說(shuō)，云服務(wù)是安全的，企業(yè)應(yīng)該詢問(wèn)提供商對(duì)基礎(chǔ)設(shè)施進(jìn)行了哪些測(cè)試，以及是如何測(cè)試的。 企業(yè)還應(yīng)該詢問(wèn)數(shù)據(jù)的位置以及哪些人有權(quán)訪問(wèn)這些數(shù)據(jù)。 當(dāng)出現(xiàn)安全漏洞時(shí)，一個(gè)重要的標(biāo)準(zhǔn)是與IT部門合作。 我們知道，一個(gè)法醫(yī)考官必須與云服務(wù)提供商密切合作，以獲得有關(guān)漏洞所需要的信息 – 這是一個(gè)很大的優(yōu)勢(shì)，如果提供商有自己的安全團(tuán)隊(duì)。

隨著云和云服務(wù)的加速發(fā)展，云網(wǎng)絡(luò)取證會(huì)變得越來(lái)越重要。 至關(guān)重要的是，在建立合同和采用云服務(wù)之前，組織務(wù)必要仔細(xì)閱讀所有的條款，以確保某一天不得不進(jìn)行云計(jì)算調(diào)查取證時(shí)，組織的服務(wù)提供商不會(huì)影響組織的效率和成功。

分享標(biāo)題：云數(shù)據(jù)采集與網(wǎng)絡(luò)取證分析
文章分享：http://m.fisionsoft.com.cn/article/djsgjps.html