网络取证是指数字取证的一个分支,主要参与网络流量的收集和分析,目的是了解有关网络犯罪的证据以防止犯罪。一种 报告 欧盟网络安全局(ENISA)的研究人员指出,随着基于网络的服务(如电子邮件,电子商务等)的出现和普及,网络取证的重要性近年来变得更加明显。
根据ENISA,网络取证基于 OSCAR方法论 可以解释为以下内容:
获取信息
收集有关特定事件,操作环境,日期和时间,相关人员等的常规信息。
制定策略
从创建优先级列表开始,计划对事件进行调查。
收集证据
参考上一阶段制定的计划,必须使用适当的文档,有关证据本身的实际捕获以及所收集证据的适当存储或收集来收集有关事件的证据。
分析
由训练有素的调查员使用不同的方法和技术来分析收集的证据。
报告
向所需的利益相关者报告调查结果。调查报告必须是事实并且易于理解。
网络取证领域要求收集网络流量数据以进行分析和调查。网络流量数据是基于两种方法收集的:
尽可能地抓住它
在“一劳永逸”方法中,所有数据包均通过一个流量点进行路由并存储在数据库中。对存储的数据执行分析,并且该分析也可以存储在系统上。该方法需要高存储容量。
停止,看和听方法
在这种方法中,仅将需要分析的数据保存到数据库中。对流量进行实时过滤和分析,这需要快速的处理器,但存储容量较低。
通过适当的实施,网络取证可以成为组织获取网络流量重要发现的宝贵工具。从信息安全的角度来看,网络取证使网络安全专业人员可以更清楚地了解其威胁环境。
调查安全事件以改善响应
在当前存在多种攻击媒介的环境中,企业正在关注威胁响应。网络取证可以对安全事件进行更高质量的调查,从而可以了解和识别外围事件。这总体上导致更好的发病率反应。
识别异常
通过对网络数据进行适当的分析和处理,可以确定违反基线模式的异常情况。这些异常通常是迈向检测企业内部安全威胁的第一步。
安全解决方案的效率
尽管所有企业都使用不同类型的网络安全解决方案来防御威胁,但他们可能发现很难评估这些解决方案的效率。通过网络取证,可以将实际数据与其他有用信息一起放入检测和阻止的威胁中,从而更好地了解所使用解决方案的有效性。
威胁情报
网络取证在为企业提供威胁情报方面发挥着重要作用。对取证数据的分析可以帮助收集有关威胁的重要信息,企业可以根据这些信息来计划其防御措施。
网络取证类似于法医在调查实物犯罪中如何发挥重要作用,它还可以帮助调查人员发现有关网络犯罪的重要信息。这就是为什么这种方法越来越多地用于对抗网络威胁。
没意见