为什么需要数字取证团队(以及所需的技能)

预防和检测还远远不够。为了更好地防御将来的入侵,您需要一支强大的数字取证小组来分析攻击。

法医威胁猎人网络安全指纹
Getty Images

在当今世界中,企业正在接受这样一个事实,即违反行为不是“是否,而是何时”问题,开发内部和外部资源来调查和监督攻击的影响变得越来越重要 他们发生了。

数字取证是相对较新的技能集中-不一定需要与其他网络安全职位相同的才能,专业知识或背景。尽管越来越多的企业意识到,他们需要后端这样的人才,但仍然存在着完全专注于检测和预防的障碍,这对他们不利。

思科安全服务事件响应总监肖恩·梅森说:“我认为这实际上是一个误解,认为组织不一定需要在内部组建数字取证团队。”他补充说,思科正在通过以下方式建立自己的取证能力:其事件响应服务团队。梅森说,一个关键问题是“没有足够的人才来调动,一般而言,大多数组织没有足够的需求来要求一支专职的员工团队。”

Munish Walther-Puri,首席研究员 暗网 监视公司Terbium Labs指出,数字取证需要结合“调查,情报和创新”。

审计和会计公司Schellman的总裁Avani Desai表示,数字取证团队是对任何IT团队的补充,因为他们可以找出谁,何时,何时,何地以及为什么要进入系统。&Co.“他们帮助绘制事件的图片,并提供有关如何减轻再次发生事件的风险的指导。” Desai补充说,取证小组还采用过去的数据和流程,并以此为基础,以确保他们拥有处理难以解决的问题的工具。

自然语言搜索技术提供商Insight Engines的技术副总裁Darien Kindlund指出,数字取证是“任何安全运营团队的重要支柱,以评估和理解工具,策略和程序(TTP)。攻击者用来破坏公司的行为。这样,公司可以使用新的攻击者使用这些相同的TTP阻止将来的违规行为。公司了解这些攻击的工作方式的能力与他们的数字取证团队的有效性直接相关。”

法医思维方式有所不同

通常,数字取证员工通常会与网络安全人员混为一谈,但是所需的技能和专业知识通常大不相同。据Desai称,成为数字取证团队的成员意味着与组织的很大一部分进行合作,例如人力资源,IT,法律,法规遵从性和运营。 Desai说:“他们需要具有很强的人际交往能力,因为在事件或违规响应期间,紧张情绪往往很高。” “与任何具有高度分析能力的工作一样,法医团队必须高度重视细节,专注于方法论方法和执行,并具有坚定的态度-坚不可摧。”   

此外,数字取证小组成员需要“了解不断变化的网络安全环境,以及如何进行变化和 恶意软件 将影响系统,这意味着他们必须渴望学习和适应变化。” Desai说。

根据Desai的说法,数字取证可能不会像其他网络安全职位那样浮华—这是一项“非常规”的IT安全工作。 “但是分析性思维,对细节的关注,解决难题的技能令人兴奋,而更早的接触将在未来十年内使开发流程变得更加容易。”

Walther-Puri认为理想的数字取证员工“不同于传统的IT人才,数字取证分析师必须以结构化和非线性的方式进行思考”。他说,例如,调查是有条不紊的,但与此同时,跟踪网络犯罪分子需要创造性。 Walther-Puri说:“除了像对手那样思考外,分析师还必须能够从犯罪学,经济学,安全性,情报和心理学的启发中了解动机和技术。”

梅森说,“取证者”,正如他所说的,通常比其他任何东西都具有更多的调查头脑。他说:“此外,鉴于他们需要检查和解释的数据,这些人对IT及其相关基础架构具有非常深刻和非常广泛的了解。”同样,Kindlund同意,数字取证团队需要“了解公司所支持的每个操作系统(OS)和应用程序的深层内部。这是因为攻击者的活动随目标应用程序和操作系统的不同而变化,并且数字取证团队需要推断出所确定的活动在公司内部整个数字资产生态系统中可能如何存在。”

实际上,根据BTB 安全 Consulting的管理合伙人Ron Schlecht的说法,具有更“程序化”背景且更倾向于弯曲的人通常更适合进行调查过程中的数字取证以及收集和维护证据的需求。施莱希特说:“这是我们看到的最成功的事情。”他补充说,这些员工通常来自法律或执法背景,但仍需要技术培训。最重要的是:他们需要了解“我们都留下的数字足迹,计算机的各个方面以及如何将其组合在一起”,他说。

考虑到数字取证团队需要与法律,合规,执法,IT和人力资源进行(外部和组织内部)协作,Desai指出,人际交往能力和对这些部门的广泛理解与与数字违规调查相对应的必要技术技能。 “他们需要以通俗易懂的方式进行交流的能力,”德赛说。 “他们需要沟通,他们需要了解指挥链,尤其是法律方面。”

但是,根据ISC(2)最近的一项研究,由于现有的近300万人短缺,无法填补网络安全职位,因此,填补越来越多要求更高的数字取证职位对于企业而言将是一个挑战。 Kindlund表示,数字取证团队的技能差距“反映了全球范围内更大的网络安全技能差距”。 “大多数专注于建立强大的取证团队的公司在内部通过聘请富有创造力的技术思想家和培训人员来培养有兴趣了解更多信息的IT安全人员的重要取证技能,从而在内部培养这些技能。”

Enterprise Strategy Group,Inc集团董事兼高级分析师道格·卡希尔(Doug Cahill)说,网络安全技能的持续严重短缺,吸引和留住具有数字取证技能的网络安全专业人士是一个挑战。网络安全是当务之急。”他补充说。 “有机会继续学习和扩展自己的技能,并获得包括端点检测和响应控制在内的高级网络安全控制是关键。”

如何吸引,保留和培养数字取证专业人士

1.在其他地区对员工进行交叉培训。 反洗钱(AML)和合规性方面的杰出思想家,富有创造力的公司安全分析师以及了解故事和统计信息(审计,财务分析等)的人都是可以接受数字取证所需技能培训的角色。可以传授技能,而好奇心和创造力则很难传授。

2.建立多元文化。 如果使命和问题解决吸引了人才,那么文化是保持人才的关键。背景,经验和技能的多样性将创造出一种独特的文化,人们会在离开时三思而行。

3.围绕解决问题而不是职能或职务发展角色。 给某人一个标题或将他们分配给某个职能很容易,但是担任这些职务的人的类型很容易感到无聊或受到约束。要开发人员(水平和垂直人员),围绕问题类型和范围(例如,战术/运营,调查/分析,报告/服务提供)塑造角色。人们可以继续成长,并为同事/初级团队成员提供良好的发展机会。

版权© 2019 IDG通讯,Inc.