手作業による証拠収集には圧倒されます！自動化された DFIR (デジタル フォレンジックおよびインシデント対応) が未来です

何十年にもわたって、デジタル フォレンジックの作業は司法捜査のさまざまな分野で発展し続けており、世界の法執行活動の非常に重要な部分となっています。同時に、インターネットの発展とグローバリゼーションにより、犯罪の形態は多様化しており、法執行当局も自動化されたデジタル証拠収集ツールを使用して重要なデジタル証拠を入手し、犯罪者を刑務所に送る必要があります。

最近、Magnet フォレンジック研究チームは、「エンタープライズ デジタル フォレンジックおよびインシデント調査 (DFIR) の適用状況」に関する最新の調査レポートを発表しました。レポート調査によると、デジタル フォレンジック市場は大きな変化を遂げており、それはスピードと精度という 2 つの言葉で要約できます。サイバー犯罪者を裁くには、違反の証拠をできるだけ早く捜査官に提出することが重要です。ただし、これを達成するのは簡単ではなく、デジタルフォレンジックの分野の一部の専門家はすでに圧倒されています。したがって、より完全な証拠の連鎖を保持しながら、より迅速なフォレンジックを実現するには、より多くの自動化テクノロジーをデジタル フォレンジック ワークフローに組み込む必要があります。

一般的な DFIR インシデントと課題

レポートの調査データによると、データ侵害とアカウント盗難がフォレンジック全体の 35% を占めるとのことです。 2022 年の活動で最も一般的な DFIR インシデントが、ビジネス電子メール侵害 (34%) と僅差で続きます。回答者の 14% は、自分の組織が BEC 詐欺に頻繁に遭遇すると回答しました。その他の一般的な DFIR インシデントには、従業員の不正行為 (33%)、資産の悪用またはポリシー違反 (30%)、内部不正 (29%)、ランサムウェアに感染したエンドポイント (28%) などがあります。

DFIR インシデントの割合

データ漏洩、アカウント盗難、ランサムウェアが発生する可能性があります。組織のビジネス展開に大きな影響を与えます。ランサムウェアやデータ侵害を迅速に調査するには経験とツールが必要であり、サイバー犯罪者はこれらの調査をさらに困難にしようとしているため、DFIR の調査員はこれを行うのに苦労しています。

回答者の 45% は、「デジタル フォレンジックのニーズとデータ量の増加」が DFIR 捜査に影響を与える最大の課題であると考えており、13% はこれが非常に深刻な問題であると考えており、32% はそう考えていますこれは深刻な問題です。

一方で、攻撃の規模と複雑さが進化し続けるにつれて、攻撃者は検出をより困難にするためにより多くの手法を使用しており、回答者の 42% の DFIR 担当者はサイバー攻撃が進化していると述べています。テクノロジーは組織にとって対処すべき深刻な問題でした。新たなサイバー攻撃の進化に対応し続けることは、間違いなく困難な課題であり、企業は、進化する新しい戦術、技術、手順を組織に提供することに重点を置いた研究開発の専門家にさらに依存する必要があるでしょう。

その他の主要な課題としては、相互に統合できないツール (37%)、時間のかかる反復的なタスク (37%)、データを取得するための準拠したライセンス メカニズムの欠如などが挙げられます。 (34%)、リモート/ハイブリッド作業モデルの普及 (31%)、リモート ネットワークからデータを取得することの難しさ (31%)、専門家の不足 (30%))。

DFIR 調査に影響を与える困難な要因の割合

DFIR が直面する困難と課題

DFIR 作業には反復的なタスクが多数あり、これらの調査タスクを完了するための自動化ツールが緊急に必要とされています。多くの企業セキュリティ オペレーション センターは、大量のセキュリティ監視データを処理する必要があるため、すでに自動化テクノロジーを多用しています。ただし、DFIR に必要な自動化機能は、主にフォレンジック ワークフローの調整、実行、監視によるデータの取得と処理を必要とするため、セキュリティ運用とは大きく異なります。

インタビューを受けた DFIR 担当者の 50% 以上は、現在のデジタル フォレンジック ワークフローには依然として多数の反復的な手動タスクがあり、自動化への企業の投資は、 DFIR 作業の最適化。非常に役に立ちます。回答者の 20% 以上が、リモートでのターゲット エンドポイントの取得、ターゲット エンドポイントの分類、デジタル証拠の処理、インシデントの記録、要約、報告において自動化が大きな価値があると回答しました。

企業の DFIR 実務者の 64% は、「調査疲れ」が現実的かつ客観的な問題であると考えています (29% が強く同意、35% がやや同意)、回答者の 21% が回答者日々の仕事で燃え尽き症候群の感情を強く表した。大量の調査とデータによって引き起こされるストレス、およびインシデント対応を迅速に実行する必要性により、これらの専門家はリラックスすることが困難になります。さらに、回答者の 64% が、適切なデジタル フォレンジック人材の採用も大きな課題であると回答しました (30% が強くそう思う、30% がややそう思う)。これは、デジタル フォレンジック業務には特定の業界特性があり、要件も企業によって異なるためです。ビジネスの特徴はさまざまです。

DFIR の燃え尽き症候群と採用の問題

レポートの調査では、急速に成長している DFIR 分野において、フォレンジック戦略を効果的に策定し、合理的な意思決定を行うには経験豊富で決断力のあるリーダーが必要であることも示されています。 . リソースの割り当て。回答者の 33% 以上が、強力なリーダーシップが DFIR スタッフが必要な完全なデータ ソースを入手するのに役立っていると回答しましたが、これはしばしば達成が困難です。

レポート データによると、DFIR リソースを無駄にする最大の理由は、一貫したインシデント フォレンジック計画と作業戦略の欠如 (37%)、および標準化されたプロセスの欠如 (36%) です。その他の要因には、データ ソースへのアクセスの欠如 (35%)、反復的な手動タスク (34%)、冗長で複雑なテクノロジ ツール (28%) が含まれます。

リソースの無駄を引き起こす要因

特に、規制遵守も重要であることを指摘しておく必要があります。 DFIR が直面する問題、大きな課題。調査対象となったDFIR職員の67％は、自らの職務がさまざまな新たな規制の影響を受けると回答し、46％は変化する規制要件を完全に理解する十分な時間がないと回答した。 DFIR チームは規制要件を正確に理解する必要があり、必要に応じて会社の法務部門に相談する必要があります。

DFIR の取り組みを最適化するための推奨事項

企業は、速度、精度、完全性を優先する DFIR ソリューションに投資する必要があります。セキュリティ インシデントを分析する場合、遅延が長くなるとリスクも大きくなります。したがって、企業は自動化を積極的に導入して、DFIR 専門家が燃え尽き症候群を減らし、調査の遅れを軽減できるようにする必要があります。

すべての企業は、便利な自動デジタル フォレンジック ツールを事前に予約する必要があります。信頼性の高いデジタル フォレンジック分析ツールの助けを借りて、フォレンジック担当者が犯罪者を処罰する調査のための重要なデジタル証拠を入手するのに役立ちます。

また、事前にDFIR計画を策定することも重要です。この計画では、役割と責任を明確にし、フォレンジックとインシデント対応をどのように実行する必要があるかを詳しく説明します。また、必要なデータにアクセスするための明確な指示とルールを通じて、重要なフォレンジック データ ソースのセキュリティと可用性を確保する必要があります。

最後に、社内チームに DFIR 調査の完全な専門知識が不足している場合は、DFIR 調査業務の一部を外部委託することを選択できます。これは、DFIR アプリケーション開発における主流の傾向でもあります。回答者のほぼ半数 (47%) は、アウトソーシングされた DFIR サービスを使用する主な理由は専門知識の欠如であると述べましたが、別の理由 (38%) は、場合によっては非常に高価な必要な専用ツールが利用できないことです。

参考リンク: https://www.techrepublic.com/article/digital-forensics-incident-response-most-common-dfir-incidents/

以上が手作業による証拠収集には圧倒されます！自動化された DFIR (デジタル フォレンジックおよびインシデント対応) が未来ですの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。