[問題諮詢] 005 如何學習數位鑑識、事件調查(DFIR)

前言

雖然仍然不是數位鑑識與事件調查的專家,但偶而還是會看一下相關的書籍,或是在求學過程中有幸可以參加相關的課程,真的很感謝這些講師提供課程。

本文簡單介紹 DFIR 範疇與相關的資源與學習方向。

關鍵字

  • 數位鑑識(Digital Forensics, DF)
    • 數位鑑識是 forensic science 的範疇,forensic science 鑑識科學是一種利用科學手段處理、解決與司法體系利益相關問題的科學。其主要針對刑事及民事案件。[1]
  • 事件調查(Incident Response,IR)
    • NIST SP800-61 R2
      • Computer Security Incident Handling Guide
      • 提供資安事件回應的指導方針,如何分析事件數據和確定每個事件的適當回應。
      • 幫助企業建立資安事件回應能力,並有效地處理事件。
      • 指導方針不限於特定的硬體平台、作業系統、協定或應用程式。

IR 學習流程[2]

  1. 時間軸分析:在資安事件發生後,調查入侵過程的時間軸,將事件串連成線,以得到完整的攻擊過程,快速判定可用於後續分析的資訊。
  2. 關鍵字搜尋:利用關鍵字快速搜尋與過濾,從大量記錄中找出可疑的記錄,再進行前後比對或分析,找出資安攻擊的源頭。
  3. 統計及頻率分析:透過統計分析的方法,找出系統運作的正常平均值,再比對資安事件發生時各系統的數值,判定是否異常,以找出被入侵的系統源頭。
  4. 方向性分析:分析資安攻擊的方向性,由外而內或由內而外,以確定調查方向。

相關資源

參考資料

林子婷(飛飛/Phoebe菲比)
林子婷(飛飛/Phoebe菲比)

技術專長:OSINT、滲透測試、網站開發、專業易懂教育訓練。
資安證照:OSCE3、OSED、OSWE、OSEP、OSCP、OSTH、OSWA、OSWP、OSCC、OSCC-SJD。
資安書籍:《資安這條路:領航新手的 Web Security指南》。
教學經驗:50+ 企業教學經驗、指導過上百位學員。
教學特色:新手友善、耐心指導、擅長圖解(流程圖、心智圖)引導學習。
社群經驗:目前經營全臺資安社群 CURA,曾任臺科資安社社長、逢甲黑客社社長。
社群交流:Line 社群《飛飛的資安大圈圈》,即時分享經驗、鼓勵交流。
社群分享:FB 粉專《資安這條路,飛飛來領路》,分享文章與圖卡整理。
資安網站:feifei.tw 資安系列文章