Når en sikkerhedshændelse opstår i skyen, hvordan bevarer du så beviser og foretager en retsmedicinsk undersøgelse?Cloud forensics adskiller sig fundamentalt fra on-premises forensics. Du kan ikke beslaglægge en fysisk server. Forekomster kan automatisk skaleres væk. Logfiler kan roteres. Og cloud-udbyderen styrer infrastrukturlaget. Denne vejledning dækker praktiske skyforensiske teknikker, der bevarer beviser, understøtter efterforskning og opfylder lovkrav.
Key Takeaways
- Skybeviser er flygtige:Automatisk skalering, instansafslutning og logrotation kan ødelægge beviser inden for få minutter. Konservering skal være øjeblikkelig og automatiseret.
- Forberedelse er alt:Retsmedicinsk beredskab - logning, opbevaringspolitikker og automatisk bevisindsamling - skal konfigureres, før en hændelse opstår.
- Chain of custody gælder for skybeviser:Digitale beviser skal indsamles, opbevares og dokumenteres med samme strenghed som fysiske beviser.
- Cloud-udbydere har begrænset retsmedicinsk support:Under delt ansvarsmodellen er du ansvarlig for retsmedicin over infrastrukturlaget.
Cloud Forensic Evidence Kilder
| Bevistype | AWS Kilde | Azure Kilde | Retention |
|---|---|---|---|
| API Aktivitet | CloudTrail | Aktivitetslog | 90 dages standard, konfigurer længere |
| Netværkstrafik | VPC Flowlogs | NSG Flow Logs | Konfigurer opbevaringsperiode |
| DNS Forespørgsler | Rute 53-forespørgselslogs | DNS Analyse | Konfigurer tilbageholdelse |
| Lageradgang | S3 Adgangslogfiler, CloudTrail-datahændelser | Lageranalyse, diagnostiske logfiler | Konfigurer tilbageholdelse |
| Compute Forensics | EBS Snapshots, Memory dumps (manuel) | Disksnapshots, hukommelsesdumps (manuel) | Indtil slettet |
| Identitetsbegivenheder | CloudTrail, IAM Access Analyzer | Azure AD Log-in logs, revisionslogs | 30 dages standard (Azure AD), konfigurer længere |
| Sikkerhedsadvarsler | GuardDuty Funds | Defender for Cloud Alerts | 90 dage (GuardDuty), konfigurer længere |
Retsmedicinsk beredskab: Før hændelsen
Aktiver omfattende logning
Aktiver al retsmedicinsk-relevant logning, før der opstår en hændelse. I AWS: aktiver CloudTrail i alle regioner og alle konti med datahændelser for S3 og Lambda, aktiver VPC Flowlogs for alle VPC'er, og aktiver GuardDuty på alle konti. I Azure: aktiver aktivitetslogfiler med videresendelse af diagnostiske indstillinger til loganalyse, aktiver NSG Flow-logfiler, og aktiver Azure AD-logon og eksport af revisionslogfiler. Gem logfiler i uforanderlig lagring med integritetsvalidering for at sikre, at der ikke er blevet manipuleret med beviser.
Konfigurer passende opbevaring
Standardlogopbevaring er utilstrækkelig til retsmedicin. CloudTrail beholder 90 dage som standard (forlænges med S3 leverings- og livscykluspolitikker). Azure Aktivitetslogfiler bevarer 90 dage (udvides med diagnostiske indstillinger til lagerkonti). Indstil opbevaring til mindst 1 år for alle sikkerhedsrelevante logfiler. Nogle overholdelsesrammer (PCI DSS, HIPAA) kræver længere opbevaring.
Forbered retsmedicinske indsamlingsværktøjer
Forud-implementering af værktøjer og procedurer til bevisindsamling: AMI/image-oprettelsesscripts til kompromitterede tilfælde, EBS/disk-snapshot-automatisering, hukommelsesopsamlingsværktøjer (LiME for Linux, WinPmem for Windows) forudinstalleret på kritiske systemer eller tilgængelige via Systems Manager, og log-eksport-scripts, der indsamler alle relevante logfiler for et bestemt tidsinterval og ressource.
Bevisindsamling under en hændelse
Forekomst efterforskning
- Isoler forekomsten— Erstat sikkerhedsgrupper med en karantænegruppe (afvis al trafik). Afslut IKKE forekomsten.
- Opret EBS-snapshots— Snapshot af alle vedhæftede bind. Dette er dine retsmedicinske diskbilleder.
- Optag hukommelse— Hvis hukommelsesopsamlingsværktøjer er tilgængelige, skal du dumpe hukommelsen, før forekomsten ændres. Hukommelse indeholder kørende processer, netværksforbindelser, krypteringsnøgler og malware, der muligvis ikke findes på disken.
- Optag instansens metadata— Hent instans-id, AMI, sikkerhedsgrupper, IAM-rolle, netværksgrænseflader og tags.
- Eksporter logs— Indsaml CloudTrail/Aktivitetsloghændelser, VPC Flowlogs og applikationslogfiler for den relevante tidsperiode.
Skytjeneste efterforskning
For hændelser, der involverer cloud-tjenester (S3 dataadgang, IAM kompromittering, Lambda misbrug): eksporter alle relevante CloudTrail-hændelser for tidsperioden, dokumentér tjenestekonfigurationen på tidspunktet for hændelsen, bevar eventuelle midlertidige ressourcer (Lambda logs i CloudWatch, SQS-meddelelser), og indfang IAM-politikker og politikker for tillidsforhold, der kan have været modificeret.
Chain of custody dokumentation
For hvert indsamlet bevis skal du dokumentere: hvad der blev indsamlet (type, identifikator, størrelse), hvornår det blev indsamlet (tidsstempel), hvem indsamlede det (navn, rolle), hvordan det blev indsamlet (værktøj, metode, kommandoer), hvor det er gemt (placering, adgangskontrol) og hash-værdier (SHA-256) til integritetsverifikation. Opbevar chain of custody dokumentation adskilt fra selve beviset med begrænset adgang.
Retsmedicinske analyseteknikker
Tidslinje rekonstruktion
Byg en tidslinje for angriberaktivitet ved at korrelere hændelser på tværs af flere kilder: CloudTrail API-opkald (hvilke handlinger angriberen foretog), VPC Flowlogs (netværksforbindelser oprettet), GuardDuty-resultater (genereret sikkerhedsadvarsler), S3 adgangslogfiler (tilgået data) og IAM anvendte hændelser (credential assum). Tidslinjeanalyse afslører hele angrebskæden: indledende adgang, persistens, lateral bevægelse, dataadgang og eksfiltration.
Diskefterforskning fra snapshots
Monter EBS snapshots eller Azure disk snapshots på en ren retsmedicinsk arbejdsstation. Analyser filsystemet for: malware-filer, ændret konfiguration, angriberværktøjer, kommandohistorik (bash_history, PowerShell-logfiler), cron-job eller planlagte opgaver (vedholdenhed), SSH authorized_keys-modifikationer og webserverlogfiler, der viser udnyttelse.
Hvordan Opsio udfører Cloud Forensics
- Kriminalteknisk beredskab:Vi konfigurerer omfattende logning, opbevaring og automatiseret bevisindsamling på tværs af dit cloudmiljø.
- Hændelsesundersøgelse:Vores IR-team udfører retsmedicinske analyser ved hjælp af cloud-native og tredjeparts retsmedicinske værktøjer.
- Bevarelse af beviser:Vi følger chain of custody-procedurer, der opfylder lovmæssige og regulatoriske krav.
- Tidslinjeanalyse:Vi rekonstruerer hele angrebskæden fra indledende adgang til påvirkning ved hjælp af krydskildekorrelation.
- Sagkyndig vidnesbyrd:Vores retsmedicinske fund er dokumenteret i henhold til en standard, der er egnet til retssager og regulatorisk rapportering.
Ofte stillede spørgsmål
Kan jeg udføre efterforskning efter at have afsluttet en cloud-instans?
Hvis du afsluttede forekomsten uden først at oprette EBS-snapshots, mistes diskbevis permanent. CloudTrail og VPC Flow Logs er stadig tilgængelige (hvis aktiveret), hvilket giver API aktivitet og netværksbevis. Dette er grunden til, at retsmedicinsk beredskab - automatisk oprettelse af snapshots ved hændelsesdetektion - er afgørende. Afslut aldrig potentielt kompromitterede tilfælde, før beviser er bevaret.
Er skyforensiske beviser tilladt i retten?
Ja, forudsat at korrekt varetægtskæde opretholdes, bevisintegritet kan verificeres (hashværdier), indsamlingsmetoder er dokumenteret, og beviserne kan autentificeres. Cloud-udbyderlogfiler (CloudTrail, Activity Logs) accepteres generelt som forretningsoptegnelser. Nøglen er at opretholde stringent dokumentation gennem hele indsamlings- og analyseprocessen.
Hvilke værktøjer bruges til skyefterforskning?
Cloud-native værktøjer: CloudTrail Lake (AWS), Log Analytics (Azure) til loganalyse. Tredjepartsværktøjer: Cado Response (cloud-native forensics platform), Autopsy (disk forensics), Volatility (memory forensics), Plaso/Log2Timeline (tidslinjeanalyse) og brugerdefinerede scripts til skyspecifik bevisindsamling. Opsio bruger en kombination af disse værktøjer baseret på undersøgelseskravene.