Når en sikkerhetshendelse oppstår i skyen, hvordan bevarer du bevis og gjennomfører en rettsmedisinsk etterforskning?Skyetterforskning skiller seg fundamentalt fra etterforskning på stedet. Du kan ikke gripe en fysisk server. Forekomster kan automatisk skaleres bort. Logger kan roteres. Og skyleverandøren kontrollerer infrastrukturlaget. Denne veiledningen dekker praktiske rettsmedisinske teknikker i skyen som bevarer bevis, støtter etterforskning og oppfyller juridiske krav.
Viktige takeaways
- Skybevis er flyktig:Automatisk skalering, forekomstavslutning og loggrotasjon kan ødelegge bevis i løpet av minutter. Bevaring må være umiddelbar og automatisert.
- Forberedelse er alt:Rettsmedisinsk beredskap – logging, oppbevaringspolicyer og automatisert bevisinnsamling – må konfigureres før en hendelse inntreffer.
- Chain of custody gjelder skybevis:Digitale bevis må samles inn, lagres og dokumenteres med samme strenghet som fysiske bevis.
- Skyleverandører har begrenset rettsmedisinsk støtte:Under delt ansvarsmodellen er du ansvarlig for etterforskning over infrastrukturlaget.
Sky forensiske beviskilder
| Bevistype | AWS Kilde | Azure Kilde | Oppbevaring |
|---|---|---|---|
| API Aktivitet | CloudTrail | Aktivitetslogg | 90 dagers standard, konfigurer lengre |
| Nettverkstrafikk | VPC Flytlogger | NSG Flow Logger | Konfigurer oppbevaringsperiode |
| DNS Forespørsler | Rute 53 spørrelogger | DNS Analytics | Konfigurer oppbevaring |
| Lagringstilgang | S3 Tilgangslogger, CloudTrail-datahendelser | Lagringsanalyse, diagnoselogger | Konfigurer oppbevaring |
| Compute Forensics | EBS-øyeblikksbilder, minnedumper (manuell) | Disk-øyeblikksbilder, minnedumper (manuell) | Inntil slettet |
| Identitetshendelser | CloudTrail, IAM Access Analyzer | Azure AD-påloggingslogger, revisjonslogger | 30 dagers standard (Azure AD), konfigurer lengre |
| Sikkerhetsvarsler | GuardDuty Funn | Defender for Cloud Alerts | 90 dager (GuardDuty), konfigurer lenger |
Rettsmedisinsk beredskap: Før hendelsen
Aktiver omfattende logging
Aktiver all rettsmedisinsk relevant logging før en hendelse inntreffer. I AWS: aktiver CloudTrail i alle regioner og alle kontoer med datahendelser for S3 og Lambda, aktiver VPC flytlogger for alle VPC-er, og aktiver GuardDuty i alle kontoer. I Azure: aktiver aktivitetslogger med videresending av diagnostiske innstillinger til logganalyse, aktiver NSG-flytlogger og aktiver Azure AD-pålogging og eksport av revisjonslogger. Lagre logger i uforanderlig lagring med integritetsvalidering for å sikre at bevis ikke har blitt tuklet med.
Konfigurer tilstrekkelig oppbevaring
Standardloggoppbevaring er utilstrekkelig for etterforskning. CloudTrail beholder 90 dager som standard (utvid med S3 leverings- og livssykluspolicyer). Azure Aktivitetslogger beholdes i 90 dager (utvides med diagnostiske innstillinger til lagringskontoer). Sett oppbevaring til minst 1 år for alle sikkerhetsrelevante logger. Noen samsvarsrammeverk (PCI DSS, HIPAA) krever lengre oppbevaring.
Forbered rettsmedisinske innsamlingsverktøy
Forhåndsdistribuer verktøy og prosedyrer for bevisinnsamling: AMI/bildeopprettingsskripter for kompromitterte forekomster, EBS/disk-snapshotautomatisering, minneinnhentingsverktøy (LiME for Linux, WinPmem for Windows) forhåndsinstallert på kritiske systemer eller tilgjengelig gjennom System Manager, og loggeksportskript som samler inn alle relevante logger for en bestemt tidsperiode og ressurs.
Innsamling av bevis under en hendelse
Forekomst etterforskning
- Isoler forekomsten— Bytt ut sikkerhetsgrupper med en karantenegruppe (nekt all trafikk). IKKE avslutt forekomsten.
- Lag EBS-øyeblikksbilder— Øyeblikksbilde av alle vedlagte bind. Dette er dine rettsmedisinske diskbilder.
- Lagre minne— Hvis minneinnhentingsverktøy er tilgjengelige, dump minne før forekomsten endres. Minnet inneholder kjørende prosesser, nettverkstilkoblinger, krypteringsnøkler og skadelig programvare som kanskje ikke finnes på disken.
- Registrer forekomst metadata— Registrer forekomst-ID, AMI, sikkerhetsgrupper, IAM-rolle, nettverksgrensesnitt og tagger.
- Eksporter logger— Samle CloudTrail/aktivitetslogghendelser, VPC flytlogger og applikasjonslogger for den relevante tidsperioden.
Skytjeneste etterforskning
For hendelser som involverer skytjenester (S3 datatilgang, IAM kompromittering, Lambda misbruk): eksporter alle relevante CloudTrail-hendelser for tidsperioden, dokumenter tjenestekonfigurasjonen på tidspunktet for hendelsen, bevar eventuelle midlertidige ressurser (Lambda logger i CloudWatch, SQS-meldinger), og registrer IAM politikker og rollerelasjoner som kan ha blitt endret.
Chain of custody dokumentasjon
For hvert bevis som ble samlet inn, dokumenter: hva som ble samlet inn (type, identifikator, størrelse), når det ble samlet inn (tidsstempel), hvem som samlet det (navn, rolle), hvordan det ble samlet inn (verktøy, metode, kommandoer), hvor det er lagret (plassering, tilgangskontroller) og hash-verdier (SHA-256) for integritetsverifisering. Lagre kjededokumentasjon atskilt fra selve beviset, med begrenset tilgang.
Rettsmedisinske analyseteknikker
Tidslinjerekonstruksjon
Bygg en tidslinje for angriperaktivitet ved å korrelere hendelser på tvers av flere kilder: CloudTrail API-anrop (hvilke handlinger angriperen tok), VPC Flowlogger (nettverkstilkoblinger opprettet), GuardDuty-funn (generert sikkerhetsvarsler), S3 tilgangslogger (tilgang til data) og IAM brukte hendelser (legitimasjon). Tidslinjeanalyse avslører hele angrepskjeden: innledende tilgang, utholdenhet, sideveis bevegelse, datatilgang og eksfiltrering.
Disketterforskning fra øyeblikksbilder
Monter EBS øyeblikksbilder eller Azure disk øyeblikksbilder på en ren rettsmedisinsk arbeidsstasjon. Analyser filsystemet for: skadevarefiler, modifisert konfigurasjon, angriperverktøy, kommandohistorikk (bash_history, PowerShell-logger), cron-jobber eller planlagte oppgaver (persistens), SSH authorized_keys-modifikasjoner og nettserverlogger som viser utnyttelse.
Hvordan Opsio utfører skyetterforskning
- Rettsmedisinsk beredskap:Vi konfigurerer omfattende logging, oppbevaring og automatisert bevisinnsamling på tvers av skymiljøet ditt.
- Hendelsesundersøkelse:Vårt IR-team utfører rettsmedisinske analyser ved å bruke skybaserte og tredjeparts rettsmedisinske verktøy.
- Bevaring av bevis:Vi følger kjede av forvaringsprosedyrer som oppfyller juridiske og regulatoriske krav.
- Tidslinjeanalyse:Vi rekonstruerer hele angrepskjeden fra første tilgang til innvirkning, ved å bruke krysskildekorrelasjon.
- Sakkyndig vitnesbyrd:Våre rettsmedisinske funn er dokumentert i henhold til en standard som er egnet for rettslige prosesser og myndighetsrapportering.
Ofte stilte spørsmål
Kan jeg utføre etterforskning etter å ha avsluttet en skyforekomst?
Hvis du avsluttet forekomsten uten å lage EBS-øyeblikksbilder først, tapes diskbevis permanent. CloudTrail og VPC flytlogger er fortsatt tilgjengelige (hvis aktivert), og gir API aktivitet og nettverksbevis. Dette er grunnen til at rettsmedisinsk beredskap – automatisk opprettelse av øyeblikksbilder på hendelsesdeteksjon – er avgjørende. Avslutt aldri potensielt kompromitterte tilfeller før bevis er bevart.
Er skyrettsmedisinske bevis tillatt i retten?
Ja, forutsatt at riktig varetektskjede opprettholdes, bevisintegritet kan verifiseres (hash-verdier), innsamlingsmetoder er dokumentert og bevisene kan autentiseres. Logger fra skyleverandører (CloudTrail, Aktivitetslogger) er generelt akseptert som forretningsposter. Nøkkelen er å opprettholde streng dokumentasjon gjennom hele innsamlings- og analyseprosessen.
Hvilke verktøy brukes til skyetterforskning?
Cloud-native verktøy: CloudTrail Lake (AWS), Log Analytics (Azure) for logganalyse. Tredjepartsverktøy: Cado Response (nettbasert rettsmedisinsk plattform), Autopsy (disketterforskning), Volatility (minneetterforskning), Plaso/Log2Timeline (tidslinjeanalyse) og tilpassede skript for skyspesifikk bevisinnsamling. Opsio bruker en kombinasjon av disse verktøyene basert på etterforskningskravene.