The most common DFIR incidents
मैगनेट फोरेंसिक के नवीनतम स्टेट ऑफ एंटरप्राइज डिजिटल फोरेंसिक एंड इंसिडेंट रिस्पांस सर्वे के अनुसार, डिजिटल फोरेंसिक घटना की प्रतिक्रिया के साथ अधिक बंधे होने के साथ-साथ बढ़ रहा है। हालांकि, कुछ डिजिटल फोरेंसिक पेशेवरों को जला दिया जाता है और डीएफआईआर क्षेत्र में अधिक स्वचालन और नेतृत्व की आवश्यकता होती है, जहां काम पर रखना मुश्किल होता है।
डिजिटल जांच समाधान विकसित करने वाली मैगनेट फॉरेंसिक की ओर से यह सर्वे अक्टूबर से नवंबर 2022 के बीच किया गया था।
करने के लिए कूद:
घटना की प्रतिक्रिया के साथ डिजिटल फोरेंसिक तेजी से शामिल है
डिजिटल फोरेंसिक, जिसे कभी-कभी कंप्यूटर फोरेंसिक कहा जाता है, एक विशेषज्ञता डोमेन रहा है जो ज्यादातर कई वर्षों तक एकल कंप्यूटर पर तैनात किया गया था। विशिष्ट उपयोग के मामलों में एक कर्मचारी के कंप्यूटर पर डेटा का पता लगाना था, जिस पर अपराध करने का संदेह था, या कानूनी या मैलवेयर मुद्दों जैसे कि सूचना चोरी करने वालों की जांच करना।
समय के साथ, हमलों की जटिलता और आकार में वृद्धि हुई है और अक्सर एक ही समय में कंपनियों के कई कंप्यूटर या सर्वर को लक्षित करते हैं। डिजिटल फोरेंसिक, जो एक ऑफ़लाइन मोड में पूर्ण हार्ड ड्राइव प्रतियों का विश्लेषण करने के बारे में था, जब चल रहे सिस्टम का विश्लेषण करना आवश्यक हो गया तो एक मोड़ देखा गया।
नतीजतन, डिजिटल फोरेंसिक ने उस जटिलता को घटना प्रतिक्रिया टीमों के साथ एकीकृत करने के नए तरीके खोजे। इसने उन्हें बंद किए बिना सिस्टम पर अधिक गहन विश्लेषण की अनुमति दी, और अब डिजिटल फोरेंसिक और घटना की प्रतिक्रिया आमतौर पर सुरक्षा संचालन केंद्र के भीतर SecOps टीम में एक साथ होती है।
लक्षित हमले आम तौर पर ऐसे मामले होते हैं जहां डिजिटल फोरेंसिक आदर्श रूप से घटना प्रतिक्रिया के साथ काम करता है। जबकि घटना की प्रतिक्रिया किसी घटना को रोकने, हल करने और पुनर्प्राप्त करने पर काम करती है, किसी घटना के मूल कारण का पता लगाने के लिए डिजिटल फोरेंसिक सबसे अच्छा समाधान हो सकता है।
हर घटना की प्रतिक्रिया और डिजिटल फोरेंसिक कार्रवाइयों से मिली सीख से कंपनियों को अपने बचाव में कमजोरियों को खोजने और नए सुरक्षा उपायों और प्रक्रियाओं को लागू करने में मदद मिलती है।
सबसे आम DFIR घटनाएं
मैग्नेट फोरेंसिक के अनुसार, डेटा की चोरी या आईपी चोरी समग्र गतिविधि का 35% प्रतिनिधित्व करती है और यह सबसे आम DFIR घटना है, जिसके बाद व्यावसायिक ईमेल समझौता (चित्रा ए). सर्वेक्षण के उत्तरदाताओं में से चौदह प्रतिशत ने संकेत दिया कि उनका संगठन बार-बार बीईसी घोटालों का सामना करता है। अन्य सामान्य घटनाएं हैं कर्मचारी कदाचार, संपत्ति का दुरुपयोग या नीति उल्लंघन, आंतरिक धोखाधड़ी और रैंसमवेयर-संक्रमित समापन बिंदु।
चित्रा ए
डेटा चोरी, आईपी चोरी और रैंसमवेयर का संगठनों पर भारी प्रभाव पड़ता है। DFIR पेशेवरों को इस पर काम करने में कठिनाई होती है, क्योंकि रैनसमवेयर और डेटा उल्लंघन की घटनाओं की तेजी से जांच करने के लिए अनुभव और उपकरण आवश्यक हैं, जबकि साइबर अपराधी उन जांचों को यथासंभव कठिन बनाने की कोशिश करते हैं।
साइबर हमले की तकनीक विकसित करने की चुनौतियाँ
हमले आकार और जटिलता में विकसित हो रहे हैं, खतरे के कर्ता-धर्ता पहचान को कठिन बनाने के लिए अधिक तकनीकों का उपयोग कर रहे हैं; परिणामस्वरूप, DFIR के 42% पेशेवर विकसित साइबर हमले की तकनीक का संकेत देते हैं जो उनके संगठन में या तो एक चरम या बड़ी समस्या पेश करती है।
इस तरह के साइबर हमलों के बारे में अप टू डेट रहना एक चुनौती है, क्योंकि कंपनियां अनुसंधान एवं विकास विशेषज्ञों पर अधिक भरोसा करती हैं, जो संगठन को नई और हमेशा विकसित होने वाली रणनीति, तकनीकों और प्रक्रियाओं से लैस करने पर ध्यान केंद्रित करती हैं। बढ़ते खतरों के बारे में जानकारी के महान स्रोतों में एमआईटीआरई, सीआईएसए, और लिंक्डइन या साइबर सुरक्षा शोधकर्ताओं के ट्विटर खाते शामिल हैं।
डीएफआईआर के लिए अधिक स्वचालन की आवश्यकता है
DFIR में बहुत सारे दोहराए जाने वाले कार्यों को करने की आवश्यकता होती है, और उन कार्यों को स्वचालित करने वाले उपकरणों की अक्सर आवश्यकता होती है।
एसओसी पहले से ही जितना संभव हो सके स्वचालन का उपयोग करते हैं, क्योंकि उन्हें टेलीमेट्री से निपटने की आवश्यकता होती है, लेकिन डिजिटल फोरेंसिक के लिए स्वचालन अलग है, क्योंकि इसे ज्यादातर फोरेंसिक वर्कफ़्लोज़ को ऑर्केस्ट्रेट करने, प्रदर्शन करने और निगरानी करने के लिए डेटा प्रोसेसिंग की आवश्यकता होती है।
DFIR के आधे पेशेवर संकेत देते हैं कि DFIR कार्यों की एक श्रृंखला के लिए स्वचालन में निवेश बहुत मूल्यवान होगा, क्योंकि कार्यप्रवाह अभी भी कई दोहराए जाने वाले कार्यों के मैन्युअल निष्पादन पर बहुत अधिक निर्भर करता है।
सर्वेक्षण के 20% से अधिक उत्तरदाताओं ने संकेत दिया कि ऑटोमेशन लक्ष्य समापन बिंदुओं के दूरस्थ अधिग्रहण, लक्ष्य समापन बिंदुओं के ट्राइएज और डिजिटल साक्ष्य के प्रसंस्करण के साथ-साथ घटनाओं पर दस्तावेज़ीकरण, सारांश और रिपोर्टिंग के लिए अधिकतर मूल्यवान होगा।
सर्वेक्षण के उत्तरदाताओं ने संकेत दिया कि जांच और डेटा की बढ़ती मात्रा या तो एक चरम (13%) या बड़ी (32%) समस्या है (चित्रा बी).
चित्रा बी
डीएफआईआर कर्मियों की चुनौतियां
लगभग 30% कॉर्पोरेट डीएफआईआर व्यवसायी इस बात से सहमत हैं कि जांच की थकान एक वास्तविक मुद्दा है, जबकि 21% दृढ़ता से सहमत हैं कि वे अपनी नौकरी में थका हुआ महसूस करते हैं। जांच और डेटा की मात्रा, और घटना प्रतिक्रियाओं को तेजी से चलाने की आवश्यकता के कारण होने वाला तनाव, उन पेशेवरों के लिए आराम करना मुश्किल बना देता है। स्वचालन इन पेशेवरों के समय को बचाने और तेजी से विश्लेषण को सक्षम करने में मदद कर सकता है।
सर्वेक्षण के 30% उत्तरदाताओं द्वारा भर्ती को एक बड़ी चुनौती के रूप में इंगित किया गया है, जबकि नए DFIR पेशेवरों को ऑनबोर्ड करना भी मुश्किल हो सकता है क्योंकि कंपनी के आधार पर नौकरी बहुत भिन्न हो सकती है; उदाहरण के लिए, यह उपयोग किए गए उपकरणों को प्रभावित कर सकता है (चित्रा सी).
चित्रा सी
डेटा और विनियमों में सहायता के लिए अधिक DFIR नेतृत्व की आवश्यकता है
इस तरह के तेजी से विकास के तहत एक क्षेत्र को कुशल तरीके से रणनीतियों और प्रत्यक्ष संसाधनों को निर्धारित करने के लिए सूचित और निर्णायक नेतृत्व की आवश्यकता होती है। नेतृत्वकर्ताओं ने प्रभावित किया कि डीएफआईआर पेशेवर जिस तरह से कुशलतापूर्वक डेटा स्रोतों तक पहुंच सकते हैं, उनकी जरूरत है, जो अक्सर मुश्किल होता है, जैसा कि सर्वेक्षण के उत्तरदाताओं के एक तिहाई से अधिक ने संकेत दिया।
बर्बाद संसाधनों में सबसे बड़ा योगदान एक सुसंगत घटना प्रतिक्रिया रणनीति और योजना की कमी और मानकीकृत प्रक्रियाओं की कमी है (चित्रा डी).
चित्रा डी
डीएफआईआर पेशेवरों के लिए विनियम एक और चुनौती है। उदाहरण के लिए, DFIR के 67% पेशेवरों ने संकेत दिया कि उनकी भूमिका नए रिपोर्टिंग नियमों से प्रभावित हुई है, और 46% उत्तरदाताओं ने बताया कि उनके पास नए और बदलते कानून को पूरी तरह से समझने के लिए पर्याप्त समय नहीं है। नेताओं को नियमों को समझने और उन्हें संभालने का तरीका तय करने की आवश्यकता है, शायद नियमों का अध्ययन करने या कंपनी के कानूनी विभाग के साथ परामर्श करने के लिए DFIR टीमों के समय को मुक्त करके।
डीएफआईआर जांच के साथ आउटसोर्सिंग आम बात है
ज्यादातर कंपनियां आम तौर पर अपने डीएफआईआर जांच के कुछ हिस्सों को आउटसोर्स करती हैं, ज्यादातर इसलिए क्योंकि आंतरिक रूप से उन कौशलों की कमी होती है। लगभग आधे उत्तरदाताओं (47%) ने सेवा प्रदाताओं का उपयोग करने के पूर्व कारण के रूप में विशेषज्ञता की कमी का संकेत दिया, जबकि दूसरा कारण (38%) आवश्यक टूलसेट नहीं होने का हवाला दिया, जो कुछ मामलों में बेहद महंगा हो सकता है।
व्यवसायों के लिए DFIR की सिफारिशें
कंपनियों को डीएफआईआर समाधानों में निवेश करना चाहिए जो गति, सटीकता और पूर्णता को प्राथमिकता देते हैं। जब घटनाओं का विश्लेषण करने की बात आती है तो अधिक देरी का मतलब अधिक जोखिम होता है।
डीएफआईआर पेशेवरों को बर्नआउट कम करने और जांच में देरी को कम करने में मदद करने के लिए ऑटोमेशन को मजबूती से लागू किया जाना चाहिए।
एक घटना प्रतिक्रिया योजना आवश्यक है। योजना भूमिकाओं और जिम्मेदारियों को स्पष्ट करेगी और विस्तार से बताएगी कि फोरेंसिक और घटना की प्रतिक्रिया कैसे की जानी चाहिए। इसे स्पष्ट निर्देशों और संकेतों के साथ डेटा तक पहुँचने में भी मदद करनी चाहिए कि कंपनी में कौन क्या प्रदान करता है। डेटा तक पहुंच प्रदान करने के लिए महत्वपूर्ण स्थिति 24/7 पहुंच योग्य होनी चाहिए।
डीएफआईआर टीमों द्वारा विनियमों और विधानों को पूरी तरह से समझने की आवश्यकता है। अधिक आम तौर पर, भविष्य की घटनाओं की तैयारी के लिए पहले से की जा सकने वाली हर चीज के बारे में सावधानी से सोचा जाना चाहिए और किसी घटना पर काम न करने पर किया जाना चाहिए।
प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन इस लेख में व्यक्त किए गए विचार मेरे हैं।
आगे पढ़िए: सुरक्षा घटना प्रतिक्रिया नीति (TechRepublic प्रीमियम)