云取证变得越来越重要

当涉及到网络取证时，说明攻击已经发生，并且，组织需要从一堆数据中收集证据，来确定黑客是谁，黑客如何攻击服务，以及黑客得到了哪些信息。 网络取证调查人员必须仔细检查所采集到的数据 - 如文件系统，进程，注册表和网络流量 – 从而得出上述结论。

云取证过程的基本区别是，限制了网络取证审查员所掌握的数据。数据有限成为了最大的障碍，因为调查人员必须经常使用虚拟影像，而不是物理机器。 数据采集很大一部分必须由云提供商提供，可能提供的数据并不是所需的数据。还好，云取证所依赖的工具，与传统取证过程所依赖的工具类型相同。 在过去的几年中，云取证迅速发展，所以，专门为云取证创建的新工具，在未来的几年里，可能会被写进。

从云收集数据

收集到的信息类型不同，取决于企业使用的是哪种云服务模型。右表展示了在使用SaaS、PaaS、IaaS或本地专用网络时，组织可以获得哪些信息。

显然，在进行云网络取证分析与在本地计算机上执行取证分析相比，组织不能访问云中相同的信息。

云数据采集：与服务提供商合作

要缩小差距，企业必须与云提供商合作，来获取信息进行分析，包括应用程序日志，数据库日志或网络日志。 保持持续的、开放的沟通，并与云提供商建立良好的关系是必要的，从而获得那些对成功审核、数据分析来说，都很重要的信息。

不幸的是，很多云提供商并不在乎他们客户的调查，而且极度不配合。 要么或者他们具备一个智慧的、并且/或者安全响应的团队，以协助取证调查所需要数据的收集。 在某些情况下，云提供商甚至可能会传递不正确的信息，在法庭上无法使用。 这似乎有些牵强，但是对于云提供商来说，定位并提供正确的信息，是非常困难的，与在云提供商环境下的复杂性相比，企业环境下的复杂性，相形见绌。 通常情况下，组织的数据位于世界各地的多个数据中心，没有人真正知道在哪里。更何况，这些数据与其他组织的数据并不单独存储，因此，确定哪些日志属于哪个企业，对提供商来说，很困难。

在选择云提供商时，必须谨慎小心，这一点至关重要。不同的云提供商，竞争力也不同，企业的云网络调查，可能会取得巨大的成功，也可能会彻底失败。

在评估云服务提供商时，企业不能只盲目地相信云服务提供商所说的。 如果提供商说，云服务是安全的，企业应该询问提供商对基础设施进行了哪些测试，以及是如何测试的。 企业还应该询问数据的位置以及哪些人有权访问这些数据。 当出现安全漏洞时，一个重要的标准是与IT部门合作。 我们知道，一个法医考官必须与云服务提供商密切合作，以获得有关漏洞所需要的信息 - 这是一个很大的优势，如果提供商有自己的安全团队。

随着云和云服务的加速发展，云网络取证会变得越来越重要。 至关重要的是，在建立合同和采用云服务之前，组织务必要仔细阅读所有的条款，以确保某一天不得不进行云计算调查取证时，组织的服务提供商不会影响组织的效率和成功。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友