目前在ICS领域里还没有统一的、标准的取证流程,本文参考国际范围内的相关研究提出一套针对ICS领域的数字取证流程。
取证流程涵盖以下几个阶段:
- 准备
该阶段需要完成以下工作:
事件发生现场的ICS系统组成、网络拓扑、资产列表、配套文档信息;根据这些信息厘清网络架构及入口、各设备的品牌版本型号、软件版本等。
现场设备及系统重要性与关键性梳理,确定哪些系统及设备属于关键部分,哪些可以切换至热备状态,哪些可以断开与其它系统连接进行独立分析等。
根据对事件的初步了解,尝试构建攻击链,判断攻击如何渗透至内网、判断采用了那种类型的攻击、触发了何种漏洞。该步骤中可以参考ATT&CK for ICS框架,初步做一个攻击草图描绘,有助于后续的证据收集定位。 - 识别
该步骤中需要识别出以下关键点:
识别出哪些区域受到影响或者即将受到影响,该区域的哪些组件或者设备有异常,是何种现象?根据这些现象识别出内部的数据源头和数据交互路径,为以后的采集阶段打基础。
将以上识别出的系统或者设备尽可能做隔离处理,避免正常设备或者系统受感染发展成二次事件。 - 分类
该阶段中需要根据识别出来的设备或者系统,详细列举设备或系统中受影响组件或者进程、设备的相关信息。信息包含但不限于:设备名称、品牌、型号、版本、所处地理位置;组件名称、关联服务名称等。
有了以上列表后,此时需要按照关键性、可获取性、证据驻留时间等因素进行优先级排序,目的是在成百上千个设备或者系统组件中筛选出优先分析的目标对象,此处虽然花费了时间,但是规避了无目的的取证丢失重要证据的风险。 - 采集
该阶段是取证工作的核心部分,是后续分析阶段的输入,因此该部分需要花功夫和心思去研究。经过以上阶段确定了分析对象,该部分解决的是在目标对象上收集什么信息?这些信息在哪里?需要采用什么手段采集?目标对象的关联证据还有哪些等问题。
通常在采集阶段收集的数据源来主要自于设备和网络。此处分别称其为设备数据源和网络数据源。
遇到设备或者网络数据源时可参考上述的内容,筛选所需数据进行采集。但是如何采集?对于工程师站,服务器和历史站点等,可以应用常规的IT取证工具来执行数据采集,并配合专业SCADA软件的日志采集工具采集各类日志文件,但对于更专业的控制设备(PLC、RTU等),则需要制造商提供专业软件或硬件,使用JTAG端口或其他手段提取内存,并确保在不影响设备运行的前提下执行操作。关于如何针对每种设备或者系统做数据采集,需要有明确的指导文件。最好能在事前积累各种不同设备或系统的取证方法和工具,并出具操作手册,以明晰诸多可能遇到的问题,例如:组件是否需要保持在线状态?如果可以关闭组件或切换到备份状态,是否需要先获取易失性内存数据?在取证开始后有没有哪些操作会覆盖已有证据,如何避免该种操作等等。 - 分析
除过采集阶段,分析阶段也是整个流程中的核心环节,该阶段是将采集阶段收集的大量流量、文件、数据、表类等进行综合分析,找到关联性,建立起攻击的详细步骤、时间线等框架,并评估对整个ICS系统及其生产业务的综合影响。
该阶段中需要借助大量的工具或者软件,但是ICS领域里可使用的工具极其有限,除过在工程师站、服务器、历史库等站点的IT部分可采用传统的取证工具和软件分析,其余相关的日志和设备数据分析都需要专有工具或者专业人员。面对目前现状,建议在分析阶段和制造厂商的专业人员联合进行,使用制造厂商的专用工具进行文件解析和数据格式恢复,使其变成调查组统一的文件格式或者类型便于后续自动化分析使用。 - 报告
经过以上的几个阶段,已经得到了详细的数据,最后阶段就是将详细的数据或者步骤整理成图文并茂的报告,报告中应包括详细完整的数据记录并且环环相扣的逻辑印证、事件的完整描述及证据支撑、ICS系统暴露出来的未知漏洞或者薄弱点、对后续ICS系统规划设计的意见和建议等。
如果想了解更多安全知识,或者有问题,都可以关注以下公众号,私信我:
1314
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
