RFC 3227

簡介

RFC 3227 是一份名為「證據收集和歸檔」的網際網路最佳當前實務 (Best Current Practice) 的規範文件，主要說明了在發生「安全事件」時，系統管理員應如何收集和保存相關證據。

• 安全事件: 根據 RFC 2828 「網際網路安全詞彙表」的定義，安全事件是指系統的安全策略未被遵守或遭到破壞的安全相關系統事件。
• 目標: RFC 3227 的目標是為系統管理員提供在安全事件發生時，收集和歸檔相關證據的準則。

使用方式

RFC 3227 提供了關於證據收集和歸檔的原則和步驟，企業藍隊成員可以參考這些資訊，制定和完善自身的事件應變流程和證據處理流程。

• 制定標準作業流程 (SOP): 藍隊成員可以根據 RFC 3227 中的原則和步驟，制定企業內部的安全事件應變 SOP，確保在事件發生時，所有成員都能按照一致的流程和標準進行操作。
• 選擇適當的工具: RFC 3227 提到了一些證據收集的工具，藍隊成員可以根據實際需求選擇合適的工具，例如使用 script 程式記錄操作過程。
• 確保證據完整性: RFC 3227 強調了確保證據完整性的重要性，藍隊成員可以使用校驗和、加密簽章等方法來驗證證據的完整性，並詳細記錄所有操作步驟，以確保證據在法律訴訟中具有可受理性。
• 與其他團隊協作: RFC 3227 提醒藍隊成員在事件處理過程中，需要與企業內部的其他團隊（例如法務部門、公關部門）協作，確保證據收集和保存過程符合企業的整體策略和法律規範。
• 持續改進: RFC 3227 鼓勵藍隊成員在每次事件處理後，進行反思和總結，並根據經驗教訓，持續改進自身的事件應變流程和證據處理流程。

RFC 3227 提供的是通用指導原則，藍隊成員需要根據企業自身的情況和面臨的具體威脅，對這些原則進行調整和完善，才能制定出真正有效的事件應變方案。

數位證據處理原則

核心目標

數位證據處理的核心目標是維護證據的完整性，並避免任何可能修改證據的行為。

主要原則

1. 完整性 (Integrity)

• 確保證據從收集、保存到呈交的過程中沒有被修改、損壞或以任何方式損害其準確性和可靠性。
• 使用加密、雜湊演算法、數位簽章等技術來保護證據。
• 建立嚴格的鏈式監護 (Chain of custody) 程序，記錄證據的每個處理步驟和經手人員。
• 移除外部變更途徑，防止證據被意外或蓄意修改。

2. 揮發性順序 (Order of Volatility)

• 按照揮發性由高到低的順序收集證據，以避免重要資料遺失。
• 順序如下:
  1. 暫存器 (Registers)， 快取 (Cache)
  2. 路由表， ARP 快取， 程序表， 核心統計， 記憶體 (RAM)
  3. 臨時檔案系統
  4. 硬碟
  5. 遠端日誌和監控資料
  6. 實體配置， 網路拓撲
  7. 歸檔媒體

3. 文件記錄 (Documentation)

• 詳細記錄證據收集、保存和分析的每個步驟，包括:
  • 使用的工具和技術
  • 精確的時間和日期 (注意系統時鐘與UTC的差異)
  • 地點
  • 經手人員
• 盡可能精確地捕捉和記錄系統狀態。

4. 法律遵循 (Legal compliance)

• 遵循相關的法律法規，確保證據的收集過程合法。
• 遵守組織的安全政策。
• 與適當的事件處理和執法人員合作。

5. 優先收集，後續分析

• 在現場優先進行證據收集，避免直接在原始證據上進行分析。
• 製作證據副本，在副本上進行後續的深入分析。

6. 最小化影響

• 在收集證據的過程中，盡量減少對原始資料的改動。
• 使用經過驗證的工具和技術，確保不會意外修改證據。

數位證據收集步驟

該規範也列出安全事件發生時，有效收集和保存證據的步驟

一、 確定證據位置和相關系統

• 識別受影響系統和設備： 確定哪些系統、伺服器、電腦、行動設備或網路設備可能包含與安全事件相關的證據。
• 定位潛在證據： 根據事件類型，找出可能存放相關證據的位置，例如系統日誌、應用程式日誌、資料庫記錄、設定檔、電子郵件、瀏覽器歷史記錄、暫存檔案、網路流量記錄、備份檔案等。

二、 建立相關性和可採性

• 相關性 (Relevance): 確保收集的證據與安全事件相關，並且有助於證明或反駁事件的發生、攻擊者的身份、攻擊手法等關鍵要素。
• 可採性 (Admissibility): 證據必須以合法且合乎程序正義的方式收集和保存，才能在後續的調查、訴訟或其他法律程序中被法庭接受為有效證據。

三、 按揮發性順序收集證據

• 數位證據收集應按照揮發性由高到低的順序進行，以避免重要資料遺失。
• 使用寫入封鎖器 (Write blocker) 複製證據，確保在收集過程中不會修改原始資料。

四、 記錄系統時鐘偏差

• 記錄受影響系統與可靠時間來源之間的時鐘偏差，這有助於在後續分析時準確重建事件發生的時間軸。
• 可以使用網路時間協定 (Network Time Protocol, NTP) 伺服器或其他可靠的時間來源來確定時鐘偏差。

五、 詳細記錄每個步驟

• 建立詳細的證據處理記錄，記錄每個步驟的細節，包括
  • 時間和日期
  • 執行的操作
  • 使用的工具和技術
  • 收集到的證據檔案名稱和雜湊值
  • 經手人員姓名和簽名
• 這些記錄可以作為證據處理過程的證明文件，並幫助調查人員重建事件發生的過程。

六、 記錄相關人員及其行為

• 識別相關人員： 確定哪些人可能與安全事件相關，例如目擊者、受害者、嫌疑人等，並記錄他們的姓名、聯絡方式、以及與事件的關係。
• 記錄人員行為： 收集與事件相關的人員行為資訊，例如登入時間、存取檔案、發送郵件、網路活動等。

數位證據的揮發性順序

建議在收集證據時應遵循此順序，從最容易消失的資料開始收集，以下是從最易揮發到最穩定的列表與介紹。

1. 暫存器 (Registers)， 快取 (Cache)
   • 電腦系統中速度最快的儲存單元
   • 用於暫時儲存處理器正在使用中的資料和指令
2. 路由表 (Routing Table)， ARP 快取 (ARP Cache)， 執行緒表 (Process Table)， 核心統計 (Kernel Statistics)， 記憶體 (RAM)
   • 解釋
     • 路由表儲存網路路徑資訊
     • ARP 快取儲存 IP 位址和 MAC 位址的對應關係
     • 執行緒表顯示正在執行的程式
     • 核心統計記錄系統核心運作資訊
     • 記憶體則暫存系統和程式運作所需的資料
   • 這些資料都儲存在記憶體中，一旦系統關閉或重新啟動就會消失
3. 臨時檔案系統 (Temporary file systems)
   • 作業系統和應用程式會使用臨時檔案來儲存暫時性資料
   • 例如
     • 瀏覽器快取
     • 應用程式設定
   • 這些檔案通常儲存在系統硬碟的特定資料夾中
4. 硬碟 (Disk)
   • 硬碟許多大量資訊
     • 作業系統
     • 應用程式
     • 使用者資料
   • 也可能儲存攻擊者留下
     • 惡意軟體
     • 被竄改的檔案
     • 其他數位痕跡
5. 與相關系統的遠端日誌和監控資料 (Remote logging and monitoring data that is relevant to the system in question)
   • 許多系統會將日誌和監控資料傳送到遠端伺服器
     • 例如
       • 網路設備
       • 安全資訊與事件管理系統 (SIEM)
   • 這些資料可提供
     • 有關事件發生時間
     • 攻擊來源
     • 受影響系統
     • 其他重要資訊
6. 實體配置 (Physical configuration)， 網路拓撲 (Network topology)
   • 實體配置是指系統的硬體組成
     • 例如
       • 電腦
       • 伺服器
       • 網路設備
   • 網路拓撲則描述網路設備和連線的佈局
   • 了解這些資訊有助於調查人員重建事件發生時的環境
7. 歸檔媒體 (Archival media)
   • 指用於長期儲存資料的媒體
     • 備份光碟、隨身碟
   • 歸檔媒體
     • 可能包含與事件相關的舊版檔案、日誌或其他證據

總結

企業藍隊成員可以參考這些資訊來制定和完善自身的事件應變流程和證據處理流程

1. 數位證據處理的核心目標：維護證據的完整性
2. 主要原則：完整性、揮發性順序、文件記錄、法律遵循、優先收集後續分析、最小化影響
3. 數位證據收集步驟：確定證據位置、建立相關性和可採性、按揮發性順序收集、記錄系統時鐘偏差、詳細記錄每個步驟、記錄相關人員及其行為
4. 數位證據的揮發性順序：從最易揮發（如暫存器、快取）到最穩定（如歸檔媒體）

小試身手

1. RFC 3227 的主要目的是什麼？
   A) 提供網路安全最佳實踐
   B) 定義數位取證的法律標準
   C) 為系統管理員提供證據收集和歸檔指南
   D) 說明如何預防安全事件

   答案：C
   解析：RFC 3227 的主要目的是為系統管理員提供在安全事件發生時，如何收集和歸檔相關證據的指南。

2. 在數位證據處理中，"揮發性順序"是指什麼？
   A) 證據的重要性排序
   B) 證據的法律效力排序
   C) 從最容易消失到最穩定的資料收集順序
   D) 證據分析的步驟順序

   答案：C
   解析：揮發性順序指的是從最容易消失（最易揮發）到最穩定的資料收集順序，以避免重要資料遺失。

3. 以下哪項不是 RFC 3227 提到的數位證據處理主要原則？
   A) 完整性
   B) 文件記錄
   C) 即時分析
   D) 法律遵循

   答案：C
   解析：RFC 3227 強調優先收集，後續分析的原則，而不是即時分析。主要原則包括完整性、揮發性順序、文件記錄、法律遵循、優先收集後續分析和最小化影響。

4. 在數位證據的揮發性順序中，哪一項應該最先收集？
   A) 硬碟資料
   B) 暫存器和快取
   C) 遠端日誌
   D) 網路拓撲資訊

   答案：B
   解析：根據揮發性順序，暫存器和快取是最易揮發的，應該最先收集。

5. 在證據收集過程中，為什麼要記錄系統時鐘偏差？
   A) 確保證據的法律效力
   B) 幫助重建準確的事件時間軸
   C) 評估系統性能
   D) 識別潛在的系統漏洞

   答案：B
   解析：記錄系統時鐘偏差有助於在後續分析時準確重建事件發生的時間軸，這對於理解事件的順序和因果關係至關重要。