FTK Enterprise：现代企业级远程端点数字取证解决方案

企业远程数字取证背景需求
几乎可以肯定地说，现代职场永远不会再完全回归现场办公模式了。虽然一些调查显示远程办公几乎已恢复到疫情前的水平，但也有其他调查发现，远程办公的员工数量已是几年前的4至5倍。
即使员工经常在现场办公，企业网络基础设施也已发生演变。固定的网络边界在很大程度上已成为过去，员工经常在非公司网络和非VPN环境下使用智能手机、笔记本电脑和其他设备。组织必须考虑其网络边界内外的网络安全风险，并能够立即调查和修复这些风险，无论它们发生在何处。
网络安全风险包括：
恶意软件和勒索软件
数据泄露
员工渎职行为
工业间谍活动
数据外泄
这份 Exterro 快速指南涵盖了远程数字取证调查的基础知识，包含以下内容：
进行远程网络安全事件调查所需的技术
可能需要进行的五种调查类型及其原因
每种调查类型的技巧、窍门和工作流程
开展远程数字取证调查所需的技术
传统的IT策略，例如要求将设备寄送或亲自带到办公室进行更新、打补丁和维修，在现代远程工作环境中已不再适用。
将设备寄送或携带至办公室的成本始终居高不下，尤其是考虑到当员工不得不等待关键设备维修时造成的生产力损失。这些策略在应对潜在内部威胁时完全不切实际，因为内部人员可能会擦除设备数据，从而销毁证明不当行为的宝贵证据。
网络安全的一个公认事实是：组织需要时刻保护其所有设备，而恶意行为者只需突破一次，就能危及整个网络的安全。为了有效开展远程调查并保护组织的资产，组织需要一个完整、准确的设备清单，并具备在检测到入侵时，利用远程数字取证代理的技术，对任何设备进行调查和修复。
什么是远程数字取证代理？
远程数字取证代理是一种可安装在组织所有终端设备上的程序，包括员工的计算机（无论是Mac还是PC）、服务器、手机以及任何连接公司网络的其他设备。常驻型远程代理在每个终端设备的后台保持静默状态，等待被调用以从终端设备收集数据。这对于确保远程代理能够在终端主机脱机或脱离 VPN 时履行其数据收集职责尤为重要。
当网络安全软件检测到入侵或其他不当行为迹象时，该代理可被自动激活。随后，它会以隐蔽方式将数据回传至企业级数字取证软件的中央部署点，供IT分析师或数字取证调查员审查、分析网络安全风险并实施修复。
接下来，我们将探讨五种不同类型的远程调查，并了解以下方面：
实际应用场景
技术概览
解读数据的技巧与窍门
远程调查类型 1：调查系统活动日志
系统日志和活动日志是相对较小且易于收集的文本数据文件，用于追踪用户在一段时间内（通常为三至六个月）在远程设备上的活动。在Windows和Mac电脑上，系统日志记录了用户行为的时间线，使调查人员能够查看用户打开的每个应用程序、连接到电脑的所有外部设备、用户执行的网络活动、用户所连接的网络，以及这些活动发生的准确时间。智能手机以及苹果手表或FitBit等可穿戴设备，同样会在其原生健康数据日志中记录用户全天的活动强度与地理位置信息。
应用场景
员工时间盗用：员工实际主动使用设备的时间是多久？
数据外泄：用户是否通过网络传输异常或不恰当的数据？
网络攻击：网络犯罪分子是否在系统及日志文件中留下了活动痕迹？
技术概览
系统和活动日志文件体积小，便于通过远程网络快速捕获。这些文件包括注册表配置单元和事件日志文件，例如 SYSTEM、SOFTWARE、SAM、NTUSER、USRCLASS，具有 .evtx 扩展名的文件，LNK 文件，ActivitiesCache.db，Amcache.hve 以及 SRUM.dat。
技巧与窍门
确保了解员工的日常行为模式，以便判断其行为是否异常或在过去几个月内发生了改变。分析初步数据，向决策者提供报告，并在发现不当行为时迅速采取行动，锁定相关设备。
远程调查类型 2：调查易失性存储器
易失性存储器指仅在设备通电期间保留数据的存储介质。若设备断电，数据即会丢失。易失性存储器可包括计算机的随机存取存储器（RAM），以及存储在打印机、路由器及本地液晶显示器等设备中的数据。
应用场景
数据泄露与事件响应
针对失陷指标的网络扫描
技术概览
计算机内存容量通常在 16GB 至 48GB 之间，因此通过远程网络捕获可能需要一定时间。建议考虑提取更具针对性的数据，例如进程信息，以优化收集过程。通过报告正在运行的进程来获取文本数据，这种方式更为快捷，并能提供必要信息，为进行更大规模的数据收集提供依据。
技巧与窍门
应避免过度收集数据导致调查进度迟缓，也需防止收集不足而被迫进行猜测推断。
远程调查类型 3：用于调查的文件恢复
如果调查目标非常明确，则可以针对特定文件或文件夹进行恢复，而无需收集大量需要筛选的数据。
应用场景
目标高度明确的调查：即您确切知道需要查找的内容。
技术概览
通过追踪文件夹路径，并针对单个或一组文件进行重复的取证收集，以获取与调查原因直接相关的数据。通过比较文件随时间发生的变化，可记录远程设备上的篡改、数据伪造或其他危险行为。
技巧与窍门
考虑提取多次进程数据，以确定用户在设备上的活动是否随时间而变化。
保留文件副本及其随时间变化的记录，以构建坚实的证据体系，为您的结论提供依据。
远程调查类型 4：修复网络安全威胁
如果在远程终端检测到危险活动，需要能够迅速采取行动，在威胁蔓延之前将其消除。
应用场景
数据泄露
恶意软件或勒索软件
非法活动或其他员工不当行为
工业间谍活动
技术概览
可以采取多种修复措施来降低对组织数据或基础设施造成的风险。根据具体风险采取相应行动，包括：
删除文件
终止运行中的进程
关闭机器
注销用户
重新格式化设备
关闭端口
技巧与窍门
通常，应采取消除该特定终端所面临威胁所需的最温和措施。如果只关闭除当下需要的代理通信端口之外的所有端口，您依旧可以收集系统数据、易失性数据，或通过您的代理执行任何其他可能需要采取的行动。请记住，如果完全关闭终端，将丢失存储在易失性存储器中的任何潜在证据。
远程调查类型 5：完整磁盘与分区扫描
如果无法确定或不确定需要查找的具体内容，可扫描整个硬盘驱动器或驱动器的完整逻辑分区，以保存全面的证据。
应用场景
针对被解雇员工的调查
知识产权侵权调查
为潜在诉讼进行法律证据保全
技术概览
分区镜像或完整磁盘镜像可能涉及数百GB的数据，这对于远程采集来说是巨大的数据量。建议优先考虑其他方法和有针对性的数据捕获。
技巧与窍门
在解雇员工的调查案例中，如果您可能不清楚需要查找的具体内容，那么获取完整磁盘镜像并加以存储或许是正确的举措。这样，就可以进行彻底的调查，同时仍能重新格式化设备并使其重新投入使用。
核心总结——FTK Enterprise 现代企业级数字取证软件，为调查人员提供所需的技术支持
现代工作环境中的网络安全威胁形势，包含了传统网络边界内外的双重风险。加之即使是以现场办公为主的工作模式，也仍会有部分用户在异地操作，因此，如果无法开展远程调查，就无法真正保障组织的IT基础设施和知识产权资产安全。
为有效实现这一目标，组织需要配备相应的技术和流程，以识别远程终端上的威胁，并迅速采取行动进行调查和修复。FTK® Enterprise 现代企业级数字取证软件，为调查人员提供了所需的技术支持。
借助 FTK Enterprise，您可以：
从云端来源收集数据
深度透视远程终端数据
调查网络安全事件、数据泄露及潜在员工不当行为
全程保持对调查对象的零干扰
快速识别并透彻分析危及您组织安全的活动
利用 FTK Enterprise，可揭露并调查各类犯罪与恶意活动，包括数据泄露、数据库篡改、不当分享公司机密信息、删除文件、擦除硬盘驱动器或浏览不当内容等。
隐蔽而审慎的远程端点数据采集
进行内部调查时，保密性至关重要。FTK Enterprise 采用隐蔽的、基于代理的技术，确保调查人员在获取远程数据时不会惊动相关员工和团队，随时随地调查员工不当行为,并将数据保存至安全加密的取证容器中。无需 VPN，FTK Enterprise 是离线网络远程获取技术的领导者。只要端点设备在线，组织即可持续对出差或“在家办公”（可能未连接 VPN）的员工进行数据采集。
通过实时预览功能，在数据采集前评估端点数据
全盘采集既耗时又占用存储空间。借助 FTK Enterprise，调查人员可以通过预览端点内容（查看其文件夹结构）、筛选特定的文件与数据类型，并在执行采集前查看相关文件，从而对疑似被入侵的端点设备进行快速风险评估。
精准定位证据
无需再耗费数小时手动排查终端注册表数据、网络历史记录和系统摘要文件来寻找您感兴趣的内容。FTK Enterprise 能智能归类海量数据痕迹，更快地精准定位关键证据。
利用网络安全自动化技术即时保存端点证据
将 FTK Enterprise 与 SOAR 和 SIEM 解决方案集成，通过可选的 FTK Connect 自动化流程，在检测到入侵时立即保存并收集端点证据。Exterro 与 Cortex XSOAR 等网络安全平台的无缝集成，能够降低风险并加速内部违规调查，提供24/7实时证据收集和可审计的保存能力。
快速修复处置
借助其修复功能，即时阻断风险蔓延。调查人员能够删除违规文件、终止恶意进程，并阻止各终端上的不合规活动。
其他特点：
零信任合规
使用加密公共站点服务器技术，在 ZScaler 等零信任框架内安全地进行远程端点采集、预览和修复。
内存对比
轻松将端点的易失性数据与上一次预览时的数据进行对比，以定位正在运行的进程或应用程序中的差异。
定向采集
定位端点上的特定位置，然后应用过滤器以限制采集的大小和范围，并排除无关数据。
Mac 数据审查
采集、解析并呈现 Apple MAIl、iMessage、iWork 文件、Safari 浏览器数据、Outlook for Mac 邮件、Mac 痕迹数据以及 Mac 系统摘要数据（如聚焦搜索、KnowledgeC 和电源日志数据）。
FTK Enterprise 搜集调查的数据类型：
Windows 注册表及系统信息
易失性数据/内存分析
浏览器历史记录与活动
文件上传与下载记录
公司内部或发送至外部收件人的电子邮件附件
最近访问的程序、文件及网络共享
曾连接至计算机的外部设备
“网络钓鱼诈骗”或恶意软件的来源
基于所连接网络的用户地理位置