Forensics in The Cloud: vad du behöver veta

Cloud computing har förändrat IT-branschen, eftersom tjänster nu kan distribueras på en bråkdel av den tid det brukade ta. Skalbara datorlösningar har skapat stora cloud computing-företag som Amazon Web Services (AWS), Google Cloud och Microsoft Azure. Med ett knapptryck kan Personal skapa eller återställa hela infrastrukturen för en datorresurs i tre olika molntjänstmodeller: Software as a Service (SaaS), Platform as a Service (PaaS) och Infrastructure as a Service (IaaS). Dessa modeller presenterar tre unika utmaningar för att genomföra rättsmedicinska utredningar i molnet.

Molntjänstmodeller

med traditionella IT-tjänster ansvarar ägaren för alla tjänster från nätverksutrustning till själva applikationen. Cloud computing erbjuder dessa SaaS -, PaaS-och IaaS-lösningar för att göra distribution och hantering av datorresurser mer effektivt.

låt oss undersöka var och en av dessa modeller mer detaljerat nedan.

IaaS

ägaren är delvis ansvarig för operativsystemet och alla middleware, runtime, data och applikationer i cloud computing IaaS-miljöer. Implementeringen av operativsystemet, virtualiseringen och all hårdvara, lagrings-och nätverksutrustning hanteras dock för kunden av molnleverantören. Denna modell ger mest kontroll över den underliggande infrastrukturen för datorresurser till kunden. Exempel på IaaS är att skapa värdar med AWS Elastic Computing Cloud (EC2), Digital Ocean och Rackspace.

PaaS

PaaS är mindre inkluderande i ansvaret för cloud computing-resurserna. Det är där ägaren endast ansvarar för data och applikationer men inte den väsentliga molninfrastrukturen inklusive nätverk, servrar, operativsystem eller lagring. Denna servicemodell används främst av utvecklare som skapar applikationer eller programvara. Exempel på PaaS är AWS Elastic Beanstalk, Windows Azure och Apache Stratos.

SaaS

SaaS är en allomfattande cloud computing-värdmiljö där applikationsägaren tillhandahåller applikationen till molnleverantören, och den är värd och hanteras helt av molntjänstleverantören. Exempel på SaaS är Google Apps, Dropbox och Slack. Dessa applikationer hanteras helt av Cloud Service Provider (CSP), och användarna använder applikationerna till stor del via en webbläsare.

Cloud Computing och Forensics

Forensic frågor som är unika för cloud computing är jurisdiktion, multi-tenancy och beroende av CSP. Cloud forensics är en delmängd av digital forensics baserad på den unika metoden för att undersöka molnmiljöer. CSP: er har servrar runt om i världen för att vara värd för kunddata. När en cyberincident inträffar, juridisk jurisdiktion och de lagar som styr regionen presenterar unika utmaningar. Ett domstolsbeslut som utfärdats i en jurisdiktion där ett datacenter är bosatt kommer sannolikt inte att vara tillämpligt på jurisdiktionen för en annan värd i ett annat land. I moderna CSP-miljöer kan kunden välja den region där uppgifterna kommer att finnas, och detta bör väljas noggrant.

en huvudfråga för en utredare är att se till att den digitala bevisen inte har manipulerats av tredje part så att den kan tas upp till prövning i domstol. I PaaS-och SaaS-servicemodeller måste kunderna vara beroende av molntjänstleverantörerna för åtkomst till loggarna eftersom de inte har kontroll över hårdvaran. I vissa fall kommer CSP: er ibland avsiktligt att dölja detaljerna i loggarna från kunder. I andra fall har CSP: er policyer att de inte kommer att erbjuda tjänster för att samla in loggar.

att upprätthålla en kedja av vårdnad är mycket utmanande i en molnmiljö kontra en traditionell kriminalteknisk miljö. I traditionell rättsmedicinsk miljö har det interna säkerhetsteamet kontroll över vem som utför rättsmedicinska operationer på en maskin, medan i cloud forensics har säkerhetsteamet ingen kontroll över vem CSP väljer att samla bevis. Om de inte är utbildade enligt en rättsmedicinsk standard, kedjan av vårdnaden får inte hålla i en domstol.

sammanfattning

i cloud computing finns det tre servicemodeller och minst tre utmaningar som är unika för cloud forensics. Varje servicemodellnivå för cloud computing delar delansvar med molntjänstleverantören. Detta förhållande orsakar unika utmaningar när man genomför molnforensics-undersökningar, eftersom varje olycka kan förhindra att bevis kan tas upp till domstol.

eftersom molnservrar kan vara värd i flera länder kan kriminaltekniska data också vara. Detta innebär utmaningar för juridisk jurisdiktion. Molntjänstleverantörer fungerar inte alltid till din fördel när det gäller att genomföra kriminaltekniska undersökningar, eftersom du kostar dem tid och pengar för frågor som är mindre relaterade till dem. Dessa utmaningar är unika för delmängden av forensics-fältet, cloud forensics.

Tyler Wall om författaren: Tyler Wall är en viktig Cybersäkerhetsingenjör och passionerad cybersäkerhetsforskare och IoT-hobbyist. Han har sju års erfarenhet av säkerhetsoperationer och har lett tre säkerhetsövervakningsprogram till högre mognadsnivåer. Han är i enlighet med en Master of Science i Cybersecurity Management och kommer att vara klar januari 2020. Han har också nuvarande Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH) och Certified Forensic Security Responder (CFSR) certifieringar.

Redaktörens anmärkning: de åsikter som uttrycks i denna gästförfattarartikel är enbart bidragsgivarens och återspeglar inte nödvändigtvis Tripwire, Inc.

Lämna ett svar

Din e-postadress kommer inte publiceras.