MJIB










               前言                                               中一部分，指所有對行動裝置上的數位資

                                                                料進行保存、識別、萃取、分析及鑑定的
                 大部分駭客入侵都無法有效阻擋，因
                                                                行為。
            為駭客藉系統漏洞、釣魚方法、社交工程

            多種攻擊手法，讓資訊安全管理人員防不                                       「資安鑑識」（Cyber Forensics）則

            勝防。大部分使用者或是公司企業，因為                                  為筆者所提出之概念，廣義領域包括「資
            許多原因無法做到電腦即時更新，造成系                                  安預防（Prevention）、資安防護（Pro-
            統存在已知系統漏洞，提高了企業的資安                                  tection）、證據保全（Preservation）及專

            風險。為了避免遭駭侵，我們應清楚了解                                  業鑑識（Presentation）」等四大階段，並

            其行為與方法，並思考如何降低損失；透                                  由澳洲 Jill Slay 教授與筆者共同提出 4P’s
            過 MITRE ATT&CK 檢測技術與數位鑑識的                           Model 理論：要具備強大資安鑑識能量，
            檢測規則，相互對應檢視駭客留下怎樣的                                  其應包括符合 ISO 標準之 CyberLab 實驗

            數位證據以及駭侵的手法，不僅可了解電                                  室、標準作業程序 SOP、以及國際專業鑑

            腦受損程度，也能藉此提高警覺。                                     識人才等。


                 主動式數位鑑識技術（Proactive Digi-                           「主動式數位鑑識」（Proactive Digi-
            tal Forensics Technology, PDFT）雖為資訊                 tal Forensics, PDF）是一種嘗試在數位罪
            安全領域的重要趨勢之一，但其仍存在證                                  行或事件發生之前就開始搜集可能證據的

            據保全不足的問題，當 PDFT 搜集到證據                               鑑識方法。與傳統的「反應性數位鑑識」

            後，仍需進一步確保其可作為法律證據。                                  （Reactive Digital Forensic, RDF）不同，
            因此，需要強化保全證據之功能，例如加                                  主動式數位鑑識主要針對可能發生的事件
            密、數位簽章、存儲安全，或儲存至區塊                                  進行預先的偵測和分析，從而提供預防罪

            鏈，以確保證據不被篡改或洩露之技術。                                  行或其他惡意行為的機會。（圖 1）                     1


                                                                     傳統反應性數位鑑識通常是對已發生
               主動式數位鑑識技術的發展和應用
                                                                的事件做出反應，事件發生後，鑑識專家

                 「數位鑑識」（Digital Forensics）可                     會搜集硬碟、記憶體快照、日誌文件等數

            定義為：利用科學驗證的方式調查數位證                                  位證據。分析過程通常在事件發生後的一
            據，經由數位證據的擷取、分析、還原等                                  段時間內進行，並且可能會涉及大量的數

            過程，還原事件原貌，以利事件調查，並                                  位證據（或稱電子證據），但由於是在事
            提供法庭訴訟之完整依據。「行動鑑識」                                  後進行，所以對於防止未來事件發生的幫

            （Mobile Forensics）屬於數位鑑識的其                          助有限。


            1   Soltan Abed Alharbi, Jens H. Weber-Jahnke, Issa Traore, The Proactive and Reactive Digital Forensics Investigation Process: A Systematic
              Literature Review, Information Security and Assurance - International Conference Proceedings, ISA 2011, Brno, Czech Republic, August 15-17,
              2011.


         52 清流雙月刊