章节范围
Investigations and Ethics.
调查与道德。
这一章一半讲调查取证,一半讲职业伦理。
Domain 1 与 Domain 7 交叉考点。
主题 01
调查类型总览:目的不同,证据标准不同
安全人员可能参与运维、行政、刑事、民事、监管和行业标准调查。调查目标不同,证据收集、保留、证明标准和法律参与程度也不同。
调查重要性
Security incidents may require an investigation.
安全事件可能需要调查。
有些只是内部判断,有些会升级到执法、监管或诉讼。
一开始就按正确流程处理,避免证据后面不能用。
运维调查
Operational investigations resolve operational issues.
运维调查解决运行问题。
目标是排障和根因分析,不是为了上庭形成证据。
Operational investigation 证据标准最宽。
行政调查
Administrative investigations examine policy violations.
行政调查检查政策违规。
可能涉及 HR 纪律处分、员工违规或内部政策执行。
如果可能处罚个人,证据标准要更严。
刑事调查
Criminal investigations examine criminal law violations.
刑事调查调查刑法违规。
通常由执法人员进行,证据标准最高。
Criminal = beyond a reasonable doubt。
民事调查
Civil cases use a lower standard.
民事案件使用较低证明标准。
民事争议通常关注责任和赔偿。
Civil = preponderance of the evidence。
监管调查
Regulators investigate administrative law violations.
监管机构调查行政法规违规。
政府机构可因合规问题开展调查。
Regulatory scope and procedure vary widely。
行业标准
Industry standards may require investigations.
行业标准可能要求调查。
如 PCI DSS 不是法律,而是合同义务,但失败也可能导致罚款或制裁。
Industry standard investigations often resemble regulatory investigations。
主题 02
证据可采性与证据类型
证据要能被法庭接受,必须相关、重要且合法取得。常见证据类型包括实物证据、文档证据、证言证据和演示证据。
Artifacts
Evidence items are known as artifacts.
证据项目也称为工件。
电脑、手机、网络设备、日志、数据文件都可能是证据。
Artifact 可指 data、computer、network、mobile device。
相关性
Evidence must be relevant.
证据必须相关。
它要能帮助确定案件中的某个事实。
Relevant 是 admissible evidence 三要求之一。
重要性
The fact must be material.
该事实必须重要。
证据指向的事实必须会影响案件结果。
Material = important to the case。
合法能力
Evidence must be competent.
证据必须合法有效。
非法搜查或非法取得的证据可能不能使用。
Competent 常与 legally obtained 绑定。
实物证据
Real evidence consists of things.
实物证据由实际物品构成。
硬盘、手机、设备、打印文件等能带到法庭的对象。
Real evidence 又叫 object evidence。
文档证据
Documentary evidence includes written items.
文档证据包括书面材料。
日志、合同、记录、报告都可能属于文档证据。
Best evidence rule 和 parol evidence rule 常与 documentary evidence 同考。
证言证据
Testimonial evidence is oral or written testimony.
证言证据是口头或书面证词。
证人基于自己看到或知道的事实作证。
Hearsay 通常受限制,专家证人例外更复杂。
演示证据
Demonstrative evidence supports testimony.
演示证据支持证言。
网络图、数据包示意图、时间线可帮助解释复杂概念。
Demonstrative evidence must assist understanding。
主题 03
证据链:每一次接触都要记录
证据链证明证据从收集到出庭期间未被篡改。标签、交接记录、访问记录和存储位置都要完整,链条断裂会削弱可信度。
证据认证
Real evidence must be authenticated.
实物证据必须被认证。
要证明它就是当时收集的那个对象,而且没有被动过。
Authentication 与 chain of custody 相关。
证据链
A chain of evidence must be established.
必须建立证据链。
记录谁收集、谁处理、谁保管、谁使用。
Chain of evidence = chain of custody。
处理人员
Document everyone who handles evidence.
记录每个处理证据的人。
包括收集者、技术人员、保管者、律师和出庭人员。
每次交接都要签名和时间。
位置记录
The location must be fully documented.
证据位置必须完整记录。
证据在哪里、何时移动、为何移动,都要有记录。
Location tracking 是 chain of custody 一部分。
标签内容
Labels include description, time, date, and location.
标签包括描述、时间、日期和位置。
还应包含收集人姓名和收集时相关环境。
Evidence label 信息要背熟。
交接日志
Each handler signs the custody log.
每个处理者签署保管日志。
签名表明接收、交出和保管责任。
No signature = chain weakness。
防篡改
Show evidence was not tampered with.
证明证据未被篡改。
封条、哈希、访问控制和安全存储都是为了这个目的。
Integrity is central to evidence handling。
法庭风险
Broken custody can weaken evidence.
断裂的证据链会削弱证据。
对方可以质疑证据是否被修改或替换。
链条越完整,证据越可信。
主题 04
数字取证:保护原件,分析副本
数字证据易被改变。取证原则是尽量不改变原始证据,必须访问原件时由具备能力的人员执行,并完整记录每一步。
不改变证据
Actions should not change evidence.
采取的行动不应改变证据。
取证不是普通排障,不能在原系统上随便点、查、删。
最重要规则:avoid modification of evidence。
专业能力
Access requires forensic competence.
访问原始数字证据需要取证能力。
不懂取证的人操作原件,可能把证据毁掉。
Forensically competent 是 IOCE 原则。
介质分析
Media analysis examines storage media.
介质分析检查存储介质。
硬盘、磁带、光盘、未分配扇区和 forensic image 都在范围内。
Use write blocker and bitwise image concepts。
取证镜像
Create a bitwise copy of the device.
创建设备逐位副本。
先做镜像并校验哈希,再用副本分析。
Original image preserved; analyze copies。
内存分析
Memory evidence is volatile.
内存证据是易失的。
关机后 RAM 内容会丢失,因此可能先采集 memory dump。
Order of volatility 决定采集顺序。
网络分析
Network data is volatile.
网络数据具有易失性。
未记录的流量过了就没了,需依靠日志、SPAN/TAP 或抓包。
Packet captures should be hashed and handled as evidence。
软件分析
Analysts may review applications and logs.
分析员可能审查应用和日志。
包括代码、应用日志、恶意软件行为和程序活动。
Software analysis 与第 20/21 章也有关。
嵌入式设备
Forensics includes hardware and embedded devices.
取证包括硬件和嵌入式设备。
移动设备、网络设备和嵌入式系统需要专门知识。
Artifacts 不只来自电脑硬盘。
主题 05
调查流程与合法取证:授权和范围先行
调查开始前要组建团队、定义目标、明确授权、角色和规则。证据取得方式必须合法,包括同意、传票、明显可见、搜查令和紧急情况等。
调查团队
Assemble a team of competent analysts.
组建有能力的分析团队。
复杂调查需要安全、IT、法律、HR、管理层和外部专家配合。
Competent analysts 是调查起点。
规则
Rules of engagement guide actions.
交战规则指导行动。
定义调查员能做什么、不能做什么、在什么阶段能做。
ROE 包含权限、角色和责任。
不要动原件
Never investigate on an actual system.
不要在实际系统上调查。
除内存等实时取证外,应制作镜像,在副本上分析。
Live forensic technique 是例外。
自愿交出
The owner could voluntarily surrender evidence.
所有者可自愿交出证据。
内部环境中,员工同意或政策授权可能允许收集。
Consent 是合法途径之一。
传票
A subpoena compels surrender of evidence.
传票强制交出证据。
但它可能给对方时间篡改证据。
Subpoena may tip off the owner。
明显可见
Plain view may allow seizure.
明显可见可能允许扣押。
执法人员在合法地点看到与犯罪有关证据,可在特定条件下扣押。
Plain view 需要合法在场和 probable cause。
搜查令
A warrant authorizes search and seizure.
搜查令授权搜索和扣押。
当需要在不惊动证据所有者情况下取得证据时更有用。
Warrant describes legal bounds of search。
紧急情况
Exigent circumstances permit immediate collection.
紧急情况允许立即收集。
如证据即将被销毁或存在生命危险。
Exigent circumstances 是例外条件。
主题 06
报告、文档与留存:让调查结果可追溯
每次调查都应形成报告,记录目标、步骤、证据和结论。日志留存、远程日志和完整性保护可以确保未来调查仍有可用证据。
最终报告
Every investigation should result in a final report.
每次调查都应产生最终报告。
报告让管理层、法律团队和后续调查知道发生了什么。
Report documents goals, procedures, evidence, results。
报告内容
Document goals, procedures, evidence, and results.
记录目标、流程、证据和结果。
没有记录,调查过程很难被复核或升级。
Reporting and documentation 是 CISSP 明确目标。
法律基础
Documentation lays the foundation for legal action.
文档为法律行动打基础。
早期看似小事,后面可能变成雇佣纠纷或诉讼。
标准程序和检查清单有助于证据未来可采。
培训
Evidence collectors require proper training.
证据收集人员需要适当培训。
不知道如何收集的人可能改变证据。
Training supports admissibility。
数据完整性
Prove evidence integrity was maintained.
证明证据完整性得到维护。
即使证据内容很有力,收集过程改变了它也可能被排除。
Integrity must be provable。
日志留存
Log retention preserves evidence.
日志留存保存证据。
如果关键日志已被轮转清除,调查线索会断掉。
Retention periods should match legal and business needs。
远程日志
Remote logging protects log integrity.
远程日志保护日志完整性。
攻击者清理本机日志时,集中日志副本仍可保留证据。
Remote logging/SIEM supports evidence preservation。
法律团队
Establish a relationship with legal personnel.
建立与法律人员的关系。
调查前就应知道何时咨询法律团队。
Legal counsel helps set evidence handling guidelines。
主题 07
攻击调查场景:看动机,也看证据
调查会结合攻击动机、目标系统、日志、网络路径和主机证据来拼接事实。Locard 原理提醒我们:接触必然留下痕迹,数字环境也一样。
Locard 原理
Every contact leaves a trace.
每次接触都会留下痕迹。
攻击者碰过的系统、网络、日志、账号都可能留下线索。
Locard's exchange principle 适用于数字取证思路。
网络跳板
Attackers may use network hops.
攻击者可能使用网络跳板。
日志可能显示一串跳板,而不是直接暴露真实来源。
需要关联网络、主机和认证日志。
军事/情报
Some attacks threaten national security.
某些攻击威胁国家安全。
这类调查可能涉及政府、情报或军事目标。
调查类别影响上报和参与方。
商业攻击
Business attacks target civilian systems.
商业攻击针对民用系统。
动机可能是窃取商业秘密、破坏竞争对手或影响业务。
Business attacks focus on CIA of business information。
金融犯罪
Financial attacks seek monetary gain.
金融攻击追求经济利益。
支付欺诈、盗转、勒索和账号滥用都可能留下交易线索。
Follow the money 是调查思路之一。
关键基础设施
Infrastructure attacks may affect control systems.
基础设施攻击可能影响控制系统。
电力、水务、交通等控制系统被攻击时影响更广。
Safety and public welfare may affect response priorities。
内部人员
Former employees may retain access.
前员工可能保留访问权限。
离职账号、VPN、共享凭据和未撤销权限都是线索。
Termination procedures 与调查线索相关。
证据拼图
Use multiple sources to piece together the investigation.
使用多源证据拼接调查。
主机镜像、日志、网络包、访谈和门禁记录一起还原时间线。
单一日志通常不足以说明全貌。
主题 08
ISC2 职业道德准则:认证条件也是行为边界
CISSP 候选人和持证人必须遵守 ISC2 Code of Ethics。考试常考四条 Canon 和投诉流程,尤其是 honorably、honestly、justly、responsibly、legally。
认证条件
Adherence is a condition of certification.
遵守准则是认证条件。
不是建议,而是持证必须遵守的要求。
CISSP candidates must agree to the Code。
Canon I
Protect society, the common good, and infrastructure.
保护社会、共同利益和基础设施。
安全专业人员首先服务公众利益,而不是只服务个人或老板。
Canon I 可由公众投诉。
Canon II
Act honorably, honestly, justly, responsibly, and legally.
以荣誉、诚实、公正、负责、合法方式行动。
这句原文很常考,关键词要熟。
Honorably/honestly/justly/responsibly/legally。
Canon III
Provide diligent and competent service.
勤勉且胜任地提供服务。
对委托人负责,不能超出能力胡乱承诺。
Diligent and competent 是 Canon III 核心。
Canon IV
Advance and protect the profession.
促进并保护专业。
维护安全行业声誉,支持专业发展。
Other professionals may file Canon IV complaint。
投诉形式
Complaints must be in writing.
投诉必须是书面形式。
通常需要宣誓书,并指出具体违反哪条 Canon。
Sworn affidavit 是投诉流程关键词。
调查制裁
ISC2 may investigate and sanction violations.
ISC2 可调查并制裁违规。
处罚可包括撤销认证。
Revocation of certification 是严重后果。
组织准则
Organizations often have codes of ethics.
组织通常也有道德准则。
安全人员要同时遵守组织准则和专业准则。
Organizational code may be in policy。
主题 09
互联网伦理与公平信息实践:有能力,更要守边界
安全人员拥有强大的访问和技术能力,必须通过伦理准则约束行为。RFC 1087、计算机伦理十诫和公平信息实践都强调合法、克制、隐私和责任。
伦理定义
Ethics govern personal conduct.
伦理规范个人行为。
伦理不是技术控制,而是告诉你有能力时什么不该做。
Code of ethics = rules governing behavior。
RFC 1087
Ethics and the Internet outlines unacceptable acts.
互联网伦理列出不可接受行为。
比如未授权访问、破坏完整性、浪费资源、损害隐私。
RFC 1087 是 Ethics and the Internet。
未经授权访问
Seeks unauthorized access.
寻求未经授权访问。
即使你会做,也不代表你可以做。
Authorization 是伦理边界。
破坏完整性
Destroys the integrity of information.
破坏信息完整性。
篡改、破坏或未经授权更改数据都是伦理问题。
Integrity destruction is explicitly unethical。
资源滥用
Wastes resources.
浪费资源。
滥用网络、计算、存储和公共资源都不合伦理。
RFC 1087 包含资源使用约束。
隐私
Compromises user privacy.
损害用户隐私。
安全工作中能看到很多敏感信息,必须最小化和保护。
Privacy is an ethical and legal concern。
公平信息实践
Fair information practices guide privacy.
公平信息实践指导隐私保护。
告知、选择、访问、更正、安全和责任是常见原则。
FIPPs 与隐私治理相关。
专业克制
Professionals should act legally and responsibly.
专业人员应合法并负责地行动。
安全不是“我能做就做”,而是“我被授权、合规、可审计地做”。
道德题通常选保护公众、合法、负责的选项。