云计算已经从最前沿的技术变成了各种规模的行业、企业的实践。根据Flexera的云计算报告，94%的公司现在利用云计算。随着云计算的广泛使用，云计算取证的普及也就不足为奇了。

什么是云取证？

首先我们要了解什么是云计算：一种通过互联网向用户提供各种按需计算服务的技术。这些服务包括应用程序、数据库、服务器、网络等等，都是以租赁或"随用随付"的方式提供的。

云取证是指使用取证技术来调查云环境。当利用云作为媒介发生非法或犯罪行为时，云取证专家会利用他们的技能和知识来检测负责的个人或团体。云取证涵盖了云用户，包括受害者和犯罪者。比如，一家使用云服务器的公司可能是数据泄露或拒绝服务事件的受害者，不过犯罪分子自己也可能利用云来发动攻击。

与取证的其他子领域一样，云取证调查员必须遵循严格的规定，以确保法庭接受他们的报告。这可能涉及到获得法庭命令来搜查云服务器，确保证据没有被篡改，以及其他必要的预防措施。

云端取证工作通常以"取证计算机分析师"、"IT安全分析师"和"网络调查员"等标题列出。根据PayScale的数据，这些工作在美国的工资中位数大约在6万到10万美元之间。这些人可能受雇于政府、执法机构和大型公司，如银行和医疗机构，这些都是网络犯罪的常见目标。他们可以在内部工作，也可以作为外部承包商提供服务。并且对于云分析工作，每个组织都会有自己的标准。

数字取证与云取证有何不同？

数字取证是取证学的一个分支，它与电子设备和数据打交道，侦查犯罪，审查罪犯的路径，并分析和保存证据，供执法部门和检察官使用。

数字取证领域包括IT环境中的广泛组成部分：硬盘和其他存储介质、个人文件、互联网和其他网络、电子邮件、移动设备、数据库、操作系统、计算机内存等。

流行的数字取证工具：

The Sleuth Kit（TSK）：从硬盘和其他存储中提取信息。

Autopsy：一种检查硬盘的工具，提供操作系统、所有者、用户、应用程序、互联网历史记录、已删除文件等方面的数据。

Volatility：一个用于分析计算机内存的开源框架。

一旦这些工具确定了潜在的证据，数字取证专家就可以使用写入阻止器将数据安全地复制到另一个地方，恢复隐藏或删除的文件，解密加密的文件等。

云取证可以被认为是数字取证的一个子集，也是更广泛的取证科学领域的一个子集。因此，许多云取证技术和工具在数字取证中是常见的。与数字取证一样，云取证专家必须与不同的计算资产打交道：服务器、网络、应用程序、数据库和存储等等。

然而，有几个因素使云端取证有别于其母体的数字取证领域。也许最大的区别是，云端取证调查员往往缺乏对被调查系统和环境的物理访问。

云端取证的挑战

几个云端取证的挑战是这个领域所特有的。云取证的挑战包括法律和技术上的困难。云端取证分析的潜在问题包括：

管辖权复杂： 云服务通常托管在与用户所在地不同的州或国家。例如，谷歌在北美和南美、欧洲、亚洲和澳大利亚都有云服务器。在确定哪个司法管辖区对犯罪行为有管辖权时，情况会很复杂。

不稳定： 在传统的数字取证调查中，IT环境通常被 "冻结"，以防止在调查员完成工作时出现中断或进一步的问题。然而，这在公共云供应商那里通常是不可能的，他们可能为数千或数百万的客户提供服务。并且，环境仍然是活的、可改变的。所以，环境有可能是不稳定的。

物理访问： 在某些情况下，实际检查云服务器可以帮助取证。然而，这对大型云供应商来说是一个挑战，他们会制定严格的安全条例，防止未经授权的人进入场地。此外，如上所述，不能保证云服务器的实际位置离调查员很近。

分散性： 云供应商通常将文件存储在多个机器或数据中心，以提高数据可用性和可靠性。这种分散性和碎片化使识别问题和进行取证更具挑战性。

不可用或被删除的数据： 云供应商在向调查人员提供的信息方面可能有所不同。例如，日志文件可能不可用。此外，如果犯罪导致数据被删除，那么重建这些数据、确定所有者并在云端取证分析中使用这些数据就成为一项挑战。

参考链接：

https://www.eccouncil.org/cybersecurity-exchange/computer-forensics/what-is-cloud-forensics/

原文始发于微信公众号（电子取证及可信应用协创中心）：关于云取证