提升調查蒐證工具的效率，鑒真數位以Golang重新改寫產品，並採叢集架構讓執行規模不再受限

一旦遭遇各種駭侵事件，早年IT人員往往為了恢復正常運作，將相關電腦系統重灌，但這也造就證據被湮滅，無法調查問題源頭的情況，也無法作為未來採取法律途徑之用，因此，不論是在資安領域或法律領域，數位鑑識的重要性已經一再被提及。

近年來，隨著資安威脅日益嚴峻，企業對於事件應變越來越重視，政府也持續加強這方面的監管力道，尤其對於個資外洩事件，雖然早期在政策的推動上，主要衡量標準在於企業是否有積極改善的態度，但在2023年個資法修法後，已開始採取更嚴格的規範，像是要求行政檢查，以及10天內要提出完整報告。

在這樣的局勢之下，關於資安事件鑑識與調查的效率，也成為企業相當關切的議題，因為這方面的處理能力不足，一旦發生駭客入侵、勒索軟體攻擊等事故，資安長或企業高層可能很難在短時間內，得到初步的蒐證與調查結果，無法快速掌握有多少臺主機遭到滲透，找出事件發生可能的目標源頭，以及釐清是遭受駭客入侵或是內部人員所為，並考量後續的司法訴訟因應對策。

因此，市面上雖有資安監控、EDR、XDR等類型產品，擴及資安事件調查分析，但專業的數位鑑識軟體，仍然不可或缺。臺灣本身也有幾家自主研發這方面解決方案的業者，鑒真數位（iForensics）是當中頗具知名度的廠商，他們在2016年底打造出資安事件應變調查蒐證工具eDetector，並成為該公司的招牌產品。

特別的是，時隔7年，他們終於再次舉辦這套產品大改版的發表會，宣布升級翻新的消息，從核心模組全面改寫，更貼近現代企業需求。

根據鑒真數位的說明，我們可以看出新一代eDetector有兩大重點。首先是產品重新改寫後，可大幅縮短整個事件調查週期，讓企業在資安事件發生初期，就有能力做到大規模的蒐證與調查；其次是推出SaaS全新服務模式，這對於中小企業會有很大幫助，可降低使用這項工具的進入門檻，同時還因為有AI技術的加入，在沒有專業鑑識人員的情況下，也能產生出基本的資安事件報告。

以Golang重新改寫產品，為蒐證調查工具效率帶來革新

關於eDetector新版推出，最明顯的變化是介面，從原本建構在Windows系統的MFC應用程式框架當中，轉變為純網頁的介面，而且，新一代產品採用叢集（cluster）架構，可透過部署更多臺系統以擴展整體執行規模，足以負荷上千臺裝置的蒐證調查，所花費的時間也與單臺裝置的蒐證調查相同。因此，eDetector能在短時間內，蒐集大量目標主機，大幅改進產品蒐證效率。

為了使端點蒐證鑑識工具跟上時代，新一代eDetector的開發有哪些變革？鑒真數位研發團隊主管王吉磊表示，過去開發選擇不多，以C++語言撰寫，新一代產品以Golang重新改寫，執行速度大幅提升。他也直言，前幾年他們就已著手重新開發，只是當時效能無法令他們滿意。

論及系統效能的具體差異，王吉磊說，過去eDetector一次最多只能部署在10臺電腦，瓶頸在於主機的資料庫會受到傳輸頻寬不足的限制，若是端點數量更多，就需要以每次10臺的方式排定，依序執行，而且每次蒐證執行需要耗費兩、三小時。新一代的產品則有根本的改變，不只是能對上千臺電腦同時蒐證，而且在10分鐘內就可以完成。

對於急迫完成鑑識與調查工作的企業，有很大幫助，甚至早該如此進化。

關於新一代調查蒐證工具eDetector的應用，透過鑒真數位實際展示，我們可以看到當中可執行5項分析，除了既有的記憶體分析、痕跡取證、檔案總表，效能獲得提升，還新增YARA Rule掃描、關鍵映像檔，同時介面上還提供「產生報告」按鈕，其背後將透過AI報告生成功能，快速給出事件的總結、細節、建議與攻擊發生時間軸。（攝影／羅正漢）

最新AI報告生成技術也內建，蒐證項目類型也增至近60項

對於企業而言，也很關注這類工具的功能發展，有哪些重大改進？

除上述雲端擴充架構全新設計，鑒真數位也導入YARA掃描，以及AI報告生成，這些亦都是新版eDetector才有的功能。

基本上，搭配描述惡意程式的YARA規則，作為入侵指標（IoC），將可快速辨認惡意程式並鎖定潛在風險，已常見於許多資安產品。較不同的是，eDetector加入自動化的關鍵資訊標註，以及可介接自動產生報告的功能，進而協助自動化IoC判定及報告產製。另外，這套軟體也提供可掃描全機檔案的選項，以及可針對不同YARA規則，自定各自的風險分數。

在AI報告生成方面，這樣的技術正普遍受到資安業者看重，鑒真數位也納入而成為eDetector新版內建功能。用戶可透過介面上的「產生報告」功能，將分析結果送到大型語言模型（LLM）處理，其背後是採用微軟的方案，進而快速整理出調查報告。

我們從現場電腦展示的eDetector介面，可看出當中呈現事件的總結、細節、建議，以及關於攻擊發生先後順序時間軸的互動式圖表。

至於原本的自動化蒐證技術，新一代eDetector也予以強化。例如，在記憶體分析、痕跡取證、檔案總表等主要功能，隨著產品核心改寫，而大幅增進蒐證數量與搜尋效能，較特殊的是，本次改版額外新增了關鍵映像檔的應用方式，目的是讓蒐集效益可以最大化——這是因為傳統蒐集全硬碟映像檔的作業相當耗時，而這項新功能聚焦於關鍵部分的蒐集，可協助使用者在短時間內保全約6成左右的重要關鍵跡證，但速度可以快14倍，供後續分析或其他運用。

此外，在端點裝置方面，eDetector現在同時支援Windows、Linux作業系統，蒐證項目也比原有增加了兩倍以上，多達接近60項，包含記錄應用程式執行的Prefetch，記錄檔案存取的Jump List，以及安全性日誌、系統日誌、應用程式日誌等。

除了端點鑑識調查層面的軟體功能持續改良，雲端環境的鑑識調查應該也是這套產品未來要擴及的面向？對於這樣的問題，鑒真數位表示，雲端是他們一直想跨入的領域，以針對IaaS服務的蒐證而言，鑒真數位的工具其實已經可以適用，與地端版是相同的概念，但如果針對PaaS或SaaS服務的蒐證，因為當中並不涉及底層作業系統權限，而且三大公有雲業者的日誌記錄完全不同，這將需要發展另一種處理方式跟切入思維，而且需要與這些重要廠商配合。因此，他們認為，相關功能的實作還有很長的路要走。

鑒真數位執行長黃敬博表示，他們自行研發的調查蒐證工具eDetector自推出以來，已有7年之久，這次整個產品改寫，不僅大幅改進產品蒐證效率，同時推出SaaS全新服務模式，降低費用門檻，讓不幸遭遇事故的一般中小企業，可以減輕這方面的負擔。（攝影／羅正漢）

新的SaaS授權模式可降低工具使用門檻，適用於中小企業

隨著軟體訂閱制在企業IT市場大行其道，eDetector新版也跟進這股風潮，使服務面向可以更廣泛。鑒真數位執行長黃敬博宣布，eDetector提供兩種全新服務模式，包括：大企業On-Premise授權模式，以及中小企業SaaS授權模式。

簡單來說，以第一種地端部署模式而言，可在組織內部架設伺服器，大量派送代理程式來執行，可適用不允許資料傳至雲端的警調單位，以及大型企業。

而在另一個SaaS服務模式當中，對於沒法負擔資安專家到場服務的中小企業來說，將是不錯的選擇，企業可以透過線上付款方式，取得鑑識與調查工具的代理程式，之後只要自行在目標主機上執行，就能在雲端平臺上檢視跨機蒐證分析結果，完成基本資安事件調查與蒐證。在使用過程中，也可搭配輸入情資與入侵偵測指標，即可自動標註相關跡證紀錄，並藉由內建的AI功能產生事件調查報告。

綜觀上述服務模式的改變，我們特別關注一件事──SaaS服務型態早已成為主流商業模式，很多人可能都覺得司空見慣，因為很多資安產品已經這麼做，但我們很少聽聞有蒐證調查的SaaS服務。

對此，鑒真數位表示，市場上端點蒐證的商用產品本來就不多，相關SaaS服務的工具大多以EDR、掃描工具為主。

就他們所知，國際上提供SaaS服務的此類蒐證與調查服務的業者並不多，在國內他們應該是唯一一家。