همه مواردی که لازم است راجع به فارنزیک بدانید – قسمت اول

forensic

در این مقاله چندین جنبه از سازماندهی قابلیت فارنزیک (Forensic) در یک سازمان‌ صحبت خواهد شد. این مقاله با بیان انواع مختلفی از کاربردهای فارنزیک  آغاز می‌شود و سپس نمایی تخصصی از فرایند آن را ارائه می‌دهد. بخش بعدی مقاله در مورد این است که خدمات فارنزیک معمولاً چگونه فراهم می‌شوند و یک راهنمایی در مورد نحوه‌ی ایجاد و حفظ  مهارت‌های ضروری برای انجام فارنزیک ارائه می‌دهد. این بخش همچنین نیاز به استفاده از انواع تیم‌ها در سازمان را شرح می‌دهد، مثلاً نقش مشاوران حقوقی و کارمندان امنیت فیزیکی در برخی از فعالیت‌های فارنزیک . در انتها به بیان نحوه ارتباط سیاست‌ها، دستورالعمل‌ها و فرایندها با فارنزیک می‌پردازیم. (مثلاً تعریف نقش‌ها و مسئولیت‌ها، فراهم کردن راهنمایی در مورد استفاده‌ی مناسب از ابزار و تکنیک‌ها، استفاده از فارنزیک  در چرخه عمر سیستم اطلاعاتی).

تکنیک‌ها و فرایندهایی که در این راهنما ارائه می‌شوند براساس اصول فارنزیک دیجیتال هستند. علم فارنزیک عموماً عبارت است از کاربرد علم در قانون. فارنزیک دیجیتال که تحت عنوان فارنزیک رایانه[۱] و شبکه نیز شناخته می‌شود تعاریف زیادی دارد. این حوزه به‌طورکلی عبارت است از کاربرد علم در شناسایی، جمع‌آوری، بررسی و تجزیه‌و‌تحلیل داده در حین حفظ صحت اطلاعات و زنجیره‌ی مدارک داده. ازآنجایی‌که سازمان‌های مختلف تابع قوانین و مقررات متفاوتی هستند، نباید این مقاله را به‌عنوان یک راهنمای جامع برای انجام بررسی‌های فارنزیک دیجیتال مورد استفاده قرار داد، آن را به‌عنوان توصیه‌ای حقوقی تعبیر کرد یا آن را مبنایی برای بررسی فعالیت مجرمانه در نظر گرفت. بلکه سازمان‌ها باید در کنار راهنمایی‌های جامعی که توسط مشاوران حقوقی، مقامات اعمال قانون و مدیریت ارائه می‌شود، از این راهنما به‌عنوان نقطه شروعی برای توسعه‌ی قابلیت فارنزیک خود استفاده کنند.

 دلایل نیاز به فارنزیک (Forensic)

 در طول دهه‌ی گذشته، تعداد جرایمی که شامل رایانه‌ها بوده‌اند رشد کرده و موجب افزایش تعداد شرکت‌ها و محصولاتی شده است که هدف‌شان کمک به اعمال قانون در استفاده از شواهد مبتنی بر رایانه برای تعریف «کی؟»، «کجا؟»، «چه کسی؟»، «چه چیزی؟» و «چگونه؟» جرایم است. در نتیجه، فارنزیک رایانه و شبکه تکامل پیدا کرده است تا از ارائه‌ی مناسبِ داده‌های مستند در دادگاه اطمینان حاصل گردد. معمولاً در حوزه‌ی تحقیقات مجرمانه و رسیدگی به حوادث امنیت رایانه به ابزار و تکنیک‌های فارنزیک نگاه می‌شود، با این هدف که بتوان با بررسی سیستم‌های مشکوک، جمع‌آوری و حفظ شواهد، بازسازی رویدادها و ارزیابی وضعیت کنونی رویداد به آن رویداد رسیدگی کرد. اما ابزار و تکنیک‌های فارنزیک برای انواع دیگری از کارها نیز مفید هستند، از جمله:

  • عیب‌یابی عملیاتی: بسیاری از ابزار و تکنیک‌های فارنزیک را می‌توان به عیب‌یابی مشکلات عملیاتی اختصاص داد، مثلاً پیدا کردن مکان‌های مجازی و فیزیکی یک Host با پیکربندی نادرست شبکه، حل کردن یک مشکل عملیاتی با یک برنامه کاربردی و ثبت و مرور تنظیمات سیستم‌عامل و برنامه کاربردی کنونی برای یک Host.
  • مانیتورینگ لاگ: ابزار و تکنیک‌های مختلف می‌توانند در مانیتورینگ لاگ مفید واقع شوند، از جمله تجزیه‌وتحلیل و همسان‌سازی مدخل‌های لاگ روی سیستم‌های متعدد. این امر می‌تواند در رسیدگی به حادثه، شناسایی نقض Policy، ممیزی و کارهای دیگر مفید باشد.
  • بازیابی داده: ابزارهای زیادی هستند که می‌توانند داده‌های ازدست‌رفته را از سیستم‌ها بازیابی کنند، از جمله داده‌هایی که به‌طور تصادفی یا از قصد حذف شده یا به شکل دیگر تغییر یافته‌اند. مقدار داده‌هایی که می‌تواند بازیابی شود ممکن است در هر مورد متفاوت باشد.
  • اکتساب داده: برخی از سازمان‌ها از ابزار فارنزیک استفاده می‌کنند تا داده‌هایی را از Hostهایی کسب کنند که مجدداً پیاده‌سازی یا کنار گذاشته می‌شوند. مثلاً وقتی کاربری سازمانی را ترک می‌کند، داده‌های رایانه‌ی کاربر را می‌توان کسب و ذخیره کرد تا در آینده مورد استفاده قرار گیرد. می‌توان رسانه‌های این رایانه را پاک‌سازی کرد تا تمام داده‌های کاربر اصلی حذف شود.
  • دقت نظر/تطبیق‌پذیری قانونی: قوانین موجود و نوظهور نیازمند این هستند که سازمان‌های زیادی از اطلاعات حساس حفاظت کنند و اسناد به‌خصوصی را با هدف ممیزی حفظ کنند. همچنین وقتی که اطلاعات حفاظت‌شده در معرض مشاهده‌ی افراد دیگر قرار بگیرد، ممکن است لازم باشد که سازمان‌ها آژانس‌ها یا افراد تحت تأثیر دیگر را مطلع کنند. فارنزیک می‌تواند به سازمان‌ها کمک کند که دقت نظر داشته باشند و تطبیق‌پذیری لازم را با این الزامات حفظ کنند.

فارغ از شرایط، فرایند فارنزیک شامل مراحل زیر است. لازم به ذکر است که مدل‌های زیادی برای فرایند جرم‌شناسی وجود دارد. با اینکه مراحل مختلف این مدل‌ها تا حدی با هم متفاوت دارند، این مدل‌ها دارای اصول و روش‌های مبنایی مشابهی هستند. تفاوت اصلی مدل‌ها در میزان جزئی بودن هر مرحله از فرایند و شرایط مورد استفاده برای مراحل به‌خصوص است. مدلی که در این راهنما ارائه می‌شود نگاه ساده‌ای به این مراحل دارد. سازمان‌ها باید مدل جرم‌شناسی به‌خصوصی که برای نیازهایشان مناسب باشد را انتخاب کنند.

  • جمع‌آوری: مرحله‌ی اول در این فرایند شناسایی، نام‌گذاری، ثبت و اکتساب داده از منابع احتمالی داده‌های مرتبط است، درحالی‌که دستورالعمل‌ها و فرایندهای لازم برای حفظ یکپارچگی داده دنبال شود. جمع‌آوری معمولاً باید در زمان مناسبی انجام پذیرد زیرا احتمال از دست رفتن داده‌های پویا مثل اتصالات شبکه‌ی موجود و همچنین از دست رفتن داده از دستگاه‌های دارای باتری (مثل تلفن همراه و غیره) وجود دارد.
  • بررسی: بررسی‌ها شامل پردازش جرم‌شناسانه‌ی مقادیر زیادی داده با استفاده از روش‌های خودکار و دستی برای ارزیابی و استخراج داده‌های جالب‌توجه و درعین‌حال حفظ یکپارچگی داده است.
  • تجزیه‌و‌تحلیل: مرحله‌ی بعدی فرایند تجزیه‌وتحلیل نتایج بررسی با استفاده از روش‌ها و تکنیک‌های قانونمند است با این هدف که اطلاعات مفیدی به دست آید که پاسخگوی سؤالات ابتدایی جمع‌آوری و بررسی باشد.
  • گزارش‌دهی: مرحله‌ی آخر گزارش‌دهی نتایج تجزیه‌و‌تحلیل است که می‌تواند شامل موارد زیر باشد: توصیف اقدامات مورد استفاده، شرح نحوه‌ی استفاده از ابزار و فرایندها، تعیین اینکه چه اقدامات دیگری باید انجام شوند (مثلاً بررسی فارنزیک منابع داده‌ی اضافی، ایمن‌سازی آسیب‌پذیری‌های شناسایی شده، بهبود کنترل‌های امنیتی موجود) و ارائه‌ی پیشنهادات برای بهبود Policyها، دستورالعمل‌ها، ابزار و جوانب دیگر فرایند فارنزیک. میزان رسمی بودن مرحله‌ی گزارش‌دهی بستگی به موقعیت دارد.

تیم فارنزیک شامل چه متخصصانی است؟

 عملاً هر سازمانی باید قابلیت انجام فارنزیک رایانه و شبکه را داشته باشد. بدون این قابلیت، سازمان در تعیین اینکه چه اتفاقاتی در سیستم‌ها و شبکه‌ها رخ داده‌اند دچار مشکل خواهد شد، اتفاقاتی مثل افشای داده‌های حفاظت‌شده و حساس. اگرچه سازمان‌ها می‌توانند از کمک شرکت‌های متخصصی که خدمات فارنزیک (Forensci) را بصورت حرفه‌ای ارائه می‌دهند نیز استفاده کنند. با اینکه میزان این نیاز متفاوت است، کاربران اصلی ابزار و تکنیک‌های فارنزیک در یک سازمان‌ را معمولاً می‌توان به سه دسته تقسیم کرد:

  • محققین: محققین در یک سازمان، معمولاً از دفتر بازرسی کل (OIG) و مسئول رسیدگی به تحقیقات در مورد تمام اتهامات سوء رفتار هستند. برای برخی از سازمان‌ها، IOG بلافاصله تحقیق و بررسی هر رویدادی را که احتمال فعالیت مجرمانه در آن وجود دارد برعهده می‌گیرد. OIG معمولاً از تکنیک‌ها و ابزار فارنزیک زیادی استفاده می‌کند. محققان دیگر درون یک سازمان‌ می‌توانند شامل مشاوران قانونی و اعضای بخش منابع انسانی باشند. مقامات اعمال قانون و افراد دیگر خارج از سازمان که ممکن است بررسی‌های مجرمانه انجام دهند، بخشی از گروه محققان داخلی سازمان‌ محسوب نمی‌شوند.
  • متخصصان IT: این گروه شامل کارمندان پشتیبانی فنی و ادمین‌های سیستم، شبکه و امنیت است. آن‌ها در وظایف روزمره‌ی خود از تعداد کمی تکنیک‌ها و ابزار فارنزیک استفاده می‌کنند که مسلط به حوزه‌ی تخصص‌شان است (مثلاً مانیتورینگ، عیب‌یابی و بازیابی داده).
  • مسئولان رسیدگی به حادثه: این گروه به انواعی از حوادث امنیتی مثل دسترسی غیرمجاز به داده، استفاده‌ی نامناسب از سیستم، آلودگی به کد مخرب و حملات Denial-of-Service پاسخ می‌دهد. مسئولان رسیدگی به حادثه معمولاً در طول بررسی‌های خود از انواعی از تکنیک‌ها و ابزار فارنزیک استفاده می‌کنند.

بسیاری از سازمان‌ها برای انجام اقدامات فارنزیک  به ترکیبی از کارمندان خود و افراد خارج از سازمان‌ تکیه می‌کنند. مثلاً برخی از سازمان‌ها خودشان وظایف استاندارد را اجرا می‌کنند و فقط اگر به کمک خارجی نیاز باشد از افراد خارج از سازمان‌ بهره می‌گیرند. حتی سازمان‌هایی که می‌خواهند خودشان تمام وظایف فارنزیک را انجام دهند، معمولاً دشوارترین کارها را برون‌سپاری می‌کنند؛ مثلاً ارسال رسانه‌های آسیب‌دیده به یک شرکت بازیابی داده برای بازگردانی داده‌ها یا درخواست از پرسنل آموزش‌دیده‌ی اعمال قانون یا مشاوران جهت جمع‌آوری داده از یک منبع غیرعادی (مثلاً تلفن همراه). چنین کارهایی نیازمند استفاده از نرم‌افزار، تجهیزات، تسهیلات و تخصص فنی است که اکثر سازمان‌ها نمی‌توانند هزینه‌ی بالای اکتساب و نگهداری آن‌ها را توجیه کنند. سازمان‌ها باید از قبل مشخص کنند که چه اقداماتی باید توسط مسئولان اعمال قانون انجام شوند. همچنین وقتی که برای روندهای قانونی به شهادت کارشناس نیاز باشد، ممکن است سازمان‌ها به دنبال کمک‌های خارجی باشند.

وقتی قرار است تصمیم گرفته شود که کدام افراد داخلی یا خارجی باید به جوانب مختلف فارنزیک بپردازند، سازمان‌ها باید فاکتورهای زیر را مدنظر داشته باشند:

  • هزینه: هزینه‌های احتمالی زیادی وجود دارد. نرم‌افزار، سخت‌افزار و تجهیزاتی که برای جمع‌آوری و بررسی داده‌ها مورد استفاده قرار می‌گیرند ممکن است هزینه‌های قابل‌توجهی داشته باشند (مثل هزینه خرید، بروزرسانی‌ها و ارتقاهای نرم‌افزاری، هزینه‌ی حفظ و نگهداری) و همچنین ممکن است نیازمند اقدامات امنیتی فیزیکی نیز باشند تا از دستکاری در امان بمانند. هزینه‌های قابل‌توجه دیگر شامل آموزش کارمندان و هزینه‌های کار است که مخصوصاً برای متخصصان فارنزیک اختصاصی بالا است. به‌طورکلی می‌توان گفت انجام اقدامات فارنزیک که به‌ندرت نیاز می‌شوند توسط افراد خارجی به‌صرفه‌تر است، درحالی‌که انجام اقداماتی که بیشتر موردنیاز هستند به‌صورت داخلی به‌صرفه‌تر است.
  • زمان پاسخ: ممکن است پرسنلی که در محل حضور دارند، سریع‌تر از پرسنل خارج از محل بتوانند فعالیت فارنزیک را اجرایی کنند. برای سازمان‌هایی که مکان‌های جغرافیایی پراکنده‌ای دارند، ممکن است افرادی که نزدیک به تأسیسات دور هستند بتوانند سریع‌تر از کارمندانی که در ساختمان اصلی سازمان‌ قرار دارند، پاسخگو باشند.
  • حساسیت داده: به دلیل حساسیت داده و نگرانی‌های مربوط به حریم شخصی، ممکن است برخی از سازمان‌ها مایل نباشند به افراد خارجی اجازه دهند از Hard Driveها Image تهیه کنند و اقدامات دیگری مثل فراهم کردن دسترسی به داده را انجام دهند. مثلاً سیستمی که حاوی آثار یک حادثه است، ممکن است حاوی اطلاعات سلامت، آمار مالی یا داده‌های حساس دیگری نیز باشد؛ بنابراین ممکن است سازمانی ترجیح دهد که آن سیستم را تحت کنترل خودش نگه دارد تا از امنیت داده‌ها اطمینان حاصل گردد. از طرف دیگر، اگر در تیم نگرانی در مورد حریم شخصی وجود داشته باشد و این شک ایجاد شود که حادثه به یکی از اعضای تیم رسیدگی به حوادث مربوط است، استفاده از یک شخص سوم خارجی برای انجام اقدامات فارنزیک مطلوب‌تر خواهد بود.

مسئولان رسیدگی به حادثه که اقدامات فارنزیک را انجام می‌دهند، باید دانشی جامع و منطقی از اصول فارنزیک، دستورالعمل‌ها، فرایندها، ابزار و تکنیک‌ها و همچنین ابزار و تکنیک‌های ضد فارنزیک که می‌تواند داده‌ها را مخفی یا نابود کند، داشته باشند.  همچنین خوب است که مسئولان رسیدگی به حادثه در حوزه‌ی امنیت اطلاعات و موضوعات فنی به‌خصوص مثل سیستم‌عامل‌های متداول، فایل سیستم‌ها، برنامه‌های کاربردی و پروتکل‌های شبکه درون سازمان‌ تخصص داشته باشند. داشتن این نوع از دانش، پاسخ‌های سریع‌تر و کارآمدتری به حوادث را ممکن می‌سازد. مسئولان رسیدگی به حادثه به درکی کلی و گسترده از سیستم‌ها و شبکه‌ها نیاز دارند تا بتوانند به‌سرعت مشخص کنند که کدام تیم‌ها و افراد مناسب فراهم کردن تخصص فنی برای اقدامات فارنزیک  به‌خصوص مثل بررسی و تجزیه‌وتحلیل داده برای یک برنامه کاربردی غیرمتداول هستند.

افرادی که فارنزیک انجام می‌دهند ممکن است نیازمند انجام کارهای دیگری نیز باشند. مثلاً اگر از نتایج یک بررسی در دادگاه استفاده شود، ممکن است از مسئولان رسیدگی به حادثه خواسته شود که شهادت داده و یافته‌های خود را تائید کنند. ممکن است مسئولان رسیدگی به حادثه دوره‌های آموزشی را در فارنزیک برای کارمندان پشتیبانی فنی، ادمین‌های سیستم و شبکه و متخصصان IT دیگر فراهم کنند. موضوعات آموزشی می‌تواند شامل شرح کلی ابزار و تکنیک‌های فارنزیک، توصیه در مورد استفاده از یک ابزار به‌خصوص و نشانه‌هایی از یک نوع حمله جدید باشد. ممکن است مسئولان رسیدگی به حادثه بخواهند جلساتی تعاملی با متخصصان IT داشته باشند تا نظرات آن‌ها را در مورد ابزار فارنزیک شنیده و ایرادات احتمالی را در قابلیت‌های فارنزیک  شناسایی کنند.

در یک تیم رسیدگی به حادثه، بیشتر از یک نفر باید بتواند هر فعالیت فارنزیک را انجام دهد تا نبود هر عضو تیم تأثیر شدیدی روی توانایی‌های کلی تیم نگذارد. مسئولان رسیدگی به حادثه می‌توانند در استفاده از ابزار فارنزیکو مسائل فنی و ارتباطی دیگر به یکدیگر آموزش دهند. تمرین‌های عملی و دوره‌های آموزشی IT و فارنزیک نیز می‌توانند در ساخت و توسعه‌ی مهارت‌ها مفید باشند. به‌علاوه ممکن است مفید باشد که اعضای تیم ابزار و تکنولوژی‌های جدیدی را ببینند یا ابزار فارنزیک و ضد فارنزیک را در آزمایشگاه امتحان کنند. این امر می‌تواند به‌طور خاص برای آشنا کردن مسئولان رسیدگی به حادثه با روش جمع‌آوری، بررسی و تجزیه‌و‌تحلیل داده از دستگاه‌هایی مثل تلفن‌های همراه مفید باشد.  مسئولان رسیدگی به حادثه باید با تکنولوژی‌ها، تکنیک‌های و فرایندهای جدید فارنزیک آشنا باشند

در بخش دوم این مطلب، نیاز به استفاده از انواع تیم‌ها در کنار تیم فارنزیک را شرح می‌دهد، مثلاً نقش مشاوران حقوقی و کارمندان امنیت فیزیکی در برخی از فعالیت‌های فارنزیک. در انتها به بیان نحوه ارتباط سیاست‌ها، دستورالعمل‌ها و فرایندها با فارنزیک می‌پردازیم.

[۱]  در این مقاله، عبارت رایانه برای اشاره به تمام دستگاه‌های رایانشی، ذخیره‌سازی و جانبی مورد استفاده قرار می‌گیرد.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.