در این مقاله چندین جنبه از سازماندهی قابلیت فارنزیک (Forensic) در یک سازمان صحبت خواهد شد. این مقاله با بیان انواع مختلفی از کاربردهای فارنزیک آغاز میشود و سپس نمایی تخصصی از فرایند آن را ارائه میدهد. بخش بعدی مقاله در مورد این است که خدمات فارنزیک معمولاً چگونه فراهم میشوند و یک راهنمایی در مورد نحوهی ایجاد و حفظ مهارتهای ضروری برای انجام فارنزیک ارائه میدهد. این بخش همچنین نیاز به استفاده از انواع تیمها در سازمان را شرح میدهد، مثلاً نقش مشاوران حقوقی و کارمندان امنیت فیزیکی در برخی از فعالیتهای فارنزیک . در انتها به بیان نحوه ارتباط سیاستها، دستورالعملها و فرایندها با فارنزیک میپردازیم. (مثلاً تعریف نقشها و مسئولیتها، فراهم کردن راهنمایی در مورد استفادهی مناسب از ابزار و تکنیکها، استفاده از فارنزیک در چرخه عمر سیستم اطلاعاتی).
تکنیکها و فرایندهایی که در این راهنما ارائه میشوند براساس اصول فارنزیک دیجیتال هستند. علم فارنزیک عموماً عبارت است از کاربرد علم در قانون. فارنزیک دیجیتال که تحت عنوان فارنزیک رایانه[۱] و شبکه نیز شناخته میشود تعاریف زیادی دارد. این حوزه بهطورکلی عبارت است از کاربرد علم در شناسایی، جمعآوری، بررسی و تجزیهوتحلیل داده در حین حفظ صحت اطلاعات و زنجیرهی مدارک داده. ازآنجاییکه سازمانهای مختلف تابع قوانین و مقررات متفاوتی هستند، نباید این مقاله را بهعنوان یک راهنمای جامع برای انجام بررسیهای فارنزیک دیجیتال مورد استفاده قرار داد، آن را بهعنوان توصیهای حقوقی تعبیر کرد یا آن را مبنایی برای بررسی فعالیت مجرمانه در نظر گرفت. بلکه سازمانها باید در کنار راهنماییهای جامعی که توسط مشاوران حقوقی، مقامات اعمال قانون و مدیریت ارائه میشود، از این راهنما بهعنوان نقطه شروعی برای توسعهی قابلیت فارنزیک خود استفاده کنند.
دلایل نیاز به فارنزیک (Forensic)
در طول دههی گذشته، تعداد جرایمی که شامل رایانهها بودهاند رشد کرده و موجب افزایش تعداد شرکتها و محصولاتی شده است که هدفشان کمک به اعمال قانون در استفاده از شواهد مبتنی بر رایانه برای تعریف «کی؟»، «کجا؟»، «چه کسی؟»، «چه چیزی؟» و «چگونه؟» جرایم است. در نتیجه، فارنزیک رایانه و شبکه تکامل پیدا کرده است تا از ارائهی مناسبِ دادههای مستند در دادگاه اطمینان حاصل گردد. معمولاً در حوزهی تحقیقات مجرمانه و رسیدگی به حوادث امنیت رایانه به ابزار و تکنیکهای فارنزیک نگاه میشود، با این هدف که بتوان با بررسی سیستمهای مشکوک، جمعآوری و حفظ شواهد، بازسازی رویدادها و ارزیابی وضعیت کنونی رویداد به آن رویداد رسیدگی کرد. اما ابزار و تکنیکهای فارنزیک برای انواع دیگری از کارها نیز مفید هستند، از جمله:
- عیبیابی عملیاتی: بسیاری از ابزار و تکنیکهای فارنزیک را میتوان به عیبیابی مشکلات عملیاتی اختصاص داد، مثلاً پیدا کردن مکانهای مجازی و فیزیکی یک Host با پیکربندی نادرست شبکه، حل کردن یک مشکل عملیاتی با یک برنامه کاربردی و ثبت و مرور تنظیمات سیستمعامل و برنامه کاربردی کنونی برای یک Host.
- مانیتورینگ لاگ: ابزار و تکنیکهای مختلف میتوانند در مانیتورینگ لاگ مفید واقع شوند، از جمله تجزیهوتحلیل و همسانسازی مدخلهای لاگ روی سیستمهای متعدد. این امر میتواند در رسیدگی به حادثه، شناسایی نقض Policy، ممیزی و کارهای دیگر مفید باشد.
- بازیابی داده: ابزارهای زیادی هستند که میتوانند دادههای ازدسترفته را از سیستمها بازیابی کنند، از جمله دادههایی که بهطور تصادفی یا از قصد حذف شده یا به شکل دیگر تغییر یافتهاند. مقدار دادههایی که میتواند بازیابی شود ممکن است در هر مورد متفاوت باشد.
- اکتساب داده: برخی از سازمانها از ابزار فارنزیک استفاده میکنند تا دادههایی را از Hostهایی کسب کنند که مجدداً پیادهسازی یا کنار گذاشته میشوند. مثلاً وقتی کاربری سازمانی را ترک میکند، دادههای رایانهی کاربر را میتوان کسب و ذخیره کرد تا در آینده مورد استفاده قرار گیرد. میتوان رسانههای این رایانه را پاکسازی کرد تا تمام دادههای کاربر اصلی حذف شود.
- دقت نظر/تطبیقپذیری قانونی: قوانین موجود و نوظهور نیازمند این هستند که سازمانهای زیادی از اطلاعات حساس حفاظت کنند و اسناد بهخصوصی را با هدف ممیزی حفظ کنند. همچنین وقتی که اطلاعات حفاظتشده در معرض مشاهدهی افراد دیگر قرار بگیرد، ممکن است لازم باشد که سازمانها آژانسها یا افراد تحت تأثیر دیگر را مطلع کنند. فارنزیک میتواند به سازمانها کمک کند که دقت نظر داشته باشند و تطبیقپذیری لازم را با این الزامات حفظ کنند.
فارغ از شرایط، فرایند فارنزیک شامل مراحل زیر است. لازم به ذکر است که مدلهای زیادی برای فرایند جرمشناسی وجود دارد. با اینکه مراحل مختلف این مدلها تا حدی با هم متفاوت دارند، این مدلها دارای اصول و روشهای مبنایی مشابهی هستند. تفاوت اصلی مدلها در میزان جزئی بودن هر مرحله از فرایند و شرایط مورد استفاده برای مراحل بهخصوص است. مدلی که در این راهنما ارائه میشود نگاه سادهای به این مراحل دارد. سازمانها باید مدل جرمشناسی بهخصوصی که برای نیازهایشان مناسب باشد را انتخاب کنند.
- جمعآوری: مرحلهی اول در این فرایند شناسایی، نامگذاری، ثبت و اکتساب داده از منابع احتمالی دادههای مرتبط است، درحالیکه دستورالعملها و فرایندهای لازم برای حفظ یکپارچگی داده دنبال شود. جمعآوری معمولاً باید در زمان مناسبی انجام پذیرد زیرا احتمال از دست رفتن دادههای پویا مثل اتصالات شبکهی موجود و همچنین از دست رفتن داده از دستگاههای دارای باتری (مثل تلفن همراه و غیره) وجود دارد.
- بررسی: بررسیها شامل پردازش جرمشناسانهی مقادیر زیادی داده با استفاده از روشهای خودکار و دستی برای ارزیابی و استخراج دادههای جالبتوجه و درعینحال حفظ یکپارچگی داده است.
- تجزیهوتحلیل: مرحلهی بعدی فرایند تجزیهوتحلیل نتایج بررسی با استفاده از روشها و تکنیکهای قانونمند است با این هدف که اطلاعات مفیدی به دست آید که پاسخگوی سؤالات ابتدایی جمعآوری و بررسی باشد.
- گزارشدهی: مرحلهی آخر گزارشدهی نتایج تجزیهوتحلیل است که میتواند شامل موارد زیر باشد: توصیف اقدامات مورد استفاده، شرح نحوهی استفاده از ابزار و فرایندها، تعیین اینکه چه اقدامات دیگری باید انجام شوند (مثلاً بررسی فارنزیک منابع دادهی اضافی، ایمنسازی آسیبپذیریهای شناسایی شده، بهبود کنترلهای امنیتی موجود) و ارائهی پیشنهادات برای بهبود Policyها، دستورالعملها، ابزار و جوانب دیگر فرایند فارنزیک. میزان رسمی بودن مرحلهی گزارشدهی بستگی به موقعیت دارد.
تیم فارنزیک شامل چه متخصصانی است؟
عملاً هر سازمانی باید قابلیت انجام فارنزیک رایانه و شبکه را داشته باشد. بدون این قابلیت، سازمان در تعیین اینکه چه اتفاقاتی در سیستمها و شبکهها رخ دادهاند دچار مشکل خواهد شد، اتفاقاتی مثل افشای دادههای حفاظتشده و حساس. اگرچه سازمانها میتوانند از کمک شرکتهای متخصصی که خدمات فارنزیک (Forensci) را بصورت حرفهای ارائه میدهند نیز استفاده کنند. با اینکه میزان این نیاز متفاوت است، کاربران اصلی ابزار و تکنیکهای فارنزیک در یک سازمان را معمولاً میتوان به سه دسته تقسیم کرد:
- محققین: محققین در یک سازمان، معمولاً از دفتر بازرسی کل (OIG) و مسئول رسیدگی به تحقیقات در مورد تمام اتهامات سوء رفتار هستند. برای برخی از سازمانها، IOG بلافاصله تحقیق و بررسی هر رویدادی را که احتمال فعالیت مجرمانه در آن وجود دارد برعهده میگیرد. OIG معمولاً از تکنیکها و ابزار فارنزیک زیادی استفاده میکند. محققان دیگر درون یک سازمان میتوانند شامل مشاوران قانونی و اعضای بخش منابع انسانی باشند. مقامات اعمال قانون و افراد دیگر خارج از سازمان که ممکن است بررسیهای مجرمانه انجام دهند، بخشی از گروه محققان داخلی سازمان محسوب نمیشوند.
- متخصصان IT: این گروه شامل کارمندان پشتیبانی فنی و ادمینهای سیستم، شبکه و امنیت است. آنها در وظایف روزمرهی خود از تعداد کمی تکنیکها و ابزار فارنزیک استفاده میکنند که مسلط به حوزهی تخصصشان است (مثلاً مانیتورینگ، عیبیابی و بازیابی داده).
- مسئولان رسیدگی به حادثه: این گروه به انواعی از حوادث امنیتی مثل دسترسی غیرمجاز به داده، استفادهی نامناسب از سیستم، آلودگی به کد مخرب و حملات Denial-of-Service پاسخ میدهد. مسئولان رسیدگی به حادثه معمولاً در طول بررسیهای خود از انواعی از تکنیکها و ابزار فارنزیک استفاده میکنند.
بسیاری از سازمانها برای انجام اقدامات فارنزیک به ترکیبی از کارمندان خود و افراد خارج از سازمان تکیه میکنند. مثلاً برخی از سازمانها خودشان وظایف استاندارد را اجرا میکنند و فقط اگر به کمک خارجی نیاز باشد از افراد خارج از سازمان بهره میگیرند. حتی سازمانهایی که میخواهند خودشان تمام وظایف فارنزیک را انجام دهند، معمولاً دشوارترین کارها را برونسپاری میکنند؛ مثلاً ارسال رسانههای آسیبدیده به یک شرکت بازیابی داده برای بازگردانی دادهها یا درخواست از پرسنل آموزشدیدهی اعمال قانون یا مشاوران جهت جمعآوری داده از یک منبع غیرعادی (مثلاً تلفن همراه). چنین کارهایی نیازمند استفاده از نرمافزار، تجهیزات، تسهیلات و تخصص فنی است که اکثر سازمانها نمیتوانند هزینهی بالای اکتساب و نگهداری آنها را توجیه کنند. سازمانها باید از قبل مشخص کنند که چه اقداماتی باید توسط مسئولان اعمال قانون انجام شوند. همچنین وقتی که برای روندهای قانونی به شهادت کارشناس نیاز باشد، ممکن است سازمانها به دنبال کمکهای خارجی باشند.
وقتی قرار است تصمیم گرفته شود که کدام افراد داخلی یا خارجی باید به جوانب مختلف فارنزیک بپردازند، سازمانها باید فاکتورهای زیر را مدنظر داشته باشند:
- هزینه: هزینههای احتمالی زیادی وجود دارد. نرمافزار، سختافزار و تجهیزاتی که برای جمعآوری و بررسی دادهها مورد استفاده قرار میگیرند ممکن است هزینههای قابلتوجهی داشته باشند (مثل هزینه خرید، بروزرسانیها و ارتقاهای نرمافزاری، هزینهی حفظ و نگهداری) و همچنین ممکن است نیازمند اقدامات امنیتی فیزیکی نیز باشند تا از دستکاری در امان بمانند. هزینههای قابلتوجه دیگر شامل آموزش کارمندان و هزینههای کار است که مخصوصاً برای متخصصان فارنزیک اختصاصی بالا است. بهطورکلی میتوان گفت انجام اقدامات فارنزیک که بهندرت نیاز میشوند توسط افراد خارجی بهصرفهتر است، درحالیکه انجام اقداماتی که بیشتر موردنیاز هستند بهصورت داخلی بهصرفهتر است.
- زمان پاسخ: ممکن است پرسنلی که در محل حضور دارند، سریعتر از پرسنل خارج از محل بتوانند فعالیت فارنزیک را اجرایی کنند. برای سازمانهایی که مکانهای جغرافیایی پراکندهای دارند، ممکن است افرادی که نزدیک به تأسیسات دور هستند بتوانند سریعتر از کارمندانی که در ساختمان اصلی سازمان قرار دارند، پاسخگو باشند.
- حساسیت داده: به دلیل حساسیت داده و نگرانیهای مربوط به حریم شخصی، ممکن است برخی از سازمانها مایل نباشند به افراد خارجی اجازه دهند از Hard Driveها Image تهیه کنند و اقدامات دیگری مثل فراهم کردن دسترسی به داده را انجام دهند. مثلاً سیستمی که حاوی آثار یک حادثه است، ممکن است حاوی اطلاعات سلامت، آمار مالی یا دادههای حساس دیگری نیز باشد؛ بنابراین ممکن است سازمانی ترجیح دهد که آن سیستم را تحت کنترل خودش نگه دارد تا از امنیت دادهها اطمینان حاصل گردد. از طرف دیگر، اگر در تیم نگرانی در مورد حریم شخصی وجود داشته باشد و این شک ایجاد شود که حادثه به یکی از اعضای تیم رسیدگی به حوادث مربوط است، استفاده از یک شخص سوم خارجی برای انجام اقدامات فارنزیک مطلوبتر خواهد بود.
مسئولان رسیدگی به حادثه که اقدامات فارنزیک را انجام میدهند، باید دانشی جامع و منطقی از اصول فارنزیک، دستورالعملها، فرایندها، ابزار و تکنیکها و همچنین ابزار و تکنیکهای ضد فارنزیک که میتواند دادهها را مخفی یا نابود کند، داشته باشند. همچنین خوب است که مسئولان رسیدگی به حادثه در حوزهی امنیت اطلاعات و موضوعات فنی بهخصوص مثل سیستمعاملهای متداول، فایل سیستمها، برنامههای کاربردی و پروتکلهای شبکه درون سازمان تخصص داشته باشند. داشتن این نوع از دانش، پاسخهای سریعتر و کارآمدتری به حوادث را ممکن میسازد. مسئولان رسیدگی به حادثه به درکی کلی و گسترده از سیستمها و شبکهها نیاز دارند تا بتوانند بهسرعت مشخص کنند که کدام تیمها و افراد مناسب فراهم کردن تخصص فنی برای اقدامات فارنزیک بهخصوص مثل بررسی و تجزیهوتحلیل داده برای یک برنامه کاربردی غیرمتداول هستند.
افرادی که فارنزیک انجام میدهند ممکن است نیازمند انجام کارهای دیگری نیز باشند. مثلاً اگر از نتایج یک بررسی در دادگاه استفاده شود، ممکن است از مسئولان رسیدگی به حادثه خواسته شود که شهادت داده و یافتههای خود را تائید کنند. ممکن است مسئولان رسیدگی به حادثه دورههای آموزشی را در فارنزیک برای کارمندان پشتیبانی فنی، ادمینهای سیستم و شبکه و متخصصان IT دیگر فراهم کنند. موضوعات آموزشی میتواند شامل شرح کلی ابزار و تکنیکهای فارنزیک، توصیه در مورد استفاده از یک ابزار بهخصوص و نشانههایی از یک نوع حمله جدید باشد. ممکن است مسئولان رسیدگی به حادثه بخواهند جلساتی تعاملی با متخصصان IT داشته باشند تا نظرات آنها را در مورد ابزار فارنزیک شنیده و ایرادات احتمالی را در قابلیتهای فارنزیک شناسایی کنند.
در یک تیم رسیدگی به حادثه، بیشتر از یک نفر باید بتواند هر فعالیت فارنزیک را انجام دهد تا نبود هر عضو تیم تأثیر شدیدی روی تواناییهای کلی تیم نگذارد. مسئولان رسیدگی به حادثه میتوانند در استفاده از ابزار فارنزیکو مسائل فنی و ارتباطی دیگر به یکدیگر آموزش دهند. تمرینهای عملی و دورههای آموزشی IT و فارنزیک نیز میتوانند در ساخت و توسعهی مهارتها مفید باشند. بهعلاوه ممکن است مفید باشد که اعضای تیم ابزار و تکنولوژیهای جدیدی را ببینند یا ابزار فارنزیک و ضد فارنزیک را در آزمایشگاه امتحان کنند. این امر میتواند بهطور خاص برای آشنا کردن مسئولان رسیدگی به حادثه با روش جمعآوری، بررسی و تجزیهوتحلیل داده از دستگاههایی مثل تلفنهای همراه مفید باشد. مسئولان رسیدگی به حادثه باید با تکنولوژیها، تکنیکهای و فرایندهای جدید فارنزیک آشنا باشند
در بخش دوم این مطلب، نیاز به استفاده از انواع تیمها در کنار تیم فارنزیک را شرح میدهد، مثلاً نقش مشاوران حقوقی و کارمندان امنیت فیزیکی در برخی از فعالیتهای فارنزیک. در انتها به بیان نحوه ارتباط سیاستها، دستورالعملها و فرایندها با فارنزیک میپردازیم.
[۱] در این مقاله، عبارت رایانه برای اشاره به تمام دستگاههای رایانشی، ذخیرهسازی و جانبی مورد استفاده قرار میگیرد.