Search
Menu

همه مواردی که لازم است راجع به فارنزیک بدانید – قسمت دوم

در قسمت اول مقاله همه مواردی که لازم است راجع به فارنزیک بدانید، در خصوص دلایل نیاز سازمان‌ها به فارنزیک (Forensic) صحبت کردیم و به بررسی متخصصان تیم فارنزیک پرداختیم. در این قسمت و در ادامه در خصوص نحوه تعامل تیم فارنزیک با سایر تیم‌های سازمان صحبت خواهیم کرد. این بخش همچنین نیاز به استفاده از انواع تیم‌ها در سازمان را شرح می‌دهد، مثلاً نقش مشاوران حقوقی و کارمندان امنیت فیزیکی در برخی از فعالیت‌های فارنزیک. در انتها به بیان نحوه ارتباط سیاست‌ها، دستورالعمل‌ها و فرایندها با فارنزیک می‌پردازیم.

تعامل تیم فارنزیک با تیم‌های دیگر سازمان

 ممکن نیست که یک فرد با تمام تکنولوژی‌ها (از جمله نرم‌افزار) که در سازمان‌ مورد استفاده قرار می‌گیرند، آشنایی کامل داشته باشد؛ درنتیجه افرادی که اقدامات فارنزیک انجام می‌دهند باید بتوانند برای کمک گرفتن به سراغ تیم‌ها و افراد دیگر درون سازمان‌ خود بروند. مثلاً شاید حادثه‌ای که مربوط به یک سرور دیتابیس به‌خصوص است بهتر حل و فصل شود اگر ادمین دیتابیس بتواند اطلاعات پیش‌زمینه‌ای فراهم کند، به سؤالات فنی جواب دهد و اسناد دیتابیس و مراجع دیگری را ارائه دهد. سازمان‌ها باید اطمینان حاصل کنند که متخصصان IT در کل سازمان، به‌خصوص مسئولان رسیدگی به حادثه و اولین پاسخ‌دهندگان به حوادث، نقش‌ها و مسئولیت‌های خود را برای فارنزیک درک می‌کنند، به‌طور مداوم در مورد Policyها، دستورالعمل‌ها و فرایندهای مربوط به فارنزیک آموزش می‌بینند و درصورتی‌که تکنولوژی‌های تحت نظارت آن‌ها بخشی از یک حادثه باشد، آماده‌‌ی همکاری و کمک هستند.

علاوه بر متخصصان IT و مسئولان رسیدگی به حادثه، شاید نیاز باشد افراد دیگر درون سازمان‌ها نیز در فعالیت فارنزیک همکاری داشته باشند. این افراد شامل بخش مدیریت، مشاوران حقوقی، پرسنل منابع انسانی، مسئولان ممیزی و کارمندان امنیت فیزیکی هستند. بخش مدیریت، مسئول پشتیبانی از قابلیت‌های فارنزیک، مرور و تائید پالیسی فارنزیک و تائید برخی از اقدامات فارنزیک  به‌خصوص است (مثلاً آفلاین کردن یک سیستم حیاتی برای کسب‌وکار به‌مدت ۶ ساعت برای جمع‌آوری داده از هارددرایوهای آن).

مشاوران حقوقی باید به‌دقت تمام Policyهای فارنزیک و دستورالعمل‌ها و فرایندهای سطح بالا را بررسی کرده و سپس وقتی باید اطمینان حاصل شود که اقدامات فارنزیک به‌صورت قانونمند اجرا شده‌اند، راهنمایی‌های بیشتری را ارائه دهد. بخش منابع انسانی می‌تواند راهنمایی‌هایی را در مورد رسیدگی به روابط کارمندان و رسیدگی به حوادث داخلی فراهم کند. مسئولان ممیزی می‌توانند در تعیین تأثیر اقتصادی یک حادثه، از جمله هزینه‌ی فعالیت فارنزیک مفید باشند. کارمندان امنیت فیزیکی می‌توانند در کسب دسترسی و ایمن‌سازی فیزیکی شواهد کمک کنند.  بااینکه معمولاً این تیم‌ها در فرایند فارنزیک  نقشی اساسی ندارند، خدماتی که فراهم می‌کنند می‌تواند مفید باشد.

برای تسهیل ارتباطات درون تیم، هر تیم باید یک یا چند نقطه‌ی ارتباطی را مشخص کند. این افراد مسئول هستند که تخصص هر عضو تیم را بدانند و هر درخواست کمک را به فرد مناسب منتقل کنند. سازمان‌ها باید فهرستی از مخاطبین داشته باشند که تیم‌های مناسب در زمان نیاز بتوانند به آن رجوع کنند. این فهرست باید شامل روش‌های ارتباطی استاندارد (مثل تلفن دفتر) و اضطراری (مثل تلفن همراه) باشد.

تعین Policyهای لازم برای انجام فرآیند فارنزیک

 سازمان‌ها باید اطمینان حاصل کنند که Policyهای آن‌ها حاوی گزاره‌های واضحی باشند که به تمام ملاحظات اصلی فارنزیک  بپردازد، مثل تماس با مسئولان اعمال قانون، انجام مانیتورینگ و بررسی‌ منظم Policyها، دستورالعمل‌ها و فرایندهای فارنزیک. در سطح بالا، Policyها باید به پرسنل مجاز این امکان را بدهند که سیستم‌ها و شبکه‌ها را مانیتور کرده و با دلایل مناسب و تحت شرایط درست، بررسی‌های خود را به انجام برساند. همچنین ممکن است سازمان‌ها، Policy جداگانه‌ای برای مسئولان رسیدگی به حادثه و نقش‌های دیگر فارنزیک داشته باشند. چنین پرسنلی باید با Policy آشنا باشند و آن را درک کنند. شاید نیاز باشد که Policyها به‌طور منظم بروزرسانی شوند، مخصوصاً برای سازمان‌هایی که در حوزه‌های قضایی متفاوتی پخش شده‌اند، زیرا قوانین و مقررات و همچنین  تغییر می‌کنند و حکم‌های دادگاهی جدیدی صادر می‌شود. به‌علاوه، Policy فارنزیک سازمان‌ باید با Policyهای دیگر سازمان از جمله Policyهای مربوط به انتظارات منطقی در مورد حریم شخصی‌ همسو باشد.

تعریف نقش‌ها و مسئولیت‌ها

 Policy فارنزیک باید به‌وضوح نقش‌ها و مسئولیت‌های تمام افرادی را که فعالیت فارنزیک سازمان‌ را انجام می‌دهند یا به آن کمک می‌کنند تعریف کند و باید شامل اقدامات انجام شده در طول فعالیت‌ مربوط به رسیدگی به حادثه یا فعالیت کاری روزمره (مثل مدیریت سیستم و عیب‌یابی شبکه) باشد. همچنین این Policy باید شامل تمام تیم‌های داخلی باشد که ممکن است در اقدامات فارنزیک شرکت کنند و باید سازمان‌های خارجی برون‌سپاری‌شده و سازمان‌های پاسخ به حادثه را نیز در بر بگیرد. این Policy باید به‌وضوح نشان دهد که تحت شرایط متفاوت، چه کسی باید با کدام تیم داخلی و کدام سازمان‌ خارجی تماس بگیرد. این Policy همچنین باید در مورد تعارضات قضایی و نحوه‌ی رفع و رجوع آن‌ها صحبت کند، زیرا یک جرم ممکن است چندین حوزه‌ی قضایی را در بر بگیرد و چندین آژانس اعمال قانون آن را بررسی کنند. برخی از سازمان‌ها دارای یک دفتر بازرسی کل (OIG) هستند که مسئول بررسی اتهامات سوءرفتار است؛ این دفتر می‌تواند برای رسیدگی به تعارضات قضایی نیز مناسب باشد. در بعضی از سازمان‌ها، اگر جرمی انجام شود، این دفتر بلافاصله مسئولیت تحقیق و بررسی را برعهده می‌گیرد.

راهنمای استفاده از ابزار فارنزیک

 مسئولان رسیدگی به حادثه، متخصصان IT مثل ادمین‌های سیستم و شبکه و افراد دیگر درون سازمان به دلایل مختلف‌ از ابزار و تکنیک‌های فارنزیک استفاده می‌کنند. با اینکه ممکن است تکنولوژی‌ مزایایی داشته باشد، احتمال اینکه به‌طور تصادفی یا از قصد برای فراهم کردن دسترسی غیرمجاز به اطلاعات یا دستکاری یا از بین بردن اطلاعاتی مثل شواهد یک حادثه مورد سوءاستفاده قرار بگیرد نیز وجود دارد. به‌علاوه، ممکن است در برخی از شرایط استفاده از برخی ابزار فارنزیک  به‌خصوص ضروری نباشد (مثلاً احتمالاً یک حادثه‌ی جزئی نیازمند صرف صدها ساعت برای جمع‌آوری و بررسی داده نیست).

برای اطمینان حاصل کردن از اینکه ابزار به‌طور منطقی و مناسبی مورد استفاده قرار می‌گیرند، Policyها، دستورالعمل‌ها و فرایندهای سازمان باید به‌وضوح توضیح دهند که چه اقدامات جرم‌شناسانه‌ای تحت شرایط خاص باید اجرا شوند یا نباید اجرا شوند. برای مثال، یک ادمین شبکه باید بتواند به‌طور منظم ارتباطات شبکه را مانیتور کند تا مشکلات عملیاتی را حل کند، اما نباید ایمیل‌های کاربران را بخواند، مگر اینکه به‌طور خاص اجازه‌ی این کار را داشته باشد. ممکن است Agent یک Help Desk اجازه‌ی مانیتور کردن ارتباطات شبکه را برای مانیتور کردن رایانه‌ی یک کاربر به‌خصوص داشته باشد تا مشکل یک برنامه کاربردی را حل کند، اما اجازه‌ی انجام هیچ مانیتورینگ شبکه دیگری را نداشته باشد. کاربران به‌خصوصی ممکن است از انجام مانیتورینگ شبکه تحت هر شرایطی منع شوند. Policyها، دستورالعمل‌ها و فرایندها باید به‌وضوح اقدامات مجاز و ممنوع را برای هر نقش تحت شرایط عادی (مثلاً وظایف عادی) و شرایط ویژه (مثل رسیدگی به حادثه) تعریف کنند.

Policyها، دستورالعمل‌ها و فرایندها همچنین باید به استفاده از ابزار و تکنیک‌های ضد فارنزیک نیز بپردازند. نرم‌افزار ضد فارنزیک  طراحی شده است تا داده‌ را مخفی کند یا از بین ببرد تا دیگران نتوانند به آن دسترسی داشته باشند. استفاده‌های مفید زیادی برای نرم‌افزار ضد فارنزیک  وجود دارد، مثل از بین بردن داده از رایانه‌هایی که قرار است به خیریه‌ها اهدا شوند و حذف داده‌های Cache شده توسط مرورگرهای وب برای حفظ حریم شخصی کاربر. اما ابزار ضد فارنزیک  هم درست مثل ابزار فارنزیک می‌توانند برای اهداف مخرب مورد استفاده قرار بگیرند. در نتیجه سازمان‌ها باید مشخص کنند که چه کسی، تحت چه شرایطی اجازه دارد از این ابزار استفاده کند.

ازآنجایی‌که ابزار فارنزیک می‌توانند اطلاعات حساس را ذخیره کنند، Policyها، دستورالعمل‌ها و فرایندها همچنین باید راهکارهای حفاظتی ضروری برای اطلاعات را شرح دهند. به‌علاوه باید الزاماتی برای رسیدگی به افشای ناخواسته‌ی اطلاعات حساس وجود داشته باشد، مثل اینکه یک مسئول رسیدگی به حادثه رمزهای عبور و اطلاعات پزشکی بیماران را ببیند.

 پشتیبانی از فارنزیک در چرخه عمر سیستم اطلاعات

 اگر ملاحظات فارنزیک در چرخه عمر سیستم اطلاعات ادغام شوند، می‌توان با کارآمدی و تأثیرگذاری بیشتری به بسیاری از حوادث رسیدگی کرد. در ادامه مثال‌هایی از این ملاحظات مطرح می‌شود:

  • انجام پشتیبان‌گیری‌های منظم از سیستم‌ها و حفظ پشتیبان‌گیری‌های پیشین برای مدت زمانی به‌خصوص
  • فعال‌سازی امکان ممیزی در رایانه‌ها، سرورها و دستگاه‌های شبکه
  • Forward کردن آمار ممیزی به سرورهای لاگ ایمن و متمرکز
  • پیکربندی برنامه‌های کاربردی مهم عملیاتی برای انجام ممیزی از جمله ثبت تمام تلاش‌های برای احراز هویت
  • حفظ یک دیتابیس از Hashهای فایل برای فایل‌های دارای سیستم‌عامل متداول و پیاده‌سازی‌های برنامه کاربردی و استفاده از نرم‌افزارهای لازم برای چک کردن یکپارچگی فایل روی دارایی‌های بسیار مهم
  • حفظ آمار شبکه و پیکربندی‌های سیستم مثل مبناها مثلاً مبناها (Baselineها)
  • ایجاد Policyهایی برای حفظ داده که از انجام بررسی‌های پیشین فعالیت سیستم و شبکه پشتیبانی کنند، تطبیق با درخواست‌ها یا الزامات برای حفظ داده‌های مربوط به دعوی‌ها و بازرسی‌های جاری و از بین بردن داده‌هایی که دیگر موردنیاز نیستند.

اکثر این الزامات افزونه‌هایی از مقررات موجود در Policyها و فرایندهای سازمان‌ هستند، پس معمولاً در اسناد موجود مشخص می‌شوند، نه در یک Policy فارنزیک متمرکز.

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.