در قسمت اول مقاله همه مواردی که لازم است راجع به فارنزیک بدانید، در خصوص دلایل نیاز سازمانها به فارنزیک (Forensic) صحبت کردیم و به بررسی متخصصان تیم فارنزیک پرداختیم. در این قسمت و در ادامه در خصوص نحوه تعامل تیم فارنزیک با سایر تیمهای سازمان صحبت خواهیم کرد. این بخش همچنین نیاز به استفاده از انواع تیمها در سازمان را شرح میدهد، مثلاً نقش مشاوران حقوقی و کارمندان امنیت فیزیکی در برخی از فعالیتهای فارنزیک. در انتها به بیان نحوه ارتباط سیاستها، دستورالعملها و فرایندها با فارنزیک میپردازیم.
تعامل تیم فارنزیک با تیمهای دیگر سازمان
ممکن نیست که یک فرد با تمام تکنولوژیها (از جمله نرمافزار) که در سازمان مورد استفاده قرار میگیرند، آشنایی کامل داشته باشد؛ درنتیجه افرادی که اقدامات فارنزیک انجام میدهند باید بتوانند برای کمک گرفتن به سراغ تیمها و افراد دیگر درون سازمان خود بروند. مثلاً شاید حادثهای که مربوط به یک سرور دیتابیس بهخصوص است بهتر حل و فصل شود اگر ادمین دیتابیس بتواند اطلاعات پیشزمینهای فراهم کند، به سؤالات فنی جواب دهد و اسناد دیتابیس و مراجع دیگری را ارائه دهد. سازمانها باید اطمینان حاصل کنند که متخصصان IT در کل سازمان، بهخصوص مسئولان رسیدگی به حادثه و اولین پاسخدهندگان به حوادث، نقشها و مسئولیتهای خود را برای فارنزیک درک میکنند، بهطور مداوم در مورد Policyها، دستورالعملها و فرایندهای مربوط به فارنزیک آموزش میبینند و درصورتیکه تکنولوژیهای تحت نظارت آنها بخشی از یک حادثه باشد، آمادهی همکاری و کمک هستند.
علاوه بر متخصصان IT و مسئولان رسیدگی به حادثه، شاید نیاز باشد افراد دیگر درون سازمانها نیز در فعالیت فارنزیک همکاری داشته باشند. این افراد شامل بخش مدیریت، مشاوران حقوقی، پرسنل منابع انسانی، مسئولان ممیزی و کارمندان امنیت فیزیکی هستند. بخش مدیریت، مسئول پشتیبانی از قابلیتهای فارنزیک، مرور و تائید پالیسی فارنزیک و تائید برخی از اقدامات فارنزیک بهخصوص است (مثلاً آفلاین کردن یک سیستم حیاتی برای کسبوکار بهمدت ۶ ساعت برای جمعآوری داده از هارددرایوهای آن).
مشاوران حقوقی باید بهدقت تمام Policyهای فارنزیک و دستورالعملها و فرایندهای سطح بالا را بررسی کرده و سپس وقتی باید اطمینان حاصل شود که اقدامات فارنزیک بهصورت قانونمند اجرا شدهاند، راهنماییهای بیشتری را ارائه دهد. بخش منابع انسانی میتواند راهنماییهایی را در مورد رسیدگی به روابط کارمندان و رسیدگی به حوادث داخلی فراهم کند. مسئولان ممیزی میتوانند در تعیین تأثیر اقتصادی یک حادثه، از جمله هزینهی فعالیت فارنزیک مفید باشند. کارمندان امنیت فیزیکی میتوانند در کسب دسترسی و ایمنسازی فیزیکی شواهد کمک کنند. بااینکه معمولاً این تیمها در فرایند فارنزیک نقشی اساسی ندارند، خدماتی که فراهم میکنند میتواند مفید باشد.
برای تسهیل ارتباطات درون تیم، هر تیم باید یک یا چند نقطهی ارتباطی را مشخص کند. این افراد مسئول هستند که تخصص هر عضو تیم را بدانند و هر درخواست کمک را به فرد مناسب منتقل کنند. سازمانها باید فهرستی از مخاطبین داشته باشند که تیمهای مناسب در زمان نیاز بتوانند به آن رجوع کنند. این فهرست باید شامل روشهای ارتباطی استاندارد (مثل تلفن دفتر) و اضطراری (مثل تلفن همراه) باشد.
تعین Policyهای لازم برای انجام فرآیند فارنزیک
سازمانها باید اطمینان حاصل کنند که Policyهای آنها حاوی گزارههای واضحی باشند که به تمام ملاحظات اصلی فارنزیک بپردازد، مثل تماس با مسئولان اعمال قانون، انجام مانیتورینگ و بررسی منظم Policyها، دستورالعملها و فرایندهای فارنزیک. در سطح بالا، Policyها باید به پرسنل مجاز این امکان را بدهند که سیستمها و شبکهها را مانیتور کرده و با دلایل مناسب و تحت شرایط درست، بررسیهای خود را به انجام برساند. همچنین ممکن است سازمانها، Policy جداگانهای برای مسئولان رسیدگی به حادثه و نقشهای دیگر فارنزیک داشته باشند. چنین پرسنلی باید با Policy آشنا باشند و آن را درک کنند. شاید نیاز باشد که Policyها بهطور منظم بروزرسانی شوند، مخصوصاً برای سازمانهایی که در حوزههای قضایی متفاوتی پخش شدهاند، زیرا قوانین و مقررات و همچنین تغییر میکنند و حکمهای دادگاهی جدیدی صادر میشود. بهعلاوه، Policy فارنزیک سازمان باید با Policyهای دیگر سازمان از جمله Policyهای مربوط به انتظارات منطقی در مورد حریم شخصی همسو باشد.
تعریف نقشها و مسئولیتها
Policy فارنزیک باید بهوضوح نقشها و مسئولیتهای تمام افرادی را که فعالیت فارنزیک سازمان را انجام میدهند یا به آن کمک میکنند تعریف کند و باید شامل اقدامات انجام شده در طول فعالیت مربوط به رسیدگی به حادثه یا فعالیت کاری روزمره (مثل مدیریت سیستم و عیبیابی شبکه) باشد. همچنین این Policy باید شامل تمام تیمهای داخلی باشد که ممکن است در اقدامات فارنزیک شرکت کنند و باید سازمانهای خارجی برونسپاریشده و سازمانهای پاسخ به حادثه را نیز در بر بگیرد. این Policy باید بهوضوح نشان دهد که تحت شرایط متفاوت، چه کسی باید با کدام تیم داخلی و کدام سازمان خارجی تماس بگیرد. این Policy همچنین باید در مورد تعارضات قضایی و نحوهی رفع و رجوع آنها صحبت کند، زیرا یک جرم ممکن است چندین حوزهی قضایی را در بر بگیرد و چندین آژانس اعمال قانون آن را بررسی کنند. برخی از سازمانها دارای یک دفتر بازرسی کل (OIG) هستند که مسئول بررسی اتهامات سوءرفتار است؛ این دفتر میتواند برای رسیدگی به تعارضات قضایی نیز مناسب باشد. در بعضی از سازمانها، اگر جرمی انجام شود، این دفتر بلافاصله مسئولیت تحقیق و بررسی را برعهده میگیرد.
راهنمای استفاده از ابزار فارنزیک
مسئولان رسیدگی به حادثه، متخصصان IT مثل ادمینهای سیستم و شبکه و افراد دیگر درون سازمان به دلایل مختلف از ابزار و تکنیکهای فارنزیک استفاده میکنند. با اینکه ممکن است تکنولوژی مزایایی داشته باشد، احتمال اینکه بهطور تصادفی یا از قصد برای فراهم کردن دسترسی غیرمجاز به اطلاعات یا دستکاری یا از بین بردن اطلاعاتی مثل شواهد یک حادثه مورد سوءاستفاده قرار بگیرد نیز وجود دارد. بهعلاوه، ممکن است در برخی از شرایط استفاده از برخی ابزار فارنزیک بهخصوص ضروری نباشد (مثلاً احتمالاً یک حادثهی جزئی نیازمند صرف صدها ساعت برای جمعآوری و بررسی داده نیست).
برای اطمینان حاصل کردن از اینکه ابزار بهطور منطقی و مناسبی مورد استفاده قرار میگیرند، Policyها، دستورالعملها و فرایندهای سازمان باید بهوضوح توضیح دهند که چه اقدامات جرمشناسانهای تحت شرایط خاص باید اجرا شوند یا نباید اجرا شوند. برای مثال، یک ادمین شبکه باید بتواند بهطور منظم ارتباطات شبکه را مانیتور کند تا مشکلات عملیاتی را حل کند، اما نباید ایمیلهای کاربران را بخواند، مگر اینکه بهطور خاص اجازهی این کار را داشته باشد. ممکن است Agent یک Help Desk اجازهی مانیتور کردن ارتباطات شبکه را برای مانیتور کردن رایانهی یک کاربر بهخصوص داشته باشد تا مشکل یک برنامه کاربردی را حل کند، اما اجازهی انجام هیچ مانیتورینگ شبکه دیگری را نداشته باشد. کاربران بهخصوصی ممکن است از انجام مانیتورینگ شبکه تحت هر شرایطی منع شوند. Policyها، دستورالعملها و فرایندها باید بهوضوح اقدامات مجاز و ممنوع را برای هر نقش تحت شرایط عادی (مثلاً وظایف عادی) و شرایط ویژه (مثل رسیدگی به حادثه) تعریف کنند.
Policyها، دستورالعملها و فرایندها همچنین باید به استفاده از ابزار و تکنیکهای ضد فارنزیک نیز بپردازند. نرمافزار ضد فارنزیک طراحی شده است تا داده را مخفی کند یا از بین ببرد تا دیگران نتوانند به آن دسترسی داشته باشند. استفادههای مفید زیادی برای نرمافزار ضد فارنزیک وجود دارد، مثل از بین بردن داده از رایانههایی که قرار است به خیریهها اهدا شوند و حذف دادههای Cache شده توسط مرورگرهای وب برای حفظ حریم شخصی کاربر. اما ابزار ضد فارنزیک هم درست مثل ابزار فارنزیک میتوانند برای اهداف مخرب مورد استفاده قرار بگیرند. در نتیجه سازمانها باید مشخص کنند که چه کسی، تحت چه شرایطی اجازه دارد از این ابزار استفاده کند.
ازآنجاییکه ابزار فارنزیک میتوانند اطلاعات حساس را ذخیره کنند، Policyها، دستورالعملها و فرایندها همچنین باید راهکارهای حفاظتی ضروری برای اطلاعات را شرح دهند. بهعلاوه باید الزاماتی برای رسیدگی به افشای ناخواستهی اطلاعات حساس وجود داشته باشد، مثل اینکه یک مسئول رسیدگی به حادثه رمزهای عبور و اطلاعات پزشکی بیماران را ببیند.
پشتیبانی از فارنزیک در چرخه عمر سیستم اطلاعات
اگر ملاحظات فارنزیک در چرخه عمر سیستم اطلاعات ادغام شوند، میتوان با کارآمدی و تأثیرگذاری بیشتری به بسیاری از حوادث رسیدگی کرد. در ادامه مثالهایی از این ملاحظات مطرح میشود:
- انجام پشتیبانگیریهای منظم از سیستمها و حفظ پشتیبانگیریهای پیشین برای مدت زمانی بهخصوص
- فعالسازی امکان ممیزی در رایانهها، سرورها و دستگاههای شبکه
- Forward کردن آمار ممیزی به سرورهای لاگ ایمن و متمرکز
- پیکربندی برنامههای کاربردی مهم عملیاتی برای انجام ممیزی از جمله ثبت تمام تلاشهای برای احراز هویت
- حفظ یک دیتابیس از Hashهای فایل برای فایلهای دارای سیستمعامل متداول و پیادهسازیهای برنامه کاربردی و استفاده از نرمافزارهای لازم برای چک کردن یکپارچگی فایل روی داراییهای بسیار مهم
- حفظ آمار شبکه و پیکربندیهای سیستم مثل مبناها مثلاً مبناها (Baselineها)
- ایجاد Policyهایی برای حفظ داده که از انجام بررسیهای پیشین فعالیت سیستم و شبکه پشتیبانی کنند، تطبیق با درخواستها یا الزامات برای حفظ دادههای مربوط به دعویها و بازرسیهای جاری و از بین بردن دادههایی که دیگر موردنیاز نیستند.
اکثر این الزامات افزونههایی از مقررات موجود در Policyها و فرایندهای سازمان هستند، پس معمولاً در اسناد موجود مشخص میشوند، نه در یک Policy فارنزیک متمرکز.