در این مقاله چندین جنبه از سازماندهی قابلیت فارنزیک (Forensic) در یک سازمان صحبت شد. در بخش اول با بیان انواع مختلفی از کاربردهای فارنزیک آغاز و سپس نمایی تخصصی از فرایند آن را ارائه شد. در بخش دوم مقاله در مورد نحوه فراهم شدن خدمات فارنزیک صحبت شد و یک راهنمایی در مورد نحوهی ایجاد و حفظ مهارتهای ضروری برای انجام فارنزیک ارائه شد همچنین درباره نیاز به تعامل تیم فارنزیک با سایر تیمها در سازمان رابیان گردید. در این بخش، به بیان نحوه ارتباط سیاستها، دستورالعملها و فرایندها با فارنزیک میپردازیم. (مثلاً تعریف نقشها و مسئولیتها، فراهم کردن راهنمایی در مورد استفادهی مناسب از ابزار و تکنیکها، استفاده از فارنزیک در چرخه عمر سیستم اطلاعاتی).
دستورالعملها و فرایندهای مورد نیاز فارنزیک
یک سازمان باید برای انجام وظایف فارنزیک (Forensic)، براساس Policyها، مدلهای مربوط به کارمندان پاسخ به حادثه و تیمهای دیگری که بهعنوان مشارکتکنندگان در فعالیت فارنزیک شناسایی میشوند، دستورالعملها و فرایندهایی را بسازد و حفظ کند. حتی اگر کارها توسط افراد خارجی انجام شوند، کارمندان داخلی سازمان همچنان با آنها تعامل خواهند داشت و تا حدی در کارها مشارکت خواهند داشت؛ مشارکتهایی مثل اطلاعرسانی به افراد خارجی در موردنیاز به کمک، ارائهی دسترسی فیزیکی یا منطقی به سیستمها و ایمنسازی صحنهی یک حادثه تا زمانی که مسئول بررسی برسد. کارمندان داخلی باید همکاری نزدیک با افراد خارجی داشته باشند تا اطمینان حاصل شود که Policyها، دستورالعملها و فرایندهای سازمان درک و دنبال میشوند.
دستورالعملهای فارنزیک یک سازمان باید شامل روشهای کلی برای بررسی یک حادثه با استفاده از تکنیکهای فارنزیک باشد، زیرا توسعهی فرایندهای جامعی که برای تمام شرایط مناسب باشد ممکن نیست. اما سازمانها باید توسعهی فرایندهای قدمبهقدمی را برای انجام کارهای روزمره مد نظر قرار دهند، مثل Image گرفتن از یک هارد دیسک، ثبت و ضبط اطلاعات حساس از سیستمها یا ایمنسازی شواهد فیزیکی (مثل رسانههای قابل جابجایی). هدف از این دستورالعملها و فرایندها این است که اقدامات فارنزیک پایدار، کارآمد و دقیقی تسهیل گردند؛ این امر بهطور خاص برای حوادثی مهم است که منجر به پیگرد قانونی یا اقدامات تنبیهی داخلی میشوند. ازآنجاییکه لاگهای الکترونیکی و سوابق دیگر را میتوان تغییر داد یا دستکاری کرد، سازمانها باید آماده باشند تا از طریق Policyها، دستورالعملها و فرایندهای خود واقعی بودن این سوابق را نشان دهند.
اطلاعات بهسرعت درحال تغییر شکل دادن به فرمی است که تمام داراییهای اطلاعاتی بهصورت الکترونیکی در دسترس قرار گیرند. هم در بخش عمومی و هم خصوصی، نشان دادن صحت، اعتبار و قابلاطمینان بودن سوابق الکترونیکی (مثل انجام شدن یک عمل یا تصمیم خاص یا وجود اطلاعاتی بهخصوص) اهمیت روزافزون پیدا کرده است. سوابق کسبوکار معمولاً بهعنوان «برابر اصل» در نظر گرفته میشوند. نگرانی افراد در جوامع قانونی و فارنزیک در مورد آسان بودن ایجاد، تغییر یا دستکاری در سوابق الکترونیکی بهطور روز افزون در حال افزایش است. بهعلاوه، طرحهای تطبیقپذیری مختلف در بخشهای عمومی و خصوصی اهمیت نشان دادن صحت سوابق الکترونیکی را افزایش دادهاند. با وجود اینکه بدیهی است چنین مسائلی باید با مشاوران حقوقی و مسئولان ارشد IT مطرح شوند و فراتر از حوزهی این مقاله هستند، باید گفت که استفاده از تکنیکهای فارنزیک عاقلانه، ثبتشده و قابل توضیح همراه با روشهای دیگر (مثل حفظ و تجزیهوتحلیل لاگ) منبع مهمی برای تصمیمگیرندگان و مسئولان رسیدگی به حادثه است.
دستورالعملها و فرایندهای فارنزیک باید با Policyهای سازمان و تمام قوانین مرتبط همسو باشد. سازمانها باید بهعنوان یک اقدام برای تضمین کیفیت، متخصصان فنی و مشاوران حقوقی را در توسعهی دستورالعملها و فرایندهای خود دخیل کنند. مدیریت نیز باید در توسعهی دستورالعملها و فرایندها دخیل باشد، بهخصوص برای اطمینان حاصل کردن از اینکه تمام نقاط مهم تصمیمگیری ثبت شدهاند و مسیر درستی برای حرکت تعریف شده است تا تصمیمات بهصورت پایداری اتخاذ شوند.
دستورالعملها و فرایندها باید از مقبولیت شواهد در روندهای حقوقی اطمینان حاصل کنند که این امر شامل ارائهی اطلاعاتی در مورد جمعآوری و رسیدگی درست به شواهد، حفظ یکپارچگی ابزار و تجهیزات، حفظ زنجیرهی توقیف و ذخیره کردن شواهد بهطور ایمن است. با اینکه شاید ثبت و ضبط تمام رویدادها یا اقدامات انجام شده در پاسخ به یک حادثه ممکن نباشد، داشتن سوابقی از رویدادها و اقدامات اساسی انجام شده کمک میکند که اطمینان حاصل شود هیچ چیز نادیده گرفته نشده است و کمک میکند بتوانیم به دیگران توضیح دهیم که چطور به حوادث رسیدگی شده است. این مستندسازی میتواند برای مدیریت پرونده، گزارشنویسی و شهادت دادن مفید باشد. ثبت تاریخها و زمانهایی که افراد روی یک حادثه کار کردهاند، از جمله زمان موردنیاز برای بازیابی سیستمها نیز میتواند به حساب کردن هزینهی ضررها کمک کند. همچنین کار کردن با شواهد بهصورتی که از نظر فارنزیک منطقی باشد، تصمیمگیرندگان را در موقعیتی قرار میدهد که بتوانند با اعتمادبهنفس اقدامات ضروری را به انجام برسانند.
همچنین مهم است که دستورالعملها و فرایندها، پس از ایجاد بهخوبی دنبال شوند تا دقیق باقی بمانند. مدیریت باید مشخص کند که دستورالعملها و فرایندها باید با چه بسامدی نقد و بررسی شوند (حداقل یک بار در سال). همچنین هر زمانی که Policyها، دستورالعملها و فرایندهای تیم، تغییرات قابلتوجهی میکنند، باید بررسی جدیدی انجام گیرد. وقتی که یک دستورالعمل یا فرایند بروزرسانی میگردد، نسخهی قبلی باید آرشیو شود تا در روندهای قانونی آینده مورد استفاده قرار بگیرد. افرادی که دستورالعملها و فرایندها را ایجاد کردهاند باید در بررسی آنها نیز دخیل باشند. ممکن است سازمانها علاوه بر انجام بررسیها تصمیم بگیرند که اقداماتی را به انجام برسانند که به بررسی دقیق بودن دستورالعملها و فرایندهای کمک کند.
پیشنهادات کلیدی درباره انجام فارنزیک
پیشنهادات کلیدی در مورد ایجاد و تنظیم قابلیت فارنزیک عبارتند از:
- سازمانها باید قابلیت انجام فارنزیک رایانشی و شبکه را داشته باشند. فارنزیک برای انجام کارهای مختلفی در سازمان موردنیاز است، کارهایی مثل بررسی جرایم و رفتارهای نامناسب، بازسازی حوادث امنیت رایانهای، عیبیابی مشکلات عملیاتی، پشتیبانی از دقت عمل برای حفظ سوابق ممیزی و بازیابی از آسیب حوادث تصادفی به سیستم. بدون این قابلیت، سازمان در تعیین اینکه چه اتفاقاتی در سیستمها و شبکهها رخ دادهاند دچار مشکل خواهد شد، اتفاقاتی مثل افشای دادههای حفاظتشده و حساس. همچنین کار کردن با شواهد بهصورتی که از نظر فارنزیک منطقی باشد تصمیمگیرندگان را در موقعیتی قرار میدهد که بتوانند با اعتمادبهنفس اقدامات ضروری را انجام دهند.
- سازمانها باید مشخص کنند که چه افرادی باید به هر بخش از فارنزیک رسیدگی کنند. اکثر سازمانها برای انجام اقدامات فارنزیک به ترکیبی از کارمندان خود و افراد خارج از سازمان تکیه میکنند. سازمانها باید براساس مهارتها و تواناییها، هزینه، زمان پاسخ و حساسیت داده تصمیم بگیرند که چه افرادی باید به کارهای رسیدگی کنند.
- تیمهای رسیدگی به حادثه باید قابلیتهای فارنزیک قدرتمندی داشته باشند. بیش از یکی از اعضای تیم باید بتوانند هر فعالیت فارنزیک عادی را انجام دهند. تمرینهای عملی و دورههای آموزشی IT و فارنزیک و همچنین نمایش ابزار و تکنولوژیهای جدید میتوانند در ساخت و حفظ مهارتها مؤثر باشند.
- تیمهای زیادی در یک سازمان باید بتوانند در فارنزیک مشارکت کنند. افرادی که اقدامات فارنزیک را به انجام میرسانند باید بتوانند برای دریافت کمک بیشتر با تیمها و افراد دیگر در سازمان کار کنند. از جمله تیمهایی که میتوانند در این زمینهها مفید واقع شوند، میتوان به متخصصان IT، تیم مدیریت، مشاوران حقوقی، پرسنل منابع انسانی، مسئولان ممیزی و کارمندان امنیت فیزیکی اشاره کرد. اعضای این تیمها باید نقشهای و مسئولیتهای خود را در فارنزیک درک کنند، در مورد Policyها، دستورالعملها و فرایندهای مربوط به فارنزیک آموزش دریافت کنند و آمادهی همکاری با دیگران در اقدامات فارنزیک باشند.
- ملاحظات فارنزیک باید بهوضوح در Policyها مشخص شوند. در سطح بالا، Policyها باید به پرسنل مجاز این امکان را بدهند که سیستمها و شبکهها را مانیتور کرده و به دلیل مناسب و تحت شرایط درست، بررسیهای خود را به انجام برساند. همچنین ممکن است سازمانها برای مسئولان رسیدگی به حادثه و نقشهای دیگر فارنزیک، Policy فارنزیک متفاوتی داشته باشند که قواعد دقیقی را در مورد رفتارهای مناسب ارائه بدهد. هرکسی که ممکن است فراخوانده شود تا به اقدامات فارنزیک کمک کند، باید با Policy فارنزیک آشنا باشد و آن را درک کند. ملاحظات Policy دیگر عبارتاند از:
- Policy فارنزیک باید بهوضوح نقشها و مسئولیتهای تمام افرادی را که فعالیت فارنزیک سازمان را انجام میدهند یا به آن کمک میکنند تعریف کند. این Policy باید شامل تمام افراد داخلی و خارجی باشد که ممکن است درگیر شوند و باید بهوضوح مشخص کند که تحت شرایط مختلف چه کسی باید با چه افرادی تماس بگیرد.
- Policyها، دستورالعملها و فرایندهای سازمان باید بهوضوح شرح دهد که تحت شرایط عادی و ویژه چه اقدامات فارنزیک باید و نباید انجام شوند و باید به ابزار و تکنیکهای ضد فارنزیک نیز بپردازد. Policyها، دستورالعملها و فرایندها همچنین باید به افشای ناخواستهی اطلاعات حساس رسیدگی کنند.
- وارد کردن ملاحظات فارنزیک در چرخه عمر سیستم اطلاعاتی میتواند منجر شود به رسیدگی بهتر و مؤثرتر به بسیاری از حوادث. از جمله این ملاحظات میتوان به ممیزی روی Hostها و ایجاد Policyهای حفظ داده اشاره کرد که از انجام بررسی سوابق فعالیت سیستم و شبکه پشتیبانی میکنند.
- سازمانها باید دستورالعملها و فرایندهایی را برای انجام اقدامات فارنزیک ایجاد و حفظ کنند. دستورالعملها باید شامل روشهای کلی برای بررسی یک حادثه با استفاده از تکنیکهای فارنزیک باشند و فرایندهای قدمبهقدم باید نحوهی انجام کارهای روتین را شرح دهند. دستورالعملها و فرایندها باید از مقبولیت شواهد در روندهای حقوقی اطمینان حاصل کنند. از آنجاییکه لاگهای الکترونیکی و سوابق دیگر را میتوان تغییر داد یا دستکاری کرد، سازمانها باید آماده باشند تا از طریق Policyها، دستورالعملها و فرایندهای خود واقعی و قابلاطمینان بودن این سوابق را نشان دهند. همچنین دستورالعملها و فرایندها باید بهصورت منظم بررسی شوند تا از دقیق بودن آنها اطمینان حاصل شود.