همه مواردی که لازم است راجع به فارنزیک بدانید – قسمت سوم

در این مقاله چندین جنبه از سازماندهی قابلیت فارنزیک (Forensic) در یک سازمان‌ صحبت شد. در بخش اول با بیان انواع مختلفی از کاربردهای فارنزیک  آغاز و سپس نمایی تخصصی از فرایند آن را ارائه شد. در بخش دوم مقاله در مورد نحوه فراهم شدن خدمات فارنزیک صحبت شد و یک راهنمایی در مورد نحوه‌ی ایجاد و حفظ مهارت‌های ضروری برای انجام فارنزیک ارائه شد همچنین درباره نیاز به تعامل تیم فارنزیک با سایر تیم‌ها در سازمان رابیان گردید. در این بخش، به بیان نحوه ارتباط سیاست‌ها، دستورالعمل‌ها و فرایندها با فارنزیک می‌پردازیم. (مثلاً تعریف نقش‌ها و مسئولیت‌ها، فراهم کردن راهنمایی در مورد استفاده‌ی مناسب از ابزار و تکنیک‌ها، استفاده از فارنزیک  در چرخه عمر سیستم اطلاعاتی).

دستورالعمل‌ها و فرایندهای مورد نیاز فارنزیک

 یک سازمان‌ باید برای انجام وظایف فارنزیک (Forensic)، براساس Policyها، مدل‌های مربوط به کارمندان پاسخ به حادثه و تیم‌های دیگری که به‌عنوان مشارکت‌کنندگان در فعالیت فارنزیک شناسایی می‌شوند، دستورالعمل‌ها و فرایندهایی را بسازد و حفظ کند. حتی اگر کارها توسط افراد خارجی انجام شوند، کارمندان داخلی سازمان‌ همچنان با آن‌ها تعامل خواهند داشت و تا حدی در کارها مشارکت خواهند داشت؛ مشارکت‌هایی مثل اطلاع‌رسانی به افراد خارجی در موردنیاز به کمک، ارائه‌ی دسترسی فیزیکی یا منطقی به سیستم‌ها و ایمن‌سازی صحنه‌ی یک حادثه تا زمانی که مسئول بررسی برسد. کارمندان داخلی باید همکاری نزدیک با افراد خارجی داشته باشند تا اطمینان حاصل شود که Policyها، دستورالعمل‌ها و فرایندهای سازمان درک و دنبال می‌شوند.

دستورالعمل‌های فارنزیک یک سازمان‌ باید شامل روش‌های کلی برای بررسی یک حادثه با استفاده از تکنیک‌های فارنزیک  باشد، زیرا توسعه‌ی فرایندهای جامعی که برای تمام شرایط مناسب باشد ممکن نیست. اما سازمان‌ها باید توسعه‌ی فرایندهای قدم‌به‌قدمی را برای انجام کارهای روزمره مد نظر قرار دهند، مثل Image گرفتن از یک هارد دیسک، ثبت و ضبط اطلاعات حساس از سیستم‌ها یا ایمن‌سازی شواهد فیزیکی (مثل رسانه‌های قابل جابجایی). هدف از این دستورالعمل‌ها و فرایندها این است که اقدامات فارنزیک  پایدار، کارآمد و دقیقی تسهیل گردند؛ این امر به‌طور خاص برای حوادثی مهم است که منجر به پیگرد قانونی یا اقدامات تنبیهی داخلی می‌شوند. ازآنجایی‌که لاگ‌های الکترونیکی و سوابق دیگر را می‌توان تغییر داد یا دستکاری کرد، سازمان‌ها باید آماده باشند تا از طریق Policyها، دستورالعمل‌ها و فرایندهای خود واقعی بودن این سوابق را نشان دهند.

اطلاعات به‌سرعت درحال تغییر شکل دادن به فرمی است که تمام دارایی‌های اطلاعاتی به‌صورت الکترونیکی در دسترس قرار گیرند. هم در بخش عمومی و هم خصوصی، نشان دادن صحت، اعتبار و قابل‌اطمینان بودن سوابق الکترونیکی (مثل انجام شدن یک عمل یا تصمیم خاص یا وجود اطلاعاتی به‌خصوص) اهمیت روزافزون پیدا کرده است. سوابق کسب‌و‌کار معمولاً به‌عنوان «برابر اصل» در نظر گرفته می‌شوند. نگرانی افراد در جوامع قانونی و فارنزیک در مورد آسان بودن ایجاد، تغییر یا دستکاری در سوابق الکترونیکی به‌طور روز افزون در حال افزایش است. به‌علاوه، طرح‌های تطبیق‌پذیری مختلف در بخش‌های عمومی و خصوصی اهمیت نشان دادن صحت سوابق الکترونیکی را افزایش داده‌اند. با وجود اینکه بدیهی است چنین مسائلی باید با مشاوران حقوقی و مسئولان ارشد IT مطرح شوند و فراتر از حوزه‌ی این مقاله هستند، باید گفت که استفاده از تکنیک‌های فارنزیک عاقلانه، ثبت‌شده و قابل توضیح همراه با روش‌های دیگر (مثل حفظ و تجزیه‌و‌تحلیل لاگ) منبع مهمی برای تصمیم‌گیرندگان و مسئولان رسیدگی به حادثه است.

دستورالعمل‌ها و فرایندهای فارنزیک باید با Policyهای سازمان‌ و تمام قوانین مرتبط همسو باشد. سازمان‌ها باید به‌عنوان یک اقدام برای تضمین کیفیت، متخصصان فنی و مشاوران حقوقی را در توسعه‌ی دستورالعمل‌ها و فرایندهای خود دخیل کنند. مدیریت نیز باید در توسعه‌ی دستورالعمل‌ها و فرایندها دخیل باشد، به‌خصوص برای اطمینان حاصل کردن از اینکه تمام نقاط مهم تصمیم‌گیری ثبت شده‌اند و مسیر درستی برای حرکت تعریف شده است تا تصمیمات به‌صورت پایداری اتخاذ شوند.

دستورالعمل‌ها و فرایندها باید از مقبولیت شواهد در روندهای حقوقی اطمینان حاصل کنند که این امر شامل ارائه‌ی اطلاعاتی در مورد جمع‌آوری و رسیدگی درست به شواهد، حفظ یکپارچگی ابزار و تجهیزات، حفظ زنجیره‌ی توقیف و ذخیره کردن شواهد به‌طور ایمن است. با اینکه شاید ثبت و ضبط تمام رویدادها یا اقدامات انجام شده در پاسخ به یک حادثه ممکن نباشد، داشتن سوابقی از رویدادها و اقدامات اساسی انجام شده کمک می‌کند که اطمینان حاصل شود هیچ چیز نادیده گرفته نشده است و کمک می‌کند بتوانیم به دیگران توضیح دهیم که چطور به حوادث رسیدگی شده است. این مستندسازی می‌تواند برای مدیریت پرونده، گزارش‌نویسی و شهادت دادن مفید باشد. ثبت تاریخ‌ها و زمان‌هایی که افراد روی یک حادثه کار کرده‌اند، از جمله زمان موردنیاز برای بازیابی سیستم‌ها نیز می‌تواند به حساب کردن هزینه‌ی ضررها کمک کند. همچنین کار کردن با شواهد به‌صورتی که از نظر فارنزیک منطقی باشد، تصمیم‌گیرندگان را در موقعیتی قرار می‌دهد که بتوانند با اعتمادبه‌نفس اقدامات ضروری را به انجام برسانند.

همچنین مهم است که دستورالعمل‌ها و فرایندها، پس از ایجاد به‌خوبی دنبال شوند تا دقیق باقی بمانند. مدیریت باید مشخص کند که دستورالعمل‌ها و فرایندها باید با چه بسامدی نقد و بررسی شوند (حداقل یک بار در سال). همچنین هر زمانی که Policyها، دستورالعمل‌ها و فرایندهای تیم، تغییرات قابل‌توجهی می‌کنند، باید بررسی جدیدی انجام گیرد. وقتی که یک دستورالعمل یا فرایند بروزرسانی می‌گردد، نسخه‌ی قبلی باید آرشیو شود تا در روندهای قانونی آینده مورد استفاده قرار بگیرد. افرادی که دستورالعمل‌ها و فرایندها را ایجاد کرده‌اند باید در بررسی آن‌ها نیز دخیل باشند. ممکن است سازمان‌ها علاوه بر انجام بررسی‌ها تصمیم بگیرند که اقداماتی را به انجام برسانند که به بررسی دقیق بودن دستورالعمل‌ها و فرایندهای کمک کند.

پیشنهادات کلیدی درباره انجام فارنزیک

 پیشنهادات کلیدی در مورد ایجاد و تنظیم قابلیت فارنزیک عبارتند از:

  • سازمان‌ها باید قابلیت انجام فارنزیک رایانشی و شبکه را داشته باشند. فارنزیک برای انجام کارهای مختلفی در سازمان‌ موردنیاز است، کارهایی مثل بررسی جرایم و رفتارهای نامناسب، بازسازی حوادث امنیت رایانه‌ای، عیب‌یابی مشکلات عملیاتی، پشتیبانی از دقت عمل برای حفظ سوابق ممیزی و بازیابی از آسیب حوادث تصادفی به سیستم. بدون این قابلیت، سازمان در تعیین اینکه چه اتفاقاتی در سیستم‌ها و شبکه‌ها رخ داده‌اند دچار مشکل خواهد شد، اتفاقاتی مثل افشای داده‌های حفاظت‌شده و حساس. همچنین کار کردن با شواهد به‌صورتی که از نظر فارنزیک  منطقی باشد تصمیم‌گیرندگان را در موقعیتی قرار می‌دهد که بتوانند با اعتمادبه‌نفس اقدامات ضروری را انجام دهند.
  • سازمان‌ها باید مشخص کنند که چه افرادی باید به هر بخش از فارنزیک رسیدگی کنند. اکثر سازمان‌ها برای انجام اقدامات فارنزیک به ترکیبی از کارمندان خود و افراد خارج از سازمان‌ تکیه می‌کنند. سازمان‌ها باید براساس مهارت‌ها و توانایی‌ها، هزینه، زمان پاسخ و حساسیت داده تصمیم بگیرند که چه افرادی باید به کارهای رسیدگی کنند.
  • تیم‌های رسیدگی به حادثه باید قابلیت‌های فارنزیک قدرتمندی داشته باشند. بیش از یکی از اعضای تیم باید بتوانند هر فعالیت فارنزیک عادی را انجام دهند. تمرین‌های عملی و دوره‌های آموزشی IT و فارنزیک و همچنین نمایش ابزار و تکنولوژی‌های جدید می‌توانند در ساخت و حفظ مهارت‌ها مؤثر باشند.
  • تیم‌های زیادی در یک سازمان‌ باید بتوانند در فارنزیک مشارکت کنند. افرادی که اقدامات فارنزیک را به انجام می‌رسانند باید بتوانند برای دریافت کمک بیشتر با تیم‌ها و افراد دیگر در سازمان‌ کار کنند. از جمله تیم‌هایی که می‌توانند در این زمینه‌ها مفید واقع شوند، می‌توان به متخصصان IT، تیم مدیریت، مشاوران حقوقی، پرسنل منابع انسانی، مسئولان ممیزی و کارمندان امنیت فیزیکی اشاره کرد. اعضای این تیم‌ها باید نقش‌های و مسئولیت‌های خود را در فارنزیک درک کنند، در مورد Policyها، دستورالعمل‌ها و فرایندهای مربوط به فارنزیک  آموزش دریافت کنند و آماده‌ی همکاری با دیگران در اقدامات فارنزیک  باشند.
  • ملاحظات فارنزیک باید به‌وضوح در Policyها مشخص شوند. در سطح بالا، Policyها باید به پرسنل مجاز این امکان را بدهند که سیستم‌ها و شبکه‌ها را مانیتور کرده و به دلیل مناسب و تحت شرایط درست، بررسی‌های خود را به انجام برساند. همچنین ممکن است سازمان‌ها برای مسئولان رسیدگی به حادثه و نقش‌های دیگر فارنزیک، Policy فارنزیک متفاوتی داشته باشند که قواعد دقیقی را در مورد رفتارهای مناسب ارائه بدهد. هرکسی که ممکن است فراخوانده شود تا به اقدامات فارنزیک کمک کند، باید با Policy فارنزیک آشنا باشد و آن را درک کند. ملاحظات Policy دیگر عبارت‌اند از:
    • Policy فارنزیک باید به‌وضوح نقش‌ها و مسئولیت‌های تمام افرادی را که فعالیت فارنزیک سازمان‌ را انجام می‌دهند یا به آن کمک می‌کنند تعریف کند. این Policy باید شامل تمام افراد داخلی و خارجی باشد که ممکن است درگیر شوند و باید به‌وضوح مشخص کند که تحت شرایط مختلف چه کسی باید با چه افرادی تماس بگیرد.
    • Policyها، دستورالعمل‌ها و فرایندهای سازمان‌ باید به‌وضوح شرح دهد که تحت شرایط عادی و ویژه چه اقدامات فارنزیک باید و نباید انجام شوند و باید به ابزار و تکنیک‌های ضد فارنزیک نیز بپردازد. Policyها، دستورالعمل‌ها و فرایندها همچنین باید به افشای ناخواسته‌ی اطلاعات حساس رسیدگی کنند.
    • وارد کردن ملاحظات فارنزیک در چرخه عمر سیستم اطلاعاتی می‌تواند منجر شود به رسیدگی بهتر و مؤثرتر به بسیاری از حوادث. از جمله این ملاحظات می‌توان به ممیزی روی Hostها و ایجاد Policyهای حفظ داده اشاره کرد که از انجام بررسی‌ سوابق فعالیت سیستم و شبکه پشتیبانی می‌کنند.
  • سازمان‌ها باید دستورالعمل‌ها و فرایندهایی را برای انجام اقدامات فارنزیک ایجاد و حفظ کنند.  دستورالعمل‌ها باید شامل روش‌های کلی برای بررسی یک حادثه با استفاده از تکنیک‌های فارنزیک باشند و فرایندهای قدم‌به‌قدم باید نحوه‌ی انجام کارهای روتین را شرح دهند. دستورالعمل‌ها و فرایندها باید از مقبولیت شواهد در روندهای حقوقی اطمینان حاصل کنند. از آنجایی‌که لاگ‌های الکترونیکی و سوابق دیگر را می‌توان تغییر داد یا دستکاری کرد، سازمان‌ها باید آماده باشند تا از طریق Policyها، دستورالعمل‌ها و فرایندهای خود واقعی و قابل‌اطمینان بودن این سوابق را نشان دهند. همچنین دستورالعمل‌ها و فرایندها باید به‌صورت منظم بررسی شوند تا از دقیق بودن آن‌ها اطمینان حاصل شود.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.