بازرسی امنیت یا Forensic و مدیریت جرایم سایبری در SOC

بازرسی امنیت

هدف از انجام بازرسی امنیت یا فارنزیک (Forensic) دستیابی به درکی هرچه بهتر از یک رویداد مورد توجه، با یافتن و تجزیه و تحلیل حقایق مرتبط با آن است. بازرسی امنیت ممکن است برای اهداف متفاوتی از جمله جمع‌آوری مدارک و شواهد برای پیگیری قانونی و یا انجام اقدامات انضباطی داخلی و رسیدگی به رویدادها و مشکلات عملیاتی غیرمعمول به کار رود. بدون توجه به دلیل، بازرسی امنیت باید با توجه به فرایند چهار مرحله‌ای ۱) جمع‌آوری، ۲) بررسی، ۳) تجزیه و تحلیل و ۴) گزارش‌دهی، همانطور که در شکل زیر نمایش داده شده، صورت گیرد. در غیر این صورت، خط‌‌مشی‌ها، دستورالعمل­‌ها و رویه‌­های سازمان باید نشان‌دهنده هر تغییری از روش استاندارد باشد.

در فاز جمع‌آوری، ضمن حفظ یکپارچگی، داده‌های مربوط به یک رویداد مشخص شناسایی، برچسب‌گذاری، ضبط و جمع‌آوری می‌شود. در فاز دوم، یعنی بررسی، مجددا ضمن حفظ یکپارچگی داده‌های جمع‌آوری شده، ابزارها و تکنیک‌های بازرسی امنیت مناسب جهت شناسایی و استخراج اطلاعات مرتبط به کار گرفته می‌شود. فاز بعد شامل تجزیه و تحلیل نتایج فاز بررسی است. این فاز با استخراج برخی اطلاعات به سوال‌هایی که انگیزه انجام فازهای جمع‌آوری و بررسی بوده‌اند، پاسخ می‌دهد. فاز نهایی شامل گزارش نتایج تجزیه و تحلیل است که ممکن است شامل توصیف اقدامات انجام شده، تعیین اقدامات موردنیاز به انجام و توصیه‌هایی برای بهبود سیاست‌ها، دستورالعمل‌ها، رویه‌ها، ابزارها و دیگر جنبه‌های بازرسی امنیت باشد. در ادامه این مطلب، فازهای ذکر شده را با جزئیات دقیق‌تر بررسی خواهیم کرد.

۱) فاز جمع‌آوری داده

اولین فاز در فرایند بازرسی امنیت یا Forensic، شناسایی منابع بالقوه داده‌ها و به دست آوردن داده از آن‌ها است. این فاز از گام‌های زیر تشکیل شده است:

  • شناسایی منابع بالقوه داده: برای شناسایی منابع بالقوه، تحلیلگران باید قادر به بررسی یک محیط فیزیکی مانند یک دفتر کار بوده و منابع احتمالی داده را شناسایی کنند. کامپیوترهای رومیزی، سرورها، دستگاه­‌های ذخیره‌­سازی شبکه و لپ­تاپ‌­ها، انواع مختلف دستگاه‌های دیجیتال قابل‌حمل (مانند PDA‌ها، تلفن‌های همراه، دوربین‌های دیجیتال، ضبط‌های دیجیتال، پخش‌کننده‌های صوتی) از رایج‌ترین منابع داده هستند. تحلیلگران همچنین باید منابع داده بالقوه دیگری که ممکن است در مکان‌های دیگر قرار داشته باشند را نیز در نظر بگیرند چرا که به عنوان مثال ممکن است برخی اطلاعات فعالیت شبکه برای یک “ISP” توسط دیگر سازمان‌ها ثبت شود. علاوه‌براین، با توجه به اینکه برخی مواقع امکان جمع‌آوری داده‌ها از منبع داده اصلی وجود ندارد، تحلیلگران باید منابع داده جایگزین که ممکن است بخشی یا تمام آن داده‌ها را در برداشته باشد را در نظر داشته و از آن‌ها به جای منابع غیرقابل‌دستیابی استفاده کنند. سازمان‌ها همچنین می‌توانند با در پیش گرفتن اقداماتی مداوم و پیش‌نگرانه مانند پیاده‌سازی یک سیستم ثبت متمرکز، پشتیبان‌گیری منظم و نظارت بر رفتار کاربران، به جمع‌آوری داده‌های احتمالا مفید برای اهداف بازرسی امنیت بپردازند.
  • دستیابی به داده‌ها: پس از شناسایی منابع داده بالقوه، تحلیلگران باید داده­‌ها را از منابع جمع‌آوری کنند. به‌دست آوردن داده‌ها باید با استفاده از فرایند سه مرحله‌­ای زیر انجام شود:
  • تدوین یک برنامه برای به­‌دست‌آ‌وردن داده‌­ها: با توجه به وجود چندین منبع داده بالقوه در بسیاری از موقعیت‌ها، تحلیلگران باید با تدوین برنامه، منابع را اولویت‌بندی کرده و ترتیبی که با توجه به آن داده‌ها جمع‌آوری می‌شوند را تعیین کنند. ارزش احتمالی، موقتی یا دائمی بودن و مقدار تلاش موردنیاز برای دستیابی به داده‌ها از جمله عواملی هستند که در اولویت‌گذاری اهمیت دارند.
  • کسب اطلاعات: فرایند کلی به دست آوردن داده‌ها شامل استفاده از ابزارهای بازرسی امنیت برای جمع‌آوری داده­‌های موقت، کپی‌برداری از منابع داده غیرموقت برای جمع‌آوری داده‌های آن‌ها و ایمن‌سازی اصل داده‌های غیرموقت است. این فرایند در صورتی انجام می‌شود که داده‌ها قبلا توسط ابزارهای امنیتی، ابزارهای تجزیه و تحلیل و یا دیگر ابزارها به دست نیامده باشند.
  • تأیید یکپارچگی داده­‌ها: در صورت نیاز به عنوان ادله قانونی، اثبات دستکاری نشدن داده‌ها مساله‌ای بسیار مهم است که تحلیلگران باید بتواند انجام دهند. تأیید جامعیت داده‌ها معمولا از طریق محاسبه مقدار چکیده داده­‌های اصلی و کپی شده و در ادامه مقایسه جهت اطمینان از یکسان بودن آن­ها انجام می‌شود.
  • ملاحظات پاسخ‌گویی به حوادث: در زمان انجام بازرسی امنیت همزمان با پاسخ‌گویی به حوادث، چگونگی و زمان مهار حادثه از اهمیت زیادی برخوردار است. ممکن است در راستای جلوگیری از آسیب بیشتر به سیستم‌ها و داده‌های آن‌ها یا حفظ شواهد، لازم باشد تا سیستم­‌های درگیر از دیگر قسمت‌ها مجزا شوند. در بسیاری از موارد، تحلیلگران باید با همکاری با تیم پاسخ‌گویی به حادثه در مورد مهار حادثه تصمیم‌گیری نمایند (به عنوان مثال، با قطع کابل شبکه، قطع برق، افزایش اقدامات امنیتی فیزیکی یا خاموش کردن سیستم). این تصمیم باید بر اساس سیاست­‌ها و رویه‌­های موجود در مورد مهار حوادث و همچنین ارزیابی تیم از خطرات حادثه باشد تا استراتژی یا ترکیب استراتژی‌های مهار انتخاب شده خطر را به اندازه کافی کاهش داده و در عین حال یکپارچگی شواهد احتمالی را حفظ کند.

۲) فاز بررسی

پس از جمع‌آوری داده‌ها، فاز بررسی داده‌ها صورت می‌گیرد که شامل ارزیابی و استخراج اطلاعات مرتبط از داده‌های جمع‌آوری شده است. این فاز ممکن است نیازمند دور زدن یا حذف برخی ویژگی‌های سیستم عامل یا دیگر برنامه‌ها که به مبهم‌سازی داده‌ها و کدها می‌پردازند، مانند فشرده‌سازی داده‌ها، رمزگذاری و مکانیزم‌های کنترل دسترسی باشد. یک هارد دیسک به دست آمده می‌تواند شامل صدها هزار فایل داده باشد؛ شناسایی فایل‌هایی که شامل داده‌های مورد علاقه هستند، می‌تواند بسیار طاقت‌فرسا باشد. علاوه‌براین، فایل‌های داده مورد علاقه ممکن است حاوی اطلاعاتی اضافه باشند که لازم است فیلتر شوند. به عنوان مثال Logهای یک روز از فایروال می‌تواند شامل میلیون‌ها رکورد باشد، اما ممکن است تنها ۵ رکورد از آن‌ها مرتبط با یک رویداد موردتوجه باشند. خوشبختانه ابزارها و تکنیک‌های متنوعی در راستای جستجوی متن یا الگو برای شناسایی داده‌های مرتبط یا جهت تشخیص نوع محتویات هر فایل داده وجود دارند که می‌توان از آن‌ها برای کاهش مقدار داده‌های نیازمند بررسی استفاده کرد.

۳) فاز تجزیه و تحلیل

پس از استخراج اطلاعات، تحلیلگران باید داده‌ها را مطالعه و تجزیه و تحلیل کنند تا بتوانند از آن‌ها نتیجه‌گیری کنند. اساس بازرسی امنیت استفاده از یک رویکرد روش‌مند برای دستیابی به نتیجه بر اساس داده‌های در دسترس، یا رسیدن به عدم امکان نتیجه‌گیری بر اساس آن‌ها است. تجزیه و تحلیل باید شامل شناسایی افراد، مکان‌ها و رویدادها بوده و تعیین نحوه ارتباط این عناصر برای دستیابی به نتیجه­گیری را در بر داشته باشد. اغلب، این تلاش‌ها شامل همبسته‌سازی داده‌ها میان چندین منبع خواهد بود. به عنوان مثال، یک سیستم تشخیص نفوذ به شبکه (IDS) ممکن است یک رویداد را به یک میزبان مرتبط کند، Log­های حسابرسی میزبان ممکن است رویداد را به یک حساب کاربری مشخص مرتبط کند و Log­های سیستم تشخیص نفوذ میزبان ممکن است اقدامات صورت گرفته توسط کاربر را نشان دهد. ابزارهایی نظیر ثبت Log متمرکز و نرم‌افزار مدیریت رویدادهای امنیتی می‌توانند با جمع‌آوری و همبستگی خودکار داده‌ها، این فرایند را تسهیل کنند. مقایسه ویژگی‌های سیستم با مبناهای موجود می‌تواند انواع مختلف تغییرات اعمال شده در سیستم را شناسایی کند. توجه شود که در صورت نیاز احتمالی به استفاده از شواهد حاصل برای پیگیری‌های قانونی یا اقدامات انضباطی داخلی، تحلیلگران باید به دقت تمام یافته‌ها و اقدامات صورت گرفته را مستند کنند.

۴) فاز گزارش‌دهی

فاز نهایی گزارش‌دهی است که شامل آماده‌سازی و ارائه اطلاعات حاصل از فاز تجزیه و تحلیل است. عوامل زیادی بر روی گزارش‌دهی اثرگذار هستند:

  • توضیحات جایگزین برای مواردی که اطلاعات درباره یک رویداد ناقص بوده و بیش از یک توضیح قابل قبول برای آن وجود داشته باشد.
  • نوع و جزئیات اطلاعات ارائه شده در گزارش با توجه به مخاطب (مدیران سیستم، نهادهای قانونی و…).
  • شناسایی اطلاعات قابل اقدام از داده‌ها برای دستیابی به منابع داده جدید در مورد رویداد یا پیشگیری از رویدادهای مشابه در آینده.

به عنوان بخشی از فرایند گزارش‌دهی، تحلیلگران باید هر مشکل نیازمند اصلاح، مانند کاستی‌های موجود در خط‌‌مشی‌ها یا خطاهای رویه‌ای را شناسایی کنند.

سخن پایانی

در این مطلب، پس از معرفی و بررسی اهداف بازرسی امنیت، به جزئیات فازهای مختلف آن پرداخته شد. با این حال، با توجه به اهمیت و حساسیت اهداف ذکر شده، لازم است تا بازرسی امنیت توسط تحلیلگرانی متخصص و باتجربه صورت گیرد.

شرکت امن‌پردازان کویر، به عنوان یکی از شرکت‌های پیشرو در ارائه خدمات امنیتی به سازمان‌های داخلی و خارجی، با دسترسی به کادری مجرب، آماده ارائه خدمات بازرسی امنیت یا مشاوره در زمینه‌های مرتبط به سازمان‌ها است. در صورت علاقه به کسب اطلاعات بیشتر یا کسب مشاوره در این زمینه، می‌توانید از طریق شماره ۰۲۱۴۲۲۳۸۰۰۰ با کارشناسان این شرکت در ارتباط باشید.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.