علم فارنزیک در امنیت: اصول و کاربردها
فارنزیک چیست؟
Digital Forensic یا جرم شناسی دیجیتال، یک شاخه از علم فارنزیک است که شامل مجموعهای از تکنیکها و روش های مختلف میباشد که به بررسی، تجزیه و تحلیل و حفظ داده های الکترونیکی میپردازد. دیجیتال فارنزیک هنگام جمعآوری شواهد از دستگاه های دیجیتالی مانند کامپیوترها، تلفن های هوشمند، سرورها و سایر دستگاه های الکترونیکی برای کشف حادثه و علت رخ دادن آن کاربرد دارد. این کار از طریق یک سری نرم افزارها و تکنیک های تخصصی انجام میشود.
به طور کلی علم دیجیتال به دو دسته تقسیم میشود:
Endpoint Forensic
نوعی از دیجیتال فارنزیک است که به جمعآوری شواهد و مدارک از دستگاه های Endpoint نظیر کامپیوترها با سیستم عامل های مختلف مانند لینوکس، ویندوز و مک، تلفن های هوشمند، سرورها و… اشاره دارد.
اهداف Endpoint Forensics عبارتند از:
- شناسایی منابع حملات: تجزیه و تحلیل دادههای Endpoint به تفصیل کمک میکند تا منابع حملات امنیتی، نفوذها یا رخدادهای مشکوک شناسایی شوند.
- بازسازی حوادث: با بررسی دادههای Endpoint میتوان حادثه را به ترتیب زمانی بازسازی کرد و جریان حمله را درک کرد.
- استنتاج از دلایل و عواقب: تحلیل Endpoint Forensics به ارائه اطلاعاتی در مورد دلایل و عواقب یک حمله یا حادثه امنیتی کمک میکند.
- ایجاد دفاعات بهبود یافته: اطلاعات به دست آمده از تجزیه و تحلیل Endpoint میتواند برای بهبود دفاعات امنیتی و جلوگیری از وقوع حوادث مشابه در آینده مورد استفاده قرار گیرد.
Network Forensic
فارنزیک شبکه به این مورد اشاره دارد که شواهد و مدارک از ترافیک شبکه جمع آوری میشود.
اهداف اصلی Network Forensics شامل موارد زیر میشود:
- شناسایی تهدیدها و حملات: تحلیل ترافیک شبکه برای شناسایی الگوها یا نمادهای مشخصی که به حمله یا فعالیت مشکوک اشاره دارند.
- بازسازی حوادث: با تحلیل دادههای شبکه میتوان حادثه را به ترتیب زمانی بازسازی کرد و جریان حمله را درک کرد.
- شناسایی سرویسها و سیستمهای آسیبپذیر: شناسایی سرویسها یا سیستمهایی که ممکن است به حمله آسیبپذیر باشند و نقاط ضعف امنیتی را شناسایی کرد.
- پایش ترافیک: مشاهده و پایش ترافیک شبکه به منظور شناسایی فعالیتهای ناخواسته یا غیرمعمول.
- جلوگیری از حوادث آینده: ارائه اطلاعات به دست آمده از تحلیل دادههای شبکه برای بهبود دفاعات امنیتی و جلوگیری از وقوع حوادث مشابه در آینده.
علم فارنزیک به هر میزانی که گسترش پیدا کند باز هم زیر مجموعه همین دو مورد قرار خواهد گرفت.
پروسه دیجیتال فارنزیک به طور کلی شامل چهار مرحله میباشد:
- Identification: اولین گام در تحقیقات دیجیتال فارنزیک، شناسایی دستگاهها و داده هایی است که نیاز به تحلیل و بررسی دارند، گاها میتواند شامل جمعآوری دستگاهها مثل کامپیوترها و تلفن های هوشمند و همچنین جمعآوری دادهها از روی سرورها یا فضای ابری از راه دور نیز باشد.
- Preservation: گام بعد از شناسایی، جمعآوری، حفظ و نگهداری قانونی از دادهها و شواهد بدست آمده است تا از یکپارچگی اطلاعات اطمینان حاصل نموده و از آسیب های احتمالی در آن نظیر حذف شدن بخشی از اطلاعات و یا ایجاد تغییر در آنها جلوگیری شود.
- Analysis: بعد از جمعآوری و انتقال دادهها به محل مورد نظر، گام بعد تحلیل و بررسی شواهد میباشد. این تحلیل و بررسی از طریق ابزارها و تکنیک های مخصوص فارنزیک انجام میشود. این مرحله شامل جستجو در فایلها، بازیابی داده های حذف شده، تحلیل فعالیت های شبکه و ارتباطات شبکه های و… میباشد.
- Presentation: در انتها، نتیجه تمام بررسیها و تحلیلها باید به صورت یک گزارش تهیه شده و از آن دفاع شود یا به اصطلاح Testify as an expert گردد. به این معنا که باید از پروندهای که حل شده یا در حال حل شدن است با استناد به گزارش های تهیه شده دفاع شود که آیا نتایج حاصل شده درست هستند یا خیر.
در بحث جمعآوری اطلاعات، باید از داده های حساس و مفیدی که به کارشناسان فارنزیک در روند کار کمک میکند یک کپی تهیه شود که اصطلاحا به این روش کپی گرفتن از اطلاعات Image گفته میشود. Image به سه صورت تهیه میشود:
- Raw image: از کل هارد کپی گرفته میشود، به این صورت که از فضا های خالی موجود در هارد هم یک کپی تهیه میکند. مثلا اگر هارد یک ترابایت ظرفیت دارد و از این یک ترابایت مقدار 500 گیگابایت آن استفاده شده باشد، Raw image از 500 گیگابایت فضای خالی باقی مانده نیز کپی خواهد گرفت. نکته قابل ذکر در مورد Raw image این است که در هنگام حل پرونده های واقعی در سازمانها تهیه Raw image کار راحتی نخواهد بود به دلیل اینکه بسیار زمان بر بوده و نیازمند یک فضای ذخیره سازی بسیار زیاد میباشد.
- Custom image: در هنگام حل پرونده واقعی، نمیتوان از کل هارد Image تهیه کرد. از این رو، Custom image تهیه میشود یعنی فقط مواردی که برای حل پرونده مفید هستند در Image قرار خواهد گرفت.
- Triage image: در صورتی که زمان بسیار مهم و حیاتی باشد Triage image کاربرد داشته و فقط اطلاعات مهم مانند Filesystem و Metadata در این Image قرار میگیرد.
نکته های که در مورد Raw image وجود دارد این است که اگر Custom imageای که قبلا تهیه شده به هر دلیلی قابل آنالیز نباشد و نتواند در روند فارنزیک پیشرفتی ایجاد کند، باید Raw image گرفته شود. همچنین، اگر حجم دادهای که باید فارنزیک شود پایین باشد (برای مثال یک ترابایت)، در اینصورت تهیه Custom image اجباری نبوده و میتوان Raw image نیز تهیه کرد.
اگر نیاز به مشاوره امنیت سایبری (فارنزیک) دارید، با شرکت سورین تماس میگیرید. آماده شکار تهدیدات سایبری و ارائه یوزکیس های مناسب هستیم.
نیاز به راه اندازی مرکز عملیات امنیت دارید؟ با کارشناسان امنیتی سورین تماس بگیرید.