فارنزیک چیست؟

علم فارنزیک در امنیت: اصول و کاربردها

فارنزیک چیست؟

Digital Forensic یا جرم شناسی دیجیتال، یک شاخه از علم فارنزیک است که شامل مجموعه‌ای از تکنیک‌ها و روش‌ های مختلف می‌باشد که به بررسی، تجزیه و تحلیل و حفظ داده‌ های الکترونیکی می‌پردازد. دیجیتال فارنزیک هنگام جمع‌آوری شواهد از دستگاه‌ های دیجیتالی مانند کامپیوترها، تلفن‌ های هوشمند، سرورها و سایر دستگاه‌ های الکترونیکی برای کشف حادثه و علت رخ دادن آن کاربرد دارد. این کار از طریق یک سری نرم افزارها و تکنیک‌ های تخصصی انجام می‌شود.
به طور کلی علم دیجیتال به دو دسته تقسیم می‌شود:

Endpoint Forensic

نوعی از دیجیتال فارنزیک است که به جمع‌آوری شواهد و مدارک از دستگاه‌ های Endpoint نظیر کامپیوترها با سیستم عامل‌ های مختلف مانند لینوکس، ویندوز و مک، تلفن‌ های هوشمند، سرورها و… اشاره دارد.

اهداف Endpoint Forensics عبارتند از:

• شناسایی منابع حملات: تجزیه و تحلیل داده‌های Endpoint به تفصیل کمک می‌کند تا منابع حملات امنیتی، نفوذها یا رخدادهای مشکوک شناسایی شوند.
• بازسازی حوادث: با بررسی داده‌های Endpoint می‌توان حادثه را به ترتیب زمانی بازسازی کرد و جریان حمله را درک کرد.
• استنتاج از دلایل و عواقب: تحلیل Endpoint Forensics به ارائه اطلاعاتی در مورد دلایل و عواقب یک حمله یا حادثه امنیتی کمک می‌کند.
• ایجاد دفاعات بهبود یافته: اطلاعات به دست آمده از تجزیه و تحلیل Endpoint می‌تواند برای بهبود دفاعات امنیتی و جلوگیری از وقوع حوادث مشابه در آینده مورد استفاده قرار گیرد.

Network Forensic

فارنزیک شبکه به این مورد اشاره دارد که شواهد و مدارک از ترافیک شبکه جمع آوری می‌شود.

اهداف اصلی Network Forensics شامل موارد زیر می‌شود:

• شناسایی تهدیدها و حملات: تحلیل ترافیک شبکه برای شناسایی الگوها یا نمادهای مشخصی که به حمله یا فعالیت مشکوک اشاره دارند.
• بازسازی حوادث: با تحلیل داده‌های شبکه می‌توان حادثه را به ترتیب زمانی بازسازی کرد و جریان حمله را درک کرد.
• شناسایی سرویس‌ها و سیستم‌های آسیب‌پذیر: شناسایی سرویس‌ها یا سیستم‌هایی که ممکن است به حمله آسیب‌پذیر باشند و نقاط ضعف امنیتی را شناسایی کرد.
• پایش ترافیک: مشاهده و پایش ترافیک شبکه به منظور شناسایی فعالیت‌های ناخواسته یا غیرمعمول.
• جلوگیری از حوادث آینده: ارائه اطلاعات به دست آمده از تحلیل داده‌های شبکه برای بهبود دفاعات امنیتی و جلوگیری از وقوع حوادث مشابه در آینده.

علم فارنزیک به هر میزانی که گسترش پیدا کند باز هم زیر مجموعه همین دو مورد قرار خواهد گرفت.

پروسه دیجیتال فارنزیک به طور کلی شامل چهار مرحله می­‌باشد:

• Identification: اولین گام در تحقیقات دیجیتال فارنزیک، شناسایی دستگا‌ه‌ها و داد‌ه‌ هایی است که نیاز به تحلیل و بررسی دارند، گاها می‌تواند شامل جمع‌­آوری دستگا‌ه‌ها مثل کامپیوترها و تلفن­ های هوشمند و همچنین جمع‌­آوری داد‌ه‌ها از روی سرورها یا فضای ابری از راه دور نیز باشد.
• Preservation: گام بعد از شناسایی، جمع­آوری، حفظ و نگهداری قانونی از داد‌ه‌ها و شواهد بدست آمده است تا از یکپارچگی اطلاعات اطمینان حاصل نموده و از آسیب­ های احتمالی در آن نظیر حذف شدن بخشی از اطلاعات و یا ایجاد تغییر در آن­ها جلوگیری شود.
• Analysis: بعد از جمع‌­آوری و انتقال داد‌ه‌ها به محل مورد نظر، گام بعد تحلیل و بررسی شواهد می‌باشد. این تحلیل و بررسی از طریق ابزارها و تکنیک­ های مخصوص فارنزیک انجام می‌شود. این مرحله شامل جستجو در فایل­‌ها، بازیابی داد‌ه‌ های حذف شده، تحلیل فعالیت­ های شبکه و ارتباطات شبکه ه­ای و… می‌باشد.
• Presentation: در انتها، نتیجه تمام بررسی‌­ها و تحلیل‌­ها باید به صورت یک گزارش تهیه شده و از آن دفاع شود یا به اصطلاح Testify as an expert گردد. به این معنا که باید از پرونده­ای که حل شده یا در حال حل شدن است با استناد به گزارش­ های تهیه شده دفاع شود که آیا نتایج حاصل شده درست هستند یا خیر.

در بحث جمع‌­آوری اطلاعات، باید از داده­‌ های حساس و مفیدی که به کارشناسان فارنزیک در روند کار کمک می‌کند یک کپی تهیه شود که اصطلاحا به این روش کپی گرفتن از اطلاعات Image گفته می‌شود. Image به سه صورت تهیه می­‌شود:

• Raw image: از کل هارد کپی گرفته می‌شود، به این صورت که از فضا های خالی موجود در هارد هم یک کپی تهیه می‌کند. مثلا اگر هارد یک ترابایت ظرفیت دارد و از این یک ترابایت مقدار 500 گیگابایت آن استفاده شده باشد، Raw image از 500 گیگابایت فضای خالی باقی مانده نیز کپی خواهد گرفت. نکته قابل ذکر در مورد Raw image این است که در هنگام حل پروند‌ه‌ های واقعی در سازمان‌­ها تهیه Raw image کار راحتی نخواهد بود به دلیل اینکه بسیار زمان ­بر بوده و­ نیازمند یک فضای ذخیره سازی بسیار زیاد می‌باشد.
• Custom image: در هنگام حل پرونده واقعی، نمی‌توان از کل هارد Image تهیه کرد. از این رو، Custom image تهیه می‌شود یعنی فقط مواردی که برای حل پرونده مفید هستند در Image قرار خواهد گرفت.
• Triage image: در صورتی که زمان بسیار مهم و حیاتی باشد Triage image کاربرد داشته و فقط اطلاعات مهم مانند Filesystem و Metadata در این Image قرار می‌گیرد.

نکته ه­ای که در مورد Raw image وجود دارد این است که اگر Custom imageای که قبلا تهیه شده به هر دلیلی قابل آنالیز نباشد و نتواند در روند فارنزیک پیشرفتی ایجاد کند، باید Raw image گرفته شود. همچنین، اگر حجم داده­ای که باید فارنزیک شود پایین باشد (برای مثال یک ترابایت)، در اینصورت تهیه Custom image اجباری نبوده و می‌توان Raw image نیز تهیه کرد.

اگر نیاز به مشاوره امنیت سایبری (فارنزیک) دارید، با شرکت سورین تماس می‌گیرید. آماده شکار تهدیدات سایبری و ارائه یوزکیس‌ های مناسب هستیم.

نیاز به راه اندازی مرکز عملیات امنیت دارید؟ با کارشناسان امنیتی سورین تماس بگیرید.