بازرسی امنیت سایبری

بازرسی امنیت سایبری علمی است که با تکنیک‌های استفاده شده برای دنبال کردن اثر به جا مانده از یک حمله سایبری سروکار دارد و به طور مستقیم در ارتباط با هر جرم رایانه‌ای است که منجر به از بین رفتن یا نیاز به بازیابی داده شده باشد. به طور کلی هدف از انجام تحقیقات بازرسی امنیت سایبری را می‌توان دستیابی به زنجیره‌ای مستند شده از شواهد برای یافتن آن‌چه رخ داده و مسئول وقایع دانست. بازرسی امنیت سایبری عبارت است از اجرای مجدد تمام رویدادهای رخ داده تا نقطه وقوع data breach. در نتیجه انجام بازرسی امنیت، سازمان درک بهتری از نحوه وقوع breach ، نوع نفوذ اتفاق افتاده و نوع داده افشا شده خواهد داشت. علاوه‌براین، مکانیزم‌های امنیتی به درستی عمل کرده اند، مانند دریافت هشدار، مشخص خواهد شد.

هدف از انجام بازرسی امنیت یا فارنزیک دستیابی به درکی هرچه بهتر از یک رویداد مورد توجه، با یافتن و تجزیه و تحلیل حقایق مرتبط با آن است. بازرسی امنیت ممکن است برای اهداف متفاوتی از جمله جمع‌آوری مدارک و شواهد برای پیگیری قانونی و یا انجام اقدامات انضباطی داخلی و رسیدگی به رویدادها و مشکلات عملیاتی غیرمعمول به کار رود. بدون توجه به دلیل، بازرسی امنیت باید با توجه به فرآیند چهار مرحله‌ای

1) جمع‌آوری

 2) بررسی

 3) تجزیه و تحلیل

 4) گزارش‌دهی

همانطور که در شکل زیر نمایش داده شده، صورت گیرد. در غیر این صورت، خط‌‌مشی‌ها، دستورالعمل­‌ها و رویه‌­های سازمان باید نشان‌دهنده هر تغییری از روش استاندارد باشد.

در فاز جمع‌آوری، ضمن حفظ یکپارچگی، داده‌های مربوط به یک رویداد مشخص شناسایی، برچسب‌گذاری، ضبط و جمع‌آوری می‌شوند.

در فاز دوم، یعنی بررسی، مجدداً ضمن حفظ یکپارچگی داده‌های جمع‌آوری شده، ابزارها و تکنیک‌های بازرسی امنیت مناسب جهت شناسایی و استخراج اطلاعات مرتبط به کار گرفته می‌شود.

فاز بعد شامل تجزیه و تحلیل نتایج فاز بررسی است. این فاز با استخراج برخی اطلاعات به سوال‌هایی که انگیزه انجام فازهای جمع‌آوری و بررسی بوده‌اند، پاسخ می‌دهد.

فاز نهایی شامل گزارش نتایج تجزیه و تحلیل است که ممکن است شامل توصیف اقدامات انجام شده، تعیین اقدامات موردنیاز به انجام و توصیه‌هایی برای بهبود سیاست‌ها، دستورالعمل‌ها، رویه‌ها، ابزارها و دیگر جنبه‌های بازرسی امنیت باشد. در ادامه این مطلب، فازهای ذکر شده را با جزئیات دقیق‌تر بررسی خواهیم کرد.

1) فاز جمع‌آوری داده

اولین فاز در فرآیند بازرسی امنیت، شناسایی منابع بالقوه داده‌ها و به دست آوردن داده از آن‌ها است. این فاز از گام‌های زیر تشکیل شده است:

  • شناسایی منابع بالقوه داده: برای شناسایی منابع بالقوه، تحلیلگران باید قادر به بررسی یک محیط فیزیکی مانند یک دفتر کار بوده و منابع احتمالی داده را شناسایی کنند. کامپیوترهای رومیزی، سرورها، دستگاه­‌های ذخیره‌­سازی شبکه و لپ­تاپ‌­ها، انواع مختلف دستگاه‌های دیجیتال قابل‌حمل (مانند PDA‌ها، تلفن‌های همراه، دوربین‌های دیجیتال، ضبط‌های دیجیتال، پخش‌کننده‌های صوتی) از رایج‌ترین منابع داده هستند. تحلیلگران همچنین باید منابع داده بالقوه دیگری که ممکن است در مکان‌های دیگر قرار داشته باشند را نیز در نظر بگیرند چرا که به عنوان مثال ممکن است برخی اطلاعات فعالیت شبکه برای یک “”ISP توسط دیگر سازمان‌ها ثبت شود. علاوه‌براین، با توجه به اینکه برخی مواقع امکان جمع‌آوری داده‌ها از منبع داده اصلی وجود ندارد، تحلیلگران باید منابع داده جایگزین که ممکن است بخشی یا تمام آن داده‌ها را در برداشته باشد را در نظر داشته و از آن‌ها به جای منابع غیرقابل‌دستیابی استفاده کنند. سازمان‌ها همچنین می‌توانند با در پیش گرفتن اقداماتی مداوم و پیش‌نگرانه مانند پیاده‌سازی یک سیستم ثبت متمرکز، پشتیبان‌گیری منظم و نظارت بر رفتار کاربران، به جمع‌آوری داده‌های احتمالاً مفید برای اهداف بازرسی امنیت بپردازند.
  • دستیابی به داده‌ها: پس از شناسایی منابع داده بالقوه، تحلیلگران باید داده­‌ها را از منابع جمع‌آوری کنند. به‌دست آوردن داده‌ها باید با استفاده از فرآیند سه مرحله‌­ای زیر انجام شود:
  1. تدوین یک برنامه برای به­‌دست‌آ‌وردن داده‌­ها: با توجه به وجود چندین منبع داده بالقوه در بسیاری از موقعیت‌ها، تحلیلگران باید با تدوین برنامه، منابع را اولویت‌بندی کرده و ترتیبی که با توجه به آن داده‌ها جمع‌آوری می‌شوند را تعیین کنند. ارزش احتمالی، موقتی یا دائمی بودن و مقدار تلاش موردنیاز برای دستیابی به داده‌ها از جمله عواملی هستند که در اولویت‌گذاری اهمیت دارند.
  2. کسب اطلاعات: فرایند کلی به دست آوردن داده‌ها شامل استفاده از ابزارهای بازرسی امنیت برای جمع‌آوری داده­‌های موقت، کپی‌برداری از منابع داده غیرموقت برای جمع‌آوری داده‌های آن‌ها و ایمن‌سازی اصل داده‌های غیرموقت است. این فرآیند در صورتی انجام می‌شود که داده‌ها قبلاً توسط ابزارهای امنیتی، ابزارهای تجزیه و تحلیل و یا دیگر ابزارها به دست نیامده باشند.
  3. تأیید یکپارچگی داده­‌ها: در صورت نیاز به عنوان ادله قانونی، اثبات دستکاری نشدن داده‌ها مساله‌ای بسیار مهم است که تحلیلگران باید بتواند انجام دهند. تأیید جامعیت داده‌ها معمولاً از طریق محاسبه مقدار چکیده داده­‌های اصلی و کپی شده و در ادامه مقایسه جهت اطمینان از یکسان بودن آن­ها انجام می‌شود.
  • ملاحظات پاسخ‌گویی به حوادث: در زمان انجام بازرسی امنیت همزمان با پاسخ‌گویی به حوادث، چگونگی و زمان مهار حادثه از اهمیت زیادی برخوردار است. ممکن است در راستای جلوگیری از آسیب بیشتر به سیستم‌ها و داده‌های آن‌ها یا حفظ شواهد، لازم باشد تا سیستم­‌های درگیر از دیگر قسمت‌ها مجزا شوند. در بسیاری از موارد، تحلیلگران باید با همکاری با تیم پاسخ‌گویی به حادثه در مورد مهار حادثه تصمیم‌گیری نمایند (به عنوان مثال، با قطع کابل شبکه، قطع برق، افزایش اقدامات امنیتی فیزیکی یا خاموش کردن سیستم). این تصمیم باید بر اساس سیاست­‌ها و رویه‌­های موجود در مورد مهار حوادث و همچنین ارزیابی تیم از خطرات حادثه باشد تا استراتژی یا ترکیب استراتژی‌های مهار انتخاب شده خطر را به اندازه کافی کاهش داده و در عین حال یکپارچگی شواهد احتمالی را حفظ کند.

2) فاز بررسی

پس از جمع‌آوری داده‌ها، فاز بررسی داده‌ها صورت می‌گیرد که شامل ارزیابی و استخراج اطلاعات مرتبط از داده‌های جمع‌آوری شده است. این فاز ممکن است نیازمند دور زدن یا حذف برخی ویژگی‌های سیستم عامل یا دیگر برنامه‌ها که به مبهم‌سازی داده‌ها و کدها می‌پردازند، مانند فشرده‌سازی داده‌ها، رمزگذاری و مکانیزم‌های کنترل دسترسی باشد. یک هارد دیسک به دست آمده می‌تواند شامل صدها هزار فایل داده باشد؛ شناسایی فایل‌هایی که شامل داده‌های مورد علاقه هستند، می‌تواند بسیار طاقت‌فرسا باشد. علاوه‌براین، فایل‌های داده مورد علاقه ممکن است حاوی اطلاعاتی اضافه باشند که لازم است فیلتر شوند. به عنوان مثال Logهای یک روز از فایروال می‌تواند شامل میلیون‌ها رکورد باشد، اما ممکن است تنها 5 رکورد از آن‌ها مرتبط با یک رویداد مورد توجه باشند. خوشبختانه ابزارها و تکنیک‌های متنوعی در راستای جستجوی متن یا الگو برای شناسایی داده‌های مرتبط یا جهت تشخیص نوع محتویات هر فایل داده وجود دارند که می‌توان از آن‌ها برای کاهش مقدار داده‌های نیازمند بررسی استفاده کرد.

3) فاز تجزیه و تحلیل

پس از استخراج اطلاعات، تحلیلگران باید داده‌ها را مطالعه و تجزیه و تحلیل کنند تا بتوانند از آن‌ها نتیجه‌گیری کنند. اساس بازرسی امنیت استفاده از یک رویکرد روش‌مند برای دستیابی به نتیجه بر اساس داده‌های در دسترس، یا رسیدن به عدم امکان نتیجه‌گیری بر اساس آن‌ها است. تجزیه و تحلیل باید شامل شناسایی افراد، مکان‌ها و رویدادها بوده و تعیین نحوه ارتباط این عناصر برای دستیابی به نتیجه­گیری را در بر داشته باشد. اغلب، این تلاش‌ها شامل همبسته‌سازی داده‌ها میان چندین منبع خواهد بود. به عنوان مثال، یک سیستم تشخیص نفوذ به شبکه(IDS) ممکن است یک رویداد را به یک میزبان مرتبط کند، Log­های حسابرسی میزبان ممکن است رویداد را به یک حساب کاربری مشخص مرتبط کند و Log­های سیستم تشخیص نفوذ میزبان ممکن است اقدامات صورت گرفته توسط کاربر را نشان دهد. ابزارهایی نظیر ثبت Log متمرکز و نرم‌افزار مدیریت رویدادهای امنیتی می‌توانند با جمع‌آوری و همبستگی خودکار داده‌ها، این فرآیند را تسهیل کنند. مقایسه ویژگی‌های سیستم با مبناهای موجود می‌تواند انواع مختلف تغییرات اعمال شده در سیستم را شناسایی کند. توجه شود که در صورت نیاز احتمالی به استفاده از شواهد حاصل برای پیگیری‌های قانونی یا اقدامات انضباطی داخلی، تحلیلگران باید به دقت تمام یافته‌ها و اقدامات صورت گرفته را مستند کنند.

4) فاز گزارش‌دهی

فاز نهایی گزارش‌دهی است که شامل آماده‌سازی و ارائه اطلاعات حاصل از فاز تجزیه و تحلیل است. عوامل زیادی بر روی گزارش‌دهی اثرگذار هستند:

  • توضیحات جایگزین برای مواردی که اطلاعات درباره یک رویداد ناقص بوده و بیش از یک توضیح قابل قبول برای آن وجود داشته باشد.
  • نوع و جزئیات اطلاعات ارائه شده در گزارش با توجه به مخاطب (مدیران سیستم، نهادهای قانونی و…).
  • شناسایی اطلاعات قابل اقدام از داده‌ها برای دستیابی به منابع داده جدید در مورد رویداد یا پیشگیری از رویدادهای مشابه در آینده.

به عنوان بخشی از فرایند گزارش‌دهی، تحلیلگران باید هر مشکل نیازمند اصلاح، مانند کاستی‌های موجود در خط‌‌مشی‌ها یا خطاهای رویه‌ای را شناسایی کنند.