بازرسی امنیت سایبری
بازرسی امنیت سایبری علمی است که با تکنیکهای استفاده شده برای دنبال کردن اثر به جا مانده از یک حمله سایبری سروکار دارد و به طور مستقیم در ارتباط با هر جرم رایانهای است که منجر به از بین رفتن یا نیاز به بازیابی داده شده باشد. به طور کلی هدف از انجام تحقیقات بازرسی امنیت سایبری را میتوان دستیابی به زنجیرهای مستند شده از شواهد برای یافتن آنچه رخ داده و مسئول وقایع دانست. بازرسی امنیت سایبری عبارت است از اجرای مجدد تمام رویدادهای رخ داده تا نقطه وقوع data breach. در نتیجه انجام بازرسی امنیت، سازمان درک بهتری از نحوه وقوع breach ، نوع نفوذ اتفاق افتاده و نوع داده افشا شده خواهد داشت. علاوهبراین، مکانیزمهای امنیتی به درستی عمل کرده اند، مانند دریافت هشدار، مشخص خواهد شد.
هدف از انجام بازرسی امنیت یا فارنزیک دستیابی به درکی هرچه بهتر از یک رویداد مورد توجه، با یافتن و تجزیه و تحلیل حقایق مرتبط با آن است. بازرسی امنیت ممکن است برای اهداف متفاوتی از جمله جمعآوری مدارک و شواهد برای پیگیری قانونی و یا انجام اقدامات انضباطی داخلی و رسیدگی به رویدادها و مشکلات عملیاتی غیرمعمول به کار رود. بدون توجه به دلیل، بازرسی امنیت باید با توجه به فرآیند چهار مرحلهای
1) جمعآوری
2) بررسی
3) تجزیه و تحلیل
4) گزارشدهی
همانطور که در شکل زیر نمایش داده شده، صورت گیرد. در غیر این صورت، خطمشیها، دستورالعملها و رویههای سازمان باید نشاندهنده هر تغییری از روش استاندارد باشد.
در فاز جمعآوری، ضمن حفظ یکپارچگی، دادههای مربوط به یک رویداد مشخص شناسایی، برچسبگذاری، ضبط و جمعآوری میشوند.
در فاز دوم، یعنی بررسی، مجدداً ضمن حفظ یکپارچگی دادههای جمعآوری شده، ابزارها و تکنیکهای بازرسی امنیت مناسب جهت شناسایی و استخراج اطلاعات مرتبط به کار گرفته میشود.
فاز بعد شامل تجزیه و تحلیل نتایج فاز بررسی است. این فاز با استخراج برخی اطلاعات به سوالهایی که انگیزه انجام فازهای جمعآوری و بررسی بودهاند، پاسخ میدهد.
فاز نهایی شامل گزارش نتایج تجزیه و تحلیل است که ممکن است شامل توصیف اقدامات انجام شده، تعیین اقدامات موردنیاز به انجام و توصیههایی برای بهبود سیاستها، دستورالعملها، رویهها، ابزارها و دیگر جنبههای بازرسی امنیت باشد. در ادامه این مطلب، فازهای ذکر شده را با جزئیات دقیقتر بررسی خواهیم کرد.
1) فاز جمعآوری داده
اولین فاز در فرآیند بازرسی امنیت، شناسایی منابع بالقوه دادهها و به دست آوردن داده از آنها است. این فاز از گامهای زیر تشکیل شده است:
- شناسایی منابع بالقوه داده: برای شناسایی منابع بالقوه، تحلیلگران باید قادر به بررسی یک محیط فیزیکی مانند یک دفتر کار بوده و منابع احتمالی داده را شناسایی کنند. کامپیوترهای رومیزی، سرورها، دستگاههای ذخیرهسازی شبکه و لپتاپها، انواع مختلف دستگاههای دیجیتال قابلحمل (مانند PDAها، تلفنهای همراه، دوربینهای دیجیتال، ضبطهای دیجیتال، پخشکنندههای صوتی) از رایجترین منابع داده هستند. تحلیلگران همچنین باید منابع داده بالقوه دیگری که ممکن است در مکانهای دیگر قرار داشته باشند را نیز در نظر بگیرند چرا که به عنوان مثال ممکن است برخی اطلاعات فعالیت شبکه برای یک “”ISP توسط دیگر سازمانها ثبت شود. علاوهبراین، با توجه به اینکه برخی مواقع امکان جمعآوری دادهها از منبع داده اصلی وجود ندارد، تحلیلگران باید منابع داده جایگزین که ممکن است بخشی یا تمام آن دادهها را در برداشته باشد را در نظر داشته و از آنها به جای منابع غیرقابلدستیابی استفاده کنند. سازمانها همچنین میتوانند با در پیش گرفتن اقداماتی مداوم و پیشنگرانه مانند پیادهسازی یک سیستم ثبت متمرکز، پشتیبانگیری منظم و نظارت بر رفتار کاربران، به جمعآوری دادههای احتمالاً مفید برای اهداف بازرسی امنیت بپردازند.
- دستیابی به دادهها: پس از شناسایی منابع داده بالقوه، تحلیلگران باید دادهها را از منابع جمعآوری کنند. بهدست آوردن دادهها باید با استفاده از فرآیند سه مرحلهای زیر انجام شود:
- تدوین یک برنامه برای بهدستآوردن دادهها: با توجه به وجود چندین منبع داده بالقوه در بسیاری از موقعیتها، تحلیلگران باید با تدوین برنامه، منابع را اولویتبندی کرده و ترتیبی که با توجه به آن دادهها جمعآوری میشوند را تعیین کنند. ارزش احتمالی، موقتی یا دائمی بودن و مقدار تلاش موردنیاز برای دستیابی به دادهها از جمله عواملی هستند که در اولویتگذاری اهمیت دارند.
- کسب اطلاعات: فرایند کلی به دست آوردن دادهها شامل استفاده از ابزارهای بازرسی امنیت برای جمعآوری دادههای موقت، کپیبرداری از منابع داده غیرموقت برای جمعآوری دادههای آنها و ایمنسازی اصل دادههای غیرموقت است. این فرآیند در صورتی انجام میشود که دادهها قبلاً توسط ابزارهای امنیتی، ابزارهای تجزیه و تحلیل و یا دیگر ابزارها به دست نیامده باشند.
- تأیید یکپارچگی دادهها: در صورت نیاز به عنوان ادله قانونی، اثبات دستکاری نشدن دادهها مسالهای بسیار مهم است که تحلیلگران باید بتواند انجام دهند. تأیید جامعیت دادهها معمولاً از طریق محاسبه مقدار چکیده دادههای اصلی و کپی شده و در ادامه مقایسه جهت اطمینان از یکسان بودن آنها انجام میشود.
- ملاحظات پاسخگویی به حوادث: در زمان انجام بازرسی امنیت همزمان با پاسخگویی به حوادث، چگونگی و زمان مهار حادثه از اهمیت زیادی برخوردار است. ممکن است در راستای جلوگیری از آسیب بیشتر به سیستمها و دادههای آنها یا حفظ شواهد، لازم باشد تا سیستمهای درگیر از دیگر قسمتها مجزا شوند. در بسیاری از موارد، تحلیلگران باید با همکاری با تیم پاسخگویی به حادثه در مورد مهار حادثه تصمیمگیری نمایند (به عنوان مثال، با قطع کابل شبکه، قطع برق، افزایش اقدامات امنیتی فیزیکی یا خاموش کردن سیستم). این تصمیم باید بر اساس سیاستها و رویههای موجود در مورد مهار حوادث و همچنین ارزیابی تیم از خطرات حادثه باشد تا استراتژی یا ترکیب استراتژیهای مهار انتخاب شده خطر را به اندازه کافی کاهش داده و در عین حال یکپارچگی شواهد احتمالی را حفظ کند.
2) فاز بررسی
پس از جمعآوری دادهها، فاز بررسی دادهها صورت میگیرد که شامل ارزیابی و استخراج اطلاعات مرتبط از دادههای جمعآوری شده است. این فاز ممکن است نیازمند دور زدن یا حذف برخی ویژگیهای سیستم عامل یا دیگر برنامهها که به مبهمسازی دادهها و کدها میپردازند، مانند فشردهسازی دادهها، رمزگذاری و مکانیزمهای کنترل دسترسی باشد. یک هارد دیسک به دست آمده میتواند شامل صدها هزار فایل داده باشد؛ شناسایی فایلهایی که شامل دادههای مورد علاقه هستند، میتواند بسیار طاقتفرسا باشد. علاوهبراین، فایلهای داده مورد علاقه ممکن است حاوی اطلاعاتی اضافه باشند که لازم است فیلتر شوند. به عنوان مثال Logهای یک روز از فایروال میتواند شامل میلیونها رکورد باشد، اما ممکن است تنها 5 رکورد از آنها مرتبط با یک رویداد مورد توجه باشند. خوشبختانه ابزارها و تکنیکهای متنوعی در راستای جستجوی متن یا الگو برای شناسایی دادههای مرتبط یا جهت تشخیص نوع محتویات هر فایل داده وجود دارند که میتوان از آنها برای کاهش مقدار دادههای نیازمند بررسی استفاده کرد.
3) فاز تجزیه و تحلیل
پس از استخراج اطلاعات، تحلیلگران باید دادهها را مطالعه و تجزیه و تحلیل کنند تا بتوانند از آنها نتیجهگیری کنند. اساس بازرسی امنیت استفاده از یک رویکرد روشمند برای دستیابی به نتیجه بر اساس دادههای در دسترس، یا رسیدن به عدم امکان نتیجهگیری بر اساس آنها است. تجزیه و تحلیل باید شامل شناسایی افراد، مکانها و رویدادها بوده و تعیین نحوه ارتباط این عناصر برای دستیابی به نتیجهگیری را در بر داشته باشد. اغلب، این تلاشها شامل همبستهسازی دادهها میان چندین منبع خواهد بود. به عنوان مثال، یک سیستم تشخیص نفوذ به شبکه(IDS) ممکن است یک رویداد را به یک میزبان مرتبط کند، Logهای حسابرسی میزبان ممکن است رویداد را به یک حساب کاربری مشخص مرتبط کند و Logهای سیستم تشخیص نفوذ میزبان ممکن است اقدامات صورت گرفته توسط کاربر را نشان دهد. ابزارهایی نظیر ثبت Log متمرکز و نرمافزار مدیریت رویدادهای امنیتی میتوانند با جمعآوری و همبستگی خودکار دادهها، این فرآیند را تسهیل کنند. مقایسه ویژگیهای سیستم با مبناهای موجود میتواند انواع مختلف تغییرات اعمال شده در سیستم را شناسایی کند. توجه شود که در صورت نیاز احتمالی به استفاده از شواهد حاصل برای پیگیریهای قانونی یا اقدامات انضباطی داخلی، تحلیلگران باید به دقت تمام یافتهها و اقدامات صورت گرفته را مستند کنند.
4) فاز گزارشدهی
فاز نهایی گزارشدهی است که شامل آمادهسازی و ارائه اطلاعات حاصل از فاز تجزیه و تحلیل است. عوامل زیادی بر روی گزارشدهی اثرگذار هستند:
- توضیحات جایگزین برای مواردی که اطلاعات درباره یک رویداد ناقص بوده و بیش از یک توضیح قابل قبول برای آن وجود داشته باشد.
- نوع و جزئیات اطلاعات ارائه شده در گزارش با توجه به مخاطب (مدیران سیستم، نهادهای قانونی و…).
- شناسایی اطلاعات قابل اقدام از دادهها برای دستیابی به منابع داده جدید در مورد رویداد یا پیشگیری از رویدادهای مشابه در آینده.
به عنوان بخشی از فرایند گزارشدهی، تحلیلگران باید هر مشکل نیازمند اصلاح، مانند کاستیهای موجود در خطمشیها یا خطاهای رویهای را شناسایی کنند.