سناریو بازرسی امنیتی : سرقت رایانه بیمارستان

منتشر شده در دسته : بلاگ, فارنزیک

در این مطلب می خواهیم یک سناریو بازرسی امنیتی را برای شما شرح دهیم. این سناریوها ارایه می شود تا مثال هایی از رخدادهای انجام شده در امنیت فناوری اطلاعات ارایه شود و نحوه انجام فارنزیک و بازرسی امنیتی شبکه تصویر سازی شود. این رخدادها بر اساس مثال های اتفاق افتاده در دنیای واقعی (در کشور امریکا) ایجاد شده اند. در اینجا یک سناریو بازرسی امنیتی برای سرقت یک نوت بوک در بیمارستان را شرح می دهیم.

سناریو بازرسی امنیتی

سناریو بازرسی امنیتی ما به این شرح می باشد. یک پزشک گزارشی مبنی بر سرقت نوت بوک خود از دفترش در ساعات شلوغ اداری در بیمارستان می دهد. رایانه به سرقت رفته دارای پسورد می باشد ولی هارد دیسک آن رمزنگاری نشده است. بر اساس پرس و جوهای اولیه انجام شده از پزشک وی ادعا می کند که نوت بوک به سرقت رفته ممکن است حاوی کپی از نتایج آزمایش های بیماران باشد. همچنین یکسری اطلاعات حفاظت شده بیماران که از طریق پیوست ایمیل دریافت کرده شامل تاریخ تولد , شناسه بیماران , ملاقات های انجام شده و … در این سیستم موجود می باشد.

پیامدهای بالقوه

از آنجایی که اطلاعات شخصی افراد به سرقت رفته است, بر اساس قوانین موجود در کشور بایستی به اشخاص قربانی اطلاع داده شود و در صورتیکه رخداد در سطح وسیع صورت پذیرفته باشد بایستی بر اساس قوانین موجود به دیگر رسانه ها و مراجع قانونی اطلاع رسانی انجام شود.

سوالات مطرح

در این سناریو بازرسی امنیتی تیم بازرسی بایستی چه سوالاتی را مطرح کند

  • دقیقا چه زمانی نوت بوک به سرقت رفته است ؟
  • آیا قادر به رهگیری نوت بوک و بازیابی آن هستید ؟
  • اطلاعات کدام بیماران بر روی سیستم موجود بود؟
  • دقیقا اطلاعات چه اشخاصی به سرقت رفته است؟
  • آیا سارق از اعتبارنامه های پزشک برای دسترسی های بیشتر در شبکه بیمارستان استفاده خواهد کرد ؟

رویکرد فنی

ماموران تحقیق و بازرسی شروع به کار کرده و زمان تخمینی به سرقت رفتن نوت بوک را بدست آورده و یا حداقل آخرین باری که پزشک از آن استفاده کرده را تعیین می کنند. این موضوع می تواند به شناسایی اطلاعات ذخیره شده بر روی نوت بوک هم کمک کند. همچنین تعیین آخرین زمان استفاده پزشک از نوت بوک به تیم بازرسی و تحقیق کمک کرده تا نقطه شروعی برای بررسی فیلم های دوربین های مدار بسته باشد.

تیم بازرسی آیتی بایستی لاگ های دسترسی شبکه را مرور کرده تا بفهمند آیا پس از سرقت باز هم نوت بوک به شبکه بیمارستان متصل شده یا خیر. اگر پس از سرقت اتصالی از نوت بوک با شبکه بیمارستان بوده موقعیت اتصال آن را پیگیری کنند.

راههای مختلفی وجود دارد که بازرسان می توانند از طریق آن زمان سرقت نوت بوک را تشخیص دهند. ابتدا می توانند با پزشک پرس و جو کرده تا آخرین زمان استفاده از نوت بوک و زمانی که از سرقت مطلع شده است را بیان کند. همچنین می توانند بر روی لاگ های نقطه دسترسی وایرلس (AP) , زمان اجاره آیپی DHCP سرور از طریق لاگ ها , رخدادهای اکتیو دایرکتوری و همچنین پروکسی سرور (در صورت وجود). همچنین در صورت وجود نرم افزارهای ردیابی همچون Lojack بر روی نوت بوک برای ردیابی موقعیت مکانی آن.

با استفاده از لاگ ها WAP می توان آخرین زمان دسترسی دیوایس های موبایل های متصل را پیگیری کرد.

زمانیکه بازرسان زمان تخمینی سرقت را بدست آوردند می توانند از آن طریق دریابند اطلاعات مرتبط با کدام بیماران بر روی نوت بوک ذخیره شده است. لاگ های ایمیل می توانند آخرین زمان مشاهده ایمیل ها توسط پزشک را افشا کرده که از این طریق می توان ایمیل هایی که بر روی نوت بوک ذخیره شده اند را شناسایی کرد.

همچنین شاید بتوان از طریق این لاگ ها دریافت کدام پیوست های ایمیل بر روی نوت بوک دانلود شده اند. مهم تر از همه این که سرور ایمیل بیمارستان (در صورت وجود) یک کپی از تمامی ایمیل های پزشکان دارد که از این طریق بازرسان می توانند لیستی از اطلاعات به سرقت رفته بیماران را بدست آورند. به همین نحو اپلیکیشن های بیمارستان که به نتایج آزمایش بیماران و دیگر اطلاعات حاوی لاگ دسترسی دارند, منبعی مناسب برای بدست آوردن اطلاعات به سرقت رفته بیماران می باشد.

اکتیو دایرکتوری دامین کنترلر سرور بیمارستان , سرور وی پی ان و دیگر منابع که دسترسی نوت بوک به سرقت رفته به سرور و منابع را مشخص می کنند, منبعی مناسب برای رهگیری سارق هستند. مدارک بدست آمده از این فعالیت ها شاید نشان دهد که هدف سارق تنها نوت بوک و اطلاعات موجود در آن نبوده بلکه دیگر اطلاعات بیمارستان به سرقت رفته باشد و هدف وی فراتر از آن چیزی باشد که ما تصور می کنیم.

نتایج

به کمک لاگ های اکسس پوینت , تیم بازرسی توانست زمان دقیق سرقت را بدست آورده و با استفاده از اطلاعات بدست آمده از منابع مختلف نوت بوک را تا مسیر پارکینگ بیمارستان ردیابی کرده. دوربین های پارکینگ تصاویر با دقت پایین از سارق نشان داده . مردی قد بلند که لباس بیمارستان به تن دارد. بازرسان این تصاویر را با ویدیوهای گیت کنار هم گذاشته و مشاهده شده که ماشین شخص با دو سرنشین خارج شد. ویدیو در اختیار پلیس قرار گرفت و از این طریق شماره پلاک ماشین ردیابی شد.

در نهایت نوت بوک در میان تعداد زیادی از نوت بوک های به سرقت رفته دیگر پیدا شد.

تیم بازرسی امنیتی با بازرسی لاگ های وی پی ان و سیستم عامل سرور مرکزی هیچ مدرکی دال بر استفاده نوت بوک برای نفوذ بیشتر و استفاده از دیگر منابع بیمارستان بدست نیاورد. آنالیز هارد دیسک نوت بوک به سرقت رفته (پس از کشف) هیچ نشانه ای از روشن شدن نوت بوک پس از سرقت نشان نداد. پس از مشورت های فراوان با مراجع قانونی به این نتیجه رسیدند که هیچ داده ای از بیماران به بیرون درز نکرده است.

به منظور پاسخ به این رخداد, بیمارستان یک سیستم رمزنگاری کامل بر روی هارد دیسک های تمامی نوت بوک های بیمارستان و همچنین مکانیزم قفل فیزیکی پیاده سازی کرد.

صاحب امتیاز نت آموز : نویسنده , مدرس و متخصص در زمینه امنیت شبکه های رایانه ای

تعداد پیام ها 2

نظرات غیرمرتبط با موضوع این مطلب تایید نخواهند شد. این سوالات را می توانید از بخش پشتیبانی آموزشی مطرح کنید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *