متدولوژی فارنزیک شبکه

منتشر شده در دسته : بلاگ, فارنزیک

متدولوژی فارنزیک شبکه چیست و چه کاربردی دارد ؟ اصلا چرا برای فارنزیک شبکه نیاز به یک متدولوژی  داریم ؟ همچون دیگر وظایف کارشناس فارنزیک , بازیابی و آنالیز مدارک دیجیتال از منابع شبکه بایستی به شیوه ای صورت پذیرد که نتایج بدست آمده تجدیدپذیر و دقیق باشند. به منظور اطمینان از ایجاد یک نتیجه خروجی مفید , بازرسان فارنزیک بایستی فعالیت های خود را در قالب یک فریم ورک و روش مشخص  انجام دهند که ما آن را متدولوژی  فارنزیک شبکه می نامیم. مراحل گام به گام متدولوژی  فارنزیک شبکه به شرح زیر می باشند :

  • جمع آوری اطلاعات
  • ایجاد استراتژی
  • جمع آوری مدارک
  • آنالیز
  • گزارش دهی

جمع آوری اطلاعات

اولین گام در  متدولوژی  فارنزیک شبکه جمع آوری اطلاعات می باشد. اگر شما مشاور فارنزیک یا از کارکنان امنیت داخلی یک شرکت هستید همیشه در ابتدای یک بازرسی نیاز به انجام دو کار دارید. جمع آوری اطلاعات درباره خود رخداد و همچنین جمع آوری اطلاعات درباره محیط رخداد.

جمع آوری اطلاعات درباره رخداد

معمولا باید موارد زیر را درباره رخداد بدانید :

توضیحی از آنچه رخ داده است و هم اکنون درباره آن اطلاع داریم

تاریخ , زمان و شیوه کشف حادثه یا رخداد

اشخاص درگیر و مظنون

سیستم ها و داده های درگیر و مرتبط

کارهای انجام شده از زمان کشف حادثه

خلاصه ی گفتگوها و مناظره های داخلی

مسائل قانونی

بازه زمانی بازرسی و بازیابی

اهداف

محیط رخداد

اطلاعاتی که از محیط جمع آوری می کنید , با سطح آشنایی شما با آن رابط مستقیم دارد. به یاد داشته باشید که هر محیطی دائما در حال تغییر است و در طی یک رخداد وقایع پویا و پیچیده سیاسی و اجتماعی در حال اتفاق افتادن هستند. حتی اگر شما آشنایی بالایی با محیط یک سازمان داشته باشید , همیشه بایستی زمانی را صرف درک شیوه پاسخ به یک رخداد در سازمان بکنید. به صورت معمول شما بایستی موارد زیر درباره محیط سازمان هدف را بدانید :

مدل تجاری

مسائل قانونی

توپولوژی شبکه (در صورت موجود می توانید درخواست نقشه شبکه سازمان را بدهید)

منابع موجود برای بدست آوردن مدارک از شبکه

ساختار سازمانی یا به عبارتی چارت سازمانی

فرایند یا رویه مدیریت پاسخ به رخداد ( بازرسان فارنزیک بخشی از فرایند پاسخ به رخداد هستند و بایستی حداقل با آن آشنایی داشته باشند)

سیستم های ارتباطی

منابع موجود همچون کارکنان سازمان , تجهیزات سازمان , بودجه تحقیق و زمان

ایجاد استراتژی

دومین گام در  متدولوژی  فارنزیک شبکه ایجاد استراتژی مناسب می باشد. بایستی در ابتدای کار منابع موجود را به دقت بررسی کرده و بازرسی خود را برنامه ریزی کنید. گرچه این کار در همه بازرسی ها دارای اهمیت است ولی به ویژه برای بازرسی شبکه ضروری است چرا که در بازرسی شبکه منابع مختلفی برای بدست آوردن مدارک در شبکه موجود است که این منابع به شدت ناپایدار هستند و در صورتیکه با برنامه پیش نروید احتمال ایجاد تغییر و از بین بردن منابع بالاست.

به عنوان نمونه کش وب پرورکسی ها دارای ارزش بالایی بوده ولی به شدت بی ثبات هستند. در اینجا برخی نکات مهم در زمینه توسعه یک استراتژی بازرسی را آوردیم  :

درک اهداف و بازه زمانی بازرسی

لیست کردن منابع شامل پرسنل و تجهیزات سازمان و زمان موجود

شناسایی سورس احتمالی مدارک

برای هر سورس موجود ارزش و هزینه بدست آوردن آن را تخمین بزنید

اولویت بندی اکتساب مدارک

برنامه ریزی اکتساب و آنالیز اولیه

به یاد داشته باشید که پس از انجام آنالیز اولیه شاید بخواهید که به عقب بازگشته و مدارک بیشتری را جمع آوری کنید. فارنزیک فرایندی تکرارپذیر است.

یک مثال سازمانی را در نظر بگیرید :

سازمان لاگ و رکورد را از فایروال ها جمع آوری می کند ولی آنها را به شیوه ای توزیع شده در شبکه ذخیره می کند و در نتیجه به سادگی قابل دسترسی نیستند.

سازمان دارای وب پروکسی بوده که به صورت مرکزی توسط کارکنان بخش امنیت قابل دسترسی هستند.

جداول آرپ را می توان از هر سیستمی در شبکه لوکال جمع  آوری کرد.

کش وب پروکسی که دارای ارزش بالا و ناپایداری نسبی در اولویت اول هستند. لاگ فایروال ها دارای میزان ناپایداری کمی بوده ولی به دلیل ارزش بالا در اولویت دوم هستند و در پایان جداول آرپ با ناپایداری بالا ولی ارزش پایین در اولویت آخر هستند. این فقط یک مثال است و موارد بالا و اولویت و ارزش اطلاعاتی آن ها و زمان لازم و برای بدست آوردن و … به شرایط وابسته بوده و متفاوت خواهد بود.

در پایان بر اساس این اطلاعات بدست آمده می توان لیست مدارک و اولویت بندی آنها را ایجاد و بر اساس آن طرح و برنامه بدست آوردن و جمع آوری مدارک را ایجاد کرد.

جمع آوری مدارک

در گام قبلی “ایجاد استراتژی” سورس مدارک را اولویت بندی و یک برنامه اکتساب ایجاد کردیم. گام سوم در  متدولوژی  فارنزیک شبکه جمع آوری مدارک می باشد. در این گام بر مبنای برنامه ایجاد شده اقدام به جمع آوری مدارک از سورس های طبقه بندی شده می کنیم. هر  بار که اقدام به جمع آوری مدارک می کنید بایستی سه بخش اصلی را ایجاد کنید :

سند : اطمینان حاصل کنید که در طی فرایند جمع آوری مدارک , رکوردی از همه سیستم هایی که به آنها دسترسی پیدا کردیم را ضبط کنیم. یادداشت های بدست آمده بایستی به صورت امن ذخیره شود تا در صورت نیاز به دادگاه ارایه گردد. حتی در صورتیکه بازرسی به دادگاه نرود , یادداشت ها در فاز آنالیز مورد نیاز و کاربردی خواهند بود. مطمئن شوید که تاریخ , زمان , سورس و شیوه اکتساب مدارک به همراه نام بازرس ضبط شود.

ضبط : خود مدارک را ضبط کنید. این کار مستلزم ضبط پکت ها و ذخیره آنها در یک هارد درایو , کپی کردن لاگ ها در یک سی دی یا هارد دیسک یا ایجاد یک ایمیج از وب پروکسی ها و سرورهای لاگ می باشد.

ذخیره و انتقال : اطمینان حاصل کنید که مدارک به صورت ایمن ذخیره شده اند.

از آنجا که مقبولیت مدارک به مرتبط بودن و قابلیت اطمینان آنها وابسته است , بازرس بایستی با دقت سورس سند و شیوه اکتساب آن را ردیابی کند. در مورد بسیاری از مدارک مبتنی بر شبکه مقبولیت آنها در دادگاه خیلی واضح نیست. در صورت شک در این مورد بایستی با دقت یادداشت برداری کرده و با یک مشاور حقوقی همفکری و مشورت کنید.

نکاتی درباره جمع آوری مدارک

بهترین شیوه ها برای جمع آوری مدارک شامل :

بدست آوردن قانونی مدارک در سریع ترین زمان ممکن

ایجاد کپی هایی که به صورت رمزنگاری شده قابل اثبات باشند

مدارک اورجینال و اصلی را جدا کرده و به شدت مراقبت کنید تا در صورت نیاز به آنها دسترسی داشته باشید

آنالیز را تنها بر روی کپی ها انجام دهید

از ابزارهای مشهور و معتبر و قابل اطمینان استفاده کنید

مهم تر از اینکه همه کارهایی که می کنید را مستند سازی کنید

آنالیز

چهارمین مرحله از متدولوژی  فارنزیک شبکه آنالیز مدارک می باشد. در اینجا به توضیح برخی از ضروریات در فاز آنالیز می پردازیم :

ارتباط : یکی از نشانه های فارنزیک شبکه این است که مستلزم چندین سورس برای کسب مدارک لازم می باشد. بیشتر این مدارک دارای برچسب زمانی بوده در نتیجه باید در نظر بگیریم  که کدام داده را می توان از کدام منبع گردآوری کرد و چگونه بین آنها ارتباط برقرار کنیم. ارتباط بین مدارک شاید فرایندی دستی باشد ولی با استفاده از برخی ابزارها می توان به آن شکلی اتوماتیک داد.

جدول زمانی : زمانیکه داده ها از منابع مختلف جمع شدند و بین آنها ارتباط برقرار کردیم بایستی جدولی زمانی از فعالیت های مختلف ایجاد کنیم. درک درست از اینکه چه شخصی چه کاری را کرده و چه زمان و چگونه آن را انجام داده پایه و اساس هر تئوری در یک پرونده است.

رخدادهای مورد نظر : معمولا برخی از مدارک برجسته تر و مرتبط تر از دیگر مدارک می باشند. بایستی رخدادهای مرتبط و برجسته را جدا کنیم و شیوه بیرون آمدن آنها را درک کنیم.

تایید : همیشه امکان وجود اطلاعات غلط در مدارک وجود دارد. بهترین راه برای تایید وقایع این است که آنها را با دیگر منابع تطبیق دهیم.

بازیابی دیگر مدارک : در بسیاری از موارد در صورت انجام گام های یاد شده اطلاعات مختلفی برای آنالیز به ما می رسد. بایستی برای بازیابی مدارک جانبی زمان صرف کنیم.

تفسیر : در طی فرایند آنالیز شاید نیاز باشد تا تئوری هایی درباره پرونده ایجاد کنیم. این تئوری ها در حقیقت ارزیابی هایی از مدارک شما بوده و به شناسایی دیگر سورس ها و سرنخ های مدارک به شما کمک کرده و در نتیجه آنها می توان تئوری نهایی را بدست آورد. لازم به ذکر است که بایستی همیشه تئوری ها را از حقیقت جدا کرد. تفسیر شما از مدارک همیشه تنها فرضیه ای بوده که شاید به اثبات برسد یا نه

گزارش

تمام کارهایی که تا اینجا انجام دادیم و گام هایی که پیش رفتیم تنها در صورتی ارزش دارند که توانایی رساندن نتایج بازرسی به دیگران را داشته باشید. از این نظر گزارش شاید مهم ترین مرحله بازرسی باشد. بیشتر ابزارهای تجاری فارنزیک این جنبه از کار (گزارش دهی) را  برای شما انجام می دهند ولی نه به شیوه ای مفید برای مخاطبان. گزارشی که شما ایجاد می کنید بایستی :

برای افراد غیرفنی همچون تیم های حقوقی , مدیران , پرسنل منابع انسانی , قضات و … قابل درک و فهم آسان باشد.

در جزئیات قابل دفاع باشد

مبتنی بر حقایق باشد

در پایان اینکه شما بایستی نتایج بازرسی را به زبان ساده و قابل فهم برای افراد غیرمتخصص و غیرفنی ایجاد کنید ولی در عین حال دارای دقت علمی باشند. خلاصه اجرایی و توضیحات سطح بالا کلید موفقیت هستند ولی این موارد بایستی با جزئیات پشتیبانی شوند که به سادگی قابل دفاع باشند.

خوشحال می شویم دیدگاههای خود را در میان بگذارید * فرصت پاسخگویی به سوالات در بلاگ وجود ندارد

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *