تقنيات التحقيق والاستجابة للحوادث في مجال الأمن السيبراني
حنين إسحاق
تقنيات التحقيق والاستجابة للحوادث في مجال الأمن السيبراني
علم الحاسب الجنائي أو الحاسب الشرعي أصبح يطلق عليه اسم " الطب الشرعي الرقمي " ، ومع تزايد وانتشار شبكات الحاسب والإنترنت في الآونة الأخيرة ازدادت الحاجة إلى إجراء التحقيقات الرقمية. عندما تستخدم أجهزة الكمبيوتر لارتكاب الجرائم ، تقوم الأجهزة بتسجيل هذه الجرائم ، مثل جرائم الاختلاس ومضايقات البريد الإلكتروني وتسريب المعلومات السرية وحتى الإرهاب. التحقيق في القضايا الجنائية والمدنية يعتمد على مهارات الطب الشرعي الرقمي المهني.
يجب على كل منظمة أو شركة أو وزارة أن تقوم بتأمين معلوماتها من القراصنة والمخترقين الذين يسعون الى إتلاف أو سرقة المعلومات الحساسة والمهمة. الغرض من هذا المقال هو توضيح أهمية الاستجابة للحوادث، وكيفية التحقيق فيها، وكذلك التحقق من سلامة البيانات عند وقوع الجرائم المعلوماتية.
عند وقوع حوادث أمن المعلومات، يجب على المنظمات الاستجابة سريعاً لهذه الحوادث لحماية نفسها، وللحد من الأضرار الناجمة عن هذه الهجمات، ولتطوير وتحسين قدرات إدارة الحوادث وإعداد التقارير لها.
الاستجابة للحوادث
الاستجابة للحوادث هي طريقة منظمة لإدارة وإصلاح آثار الهجمات الإلكترونية أو الانتهاكات، للحد من الأضرار وتكاليف الإصلاح. ويجب الأخذ بعين الاعتبار أن الوقاية من الهجمات أفضل من إصلاحها. ويمكنني تشبيه الحال هنا بقول أن الوقاية خير من العلاج. لأن ذلك قد يجعلك تفقد البيانات وتدفع الكثير من المال لإصلاحها. لذلك، يجب أن تكون البيانات الحساسة الخاصة بك محمية عن طريق التشفير لمنع التطفل أو الوصول اليها من قِبل الأشخاص غير المصرح لهم، و أخذ نسخ احتياطية بشكل دوري كل يوم او كل أسبوع أمر في غاية الأهمية لحفظ البيانات من الضياع، كما ان هناك العديد من الطرق الأخرى كتثبيت برامج مكافحة الفيروسات والبرامج الضارة، وإنشاء كلمات مرور قوية وتغييرها من حين لآخر وغيرها.
تقنيات الاستجابة للحوادث:
للرد على حادث أمني بسرعة، تحتاج إلى إنشاء فرق الاستجابة للحوادث التي تشمل موظفي أمن المعلومات وتكنولوجيا المعلومات العام ومن المهم أيضاً تدريب الموظفين للتعرف على التهديدات الالكترونية.
يمكن أن تتصاعد أي مشكلة لا يتم معالجتها أو إصلاحها سريعاً إلى مشكلة أكبر يمكن أن تؤدي إلى خرق البيانات أو انهيار النظام بالكامل. إن الاستجابة للحوادث بسرعة يقلل من الخسائر المادية، ويخفف من استغلال نقاط الضعف ومخاطر المستقبل. كما أنه من المهم للغاية بالنسبة للمنظمة إنشاء خطة استجابة للحوادث (IRP) وتدريب الموظفين عليها للتخفيف من مخاطر الاختراق. تتضمن خطة الاستجابة للحوادث سبع خطوات هي:
الكشف. ( Detection)
الاستجابة.( Response)
التخفيف.( Mitigation )
إعداد التقارير.( Reporting)
الاستعادة والاسترداد.( Recovery)
المعالجة والإبلاغ.( Remediation and Reporting)
الدروس المستفادة. (Lessons learned )
وربما يكون الكشف هو الخطوة الأهم في خطة إدارة الحوادث لأنك إن لم تستطع اكتشاف الخطر، فلن تتمكن من الاستجابة له وعلاجه.
التحقيق
عندما تستخدم أجهزة رقمية لارتكاب جريمة، يستخدم المحققون الطب الشرعي السيبراني للتحليل والكشف عن الحقائق. يبدأ التحقيق بإبعاد الناس عن أي حواسيب تتواجد في مسرح الجريمة وفصل أي روابط اتصالات إلى تلك الحواسيب لغرض الحفاظ على الأدلة وجعلها آمنة من أي تغيير قد يحدث لها.
تقنيات التحقيق في الحوادث وأهم الخطوات
عندما تصل القضية إلى المحقق الجنائي الرقمي ، فإن العنصر الأول الذي يجب أن يضعه في اعتباره قبل البدء بالعمل هو تحديد حالة النظام إذا كان حياً ( Online ) أو ميتاً (Offline ) ، يجب استخدام مانع الكتابة (write-blocker) والذي يستخدم لحماية أدلة الأقراص من أن يتم الكتابة فوقها ولها نوعان هماhardware و software. يتم أخذ نسخة للأدلة بعد ذلك من القرص الصلب بطريقة تسمى (bit-by-bit) او ( Bit-stream ) والتي تستخدم لإنشاء نسخة طبق الأصل من القرص الصلب والتقاط المساحة المخصصة وغير المخصصة ، وهناك بعض الأدوات التي يمكن استخدامها لتحليل القرص الصلب مثل Encase وFTK imager و ProDiscover وغيرها الكثير. يجب التحقق من سلامة الملفات بشكل دوري اثناء العمل والتأكد من انه لم يتم التلاعب بها وذلك باستخدام دالة هاش مثل MD5 او SHA1 ... إلخ. يجب أن يجري التحليل والعمل على النسخة وليس على الأصل كما يجب أن تكون النسخة الأصلية محمية أي لا تتم الكتابة او اجراء أي تعديلات عليها، لذا لن تكون الأدلة مقبولة في المحكمة إن لم تكن سليمة ومتطابقة. كما يجب على المحقق او الفاحص استعادة البيانات المحذوفة أيضا لتحليلها والتحقق منها.
علم الحاسب الجنائي أو الحاسب الشرعي أصبح يطلق عليه اسم " الطب الشرعي الرقمي " ، ومع تزايد وانتشار شبكات الحاسب والإنترنت في الآونة الأخيرة ازدادت الحاجة إلى إجراء التحقيقات الرقمية. عندما تستخدم أجهزة الكمبيوتر لارتكاب الجرائم ، تقوم الأجهزة بتسجيل هذه الجرائم ، مثل جرائم الاختلاس ومضايقات البريد الإلكتروني وتسريب المعلومات السرية وحتى الإرهاب. التحقيق في القضايا الجنائية والمدنية يعتمد على مهارات الطب الشرعي الرقمي المهني.
يجب على كل منظمة أو شركة أو وزارة أن تقوم بتأمين معلوماتها من القراصنة والمخترقين الذين يسعون الى إتلاف أو سرقة المعلومات الحساسة والمهمة. الغرض من هذا المقال هو توضيح أهمية الاستجابة للحوادث، وكيفية التحقيق فيها، وكذلك التحقق من سلامة البيانات عند وقوع الجرائم المعلوماتية.
عند وقوع حوادث أمن المعلومات، يجب على المنظمات الاستجابة سريعاً لهذه الحوادث لحماية نفسها، وللحد من الأضرار الناجمة عن هذه الهجمات، ولتطوير وتحسين قدرات إدارة الحوادث وإعداد التقارير لها.
الاستجابة للحوادث
الاستجابة للحوادث هي طريقة منظمة لإدارة وإصلاح آثار الهجمات الإلكترونية أو الانتهاكات، للحد من الأضرار وتكاليف الإصلاح. ويجب الأخذ بعين الاعتبار أن الوقاية من الهجمات أفضل من إصلاحها. ويمكنني تشبيه الحال هنا بقول أن الوقاية خير من العلاج. لأن ذلك قد يجعلك تفقد البيانات وتدفع الكثير من المال لإصلاحها. لذلك، يجب أن تكون البيانات الحساسة الخاصة بك محمية عن طريق التشفير لمنع التطفل أو الوصول اليها من قِبل الأشخاص غير المصرح لهم، و أخذ نسخ احتياطية بشكل دوري كل يوم او كل أسبوع أمر في غاية الأهمية لحفظ البيانات من الضياع، كما ان هناك العديد من الطرق الأخرى كتثبيت برامج مكافحة الفيروسات والبرامج الضارة، وإنشاء كلمات مرور قوية وتغييرها من حين لآخر وغيرها.
تقنيات الاستجابة للحوادث:
للرد على حادث أمني بسرعة، تحتاج إلى إنشاء فرق الاستجابة للحوادث التي تشمل موظفي أمن المعلومات وتكنولوجيا المعلومات العام ومن المهم أيضاً تدريب الموظفين للتعرف على التهديدات الالكترونية.
يمكن أن تتصاعد أي مشكلة لا يتم معالجتها أو إصلاحها سريعاً إلى مشكلة أكبر يمكن أن تؤدي إلى خرق البيانات أو انهيار النظام بالكامل. إن الاستجابة للحوادث بسرعة يقلل من الخسائر المادية، ويخفف من استغلال نقاط الضعف ومخاطر المستقبل. كما أنه من المهم للغاية بالنسبة للمنظمة إنشاء خطة استجابة للحوادث (IRP) وتدريب الموظفين عليها للتخفيف من مخاطر الاختراق. تتضمن خطة الاستجابة للحوادث سبع خطوات هي:
الكشف. ( Detection)
الاستجابة.( Response)
التخفيف.( Mitigation )
إعداد التقارير.( Reporting)
الاستعادة والاسترداد.( Recovery)
المعالجة والإبلاغ.( Remediation and Reporting)
الدروس المستفادة. (Lessons learned )
وربما يكون الكشف هو الخطوة الأهم في خطة إدارة الحوادث لأنك إن لم تستطع اكتشاف الخطر، فلن تتمكن من الاستجابة له وعلاجه.
التحقيق
عندما تستخدم أجهزة رقمية لارتكاب جريمة، يستخدم المحققون الطب الشرعي السيبراني للتحليل والكشف عن الحقائق. يبدأ التحقيق بإبعاد الناس عن أي حواسيب تتواجد في مسرح الجريمة وفصل أي روابط اتصالات إلى تلك الحواسيب لغرض الحفاظ على الأدلة وجعلها آمنة من أي تغيير قد يحدث لها.
تقنيات التحقيق في الحوادث وأهم الخطوات
عندما تصل القضية إلى المحقق الجنائي الرقمي ، فإن العنصر الأول الذي يجب أن يضعه في اعتباره قبل البدء بالعمل هو تحديد حالة النظام إذا كان حياً ( Online ) أو ميتاً (Offline ) ، يجب استخدام مانع الكتابة (write-blocker) والذي يستخدم لحماية أدلة الأقراص من أن يتم الكتابة فوقها ولها نوعان هماhardware و software. يتم أخذ نسخة للأدلة بعد ذلك من القرص الصلب بطريقة تسمى (bit-by-bit) او ( Bit-stream ) والتي تستخدم لإنشاء نسخة طبق الأصل من القرص الصلب والتقاط المساحة المخصصة وغير المخصصة ، وهناك بعض الأدوات التي يمكن استخدامها لتحليل القرص الصلب مثل Encase وFTK imager و ProDiscover وغيرها الكثير. يجب التحقق من سلامة الملفات بشكل دوري اثناء العمل والتأكد من انه لم يتم التلاعب بها وذلك باستخدام دالة هاش مثل MD5 او SHA1 ... إلخ. يجب أن يجري التحليل والعمل على النسخة وليس على الأصل كما يجب أن تكون النسخة الأصلية محمية أي لا تتم الكتابة او اجراء أي تعديلات عليها، لذا لن تكون الأدلة مقبولة في المحكمة إن لم تكن سليمة ومتطابقة. كما يجب على المحقق او الفاحص استعادة البيانات المحذوفة أيضا لتحليلها والتحقق منها.