هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

10 خطوات يجب اتباعها لزيادة أمن انظمة SCADA

 

الخطوات التي اذا تم اتباعها سوف تزيد من حماية انظمه SCADA والتي هي خطوات بشكل عام صالحة للتنفيذ لاي شبكة حساسة يجب حمايتها ليس فقط انظمه سكادا وانما تم التركيز على انظمه سكادا في هذه التدوينة:

  1. حدد كل شي له اتصال بشبكات انظمه سكادا  : هنا يتم دراسة بنية الشبكة ومعرفة كل شي يمكن ان يتصل بشبكة انظمه سكادا سواء من الشبكه الداخليه او من خارج الشبكه الداخليه (الأنترنت) او من شبكات الوايرلس او غيرها من وسائل الاتصال . يجب معرفتها وتسجيلها لكي يتم التعامل معها في الخطوات القادمة
  2. قم بعزل شبكات انظمه سكادا وامنع اي اتصالات غير ضروريه للانظمه: هنا يتم تحديد من يجب ان يكون له صلاحية بالوصول الى انظمه سكادا ووضع ضوابط صارمه . الموظفين او المهندسين الذي ليس لهم علاقة بانظمه سكادا يجب عزل اجهزتهم من شبكة الانظمه ويجب ان تكون الشبكه على هذا الاساس . مثل ان يتم وضع كل جهاز سكادا او مجموعه في vlan منفصل والسماح للمهندس المختص بالاتصال فقط وابطال كل الاتصالات الاخرى من اي جهاز اخر .
  3. قم بعمل أختبار اختراق وتقييم للثغرات للشبكة بالكامل مع الشبكات المعزولة ايضا : عزل الشبكات عن بعضها لا يعني ان الخطر تم استبعاده تماما . يجب ان يتم عمل اختبار اختراق واكتشاف نقاط الضعف للشبكه بالكامل ( شبكات انظمه سكادا المعزولة والشبكات الاخرى ) .
  4. قم بازالة او تعطيل كل الخدمات الغير ضروريه في الانظمه : انظمه سكادا تاتي بخدمات ومميزات كثيرة مثلها مثل انظمة التشغيل التي نستخدمها . لها العديد من الخدمات مثل ميزه الصيانة عن بعد او ارسال التقارير بالايميل وغيرها . اي خدمه غير ضروريه لبيئة العمل بشكل كبير يجب تعطيلها تماما. الخدمات التي تعمل على اي نظام هي مثل الابواب التي يمكن استخدامها للاختراق وكل ما قلت هذه الابواب كلما قلت فرصة وجود ثغرات استغلالها.
  5. اختيار البروتوكول المستخدم للتواصل بين الانظمه بعناية  : انظمه سكادا تتواصل فيما بعضها وكذلك مع السرفرات المتصلة بها باستخدام بروتوكولات كثيرة ومنها التجاري ومفتوح المصدر . هنا يجب معرفة كل جوانب البروتوكول المستخدم والسرية التي يوفرها من تشفير للاتصال او درجة امانة وعدد الثغرات المكتشفة فيه وغيرها . البروتوكولات التجارية ينصح الابتعاد عنها بشكل عام وعدم ترك الانظمه تعمل بالاعدادات الافتراضية .
  6. استغل كل الخدمات الامنية التي يوفرها النظام : في العادة في انظمه سكادا او غيرها من الانظمه يتم تعطيل الكثير من المميزات والخدمات لتسهيل عملية التنصيب ومن ثم ترك الخيار للمهندس او المستخدم بتفعيل واعداد ما يريد حسب رغبته . انظمه سكادا خاصة الحديثه منها تاتي بخدمات امنية فيها معطلة بشكل افتراضي . استغلال الخدمات وتفعيلها واستغلال هذه الميزات في زيادة الامن خطوة مهمه ومفيده .
  7. قم بتنصيب واعداد خطة مراقبة شاملة للشبكة : يجب ان تكون الشبكة بالكامل معدة باستراتيجيه مراقبة معدة لمراقبة الشبكة بكافة البيانات تمر في الشبكة وذلك عن طريقة اعداد Intrusion Detection Systems ومراقبة تقارير بشكل دوري ودقيق .
  8. قم بعمل تقييم امني للامن المادي للانظمه وموقع العمل : هنا يتم تقييم الامن المادي للانظمه وموقع العمل او اي شبكه لها اتصال بالانظمه . ايضا يتم تحديد وتسجيل كل شي مادي يمكن ان يؤدي الى خرق او تجسس على الانظمه مثل الكيبلات الموزعه او اجهزة Access points الموزعة لشبكات الوايرلس ان وجدت وهذا يتلخص ضمن خطة اختبار الاختراق اذا تم عمل اختبار اختراق كامل سوف يتم ضم الـ physical penetration testing .
  9. تاسيس فريق Red Team لتقييم الأمن ومحاكاة اساليب الاختراق:  هذا الفريق سوف يتولى مهمام محاكاة اساليب الاختراق الفعليه ومحاولة اختراق الشبكة بالاضافة الى الاستجابة للحوادث .
  10. وأهم نقطه وهي عمل نظام backup وخطة لـ disaster recovery : هذه بنظري اهم يجب ان يكون هناك نظام لاخذ نسخ احتياطية للبيانات وجدولتة وحفظه في مكان أمن بعيد عن الشبكة ( أي انه معزول عن اي شبكات سواء شبكة العمل نفسها التي ينتمي اليها او شبكات اخرى ). كذلك خطة للتعامل مع الكوارث مهمه جدا خاصة في حالة انظمه سكادا فكلها معرضة لخطر الكوارث في بيئة العمل بسبب طبيعة عملها لادارة البنية التحتية .

نظرة على اداة Bulk extractor

هناك مرحلة في التحقيق الجنائي الرقمي اسمها مرحلةالـ Triage وهي ببساطة عملية غربلة وفرز البيانات والمعلومات الكثيرة التي تم الحصول عليها اثناء جمع الادلة لمعرفة ماهي البيانات المهمه والغير مهمه للبدء في التحقيق بشكل معمق . كثيرة القضايا التي يكون فيها كم هائل من المعلومات لدرجة ان تقنيات تحليل البيانات المستخدمه في Big Data تستخدم حاليا اثناء التحقيق واستخراج المعلومات .

اقرأ المزيد

مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي

يتطلب التحقيق الجنائي الرقمي دقة كبيرة اثناء التحقيق واستخراج المعلومات بسبب ان المعلومات سوف تقدم كدليل يستخدم جنائيا في المحكمه وعلى اساسة يتم اتخاذ الاحكام . المعهد الوطني للمعايير والتكنولوجيا الامريكي ( national institute of standards and technology ) كذلك المعهد الوطني للعدالة الامريكي ( national institute of justice ) قاموا بعمل مشروع يقوم باختبار الادوات التي يتم استخدامها في التحقيق الجنائي من قبل رجال الامن والمختصين الجنائيين او أي شركات خاصة . هذا المشروع يقوم بعمل اختبارات على الادوات التجارية والمجانيه المشهورة بحيث يتم اضافتها الى قائمه الادوات ذات الجوده والدقة في النتائج .اذا تم تقديم تقرير الى المحكمه باستخدام اداة غير معروفة او لم تعدى الاختبار لا يتم قبول  التقرير .

اقرأ المزيد

كيف تتم عملية تحليل الفيروسات – Dynamic analysis

هذه التدوينة تعتبر تكملة للتدوينة السابقة التي كتبت فيها عن الـ Static analysis , اتمنى ان تقرأها ثم تعود الى هذه التدوينة والتي سوف تكون عن جزء الـ Dynamic analysis من تحليل الفيروسات . كما عرفنا من التدوينة السابقة ان الـ Dynamic analysis تركز على سلوك الفيروس بغض النظر عن بنيته وتقينات البرمجه التي كُتب بها .

سلوك البرنامج اقصد به كل التغييرات التي يُحدثها في النظام مثل الملفات التي يغيرها , الدوال التي يستخدمها في نظام التشغيل , ملفات الرجستري التي يغيرها , اتصاله بالانترنت والمعلومات التي تُرسل والعمليات التي ينشئ والخدمات التي ينصبها في النظام والكثير من الامور . كل هذه الجوانب يتم مراقبتها عن طريق تشغيل البرنامج ومراقبته وتسجيل كل شي .

هناك الكثير من الادوات التي يمكن من خلالها مراقبة سلوك البرنامج , من ابرز هذه الاداوات لنظام وندوز هي اداة procmon من مايكروسوفت, الاداة تقوم بمراقبة كل شي يخص العمليات , يمكن استخراج الكثير من المعلومات التي تقوم بها اي عملية او كل العمليات , تابع هذا الفيديو عن الاداة

اقرأ المزيد

استخدام اداة procmon لعمل Dynamic malware analysis

في هذا الفيديو استعرضت كيف ممكن ان نستخدم اداة Procmon لعمل تحليل للفيروسات ومعرفة الامور التي تقوم بها على نظام التشغيل .

 

https://www.youtube.com/watch?v=wssPRHiUrzc&feature=youtu.be

كيف تتم عملية تحليل الفيروسات

في هذا التدوينة سوف القي نظرة على عملية تحليل البرمجيات الخبيثة وسوف استخدم مصطلح فايروس واقصد به اي برنامج خبيث بكافة انواعها . بشكل عام يتم تصنيف عملية تحليل الفيروسات الى نوعين الاول Static analysis والنوع الثاني Dynamic analysis . كلا النوعين لهم اهمية لفهم الفايروس وتتبعة وكذلك ايجاد الحل المناسب للدمار الذي يسببه .

سوف ابدأ التدوينة باعطاء لمحة سريعة عن الفرق بين الـ static analysis و الـ Dynamic analysis

كل التقنيات والادوات التي تستخدم اثناء عمل static analysis تهتم ببنية الفيروس  وتحلل الكود وطريقة برمجة الفايروس دون تشغيله . يتم أستخدام ادوات معينة (سوف نتطرق لها لاحقا في هذا المقال) لتحليل الكود الخاص بالفيروس واي معلومات تتعلق ببنية الفايروس . المعلومات تختلف على حسب نوع الفايروس فعلى سبيل المثال اذا كان الفايروس مكتوب بلغة البرمجة C سوف نحلل Assembly كود الناتج من الملف التنفيذي  وندرسه بشكل معمق .

بالنسبة لـ Dynamic analysis كل ما يهمنا هو سلوك الفيروس والتغييرات التي يحدثها , لا يهمنا كيف تمت برمجته او كيف يقوم الكود بعمل التغييرات او الدمار . الأدوات تراقب سلوك البرنامج ومتابعة كل التغيرات التي تحصل بسبب الفايروس ويتم تسجيلها ومتابعتها . سلوك البرنامج يقصد به مثلا الملفات التي يغيرها , اتصاله بالانترنت والمعلومات التي ترسل , اسماء الدوال التي يستدعيها من نظام التشغيل .. الخ . لن نقوم بدراسة الكود الخاص بالفايروس في هذا النوع من التحليل . قد يكون خطراً جدا ان تقوم بتشغيل ملف خبيث لذلك توخى الحذر وقم بالعمل في معمل منفصل عن طريق استخدام virtualbox او ماشابه .

اقرأ المزيد

تحليل ملفات shell bags ومعرفة الملفات التي تم فتحها مسبقا

فيديو سابق كنت نشرته على قناة مجتمع iSecur1ty عن كيفية تحليل ملفات shell bags والتي توفر لك امكانية معرفة اذا تم فتح ملفات معينة في النظام حتى وان تم حذفها . هذه الملفات لها اهمية كبيره جدا في التحقيق الجنائي الرقمي وتعتبر من اهم الـartifacts لنظام وندوز .