هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

قبل البدء في خطوات الاستجابة والتحري للحوادث السيبرانية

في هذه التدوينة سوف القي الضوء على الامور التي يجب ان تتم بالطريقة الصحيحه قبل البدء في اي عملية تحقيق جنائي رقمي  وماهي الخطوات اللازمه لتحقيق جنائي رقمي ناجح ودقيق.

الخطوة الاولى : التأكد من الحادثة

التاكد من الاختراق ( سوف استخدم مصطلح اختراق او حادثة  واعممة على كل انواع المخاطر الامنية التي قد تحصل من تسريبات وغيرها ) قبل اتخاذ الاجراءات اللازمه , اذا كان مدير الشبكة له الخبرة التقنية الكافية للتاكد من الحادثة فعليه قبل ان يصاب بالهلع واعلان الخطر ان يتحقق من ان الاختراق بالفعل حدث. هناك الكثير من السيناريوهات التي قد تودي الى الشك بان هناك اختراق مثل ان يكون هناك log في انظمه حماية الشبكه مثل IDS يدل على شي مريب , ادعاءات من قبل شخص او مجموعة انهم اخترقوا الشبكة وغيرها .  الحالة الاولى بان اجهزه الحماية تنشئ تقرير بان هناك شي مريب , يجب على مدير الشبكه او المحقق الجنائي فور وصولة ان يقوم بالتحقق بشكل جيد ودقيق قبل الحكم بأن هناك اختراق ويجب العلم بان اجهزة مراقبة الشبكات ليست دقيقه. كذلك قد يكون هناك خبر وينتشر بشكل كبير خاصة اذا الموسسه او الشركه لها ثقل وسمعة بانها اُخترقت من قبل مجموعة القراصنة X ويتم الترويج للخبر وتناولة في الشبكات الاجتماعية وليس هناك اي اختراق  . هناك حادثة حقيقه حصلت في 2012 بأن الـ New York stock exchange تم اختراقها  وانتشر الخبر كالنار في الهشيم وكانت مجرد ادعاء او اشاعة . الفريق الامني قام باعلان حالة الطوارئ واتخاذ الاجراءات ولفتره ليست بالقصيرة ظن الجميع بأن هناك اختراق بالفعل.

الخطوة الثانية: توحيد التوقيت

هذه الخطوة مهمه وسوف تجنبك الكثير من العناء بأن تقوم بتوحيد كل التوقيتات الزمنية الى توقيت زمني واحد . التوقيت يختلف من دولة الى دولة اخرى ومن قارة الى قارة اخرى. عند جمع المعلومات التوقيت عامل حساس جدا ويجب تسجيله دائما . عند تسجيل الوقت والتاريخ يجب ان تضع في الحسبان بان هناك توقيتات اخرى قادمه خاصة في الموسسات الكبيرة ويجب عليك ان تتعامل مع هذا الامر . قد يبدوا الامر سهل ولكن كل ما كانت لديك معلومات اكثر من مصادر مختلفه وقتها لن تفهم الخط الزمني ولن تستطيع ان تحقق بشكل جيد . من الافضل ان يتم ضبط كل اجهزة مراقبة الشبكه واي شي له علاقة بالوقت الى توقيت واحد حتى والابتعاد عن التوقيت المحلي, الامر صعب في البداية ولكن سوف يوفر عليك الكثير من الجهد . كذلك الادوات التي سوف تعطيها المعلومات والتي تعمل بالتوقيت المحلي سوف تنتج تقارير بالتوقيت المحلي والمخالف من تقرير اخر قادم من اداة اخرى او فرع اخر من دولة اخرى . في الخطوات القادمه سوف نسجل الكثير من المعلومات, يجب ان يتم تسجيلها في التوقيت الذي تم اختياره بانه التوقيت الموحد .

الخطوة الثالثة : تغيير وسليلة التواصل

في هذه الخطوة يجب على فريق العمل الذي يقوم بالتحقيق بالتعاون مع مهندسي الايتي ان يغيروا تماما طريقة التواصل فيما بينهم , اذا كان هناك برنامج معين ضمن الشبكة المحتمل انها اُخترقت . في بداية التحقيق ليس هناك اي معلومات عن مدى عمق الاختراق لذلك التواصل فيما بينهم يجب ان يتم خارج اي شي له علاقة بالشبكة فقد يتم التجسس عليها ومعرفة استراتيجيات الدفاع .

الخطوة الرابعة : توثيق الحادثة

في هذة الخطوة يتم توثيق الحادثة وجمع المعلومات وتوثيقها . سوف اقسم هذه الخطوة لعدة خطوات حسب نوع المعلومات التي يتم توثيقها الى اربعة انواع كالتالي

  • توثيق معلومات الحادثة
  • توثيق معلومات اكتشاف الحادثة
  • توثيق معلومات الشبكة
  • توثيق معلومات الـ Malware ان  وجد

سوف اكتب الامور التي يجب توثيقها بشكل عام و لا يجب ابدا حصر المعلومات على ما سوف اذكر وانما هذه المعلومات العامه لكل قضية وقد يتم اضافة معلومات على حسب نوع القضية ونوع الخدمه المقدمه في البنية التحتيه للشركه.

قبل البدء في جمع المعلومات يجب مقابلة مدير الايتي او الشخص المختص وسؤالة كيف تم التحقق بأن الحادثة حقيقه وان هناك اختراق فعلي مع توفير كل التفاصيل والتحقق منها بشكل جيد قبل البدء بجمع المعلومات الاخرى .

توثيق معلومات الحادثة :

  • الوقت والتاريخ الذي تم فيه التبليغ عن الحادثة
  • الوقت والتاريخ الذي تم فيه اكتشاف الحادثة بواسطة مدير الشبكه او موظف او اجهزة مراقبة الشبكه
  • معلومات الشخص الذي يقوم بتوثيق الحادثة (المعلومات قد تتضمن اسم الشخص, رقم الهاتف , دورة في الشركه وبعض المعلومات العادية الاخرى )
  • معلومات الشخص الذي بلغ عن الحادثة او  النظام الذي اكتشف الحادثة في حالة كانت الحادثة مكتشفة بواسطة جهاز مراقبة الشبكه مثل IDS .
  • نوع الحادثة يجب تصنيف الحادثة بقدر المستطاع مثل تسريب و اختراق او هجوم حجب خدمه او فيروس الفدية .. الخ
  • الموارد المتاثرة بالحادثة من اجهزه بنية تحتيه ,  موظفين .. الخ
  • كيف تم اكتشاف الحادثة مثل هل هي صدفة او عن طريقة جهه خارجية بلغت عنها مع كتابة التفاصيل التي كانت سبب في اكتشاف الحادثة
  • هل تم استخدام الموارد والعمل عليها بعد العلم بالحادثة والتبليغ عنها كذلك يتم تسجيل الاشخاص الذي علموا على الشبكه ودخلوا عليها بعد اعلان الحادثة
  • هل تم عمل اي تغييرات على الشبكة او الانظمه موخرا ومقارنتها مع زمن اكتشاف والتبليغ عن الحادثة مثل ان مدير الشبكه قام بتحديث نظام معين او قام بتغييرات معينة
  • كيف تم التحقق بأن الحادثة حقيقه وان هناك اختراق مع توفير كل التفاصيل والتحقق منها بشكل جيد
  • من يعلم بأن الحادثة حصلت
  • هل يجب الكتمان عن الحادثه او اعلانها بشكل شفاف
  • نسخه من ملف log الذي من خلاله تم اكتشاف الحادثة او الحادثة التي تمت بين الموظف الذي اكتشف الحادثة ومدير الايتي او الرسالة التي وصلت من الجهة الخارجية عن الحادثة

معلومات اخرى تخص الأنظمة او الاشخاص بشكل منفرد :

  • العنوان الكامل مع رقم المبنى ورقم الغرفه ورقم الجهاز
  • Serial number في حالة الانظمه او رقم الموظف في حالة الاشخاص
  • نظام التشغيل مع الاصدار
  • مهمة النظام او الجهاز في الشبكه مثل هل يقدم خدمه معينه للشبكه او جهاز شخصي لموظف معين , هل يتم استخدامه بواسطة اكثر من شخص , يتم تسجيل معلوماتهم .
  • مدير الايتي المسؤول عن الشبكه او القسم
  • عنوان الايبي الحالي في النظام ايضا مع العناوين السابقة الذي حصل عليها من سيرفر DHCP
  • نوع المعلومات الموجوده في النظام ومدى حساسيتها
  • هل هناك باك اب من النظام وكم نسخه والى اين يتم تخزينها
  • هل مازال النظام متصل بالشبكه ويعمل حاليا ام تم عزله

توثيق معلومات الشبكة :

  • قائمة بكل عناوين الايبي الخارجية والتي لها وصول الى الشبكة والموراد التي وصلت لها من الفايروول
  • ماهي عدة المراقبة في الشبكه وكيف تم اعدادها ومن قام بإعدادها (ببساطة نظره عامه عن المراقبة في الشبكه وكيف قام بها مهندس الشبكه )
  • هل تم اتخاذ اي اجراءات مثل حظر ايبي معين

توثيق معلومات الـ Malware :

  • الوقت والتاريخ وقت اكتشاف الفايروس
  • كيف تم اكتشاف الفايروس
  • قائمه بالانظمه المصابة
  • اسم الملف مع توقيع الملف وتقرير الفحص باستخدام برامج الحماية ومواقع مساعدة مثل virustotal
  • هل مازال الفايروس في الشبكه
  • نسخه من تقرير الـ Static analysis و Dynamic analysis قام بها احد المختصين او عن طريق برامج تقوم بالمهمه بشكل تلقائي

الخطوة الخامسة : بناء خط زمني للاحداث

هذه تعتبر اهم خطوة من الخطوات ولكن لا يمكن تنفيذها الا مرورا بالخطوات السابقة . يجب بناء خط زمني للكل الاحداث التي حصلت والتي تم جمع معلومات عنها عن طريق تحديد الفتره الزمنية على حسب غزارة المعلومات بحيث اذا كان لديا معلومات غزره وكثيره جدا سوف ابني خط زمني كل دقيقه وكل ما قلت الاحداث كل ما تباعدت الفتره الزمنيه من حدث واخر , يجب على المحقق تقدير ذلك . على سبيل المثال اذا لديا خط زمني كل ساعه سوف ابني خط بداية من وقت اكتشاف الحادثة الى الوقت الحالي واضع كل معلومه او حدث في مكانة في الخط الزمني وهكذا ابني صوره كاملة عن الحادثة , وعند الحصول على معلومات جديده يتم مقارنتها بما هو موجود في الخط الزمني واضافتها .

لا يوجد تعليقات على هذه المقالة

اضف تعليق