در این بخش از دوره SEC504 از موسسه SANS به آشنایی با Identification از مراحل پاسخگویی به رخداد یا Incident Handling می پرازیم.
Identification
بخش بعدی بر شناسایی حادثه تمرکز دارد. اینکه حادثه چگونه تشخیص داده میشود نیز پس از مرحله Preparation بسیار اهمیت دارد.
Points to Keep in Mind
معمولا این تمایل وجود دارد که ابتدا باید از وجود حادثه مطمئن شویم که آیا اشتباهی وجود دارد یا خیر و بعد هشدار دهیم. اما این در واقع یک نوع خودکشی است. سرعت در هنگام بروز حادثه بسیار مهم است. پس این را مد نظر داشته باشید که هشدار را زودتر اعلام کنید.
با این حال اگر هشدار نادرست باشد چه خواهد شد؟
این موضوع را به عنوان یک فرصت برای آموزش در نظر بگیرید. بدین صورت حتی اگر حمله ای هم وجود نداشته باشد، شما باز هم به سازمان کمک خواهید کرد.
البته توجه داشته باشید که برای اطمینان از وقوع حادثه به جریان دائمی از اطلاعات نیاز خواهید داشت. این مورد یکی از دلایلی است که ما پیشنهاد میکنیم هرگز تنها یک Handler را اعزام نکنید. افراد دیگر میتوانند با مرکز فرماندهی ارتباط برقرار کنند و این میتواند به شما در آگاهی بیشتر کمک نماید.
این نکته را به خاطر داشته باشید که باید همواره در حال ترکیب کردن یا Correlate کردن اطلاعات باشید.
Assigning Handlers
شما باید یک شخص را به عنوان Incident Handler اصلی انتخاب کنید. اگر یک نفر مسئول نباشد در واقع هیچ کس مسئول نخواهد بود. البته در حوادث کوچک نیازی به فرستادن تیم اصلی Incident Handling نمیباشد.
همانطور که در موارد پیشین مطرح کردیم، شما نیاز به یک تیم اصلی آموزش دیده دارید که باید به مدیران سیستم و افسران امنیتی، مهارتهای لازم برای پاسخگویی به حوادث را آموزش دهند. اگر یک سازمان این کار را انجام دهد خود یک مزیت برای پاسخگویی به حوادث محسوب میشود و درهنگام بروز حوادث کوچکتر این تیم آموزش دیده میتوانند پیش از اعزام تیم اصلی جمع آوری اطلاعات لازم را انجام دهند.
البته در چنین مواردی تکالیف و وظایف مربوط به هر بخش به عنوان مثال، چه زمانی باید وارد عمل شد، کیفیت تحقیقات، نوع اسناد و مدارکی که باید جمع آوری شوند، می بایست به صورت کامل مشخص شود تا منجر به موفقیت مدیران سیستم گردد. همچنین در چنین شرایطی فردی که وارد عمل میشود باید بداند که در زمانهای خاص باید با چه کسانی تماس بگیرد و چه زمانی نیاز به کمک بیشتر دارد.
در حالت ایدهآل بهتر است دو نفر برای رسیدگی به هر حادثه و جمع آوری شواهد بیشتر و کامل تر به صحنه حادثه فرستاده شوند. بنابراین باید یک Handler اصلی و یک فرد کمکی را برای حادثه اختصاص دهید.
Control the Flow of Information
هیچ چیز سریعتر از یک شایعه پخش نمیشود و شما باید جلوی این موضوع را بگیرید. این را همواره در خاطر داشته باشید.
در بسیاری از سازمانها این فرهنگ وجود دارد که ما به مردم اعتماد داریم. این بسیار عالی است.
اگر پروندهای که شما روی آن کار میکنید به دادگاه برسد شما برای احقاق حق سازمان خود، به فراخوانی شاهدان حادثه نیاز خواهید داشت. اگر 18 نفر از 20 نفری که شما فراخوانی نموده اید هرگز نداند که چه اتفاقی افتاده است، و شما نتوانسته باشید که یادداشت برداری کنید و اگر یک سال بعد نیاز به حضور در دادگاه و بازگو کردن حادثه باشد، چه اتفاقی خواهد افتاد؟ ممکن است یک فاجعه قانونی رخ دهد.
به همین دلیل شما نیاز به مستندسازی تمامی مراحل را دارید که این امر مانند عملکرد یک بازپرس میباشد. البته این موضوع را هم باید مد نظر داشته باشید که اگر نخستین سرنخها و نظریهها در روزنامهها منتشر شود میتواند به سازمان شما لطمه وارد نموده و موجب تخریب وجهه اجتماعی آن شود. پس باید مراقب باشید و جزئیات حادثه را با افراد کمی که قابل اطمینان هستند در میان بگذارید.
گاهی اوقات زمان زیادی طول میکشد تا یک حادثه خاتمه پیدا کند و پرونده آن بسته شود. اگر اطلاعاتی از حادثه را با افرادی در میان میگذارید تا تحقیقات خود را کامل نمایید، به آنها یادآوری نمایید که آنها افراد مورد اطمینان سازمان هستند و همچنین نباید این اطلاعات را با فرد دیگر در میان بگذارند. علاوه بر این به آنها اطلاع دهید که در صورت لزوم از آنها دعوت میشود تا برای شهادت دادن نسبت به مواردی که از آن اطلاع دارند در دادگاه حاضر شوند. البته این موضوع شاید منجر به ترس آنها شود ولی میتواند بسیار مفید باشد.
در نهایت بسیاری از حوادث رخ خواهند داد و این اغلب به دلیل اشتباهات فردی میباشد. احتمالا یک فرد که باید از سیستم خود مراقبت میکرد و موارد امنیتی را انجام میداده، این کار را انجام نداده است. ممکن است نیاز باشد تا با این فرد مقابله کنید. با این حال اطلاعات مربوط به پرونده و جزئیات آن نباید از طرف تیم شما افشا گردد. در این صورت اعتمادی که به تیم شما وجود داشته است از بین رفته و ادامه فرآیند جمع آوری اطلاعات شما دچار مشکل خواهد شد.
Communication Channels
ممکن است یک سیستم تسخیر شده باشد و نفوذگر به آن دسترسی کامل داشته باشد. وی همچنین میتواند یک Sniffer را بر روی سیستم قربانی نصب نماید تا کلیه ترافیکها را دریافت نماید.
هنگامی که شما یک سیستم را کنترل میکنید، نفوذگر میتواند ایمیلها را مانیتور نماید.علاوه بر این نفوذگر میتواند کلیه کارهایی که شما در شبکه انجام میدهید را مشاهده نماید. پس باید به این نکته توجه داشته باشید که برای انتقال اطلاعات از یک سیستم به سیستم دیگر باید از تکنیکهای رمزنگاری استفاده کنید. استفاده از PGP و GNU Privacy Guard در این بخش بسیار مفید میباشد.
همچنین افراد میتوانند از کلید عمومی شما برای ارسال اطلاعات حساس استفاده کنند و شما هم میتوانید از کلید خصوصی خود برای امضای دیجیتال استفاده نمایید تا افراد بدانند واقعا شما این اطلاعات را ارسال کردهاید.
اگر رایانههایی که می خواهید بوسیله آنها ایمیل ارسال کرده و یا چت کنید، آلوده شده یا تسخیر شده باشند، پیشنهاد میشود که از تلفن استفاده کنید. البته اگر در شبکه مورد حمله از VoIP استفاده میشود، هنگام استفاده از آن مراقب باشید و اطمینان حاصل کنید که در ارتباطات VoIP حتما از تکنولوژی رمزنگاری استفاده شده باشد. زیرا ابزارهای گوناگونی وجود دارند که در صورت عدم رمزنگاری ارتباطات VoIP قادر به استخراج صوت مکالمات میباشند که ابزارهایی مانند Wireshark، Cain و VOMIT نمونههایی از این ابزارها میباشند.
از ابزار فاکس هم قافل نشوید چراکه یکی از ابزارهای فوق العاده در Incident Handling است. در صورت امکان یک پوشه با تمام شمارههای فاکس در سازمان خود و در مکان مشخص نگه داری کنید تا در صورت نیاز بتوان از آنها استفاده نمود. توجه داشته باشید که باید اطمینان حاصل کنید، ماشینهای فکس به صورت سخت افزاری باشند و از سرویسهای رایگان تبدیل فاکس به ایمیل استفاده نشده باشد.
تلفن همراه مورد مهم دیگری است که Incident Hamdler ها باید آن را در اختیار داشته باشند و همچنین می بایست چند باطری شارژ شده نیز برای استفاده در مواقعی که نیاز به مکالمات طولانی میباشد در کنار تلفن همراه وجود داشته باشد. البته درمقیاسهای بزرگ تر میتوان از شبکههای بیسیم و ارتباطات رادیویی از پیش تعیین شده نیز بهره برد که البته این موضوع هم نیازمند هماهنگیهای مختلف و هم نیازمند زیرساخت و اعتبار اختصاص یافته لازم نیز میباشد.
توجه داشته باشید که اگر شبکه مورد حمله کرمها قرار گرفته باشد، امکان بروز اختلال و حتی قطع شدن اینترنت خواهد بود. البته اگر این اتفاق رخ دهد، در برخی از شبکهها ارتباطات Dial-up هم تحت تاثیر قرار میگیرد که این اختلال میتواند بر روی سیستمهای تلفن نیز تاثیر بگذارد.
شاید این پیام هشدار را در هنگام بروز بلایای طبیعی مانند سیل و زلزله شنیده باشید که “من افسر امداد هستم و تمامی مدارها مشغول است” پس باید قبل از وقوع حادثه به این موضوعات فکر کرده و در مورد ارتباطات خارج از باند نیز برنامه ریزی کرده باشید.
اطمینان حاصل کنید که تیم مدیریت حادثه قادر به ارسال و دریافت ایمیلهای رمز شده در میان اعضای تیم هستند. برای این کار لازم است تا ابزارهای تجاری یا غیرتجاری را در اختیار داشته باشید. همچنین برای ذخیره سازی اطلاعات خود میتوانید از ارائه دهندگان خدمات ابری مانند Secure Safe و یا Tresorit استفاده نمایید. البته قبل از ذخیره سازی اطلاعات بر روی این ارائه دهندگان خدمات، از رمزنگاری اسناد خود اطمینان حاصل کنید.
Where Does Identification Occur
هنگامی که یک دیدگاه سطح بالا از یک معماری شبکه را در نظر میگیریم، شناسایی میتواند در هر نقطهای از محیط شما اتفاق بیفتد. اما برای کمک به دسته بندی مناطق مختلف در محیط شما که برای تجزیه تحلیل نیز مناسب باشد، چهار سطح محیط شبکه، محیط میزبان، میزبان یا سیستم و سطح کاربرد را در نظر بگیرید.
محدوده شبکه ما توسط فایروالها، روترهایی که توانایی تولید لاگها را دارند، بخش خارجی یا External-Facing مربوط به سیستمهای تشخیص نفوذ، سیستمهای جلوگیری از نفوذ و سیستمهای دیگری که در DMZ قرار دارند، مانیتور میشود. این سیستمها میتوانند هشدارهای خود که مربوط به حملات میشوند را زودتر به ما نشان دهند، زیرا آنها در مرز خود با اینترنت و شبکههای خارجی نظارت میکنند.
لایه بعدی محیط میزبان میباشد. که ما فعالیتهای مربوط به هر میزبان را مانیتور نموده و آنالیز میکنیم که چه اطلاعاتی از ماشین میزبان به خارج ارسال شده و چه اطلاعاتی توسط میزبان از طریق شبکه دریافت شده است. این لایه میتواند با استفاده از فایروالهای شخصی یا Personal Firewall ها، سیستمهای تشخیص نفوذ مبتنی بر میزبان، فایروالهای داخلی و ابزارهای Port Sentry مانیتور شوند.
لایه بعدی شناسایی مبتنی بر میزبان است که در این سطح، ما فعالیتهای بر روی سیستم میزبان با خودش را مانیتور میکنیم. ابزارهای آنتی ویروس، File Integrity Checkerها و End Point Security Suiteها در این لایه فعالیت میکنند. همچنین اگر کاربر متوجه یک رفتار نامتعارف در سیتسم دسکتاپ یا لپ تاپ خود شود به این سطح مربوط میگردد.
لایه پایانی، سطح برنامه است که معمولا از طریق لاگهای تولید شده توسط برنامهها مانیتور میشود. این برنامه میتواند یک برنامه وب بوده و یا یک برنامه سمت سرور باشد که توسط کلاینتها مورد استفاده قرار میگیرد و یا حتی یک سرویس مبتنی بر Clouad باشد.
توجه داشته باشید که شناسایی اغلب در لایههای برنامه و میزبان اتفاق می افتد.
دو برگه تقلب یا Cheat Sheet از شرکت SANS که در آن به روشهای شناسایی حملات در ویندوز و لینوکس پرداخته شده است، از لینک زیر قابل دانلود میباشند.
https://pen-testing.sans.org/resources/downloads
همچنین برای کسب اطلاعات بیشتر در مورد 10 پورتی که حملات بر روی آنها اتفاق می افتد میتوانید به لینک زیر مراجعه نمایید.