دوره آموزشی SEC504 – بخش اول

دوره آموزشی SEC504

آشنایی با پاسخ گویی به رخداد یا Incident Handling

شرکت SANS یکی از معتبرترین شرکت های فعال در حوزه آموزش امنیت اطلاعات می‌باشد. این شرکت دوره‌های مختلفی را در این زمینه ارائه داده است که پیش نیاز اغلب دوره‌های ارائه شده توسط این شرکت، دوره آموزشی SEC504 می‌باشد.

تعریف Incident Handling
Incident Handling اقدام و یا نقشه‌ای برای مقابله با نفوذ، سرقت سایبری، انکار سرویس و دیگر حوادث مرتبط به امنیت کامپیوتر است. باید توجه نمود که اگر قصد ارائه طرح Incident Handling را داشته‌باشید، طرح شما باید کلیه مربوط به تداوم تجارت را شامل شده و بلایای طبیعی آتش‌سوزی، سیل، زلزله و دیگر حوادث غیرمترقبه را در بر داشته‌باشد.
دامنه Incident Handling بسیار بزرگ تر از دامنه نفوذ می‌باشد. چراکه در Incident Handling باید عمدی یا غیرعمدی بودن حادثه که موجب از دست رفتن Availability می‌شود نیز مورد بررسی قرار گیرد.
نقطه اصلی در Incident Handling مفهوم عمل یا اقدام است. اگر چه شناسایی حادثه از اهمیت بالایی برخوردار می‌باشد ولی باید اقدام لازم را نیز در جهت حفظ امنیت اطلاعات و سیستم، صورت داد. بهترین راه برای رفع یک حادثه و به حداقل رساندن احتمال اشتباه، داشتن یک نقشه و روال مناسب است. مستند‌سازی مناسب رویه‌ها، به شما اطمینان می‌دهد هنگامی که حادثه اتفاق افتاد، چه کارهایی باید انجام شود و این کار احتمال اینکه مطلبی از جانب شما فراموش شود را کاهش می‌دهد.
لازم به ذکر است که طرح‌های مربوط به Incident Handling و سیاست‌های مربوط به آن باید مطابق با قوانین قابل اجرا در کشور شما باشد.

تعریف Incident
در ادامه به تعریف واژه Incident یا رخداد می‌پردازیم. Incident اشاره به اقداماتی است که موجب آسیب‌رساندن یا تهدید قابل‌ملاحظه بر آسیب‌رساندن به سیستم‌های کامپیوتری یا داده‌های شما می‌شود. جست‌و‌جو برای Incident‌ها، در واقع شامل یافتن انحراف از وضعیت عادی شبکه و سیستم‌ها می‌باشد.
چندین نکته مهم برای متخصصان حادثه یا Incicent Handlers وجود دارد که باید مد نظر قرار گیرد.
نکته اول: با توجه به اینکه ما همواره در معرض خطر و آسیب‌پذیری قرار داریم، وظیفه ما این است که آسیب‌ها را محدود نماییم. ما باید مراقب باشیم که راه‌هایی را انتخاب نماییم که کمترین میزان آسیب را در بر داشته‌باشد.
نکته دوم: سازمان شما حق این را دارد که درخواست جبران خسارت یا دادخواهی نماید. همانطور که مستحضر هستید در هر کشور قوانین خاصی برای جرایم رایانه ای وجود دارد که می‌توان برای جبران خسارت به آن‌ها استناد نمود.
البته Incident Handler باید به گونه‌ای اقدام نماید و مستند سازی وی به گونه‌ای باشد که مانع از استفاده شواهد در دادگاه گردد. این بدین معنی است که Incident Handler نمی‌داند در موردی خاص آیا پرونده به دادگاه خواهد رفت یا خیر، پس باید از همان ابتدا با حوادث به صورت جدی برخورد کنید و همه موارد را مستند سازی نمایید.
برخی از Incident‌ها شامل دسترسی غیر مجاز به اطلاعات، استفاده غیر مجاز از حساب‌های کاربری دیگران، اجرای کد‌های مخرب و تخریب اطلاعات و مواردی از این قبیل می‌باشد.
لازم به ذکر است Incident هم بر آسیب‌رساندن و هم بر تلاش در جهت آسیب‌رساندن دلالت دارد.

تعریف Event
Event به هر اتفاق قابل اندازه‌گیری و قابل مشاهده در یک سیستم یا شبکه گفته می‌شود. Event چیزی است که اتفاق می‌افتد و فردی به طور مستقیم آن را تجربه می‌کند و اینکه شما می‌توانید واقعا نشان دهید که چه اتفاقی رخ داده است. یک Event چیزی است که شما روی صفحه نمایش خود می‌بیند یا چیزی است که می‌شنوید. همچنین می‌تواند چیزی باشد که شما می‌دانید، اتفاق افتاده است زیرا برای اثبات آن رخداد یا لاگی در سیستم به ثبت رسیده است.
در آدرس زیر شما می‌توانید فرم‌هایی که برای Incident Handling مورد نیاز می‌باشد را دانلود نموده و یا از آن نمونه‌برداری نمایید:


https://www.sans.org/score/incident-forms


این فرم‌ها در مستندسازی اطلاعات جمع آوری شده به شما کمک بسیاری خواهد نمود.
لازم به ذکر است داشتن اطلاعات مورد تایید بیشتر بهتر از تنها یک منبع واحد می‌باشد. به عنوان مثال اگر دو نفر یک پیام را در صفحه نمایش خود ببینند (آسیب) این واقعیت احتمالا در دادگاه مورد قبول تر از این است که تنها یک نفر این پیام را دیده باشد.
همچنین توجه داشته‌باشید که مهاجمان اغلب از ابزارهای مختلفی برای حذف یا تغییر رد‌پای خود در فایل‌های Log استفاده می‌کنند. بنابراین اگر شما بتوانید اطلاعات خود را از دو منبع مستقل جمع‌آوری نمایید، شواهد شما دارای اعتبار بیشتری خواهد‌بود. این یکی از دلایلی است که تحلیل‌گران نفوذ باید با انواع فرمت‌های مختلف ذخیره‌سازی لاگ‌ها و نحوه استخراج اطلاعات از آن‌ها آشنا باشند.

Corroborating Evidence

در تصویر بالا یک Evidance معتبر قابل مشاهده می‌باشد که در تعیین اینکه چه اتفاقی بر روی سیستم ما رخ داده است کمک می‌کند و حتی می‌توان به عنوان یک سند در پرونده به آن استناد نمود. نکته این است که دو سیستم مختلف یک واقعه مشابهی را تجربه کرده‌اند.
بخش اول، مربوط به لاگ ثبت شده توسط سیستم تشخیص‌نفوذ Snort است. این پیام هشدار توسط یک Rule در Snort تولید شده‌است که مربوط به Signature یک حمله می‌باشد. اگر یک حمله با مشخصاتی که در Rule سیستم تشخیص‌نفوذ Snort رخ‌ دهد، هشدار توسط Snort تولید خواهد شد. این هشدار که در تصویر مشاهده می‌شود بیانگر بروز یک حمله در وب‌سرور ویندوز یعنی IIS می‌باشد. این حمله مربوط به یک ضعف امنیتی در وب‌سرور IIS ویندوز 2000 است که در یک اسکریپتی پیش‌فرض به نام vti_inf وجود دارد.
بخش دوم تصویر بالا مربوط به یک وب سرور یونیکسی می‌باشد که سرویس آپاچی بر روی آن درحال اجرا بوده است. در این حالت، خطری وب سرور یونیکسی را تهدید نمی‌کند چرا که این حمله مربوط به وب سرور IIS می‌باشد.
برخی افراد این را به عنوان یک Incident در نظر می‌گیرند زیرا مهاجم احتمالا هدف مخربی را داشته است. برخی افراد دیگر نیز به دلیل اینکه هیچ آسیبی به سیستم وارد نشده است، این را یک Incident در نظر نمی‌گیرند.
نکته مهم اینجاست که در هر حال، سیستم تشخیص‌نفوذ و وب سرور که سیستم‌های کامل جدایی هستند، یک Event یکسان را نمایش می‌دهند. اگر قصد ارائه شواهد به دادگاه را داشته باشیم وجود این دو می‌تواند دلایل محکمی برای اثبات یک حمله باشد. همچنین زمانی که شما منابع متعددی از اطلاعات را در اختیار داشته باشید، شانس خوبی وجود دارد تا بتوانید اطلاعات مورد نظر خود را از منابع مختلف استخراج نموده و ارائه دهید.
به همین دلیل، تحلیلگران نفوذ و Incident Handler‌ها باید به سختی کار کنند و کار با انواع ذخیره سازهای لاگ را فرا گرفته و مهارت خود در این زمینه یعنی خواندن لاگ و استخراج اطلاعات از آن را بالا ببرند.

Share Your Experiences
در جامعه نفوذگران معمولا همکاری قابل توجهی وجود دارد. آن‌ها حساب‌های هک شده، اکسپلویت‌ها و ترفند‌های خود را با یکدیگر به اشتراک می‌گذارند. اما افرادی که در حوزه امنیت فعالیت می‌کنند اغلب اطلاعات خود را به اشتراک نمی‌گذارند و به نظر می‌رسد که ما این موضوع را به عنوان یک راز پنداشته و از اینکه اطلاعات خود را در اختیار دیگران قرار دهیم واهمه داریم.
این یک واقعیت است که تقریبا هر کسی که به اینترنت متصل است، خواه ناخواه تحت حمله قرار می‌گیرد. در نهایت سازمان شما ملزم به مقابله با این ضربه می‌شود. بنابراین شما می‌توانید از این حمله درس گرفته و حتی آن را به دیگران آموزش دهید تا افراد دیگر در صورت وقوع حادثه مشابه، بتوانند با آن مقابله نمایند یا حتی از بروز چنین حملاتی در آینده جلوگیری به عمل‌آورند.
اگر مهاجمان شما این حادثه را گزارش دهند و شما این کار را انجام ندهید چه اتفاقی خواهد افتاد؟
شما چگونه می‌توانید اطلاعات حمله را به اشتراک بگذارید؟
سایت‌های مختلفی هستند که آماده دریافت گزارش آسیب‌پذیری‌های امنیتی شما هستند و آن را در اختیار عموم افراد قرار می‌دهند تا با اطلاع از آن‌ها، اقدام به برطرف سازی آسیب‌پذیری در سیستم خود نمایند.
سایت‌هایی مانند Securityfocus.com یا سایت isc.sans.edu از این دست سایت‌ها می‌باشند.
سایت isc.sans.edu همواره منتظر اخبار و تجربیات Incident Handler‌ها می‌باشد. در این سایت هر روزه خاطرات و تجربیات Incident Handler‌ها که منجر به حمله شده است بروز رسانی می‌شود. پیشنهاد می‌کنیم که این سایت را به صورت روزانه چک نمایید.
همچنین در سایت ISC می‌توانید اطلاعات مربوط به سنسورهای Dshield را مشاهده نمایید که دارای بیشتر از 40 هزار سنسور در دنیا می‌باشد. علاوه بر این ISC نشان می‌دهد که 10 پورتی که بیش از پورت‌های دیگر استفاده شده اند کدامند.
همچنین تعداد زیادی از تجمعات امنیتی و هکری نیز وجود‌دارد که هر ساله با عنوان Cons برگزار می‌شوند. برای آگاهی از برگزاری این کنفرانس‌ها می‌توانید به لینک‌های زیر مراجعه نمایید:

https://www.derbycon.com
https://www.defcon.org
https://www.blackhat.com
http://www.shmoocon.org

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید