دوره آموزشی SEC504 – بخش ششم

در این بخش از دوره SEC504 از موسسه SANS به آشنایی با Identification از مراحل پاسخگویی به رخداد یا Incident Handling می پرازیم.

Identification

بخش بعدی بر شناسایی حادثه تمرکز دارد. اینکه حادثه چگونه تشخیص داده می‌شود نیز پس از مرحله Preparation بسیار اهمیت دارد.

Points to Keep in Mind

معمولا این تمایل وجود دارد که ابتدا باید از وجود حادثه مطمئن شویم که آیا اشتباهی وجود دارد یا خیر و بعد هشدار دهیم. اما این در واقع یک نوع خودکشی است. سرعت در هنگام بروز حادثه بسیار مهم است. پس این را مد نظر داشته باشید که هشدار را زودتر اعلام کنید.

با این حال اگر هشدار نادرست باشد چه خواهد شد؟

این موضوع را به عنوان یک فرصت برای آموزش در نظر بگیرید. بدین صورت حتی اگر حمله ای هم وجود نداشته باشد، شما باز هم به سازمان کمک خواهید کرد.

البته توجه داشته باشید که برای اطمینان از وقوع حادثه به جریان دائمی از اطلاعات نیاز خواهید داشت. این مورد یکی از دلایلی است که ما پیشنهاد می‌کنیم هرگز تنها یک Handler را اعزام نکنید. افراد دیگر ‌می‌توانند با مرکز فرماندهی ارتباط برقرار کنند و این ‌می‌تواند به شما در آگاهی بیشتر کمک نماید.

این نکته را به خاطر داشته باشید که باید همواره در حال ترکیب کردن یا Correlate کردن اطلاعات باشید.

Assigning Handlers

شما باید یک شخص را به عنوان Incident Handler اصلی انتخاب کنید. اگر یک نفر مسئول نباشد در واقع هیچ کس مسئول نخواهد بود. البته در حوادث کوچک نیازی به فرستادن تیم اصلی Incident Handling نمی‌باشد.

همانطور که در موارد پیشین مطرح کردیم، شما نیاز به یک تیم اصلی آموزش دیده دارید که باید به مدیران سیستم و افسران امنیتی، مهارت‌های لازم برای پاسخگویی به حوادث را آموزش دهند. اگر یک سازمان این کار را انجام دهد خود یک مزیت برای پاسخگویی به حوادث محسوب می‌شود و درهنگام بروز حوادث کوچکتر این تیم آموزش دیده ‌می‌توانند پیش از اعزام تیم اصلی جمع آوری اطلاعات لازم را انجام دهند.

البته در چنین مواردی تکالیف و وظایف مربوط به هر بخش به عنوان مثال، چه زمانی باید وارد عمل شد، کیفیت تحقیقات، نوع اسناد و مدارکی که باید جمع آوری شوند، می بایست به صورت کامل مشخص شود تا منجر به موفقیت مدیران سیستم گردد. همچنین در چنین شرایطی فردی که وارد عمل می‌شود باید بداند که در زمان‌های خاص باید با چه کسانی تماس بگیرد و چه زمانی نیاز به کمک بیشتر دارد.

در حالت ایده‌آل بهتر است دو نفر برای رسیدگی به هر حادثه و جمع آوری شواهد بیشتر و کامل تر به صحنه حادثه فرستاده شوند. بنابراین باید یک Handler اصلی و یک فرد کمکی را برای حادثه اختصاص دهید.

Control the Flow of Information

هیچ چیز سریعتر از یک شایعه پخش نمی‌شود و شما باید جلوی این موضوع را بگیرید. این را همواره در خاطر داشته باشید.

در بسیاری از ‌سازمان‌ها این فرهنگ وجود دارد که ما به مردم اعتماد داریم. این بسیار عالی است.

اگر پرونده‌ای که شما روی آن کار می‌کنید به دادگاه برسد شما برای احقاق حق سازمان خود، به فراخوانی شاهدان حادثه نیاز خواهید داشت. اگر 18 نفر از 20 نفری که شما فراخوانی نموده اید هرگز نداند که چه اتفاقی افتاده است، و شما نتوانسته باشید که یادداشت برداری کنید و اگر یک سال بعد نیاز به حضور در دادگاه و بازگو کردن حادثه باشد، چه اتفاقی خواهد افتاد؟ ممکن است یک فاجعه قانونی رخ دهد.

به همین دلیل شما نیاز به مستندسازی تمامی مراحل را دارید که این امر مانند عملکرد یک بازپرس می‌باشد. البته این موضوع را هم باید مد نظر داشته باشید که اگر نخستین سرنخ‌ها و نظریه‌ها در روزنامه‌ها منتشر شود ‌می‌تواند به سازمان شما لطمه وارد نموده و موجب تخریب وجهه اجتماعی آن شود. پس باید مراقب باشید و جزئیات حادثه را با افراد کمی که قابل اطمینان هستند در میان بگذارید.

گاهی اوقات زمان زیادی طول می‌کشد تا یک حادثه خاتمه پیدا کند و پرونده آن بسته شود. اگر اطلاعاتی از حادثه را با افرادی در میان می‌گذارید تا تحقیقات خود را کامل نمایید، به آن‌ها یادآوری نمایید که آن‌ها افراد مورد اطمینان سازمان هستند و همچنین نباید این اطلاعات را با فرد دیگر در میان بگذارند. علاوه بر این به آن‌ها اطلاع دهید که در صورت لزوم از آن‌ها دعوت می‌شود تا برای شهادت دادن نسبت به مواردی که از آن اطلاع دارند در دادگاه حاضر شوند. البته این موضوع شاید منجر به ترس آن‌ها شود ولی ‌می‌تواند بسیار مفید باشد.

در نهایت بسیاری از حوادث رخ خواهند داد و این اغلب به دلیل اشتباهات فردی می‌باشد. احتمالا یک فرد که باید از سیستم خود مراقبت می‌کرد و موارد امنیتی را انجام می‌داده، این کار را انجام نداده است. ممکن است نیاز باشد تا با این فرد مقابله کنید. با این حال اطلاعات مربوط به پرونده و جزئیات آن نباید از طرف تیم شما افشا گردد. در این صورت اعتمادی که به تیم شما وجود داشته است از بین رفته و ادامه فرآیند جمع آوری اطلاعات شما دچار مشکل خواهد شد.

Communication Channels

ممکن است یک سیستم تسخیر شده باشد و نفوذگر به آن دسترسی کامل داشته باشد. وی همچنین ‌می‌تواند یک Sniffer را بر روی سیستم قربانی نصب نماید تا کلیه ترافیک‌ها را دریافت نماید.

هنگامی که شما یک سیستم را کنترل می‌کنید، نفوذگر ‌می‌تواند ایمیل‌ها را مانیتور نماید.علاوه بر این نفوذگر ‌می‌تواند کلیه کارهایی که شما در شبکه انجام می‌دهید را مشاهده نماید. پس باید به این نکته توجه داشته باشید که برای انتقال اطلاعات از یک سیستم به سیستم دیگر باید از تکنیک‌های رمزنگاری استفاده کنید. استفاده از PGP و GNU Privacy Guard در این بخش بسیار مفید می‌باشد.

همچنین افراد ‌می‌توانند از کلید عمومی شما برای ارسال اطلاعات حساس استفاده کنند و شما هم می‌توانید از کلید خصوصی خود برای امضای دیجیتال استفاده نمایید تا افراد بدانند واقعا شما این اطلاعات را ارسال کرده‌اید.

اگر رایانه‌هایی که می خواهید بوسیله آن‌ها ایمیل ارسال کرده و یا چت کنید، آلوده شده یا تسخیر شده باشند، پیشنهاد می‌شود که از تلفن استفاده کنید. البته اگر در شبکه مورد حمله از VoIP استفاده می‌شود، هنگام استفاده از آن مراقب باشید و اطمینان حاصل کنید که در ارتباطات VoIP حتما از تکنولوژی رمزنگاری استفاده شده باشد. زیرا ابزارهای گوناگونی وجود دارند که در صورت عدم رمزنگاری ارتباطات VoIP قادر به استخراج صوت مکالمات می‌باشند که ابزارهایی مانند Wireshark، Cain و VOMIT نمونه‌هایی از این ابزارها می‌باشند.

از ابزار فاکس هم قافل نشوید چراکه یکی از ابزارهای فوق العاده در Incident Handling است. در صورت امکان یک پوشه با تمام شماره‌های فاکس در سازمان خود و در مکان مشخص نگه داری کنید تا در صورت نیاز بتوان از آن‌ها استفاده نمود. توجه داشته باشید که باید اطمینان حاصل کنید، ماشین‌های فکس به صورت سخت افزاری باشند و از سرویس‌های رایگان تبدیل فاکس به ایمیل استفاده نشده باشد.

تلفن همراه مورد مهم دیگری است که Incident Hamdler‌ ها باید آن را در اختیار داشته باشند و همچنین می بایست چند باطری شارژ شده نیز برای استفاده در مواقعی که نیاز به مکالمات طولانی می‌باشد در کنار تلفن همراه وجود داشته باشد. البته درمقیاس‌های بزرگ تر می‌توان از شبکه‌های بی‌سیم و ارتباطات رادیویی از پیش تعیین شده نیز بهره برد که البته این موضوع هم نیازمند هماهنگی‌های مختلف و هم نیازمند زیرساخت و اعتبار اختصاص یافته لازم نیز می‌باشد.

توجه داشته باشید که اگر شبکه مورد حمله کرم‌ها قرار گرفته باشد، امکان بروز اختلال و حتی قطع شدن اینترنت خواهد بود. البته اگر این اتفاق رخ دهد، در برخی از شبکه‌ها ارتباطات Dial-up هم تحت تاثیر قرار می‌گیرد که این اختلال ‌می‌تواند بر روی سیستم‌های تلفن نیز تاثیر بگذارد.

شاید این پیام هشدار را در هنگام بروز بلایای طبیعی مانند سیل و زلزله شنیده باشید که “من افسر امداد هستم و تمامی مدار‌ها مشغول است” پس باید قبل از وقوع حادثه به این موضوعات فکر کرده و در مورد ارتباطات خارج از باند نیز برنامه ریزی کرده باشید.

اطمینان حاصل کنید که تیم مدیریت حادثه قادر به ارسال و دریافت ایمیل‌های رمز شده در میان اعضای تیم هستند. برای این کار لازم است تا ابزارهای تجاری یا غیرتجاری را در اختیار داشته باشید. همچنین برای ذخیره سازی اطلاعات خود می‌توانید از ارائه دهندگان خدمات ابری مانند Secure Safe و یا Tresorit استفاده نمایید. البته قبل از ذخیره سازی اطلاعات بر روی این ارائه دهندگان خدمات، از رمزنگاری اسناد خود اطمینان حاصل کنید.

Where Does Identification Occur

هنگامی که یک دیدگاه سطح بالا از یک معماری شبکه را در نظر می‌گیریم، شناسایی ‌می‌تواند در هر نقطه‌ای از محیط شما اتفاق بیفتد. اما برای کمک به دسته بندی مناطق مختلف در محیط شما که برای تجزیه تحلیل نیز مناسب باشد، چهار سطح محیط شبکه، محیط میزبان، میزبان یا سیستم و سطح کاربرد را در نظر بگیرید.

محدوده شبکه ما توسط فایروال‌ها، روترهایی که توانایی تولید لاگ‌ها را دارند، بخش خارجی یا External-Facing مربوط به سیستم‌های تشخیص نفوذ، سیستم‌های جلوگیری از نفوذ و سیستم‌های دیگری که در DMZ قرار دارند، مانیتور می‌شود. این سیستم‌ها ‌می‌توانند هشدارهای خود که مربوط به حملات می‌شوند را زودتر به ما نشان دهند، زیرا آن‌ها در مرز خود با اینترنت و شبکه‌های خارجی نظارت می‌کنند.

لایه بعدی محیط میزبان می‌باشد. که ما فعالیت‌های مربوط به هر میزبان را مانیتور نموده و آنالیز می‌کنیم که چه اطلاعاتی از ماشین میزبان به خارج ارسال شده و چه اطلاعاتی توسط میزبان از طریق شبکه دریافت شده است. این لایه ‌می‌تواند با استفاده از فایروال‌های شخصی یا Personal Firewall‌ ها، سیستم‌های تشخیص نفوذ مبتنی بر میزبان، فایروال‌های داخلی و ابزارهای Port Sentry مانیتور شوند.

لایه بعدی شناسایی مبتنی بر میزبان است که در این سطح، ما فعالیت‌های بر روی سیستم میزبان با خودش را مانیتور می‌کنیم. ابزارهای آنتی ویروس، File Integrity Checker‌ها و End Point Security Suite‌ها در این لایه فعالیت می‌کنند. همچنین اگر کاربر متوجه یک رفتار نامتعارف در سیتسم دسکتاپ یا لپ تاپ خود شود به این سطح مربوط می‌گردد.
لایه پایانی، سطح برنامه است که معمولا از طریق لاگ‌های تولید شده توسط برنامه‌ها مانیتور می‌شود. این برنامه ‌می‌تواند یک برنامه وب بوده و یا یک برنامه سمت سرور باشد که توسط کلاینت‌ها مورد استفاده قرار می‌گیرد و یا حتی یک سرویس مبتنی بر Clouad باشد.

توجه داشته باشید که شناسایی اغلب در لایه‌های برنامه و میزبان اتفاق می افتد.

دو برگه تقلب یا Cheat Sheet از شرکت SANS که در آن به روش‌های شناسایی حملات در ویندوز و لینوکس پرداخته شده است، از لینک زیر قابل دانلود می‌باشند.

https://pen-testing.sans.org/resources/downloads

همچنین برای کسب اطلاعات بیشتر در مورد 10 پورتی که حملات بر روی آن‌ها اتفاق می افتد می‌توانید به لینک زیر مراجعه نمایید.

https://isc.sans.edu/top10.html