۴ دلیل برای این که یک CISO باید دیجیتال فارنزیک را یاد بگیرد

4 دلیل برای این که یک CISO باید دیجیتال فارنزیک را یاد بگیرد

نقش مدیر امنیت اطلاعات (CISO) در سازمان‌هایی با پروتکل‌های پیچیده امنیت سایبری قابل توجه است. یک CISO می‌تواند مدیریت ریسک داخلی و خارجی را در زمینه IT انجام بدهد. امروزه امنیت سایبری بزرگترین دغدغه هر کسب و کاری است تا از امنیت داده‌های خود مطمئن شود. یک CISO که یک مدیر ارشد امنیتی است، باید دنبال تنظیم قوانین و انطباق با استانداردهایی باشد که شغل آن‌ها را تحت تاثیر قرار می‌دهد. بنابراین، دانش فارنزیک دیجیتال برای هر CISO موفقی، لازم است.

چرا یک CISO باید دیجیتال فارنزیک بداند؟

 

دیجیتال فارنزیک، شاخه‌ای از علم فارنزیک است که شامل شناسایی، حفظ، استخراج و مستندسازی شواهد کامپیوتری برای ارائه به دادگاه می‌شود. دیجیتال فارنزیک با تحقیقات بر روی کامپیوتر، تلفن‌های همراه و دیگر دستگاه‌های دیجیتال سر و کار دارد.

CISO رهبر تیم امنیت سایبری است، پس باید از موضوعات مهم امنیت سایبری مطلع باشد. دیجیتال فارنزیک نقش بسیار مهمی در مشخص کردن عوامل و مقاصد امینت سایبری دارد، بنابراین نتایج یک تحقیق، نقش مهم‌تری در هنگام تغییر استراتژی برای مقامات تصمیم گیرنده در امنیت سایبری ایفا می‌کند. یک CISO، با دانش و مدرک فارنزیک می‌تواند مسئولیت‌ها و وظایف این موقعیت شغلی را توجیه کند.

چرا دیجیتال فارنزیک ضروری است؟

1. جلوگیری از خطرات

در هنگام نفوذ مهاجمان بالقوه داخلی یا خارجی، تیم IT، مدیریت و نمایندگان دپارتمان‌های دیگر، باید دور هم جمع شوند. کارمندانی که در خط مقدم قرار دارند، باید آموزش ببیند تا بتوانند در مواقع اضطراری، کانال‌های ارتباطی را قطع کنند. همچنین ایزوله و خاموش کردن دستگاه‌های مشکوک، می‌تواند کمک کننده باشد. همین‌طور، فواید و مضرات کپی گرفتن از همه‌چیز نیز باید در نظر گرفته شود. راه‌حل دیگر، آموزش دادن کارمندان برای حفظ شواهد است. کارمندان باید بدانند تمامی شواهد را با دقت حفظ کنند. تیم فارنزیک به دنبال آخرین دسترسی‌ها و تغییرات است تا روند زمانی اتفاقات را دنبال کند.

یک اشتباه رایج این است که کارمندان دستگاه‌های در حال ریبوت را خاموش کنند که این کار باعث می‌شود شواهد موجود در حافظه پاک شوند. دادن لپ تاپ‌های کارمندان قبلی به کارمندان جدید، بدون اسکن بدافزارها، باعث ایجاد موارد امنیتی می‌شود. این کارها باعث آسیب دیدن شواهد می‌شود و بازگردانی آن‌ها کار سختی است.

2. بررسی لاگ‌ها

دیجیتال فارنزیک، فقط به لپ تاپ‌ها و سیستم‌ها محدود نمی شود. علاوه براین‌ها، شامل داده‌های ارتباطی و دسترسی به شبکه هم می‌شود. بنابراین توطئه داخلی هم می‌تواند بر روی کارفرما و هم شرکت مشتری تأثیر بگذارد. مشخص است که مسئولیتCISO این است که از تاریخچه لاگ سیستم‌ها آگاه باشد و آن‌ها را به عنوان مدرک ذخیره کند. در هنگام تحقیقات، زمانی که بازرس فارنزیک یا CISO مشکلی را در ورود به سیستم مشاهده می‌کند، متوجه انکار دسترسی می‌شوند که به دلیل بالابردن عملکرد شبکه انجام شده است.CISO باید این مورد را به عنوان یک تصمیم در مدیریت ریسک بداند زیرا دسترسی به شبکه بسیار مهم است.

3. اطمینان از زنجیره حفاظت

روند جمع‌آوری اطلاعات، بخشی از تحقیقات فارنزیک است تا در دادگاه بتواند ارائه شود. بدون یک روند جمع‌آوری اطلاعات می‌توان ادعا کرد که شواهد دستکاری شده‌اند. برای روند تحقیقات فارنزیک در داخل سازمان، کارمندان باید روند کپی کردن و انتقال شواهد را شروع کنند.

فقط حفاظت از داد‌ه‌ها، مستندسازی و تولید داده‌ها کافی نیست. وظایف CISO این است که از نگهداری روند جمع‌آوری اطلاعات مطمئن شود. در بخش زیر، چند پیشنهاد برای حفظ روند جمع‌آوری اطلاعات آمده است:

  • جمع‌آوری و مستند سازی شواهد
  • نگهداری شواهد در اختیار یک محقق
  • پیگیری و مستندسازی انتقال شواهد از یک محقق به محقق دیگر
  • طمینان از امنیت شواهد برای جلوگیری از آسیب‌دیدن آن‌ها
  • ایجاد مقادیر hash برای هر قطعه از شواهد، برای حفظ اصالت آن‌ها

محققان فارنزیک، از سیستم مورد نفوذ و شواهد کپی می‌گیرند و آن‌ها را تحلیل می‌کنند. این کار، اجازه می‌دهد که سیستم اصلی در یک محل امن نگهداری شود. دادگاه‌ها فقط شواهدی را قبول می‌کنند که در فرم اصلی خود تولید شده باشد.

4. استخدام متخصصان ماهر

گرچه سازمان‌ها از منابع داخلی برای تحقیقات فارنزیک استفاده می‌کنند اما ترجیح می‌دهند که از مشاوران متخصص هم کمک بگیرند. متخصصان، شامل تولیدکنندگان ابزارهای فارنزیک، ارائه‌کنندگان گواهینامه، انجمن‌های حرفه‌ای و غیره می‌شوند.

در زمینه دیجیتال فارنزیک، هم مدارک تولیدکنندگان و هم مدارک بی‌طرفی وجود دارد که به تجربه‌های فرد می‌افزاید.

مشاورین فارنزیک از ابزارهایی استفاده می‌کنند که متن باز، تجاری یا سفارشی هستند. یک محقق از ابزارهای مختلفی بسته به نیاز خود استفاده می‌کند و بنابراین، کار درستی نیست که آن‌ها را براساس ابزاری که استفاده می‌کنند ارزیابی کنیم. به جای این کار، ارزیابی محققان فارنزیک باید براساس دانش آن‌ها در مورد معماری شبکه باشد. برای سازمان‌های بزرگ، تشکیل یک تیم فارنزیک داخلی معقول است. سازمان‌های متوسط و کوچک می‌توانند مشاورین فارنزیک را استخدام کنند تا از آن‌ها مشاوره بگیرند.

منطقی است که بگوییم برای این که یک CISO موفق شویم، باید یک محقق دیجیتال فارنزیک تأیید شده باشیم. دوره‌هایی مانند دوره CHFI شما را آماده می‌کنند که با استفاده از تکنولوژی‌های پیشرو در زمینه فارنزیک دیجیتال، تحقیقات رایانه‌ای خود را اجرا کنید. این برنامه، شامل دانشی با جزئیات دقیق از قوانین و تنظیماتی است که برای رزومه یک CISO لازم است.

برای کسب اطلاعات بیشتر و شرکت در این دوره، روی لینک زیر کلیک کنید:

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.