פורנזיקה: כיצד לתחקר נכון התקפת סייבר

Google+ Pinterest LinkedIn Tumblr +

אחת השאלות הנפוצות שאנו נשאלים כחברת ייעוץ בתחום אבטחת המידע, היא מהן הפעולות שיש לבצע בעקבות התקפת סייבר, כדי לזהות את מקור הפריצה ולאתר את נקודות התורפה שהובילו לכך.

מאת בועז שונמי

בועז שונמי, מנכ"ל קומודו

מדובר למעשה בניתוח אירוע פשעי מחשב – או במינוח המקובל יותר Computer Forensics.  חקירה פורנזית -Forensics , ממש כמו חקירת פריצה פיזית, נחשבת כשלב חיוני כדי לאמוד את הנזק שנגרם, לנסות לזהות את הגורמים המעורבים, ולוודא צמצום של פוטנציאל הפגיעה של המתקפה הנוכחית והבאה.

בדיקת ה – Forensics כוללת בתוכה חמישה מרכיבים – שימור, זיהוי, חילוץ (extraction), פרשנות ותיעוד. יישום נכון של מרכיבים אלה בצורה מסודרת ומעמיקה יכולה במקרים רבים גם לסייע באיתור פיזי של התוקפים והעמדתם לדין.

כדי לבצע בדיקה מעמיקה ומקיפה של האירוע, יש להיערך לכך כראוי. לאור זאת, גיבשנו שישה כללים אשר יסייעו להכין את הקרקע לקראת חקירה פורנזית ולספק לצוות החוקרים את כל הנתונים הנדרשים לביצוע בדיקה מקיפה ומהימנה של אירוע הסייבר.

  1. הכנת System Image של כל שרת ו\או מחשב אשר היה קשור לאירוע. חשוב לשכפל גם את זיכרון ה – RAM(זיכרון הגישה האקראי) וגם את הכוננים הקשיחים (Hard Drive).
  2. יש לוודא כי כל המכשירים מכוונים על אותו הזמן בדיוק (יום, שעה ודקה). במידה ואין התאמה ביניהם, יש לערוך רשימה הכוללת את ההבדלים בין המערכות השונות (ה"דלתא") – אלה נתונים חיוניים שחשובים לביצוע החקירה.
  3. חשוב לשמור על יומני המעקב והבקרה (Audit Logs) במערכות התוכנה (למשל Active Directory, Office 365, שרתי הדואר, פיירוול וכו').
  4. יש לספק לצוות הבדיקה תרשים רשת (מקטעי רשת, Network Gear, מיקום הפיירוולים), כולל מפה של כל נקודות היציאה והכניסה לרשת הארגונית. אם אין ברשותכם תרשים מעין זה, יש להכין אחת.
  5. חשוב להכין תרשים של תהליכי הזרימה הארגוניים (logic workflow schema) של המערכות שנפגעו או הותקפו.
  6. לאחר שאספתם את כל הראיות (Image של כוננים וזיכרון RAM), הפרידו את המערכות שנפגעו ואחסנו אותם ברשת נפרדת שאינה מחוברת פיזית או וירטואלית לרשת הארגונית.

וכמובן, להישאר רגועים ולפעול בקור רוח.

הכותב משמש כמנכ"ל חברת Komodo Consulting, המספקת שירותי ייעוץ לארגונים בתחום אבטחת המידע

שתף.

.