لقد قمنا بتغطية المفاهيم والأدوات الأساسية والأساسية في الطب الشرعي الرقمي والاستجابة للحوادث. كان هذا جزءًا من جربHackMe DFIR.

احصل على ملاحظات ميدانية للطب الشرعي للكمبيوتر

دورة اختبار الاختراق الكامل مع Backbox Linux

ما هو DFIR؟

كما ذكرنا سابقًا، يرمز DFIR إلى الطب الشرعي الرقمي والاستجابة للحوادث. يغطي هذا المجال جمع آثار الطب الشرعي من الأجهزة الرقمية مثل أجهزة الكمبيوتر وأجهزة الوسائط والهواتف الذكية للتحقيق في حادث ما. يساعد هذا الحقل متخصصي الأمان على تحديد البصمات التي تركها المهاجم عند وقوع حادث أمني، واستخدامها لتحديد مدى الاختراق في البيئة، واستعادة البيئة إلى الحالة التي كانت عليها قبل وقوع الحادث.

الحاجة إلى DFIR

يساعد DFIR محترفي الأمن بطرق مختلفة، نلخص بعضها أدناه:

  • العثور على أدلة على نشاط المهاجم في الشبكة وغربلة الإنذارات الكاذبة عن الحوادث الفعلية.
  • إزالة المهاجم بقوة، بحيث لا يبقى له موطئ قدم من الشبكة.
  • - تحديد مدى الانتهاك والإطار الزمني له. وهذا يساعد في التواصل مع أصحاب المصلحة المعنيين.
  • العثور على الثغرات التي أدت إلى الاختراق. ما الذي يجب تغييره لتجنب الاختراق في المستقبل؟
  • فهم سلوك المهاجم لمنع المزيد من محاولات التطفل بشكل استباقي من قبل المهاجم.
  • مشاركة المعلومات حول المهاجم مع المجتمع.

من ينفذ DFIR؟

كما يوحي الاسم، يتطلب DFIR خبرة في كل من الطب الشرعي الرقمي والاستجابة للحوادث. بتقسيم هذين المجالين بهذه الطريقة، هناك حاجة إلى مجموعة المهارات التالية لتصبح محترفًا في DFIR:

  • الطب الشرعي الرقمي: هؤلاء المحترفون هم خبراء في تحديد آثار الطب الشرعي أو الأدلة على النشاط البشري في الأجهزة الرقمية.
  • الاستجابة للحادث: المستجيبون للحوادث هم خبراء في الأمن السيبراني ويستفيدون من معلومات الطب الشرعي لتحديد النشاط محل الاهتمام من منظور أمني. 

يعرف متخصصو DFIR عن الطب الشرعي الرقمي والأمن السيبراني ويجمعون بين هذه المجالات لتحقيق أهدافهم. غالبًا ما يتم الجمع بين مجالات الطب الشرعي الرقمي والاستجابة للحوادث لأنها تعتمد على بعضها البعض بشكل كبير. تعمل الاستجابة للحوادث على تعزيز المعرفة المكتسبة من الطب الشرعي الرقمي. وبالمثل، يأخذ الطب الشرعي الرقمي أهدافه ونطاقه من عملية الاستجابة للحوادث، وتحدد عملية IR مدى التحقيق الجنائي.

في العمليات الأمنية، يتمثل الاستخدام البارز للطب الشرعي الرقمي في الاستجابة للحوادث. سوف نتعلم عملية الاستجابة للحوادث ونلاحظ كيف يساعد الطب الشرعي الرقمي في عملية IR في هذه المهمة.

نشرت منظمات مختلفة أساليب موحدة لأداء الاستجابة للحوادث. لقد حددت NIST عملية في SP-800-61 دليل التعامل مع الحوادث، والذي يتضمن الخطوات التالية:

  1. تحضير
  2. الكشف والتحليل
  3. الاحتواء والاستئصال والتعافي
  4. نشاط ما بعد الحادث

وبالمثل، نشرت SANS دليل معالج الحوادث. ويحدد الكتيب الخطوات على النحو التالي:

  1. تحضير
  2. تعريف
  3. الاحتواء
  4. الاستئصال
  5. استعادة
  6. الدروس المستفادة

غالبًا ما يتم تلخيص الخطوات التي تحددها SANS بالاختصار PICERL، مما يجعلها سهلة التذكر. يمكننا أن نرى أن الخطوات المحددة بواسطة SANS وNIST متطابقة. في حين أن NIST يجمع بين الاحتواء والاستئصال والتعافي، فإن SANS يفصلها إلى خطوات مختلفة. نشاط ما بعد الحادث و الدروس المستفادة يمكن أن تكون قابلة للمقارنة، في حين تعريف و الكشف والتحليل لها نفس الآثار.

الآن بعد أن فهمنا أن العمليتين متشابهتان، دعونا نتعلم بإيجاز ما تعنيه الخطوات المختلفة. نشرح خطوات PICERL حيث يسهل تذكرها من خلال الاختصار، ولكن كما هو موضح أعلاه، فهي مطابقة للخطوات المحددة بواسطة NIST.

  1. تحضير: قبل وقوع أي حادث، يجب الاستعداد حتى يكون الجميع جاهزين في حالة وقوع حادث. يتضمن الإعداد وجود الأشخاص والعمليات والتكنولوجيا المطلوبة لمنع الحوادث والاستجابة لها.
  2. تعريف: يتم التعرف على الحادث من خلال بعض المؤشرات في مرحلة التحديد. يتم بعد ذلك تحليل هذه المؤشرات بحثًا عن الإيجابيات الكاذبة، وتوثيقها، وإبلاغها إلى أصحاب المصلحة المعنيين.
  3. الاحتواء: في هذه المرحلة يتم احتواء الحادثة، وبذل الجهود للحد من آثارها. يمكن أن تكون هناك حلول قصيرة وطويلة المدى لاحتواء التهديد بناءً على التحليل الجنائي للحادث الذي سيكون جزءًا من هذه المرحلة.
  4. الاستئصال: وبعد ذلك، يتم القضاء على التهديد من الشبكة. ويجب التأكد من إجراء تحليل الطب الشرعي المناسب واحتواء التهديد بشكل فعال قبل القضاء عليه. على سبيل المثال، إذا لم يتم توصيل نقطة دخول جهة التهديد إلى الشبكة، فلن يتم القضاء على التهديد بشكل فعال، ويمكن للجهة الفاعلة الحصول على موطئ قدم مرة أخرى.
  5. استعادة: وبمجرد إزالة التهديد من الشبكة، يتم إرجاع الخدمات التي تم تعطيلها إلى ما كانت عليه قبل وقوع الحادث.
  6. الدروس المستفادة: أخيرًا، يتم إجراء مراجعة للحادث، وتوثيقه، ويتم اتخاذ الخطوات بناءً على النتائج المستخلصة من الحادث للتأكد من أن الفريق مستعد بشكل أفضل في المرة القادمة التي يقع فيها الحادث.

إجابات الغرفة

ماذا يعني DFIR؟
أكمل تمرين إنشاء المخطط الزمني في الموقع الثابت المرفق. ما هو العلم الذي تحصل عليه بعد الانتهاء؟

يتطلب DFIR خبرة في مجالين. أحد المجالات هو الطب الشرعي الرقمي. ما هو المجال الآخر؟

في أي مرحلة من عملية علاقات المستثمرين يتم إعادة الخدمات المعطلة إلى الإنترنت كما كانت قبل وقوع الحادث؟

في أي مرحلة من عملية IR يتم طرد التهديد من الشبكة بعد إجراء التحليل الجنائي؟

ما هو المعادل NIST للخطوة المسماة "الدروس المستفادة" في عملية SANS؟

تجول الفيديو

, ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات