جرم شناسی دیجیتال و پاسخ به حادثه
- ما خدمات تخصصی جرم شناسی دیجیتال را که به آن DFIR (جرم شناسی و پاسخ به حادثه) میگویند، را ارائه می دهیم. ما برای انجام تجزیه و تحلیل در جرم شناسی از تجهیزات و ابزارهای تجاری بسیار تخصصی استفاده می کنیم.
- آزمایشگاه جرم شناسی دیجیتال ما که ماهانه ده ها مورد داده کاوی و استخراج اطلاعات در آن انجام می شود، متشکل از تعدادی نرمافزار حرفه ای و معتبر از جمله FTK Forensic Toolkit و X-Ways Forensics است که به شما امکان می دهد شواهد را از طریق مستندات تجزیه و تحلیل کنید.
- ایمنسازی صحیح ردیابی های دیجیتال امکان تجزیه و تحلیل عمیق حادثه را فراهم می کند و به شما امکان می دهد جزئیات چگونگی وقوع عملیاتی که مهاجم انجام داده را تعیین کنید. با گذشت زمان در صورت عدم ایمنسازی صحیح شواهد، مکتوبات سیستم از بین می روند حتی اگر کاربر روی آن کار کند و سیستم به سادگی در حال اجرا باشد.
- از طرف دیگر، خاموش کردن رایانه بدون محافظت قبلی لازم، منجر به از دست رفتن جبران ناپذیر داده های دیجیتالی میشود که در حافظه سیستم عامل ذخیره شده و مختص به مهاجم است. این داده ها ممکن است حاوی اطلاعات مهمی برای تجزیه و تحلیل حادثه باشند.
- امروزه، امنیت دیجیتال نیاز هر شرکتی است بنابراین مهمترین مسئله سرعت واکنش است. ما در SOC از فناوری های دفاعی پویا استفاده می کنیم که برای شناسایی انواع جدیدی از تهدیدهای هرگز دیده نشده (نمونه های منحصر به فرد در حملات هدفمند) استفاده می شوند.
- هر نمونه جدید به طور خودکار در یک Sandbox تجزیه و تحلیل می شود تا بتوان رفتار را شبیه سازی و روش های مخرب را شناسایی کرد. با استفاده از محصولاتی مانند Splunk و ELK تمامی رفتارهای درون شبکه جمعآوری و رفتارشناسی خواهند شد.
- محصولات امنیتی شناسایی حملات شبکه، ارتباطات را رصد می کنند و از صدها قانون از پیش تعیین شده برای تشخیص استفاده می کنند. این محصولات همواره دارای یک عیب اصلی هستند، این عیب را میتوان عدم درک بیشتر هشدارهای گزارش شده دانست.
- مهاجمان اغلب از روش های مبهم سازی در کانال های ارتباطی با مرکز فرمان خود استفاده میکنند که رصد آنها برای محصولات سطح شبکه امکانپذیر نیست. بدین ترتیب همواره به تیم های بنفش نیاز است تا با رفتارشناسی های مشکوک در سطح شبکه حملات و ارتباطات شکار شوند.
پاسخ به حوادث
شکار تهدیدات
مرکز عملیات امنیت
کارشناسان SOC (شکارچی تهدید) و تیم CERT همواره میکوشند تا در زمینه های دفاعی (تیم آبی) و تهاجمی (تیم قرمز) در امنیت سایبری و همچنین پیادهسازی آزمایشگاه حرفه ای جرم شناسی رایانه ای فعال باشند تا در موقعیت های مختلف بتوانند کنش های مناسبی را از خود نشان دهند، متخصصین شکار و پاسخ سریع به حادثه در مرکز عملیات امنیت همواره مامور داده کاوی از پایگاه های گردآوری اطلاعات هستند.
تیم پاسخگوی حوادث امنیت رایانه
یک تیم پاسخ دهنده به حوادث شناخته شده، در مواقع اضطراری میتواند به سازمان ها و نهادهای دولتی کمک رسانی سایبری کند، این پاسخ به یک حادثه در زمان رخداد حمله سایبری امر بسیار مهمی بوده و میتواند تیم های جرم شناسی را در امر تحقیقات صریح کمک کند، برای مثال در صورت آلوده شدن سیستم عامل های یک سازمان به باج افزار معمولا مدت زمان کوتاهی برای رسیدن باج افزار به مرحله Impact لازم است. اگر تیم پاسخگویی جرم شناسی دیجیتال سریع وارد عمل شود واکنش مناسبی در خصوص حمله میتواند نشان دهد.
تجزیه و تحلیل بدافزار
تحلیل بدافزار از موارد بسیار کلیدی در راستای جمعآوری اطلاعات و جرم شناسی است که با استفاده از آن میتوان روش های ضد مهندسی معکوس و ضد بازیابی کدنویسی را خنثی کرد، همچنین میتوان در راستای رفتار شناسی و ایجاد امضاء در خصوص فایل فرمت های مخرب وارد شده به سیستم، عملیات مناسبی انجام داد و داده کاوی را بعد از مهندسی معکوس منطقه مورد نظر آغاز کرد.