كيفية الرد على المتسلل "المحترف"

أعتقد أن الغياب الصغير كان يستحق كل هذا العناء 🙂 هذه الأيام أنا متحمس أكثر من أي وقت مضى لبدء مشاريع جديدة وأعتقد أنني سأقدم لك قريبًا أخبارًا عن تقدمي في Gentoo 🙂 لكن هذا ليس موضوع اليوم.

الطب الشرعي الكمبيوتر

منذ بعض الوقت اشتريت دورة في الطب الشرعي للكمبيوتر ، أجد أنه من المثير للاهتمام للغاية معرفة الإجراءات والتدابير والإجراءات المضادة المطلوبة التي تم إنشاؤها لتكون قادرًا على التعامل مع الجرائم الرقمية هذه الأيام. أصبحت البلدان التي لديها قوانين محددة جيدًا في هذا الصدد مراجع حول هذا الموضوع ويجب تطبيق العديد من هذه العمليات عالميًا لضمان الإدارة السليمة للمعلومات.

عدم وجود إجراءات

نظرًا لتعقيد الهجمات هذه الأيام ، من المهم أن نأخذ في الاعتبار العواقب التي يمكن أن يتسبب فيها نقص الإشراف الأمني ​​لفرقنا. ينطبق هذا على كل من الشركات الكبيرة والشركات الصغيرة والمتوسطة الحجم ، حتى على المستوى الشخصي. خاصة الشركات الصغيرة والمتوسطة الحجم حيث لا هناك إجراءات محددة لمناولة / تخزين / نقل المعلومات الهامة.

"الهاكر" ليس غبيًا

سبب آخر مغري بشكل خاص لـ "المتسلل" هو المبالغ الصغيرة ، ولكن لماذا هذا؟ دعنا نتخيل هذا السيناريو لثانية: إذا تمكنت من "اختراق" حساب مصرفي ، فما هو المبلغ الأكثر إثارة للدهشة: سحب 10 آلاف (عملتك) أو سحب واحد من 10؟ من الواضح أنني إذا كنت أتحقق من حسابي وظهرت من العدم سحب / إرسال / دفع بقيمة 10 آلاف (عملتك) ، تظهر إنذارات ، ولكن إذا كانت واحدة من 10 ، فربما تختفي من بين مئات المدفوعات الصغيرة التي تم إجراؤها. باتباع هذا المنطق ، يمكن للمرء أن يكرر "الاختراق" في حوالي 100 حساب بقليل من الصبر ، وبهذا يكون لدينا نفس التأثير البالغ 10 آلاف ، بدون الإنذارات التي يمكن أن يطلقها.

مشاكل العمل

الآن ، لنفترض أن هذا الحساب هو حساب لشركتنا ، بين المدفوعات للعمال والمواد والإيجار ، يمكن أن تضيع هذه المدفوعات بسهولة ، بل يمكن أن تستغرق وقتًا طويلاً دون أن ندرك بالضبط أين أو كيف تذهب الأموال. لكن هذه ليست المشكلة الوحيدة ، دعنا نفترض أن أحد المخترقين قد دخل إلى خادمنا ، والآن ليس فقط لديه حق الوصول إلى الحسابات المتصلة به ، ولكن أيضًا لكل ملف (عام أو خاص) ، لكل اتصال موجود ، يتحكم في الوقت الذي يتم فيه تشغيل التطبيقات أو المعلومات التي تتدفق من خلالها. إنه عالم خطير جدًا عندما نتوقف عن التفكير فيه.

ما هي الإجراءات الوقائية الموجودة؟

حسنًا ، هذا موضوع طويل جدًا ، وفي الواقع أهم شيء هو دائما منع أي احتمال، لأنه من الأفضل بكثير تجنب المشكلة قبل من حدوث ذلك إلى الاضطرار إلى دفع عواقب عدم وجود الوقاية. وهو أن العديد من الشركات تعتقد أن الأمن هو مسألة 3 أو 4 عمليات تدقيق سنة. هذا ليس فقط غير واقعي، لكنها متساوية أخطر من عدم القيام بأي شيء، حيث يوجد ملف شعور زائف بـ "الأمن".

لقد تم "اختراق" ، ماذا الآن؟

حسنًا ، إذا كنت قد عانيت للتو من أ هجوم ناجح من قبل متسلل ، مستقل أو متعاقد ، من الضروري معرفة الحد الأدنى من بروتوكول الإجراءات. هذه هي الحد الأدنى تمامًا ، لكنها ستسمح لك بالرد بشكل أسي بشكل أكثر فعالية إذا تم تنفيذها بشكل صحيح.

أنواع الأدلة

الخطوة الأولى هي معرفة أجهزة الكمبيوتر المتأثرة ومعاملتها على هذا النحو ، فإن الأدلة الرقمية ينتقل من الخوادم إلى الطابعات المرتبة داخل الشبكة. يستطيع "المتسلل" الحقيقي التمحور عبر شبكاتك باستخدام طابعات ضعيفة ، نعم ، لقد قرأت ذلك بشكل صحيح. هذا لأن هذه البرامج الثابتة نادرًا ما يتم تحديثها ، لذلك قد يكون لديك معدات ضعيفة دون أن تلاحظها لسنوات.

على هذا النحو ، من الضروري في مواجهة الهجوم أن تأخذ ذلك في الاعتبار قطع أثرية أكثر مما وعد يمكن أن يكون دليل مهم.

المستجيب الأول

لا يمكنني العثور على ترجمة صحيحة للمصطلح ، لكن المجيب الأول إنه في الأساس أول شخص يتعامل مع الجهاز. مرات عديدة هذا الشخص لن يكون شخصًا متخصصًا ويمكن أن يكون مدير النظام ، مهندس مدير ، حتى أ رأس Gerente المتواجد في الموقع في ذلك الوقت وليس لديه شخص آخر للاستجابة لحالة الطوارئ. لهذا السبب ، من الضروري مراعاة ذلك لا أحد منهم ، ولكن عليك أن تعرف كيفية المضي قدمًا.

هناك حالتان يمكن أن يكون الجهاز فيهما بعد ملف هجوم ناجح، والآن يبقى فقط التأكيد على أن أ هجوم ناجح، وعادة ما يحدث بعد ذلك كثير هجمات فاشلة. لذلك إذا تمكنوا بالفعل من سرقة معلوماتك ، فذلك لأنه لا يوجد بروتوكول الدفاع والاستجابة. تذكر ما يجب منعه؟ الآن هو المكان الذي يتمتع فيه هذا الجزء بأكبر قدر من المعنى والوزن. لكن مهلا ، لن أفرك ذلك أكثر من اللازم. لنستمر.

يمكن أن يكون الكمبيوتر في حالتين بعد الهجوم ، متصل بالإنترنت o بدون اتصال. هذا بسيط للغاية ولكنه حيوي ، إذا كان الكمبيوتر متصلاً بالإنترنت فهو كذلك التفضيل افصله في الحال. كيف افصلها؟ تحتاج إلى العثور على أول جهاز توجيه للوصول إلى الإنترنت وإزالة كابل الشبكة ، لا تطفئه.

إذا كان الفريق بدون اتصال، نحن نواجه مهاجمًا تعرض للخطر بدنيا في هذه الحالة تم اختراق الشبكة المحلية بالكامل وهذا ضروري اغلاق مخارج الانترنت بدون تعديل أي معدات.

فحص المعدات

هذا بسيط أبدًا ، أبدًا ، تحت أي ظرف من الظروف ، يجب أن يقوم المستجيب الأول بفحص المعدات (المعدات) المتأثرة. الحالة الوحيدة التي يمكن فيها حذف هذا (لا يحدث أبدًا تقريبًا) هي إذا كان المستجيب الأول شخصًا لديه تدريب متخصص للرد في مثل هذه اللحظات. لكن لإعطائك فكرة عما يمكن أن يحدث في هذه الحالات.

ضمن بيئات Linux

افترض لدينا مهاجم قام بإجراء تغيير طفيف وغير مهم على الأذونات التي حصل عليها في هجومه. غيرت الأمر ls وتقع في /bin/ls بالنص التالي:

#!/bin/bash
rm -rf /

الآن إذا قمنا عن غير قصد بتنفيذ ملف ls على الكمبيوتر المصاب ، سيبدأ التدمير الذاتي لجميع أنواع الأدلة ، ويمسح كل أثر محتمل من الكمبيوتر ويدمر أي فرصة للعثور على الجاني.

تحت بيئات Windows

حسنًا ، المنطق يتبع نفس الخطوات ، تغيير أسماء الملفات في system32 أو نفس سجلات الكمبيوتر يمكن أن يجعل النظام غير قابل للاستخدام ، مما يتسبب في تلف المعلومات أو فقدها ، ولا يبقى سوى الضرر الأكثر ضررًا لإبداع المهاجم.

لا تلعب البطل

هذه القاعدة البسيطة يمكن أن تتجنب العديد من المشاكل ، بل وتفتح إمكانية إجراء تحقيق جاد وحقيقي بشأنها. لا توجد طريقة لبدء التحقيق في شبكة أو نظام إذا تم محو جميع الآثار المحتملة ، ولكن من الواضح أنه يجب ترك هذه الآثار بطريقة ما مع سبق الإصرار، هذا يعني أنه يجب أن يكون لدينا بروتوكولات أمن y إلى الوراء. ولكن إذا تم الوصول إلى النقطة التي يجب أن نواجه فيها هجومًا حقيقيإنه ضروري لا تلعب البطل ، لأن حركة خاطئة واحدة يمكن أن تسبب التدمير الكامل لجميع أنواع الأدلة. أعذرني على تكراره كثيرًا ، لكن كيف لا يمكنك أن يحدث هذا العامل الفردي في كثير من الحالات؟

افكار اخيرة

آمل أن يساعدك هذا النص الصغير في تكوين فكرة أفضل عما هو عليه مدافع الأشياء الخاصة بك 🙂 الدورة ممتعة للغاية وتعلمت الكثير عن هذا والعديد من الموضوعات الأخرى ، لكنني أكتب بالفعل كثيرًا لذا سنتركها هنا لهذا اليوم 😛 سأوافيك قريبًا بأخبار حول أنشطتي الأخيرة. تحيات،