دیجیتال فارنزیک و پاسخ به حوادث(DFIR) یکی از فیلدهای حوزه امنیت سایبری بوده که برروی شناسایی، تحقیق و بررسی و کاهش ریسک حملات سایبری تمرکز دارد. تیم DFIR از دو بخش تشکیل شده است:
Digital Forensics
علم فارنزیک به بررسی و تحلیل داده های سیستم، فعالیت های کاربر و شواهد موجود دیجیتالی جهت بررسی حملات در حال اجرا و شناسایی اینکه چه کسی پشت حمله است، کمک میکند.
Incident Response
فرایندی که به سازمان ها جهت مهیاسازی، شناسایی، جلوگیری و بازگردانی داده های در معرض افشا و ریسک کمک میکند.
با توجه به گسترش Endpointها و تشدید حملات امنیت سایبری به طور کلی، DFIR به یک قابلیت مرکزی در استراتژی امنیتی سازمان و قابلیتهای شکار تهدید تبدیل شده است. تغییر به سمت فضای ابری و همچنین تسریع در کار مبتنی بر راه دور، نیاز سازمانها را برای اطمینان از محافظت در برابر انواع مختلف تهدیدات در همه دستگاههایی که به شبکه متصل هستند، افزایش داده است.
اگرچه DFIR به طور سنتی یک عملکرد امنیتی واکنشی(Reactive) است، ابزارهای پیچیده و فناوری پیشرفته، مانند هوش مصنوعی (AI) و یادگیری ماشین(ML)، برخی سازمانها را قادر میسازد تا از فعالیت DFIR برای تأثیرگذاری و اطلاعرسانی اقدامات پیشگیرانه(Proactive) استفاده کنند. در چنین مواردی، DFIR همچنین می تواند جزء استراتژی امنیتی پیشگیرانه در نظر گرفته شود.
فارنزیک اطلاعات و شواهد لازم را ارائه می کند که تیم واکنش اضطراری رایانه (CERT) یا تیم پاسخگویی به حوادث امنیتی رایانه (CSIRT) برای پاسخ به یک حادثه امنیتی به آن نیاز دارند. فارنزیک ممکن است شامل موارد زیر باشد:
فارنزیک سیستم فایل: تجزیه و تحلیل سیستم های فایل در Endpointها برای نشانه های مشکوک.
فارنزیک مموری: تجزیه و تحلیل حافظه برای نشانگرهای حمله که ممکن است در سیستم فایل ظاهر نشوند.
فارنزیک شبکه: بررسی فعالیت های شبکه، از جمله ایمیل، پیام رسانی و مرورگر وب، برای شناسایی یک حمله، درک تکنیک های حمله سایبری و سنجش دامنه حادثه.
تجزیه و تحلیل گزارش: بررسی و تفسیر سوابق یا گزارشهای فعالیت برای شناسایی فعالیتهای مشکوک یا رویدادهای غیرعادی.
دیجیتال فارنزیک علاوه بر کمک به تیم در پاسخ به حملات، نقش مهمی در فرآیند اصلاح کامل دارد. دیجیتال فارنزیک همچنین ممکن است شامل ارائه شواهدی برای حمایت از شواهد یا اسنادی برای نشان دادن به Auditor باشد.
علاوه بر این، تجزیه و تحلیل تیم دیجیتال فارنزیک می تواند به شکل گیری و تقویت اقدامات امنیتی پیشگیرانه کمک کند. این می تواند سازمان را قادر سازد تا ریسک کلی را کاهش دهد و همچنین زمان پاسخگویی در آینده را سرعت بخشد.
در حالی که دیجیتال فارنزیک و پاسخ به حادثه دو کارکرد مجزا هستند، اما ارتباط نزدیکی با هم دارند و از جهاتی به یکدیگر وابسته هستند. اتخاذ یک رویکرد یکپارچه به DFIR چندین مزیت مهم را برای سازمان ها فراهم می کند، از جمله توانایی: