أمن المعلومات والطب الشرعي الرقمي

السلام عليكم ورحمة الله وبركاته 

الطب الشرعي الرقمي هو يتعلق بالإثبات الموجود في أجهزة الكمبيوتر ووسائط التخزين الرقمية والهدف منه هو النظر إلى الوسائط الرقمية بطريقة سليمة للغاية من الناحية الجنائية بهدف تمييز الحقائق والآراء المتعلقة بالمعلومات الرقمية وحفظها واستعادتها وتحليلها وتقديمها حيث يلعب الطب الشرعي الرقمي دورًا مهمًا في الشركات لأن اعتمادنا على أجهزة الحوسبة والإنترنت يتزايد يومًا بعد يوم ويمكن أن يكون تحقيق الطب الشرعي الرقمي مهمة للغاية تتطلب الكشف عن أدوات وتقنيات ونصائح متنوعة للعثور على الأدلة الرقمية من مسرح الجريمة أو المعدات الرقمية المستخدمة في الجريمة ومع المعدات الرقمية مثل الهواتف الذكية والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر الذكية وما إلى ذلك التي تتمتع بقدرات عملية متزايدة وسرعة حسابية لا يمكن السيطرة على احتمالية استخدام هذه الأجهزة في الجرائم الإلكترونية ولا ينبغي أن يكون لدى المحقق الجنائي فقط فهم عميق لتشغيل هذه الأجهزة والتعرض النشط أيضًا لأدوات استرداد البيانات الصحيحة من أجل الحفاظ على قيمة المعلومات وسلامتها وغالبًا ما يتم استخدام الكمبيوتر عن قصد أو عن طريق الخطأ في جرائم الإنترنت من أمثلة الاستخدام المتعمد هو استخدام جهاز الكمبيوتر الخاص بك لإرسال رسائل بريد كراهية أو وضع نسخة مزورة من شهادة جامعية أو رمز مرخص في جهاز الكمبيوتر الخاص بك ومن أمثلة الاستخدام غير المتعمد هو أن الكمبيوتر الذي تكون ضحية له يحتوي على الفيروس وينتشر في الشبكة وخارج الشبكة مما يتسبب في خسارة كبيرة لشخص ما من الناحية المالية، إن الكمبيوتر غالبًا ما يرتكب جريمة رقمية بشكل مباشر فعلى سبيل المثال يتم استخدام جهاز الكمبيوتر الخاص بك للوصول إلى المعرفة الحساسة والمصنفة وبالتالي يتم توزيع البيانات بواسطة شخص ما داخل أو خارج الشبكة ويمكن أن يكون الاستخدام غير المباشر للكمبيوتر مرة واحدة أثناء تنزيل التعليمات البرمجية حيث يتم تثبيت حصان طروادة داخل الكمبيوتر بينما ينشئ بابًا خلفيًا داخل الشبكة لتسهيل للمتسلل بالدخول عن طريقه حيث يقوم المتسلل بتسجيل الدخول إلى جهاز الكمبيوتر الخاص بك ويستخدمه لارتكاب جرائم الإنترنت ، يلعب محقق الطب الشرعي الرقمي ذو الخبرة دورًا حيويًا في تحديد الهجوم المباشر وغير المباشر ومستشارو الطب الشرعي الرقمي مفيدون أيضًا في استعادة فقدان المعلومات ولمشاهدة العمل السري الصناعي والتزوير ، وغيرها .

-في المؤسسات الضخمة كما هو الحال حاليًا مع اكتشاف الجرائم الإلكترونية من قبل فريق التعامل مع الحوادث والذي يكون مسؤولاً عن مراقبة واكتشاف الأحداث الأمنية على جهاز كمبيوتر أو شبكة يتم اتباع عمليات إدارة الحوادث الأولية حيث يتبع الخطوات التالية:    

1. التحضير: تعد المنظمة نصائح للاستجابة للحوادث وتعين الأدوار ومسؤوليات كل عضو في فريق الاستجابة للحوادث.
2. تحديد الهوية: يتحقق فريق الاستجابة للحوادث مما إذا كانت المناسبة قد حدثت بالفعل أم لا.   
3. فحص السجلات: بمجرد التحقق من انتشار الحدث يجب تقييم تأثير الهجوم.    
4. الاحتواء: يتم التخطيط لمسار العمل طويل المدى للرد على الحادث خلال هذه الخطوة.    
5. الاستئصال: خلال هذه الخطوة يتم التخطيط لإستراتيجية محو أو تخفيف السبب وراء التهديد.    
6. التعافي: وهي طريقة للعودة إلى حالة التشغيل التقليدية عند الإنتهاء من الهجوم.    
7. الدرس المستفاد: سيتم توثيق الهجوم حتى يمكن التعامل مع مثل هذه الأشياء في المستقبل. 

-الخطوة الثانية في هذه الطريقة هي إجراء تحقيق جنائي على الكمبيوتر للبحث عن دليل على الجريمة والذي يتم إجراؤه عادةً بواسطة شركات تابعة لجهات خارجية ويتضمن تحقيق الطب الشرعي الرقمي الخطوات التالية:  

1.   إثبات الحادث والأدلة: غالبًا ما تكون هذه هي الخطوة الأساسية التي يقوم بها مسؤول النظام في أي مكان يحاول فيه جمع أكبر قدر ممكن من المعلومات فيما يتعلق بالحادثة فبدعم هذه المعلومات يتم تقييم نطاق وشدة الهجوم وبمجرد اكتشاف دليل الهجوم يتم أخذ نسخة احتياطية من المطابقة لغرض التحقيق.    
2. جمع الأدلة والاحتفاظ بها: لن تتمكن أدوات متنوعة مثل Helix و WinHex و FKT Imager وغيرها من التقاط المعلومات فبمجرد الحصول على نسخة احتياطية من المعلومات يتم حجز الدليل وبالتالي النسخ الاحتياطي ويتم حساب تجزئة MD5 (ملخص الرسالة) للنسخة الاحتياطية ومطابقتها مع أول تجزئة لاختبار سلامة المعلومات ويتم أيضًا التقاط مصادر المعرفة المهمة الأخرى مثل سجل النظام ومعلومات الشبكة والسجلات التي تم إنشاؤها بواسطة أنظمة كشف التسلل (IDS) ومعلومات المنفذ والطريقة.    
3. التحقيق: يتم إعادة تشكيل صورة القرص من النسخة الاحتياطية وبالتالي يتم إجراء التحقيق من خلال مراجعة السجلات وملفات النظام والملفات المحذوفة والتحديثات واستخدامات المعالج وسجلات العمليات والملفات المؤقتة والملفات السرية المحمية والمشفرة والصور ومقاطع الفيديو و ملفات المعرفة لرسالة إخفاء المعلومات التي يمكن بلوغها ، إلخ.
4. التلخيص والعرض التقديمي: يتم تقديم ملخص الحادث بترتيب زمني ودعم التحقيق يتم استخلاص النتائج وشرح السبب الممكن تحقيقه.

وعند الانتهاء من تحقيق الطب الشرعي الرقمي يجب تطبيق القواعد والإجراءات وخاصة عند الاستيلاء على الدليل يجب التأكد من أن الإجراءات التي يتم اتخاذها للحصول على المعلومات لا تعدل الدليل ويجب الحفاظ على سلامة المعلومات ويجب التأكد من أن الأجهزة المستخدمة لالتقاط النسخة الاحتياطية خالية من الفيروسات وعلاوة على ذلك يجب توثيق جميع الأنشطة المرتبطة بمصادرة الإثبات الرقمي أو الوصول إليه أو تخزينه أو نقله بشكل كامل والحفاظ عليها والحصول عليها للمراجعة فالوقاية عادة ما تكون أفضل من العلاج حيث يُنصح دائمًا بضبط نظام اكتشاف التطفل مثل جدار الحماية لإجراء اختبارات اختراق على شبكتك لتجنب  المخترقين والمتسللين ولكن أخيرًا وليس آخرًا بلغ عن الجريمة.

المصدر هنا.