لخّصلي

17 الموضوع الأول: مفهوم الحوادث الأمنية وتصنيفها ( حدث أو مجموعة أحداث غير مرغوب فيها أو غير متوقعة تهدد أمان المعلومات أو تؤثر سلباً على العمليات التجارية للمؤسسة يعطل أو يهدد استمرارية الأعمال يتطلب إجراءات فورية للتعامل معه أي نشاط قابل للملاحظة في النظام أو الشبكة ًقد يكون طبيعياً أو مشبوها لا يتطلب بالضرورة استجابة فورية :)Security Incident( الحادث الأمني ًحدث أو مجموعة أحداث تشكل تهديداً حقيقيا له تأثير سلبي مؤكد أو محتمل الوصول غير المصرح به للأنظمة أو الشبكات استخدام بيانات اعتماد مسروقة أو مخترقة اختراق موقع إلكتروني وتعديل محتواه الوصول غير المصرح به لقاعدة بيانات العملاء تثبيت برمجيات ضارة على أجهزة الشركة استخدام حسابات موظفين سابقين لم يتم إلغاؤها :)Malware( البرمجيات الضارة . الفيروسات التي تصيب الملفات والبرامج ًالديدان التي تنتشر عبر الشبكة تلقائيا أحصنة طروادة التي تخفي وظائفها الحقيقية برمجيات الفدية التي تشفر الملفات وتطلب فدية انتشار فيروس في شبكة الشركة يعطل الأجهزة برنامج فدية يشفر ملفات مهمة ويطلب دفع مبلغ مال حصان طروادة يسرق كلمات المرور والمعلومات الحساسة دودة تستنزف موارد الشبكة وتبطئ الأداء :)DoS/DDoS( هجمات الحرمان من الخدمة إغراق الخوادم بطلبات مزيفة استنزاف موارد النظام (المعالج، منع المستخدمين الشرعيين من الوصول للخدمات هجوم على موقع التجارة الإلكترونية يمنع العملاء من الشراء استهداف أنظمة الدفع الإلكتروني وتعطيلها هجوم على البنية التحتية للاتصالات :)Data Breaches( تسريب البيانات . سرقة البيانات الشخصية أو المالية للعملاء انتهاك خصوصية الموظفين أو العملاء سرقة قاعدة بيانات تحتوي على معلومات بطاقات ائتمان تسريب رسائل بريد إلكتروني سرية للإدارة العليا نشر معلومات شخصية للعملاء على الإنترنت سرقة تصاميم منتجات أو خطط استراتيجية يمكن التعامل معه بالموارد العادية إصابة جهاز واحد بفيروس، تأثير كبير على العمليات الأساسية تسريب بيانات عملاء تأثير شديد على استمرارية الأعمال مثال: هجوم فدية على الأنظمة الرئيسية، يشمل المجرمين والهاكرز والمنافسين تحديد الأولويات في حالة حوادث متعددة عدد المستخدمين المتأثرين CSIRT( الموضوع الثاني: إنشاء فريق الاستجابة للحوادث الأمنية تعريف فريق الاستجابة للحوادث Computer Security Incident Response Team - فريق الاستجابة للحوادث الأمنية هو مجموعة متخصصة من الأفراد المدربين على التعامل مع الحوادث الأمنية تقليل تأثير الحوادث الأمنية على المؤسسة من خلال الاستجابة السريعة خبرة واسعة في أنواع مختلفة من الحوادث تكلفة أقل للمؤسسات الصغيرة قد يحتاج وقت أطول للاستجابة يجمع بين الموارد الداخلية والخارجية فريق داخلي صغير مع دعم خارجي عند الحاجة توازن بين التكلفة والفعالية مرونة في التعامل مع حوادث مختلفة الأحجام التنسيق بين أعضاء الفريق المختلفين التواصل مع الإدارة العليا والجهات الخارجية مهارات قيادية وإدارية قوية قدرة على العمل تحت الضغط تحديد سبب الحادث وطريقة حدوثه خبرة تقنية عميقة في أنظمة التشغيل والشبكات مهارات التحليل الجنائي الرقمي قدرة على التفكير التحليلي والمنطقي :)Systems Engineer( مهندس الأنظمة الحلول التقنية للاحتواء تطبيق مهارات استكشاف الأخطاء وإصلاحها قدرة على العمل بسرعة ودقة إعداد البيانات الصحفية عند الحاجة إدارة التواصل مع العملاء والشركاء مهارات تواصل وكتابة ممتازة قدرة على التعامل مع الإعلام- :)Legal Advisor( المستشار القانوني تقديم المشورة القانونية أثناء الحادث فهم أنواع الحوادث الأمنية المختلفة التدرب على استخدام الأدوات المتخصصة تمارين على إدارة الأزمات تطوير مهارات التحليل الجنائي التدريب على التعامل مع الإعلام الأدوات والموارد المطلوبة مكان مخصص لإدارة الأزمات 18 الموضوع الثالث: مراحل الاستجابة للحوادث الأمنية ( NIST) المعهد الوطني للمعايير والتقنية الأمريكي النشاط ما بعد Containment, المرحلة الأولى: التحضير :وضع السياسات والإجراءات تطوير سياسة شاملة للاستجابة للحوادث تحديد أنواع الحوادث وإجراءات التعامل مع كل نوع اختيار وضع جداول المناوبة والاستعداد :إعداد الأدوات والموارد شراء وتكوين أدوات التحليل والاستجابة SOC) تجهيز مركز عمليات الأمان : التدريب والتوعية إجراء تمارين محاكاة دورية تطوير مواد تدريبية وإرشادية Detection & Analysis) المرحلة الثانية: الكشف والتحليل أنظمة كشف ومنع التطفل تقارير من الموظفين عن التأكد من صحة التنبيه أو التقرير الحادث جمع المعلومات الأولية عن :التحليل التفصيلي تقييم نطاق التأثير والأنظمة المتضررة تحديد مصدر الهجوم أو سبب الحادث تسجيل جميع المعلومات والأدلة إنشاء خط زمني للأحداث الاحتواء الهدف تطبيق قواعد جدار الحماية الطارئة : الاحتواء طويل المدى تعزيز المراقبة والحماية إزالة الحسابات المخترقة أو المشبوهة : الأنشطة التحقق من سلامة البيانات والخدمات المرحلة الرابعة: النشاط ما بعد الحادث تحديد نقاط القوة والضعف تقدير التكاليف والأضرار الإجمالية تحديث السياسات والإجراءات مشاركة الخبرات مع المجتمع الأمني دقيقة تعريف التحليل الجنائي الرقمي التحليل الجنائي الرقمي تحديد هوية المهاجم أو المتسبب جمع جميع الأدلة المحتملة عدم إغفال أي مصدر للمعلومات : الموضوعية أنواع الأدلة الرقمية البيانات المؤقتة والمخبئة جمع المعلومات الأولية فحص الملفات والبيانات المجمعة ربط الأدلة المختلفة ببعضها توثيق النتائج بطريقة واضحة إعداد تقرير قابل للفهم من غير المتخصصين منصة شاملة للتحليل الجنائي :Autopsy حل شامل للتحليل الجنائي

ة
17 الموضوع الأول: مفهوم الحوادث الأمنية وتصنيفها (
تعريف الحادث الأمني
حدث أو مجموعة أحداث غير مرغوب فيها أو
هو أي
(Security Incident)
الحادث الأمني
.
غير متوقعة تهدد أمان المعلومات أو تؤثر سلباً على العمليات التجارية للمؤسسة
:الخصائص الأساسية للحادث الأمني
يهدد السرية أو التكامل أو الإتاحة
:التأثير على الأمان
ينتهك السياسات أو القوانين
:
عدم المشروعية
يعطل أو يهدد استمرارية الأعمال
:التأثير على العمليات
يتطلب إجراءات فورية للتعامل معه
:
الحاجة للاستجابة

الفرق بين الحدث والحادث
:)Security Event( الحدث الأمني
أي نشاط قابل للملاحظة في النظام أو الشبكة
ًقد يكون طبيعياً أو مشبوها
لا يتطلب بالضرورة استجابة فورية
محاولة دخول فاشلة، تحديث برنامج، إعادة تشغيل خادم
مثال:

:)Security Incident( الحادث الأمني
ًحدث أو مجموعة أحداث تشكل تهديداً حقيقيا

يتطلب استجابة فورية ومنسقة

له تأثير سلبي مؤكد أو محتمل

مثال: اختراق ناجح، فيروس منتشر، تسريب بيانات

تصنيف الحوادث الأمنية
:
نوع التهديد حسب
:)Intrusions( الاختراقات
.1
الوصول غير المصرح به للأنظمة أو الشبكات
استغلال الثغرات الأمنية في البرمجيات
استخدام بيانات اعتماد مسروقة أو مخترقة
تصعيد الصلاحيات داخل النظام

: أمثلة
اختراق موقع إلكتروني وتعديل محتواه
الوصول غير المصرح به لقاعدة بيانات العملاء
تثبيت برمجيات ضارة على أجهزة الشركة
استخدام حسابات موظفين سابقين لم يتم إلغاؤها

:)Malware( البرمجيات الضارة .2
الفيروسات التي تصيب الملفات والبرامج

ًالديدان التي تنتشر عبر الشبكة تلقائيا
أحصنة طروادة التي تخفي وظائفها الحقيقية
برمجيات الفدية التي تشفر الملفات وتطلب فدية

: أمثلة
انتشار فيروس في شبكة الشركة يعطل الأجهزة
برنامج فدية يشفر ملفات مهمة ويطلب دفع مبلغ مال
حصان طروادة يسرق كلمات المرور والمعلومات الحساسة
دودة تستنزف موارد الشبكة وتبطئ الأداء

:)DoS/DDoS( هجمات الحرمان من الخدمة
.3
إغراق الخوادم بطلبات مزيفة

) استنزاف موارد النظام (المعالج، الذاكرة، النطاق الترددي
منع المستخدمين الشرعيين من الوصول للخدمات

تعطيل الخدمات الحرجة للمؤسسة

: أمثلة
هجوم على موقع التجارة الإلكترونية يمنع العملاء من الشراء
البريد الإلكتروني بالرسائل المزيفة
إغراق خوادم
استهداف أنظمة الدفع الإلكتروني وتعطيلها
هجوم على البنية التحتية للاتصالات

:)Data Breaches( تسريب البيانات .4
الكشف غير المصرح به للمعلومات الحساسة
سرقة البيانات الشخصية أو المالية للعملاء
الملكية الفكرية
تسريب أسرار الشركة أو
انتهاك خصوصية الموظفين أو العملاء

: أمثلة
سرقة قاعدة بيانات تحتوي على معلومات بطاقات ائتمان
تسريب رسائل بريد إلكتروني سرية للإدارة العليا
نشر معلومات شخصية للعملاء على الإنترنت
سرقة تصاميم منتجات أو خطط استراتيجية

: حسب مستوى الخطورة
:)Low( المستوى المنخفض
تأثير محدود على العمليات
لا يهدد البيانات الحساسة
يمكن التعامل معه بالموارد العادية
مثال: محاولة دخول فاشلة، بريد مزعج

:)Medium( المستوى المتوسط
تأثير ملحوظ على بعض العمليات
قد يهدد بعض البيانات غير الحرجة
يحتاج لتدخل متخصص
إصابة جهاز واحد بفيروس، تعطل خدمة غير حرجة
مثال:

:)High( المستوى العال
تأثير كبير على العمليات الأساسية
يهدد البيانات الحساسة أو الحرجة
يحتاج لاستجابة فورية ومنسقة
مثال: اختراق نظام مال، تسريب بيانات عملاء

:)Critical( المستوى الحرج
تأثير شديد على استمرارية الأعمال
يهدد سمعة المؤسسة أو وجودها
يحتاج لتدخل الإدارة العليا
مثال: هجوم فدية على الأنظمة الرئيسية، تسريب واسع للبيانات

: حسب المصدر
:)Internal( الداخلي
ينشأ من داخل المؤسسة
قد يكون مقصوداً أو غير مقصود
يشمل الموظفين والمقاولين والشركاء
يسرق بيانات، خطأ في التكوين، إهمال أمني
أمثلة: موظف

:)External( الخارجي
ينشأ من خارج المؤسسة
ًعادة ما يكون مقصوداً وضارا
يشمل المجرمين والهاكرز والمنافسين
أمثلة: هجمات إلكترونية، فيروسات، تصيد إلكتروني

أهمية التصنيف السريع والدقيق
: فوائد التصنيف
الاستجابة المطلوب
تحديد مستوى
تخصيص الموارد المناسبة
تطبيق الإجراءات الصحيحة
تحديد الأولويات في حالة حوادث متعددة

: معايير التصنيف
نوع البيانات المتأثرة
عدد المستخدمين المتأثرين
مدة التعطل المتوقعة
التأثير على السمعة والثقة
المتطلبات القانونية والتنظيمية

)CSIRT( الموضوع الثاني: إنشاء فريق الاستجابة للحوادث الأمنية
) دقيقة 16(
تعريف فريق الاستجابة للحوادث
(Computer Security Incident Response Team -
فريق الاستجابة للحوادث الأمنية
هو مجموعة متخصصة من الأفراد المدربين على التعامل مع الحوادث الأمنية
CSIRT)
.بطريقة منسقة وفعالة
تقليل تأثير الحوادث الأمنية على المؤسسة من خلال الاستجابة السريعة
:الهدف الأساسي
.والمنسقة والفعالة
أنواع فرق الاستجابة
(Internal CSIRT):
الفريق الداخلي
يتكون من موظفي المؤسسة
متاح على مدار الساعة
فهم عميق لبيئة المؤسسة
للإنشاء والصيانة
تكلفة عالية

(External CSIRT):
الفريق الخارجي
خدمة مقدمة من شركة متخصصة
خبرة واسعة في أنواع مختلفة من الحوادث
تكلفة أقل للمؤسسات الصغيرة
قد يحتاج وقت أطول للاستجابة

(Hybrid CSIRT):
الفريق المختلط
يجمع بين الموارد الداخلية والخارجية

فريق داخلي صغير مع دعم خارجي عند الحاجة

توازن بين التكلفة والفعالية

مرونة في التعامل مع حوادث مختلفة الأحجام

تكوين الفريق والأدوار
(Incident Commander):
قائد الفريق
المسؤول الأول عن إدارة الحادث
اتخاذ القرارات السريعة والحاسمة
التنسيق بين أعضاء الفريق المختلفين
التواصل مع الإدارة العليا والجهات الخارجية

: المهارات المطلوبة
خبرة واسعة في أمن المعلومات
مهارات قيادية وإدارية قوية
قدرة على العمل تحت الضغط
مهارات تواصل ممتازة

(Security Analyst):
محلل الأمان
تحليل الحادث وتحديد نطاقه
جمع وحفظ الأدلة الرقمية
تحديد سبب الحادث وطريقة حدوثه
تقييم الأضرار والمخاطر

: المهارات المطلوبة
خبرة تقنية عميقة في أنظمة التشغيل والشبكات

مهارات التحليل الجنائي الرقمي
فهم أدوات الأمان والمراقبة
قدرة على التفكير التحليلي والمنطقي

:)Systems Engineer( مهندس الأنظمة

الحلول التقنية للاحتواء تطبيق
إصلاح الأنظمة المتضررة

تطبيق التحديثات والترقيعات الأمنية

استعادة الخدمات المتوقفة

: المهارات المطلوبة
خبرة في إدارة الأنظمة والشبكات
مهارات استكشاف الأخطاء وإصلاحها
فهم البنية التحتية للمؤسسة
قدرة على العمل بسرعة ودقة

(Communications Lead):
مسؤول الاتصالات
إدارة التواصل الداخلي والخارجي
إعداد البيانات الصحفية عند الحاجة
التنسيق مع الجهات القانونية والتنظيمية
إدارة التواصل مع العملاء والشركاء

: المهارات المطلوبة
مهارات تواصل وكتابة ممتازة

فهم للجوانب القانونية والتنظيمية

في إدارة الأزمات خبرة
قدرة على التعامل مع الإعلام-
:)Legal Advisor( المستشار القانوني
تقديم المشورة القانونية أثناء الحادث

ضمان الامتثال للقوانين واللوائح

إدارة التعامل مع الجهات التنظيمية

تقييم المسؤوليات القانونية المحتملة

إعداد وتدريب الفريق
:الأساسي
التدريب
فهم أنواع الحوادث الأمنية المختلفة
تعلم إجراءات الاستجابة المعتمدة
التدرب على استخدام الأدوات المتخصصة
فهم البنية التحتية للمؤسسة

: التدريب المتقدم
محاكاة حوادث أمنية واقعية
تمارين على إدارة الأزمات
تطوير مهارات التحليل الجنائي
التدريب على التعامل مع الإعلام

: التدريب المستمر
مواكبة أحدث التهديدات والتقنيات
تحديث المعرفة بالقوانين واللوائح
تبادل الخبرات مع فرق أخرى
تقييم وتحسين الأداء بانتظام

الأدوات والموارد المطلوبة
:أدوات التحليل
برامج تحليل السجلات

أدوات التحليل الجنائي الرقمي

مراقبة الشبكة والأنظمة أنظمة

أدوات كشف البرمجيات الضارة

:أدوات الاتصال
نظام تنبيهات فوري
قنوات اتصال آمنة ومشفرة
أنظمة مؤتمرات فيديو وصوت
تطبيقات المراسلة الآمنة

: الموارد اللوجستية
مكان مخصص لإدارة الأزمات
أجهزة حاسوب احتياطية
وصول آمن للأنظمة الحرجة
مصادر طاقة احتياطية

) دقيقة
18 الموضوع الثالث: مراحل الاستجابة للحوادث الأمنية (
للاستجابة للحوادث
NIST
نموذج
وضع نموذجاً معيارياً للاستجابة
(NIST)
المعهد الوطني للمعايير والتقنية الأمريكي
:للحوادث الأمنية يتكون من أربع مراحل أساسية
الاحتواء
النشاط ما بعد
(Detection & Analysis) 3.
الكشف والتحليل
(Preparation) 2.
التحضير
.1
(Containment, Eradication & Recovery) 4.
والقضاء والاستعادة
(Post-Incident Activity)
الحادث
(Preparation)
المرحلة الأولى: التحضير
.إعداد المؤسسة للتعامل الفعال مع الحوادث الأمنية قبل حدوثها:
الهدف
:
الأنشطة الرئيسية
:وضع السياسات والإجراءات
تطوير سياسة شاملة للاستجابة للحوادث
تحديد أنواع الحوادث وإجراءات التعامل مع كل نوع
وضع معايير تصنيف الحوادث حسب الخطورة
تحديد سلاسل الإبلاغ والتصعيد

:إنشاء فريق الاستجابة
وتدريب أعضاء الفريق
اختيار
تحديد الأدوار والمسؤوليات بوضوح
وضع جداول المناوبة والاستعداد
إنشاء قوائم اتصال محدثة

:إعداد الأدوات والموارد
شراء وتكوين أدوات التحليل والاستجابة
إعداد مختبر آمن لتحليل البرمجيات الضارة
(SOC)
تجهيز مركز عمليات الأمان
إنشاء قواعد بيانات للتهديدات والحلول

: التدريب والتوعية
تدريب فريق الاستجابة على السيناريوهات المختلفة
رفع الوعي الأمني لجميع الموظفين
إجراء تمارين محاكاة دورية
تطوير مواد تدريبية وإرشادية

(Detection & Analysis)
المرحلة الثانية: الكشف والتحليل
.اكتشاف الحوادث الأمنية بسرعة وتحليلها بدقة لفهم طبيعتها ونطاقها:
الهدف
: مصادر الكشف
: الأنظمة التلقائية
(IDS/IPS)
أنظمة كشف ومنع التطفل
برامج مكافحة الفيروسات والبرمجيات الضارة
أنظمة مراقبة الشبكة والأداء
أدوات تحليل السجلات والأحداث

: التقارير البشرية
أنشطة مشبوهة
تقارير من الموظفين عن
شكاوى العملاء من مشاكل في الخدمة
تنبيهات من الشركاء أو الموردين
إشعارات من الجهات الأمنية الخارجية

: خطوات التحليل
:التحقق الأول
التأكد من صحة التنبيه أو التقرير

ًتحديد ما إذا كان الحدث يشكل حادثاً أمنياً فعليا

الحادث جمع المعلومات الأولية عن

تقييم الحاجة لتفعيل فريق الاستجابة

:التحليل التفصيلي
تحديد نوع الحادث وطريقة حدوثه
تقييم نطاق التأثير والأنظمة المتضررة

تحديد مصدر الهجوم أو سبب الحادث
تقدير الأضرار المحتملة والفعلية

:التوثيق
تسجيل جميع المعلومات والأدلة

التقاط لقطات شاشة وحفظ الملفات المهمة

توثيق الخطوات المتخذة والنتائج

إنشاء خط زمني للأحداث

المرحلة الثالثة: الاحتواء والقضاء والاستعادة
(Containment):
الاحتواء
.منع انتشار الحادث وتقليل الأضرار الإضافية :
الهدف
: الاحتواء قصير المدى
عزل الأنظمة المصابة عن الشبكة

ًالخدمات المتأثرة مؤقتا إيقاف

تغيير كلمات المرور المشبوهة

تطبيق قواعد جدار الحماية الطارئة

: الاحتواء طويل المدى
تطبيق حلول مؤقتة لاستمرار العمليات الحرجة
إنشاء أنظمة بديلة أو احتياطية
تعزيز المراقبة والحماية
التحضير لمرحلة القضاء على التهديد

(Eradication):القضاء
.إزالة التهديد نهائياً من البيئة
:
الهدف
: الأنشطة
حذف البرمجيات الضارة من الأنظمة
إغلاق الثغرات الأمنية المستغلة
إزالة الحسابات المخترقة أو المشبوهة
تنظيف الأنظمة المصابة أو إعادة بنائها

(Recovery):
الاستعادة
.للعمل الطبيعي بأمان
إعادة الأنظمة والخدمات
:
الهدف
: الأنشطة
استعادة الأنظمة من النسخ الاحتياطية النظيفة
تطبيق جميع التحديثات والترقيعات الأمنية
تعزيز المراقبة للأنظمة المستعادة
التحقق من سلامة البيانات والخدمات

المرحلة الرابعة: النشاط ما بعد الحادث
.التعلم من الحادث وتحسين قدرات الاستجابة المستقبلية
:
الهدف
:
الأنشطة الرئيسية
:إعداد التقرير النهائي
توثيق تفاصيل الحادث والاستجابة
تحليل فعالية الإجراءات المتخذة
تحديد نقاط القوة والضعف

تقدير التكاليف والأضرار الإجمالية

: استخلاص الدروس المستفادة
المطلوبة
تحديد الأخطاء والتحسينات
تحديث السياسات والإجراءات
تطوير تدريبات جديدة أو محسنة
تحسين الأدوات والتقنيات المستخدمة

: المتابعة والتحسين
تطبيق التحسينات المحددة
مراقبة فعالية التغييرات
مشاركة الخبرات مع المجتمع الأمني
التحضير لحوادث مماثلة في المستقبل

) دقيقة
15 الموضوع الرابع: التحليل الجنائي الرقمي الأساسي (
تعريف التحليل الجنائي الرقمي
هو عملية علمية منهجية لجمع وحفظ
(Digital Forensics)
التحليل الجنائي الرقمي
وتحليل الأدلة الرقمية من الأجهزة الإلكترونية والأنظمة الحاسوبية لاستخدامها في
.القانونية التحقيقات الأمنية أو
: الأهداف الأساسية
تحديد ما حدث بالضبط أثناء الحادث
معرفة كيف حدث الاختراق أو الحادث
تحديد هوية المهاجم أو المتسبب
ًجمع أدلة قابلة للاستخدام قانونيا

مبادئ التحليل الجنائي الرقمي
:
الحفاظ على سلامة الأدلة
عدم تعديل الأدلة الأصلية
طبق الأصل للتحليل
إنشاء نسخ
توثيق جميع الخطوات والإجراءات
(Chain of Custody)
ضمان سلسلة الحفظ

:
الشمولية
جمع جميع الأدلة المحتملة
عدم إغفال أي مصدر للمعلومات
النظر في السياق الكامل للحادث
ربط الأدلة المختلفة ببعضها البعض

: الموضوعية
تجنب الافتراضات المسبقة

الاعتماد على الأدلة والحقائق فقط

توثيق النتائج بطريقة محايدة

قبول النتائج حتى لو كانت غير متوقعة

أنواع الأدلة الرقمية
:أدلة الأقراص الصلبة
الملفات المحذوفة أو المخفية
سجلات النظام والتطبيقات
البيانات الوصفية للملفات
المساحات غير المخصصة في القرص

: الذاكرة أدلة
العمليات قيد التشغيل
اتصالات الشبكة النشطة
كلمات المرور في الذاكرة
البيانات المؤقتة والمخبئة

:أدلة الشبكة
سجلات حركة المرور الشبكية
ومعلومات الاتصال
IP عناوين
محتوى الحزم المنقولة
سجلات أجهزة الشبكة

عملية التحليل الجنائي
.1
: التحضير
مكان الحادث
تأمين
توثيق الحالة الأولية للأنظمة
جمع المعلومات الأولية
إعداد الأدوات والمعدات اللازمة

:جمع الأدلة
.2
إنشاء نسخ طبق الأصل من الأقراص
جمع عينات من الذاكرة
حفظ سجلات الأنظمة والتطبيقات
توثيق جميع الإجراءات

: التحليل .3
فحص الملفات والبيانات المجمعة
البحث عن آثار النشاط المشبوه
إعادة بناء تسلسل الأحداث
ربط الأدلة المختلفة ببعضها

التقرير .4
:
توثيق النتائج بطريقة واضحة
تقديم الاستنتاجات المدعومة بالأدلة
شرح الطرق والأدوات المستخدمة

إعداد تقرير قابل للفهم من غير المتخصصين
أدوات التحليل الجنائي
:أدوات مفتوحة المصدر

منصة شاملة للتحليل الجنائي :Autopsy
تحليل ذاكرة النظام
Volatility:

تحليل حركة المرور الشبكية
Wireshark:

كشف وتصنيف البرمجيات الضارة
YARA:

:أدوات تجارية
حل شامل للتحليل الجنائي
EnCase:
أدوات متقدمة للتحليل
FTK (Forensic Toolkit):
تحليل سريع وفعال
X-Ways Forensics:
متخصص في الأجهزة المحمولة
Cellebrite: