EnCase چیست و چه قابلیت‌هایی دارد؟

Encase یکی از محبوب‌ترین ابزارها برای جرم‌یابی سایبری (فارنزیک) است. برای آشنایی با قابلیت‌ها و امکانات Encase و آموزش گرفتن Image از دیسک سخت با استفاده از EnCase Forensic این مقابله را بخوانید.

یکی از مؤلفه‌های مهم امنیت سایبری که معمولا مورد غفلت سازمان‌ها قرار می‌گیرد، فارنزیک (Forensics) یا جرم‌یابی سایبری است که یکی از اقدامات مهم در پاسخ به حوادث (Incident Response) محسوب می‌شود. همه ما وقتی از اینترنت و دستگاه‌های الکترونیکی مثل گوشی‌های موبایل و رایانه‌ها استفاده می‌کنیم، ردپاهایی دیجیتالی مثل فایل فرگمنت‌ها (file fragments)، لاگ‌ها، برچسب‌های زمانی (timestamps)، متادیتا و... از خودمان به جای می‌گذاریم. هکرها نیز از این قاعده مستثنی نیستند و پس از هر حمله سایبری، ردپاهایی از خودشان به جای می‌گذارند. علم فارنزیک به رهگیری این رد پاها برای پیدا کردن منشاء حمله و اقدامات حقوقی و قضایی متعاقب کمک می‌کند. البته پیدا کردن منشاء حمله حتی اگر منجر به شناسایی و اقدامات قانونی علیه هکرها نشود با فراهم آوردن اطلاعاتی در رابطه با ابزارها و روش‌های مورد استفاده هکرها در حملات سایبری به پیشگیری از حملات بعدی کمک می‌کند.

یکی از ابزارهای محبوب و پرکاربرد در فارنزیک، EnCase Cybersecurity نام دارد که می‌توان آن را مهم‌ترین ابزار پاسخ به تهدیدات نقطه پایانی و یکی از بهترین نرم‌افزارهای بازرسی دیتا (data auditing) دانست شرکت Guidance Software در سال ۱۹۹۸ آن را با هدف کاهش هزینه‌ها و پیچیدگی‌های مرتبط با فرایند پاسخ به تهدیدات و کاهش ریسک یا سرقت داده‌های حساس، منتشر کرد. در سال ۲۰۱۷ شرکت OpenText با خرید سهام شرکت Guidance Software ادامه پروژه EnCase را در دست گرفت. در این مقاله برای شما توضیح می‌دهیم که EnCase چیست و چه کاربردهایی در فارنزیک و پاسخ به تهدیدات دارد. همچنین در این مقاله طریقه گرفتن Image از دیسک سخت با استفاده از EnCase را آموزش خواهیم داد. با سایبرنو همراه باشید.

در این مقاله می‌خوانید:

۱- EnCase چیست؟

۲- EnCase چه قابلیت‌هایی دارد؟

۳- آموزش گرفتن Image از دیسک سخت با EnCase

EnCase چیست؟

EnCase Endpoint Security نوعی نرم‌افزار جرم‌یابی سایبری است که امکان تحقیق، شناسایی و اولویت‌بندی ردپاهای سایبری در رایانه‌ها و دستگاه‌های تلفن همراه را برای پیدا کردن منشاء حمله و ثبت مدارک جرائم سایبری، فراهم می‌آورد.  این نرم‌افزار زمانی حداکثر قابلیت‌های خودش را نشان می‌دهد که با ابزارهای هشدار و مدیریت حادثه (SIEM) مورد استفاده سازمان شما یکپارچه شود. در این صورت، به محض اینکه هشدار یا رویدادی رخ دهد، پاسخ آنی EnCase به صورت خودکار اطلاعات نقطه پایانی را پیش از اینکه فرصت ناپدید شدن و پاک کردن رد پاهایش را پیدا کند، ثبت می‌کند و این اطلاعات را در اختیار شما قرار می‌دهد تا به سرعت و به دقت مشخص شود که چه اتفاقی رخ داده است. 

این ابزار فارنزیک از بررسی اولیه تا اولویت‌بندی برای رسیدگی به حوادث سایبری، به طور کامل به تهدیدات نقطه پایانی پاسخ می‌دهد و سازمان‌های دولتی، مؤسسه‌های مالی، شرکت‌های بزرگ خرده‌فروشی و سازمان‌های رسانه‌ای از آن به صورت یکپارچه با سیستم‌های هشدار یا مدیریت رویداد خود برای پاسخ آنی به تهدیدات استفاده می‌کنند.

این نرم‌افزار که بر اساس نرم‌افزار مطرح و دارای استاندارد طلایی EnCase Forensic ساخته شده است، تهدیدات ناشناخته، بدافزارهای مرتبط با حوادث سایبری و داده‌های حساس موجود در نقاط پایانی را شناسایی می‌کند.
از شناخته‌شده‌ترین مشتریان EnCase می‌توان به موارد زیر اشاره کرد:

• Oracle corporation
• NBC Sports
• U.S Bancorp
• Kaiser Permanente
• و ...

اکثر مشتریان نرم‌افزار EnCase شرکت‌های فعال در حوزه امنیت سایبری هستند و پس از آن‌ها، شرکت‌های صنعتی و مهندسی و شرکت‌های فعال در حوزه فناوری اطلاعات در جایگاه‌های بعدی قرار دارند. کشورهای ایالات متحده، انگلستان، هند، استرالیا، سنگاپور و ایتالیا نیز به ترتیب مورد اشاره، بیشترین مشتریان EnCase را دارند.

EnCase چه قابلیت‌هایی دارد؟

از مهم‌ترین قابلیت‌های EnCase می‌توان به موارد زیر اشاره کرد:

• به دست آوردن داده از هر منبعی: EnCase می‌تواند دیتا را از هر منبعی مثل رم، اسناد، عکس‌ها، ایمیل‌ها، وب‌میل‌ها، سابقه و کش مرورگر، بازسازی صفحه HTML، نشست‌های چت، فایل‌های فشرده، فایل‌های پشتیبان، فایل‌های رمزنگاری شده، RAIDها، ورک‌استیشن‌ها (workstations)، سرورها، گوشی‌های هوشمند و تبلت‌ها استخراج کند.
• حفظ مدارک جرائم سایبری: این نرم‌افزار نسخه کپی باینری کاملا مشابهی از درایو را مدیا اصلی تولید و سپس آن را با ایجاد مقادیر هش MD5 از نظر وجود فایل‌های image بررسی می‌کند و مقادیر CRC را به دیتا نسبت می‌دهد. این نظارت‌ها نشان می‌دهد که آیا شواهد و مدارک حمله سایبری، دستکاری شده یا تغییر کرده‌اند یا خیر و چه زمانی این اتفاق افتاده است و به حفظ مدارک جرائم سایبری برای استفاده در پرونده‌های حقوقی کمک می‌کند.
• تحلیل پیشرفته: بازیابی فایل‌ها و پارتیشن‌ها، شناسایی فایل‌های حذف‌شده با تجزیه و تحلیل لاگ‌ها، تحلیل امضای فایل و تحلیل هش حتی درون فایل‌های مرکب (compounded) یا فضای اختصاص داده نشده در دیسک با نرم‌افزار EnCase امکان‌پذیر است.
• بهبود بازدهی فارنزیک: کاربران EnCase می‌توانند در هنگام گردآوری داده، نتایج را مرور کنند و زمانی که فایل‌‌های image در حال ساخته شدن هستند به تحلیل و بررسی چندین درایو یا مدیا به صورت همزمان بپردازند.
• قابلیت‌های de-NISTing خودکار: کتابخانه ملی مرجع نرم‌افزاری (NSRL) با فرمت کتابخانه هش EnCase در دسترس است و کاربران می‌توانند به راحتی، مدارک جرائم سایبری را de-NIST و هزاران فایل ناشناخته را از مجموعه مدارک خود حذف کنند. این کار به صرفه‌جویی در زمان و میزان دیتا مورد نیاز برای تحلیل کمک زیادی می‌کند.
• قابلیت سفارشی‌سازی با استفاده از اپلیکیشن‌های مرکز اپلیکیشن EnCase: نرم‌افزار EnCase® Forensic دارای قابلیت‌های برنامه‌نویسی EnScript® است. EnScript® نوعی زبان برنامه‌نویسی شیء گرا مثل جاوا یا C++ است که کاربران می‌توانند با استفاده از آن، برنامه‌هایی را برای کمک به خودکارسازی تسک‌های زمان‌بر مثل جستجو و تحلیل انواع اسناد یا دیگر فرایندهای نیازمند کار سنگین، توسعه‌دهند یا سفارشی‌سازی کنند. هزاران برنامه یا اپلیکیشن افزایش بازدهی از این دست در مرکز اپلیکیشن EnCase (EnCase App Central) وجود دارد.
• گزارش‌های خودکار: این نرم‌افزار جرم‌یابی دارای قابلیت ایجاد گزارش‌های دارای فهرست‌هایی متشکل از همه فایل‌ها و فولدرها با جزئیاتی مثل URLها و تاریخ و زمان بازدید از آن‌ها است و اطلاعات هارد درایو و جزئیات مرتبط با ساختار درایو، ساختار فولدر و ... را در اختیار شما قرار می‌دهد.
• فراهم آوردن دیتا قابل اقدام قانونی: بعد از اینکه متخصصان فارنزیک شواهد مرتبط را شناسایی کردند، مي‌توانند با استفاده از EnCase گزارش جامعی برای ارائه به مدیریت سازمان یا مراجع قضایی آماده‌کنند.
• قابلیت یکپارچه شدن با Passware Kit Forensic:  نرم‌افزار EnCase از پردازشگر مدارک جرم برای خودکارسازی شناسایی فایل‌های رمزنگاری شده استفاده می‌کند. زمانی که این فایل‌ها با Passware Kit Forensic رمزگشایی شوند، به راحتی می‌توان آن‌ها را برای تحلیل بیشتر، به درون EnCase فرستاد.

آموزش گرفتن Image از دیسک سخت با استفاده از EnCase Forensic 

برای گرفتن Image از دیسک سخت (یا درایوهای آن) با استفاده از EnCase ابتدا نرم‌افزار EnCase Acquisition را باز کنید تا با پنجره‌ای همانند شکل زیر روبرو شوید:

حال به منوی File بروید و گزینه New Case را انتخاب کنید. در پنجره باز شده که همانند شکل زیر است نام Case (پرونده) و نام خود را وارد و روی دکمه Finish کلیک کنید.

در پنجره بعدی EnCase از شما می‌پرسد که قصد گرفتن Image‌ از چه چیزی را دارید؟ با توجه به اینکه ما می‌خواهیم از محتوای دیسک سخت Image بگیریم، لذا گزینه Local Drives را انتخاب و روی گزینه Next کلیک می‌کنیم.

در پنجره بعدی به شما لیست درایوها و دیسک‌های سخت موجود را نمایش می‌دهد. تیک درایو یا دیسک سخت مد نظر خود را بزنید و روی کلید Next کلیک کنید.

در پنجره بعدی پارتیشن‌ها و فایل‌های درون دیسک سخت مورد بررسی قرار خواهد گرفت (این عملیات ممکن است زمانبر باشد). شما می‌توانید با کلیک بر روی دکمه Finish این Wizard را ببندید تا دیسک شما به Case افزوده شود. در این مرحله چنانچه License معتبری داشته باشید، لیست فایل‌های درون درایو نیز به شما نمایش داده خواهد شد.

حال از منوی Edit گزینه Acquire را انتخاب کنید. در این پنجره گزینه Do not add‌ (تا Image به طور خودکار بعد از ساخته‌شدن به Case افزوده نشود) و سپس، گزینه Next را انتخاب کنید. 

حال در پنجره بعدی می‌توانید تنظیمات مربوط به گرفتن Image‌ را اعمال کنید. همانطور که می‌دانید Imageهای گرفته‌شده توسط نرم‌افزار EnCase دارای فرمت .e01 هستند. بعد از اعمال تنظیمات مد نظر خود بر روی کلید Finish کلیک کنید تا عملیات گرفتن Image‌ از محتوای دیسک سخت آغاز شود. به محض شروع عملیات، EnCase به پنجره اصلی خود می‌گردد و میزان پیشرفت فرآیند را در بخش پایینی، سمت راست پنجره نمایش داده می‌شود.

بعد از اتمام فرآیند ساخت Image، پنجره زیر به شما نمایش داده می‌شود. اگر می‌خواهید محتوای Image‌ را نیز بررسی کنید می‌توانید آن را به Case خود اضافه کنید. در غیر این صورت می‌توانید نرم‌افزار EnCase را ببندید و رایانه را خاموش کنید.

جمع‌بندی

در این مقاله گفتیم که EnCase چیست و چه قابلیت‌هایی دارد. همانطور که گفته شد، نرم‌افزار EnCase را می‌توان مهم‌ترین ابزار جرم‌یابی برای پاسخ به تهدیدات در دنیای امنیت سایبری و امنیت شبکه دانست. این نرم‌افزار قابلیت‌های متعددی در اختیار شما قرار می‌دهد. نسخه EnCase Endpoint Security این نرم‌افزار با یکپارچه شدن با سامانه‌های هشدار و مدیریت رویداد (SIEM) سازمان شما، پیش از اینکه هکرها ردپای خودشان را پاک کنند، داده‌های حساس‌ را گردآوری می‌کند و امکان تحلیل آن‌ها برای متخصصان فارنزیک فراهم می‌آورد.