Forensic Analyses یا تجزیه و تحلیل نقض امنیتی در محیط‌های VDI

Forensic Analyses یا تجزیه و تحلیل نقض امنیتی معمولا زمانی انجام می‌شود که شرکتی به سوء رفتار کارمندی مشکوک شده و درباره‌ی آنچه که کارمند در طول زمان انجام داده، نیاز به مدارکی دارد و یا وقتی‌که شرکت نیاز به تحقیق درباره‌ی یک نقص امنیتی دارد.

تیم‌های امنیت IT شرکت‌ها هنگام انجام بازرسی‌های قانونی سعی می‌کنند تا آنجا که ممکن است اطلاعات بیشتری در دست داشته‌باشند. وقتی صحبت از رایانه‌های رومیزی باشد، آنها اغلب رایانه را ضبط کرده و آنرا روشن نگه‌ می‌دارند تا دسترسی به RAM (حافظه‌ی کوتاه مدت) و داده‌های فایل‌های موقتی که ممکن است برای تجزیه و تحلیل بیشتر، مفید باشند را از دست ندهند.

سایر داده‌های مفید برای تجزیه و تحلیل نقض امنیتی عبارتند از:

• Logهای ویندوز
• فایلهای Temp
• مشخصات کاربر
• داده‌های کاربر
• Logها و Temp مربوط به برنامه

اینها همه اطلاعاتی است که یک تحلیلگر امنیتی سعی می‌کند از یک دسکتاپ مجازی بدست آورد.

همانطور که می‌دانیم، دو نوع دسکتاپ مجازی وجود دارد (دائمی و غیردائمی)، بنابراین اطلاعات موجود، به نوع دسکتاپ مورد استفاده‌ی کاربر بستگی دارد. در یک دسکتاپ دائمی، می‌توان دستگاه را از شبکه جدا کرد و با دسترسی به سخت‌افزار مجازی (RAM و هارد درایوها) و اجزای نرم‌افزار، با آن مانند یک ماشین فیزیکی کار کرد. اما در دسکتاپ غیردائمی، همه‌ی داده‌ها، تمام مدت در دسترس نخواهند بود. در حقیقت، اطلاعات زیادی پس از خروج کاربر و یا راه‌اندازی مجدد دستگاه، از بین می‌روند. یعنی کاربر قادر به حفظ برخی از اطلاعات پس از راه‌اندازی مجدد ماشین نخواهد بود، بنابراین، داشتن یک راهبرد برای جمع‌آوری داده‌های جدا شده توسط Layerها، ضروری است، یعنی کاربر باید اطلاعات مربوطه که برای تجزیه و تحلیل بعدی مورد نیاز است را مشخص کند.

نمودار زیر نشان می دهد که چه اطلاعاتی مربوط به کدام لایه است و یک ایده‌ی کلی در مورد مکان هر یک از مولفه‌ها و پیشنهادی ساده در مورد چگونگی رسیدگی به تفکیک اطلاعات ارائه می‌دهد.  

سازوکار تهیه‌ی پویای Citrix و تجزیه و تحلیل نقض امنیتی

اگر کاربر نیاز به جدا کردن VM از شبکه و یا ایجاد VM Snapshot دارد، باید در مورد راهبرد تهیه‌ی آن فکر کند زیرا دو روش برای این کار وجود دارد:

• استفاده از Citrix Provisioning Services: اگر کاربر شبکه‌ی VM را جدا کند، با خطای VM مواجه خواهد شد و متوقف می‌شود، یا اینکه با Blue Screen Of Death زیبا یا به اختصارBSOD مواجه خواهد‌ شد، زیرا این فناوری مبتنی بر شبکه است. بنابراین، ایجاد VM Snapshot امکان‌پذیر نخواهد بود، کاربر باید اطمینان حاصل کند که تمام داده‌های مورد نیاز، از درایو غیر دائمی هستند. در غیر این صورت Snapshot امکان‌پذیر نیست چون کاربر، درایور سیستم عامل را از طریق شبکه دریافت می کند.
• استفاده از Citrix Machine Creation Services: که یک فناوری مبتنی بر ذخیره‌سازی است، بنابراین کاربر می‌تواند ماشین مجازی را از شبکه جدا کرده و سپس از VM یک Snapshot بگیرد تا یک VM کامل ازSnapshot Point را بازسازی کند که تمام فایلهای Temp، Regها، Logها و هر فایلی که روی VM هست را حفظ می‌کند. لازم به یادآوری است که اگر کاربر از جلسه خارج شود یا کنسول Citrix ماشین مجازی را مجدداً راه اندازی کند، فرصت اجرای این فرآیند را از دست خواهد رفت.

در هر دو مورد، کاربر باید برای جمع‌آوری تمام اطلاعاتی که ممکن است در آینده برای انجام تجزیه و تحلیل نقض امنیتی خود به آنها نیاز داشته باشد، راهبردی را مشخص کند.

ارائه‌ی داده‌های بیشتر برای تجزیه و تحلیل نقض امنیتی توسط محصولات Citrix

 همه‌ی محیط‌های Citrix دارای ابزاری هستند که اطلاعات بیشتری در مورد اقداماتی که کاربر می‌تواند انجام دهد را ارائه می‌دهند. به عنوان مثال، کاربر می‌تواند با استفاده از گزینه‌ی ضبط جلسه Citrix Session Recording، صفحه‌ی جلسه را مانند فیلم ضبط کند. همچنین جلسه‌ی کاربر را می توان در قسمت Director Trend Reports ردیابی کرد و فهمید کدام منابع در دسترس بوده‌اند (از جمله زمان، IP، نام دستگاه و موارد دیگر). دسترسی می‌تواند توسط Citrix ADC تأیید و توسط Citrix Application Delivery Management (ADM) شده و می‌توان از اطلاعات مربوط به تعداد دفعات تلاش کاربر برای اتصال به محیط Query گرفت. Citrix Analytics شامل یک ماژول امنیتی برای نظارت بر اقداماتی است که کاربر با استفاده از یادگیری ماشین انجام می‌دهد، بنابراین در صورت تشخیص انجام هرگونه عمل غیرمعمول از سوی کاربر، وارد عمل می‌شود.

در انتها لازم به ذکر است که نوع داده‌هایی که برای انجام تجزیه و تحلیل نقض امنیتی باید در دسترس باشند، به نوع دسکتاپ مجازی که به کاربر تحویل داده شده و سیاست‌های مربوط به نگهداری داده‌ها که در طراحی محیط تنظیم شده‌اند، بستگی دارد. اگرچه ممکن است این راهکار با آنچه در دنیای دسکتاپ فیزیکی استفاده می شود، متفاوت باشد، ولی می‌توان حجم زیادی از داده‌ را در یک داده‌ی Non-Persistent یا غیر دائمی در دسترس قرار داد.