A Study of Digital Forensics for Data Breaches Analysis

الذيابي, بدر بن فيحان تالع ; Althiyabi, Bader ; أبو منصور, حسين يوسف . مشرف (2020)

رسالة ماجستير - جامعة نايف العربية للعلوم الأمنية-كلية أمن الحاسب والمعلومات، قسم أمن المعلومات، تخصص أمن المعلومات،

72 ورقة : جداول، أشكال

مستخلص المادة العلمية :

Main objective: this research focuses on network forensic in relation to breaching data from an internal hypothetical network.

Specific objectives: This research tends to identify the impact of network digital forensics on data breach issue by finding ways to faster answers on questions such as “Who was involved?” “How it was committed” “What data was compromised?” “When did the breach occur?” “What was affected?” and “what are the risks?”

Samples of study: The current study involved a case regarding a data breach (leakage) on the XYZ Network. XYZ is a virtual organization in Saudi Arabia. The case revolves around finding the person responsible for breaching the sensitive data and standard policy in the HR department in the organization.

Study Methodology and Tools: A number of network digital forensics tools include Xplico, Wireshark, Colasoft and Network Miner tools through a number of investigating processes including seizure, acquisition, analysis and reporting we deployed.

Results and Conclusions: The results showed that one of the users impersonated another user through remote access services and then accessed sensitive organization documents and leaked them via untrusted fake email services. In order to avoid and prevent any types of attacks, this study presented changes to information protection policy. Windows firewall, Group Policy and Gateway firewall are suggested to be changed to prevent intrusion. These changes have been experimented and shown to prevent intrusion by other users.

Recommendations: Using information security systems to protect sensitive data such as web security, mail security and data security, using firewall applications, using encryption system to encrypt sensitive data, and raising the employees' awareness of the data privacy.

الهدف الرئيسي للدراسة: حاول هذا البحث استخدام التحليل الرقمي لكشف خرق البيانات عبر شبكة افتراضية.

الهدف الفرعي: يهدف هذا البحث إلى تحديد تأثير الأدلة الرقمية للشبكة على مشكلة التحقيق والاستجابة لحادثة خرق البيانات من خلال الإجابة عن عدة تساؤلات تشمل "من الفاعل" "كيف تم ارتكاب الخرق" "ما هي البيانات التي تم اختراقها؟" "متى حدث الخرق؟" "ما الذي تأثر؟" و "ما هي المخاطر الناتجة؟".

عينة الدراسة: تضمنت الدراسة الحالية حالة تتعلق بخرق البيانات (التسرب) على شبكة XYZ. XYZ هي منظمة افتراضية في المملكة العربية السعودية. تدور القضية حول العثور على الشخص المسؤول عن خرق البيانات الحساسة وسياسة حماية البيانات في قسم الموارد البشرية في المنظمة.

منهج الدراسة وأدواتها: اعتمد هذا البحث بشكل أساسي على سيناريو افتراضي ينطوي على هجوم شبكة من إحدى أجهزتها، أُستخدم فيه عدد من أدوات وبرامج الأدلة الرقمية وهي Xplico وWireshark و Colasoft و Network Miner من خلال عدد من عمليات التحقيق بما في ذلك جمع البيانات والتحريز والتحليل وإعداد التقارير.

النتائج: وأظهرت النتائج أن أحد المستخدمين ينتحل شخصية مستخدم آخر من خلال خدمات الوصول عن بعد، حيث يصل إلى وثائق المنظمة الحساسة ويسربها عبر خدمات بريد إلكتروني مزيفة غير موثوق بها. ومن أجل تجنب ومنع أي نوع من الهجمات، قدمت هذه الدراسة تغييرات على سياسة حماية المعلومات. تم اقتراح تغيير جدار حماية الويندوز وسياسة المجموعة والجدار الناري للبوابة وأظهرت هذه التغييرات أنها تمنع التطفل من قبل مستخدمين آخرين. أهم التوصيات: استخدام أنظمة أمان المعلومات لحماية البيانات الحساسة مثل أمان الشبكة وأمن البريد وأمن البيانات واستخدام تطبيقات جدار الحماية واستخدام نظام التشفير لتشفير البيانات الحساسة وزيادة وعي الموظفين بخصوصية البيانات.