Search
Menu

شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی در SOC

هسته SOC شناسایی، تحلیل و پاسخ‌گویی به حوادث امنیتی است. در این راستا لازم است تا تیم مسئول عملیات امنیت بر دارایی‌های سازمان نظارت داشته و با استفاده از فرایندهایی از پیش طراحی شده به حوادث و رویدادهای امنیتی واکنش نشان دهد. شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی در مرکز عملیات امنیت (SOC) از مجموعه‌ای از روش‌ها برای غلبه بر انواع متفاوت حوادث ناشی از آسیب‌های مختلف تشکیل شده است. رسیدگی به حادثه‌ها[۱] شامل سه عملکرد اساسی گزارش حادثه، تحلیل حادثه و پاسخ به حادثه است. فرایند رسیدگی به حادثه‌ها، همانطور که در شکل زیر مشخص شده، متشکل از ۶ فاز است که در ادامه جزئیات این فازها ارائه خواهد شد.

شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی:

شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی: فاز آماده‌سازی[۲]

 این فاز، همانطور که از نام آن مشخص است، در مورد آماده‌سازی تیم پاسخ‌گویی به‌گونه‌ای است که آماده رسیدگی به حوادث در لحظه مشاهده باشد. یک حادثه می‌تواند هر چیزی، اعم از قطعی برق یا خرابی سخت‌افزار گرفته تا رخدادهای شدیدی مانند نقض سیاست‌های سازمانی توسط یک کارمند ناراضی یا هک شدن توسط هکرهای حمایت شده توسط دولت‌ها باشد. صرف‌نظر از علت وقوع حادثه، فاز آماده‌سازی با توجه به اینکه تعیین‌کننده میزان پاسخ‌گویی تیم در صورت وقوع حادثه است، در مقایسه با دیگر فازها از اهمیت بیشتری برخوردار است.

شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی: فاز شناسایی[۳]

این فاز با بررسی انحرافات از فعالیت‌های معمول در یک سازمان، با تشخیص حوادث و تعیین دامنه آن‌ها سروکار دارد. فاز شناسایی نیازمند جمع‌آوری وقایع از منابع مختلفی مانند فایل‌های Log، پیام‌های خطا و دیگر منابع مانند سیستم‌های تشخیص نفوذ و فایروال‌ها است که دربردارنده شواهدی برای تعیین یک اتفاق به عنوان یک حادثه هستند. یک اتفاق مشخص در صورت تعیین به عنوان یک حادثه، باید به سرعت گزارش شود تا زمان کافی برای جمع‌آوری شواهد و ایجاد آمادگی برای گام‌های بعدی وجود داشته باشد. در این مرحله، باید اطلاع‌رسانی به اعضای تیم صورت گرفته و هماهنگ‌سازی ارتباطات بین اعضای تیم با کارکنان مرکز فرماندهی تعیین شده ایجاد شود. ارتباط و هماهنگی بین اعضایتیم از اهمیت زیادی برخوردار است،  به‌ویژه در صورتی که دامنه حادثه به طور قابل‌توجه بر روی فعالیت‌های تجاری سازمان اثرگذار باشد.

 شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی: فاز مهار[۴]

هدف اصلی این فاز محدودسازی خسارات و جلوگیری از بروز خسارات بعدی است. این فاز از چندین گام تشکیل شده که انجام هر یک از این گام‌ها برای کاهش تاثیر حادثه و همچنین جلوگیری از تخریب هر مدرک احتمالا مفید در پیگرد قانونی رویداد، ضروری است.

اولین گام در این فاز مهار موقت است که بر روی محدودسازی خسارات در سریع‌ترین زمان ممکن تمرکز دارد. مهار موقت می‌تواند به سادگی جداسازی بخش شامل ایستگاه‌های کاری آلوده از شبکه تا رویه‌های پیچیده‌تر مانند متوقف کردن سرورهای تولید هک شده و هدایت تمام ترافیک به سرورهای کمکی باشد. توجه شود که مهار موقت به عنوان یک راه‌حل دائم برای مشکل در نظر گرفته نشده، بلکه تنها با هدف محدودسازی رویداد قبل از بدتر شدن وضعیت صورت می‌گیرد.

گام دوم پشتیبان‌گیری از سیستم است. قبل از رفع آلودگی و راه‌اندازی مجدد هر سیستمی، باید با استفاده از ابزارهای موجود به تهیه Image از سیستم‌های آلوده پرداخته شود. اهمیت این مساله در این است که نرم‌افزارهای Forensic با ثبت سیستم‌های آلوده در زمان رویداد، اگر حادثه در نتیجه یک اقدام مجرمانه واقع شده باشد، شواهد و مدارک را حفظ می‌کنند. حفظ شواهد و مدارک علاوه بر این می‌تواند برای بررسی نحوه به‌مخاطره افتادن سیستم‌ها در فاز آموخته‌ها نیز استفاده شوند.

گام آخر مهار دائم است. در این گام، در صورت نیاز سیستم‌های آلوده به طور موقت تعمیر شده تا بتوان قبل از بازسازی کامل از آن‌ها در تولید استفاده کرد. تمرکز اصلی این گام بر حذف حساب‌های کاربری و Backdoorهای به جا مانده توسط مهاجمین بر روی سیستم‌های آلوده، نصب وصله‌های امنیتی بر روی سیستم‌‌های آلوده و سیستم‌های مجاور آن‌ها و انجام اقدامات دیگر برای محدودسازی هر گونه تشدید خسارات حادثه، ضمن انجام فعالیت‌های عادی کسب‌وکار است.

شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی: فاز ریشه‌کنی[۵]

در حقیقت حذف و بازسازی سیستم‌های آلوده در این فاز صورت می گیرد. همانند هر یک از فازهای قبل، مستندسازی مداوم اقدامات صورت گرفته برای تعیین تاثیر کلی حادثه بر سازمان در این فاز نیز ضروری است. علاوه‌بر‌این، در این فاز باید از حذف محتویات مخرب و غیرمجاز از سیستم‌های آلوده و کاملا تمیز شدن آن‌ها اطمینان حاصل شود. به طور کلی این به معنی یک Reimaging کامل از هارد دیسک‌های سیستم برای اطمینان از حذف هر گونه محتوای مخرب و آلودگی است. این فاز همچنین نقطه‌ای است که باید پس از کشف حادثه به بهبود مکانیزم‌های دفاعی پرداخته شود تا از مخاطره افتادن مجدد سیستم‌ها اطمینان حاصل شود (برای مثال با نصب وصله‌ها برای برطرف کردن آسیب‌پذیری‌های مورد بهره‌برداری قرار گرفته توسط مهاجمین و …).

شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی: فاز بازیابی[۶]

هدف این فاز بازگردانی سیستم‌های آلوده به محیط تولید، ضمن رعایت احتیاط جهت اطمینان از عدم وقوع یک حادثه مشابه و جدید است. به طور واضح مشخص است که آزمایش، نظارت و اعتبارسنجی سیستم‌هایی که مجددا در تولید قرار گرفته‌اند، برای تایید عدم آلودگی مجدد با بدافزارها یا به مخاطره افتادن به روش‌های دیگر ضروری است. در این فاز باید تصمیم‌گیری‌های مهمی از جمله موارد زیر صورت گیرد:

  • روز و زمان بازگردانی فعالیت‌ها.
  • نحوه آزمایش و تایید تمیز بودن و کاملا عملیاتی بودن سیستم‌های به مخاطره افتاده.
  • مدت زمان نظارت برای مشاهده رفتارهای غیرعادی.
  • ابزارهای مورد استفاده برای آزمایش، نظارت و اعتبارسنجی رفتار سیستم.

شناسایی، تحلیل و پاسخ‌گویی به رخدادهای امنیتی: فاز آموخته‌ها[۷]

هدف این فاز تکمیل هر گونه مستندسازی ناتمام در زمان حادثه و همچنین دیگر مستندسازی‌هایی است در حوادث آینده مفید واقع خواهند شد. اسناد تهیه شده باید در قالب یک گزارش با ارائه جزئیات لحظه به لحظه تمام حادثه نوشته شوند. این گزارش باید قدر به پاسخگویی به پرسش‌های چه کسی، چه چیزی، کجا، چرا و چطور باشد که ممکن است در نشست آموخته‌ها مطرح شوند. هدف کلی این فاز یادگیری از وقایع رخ داده در یک سازمان برای بهبود کارکرد تیم پاسخ‌گویی به حوادث و ایجاد منابعی مفید جهت رجوع در زمان وقوع حوادث مشابه است. مستندات تهیه شده همچنین می‌توانند به عنوان منابع آموزشی برای اعضا جدید تیم یا به عنوان معیاری برای مقایسه در بحران‌های آینده مورد استفاده قرار گیرند. نشست آموخته‌ها باید در سریع‌ترین زمان ممکن (نهایتا ظرف ۲ هفته از وقوع حادثه) برگزار شود. نشست باید به بررسی جزئیات گزارش پاسخ به حادثه پرداخته و خلاصه‌ای اجرایی خروجی دهد. خلاصه اجرایی باید کوتاه باشد تا توجه مخاطب را از دست نداده و تخصصی باشد. یک مثال خوب از اجرای نشست آموخته‌ها داشتن یک پاورپوینت با خلاصه‌ای از اطلاعات زیر است:

  • زمان تشخیص و فرد تشخیص‌دهنده مشکل برای اولین بار
  • دامنه حادثه
  • نحوه مهار و ریشه‌کن کردن حادثه
  • اقدامات صورت گرفته در طول بازیابی
  • قسمت‌هایی که تیم پاسخگویی به حادثه‌ها در آن‌ها موثر بودند
  • قسمت‌های نیازمند بهبود

این نشست، همچنین باید شامل زمانی برای ارائه پیشنهادات و بحث و گفتگوی اعضاء در راستای بهبود کلی تیم باشد. این فاز به شدت برای به‌اشتراک‌گذاری ایده‌ها و اطلاعات توسط اعضا در راستای ارتقا کارایی تیم در حوادث آینده سودمند است.

[۱] Incident handling

[۲] Preparation

[۳] Identification

[۴] Containment

[۵] Eradication

[۶] Recovery

[۷] Lesson learned

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.