هسته SOC شناسایی، تحلیل و پاسخگویی به حوادث امنیتی است. در این راستا لازم است تا تیم مسئول عملیات امنیت بر داراییهای سازمان نظارت داشته و با استفاده از فرایندهایی از پیش طراحی شده به حوادث و رویدادهای امنیتی واکنش نشان دهد. شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی در مرکز عملیات امنیت (SOC) از مجموعهای از روشها برای غلبه بر انواع متفاوت حوادث ناشی از آسیبهای مختلف تشکیل شده است. رسیدگی به حادثهها[۱] شامل سه عملکرد اساسی گزارش حادثه، تحلیل حادثه و پاسخ به حادثه است. فرایند رسیدگی به حادثهها، همانطور که در شکل زیر مشخص شده، متشکل از ۶ فاز است که در ادامه جزئیات این فازها ارائه خواهد شد.
شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: فاز آمادهسازی[۲]
این فاز، همانطور که از نام آن مشخص است، در مورد آمادهسازی تیم پاسخگویی بهگونهای است که آماده رسیدگی به حوادث در لحظه مشاهده باشد. یک حادثه میتواند هر چیزی، اعم از قطعی برق یا خرابی سختافزار گرفته تا رخدادهای شدیدی مانند نقض سیاستهای سازمانی توسط یک کارمند ناراضی یا هک شدن توسط هکرهای حمایت شده توسط دولتها باشد. صرفنظر از علت وقوع حادثه، فاز آمادهسازی با توجه به اینکه تعیینکننده میزان پاسخگویی تیم در صورت وقوع حادثه است، در مقایسه با دیگر فازها از اهمیت بیشتری برخوردار است.
شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: فاز شناسایی[۳]
این فاز با بررسی انحرافات از فعالیتهای معمول در یک سازمان، با تشخیص حوادث و تعیین دامنه آنها سروکار دارد. فاز شناسایی نیازمند جمعآوری وقایع از منابع مختلفی مانند فایلهای Log، پیامهای خطا و دیگر منابع مانند سیستمهای تشخیص نفوذ و فایروالها است که دربردارنده شواهدی برای تعیین یک اتفاق به عنوان یک حادثه هستند. یک اتفاق مشخص در صورت تعیین به عنوان یک حادثه، باید به سرعت گزارش شود تا زمان کافی برای جمعآوری شواهد و ایجاد آمادگی برای گامهای بعدی وجود داشته باشد. در این مرحله، باید اطلاعرسانی به اعضای تیم صورت گرفته و هماهنگسازی ارتباطات بین اعضای تیم با کارکنان مرکز فرماندهی تعیین شده ایجاد شود. ارتباط و هماهنگی بین اعضایتیم از اهمیت زیادی برخوردار است، بهویژه در صورتی که دامنه حادثه به طور قابلتوجه بر روی فعالیتهای تجاری سازمان اثرگذار باشد.
شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: فاز مهار[۴]
هدف اصلی این فاز محدودسازی خسارات و جلوگیری از بروز خسارات بعدی است. این فاز از چندین گام تشکیل شده که انجام هر یک از این گامها برای کاهش تاثیر حادثه و همچنین جلوگیری از تخریب هر مدرک احتمالا مفید در پیگرد قانونی رویداد، ضروری است.
اولین گام در این فاز مهار موقت است که بر روی محدودسازی خسارات در سریعترین زمان ممکن تمرکز دارد. مهار موقت میتواند به سادگی جداسازی بخش شامل ایستگاههای کاری آلوده از شبکه تا رویههای پیچیدهتر مانند متوقف کردن سرورهای تولید هک شده و هدایت تمام ترافیک به سرورهای کمکی باشد. توجه شود که مهار موقت به عنوان یک راهحل دائم برای مشکل در نظر گرفته نشده، بلکه تنها با هدف محدودسازی رویداد قبل از بدتر شدن وضعیت صورت میگیرد.
گام دوم پشتیبانگیری از سیستم است. قبل از رفع آلودگی و راهاندازی مجدد هر سیستمی، باید با استفاده از ابزارهای موجود به تهیه Image از سیستمهای آلوده پرداخته شود. اهمیت این مساله در این است که نرمافزارهای Forensic با ثبت سیستمهای آلوده در زمان رویداد، اگر حادثه در نتیجه یک اقدام مجرمانه واقع شده باشد، شواهد و مدارک را حفظ میکنند. حفظ شواهد و مدارک علاوه بر این میتواند برای بررسی نحوه بهمخاطره افتادن سیستمها در فاز آموختهها نیز استفاده شوند.
گام آخر مهار دائم است. در این گام، در صورت نیاز سیستمهای آلوده به طور موقت تعمیر شده تا بتوان قبل از بازسازی کامل از آنها در تولید استفاده کرد. تمرکز اصلی این گام بر حذف حسابهای کاربری و Backdoorهای به جا مانده توسط مهاجمین بر روی سیستمهای آلوده، نصب وصلههای امنیتی بر روی سیستمهای آلوده و سیستمهای مجاور آنها و انجام اقدامات دیگر برای محدودسازی هر گونه تشدید خسارات حادثه، ضمن انجام فعالیتهای عادی کسبوکار است.
شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: فاز ریشهکنی[۵]
در حقیقت حذف و بازسازی سیستمهای آلوده در این فاز صورت می گیرد. همانند هر یک از فازهای قبل، مستندسازی مداوم اقدامات صورت گرفته برای تعیین تاثیر کلی حادثه بر سازمان در این فاز نیز ضروری است. علاوهبراین، در این فاز باید از حذف محتویات مخرب و غیرمجاز از سیستمهای آلوده و کاملا تمیز شدن آنها اطمینان حاصل شود. به طور کلی این به معنی یک Reimaging کامل از هارد دیسکهای سیستم برای اطمینان از حذف هر گونه محتوای مخرب و آلودگی است. این فاز همچنین نقطهای است که باید پس از کشف حادثه به بهبود مکانیزمهای دفاعی پرداخته شود تا از مخاطره افتادن مجدد سیستمها اطمینان حاصل شود (برای مثال با نصب وصلهها برای برطرف کردن آسیبپذیریهای مورد بهرهبرداری قرار گرفته توسط مهاجمین و …).
شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: فاز بازیابی[۶]
هدف این فاز بازگردانی سیستمهای آلوده به محیط تولید، ضمن رعایت احتیاط جهت اطمینان از عدم وقوع یک حادثه مشابه و جدید است. به طور واضح مشخص است که آزمایش، نظارت و اعتبارسنجی سیستمهایی که مجددا در تولید قرار گرفتهاند، برای تایید عدم آلودگی مجدد با بدافزارها یا به مخاطره افتادن به روشهای دیگر ضروری است. در این فاز باید تصمیمگیریهای مهمی از جمله موارد زیر صورت گیرد:
- روز و زمان بازگردانی فعالیتها.
- نحوه آزمایش و تایید تمیز بودن و کاملا عملیاتی بودن سیستمهای به مخاطره افتاده.
- مدت زمان نظارت برای مشاهده رفتارهای غیرعادی.
- ابزارهای مورد استفاده برای آزمایش، نظارت و اعتبارسنجی رفتار سیستم.
شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: فاز آموختهها[۷]
هدف این فاز تکمیل هر گونه مستندسازی ناتمام در زمان حادثه و همچنین دیگر مستندسازیهایی است در حوادث آینده مفید واقع خواهند شد. اسناد تهیه شده باید در قالب یک گزارش با ارائه جزئیات لحظه به لحظه تمام حادثه نوشته شوند. این گزارش باید قدر به پاسخگویی به پرسشهای چه کسی، چه چیزی، کجا، چرا و چطور باشد که ممکن است در نشست آموختهها مطرح شوند. هدف کلی این فاز یادگیری از وقایع رخ داده در یک سازمان برای بهبود کارکرد تیم پاسخگویی به حوادث و ایجاد منابعی مفید جهت رجوع در زمان وقوع حوادث مشابه است. مستندات تهیه شده همچنین میتوانند به عنوان منابع آموزشی برای اعضا جدید تیم یا به عنوان معیاری برای مقایسه در بحرانهای آینده مورد استفاده قرار گیرند. نشست آموختهها باید در سریعترین زمان ممکن (نهایتا ظرف ۲ هفته از وقوع حادثه) برگزار شود. نشست باید به بررسی جزئیات گزارش پاسخ به حادثه پرداخته و خلاصهای اجرایی خروجی دهد. خلاصه اجرایی باید کوتاه باشد تا توجه مخاطب را از دست نداده و تخصصی باشد. یک مثال خوب از اجرای نشست آموختهها داشتن یک پاورپوینت با خلاصهای از اطلاعات زیر است:
- زمان تشخیص و فرد تشخیصدهنده مشکل برای اولین بار
- دامنه حادثه
- نحوه مهار و ریشهکن کردن حادثه
- اقدامات صورت گرفته در طول بازیابی
- قسمتهایی که تیم پاسخگویی به حادثهها در آنها موثر بودند
- قسمتهای نیازمند بهبود
این نشست، همچنین باید شامل زمانی برای ارائه پیشنهادات و بحث و گفتگوی اعضاء در راستای بهبود کلی تیم باشد. این فاز به شدت برای بهاشتراکگذاری ایدهها و اطلاعات توسط اعضا در راستای ارتقا کارایی تیم در حوادث آینده سودمند است.
[۱] Incident handling
[۲] Preparation
[۳] Identification
[۴] Containment
[۵] Eradication
[۶] Recovery
[۷] Lesson learned