در قسمت اول مقاله گفتیم پاسخ به حادثه رویکردی است برای رسیدگی به نقضهای امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. سپس درباره اهمیت پاسخگویی به حوادث سایبری صحبت کردیم و به معرفی ۳ عنصر مهم در پاسخگویی به حوادث سایبری پرداحتیم. داشتن برنامه جامع ۶ مرحلهای قدم اول و مهم در این زمینه است. در قسمت دوم به سراغ عنصر شماره ۲ یعنی تیم پاسخگویی به حادثه رفتیم و در این قسمت در ادامه بخش دوم، مواردی مهم را در خصوص تیم پاسخگویی به حادثه مطرح خواهیم کرد.
ویژگیهای مهم برای انتخاب اعضای تیم پاسخ به حادثه
هنگام جمع کردن یک تیم پاسخ به حادثه باید موارد زیر را مد نظر داشت:
- در دسترس بودن – یک تیم پاسخ به حادثه باید همیشه و در تمام روزهای سال در دسترس باشد. همچنین ممکن است لازم باشد که در طول حادثه، برخی از اعضا بهصورت فیزیکی در سایت حضور داشته باشند، پس انتخاب افرادی که نزدیک به دفتر زندگی کنند، سودمند است.
- اعضای مجازی یا داوطلب در تیم – ممکن است منابع لازم برای تخصیص مسئولیتهای تماموقت به تمام اعضا وجود نداشته باشد. میتوان برخی از اعضا را در یک تیم پاسخ به حادثهی «مجازی» کنار هم قرار داد. درصورتیکه حادثهای اضطراری رخ داد، میتوان این اعضا را فرا خواند.
- مدافع کارآمد (Effective Advocate) یا حامی اجرایی – فردی در سطح افسر ارشد امنیت اطلاعات که میتواند تأثیر یک حادثه را به گوش اعضای اجرایی دیگر برساند. این فرد باید اطمینان حاصل کند که تیم پاسخ به حادثه بودجهی مناسبی را دریافت میکند و اختیارات لازم را برای پاسخ سریع در طول یک فرایند دارد.
- نظارت و تقویت روحیه کارمندان و تیم – ممکن است همیشه در دسترس بودن برای تیم شما دشوار باشد و تمرکز و انگیزهی خود را از دست بدهند. میتوانید با ارائهی فرصت رشد، یادگیری و ساخت تیم، از خستگی تیم پیشگیری کنید. همچنین میتوانید برخی از فعالیتها را برونسپاری کنید که این امر میتواند بار کاری و استرس تیم را کاهش دهد.
- تنوع – تیمی را جمعآوری کنید که از نظر فنی متنوع باشد. نمیتوانید از اعضای تیم انتظار داشته باشید که در همهی زمینههای پاسخ به حادثه متخصص باشند. مهم است که درک کنید چه شکافهای مهارتی وجود دارد و افرادی را استخدام نمایید که بتوانند آن شکافها را پر کنند.
پنج توصیه برای اعضای تیم پاسخ به حادثه
۱. جداسازی استثناها
تکنولوژیهای به تنهایی نمیتواند در شناسایی نقضهای امنیتی موفق باشد. همچنین باید روی بینشهای انسانی حساب کرد. در ادامه چند مورد از شرایطی که هر روز باید به آنها توجه کرد بیان میشود:
- ناهنجاری در ترافیک – اتصالات حساس و سرورهایی که بهصورت داخلی مورد استفاده قرار میگیرند معمولاً حجم ترافیک باثباتی دارند. اگر متوجه افزایش ناگهانی ترافیک شدید، از آن عبور نکنید.
- دسترسی به حسابها بدون اجازه – حسابهای دارای سطح دسترسی بالا یا ادمین در قیاس با کارمندان عادی به اطلاعات و سیستمهای بیشتری دسترسی دارند. اما، کارمندان معمولاً راحتترین هدف برای مجرمین سایبری هستند. با دقت روی حسابهای دارای سطح دسترسی بالا نظارت کنید و روی حسابهای عادی به افزایش سطح دسترسی دقت داشته باشید.
- مصرف بیش از حد منابع سیستم و فایلهای مشکوک – اگر افزایشی را در عملکرد حافظه یا هارد درایوهای شرکت خود مشاهده کردید، ممکن است کسی بهطور غیرقانونی به آنها دسترسی پیدا کرده باشد یا در حال افشای داده باشد.
ابزار امنیتی مدرن مثل تجزیهوتحلیل رفتار کاربر و موجودیت یا UEBA این فرایندها را خودکارسازی کرده و میتوانند ناهنجاریهایی را در رفتار کاربر یا دسترسی به فایل شناسایی کنند. این امر پوشش خیلی بهتری از حوادث امنیتی فراهم کرده و در زمان تیمهای امنیتی صرفهجویی مینماید.
۲. استفاده از رویکرد متمرکز
از ابزار امنیتی و سیستمهای IT اطلاعات جمعآوری کرده و آن را در یک مکان مرکزی، مثل سامانه SIEM نگهداری نمایید. با استفاده از این اطلاعات یک جدول زمانی حادثه بسازید و بررسی حادثه را با تمام نقاط دادهی مرتبط، یکجا انجام دهید.
همچنین میتوانید از یک رویکرد متمرکز استفاده نمایید تا پاسخی سریع و خودکارسازیشده را ارائه دهید. از دادههای بدست آمده از ابزار امنیتی استفاده نمایید، تجزیهوتحلیل پیشرفتهای را به آن اعمال کنید و با استفاده از تکنولوژیهایی مثل تنظیم امنیت، خودکارسازی و پاسخ یا به اختصار SOAR، پاسخهای خودکار را روی سیستمهایی مثل فایروالها و سرورهای ایمیل تنظیم نمایید.
۳. فرض نکنید، استدلال کنید
تحقیقات خود را براساس فرض اینکه رخداد یا حادثهای وجود دارد پیش نبرید. به جای اینکه فرضیاتی داشته باشید، براساس سؤالی که میتوانید آن را ارزیابی و تائید نمایید، استدلال کنید. مثلاً بگویید: «اگر من متوجه هشدار X روی سیستم Y شدهام، باید ببینم که آیا رخداد Z در این نزدیکی اتفاق افتاده است یا خیر.
استدلالهای خود را براساس تجربهی مدیریت سیستمها، نوشتن نرمافزار، پیکربندی شبکهها، ساخت سیستمها و غیره بسازید و سیستمها و فرایندها را از دید مهاجم ببینید.
۴. حذف رخدادهای غیرممکن
شاید ندانید که دقیقاً به دنبال چه چیزی هستید. در چنین مواقعی، رخدادهایی را که برایشان توضیحی منطقی وجود دارد کنار بگذارید. سپس رخدادهایی باقی میماند که هیچ توضیح مشخصی ندارند.
برای مثال:
- ناسازگاریها یا افزونگیهای بدون توضیح در کد شما
- مشکلاتی در دسترسی به عملکردهای مدیریتی یا لاگینهای مدیریتی (Administrative)
- تغییرات بدون توضیح در حجم ترافیک (مثلاً کاهش شدید)
- تغییرات بدون توضیح در محتوا، چیدمان یا طراحی سایت شما
- مشکلات عملکرد که روی دسترسپذیری وبسایت شما تأثیرگذار هستند
۵. انجام اقدامات پس از حادثه
به مانیتورینگ سیستمهای خود ادامه دهید و هر رفتار غیرعادی را رصد کنید تا مطمئن شوید که مهاجم بازنگشته است. به حوادث جدید دقت کنید و مرور پس از حادثه را انجام دهید تا هر مشکلی که در طول اجرای برنامهی پاسخ به حادثه تجربه شده است، جداسازی گردد.
در قسمت چهارم این مطلب، به عنصر سوم، یعنی ابزار خواهیم پرداخت.