سه عنصر مهم در پاسخگویی به حوادث امنیتی: برنامه، تیم و ابزار – بخش سوم

در قسمت اول مقاله گفتیم پاسخ به حادثه رویکردی است برای رسیدگی به نقض‌های امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. سپس درباره اهمیت پاسخگویی به حوادث سایبری صحبت کردیم و به معرفی ۳ عنصر مهم در پاسخگویی به حوادث سایبری پرداحتیم. داشتن برنامه‌ جامع ۶ مرحله‌ای قدم اول و مهم در این زمینه است. در قسمت دوم به سراغ عنصر شماره ۲ یعنی تیم پاسخگویی به حادثه رفتیم و در این قسمت در ادامه بخش دوم، مواردی مهم را در خصوص تیم پاسخگویی به حادثه مطرح خواهیم کرد.

ویژگی‌های مهم برای انتخاب اعضای تیم پاسخ به حادثه

 هنگام جمع کردن یک تیم پاسخ به حادثه باید موارد زیر را مد نظر داشت:

  • در دسترس بودن – یک تیم پاسخ به حادثه باید همیشه و در تمام روزهای سال در دسترس باشد. همچنین ممکن است لازم باشد که در طول حادثه، برخی از اعضا به‌صورت فیزیکی در سایت حضور داشته باشند، پس انتخاب افرادی که نزدیک به دفتر زندگی کنند، سودمند است.
  • اعضای مجازی یا داوطلب در تیم – ممکن است منابع لازم برای تخصیص مسئولیت‌های تمام‌وقت به تمام اعضا وجود نداشته باشد. می‌توان برخی از اعضا را در یک تیم پاسخ به حادثه‌ی «مجازی» کنار هم قرار داد. درصورتی‌که حادثه‌ای اضطراری رخ داد، می‌توان این اعضا را فرا خواند.
  • مدافع کارآمد (Effective Advocate) یا حامی اجرایی – فردی در سطح افسر ارشد امنیت اطلاعات که می‌تواند تأثیر یک حادثه را به گوش اعضای اجرایی دیگر برساند. این فرد باید اطمینان حاصل کند که تیم پاسخ به حادثه بودجه‌ی مناسبی را دریافت‌ می‌کند و اختیارات لازم را برای پاسخ سریع در طول یک فرایند دارد.
  • نظارت و تقویت روحیه کارمندان و تیم – ممکن است همیشه در دسترس بودن برای  تیم شما دشوار باشد و تمرکز و انگیزه‌ی خود را از دست بدهند. می‌توانید با ارائه‌ی فرصت رشد، یادگیری و ساخت تیم، از خستگی تیم پیشگیری کنید. همچنین می‌توانید برخی از فعالیت‌ها را برون‌سپاری کنید که این امر می‌تواند بار کاری و استرس تیم را کاهش دهد.
  • تنوع – تیمی را جمع‌آوری کنید که از نظر فنی متنوع باشد.  نمی‌توانید از اعضای تیم انتظار داشته باشید که در همه‌ی زمینه‌های پاسخ به حادثه متخصص باشند. مهم است که درک کنید چه شکاف‌های مهارتی وجود دارد و افرادی را استخدام نمایید که بتوانند آن شکاف‌ها را پر کنند.

پنج توصیه برای اعضای تیم پاسخ به حادثه

۱. جداسازی استثناها

تکنولوژی‌های به تنهایی نمی‌تواند در شناسایی نقض‌های امنیتی موفق باشد. همچنین باید روی بینش‌های انسانی حساب کرد. در ادامه چند مورد از شرایطی که هر روز باید به آن‌ها توجه کرد بیان می‌شود:

  • ناهنجاری در ترافیک – اتصالات حساس و سرورهایی که به‌صورت داخلی مورد استفاده قرار می‌گیرند معمولاً حجم ترافیک باثباتی دارند. اگر متوجه افزایش ناگهانی ترافیک شدید، از آن عبور نکنید.
  • دسترسی به حساب‌ها بدون اجازه – حساب‌های دارای سطح دسترسی بالا یا ادمین در قیاس با کارمندان عادی به اطلاعات و سیستم‌های بیشتری دسترسی دارند. اما، کارمندان معمولاً راحت‌ترین هدف برای مجرمین سایبری هستند. با دقت روی حساب‌های دارای سطح دسترسی بالا نظارت کنید و روی حساب‌های عادی به افزایش سطح دسترسی دقت داشته باشید.
  • مصرف بیش از حد منابع سیستم و فایل‌های مشکوک – اگر افزایشی را در عملکرد حافظه یا هارد درایوهای شرکت خود مشاهده کردید، ممکن است کسی به‌طور غیرقانونی به آن‌ها دسترسی پیدا کرده باشد یا در حال افشای داده باشد.

ابزار امنیتی مدرن مثل تجزیه‌و‌تحلیل رفتار کاربر و موجودیت یا UEBA این فرایندها را خودکارسازی کرده و می‌توانند ناهنجاری‌هایی را در رفتار کاربر یا دسترسی به فایل شناسایی کنند. این امر پوشش خیلی بهتری از حوادث امنیتی فراهم کرده و در زمان تیم‌های امنیتی صرفه‌جویی می‌نماید.

 ۲. استفاده از رویکرد متمرکز

از ابزار امنیتی و سیستم‌های IT اطلاعات جمع‌آوری کرده و آن را در یک مکان مرکزی، مثل سامانه SIEM نگهداری نمایید. با استفاده از این اطلاعات یک جدول زمانی حادثه بسازید و بررسی حادثه را با تمام نقاط داده‌ی مرتبط، یکجا انجام دهید.

همچنین می‌توانید از یک رویکرد متمرکز استفاده نمایید تا پاسخی سریع و خودکارسازی‌شده را ارائه دهید. از داده‌های بدست آمده از ابزار امنیتی استفاده نمایید، تجزیه‌و‌تحلیل پیشرفته‌ای را به آن اعمال کنید و با استفاده از تکنولوژی‌هایی مثل تنظیم امنیت، خودکارسازی و پاسخ یا به اختصار SOAR، پاسخ‌های خودکار را روی سیستم‌هایی مثل فایروال‌ها و سرورهای ایمیل تنظیم نمایید.

۳. فرض نکنید، استدلال کنید

تحقیقات خود را براساس فرض اینکه رخداد یا حادثه‌ای وجود دارد پیش نبرید. به جای اینکه فرضیاتی داشته باشید، براساس سؤالی که می‌توانید آن را ارزیابی و تائید نمایید، استدلال کنید. مثلاً بگویید: «اگر من متوجه هشدار X روی سیستم Y شده‌ام، باید ببینم که آیا رخداد Z در این نزدیکی اتفاق افتاده است یا خیر.

استدلال‌های خود را براساس تجربه‌ی مدیریت سیستم‌ها، نوشتن نرم‌افزار، پیکربندی شبکه‌ها، ساخت سیستم‌ها و غیره بسازید و سیستم‌ها و فرایندها را از دید مهاجم ببینید.

۴. حذف رخدادهای غیرممکن

شاید ندانید که دقیقاً به دنبال چه چیزی هستید. در چنین مواقعی، رخدادهایی را که برایشان توضیحی منطقی وجود دارد کنار بگذارید. سپس رخدادهایی باقی می‌ماند که هیچ توضیح مشخصی ندارند.

برای مثال:

  • ناسازگاری‌ها یا افزونگی‌های بدون توضیح در کد شما
  • مشکلاتی در دسترسی به عملکردهای مدیریتی یا لاگین‌های مدیریتی (Administrative)
  • تغییرات بدون توضیح در حجم ترافیک (مثلاً کاهش شدید)
  • تغییرات بدون توضیح در محتوا، چیدمان یا طراحی سایت شما
  • مشکلات عملکرد که روی دسترس‌پذیری وب‌سایت شما تأثیرگذار هستند

۵. انجام اقدامات پس از حادثه

به مانیتورینگ سیستم‌های خود ادامه دهید و هر رفتار غیرعادی را رصد کنید تا مطمئن شوید که مهاجم بازنگشته است. به حوادث جدید دقت کنید و مرور پس از حادثه را انجام دهید تا هر مشکلی که در طول اجرای برنامه‌ی پاسخ به حادثه تجربه شده است، جداسازی گردد.

در قسمت چهارم این مطلب، به عنصر سوم، یعنی ابزار خواهیم پرداخت.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.