Telegram-plane Instagram Linkedin Eaparat
Book Phone
  • فارسی

Telegram-plane Instagram Linkedin Eaparat
Book Phone
  • فارسی
APKMAN APKMAN

کاتالوگ

۰۲۱-۴۲۲۷۳

ورود / عضویت

منو
APKMAN
  • صفحه نخست
  • محصولات

    محصولات بومی

    • APKSIEM، سامانه مدیریت وقایع و امنیت اطلاعات
    • APKSWAP، سامانه دسترسی امن به اینترنت
    • APKGATE، سامانه مدیریت یکپارچه تهدیدات بومی
    • APKWAF،فایروال برنامه‌های تحت وب
    • GMC،کنسول مدیریت متمرکز APKGate
    • APKVPN، سامانه دورکاری امن
    Menu
    • APKSIEM، سامانه مدیریت وقایع و امنیت اطلاعات
    • APKSWAP، سامانه دسترسی امن به اینترنت
    • APKGATE، سامانه مدیریت یکپارچه تهدیدات بومی
    • APKWAF،فایروال برنامه‌های تحت وب
    • GMC،کنسول مدیریت متمرکز APKGate
    • APKVPN، سامانه دورکاری امن

    محصولات خارجی

    • نرم‌افزار EnCase، ابزار بازرسی امنیت
    • Cisco ISE
    • Splunk Enterprise Security (Splunk ES)
    • محصولات کسپرسکی برای سازمان‌های Enterprise
    • محصولات کسپرسکی برای سازمان‌های SMB
    Menu
    • نرم‌افزار EnCase، ابزار بازرسی امنیت
    • Cisco ISE
    • Splunk Enterprise Security (Splunk ES)
    • محصولات کسپرسکی برای سازمان‌های Enterprise
    • محصولات کسپرسکی برای سازمان‌های SMB
  • خدمات

    عملیات امنیت

    SECURITY OPERATIONS

    • مرکز عملیات امنیت (SOC)
    • مرکز عملیات امنیت مدیریت شده (MSSP)
    • تیم پاسخ‌گویی به رخدادهای امنیتی (CSIRT)
    Menu
    • مرکز عملیات امنیت (SOC)
    • مرکز عملیات امنیت مدیریت شده (MSSP)
    • تیم پاسخ‌گویی به رخدادهای امنیتی (CSIRT)

    امنیت شبکه

    Network Security

    • تست نفوذ (Penetration Test)
    • مقاوم سازی (Hardening)
    Menu
    • تست نفوذ (Penetration Test)
    • مقاوم سازی (Hardening)

    خدمات پیشرفته امنیت

    Advanced Security Services

    • تیم قرمز (Red Team)
    • بازرسی امنیت سایبری (Forensic)
    • تحلیل بدافزار (Malware Analysis)
    • شکار تهدیدات (Threat Hunting)
    • شناسایی و پاسخ‌دهی تهدیدات Endpoint
    Menu
    • تیم قرمز (Red Team)
    • بازرسی امنیت سایبری (Forensic)
    • تحلیل بدافزار (Malware Analysis)
    • شکار تهدیدات (Threat Hunting)
    • شناسایی و پاسخ‌دهی تهدیدات Endpoint

    امنیت اطلاعات

    Information Security

    • سیستم مدیریت امنیت اطلاعات (ISMS)
    • بلوغ امنیت سایبری (Security Maturity)
    Menu
    • سیستم مدیریت امنیت اطلاعات (ISMS)
    • بلوغ امنیت سایبری (Security Maturity)

    امنیت صنعتی

    Industrial Security

    • مدیریت امنیت اطلاعات بر روی شبکه‌های صنعتی
    • کنترل های حیاتی امنیت صنعتی
    Menu
    • مدیریت امنیت اطلاعات بر روی شبکه‌های صنعتی
    • کنترل های حیاتی امنیت صنعتی
  • پایگاه دانش

    مقالات

    مقالات

    • عملیات امنیت
    • امنیت اطلاعات
    • امنیت شبکه
    Menu
    • عملیات امنیت
    • امنیت اطلاعات
    • امنیت شبکه

    اخبار

    اخبار

    • اخبار آسیب‌پذیری
    Menu
    • اخبار آسیب‌پذیری

    چندرسانه ای

    چندرسانه ای

    • ویدیو
    • اینفوگرافیک
    Menu
    • ویدیو
    • اینفوگرافیک
  • نمایندگی
  • شرکت
    • درباره ما
    • چشم انداز و ماموریت
    • تماس با ما
    Menu
    • درباره ما
    • چشم انداز و ماموریت
    • تماس با ما
    • مشتریان ما
    • فرصتهای شغلی
    Menu
    • مشتریان ما
    • فرصتهای شغلی
    • مجوزها
    • گالری تصاویر
    Menu
    • مجوزها
    • گالری تصاویر
خانه پایگاه دانش مقالات عملیات امنیت سه عنصر مهم در پاسخگویی به حوادث امنیتی: برنامه، تیم و ابزار – بخش سوم

سه عنصر مهم در پاسخگویی به حوادث امنیتی: برنامه، تیم و ابزار – بخش سوم

  • 27 مهر 1400
  • 13:21
  • بدون دیدگاه
  • زمان مطالعه: 4 دقیقه

در قسمت اول مقاله گفتیم پاسخ به حادثه رویکردی است برای رسیدگی به نقض‌های امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. سپس درباره اهمیت پاسخگویی به حوادث سایبری صحبت کردیم و به معرفی 3 عنصر مهم در پاسخگویی به حوادث سایبری پرداحتیم. داشتن برنامه‌ جامع 6 مرحله‌ای قدم اول و مهم در این زمینه است. در قسمت دوم به سراغ عنصر شماره 2 یعنی تیم پاسخگویی به حادثه رفتیم و در این قسمت در ادامه بخش دوم، مواردی مهم را در خصوص تیم پاسخگویی به حادثه مطرح خواهیم کرد.

ویژگی‌های مهم برای انتخاب اعضای تیم پاسخ به حادثه

 هنگام جمع کردن یک تیم پاسخ به حادثه باید موارد زیر را مد نظر داشت:

  • در دسترس بودن – یک تیم پاسخ به حادثه باید همیشه و در تمام روزهای سال در دسترس باشد. همچنین ممکن است لازم باشد که در طول حادثه، برخی از اعضا به‌صورت فیزیکی در سایت حضور داشته باشند، پس انتخاب افرادی که نزدیک به دفتر زندگی کنند، سودمند است.
  • اعضای مجازی یا داوطلب در تیم – ممکن است منابع لازم برای تخصیص مسئولیت‌های تمام‌وقت به تمام اعضا وجود نداشته باشد. می‌توان برخی از اعضا را در یک تیم پاسخ به حادثه‌ی «مجازی» کنار هم قرار داد. درصورتی‌که حادثه‌ای اضطراری رخ داد، می‌توان این اعضا را فرا خواند.
  • مدافع کارآمد (Effective Advocate) یا حامی اجرایی – فردی در سطح افسر ارشد امنیت اطلاعات که می‌تواند تأثیر یک حادثه را به گوش اعضای اجرایی دیگر برساند. این فرد باید اطمینان حاصل کند که تیم پاسخ به حادثه بودجه‌ی مناسبی را دریافت‌ می‌کند و اختیارات لازم را برای پاسخ سریع در طول یک فرایند دارد.
  • نظارت و تقویت روحیه کارمندان و تیم – ممکن است همیشه در دسترس بودن برای  تیم شما دشوار باشد و تمرکز و انگیزه‌ی خود را از دست بدهند. می‌توانید با ارائه‌ی فرصت رشد، یادگیری و ساخت تیم، از خستگی تیم پیشگیری کنید. همچنین می‌توانید برخی از فعالیت‌ها را برون‌سپاری کنید که این امر می‌تواند بار کاری و استرس تیم را کاهش دهد.
  • تنوع – تیمی را جمع‌آوری کنید که از نظر فنی متنوع باشد.  نمی‌توانید از اعضای تیم انتظار داشته باشید که در همه‌ی زمینه‌های پاسخ به حادثه متخصص باشند. مهم است که درک کنید چه شکاف‌های مهارتی وجود دارد و افرادی را استخدام نمایید که بتوانند آن شکاف‌ها را پر کنند.

پنج توصیه برای اعضای تیم پاسخ به حادثه

1. جداسازی استثناها

تکنولوژی‌های به تنهایی نمی‌تواند در شناسایی نقض‌های امنیتی موفق باشد. همچنین باید روی بینش‌های انسانی حساب کرد. در ادامه چند مورد از شرایطی که هر روز باید به آن‌ها توجه کرد بیان می‌شود:

  • ناهنجاری در ترافیک – اتصالات حساس و سرورهایی که به‌صورت داخلی مورد استفاده قرار می‌گیرند معمولاً حجم ترافیک باثباتی دارند. اگر متوجه افزایش ناگهانی ترافیک شدید، از آن عبور نکنید.
  • دسترسی به حساب‌ها بدون اجازه – حساب‌های دارای سطح دسترسی بالا یا ادمین در قیاس با کارمندان عادی به اطلاعات و سیستم‌های بیشتری دسترسی دارند. اما، کارمندان معمولاً راحت‌ترین هدف برای مجرمین سایبری هستند. با دقت روی حساب‌های دارای سطح دسترسی بالا نظارت کنید و روی حساب‌های عادی به افزایش سطح دسترسی دقت داشته باشید.
  • مصرف بیش از حد منابع سیستم و فایل‌های مشکوک – اگر افزایشی را در عملکرد حافظه یا هارد درایوهای شرکت خود مشاهده کردید، ممکن است کسی به‌طور غیرقانونی به آن‌ها دسترسی پیدا کرده باشد یا در حال افشای داده باشد.

ابزار امنیتی مدرن مثل تجزیه‌و‌تحلیل رفتار کاربر و موجودیت یا UEBA این فرایندها را خودکارسازی کرده و می‌توانند ناهنجاری‌هایی را در رفتار کاربر یا دسترسی به فایل شناسایی کنند. این امر پوشش خیلی بهتری از حوادث امنیتی فراهم کرده و در زمان تیم‌های امنیتی صرفه‌جویی می‌نماید.

 2. استفاده از رویکرد متمرکز

از ابزار امنیتی و سیستم‌های IT اطلاعات جمع‌آوری کرده و آن را در یک مکان مرکزی، مثل سامانه SIEM نگهداری نمایید. با استفاده از این اطلاعات یک جدول زمانی حادثه بسازید و بررسی حادثه را با تمام نقاط داده‌ی مرتبط، یکجا انجام دهید.

همچنین می‌توانید از یک رویکرد متمرکز استفاده نمایید تا پاسخی سریع و خودکارسازی‌شده را ارائه دهید. از داده‌های بدست آمده از ابزار امنیتی استفاده نمایید، تجزیه‌و‌تحلیل پیشرفته‌ای را به آن اعمال کنید و با استفاده از تکنولوژی‌هایی مثل تنظیم امنیت، خودکارسازی و پاسخ یا به اختصار SOAR، پاسخ‌های خودکار را روی سیستم‌هایی مثل فایروال‌ها و سرورهای ایمیل تنظیم نمایید.

3. فرض نکنید، استدلال کنید

تحقیقات خود را براساس فرض اینکه رخداد یا حادثه‌ای وجود دارد پیش نبرید. به جای اینکه فرضیاتی داشته باشید، براساس سؤالی که می‌توانید آن را ارزیابی و تائید نمایید، استدلال کنید. مثلاً بگویید: «اگر من متوجه هشدار X روی سیستم Y شده‌ام، باید ببینم که آیا رخداد Z در این نزدیکی اتفاق افتاده است یا خیر.

استدلال‌های خود را براساس تجربه‌ی مدیریت سیستم‌ها، نوشتن نرم‌افزار، پیکربندی شبکه‌ها، ساخت سیستم‌ها و غیره بسازید و سیستم‌ها و فرایندها را از دید مهاجم ببینید.

4. حذف رخدادهای غیرممکن

شاید ندانید که دقیقاً به دنبال چه چیزی هستید. در چنین مواقعی، رخدادهایی را که برایشان توضیحی منطقی وجود دارد کنار بگذارید. سپس رخدادهایی باقی می‌ماند که هیچ توضیح مشخصی ندارند.

برای مثال:

  • ناسازگاری‌ها یا افزونگی‌های بدون توضیح در کد شما
  • مشکلاتی در دسترسی به عملکردهای مدیریتی یا لاگین‌های مدیریتی (Administrative)
  • تغییرات بدون توضیح در حجم ترافیک (مثلاً کاهش شدید)
  • تغییرات بدون توضیح در محتوا، چیدمان یا طراحی سایت شما
  • مشکلات عملکرد که روی دسترس‌پذیری وب‌سایت شما تأثیرگذار هستند

5. انجام اقدامات پس از حادثه

به مانیتورینگ سیستم‌های خود ادامه دهید و هر رفتار غیرعادی را رصد کنید تا مطمئن شوید که مهاجم بازنگشته است. به حوادث جدید دقت کنید و مرور پس از حادثه را انجام دهید تا هر مشکلی که در طول اجرای برنامه‌ی پاسخ به حادثه تجربه شده است، جداسازی گردد.

در قسمت چهارم این مطلب، به عنصر سوم، یعنی ابزار خواهیم پرداخت.

Prevقبلسه عنصر مهم در پاسخگویی به حوادث امنیتی: برنامه، تیم و ابزار – بخش دوم
بعدیسه عنصر مهم در پاسخگویی به حوادث امنیتی: برنامه، تیم و ابزار – بخش اولNext
اشتراک گذاری این مطلب
مطالب مرتبط
8 معیار مهم برای انتخاب یک مرکز عملیات امنیت مدیریت‌شده
عملیات امنیت

بررسی 8 معیار مهم برای انتخاب یک مرکز عملیات امنیت مدیریت‌شده یا MSSP – بخش دوم

ادامه مطلب »
عملیات امنیت

بررسی 8 معیار مهم برای انتخاب یک مرکز عملیات امنیت مدیریت‌شده یا MSSP – بخش اول

ادامه مطلب »
بررسی 5 مورد مهم پیش از آغاز عملیات تیم قرمز
عملیات امنیت

بررسی 5 مورد مهم پیش از آغاز عملیات تیم قرمز

ادامه مطلب »
عملیات امنیت

مرکز عملیات امنیت (SOC) چیست؟

ادامه مطلب »

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

درخواست دمو
درخواست مشاوره
درخواست قیمت

درباره شرکت

  • درباره ما
  • مشتریان
  • مجوزها
  • فرصت های شغلی

محصولات

  • سامانه مدیریت وقایع و امنیت اطلاعات
  • سامانه مدیریت یکپارچه تهدیدات بومی
  • سامانه دسترسی به اینترنت امن
  • فایروال برنامه های تحت وب
  • کنسول مدیریتی Gate

خدمات

  • مرکز عملیات امنیت مدیریت شده
  • تیم پاسخ‌دهی به رخداد
  • مرکز عملیات امنیت
  • شکار تهدید
  • تیم قرمز

مقالات و منابع

  • ویدیو
  • مقالات
  • وبینارها
  • اینفوگرافیک

تماس با ما

Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

تهران - بلوار كشاورز، خيابان شهيد نادري پائين‌تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن پردازان کویر میباشد.

  • صفحه نخست
  • محصولات
    • محصولات بومی
      • APKSIEM، سامانه مدیریت وقایع و امنیت اطلاعات
      • APKGATE، سامانه مدیریت یکپارچه تهدیدات بومی
      • APKWAF،فایروال برنامه‌های تحت وب
      • APKSWAP، سامانه دسترسی امن به اینترنت
      • GMC،کنسول مدیریت متمرکز APKGate
      • APKVPN، سامانه دورکاری امن
    • محصولات خارجی
      • Cisco ISE
      • نرم‌افزار EnCase، ابزار بازرسی امنیت
      • Splunk Enterprise Security (Splunk ES)
      • محصولات کسپرسکی برای سازمان‌های Enterprise
      • محصولات کسپرسکی برای سازمان‌های SMB
  • خدمات
    • مرکز عملیات امنیت
      • مرکز عملیات امنیت (SOC)
      • مرکز عملیات امنیت مدیریت شده (MSSP)
      • تیم پاسخ‌گویی به رخدادهای امنیتی (CSIRT)
    • امنیت شبکه
      • مقاوم‌سازی امنیت شبکه (Hardening)
      • تست نفوذپذیری (Penetration Test)
    • خدمات پیشرفته امنیت
      • تیم قرمز (Red Team)
      • بازرسی امنیت (Forensic)
      • تحلیل بدافزار (Malware Analysis)
      • شکار تهدیدات (Threat Hunting)
      • شناسایی و پاسخ‌دهی تهدیدات Endpoint
    • امنیت اطلاعات
      • بلوغ امنیت سایبری (Security Maturity)
      • سیستم مدیریت امنیت اطلاعات (ISMS)
    • امنیت صنعتی
      • کنترل‌های حیاتی امنیت صنعتی (CSC)
      • مدیریت امنیت بر روی شبکه‌های صنعتی (Industrial Cyber Security Management)
  • پایگاه دانش
    • مقالات
      • امنیت اطلاعات
      • امنیت شبکه
      • عملیات امنیت
    • اخبار آسیب‌پذیری
    • اینفوگرافیک
    • ویدیو
  • نمایندگی
  • شرکت
    • درباره امن پردازان کویر
    • چشم انداز و ماموریت
    • تماس با ما
    • فرصتهای شغلی
    • مجوزها
    • گالری تصویر
  • ورود / عضویت
ورود ×
رمز عبور خود را فراموش کرده اید؟
حساب کاربری ندارید؟
ثبت نام
ارسال مجدد رمز عبور یکبار مصرف(00:30)
بازگشت به ورود

ارسال مجدد رمز عبور یکبار مصرف (00:30)
بازگشت به ورود
  • (+98) Iran
رمز عبور خود را فراموش کرده اید؟
حساب کاربری ندارید؟
ثبت نام
ارسال مجدد رمز عبور یکبار مصرف(00:30)
بازگشت به ورود

ارسال مجدد رمز عبور یکبار مصرف (00:30)
بازگشت به ورود
درخواست دمو
درخواست مشاوره
درخواست قیمت