به ندرت روزی سپری میشود بدون اینکه گزارشی درباره هزینههای سنگین نشت داده[۱] یا از کارافتادگی سرویسهای یک سازمان شنیده نشود. این نکته را نیز باید در نظر داشت که بخش زیادی از حوادث امنیتی هیچگاه گزارش نمیشوند. با توجه به این موضوع و تعداد زیاد کسبوکارهای وابسته به فناوریهای تحت وب، این احتمال وجود دارد که دیر یا زود هر سازمانی با یک حادثه امنیت سایبری روبرو شود که بر وبسایتها، برنامههای تحت وب، یا سرویسهای حیاتی مبتنی بر Cloud تاثیر بگذارد. در نتیجه، جهت تداوم کسبوکار و همچنین ثبت تمام اطلاعات موردنیاز جهت مدیریت هر حادثه و پیامدهای آن، داشتن یک برنامه پاسخگویی به حوادث سایبری[۲] (IR plan) بسیار مهم بوده و امنیت وب نیز از این قائده مستثنی نیست. در واقع، سیستمها و فرایندهای مبتنی بر وب و Cloud بیش از دیگر قسمتهای سازمان در معرض خطر هستند؛ بنابراین، جهت اطمینان از امنیت اطلاعات، برنامهریزی پاسخگویی به حوادث وب از اهمیت بسیار بیشتری برخوردار است. با توجه به این موضوع، در ادامه این مطلب، نحوه برنامهریزی برای پاسخگویی به حوادث امنیت سایبری وب را بررسی کرده و دلایل موردنیاز برای یک برنامه پاسخ موثر و آزمایش شده را بیان خواهیم کرد.
تیم پاسخگویی به حوادث امنیت سایبری[۳] وب
قبل از شروع برنامه ریزی، باید افراد دخیل در فرآیندهای ارزیابی و پاسخگویی به حوادث مشخص شوند، در حقیقت سازمان به یک تیم پاسخگویی به حوادث امنیت سایبری وب یا CSIRT نیاز دارد. برای انتخاب افراد مناسب، با توجه به ساختار و Back-end برنامه تحت وب، باید افراد دارای مهارت و مجوز جهت تجزیه و تحلیل حوادث و اجرای فرایندهای بازیابی شناسایی شوند. با توجه به اندازه و پیچیدگی وبسایت یا برنامه، تیم پاسخگویی میتواند از تنها چند ادمین تا ترکیبی از افراد و گروههای مختلف در سازمان تشکیل شده باشد. با توجه به تاثیرگذاری عملیاتهای امنیت بر تمام سازمان، مانند آفلاین کردن سیستمهای حیاتی یا اجرای عملیات بازیابی، نیاز به کسب مجوز مدیران بالادست باشد؛ بنابراین، ممکن است تیم CSIRT، علاوه بر کارکنان فنی به مدیران اجرایی نیز نیاز داشته باشد. علاوهبراین، لازم است تا نقشها و مسئولیتهای افراد و گروههای اصلی در برنامه، مستند شده و اطمینان حاصل شود که هر عضو تیم، نقش خود را میداند و بر اساس آن آموزشهای لازم را دیده است.
در هر گونه شرایط اضطراری، به ویژه در یک حمله سایبری که ممکن است زیرساخت سازمان تحت تاثیر قرار گیرد، ارتباطات از اهمیت زیادی برخوردار است. با توجه به این موضوع، برنامه پاسخ تهیه شده باید کانالهای ارتباطی مختلفی را برای برقراری ارتباط مابین اعضای تیم مشخص کرده و مشکلات فنی که ممکن است در طول یک حمله سایبری احتمالی به وجود آید را پیشبینی کند. علاوهبراین، باید اطمینان حاصل شود که تمام نقشهای حیاتی همواره و در هر شرایط اضطراری آماده و حاضر هستند. در صورتیکه تنها فرد با مهارت یا صلاحیت لازم در زمان موردنیاز در تعطیلات بوده یا مدتها پیش سازمان را ترک کرده باشد، داشتن یک روش پاسخگویی کامل نیز بدون فایده است.
یک رویکرد برای اختصاص منابع انسانی به تیمهای امنیتی، ایجاد یک مرکز عملیات امنیت[۴] (SOC) اختصاصی است، یعنی یک تیم امنیت IT مجزا که تنها مسئولیت امنیت سایبری را بر عهده دارد. مراکز عملیات امنیت کارکنانی مخصوص و ابزارهای امنیتی پیشرفتهای مانند SIEM، فایروالها، سیستمهای تشخیص نفوذ[۵]، راهکارهای تشخیص نشت و غیره را مورد استفاده قرار میدهند. با توجه به منابع و نیازمندیها، میتوان یک SOC درونسازمانی ایجاد کرده یا از خدمات یک ارائهدهنده بیرونی استفاده نمود. برای کسبوکارهای کوچک و متوسط که تا حد زیادی وابسته به راهکارهای مبتنی بر Cloud بوده اما منابع یا تخصص لازم برای توسعه و نگهداری تیم تشخیص و تحقیقاتی خود برای امنیت کامپیوترها را در اختیار ندارند، برونسپاری SOC میتواند یک گزینه بسیار مناسب باشد.
تجزیه و تحلیل ریسک امنیت سایبری
جهت شناسایی نواحی مهم برای عملیات کسبوکار، باید سیستمها و فرایندهای تحت وب را با توجه به عواملی چون میزان در معرض خطر بودن و ارزش دادهها، تجزیه و تحلیل کرد. در این راستا، باید بر روی محلهایی تمرکز شود که وبسایتها یا برنامهها با فرایندها و سیستمهای حیاتی کسبوکار در تعامل هستند. در ادامه باید تجزیه و تحلیل ریسک در مورد هر سناریوی حادثه احتمالی انجام شود. تهدیدات سایبری احتمالی نیز باید شناسایی شده و بر اساس آن، انواع و درجههای شدت حادثه مختلف تعریف شود. همچنین باید در مورد زمان و نحوه اقدام بر اساس هوش تهدیدات، برنامهریزی کرده و پیوند بین برنامه تهیه شده و ابزارها و فرایندهای تشخیص نفوذ و تشخیص تهدید موجود برقرار شود.
یکی از تصمیمگیریهای مهم، تعیین و اولویتبندی رخدادهای امنیتی مرتبط با وبی است که باید آنها را عنوان یک حادثه امنیتی در نظر گرفت. به عنوان مثال، آیا تلاشهای پیاپی و ناموفق جهت ورود به حسابهای کاربری باید به عنوان یک رویداد امنیتی نیازمند اقدام در نظر گرفته شود؟ چه سطحی از تاخیر در پاسخ سرور نیازمند تحقیق و بررسی است؟ آیا به اقدامات فیشینگ باید به عنوان امنیت وب رسیدگی کرد یا امنیت شبکه کلی؟
برنامه تهیه شده علاوه بر تهدیدات با درجه شدت بالا، باید تهدیدات با درجه شدت پایین را نیز پوشش دهد، حتی یک نشت امنیتی که دارای اولویت پایین یا متوسط است نیز میتواند عواقبی وخیم مانند از دست دادن دادهها، افشای اطلاعات یا آلودگی به بدافزار را در پی داشته باشد.
با توجه به معماری سیستمها و برنامهها، یک برنامه تحت وب به مخاطره افتاده ممکن است با پایگاههای داده و سیستمهای اصلی کسبوکار ارتباط برقرار کرده و در نتیجه ممکن است خطرات امنیتی از سیستمهای تحت وب فراتر برود. باید توجه داشت که با توجه به سهولت اضافه کردن یک وبسرویس جدید یا توسعه یک وبسرویس موجود برای توسعهدهندگان، وابستگی به سرویسهای مبتنی بر Cloud میتواند در محلهایی غیرمنتظره دیده شود. جهت آمادگی برای بازیابی، سیاستهای پشتیبانگیری موجود باید شناسایی شده و نقاط بازیابی موردنیاز برای زیرساخت وب تعریف شود.
فرایند پاسخگویی به حوادث سایبری
پس از شناخت تیم CSIRT و خطرات ممکن، باید به آمادهسازی رویههای پاسخگویی و بازیابی از فاجعه[۶] برای انواع و درجههای مختلف حوادث شناسایی شده پرداخته شود. در این راستا، باید برای هر رویه ابزارهای امنیتی و ارتباطی و مجوزهای موردنیاز مشخص شود. جهت اطلاع از اتفاق رخ داده و همچنین زمان و فرد انجامدهنده اقدام، باید رویههایی را برای ثبت اطلاعات وقایع و ضبط فرایند پاسخگویی در نظر گرفت. Logهای حوادث، علاوه بر بررسیهای شخصی، برای انجام هر گونه تحقیقات توسط نهادهای نظارتی و قانونی مهم هستند.
آگاهی از وضعیت یک جنبه بسیار مهم از هر پاسخ اضطراری است؛ بنابراین، برنامه پاسخگویی تهیه شده باید قواعد و روشهایی را برای نظارت بلادرنگ وضعیت تهدید مشخص کند. در این راستا، برای اطمینان از وجود تصویری روشن از هر گونه شرایط اضطراری لازم است تا به پرسشهای زیر پاسخ داده شود. چه کسی تصمیم میگیرد که چه موقع یک رویداد یک حادثه است؟ نحوه به اشتراکگذاری اطلاعات بین اعضای تیم پاسخگویی به حوادث چگونه است؟ مسئولیت بهروزرسانی وضعیت بر عهده کیست و چند وقت یک بار باید این اقدام صورت گیرد؟
با توجه به مقیاس و گستره عملیات تحت وب، آمادهسازی الگوهای پیامرسانی مناسب برای انواع و درجههای مختلف حوادث میتواند ایده خوبی باشد. پیامرسانی میتواند از پیامهای خطای ساده تا بیانیههای عمومی برای نشتها و حوادث جدی باشد. در مورد سازمانهای بزرگ، ارتباطات خارجی در حین بازیابی حادثه نه تنها بر اعتبار و ارزش، بلکه حتی بر میزان علاقه مراجع نظارتی به حادثه رخ داده -مخصوصا برای نشتهای احتمالی اطلاعات محرمانه- تاثیرگذار است. در نتیجه، باید اطمینان حاصل شود که نحوه پیامرسانی مورد تایید واحد ارتباطات عمومی و واحد حقوقی بوده و همچنین در برنامه پاسخگویی به حوادث به طور واضح مشخص باشد که چه کسی مجاز به انتشار چه اطلاعاتی است.
آزمایش و بررسی برنامه پاسخگویی به حوادث
پس از آماده و تایید شدن برنامه، جهت اطمینان از واقعبینانه بودن و مطابق انتظار کار کردن آن، لازم است تا تمام رویهها و کانالهای ارتباطی آزمایش شوند. نشستهای شبیهسازی حوادث، روشی آسان و مقرونبهصرفه برای اصلاح رویههای پاسخگویی و آموزش اعضای تیم بوده که برای ارائه سابقه از نواحی مشکلات شناسایی شده و بهبودهای بالقوه، باید مستند شوند.
برای اطمینان از جا نیافتادن فرایندها از تهدیدات جدید و تغییرات در سیستمها و تغییرات سازمانی، لازم است تا بررسیهای دورهای نیز صورت گیرد، به طور معمول سالی یک بار، اما برای محیطهایی که تغییرات سریع دارند، ممکن است بررسیهای فصلی موردنیاز باشد. در این بررسیها، باید صحت رویهها و اطلاعات ثبت شده سیستمها بررسی شده و جهت اطمینان از جریان ارتباطی موثر، اطلاعات تماس بهروزرسانی شود.
مزایای برنامه پاسخگویی موثر
یک برنامه پاسخگویی به حوادث سایبری مربوط به وب موثر و آزمایش شده یک دارایی بسیار با ارزش برای هر سازمانی است. با وجود این برنامه، میتوان اطمینان داشت که آمادگی لازم جهت واکنش موثر و سریع در مقابل حوادث احتمالی وجود داشته و در صورت وجود مشکل، اثرات منفی بر کسبوکار کاهش مییابد. در نتیجه میتوان زمان ازکارافتادگی را به حداقل رسانده و مشکلات را قبل از خارج شدن از کنترل، حل نمود. در فرایند تعریف برنامه پاسخگویی، همچنین باید درکی واضح از وضعیت امنیتی سیستمهای تحت وب و کلی سازمان به دست آید. از نقطهنظر حقوقی، داشتن یک برنامه مستند برای اطمینان از انطباق حیاتی است، نشاندهنده تلاش و دقت صورت گرفته بوده و دنبالهای ثبت شده از تمام رویدادها، سیستمهای تحت تاثیر قرار گرفته، دادههایی که احتمالا افشا شدهاند و اقدامات تیم پاسخگویی را بر روی کاغذ ارائه میکند.
در سوی مقابل، نداشتن یک برنامه موثر برای حوادث وب، یک سازمان را در معرض از کارافتادگی، از دست دادن دادهها و حتی مشکلات حقوقی قرار میدهد. در حالیکه درک و اندازهگیری تاثیر تجاری مستقیم ازکارافتادگی سرویسهای وب نسبتا آسان به نظر میرسد، وابستگی به فناوریهای وب اغلب به شدت در زیرساخت برنامه تنیده و بنابراین، عواقب واقعی ممکن است جدیتر از میزان موردانتظار باشد. همچنین، قوانین سفت و سخت محافظت از داده ممکن است برنامهریزی و ثبت پاسخگویی را به یک الزام تبدیل کند. بدون یک برنامه پاسخگویی خوب و ضبط دقیق حوادث، هر گونه نشت داده حاصل از یک برنامه تحت وب به مخاطره افتاده یا یک سرویس مبتنی بر Cloud ناامن میتواند عواقبی بسیار جدیتر از هزینههای مالی، مانند از از دست دادن اعتبار و مسئولیتهای حقوقی و جرائم قانونی به دنبال داشته باشد.
خلاصه
با وجود کسبوکارهای زیاد وابسته به فناوریهای Cloud و وب، دیر یا زود هر سازمانی ممکن است نیازمند رسیدگی به یک رویداد امنیت سایبری شود. در نتیجه، داشتن یک برنامه پاسخگویی به حوادث امنیت سایبری برای حفظ تداوم کسبوکار و ثبت اطلاعات برای مدیریت هر حادثهای و پیامدهای آن بسیار مهم است. در این مطلب به چگونگی برنامهریزی جهت پاسخگویی به حوادث امنیت وب پرداخته شد و لزوم داشتن یک برنامه پاسخگویی موثر و آزمایش شده برای سازمانهای نوین بیان گشت.
[۱] Data breach
[۲] Cyber Incident Response Plan
[۳] Web Cyber Security Incident Response Team
[۴] Security operations center
[۵] Intrusion detection system
[۶] Disaster recovery
منبع:
https://www.netsparker.com/blog/web-security/cyber-incident-response-plan