مزایا و اهمیت برنامه پاسخ‌گویی به حوادث سایبری برای برنامه‌های تحت وب

به ندرت روزی سپری می‌شود بدون اینکه گزارشی درباره هزینه‌های سنگین نشت داده[۱] یا از کارافتادگی سرویس‌های یک سازمان شنیده نشود. این نکته را نیز باید در نظر داشت که بخش زیادی از حوادث امنیتی هیچ‌گاه گزارش نمی‌شوند. با توجه به این موضوع و تعداد زیاد کسب‌و‌کارهای وابسته به فناوری‌های تحت وب، این احتمال وجود دارد که دیر یا زود هر سازمانی با یک حادثه امنیت سایبری روبرو شود که بر وب‌سایت‌ها، برنامه‌های تحت وب، یا سرویس‌های حیاتی مبتنی بر Cloud تاثیر بگذارد. در نتیجه، جهت تداوم کسب‌و‌کار و همچنین ثبت تمام اطلاعات موردنیاز جهت مدیریت هر حادثه و پیامدهای آن، داشتن یک برنامه پاسخ‌گویی به حوادث سایبری[۲] (IR plan) بسیار مهم بوده و امنیت وب نیز از این قائده مستثنی نیست. در واقع، سیستم‌ها و فرایندهای مبتنی بر وب و Cloud بیش از دیگر قسمت‌های سازمان در معرض خطر هستند؛ بنابراین، جهت اطمینان از امنیت اطلاعات، برنامه‌ریزی پاسخ‌گویی به حوادث وب از اهمیت بسیار بیشتری برخوردار است. با توجه به این موضوع، در ادامه این مطلب، نحوه برنامه‌ریزی برای پاسخ‌گویی به حوادث امنیت سایبری وب را بررسی کرده و دلایل موردنیاز برای یک برنامه پاسخ موثر و آزمایش شده را بیان خواهیم کرد.

تیم پاسخ‌گویی به حوادث امنیت سایبری[۳] وب

قبل از شروع برنامه ریزی، باید افراد دخیل در فرآیندهای ارزیابی و پاسخگویی به حوادث مشخص شوند، در حقیقت سازمان به یک تیم پاسخ‌گویی به حوادث امنیت سایبری وب یا CSIRT نیاز دارد. برای انتخاب افراد مناسب، با توجه به ساختار و Back-end برنامه تحت وب، باید افراد دارای مهارت و مجوز جهت تجزیه و تحلیل حوادث و اجرای فرایندهای بازیابی شناسایی شوند. با توجه به اندازه و پیچیدگی وب‌سایت یا برنامه، تیم پاسخ‌گویی می‌تواند از تنها چند ادمین تا ترکیبی از افراد و گروه‌های مختلف در سازمان تشکیل شده باشد. با توجه به تاثیرگذاری عملیات‌های امنیت بر تمام سازمان، مانند آفلاین کردن سیستم‌های حیاتی یا اجرای عملیات بازیابی، نیاز به کسب مجوز مدیران بالادست باشد؛ بنابراین، ممکن است تیم CSIRT، علاوه بر کارکنان فنی به مدیران اجرایی نیز نیاز داشته باشد. علاوه‌براین، لازم است تا نقش‌ها و مسئولیت‌های افراد و گروه‌های اصلی در برنامه، مستند شده و اطمینان حاصل شود که هر عضو تیم، نقش خود را می‌داند و بر اساس آن آموزش‌های لازم را دیده است.

در هر گونه شرایط اضطراری، به ویژه در یک حمله سایبری که ممکن است زیرساخت سازمان تحت تاثیر قرار گیرد، ارتباطات از اهمیت زیادی برخوردار است. با توجه به این موضوع، برنامه پاسخ تهیه شده باید کانال‌های ارتباطی مختلفی را برای برقراری ارتباط مابین اعضای تیم مشخص کرده و مشکلات فنی که ممکن است در طول یک حمله سایبری احتمالی به وجود آید را پیش‌بینی کند. علاوه‌براین، باید اطمینان حاصل شود که تمام نقش‌های حیاتی همواره و در هر شرایط اضطراری آماده و حاضر هستند. در صورتیکه تنها فرد با مهارت یا صلاحیت لازم در زمان موردنیاز در تعطیلات بوده یا مدت‌ها پیش سازمان را ترک کرده باشد، داشتن یک روش پاسخ‌گویی کامل نیز بدون فایده است.

یک رویکرد برای اختصاص منابع انسانی به تیم‌های امنیتی، ایجاد یک مرکز عملیات امنیت[۴] (SOC) اختصاصی است، یعنی یک تیم امنیت IT مجزا که تنها مسئولیت امنیت سایبری را بر عهده دارد. مراکز عملیات امنیت کارکنانی مخصوص و ابزارهای امنیتی پیشرفته‌ای مانند SIEM، فایروال‌ها، سیستم‌های تشخیص نفوذ[۵]، راهکارهای تشخیص نشت و غیره را مورد استفاده قرار می‌دهند. با توجه به منابع و نیازمندی‌ها، می‌توان یک SOC درون‌سازمانی ایجاد کرده یا از خدمات یک ارائه‌دهنده بیرونی استفاده نمود. برای کسب‌وکارهای کوچک و متوسط که تا حد زیادی وابسته به راهکارهای مبتنی بر Cloud بوده اما منابع یا تخصص لازم برای توسعه و نگهداری تیم تشخیص و تحقیقاتی خود برای امنیت کامپیوترها را در اختیار ندارند، برون‌سپاری SOC می‌تواند یک گزینه بسیار مناسب باشد.

تجزیه و تحلیل ریسک امنیت سایبری

جهت شناسایی نواحی مهم برای عملیات‌ کسب‌وکار، باید سیستم‌ها و فرایندهای تحت وب را با توجه به عواملی چون میزان در معرض خطر بودن و ارزش داده‌ها، تجزیه و تحلیل کرد. در این راستا، باید بر روی محل‌هایی تمرکز شود که وب‌سایت‌ها یا برنامه‌ها با فرایندها و سیستم‌های حیاتی کسب‌وکار در تعامل هستند. در ادامه باید تجزیه و تحلیل ریسک در مورد هر سناریوی حادثه احتمالی انجام شود. تهدیدات سایبری احتمالی نیز باید شناسایی شده و بر اساس آن، انواع و درجه‌های شدت حادثه مختلف تعریف شود. همچنین باید در مورد زمان و نحوه اقدام بر اساس هوش تهدیدات، برنامه‌ریزی کرده و پیوند بین برنامه تهیه شده و ابزارها و فرایندهای تشخیص نفوذ و تشخیص تهدید موجود برقرار شود.

یکی از تصمیم‌گیری‌های مهم، تعیین و اولویت‌بندی رخدادهای امنیتی مرتبط با وبی است که باید آن‌ها را عنوان یک حادثه امنیتی در نظر گرفت. به عنوان مثال، آیا تلاش‌های پیاپی و ناموفق جهت ورود به حساب‌های کاربری باید به عنوان یک رویداد امنیتی نیازمند اقدام در نظر گرفته شود؟ چه سطحی از تاخیر در پاسخ سرور نیازمند تحقیق و بررسی است؟ آیا به اقدامات فیشینگ باید به عنوان امنیت وب رسیدگی کرد یا امنیت شبکه کلی؟

برنامه تهیه شده علاوه بر تهدیدات با درجه شدت بالا، باید تهدیدات با درجه شدت پایین را نیز پوشش دهد، حتی یک نشت امنیتی که دارای اولویت پایین یا متوسط است نیز می‌تواند عواقبی وخیم مانند از دست دادن داده‌ها، افشای اطلاعات یا آلودگی به بدافزار را در پی داشته باشد.

با توجه به معماری سیستم‌ها و برنامه‌ها، یک برنامه تحت وب به مخاطره افتاده ممکن است با پایگاه‌های داده و سیستم‌های اصلی کسب‌و‌کار ارتباط برقرار کرده و در نتیجه ممکن است خطرات امنیتی از سیستم‌های تحت وب فراتر برود. باید توجه داشت که با توجه به سهولت اضافه کردن یک وب‌سرویس جدید یا توسعه یک وب‌سرویس موجود برای توسعه‌دهندگان، وابستگی‌ به سرویس‌های مبتنی بر Cloud می‌تواند در محل‌هایی غیرمنتظره دیده شود. جهت آمادگی برای بازیابی، سیاست‌های پشتیبان‌گیری موجود باید شناسایی شده و نقاط بازیابی موردنیاز برای زیرساخت وب تعریف شود.

فرایند پاسخ‌گویی به حوادث سایبری

پس از شناخت تیم CSIRT و خطرات ممکن، باید به آماده‌سازی رویه‌های پاسخ‌گویی و بازیابی از فاجعه[۶] برای انواع و درجه‌های مختلف حوادث شناسایی شده پرداخته شود. در این راستا، باید برای هر رویه ابزارهای امنیتی و ارتباطی و مجوزهای موردنیاز مشخص شود. جهت اطلاع از اتفاق رخ داده و همچنین زمان و فرد انجام‌دهنده اقدام، باید رویه‌هایی را برای ثبت اطلاعات وقایع و ضبط فرایند پاسخ‌گویی در نظر گرفت. Logهای حوادث، علاوه بر بررسی‌های شخصی، برای انجام هر گونه تحقیقات توسط نهادهای نظارتی و قانونی مهم هستند.

آگاهی از وضعیت یک جنبه بسیار مهم از هر پاسخ اضطراری است؛ بنابراین، برنامه پاسخ‌گویی تهیه شده باید قواعد و روش‌هایی را برای نظارت بلادرنگ وضعیت تهدید مشخص کند. در این راستا، برای اطمینان از وجود تصویری روشن از هر گونه شرایط اضطراری لازم است تا به پرسش‌های زیر پاسخ داده شود. چه کسی تصمیم می‌گیرد که چه موقع یک رویداد یک حادثه است؟ نحوه به‌ اشتراک‌گذاری اطلاعات بین اعضای تیم پاسخ‌گویی به حوادث چگونه است؟ مسئولیت به‌روزرسانی وضعیت بر عهده کیست و چند وقت یک بار باید این اقدام صورت گیرد؟

با توجه به مقیاس و گستره عملیات‌ تحت وب، آماده‌سازی الگوهای پیام‌رسانی مناسب برای انواع و درجه‌های مختلف حوادث می‌تواند ایده خوبی باشد. پیام‌رسانی می‌تواند از پیام‌های خطای ساده تا بیانیه‌های عمومی برای نشت‌ها و حوادث جدی باشد. در مورد سازمان‌های بزرگ، ارتباطات خارجی در حین بازیابی حادثه نه تنها بر اعتبار و ارزش، بلکه حتی بر میزان علاقه مراجع نظارتی به حادثه رخ داده -مخصوصا برای نشت‌های احتمالی اطلاعات محرمانه- تاثیرگذار است. در نتیجه، باید اطمینان حاصل شود که نحوه پیام‌رسانی مورد تایید واحد ارتباطات عمومی و واحد حقوقی بوده و همچنین در برنامه پاسخ‌گویی به حوادث به طور واضح مشخص باشد که چه کسی مجاز به انتشار چه اطلاعاتی است.

آزمایش و بررسی برنامه پاسخ‌گویی به حوادث

پس از آماده و تایید شدن برنامه، جهت اطمینان از واقع‌بینانه بودن و مطابق انتظار کار کردن آن، لازم است تا تمام رویه‌ها و کانال‌های ارتباطی آزمایش شوند. نشست‌های شبیه‌سازی حوادث، روشی آسان و مقرون‌به‌صرفه برای اصلاح رویه‌های پاسخ‌گویی و آموزش اعضای تیم بوده که برای ارائه سابقه از نواحی مشکلات شناسایی شده و بهبودهای بالقوه، باید مستند شوند.

برای اطمینان از جا نیافتادن فرایندها از تهدیدات جدید و تغییرات در سیستم‌ها و تغییرات سازمانی، لازم است تا بررسی‌های دوره‌ای نیز صورت گیرد، به طور معمول سالی یک بار، اما برای محیط‌هایی که تغییرات سریع دارند، ممکن است بررسی‌های فصلی موردنیاز باشد. در این بررسی‌ها، باید صحت رویه‌ها و اطلاعات ثبت شده سیستم‌ها بررسی شده و جهت اطمینان از جریان ارتباطی موثر، اطلاعات تماس به‌روزرسانی شود.

مزایای برنامه پاسخ‌گویی موثر

یک برنامه پاسخ‌گویی به حوادث سایبری مربوط به وب موثر و آزمایش شده یک دارایی بسیار با ارزش برای هر سازمانی است. با وجود این برنامه، می‌توان اطمینان داشت که آمادگی لازم جهت واکنش موثر و سریع در مقابل حوادث احتمالی وجود داشته و در صورت وجود مشکل، اثرات منفی بر کسب‌و‌کار کاهش می‌یابد. در نتیجه می‌توان زمان ازکارافتادگی را به حداقل رسانده و مشکلات را قبل از خارج شدن از کنترل، حل نمود. در فرایند تعریف برنامه پاسخ‌گویی، همچنین باید درکی واضح از وضعیت امنیتی سیستم‌های تحت وب و کلی سازمان به دست آید. از نقطه‌نظر حقوقی، داشتن یک برنامه مستند برای اطمینان از انطباق حیاتی است، نشان‌دهنده تلاش و دقت صورت گرفته بوده و دنباله‌ای ثبت شده از تمام رویدادها، سیستم‌های تحت تاثیر قرار گرفته، داده‌هایی که احتمالا افشا شده‌اند و اقدامات تیم پاسخ‌گویی را بر روی کاغذ ارائه می‌کند.

در سوی مقابل، نداشتن یک برنامه موثر برای حوادث وب، یک سازمان را در معرض از کارافتادگی، از دست دادن داده‌ها و حتی مشکلات حقوقی قرار می‌دهد. در حالیکه درک و اندازه‌گیری تاثیر تجاری مستقیم ازکارافتادگی سرویس‌های وب نسبتا آسان به نظر می‌رسد، وابستگی به فناوری‌های وب اغلب به شدت در زیرساخت برنامه تنیده و بنابراین، عواقب واقعی ممکن است جدی‌تر از میزان موردانتظار باشد. همچنین، قوانین سفت و سخت محافظت از داده ممکن است برنامه‌ریزی و ثبت پاسخ‌گویی را به یک الزام تبدیل کند. بدون یک برنامه پاسخ‌گویی خوب و ضبط دقیق حوادث، هر گونه نشت داده حاصل از یک برنامه تحت وب به مخاطره افتاده یا یک سرویس مبتنی بر Cloud ناامن می‌تواند عواقبی بسیار جدی‌تر از هزینه‌های مالی، مانند از از دست دادن اعتبار و مسئولیت‌های حقوقی و جرائم قانونی به دنبال داشته باشد.

خلاصه

با وجود کسب‌وکارهای زیاد وابسته به فناوری‌های Cloud و وب، دیر یا زود هر سازمانی ممکن است نیازمند رسیدگی به یک رویداد امنیت سایبری شود. در نتیجه، داشتن یک برنامه پاسخ‌گویی به حوادث امنیت سایبری برای حفظ تداوم کسب‌و‌کار و ثبت اطلاعات برای مدیریت هر حادثه‌ای و پیامدهای آن بسیار مهم است. در این مطلب به چگونگی برنامه‌ریزی جهت پاسخ‌گویی به حوادث امنیت وب پرداخته شد و لزوم داشتن یک برنامه پاسخ‌گویی موثر و آزمایش شده برای سازمان‌های نوین بیان گشت.

[۱] Data breach

[۲] Cyber Incident Response Plan

[۳] Web Cyber Security Incident Response Team

[۴] Security operations center

[۵] Intrusion detection system

[۶] Disaster recovery

منبع:

https://www.netsparker.com/blog/web-security/cyber-incident-response-plan

ایمیل خود را وارد کنید و عضو خبرنامه شوید.
ما را در تلگرام دنبال کنید
ما را در لینکدین دنبال کنید
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.