چگونه اعضای مناسب را برای تیم پاسخ به حوادث امنیتی انتخاب کنیم؟

تیم پاسخ به حوادث

در خصوص استخدام اعضای تیم پاسخ به حوادث امنیتی به ذکر سه مورد کلیدی می‌پردازیم که بر اساس پیشنهاد‌های مؤسسه ملی فناوری و استاندارد‌هاست و از راهنمای مدیریت حوادث امنیتی کامپیوتری استخراج شده است.

در دسترس بودن شبانه‌روزی

به احتمال زیاد سازمان شما هم مثل اکثر سازمان‌هاست؛ بنابراین، نیاز است اعضای تیم پاسخ به حوادث امنیتی سازمان به صورت ۲۴x7x365 در دسترس باشند. حتماً به یاد داشته باشید ممکن است در برخی موارد خاص به پشتیبانی کارمندان حاضر در محل نیاز داشته باشید، بنابراین، نزدیکی محل زندگی اعضای تیم پاسخ به حوادث به محل کار مزیت بزرگی محسوب می‌شود. نقش‌ها و مسئولیت‌های اعضای تیم را روشن و مستقیم بیان کنید.

استخدام اعضای مجازی و یا داوطلب (درصورتی‌که استخدام اعضای تمام‌وقت امکان‌پذیر نباشد)

ممکن است توانایی محول کردن مسئولیت‌های تمام‌وقت به تمامی اعضا را نداشته باشید. درصورتی‌که تعداد کارکنان کم باشد، تعدادی از اعضای تیم‌ها می‌توانند عضو تیم پاسخ به حوادث مجازی باشند. تیم پاسخ به حوادث مجازی کمی شبیه به یک واحد آتش‌نشانی داوطلبانه است. هرگاه حادثه‌ای اضطراری رخ دهد، با اعضای تیم تماس گرفته می‌شود تا فوراً دور هم جمع شوند و کسانی که بتوانند کمک کنند این کار را می‌کنند. معمولاً Help Desk فناوری اطلاعات اولین نقطه ارتباط برای گزارش حوادث است. اعضای Help Desk آموزش می‌بینند تا بررسی‌های اولیه را انجام داده و اطلاعات مورد نیاز را گردآوری کنند و سپس در صورتی‌که به نظر برسد حادثه‌ای جدی رخ داده به تیم پاسخ به حوادث سایبری هشدار دهند.

نظارت و تقویت روحیه تیم و کارکنان

کار تیم پاسخ به حوادث بسیار استرس‌زاست و در دسترس بودن مداوم ممکن است ضرر زیادی به تیم وارد کند. این امر باعث می‌شود اعضای تیم پاسخ به رخداد (CSIRT) به راحتی خسته شوند یا انگیزه و تمرکزشان را از دست بدهند. جلوگیری از خستگی مفرط کارکنان از طریق ارائه فرصت‌هایی برای یادگیری و رشد و همچنین ساخت تیم و بهبود ارتباط اعضا از اهمیت بالایی برخوردار است. همچنین ممکن است بخواهید بخشی از فعالیت‌های شناسایی و پاسخ به حوادث را به شریکی قابل‌اعتماد مانند مرکز عملیات امنیت مدیریت شده (MSSP) برون‌سپاری کنید

چرا باید عضو تیم پاسخ به حوادث شد؟

همان‌طور که پیشتر گفتیم، تیم پاسخ به حوادث نیاز به افرادی خارق‌العاده دارد که کنجکاوی ذهنی و اشتیاقی خستگی‌ناپذیر داشته باشند و هرگز تسلیم نشوند، علی‌الخصوص در مواقع بحرانی. چنین توصیفاتی شبیه به ویژگی‌های رهبری بزرگ است و همین موضوع است که بسیاری از اعضای سازمان را جذب می‌کند تا به تیم پاسخ به حوادث بپیوندند. فرصت اینکه درون و بیرون از شرکت رهبر شوی و رهبر دیده شوی، فرصتی است که به راحتی بدست نمی‌آید و می‌تواند مزایایی بیشتر از آنچه در ابتدا تصور می‌شود به دنبال داشته باشد. در تیم پاسخ به حوادث مواردی مانند قوانین افشا و روند‌ها، گفت‌و‌گوی موثر با خبرگزاری‌ها و هیئت اجرایی و… را یاد خواهید گرفت.

بیشتر بخوانید: تیم واکنش به رخداد (CSIRT): نقش‌‌ها و مسولیت‌‌ها

موارد مهم برای افراد تازه کار در تیم پاسخ به حوادث

چه مهارت‌هایی لازم است؟ باید به دنبال چه چیز‌های مهمی بود؟

علاوه‌بر مهارت فنی و توانایی حل مسئله، اعضای تیم پاسخ به حوادث سایبری باید توانایی کارگروهی قوی و برقراری ارتباط با دیگران را داشته باشند. مهارت‌های گفتاری و نوشتاری ضروری‌اند زیرا همکاری و هماهنگی کلید اصلی پاسخ به حوادث موثر است. کنجکاوی ذهنی و مشاهده‌گری دقیق از دیگر مهارت‌هایی است که نیاز به تقویت شدن دارد.

تحلیل امنیتی مانند کار کارآگاهی است. در حالی که سایر کارهای فنی، افراد را در مقابل دانش خود از فناوری قرار می دهد، تجزیه و تحلیل امنیتی جایی است که در آن با دانش یک فرد ناشناس رقابت می‌شود. کارآگاهی مملو از سرنخ های دروغین، بن بست ها، شواهد نادرست و شاهدان غیرقابل اعتماد است. افراد تیم پاسخ به حوادث خواهند آموخت که بسیاری از مهارت های مشابه را برای مقابله با این موارد توسعه دهند.

۵ نکته برای اعضای تیم پاسخ به حوادث

دنبال وجوه مشترک و استثنا‌های رایج بگردید

تحلیل امنیتی شامل بررسی موشکافانه دسته‌هایی از اطلاعات است؛ اطلاعاتی از جمله فایل‌های لاگ، پایگاه‌های داده و رویداد‌های کنترل امنیتی. پیدا کردن سرنخ در حجم زیادی از داده‌ها مانند لاگ‌ها، پایگاه‌های داده و… نیاز به جمع‌آوری و بررسی دارند. رایج‌ترین چیز چیست؟ کدام رایج نیست؟ اشتراکاتشان چیست؟ کدام از همه برجسته‌تر است؟

یک سیستم ممکن است روزانه ۱۰،۰۰۰ اتصال TCP‌ برقرار کند اما به کدام یک از میزبان‌ها تنها یکبار متصل شده است؟ هنگام دنبال کردن رد یک لاگ، همیشه دنبال چیز‌هایی باشید که بتوانید با هم در یک گروه قرار دهید؛ با ویژگی‌های مشترکشان شروع کنید و سپس آن را که از همه برجسته‌تر است انتخاب کنید.

بر اساس ارتباطات عقلانی قطعی پیش بروید نه فرضیات

عقل سلیم می‌گوید بر اساس فرضیات پیش نروید. پیش رفتن با این فرض که چیزی وجود دارد نتایج ضعیفی از جانب تیم پاسخ به حوادث به دنبال دارد. از طرف دیگر، افراد در تلاش برای پیش نرفتن با فرضیات به تله می‌افتند. برای یافتن حقیقت، باید ارتباطات عقلانی را کنار هم بگذارید و آن‌ها را بیازمایید.

«اگر بدانم که این سیستم x‌ است و هشدار Y را دیده باشم باید رویداد Z را در سیستم دیگر ببینم.»

این ارتباطی عقلانی و قطعی است که قابل آزمایش است و اگر درستی آن اثبات شود متوجه می‌شوید که در مسیر درستید. (اگر فرض را بر این بگیریم که این ارتباطات عقلانی بر اساس اطلاعات درست هستند.)

نا‌ممکن‌ها را حذف کنید

وقتی نا‌ممکن‌ها را حذف کنید، هرچه بماند، هر‌چقدر هم بعید به نظر برسد، احتمالاً حقیقت است. موارد بسیاری پیش خواهد آمد که نمی‌دانید دقیقاً به دنبال چه چیزی هستید، به حدی که اگر درست جلوی چشمتان هم باشد ممکن است متوجه آن نشوید. در این شرایط کارآمدترین راه، حذف چیز‌هایی است که می‌توان با دلیل و منطق از دور خارج کرد تا جایی‌که تنها چیز‌های باقی بمانند که پاسخی در آن لحظه برایشان ندارید و آن‌جاست که می‌توان حقیقت را یافت.

همیشه به دنبال توضیح ساده‌تر باشید

چیزی که پاسخ به حادثه را کاری با ‌ارزش می‌کند پیدا کردن و متوقف کردن عامل مزاحم پیش از آن است که خسارتی جدی به بار آورد. وقتی شغل شما جستجو برای یافتن عامل مخرب و فعالیت‌های مشکوک و آسیب‌زا باشد، امکان پیداکردن این موارد آسان‌تر است..

گاهی اوقات آن حمله‌ای که مطمئن هستید کشف کرده‌اید، فقط شخصی است که روی کادر انتخاب پیکربندی اشتباه کلیک می‌کند.

مسائل را از دیدگاه مهاجمان تصور کنید. اگر جای آن‌ها بودید چه کار می‌کردید؟

اعضای با‌تجربه تیم پاسخ به حوادث که هدفشان به دام انداختن تهاجم‌های کنترل‌شده توسط مهاجمان انسانی‌ای است که به دنبال دزدیدن دارایی‌ معنوی هستند، توانایی‌ای دارند که نه قابل آموزش دادن است و نه می‌توان به طور کافی در اینجا آن را توضیح داد.

با استفاده از تجربه مدیریت سیستم‌ها، ساختن سیستم‌ها، نوشتن نرم‌افزار و پیکر‌بندی شبکه‌ها و همچنین دانستن درمورد چگونگی درهم شکستن امنیتشان می‌توان توانایی پرسیدن این سؤال را که «اگر جای مهاجمان بودم در مرحله بعد چه می‌کردم؟» را در خود تقویت کرد و بر اساس این سؤال رابطه‌ای منطقی و قابل آزمایش ساخت (که ممکن است معمولاً درست از آب دربیاید و به شما اجازه بدهد در بررسی‌هایتان چند قدم جلوتر بیفتید).

حرف آخر: سیستم‌ها را مطالعه کنید، تهاجم‌ها را مطالعه کنید، مهاجم‌ها را مطالعه کنید، بفهمید چطور فکر می‌کنند، وارد ذهنشان شوید. از حریفتان هوشمند‌تر عمل کنید.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.