هدف اصلی یک برنامهی پاسخ به حوادث امنیتی یا Incident Response این است که پیش از اینکه حوادث تبدیل به مشکلاتی اساسی شوند، به آنها پاسخ دهد. با افزایش بسامد و انواع نقضهای امنیتی داده، نداشت یک برنامهی پاسخ به حادثه یا Incident Response Plan میتواند منجر به افزایش زمان بازیابی، بالا رفتن هزینهها و آسیب به کارآمدی امنیت اطلاعات شود.
پاسخگویی به حوادث امنیتی یا Incident Response چیست؟
پاسخ به حادثه رویکردی است برای رسیدگی به نقضهای امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. یک حادثه را میتوان بهعنوان نقض قانون، سیاست یا هر عمل غیرقابلقبولی تعریف کرد که به داراییهای اطلاعاتی مثل شبکهها، رایانهها یا گوشیهای هوشمند مربوط باشد.
پاسخگویی به حوادث امنیتی چه اهمیتی دارد؟
وقتی سازمان شما به سرعت به حادثهای پاسخ دهد، میتواند ضررها را کاهش دهد، فرایندها و خدمات را بازیابی کرده و خطر آسیبپذیریهایی که اکسپلویت شدهاند را به حداقل برساند. حادثهای که بهطور کارآمد کنترل نشود، امکان منجرشدن به یک نقض امنیتی داده با عواقب فاجعهبار را داراست. پاسخ به حادثه اولین خط دفاعی است که در مقابل حوادث امنیتی وجود دارد و در طولانیمدت به ایجاد مجموعهای از بهترین راهکارها برای پیشگیری از نقضهای امنیتی پیش از رخ دادن آنها کمک میکند.
موارد مهم در مدیریت بهینه پاسخگویی به حوادث امنیتی
مدیریت بهینهی پاسخ به حادثه عبارت است از:
۱. داشتن برنامهای جامع
یک برنامهی پاسخ به حادثه باید تیم شما را برای رسیدگی به تهدیدات آماده کند، نشان دهد که حوادث چگونه باید جداسازی شده و شدت آنها تعیین گردد، چگونه باید حمله را متوقف کرده و عامل اصلی آن را از بین برد، چگونه میتوان سیستمهای تولیدی را بازیابی نمود و چگونه باید یک تجزیهوتحلیل پس از حادثه را انجام داد تا از رخداد حادثه در آینده پیشگیری شود.
۲. استفاده از افراد مناسب
نقشهای زیر را برای تیم پاسخ به حادثهی خود انتخاب کنید: مدیر پاسخ به حادثه، تحلیلگر امنیت، مهندس IT، پژوهشگر تهدید، نمایندهی قانونی، مسئول ارتباط شرکتی، منابع انسانی، مدیریت ریسک، مدیران شرکتی و متخصصان جرمشناسی امنیت خارجی. به تمام کارمندان اطلاع دهید که در صورت رخداد یک حمله چه مسئولیتهایی دارند.
۳. ابزارهای مناسب
بسیاری از شرکتها به جای اینکه هر مشکل را به تنهایی بررسی کنند، ابزاری را برای رسیدگی به حوادث امنیتی در مقیاس بزرگ ارائه میدهند. این ابزار رخدادهای امنیتی را تجزیهوتحلیل کرده، در مورد آنها هشدار میدهند و حتی میتوانند به اصلاح آنها کمک کنند؛ رخدادهایی که ممکن است به دلیل کمبود منابع داخلی شناسایی نگردند.
ابزار پاسخگویی به حادثه امنیتی در کنار اقدامات امنیتی کنونی کار میکنند. این ابزار اطلاعاتی را برای پاسخدهی از طریق Netflow، Logهای سیستم، هشدارهای Endpoint و سیستمهای هویت فراهم مینمایند تا ناهنجاریهای مربوط به امنیت در شبکه ارزیابی گردد. این ابزار میتوانند تهدیدات امنیتی را بررسی کنند، از جمله:
- آلودگی به بدافزار
- حملات رمز عبور
- فیشینگ
- نشت داده
- سوءاستفاده از سطح دسترسی
- تهدیدات داخلی دیگر
عنصر شماره ۱: برنامهی پاسخ به حادثه در شش مرحله
تیم پاسخ به رخداد یا CSIRT، برنامهی پاسخگویی به حادثه امنیتی را اجرایی میکند. تیم پاسخ به حادثه شامل کارمندان IT با آموزش امنیتی یا کارمندان امنیتی تماموقت است. این افراد اطلاعات موجود در مورد یک حادثه را تجزیهوتحلیل کرده و به آن پاسخ میدهند. آنها به دو نوع حادثه پاسخ میدهند: عمومی و سازمانی.
حوادث عمومی روی کل جامعه تأثیر میگذارند: مثلاً تروریسم، حوادث طبیعی، نشت مواد شیمیایی در مقیاس بزرگ و همهگیری بیماریها. حوادث سازمانی به یک سازمان واحد محدود میشوند. این حوادث ممکن است فیزیکی باشند، مثل تهدید به انفجار یک بمب یا اینکه حوادثی کامپیوتری باشند، مثل افشای تصادفی، سرقت دادههای حساس یا افشای رازهای تجاری.
تیم پاسخ به حادثه همچنین با سهامداران داخل سازمان و گروههای خارجی مثل مطبوعات، مشاورهی قانونی، مشتریان تحت تأثیر و اعمال قانون ارتباط برقرار میکند. دفترچهی آموزشی رسیدگی به حادثه از موسسهی SANS، یک فرایند ششمرحلهای را برای رسیدگی به حوادث امنیتی تعریف میکند.
۱. آمادهسازی
در ادامه مراحلی که تیم امنیتی باید جهت آمادهسازی خود برای حوادث امنیت سایبری اتخاذ کند معرفی میگردد:
- توسعهی سیاستهایی برای انجام در صورت رخداد یک حملهی سایبری
- مرور سیاست امنیتی و انجام ارزیابی ریسک
- اولویتبندی مسائل امنیتی، شناخت ارزشمندترین داراییها و تمرکز روی حوادث امنیتی حیاتی
- توسعهی برنامهی ارتباطی
- تنظیم نقشها، مسئولیتها و فرایندهای تیم خود
- تثبیت یک سیاست امنیت شرکتی
- استخدام و آموزش اعضای تیم، اطمینان حاصل کردن از اینکه آنها به سیستمهای مربوطه دسترسی دارند
- اطمینان حاصل کردن از اینکه اعضا به تکنولوژیها و ابزار مربوطه دسترسی دارند.
۲. شناسایی
تصمیمگیری در مورد اینکه چه معیارهایی تیم را به عمل وا میدارد. چندین مثال از حوادث امنیتی، شناسایی بدافزار روی سیستمهای سازمانی، حملهی Phishing یا حملهی Denial of Service است. مجموعهای انباشته از رخدادهای امنیتی میتواند برنامهای را اجرایی کند: مثلاً یک آپلود غیرعادی به یک سایت Cloud Storage و یک هشدار دسترسی غیرعادی در عرض چند ساعت.
سیستمهای IT رخدادها را از ابزار مانیتورینگ، فایلهای Log، پیامهای خطا، فایروالها و سیستمهای شناسایی نفوذ جمعآوری میکنند. این دادهها باید توسط ابزار خودکارسازیشده و تحلیلگران امنیتی تجزیهوتحلیل شوند تا تصمیم گرفته شود که آیا رخدادهای غیرعادی نشانگر حوادث امنیتی هستند یا خیر.
وقتی که رخدادی جداسازی شود، باید هشداری به تیم پاسخ به رخداد ارائه گردد. اعضای تیم پاسخ مناسبی را برای حادثه ترتیب میدهند:
- شناسایی و ارزیابی حادثه و جمعآوری شواهد
- تصمیمگیری در مورد شدت و نوع حادثه و افزایش اهمیت آن در صورت لزوم
- ثبت اقدامات انجام شده و پاسخ به سؤالاتی که با «چه کسی، چه چیزی، کجا، چرا و چگونه» آغاز میشوند. اگر حادثه در آینده در دادگاهی بررسی شود، این اطلاعات ممکن است بهعنوان شواهد مورد استفاده قرار بگیرند.
۳. مهار
وقتی که تیم شما حادثه را جداسازی کند، هدف بعدی جلوگیری از آسیب بیشتر است. این مدیریت شامل موارد زیر است:
- مهار کوتاهمدت – پاسخی سریع برای اینکه تهدید موجب آسیب بیشتر نشود. این امر میتواند شامل خاموش کردن سرورهای تولیدی هک شده، باشد یا جداسازی بخشی از شبکه که تحت حمله است.
- پشتیبانگیری از سیستم – پیش از پاک کردن و Image کردن دوبارهی سیستمهای تحت تأثیر، برای گرفتن یک Image فارنزیک (Forensic)، باید همهی سیستمها را پشتیبانگیری کنید. Image فارنزیک یک کپی کامل از یک هارد دیسک یا یک پارتیشن بهخصوص از دیسک میباشد. Imageهای دیسک پس از یک رخداد ایجاد میشوند تا وضعیت یک دیسک در نقطهی زمانی بهخصوصی حفظ شود و درنتیجه یک Snapshot استاتیک فراهم گردد که میتوان بهعنوان مدرکی از حادثهی امنیتی و جهت بررسی اینکه سیستم چگونه تحت تأثیر قرار گرفته است، از آن استفاده گردد.
- مهار بلندمدت – با اصلاح موقت سیستمهای تحت تاثیر میتوان آنها را مورد استفاده قرار داد. در همین حین، با بازسازی سیستمهای آلوده نشده، آنها را در مرحله بازیابی مورداستفاده قرار دهید. برای پیشگیری از پیش آمدن دوباره رخداد یا خطرناکتر شدن آن، باید اقداماتی را انجام داد؛ از جمله نصب Patchهای امنیتی روی سیستمهای تحت تأثیر و مربوطه، حذف حسابهای کاربری و Backdoorهایی که توسط مهاجمین ایجاد شدهاند، تغییر قواعد فایروال و تغییر مسیرهای مهاجم به Null Route.
در بخش دوم این مقاله به بررسی سایر مراحل مربوط به برنامه جامع پاسخ به حادثه را شرح خواهیم داد.