سه عنصر مهم در پاسخگویی به حوادث امنیتی: برنامه، تیم و ابزار – بخش اول

هدف اصلی یک برنامه‌ی پاسخ به حوادث امنیتی یا Incident Response این است که پیش از اینکه حوادث تبدیل به مشکلاتی اساسی شوند، به آن‌ها پاسخ دهد. با افزایش بسامد و انواع نقض‌های امنیتی داده، نداشت یک برنامه‌ی پاسخ به حادثه یا Incident Response Plan می‌تواند منجر به افزایش زمان بازیابی، بالا رفتن هزینه‌ها و آسیب به کارآمدی امنیت اطلاعات شود.

پاسخگویی به حوادث امنیتی یا Incident Response چیست؟

پاسخ به حادثه رویکردی است برای رسیدگی به نقض‌های امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. یک حادثه را می‌توان به‌عنوان نقض قانون، سیاست یا هر عمل غیرقابل‌قبولی تعریف کرد که به دارایی‌های اطلاعاتی مثل شبکه‌ها، رایانه‌ها یا گوشی‌های هوشمند مربوط باشد.

پاسخگویی به حوادث امنیتی چه اهمیتی دارد؟

وقتی سازمان شما به سرعت به حادثه‌ای پاسخ دهد، می‌تواند ضررها را کاهش دهد، فرایندها و خدمات را بازیابی کرده و خطر آسیب‌پذیری‌هایی که اکسپلویت شده‌اند را به حداقل برساند. حادثه‌ای که به‌طور کارآمد کنترل نشود، امکان منجرشدن به یک نقض امنیتی داده با عواقب فاجعه‌بار را داراست. پاسخ به حادثه اولین خط دفاعی است که در مقابل حوادث امنیتی وجود دارد و در طولانی‌مدت به ایجاد مجموعه‌ای از بهترین راهکارها برای پیشگیری از نقض‌های امنیتی پیش از رخ دادن آن‌ها کمک می‌کند.

موارد مهم در مدیریت بهینه پاسخ‌گویی به حوادث امنیتی

مدیریت بهینه‌ی پاسخ به حادثه عبارت است از:

۱. داشتن برنامه‌ای جامع

یک برنامه‌ی پاسخ به حادثه باید تیم شما را برای رسیدگی به تهدیدات آماده کند، نشان دهد که حوادث چگونه باید جداسازی شده و شدت آن‌ها تعیین گردد، چگونه باید حمله را متوقف کرده و عامل اصلی آن را از بین برد، چگونه می‌توان سیستم‌های تولیدی را بازیابی نمود و چگونه باید یک تجزیه‌و‌تحلیل پس از حادثه را انجام داد تا از رخداد حادثه در آینده پیشگیری شود.

۲. استفاده از افراد مناسب

نقش‌های زیر را برای تیم پاسخ به حادثه‌ی خود انتخاب کنید: مدیر پاسخ به حادثه، تحلیل‌گر امنیت، مهندس IT، پژوهشگر تهدید، نماینده‌ی قانونی، مسئول ارتباط شرکتی، منابع انسانی، مدیریت ریسک، مدیران شرکتی و متخصصان جرم‌شناسی امنیت خارجی. به تمام کارمندان اطلاع دهید که در صورت رخداد یک حمله چه مسئولیت‌هایی دارند.

۳. ابزارهای مناسب

بسیاری از شرکت‌ها به جای اینکه هر مشکل را به تنهایی بررسی کنند، ابزاری را برای رسیدگی به حوادث امنیتی در مقیاس بزرگ ارائه می‌دهند. این ابزار رخدادهای امنیتی را تجزیه‌وتحلیل کرده، در مورد آن‌ها هشدار می‌دهند و حتی می‌توانند به اصلاح آن‌ها کمک کنند؛ رخدادهایی که ممکن است به دلیل کمبود منابع داخلی شناسایی نگردند.

ابزار پاسخ‌گویی به حادثه امنیتی در کنار اقدامات امنیتی کنونی کار می‌کنند. این ابزار اطلاعاتی را برای پاسخ‌دهی از طریق Netflow، Logهای سیستم، هشدارهای Endpoint و سیستم‌های هویت فراهم می‌نمایند تا ناهنجاری‌های مربوط به امنیت در شبکه ارزیابی گردد. این ابزار می‌توانند تهدیدات امنیتی را بررسی کنند، از جمله:

  • آلودگی به بدافزار
  • حملات رمز عبور
  • فیشینگ
  • نشت داده
  • سوءاستفاده از سطح دسترسی
  • تهدیدات داخلی دیگر

عنصر شماره ۱: برنامه‌ی پاسخ به حادثه در شش مرحله

تیم پاسخ به رخداد یا CSIRT، برنامه‌ی پاسخ‌گویی به حادثه امنیتی را اجرایی می‌کند. تیم پاسخ به حادثه شامل کارمندان IT با آموزش امنیتی یا کارمندان امنیتی تمام‌وقت است. این افراد اطلاعات موجود در مورد یک حادثه را تجزیه‌وتحلیل کرده و به آن پاسخ می‌دهند. آن‌ها به دو نوع حادثه پاسخ می‌دهند: عمومی و سازمانی.

حوادث عمومی روی کل جامعه تأثیر می‌گذارند: مثلاً تروریسم، حوادث طبیعی، نشت مواد شیمیایی در مقیاس بزرگ و همه‌گیری بیماری‌ها. حوادث سازمانی به یک سازمان واحد محدود می‌شوند. این حوادث ممکن است فیزیکی باشند، مثل تهدید به انفجار یک بمب یا اینکه حوادثی کامپیوتری باشند، مثل افشای تصادفی، سرقت داده‌های حساس یا افشای رازهای تجاری.

تیم پاسخ به حادثه همچنین با سهام‌داران داخل سازمان و گروه‌های خارجی مثل مطبوعات، مشاوره‌ی قانونی، مشتریان تحت تأثیر و اعمال قانون ارتباط برقرار می‌کند. دفترچه‌ی آموزشی رسیدگی به حادثه از موسسه‌ی SANS، یک فرایند شش‌مرحله‌ای را برای رسیدگی به حوادث امنیتی تعریف می‌کند.

۱. آماده‌سازی

در ادامه مراحلی که تیم امنیتی باید جهت آماده‌سازی خود برای حوادث امنیت سایبری اتخاذ کند معرفی می‌گردد:

  • توسعه‌ی سیاست‌هایی برای انجام در صورت رخداد یک حمله‌ی سایبری
  • مرور سیاست امنیتی و انجام ارزیابی ریسک
  • اولویت‌بندی مسائل امنیتی، شناخت ارزشمندترین دارایی‌ها و تمرکز روی حوادث امنیتی حیاتی
  • توسعه‌ی برنامه‌ی ارتباطی
  • تنظیم نقش‌ها، مسئولیت‌ها و فرایندهای تیم خود
  • تثبیت یک سیاست امنیت شرکتی
  • استخدام و آموزش اعضای تیم، اطمینان حاصل کردن از اینکه آن‌ها به سیستم‌های مربوطه دسترسی دارند
  • اطمینان حاصل کردن از اینکه اعضا به تکنولوژی‌ها و ابزار مربوطه دسترسی دارند.

۲. شناسایی

تصمیم‌گیری در مورد اینکه چه معیارهایی تیم را به عمل وا می‌دارد. چندین مثال از حوادث امنیتی، شناسایی بدافزار روی سیستم‌های سازمانی، حمله‌ی Phishing یا حمله‌ی Denial of Service است. مجموعه‌ای انباشته از رخدادهای امنیتی می‌تواند برنامه‌ای را اجرایی کند: مثلاً یک آپلود غیرعادی به یک سایت Cloud Storage و یک هشدار دسترسی غیرعادی در عرض چند ساعت.

سیستم‌های IT رخدادها را از ابزار مانیتورینگ، فایل‌های Log، پیام‌های خطا، فایروال‌ها و سیستم‌های شناسایی نفوذ جمع‌آوری می‌کنند. این داده‌ها باید توسط ابزار خودکارسازی‌شده و تحلیلگران امنیتی تجزیه‌وتحلیل شوند تا تصمیم گرفته شود که آیا رخدادهای غیرعادی نشانگر حوادث امنیتی هستند یا خیر.

وقتی که رخدادی جداسازی شود، باید هشداری به تیم پاسخ به رخداد ارائه گردد. اعضای تیم پاسخ مناسبی را برای حادثه ترتیب می‌دهند:

  • شناسایی و ارزیابی حادثه و جمع‌آوری شواهد
  • تصمیم‌گیری در مورد شدت و نوع حادثه و افزایش اهمیت آن در صورت لزوم
  • ثبت اقدامات انجام شده و پاسخ به سؤالاتی که با «چه کسی، چه چیزی، کجا، چرا و چگونه» آغاز می‌شوند. اگر حادثه در آینده در دادگاهی بررسی شود، این اطلاعات ممکن است به‌عنوان شواهد مورد استفاده قرار بگیرند.

۳. مهار

وقتی که تیم شما حادثه را جداسازی کند، هدف بعدی جلوگیری از آسیب بیشتر است. این مدیریت شامل موارد زیر است:

  • مهار کوتاه‌مدت – پاسخی سریع برای اینکه تهدید موجب آسیب بیشتر نشود. این امر می‌تواند شامل خاموش کردن سرورهای تولیدی هک شده، باشد یا جداسازی بخشی از شبکه که تحت حمله است.
  • پشتیبان‌گیری از سیستم – پیش از پاک کردن و Image کردن دوباره‌ی سیستم‌های تحت تأثیر، برای گرفتن یک Image فارنزیک (Forensic)، باید همه‌ی سیستم‌ها را پشتیبان‌گیری کنید. Image فارنزیک یک کپی کامل از یک هارد دیسک یا یک پارتیشن به‌خصوص از دیسک می‌باشد. Imageهای دیسک پس از یک رخداد ایجاد می‌شوند تا وضعیت یک دیسک در نقطه‌ی زمانی به‌خصوصی حفظ شود و درنتیجه یک Snapshot استاتیک فراهم گردد که می‌توان به‌عنوان مدرکی از حادثه‌ی امنیتی و جهت بررسی اینکه سیستم چگونه تحت تأثیر قرار گرفته است، از آن استفاده گردد.
  • مهار بلندمدت – با اصلاح موقت سیستم‌های تحت تاثیر می‌توان آن‌ها را مورد استفاده قرار داد. در همین حین، با بازسازی سیستم‌های آلوده نشده، آنها را در مرحله بازیابی مورداستفاده قرار دهید. برای پیشگیری از پیش آمدن دوباره رخداد یا خطرناک‌تر شدن آن، باید اقداماتی را انجام داد؛ از جمله نصب Patchهای امنیتی روی سیستم‌های تحت تأثیر و مربوطه، حذف حساب‌های کاربری و Backdoorهایی که توسط مهاجمین ایجاد شده‌اند، تغییر قواعد فایروال و تغییر مسیرهای مهاجم به Null Route.

در بخش دوم این مقاله به بررسی سایر مراحل مربوط به برنامه جامع پاسخ به حادثه را شرح خواهیم داد.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.
ما را در تلگرام دنبال کنید
ما را در لینکدین دنبال کنید
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.