در قسمت اول مقاله گفتیم پاسخ به حادثه رویکردی است برای رسیدگی به نقضهای امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. سپس درباره اهمیت پاسخگویی به حوادث سایبری صحبت کردیم و به معرفی ۳ عنصر مهم در پاسخگویی به حوادث سایبری پرداحتیم. داشتن برنامه جامع ۶ مرحلهای قدم اول و مهم در این زمینه است. در قسمت قبل ۳ مرحله از عنصر اول یعنی برنامه را معرفی و بررسی کردیم ودر این قسمت به بررسی ۳ مرحله باقیمانده پرداخته و سپس به سراغ عنصر شماره ۲ یعنی تیم پاسخگویی به حادثه میرویم.
۴. پاکسازی
پس از مهار تهدید و بازیابی سیستمهای اصلی به وضعیت اولیه خود یا وضعیتی نزدیک به آن، تیم باید منشأ اصلی حمله را جداسازی کند، تهدیدات و بدافزارها را حذف نماید و آسیبپذیریهایی اکسپلویتشده را شناسایی کرده و از بین ببرند تا حملات آتی متوقف گردد. این مراحل ممکن است پیکربندی سازمان را تغییر دهند. هدف این است که تغییراتی اعمال گردد و در همین حال تأثیر روی عملیات در سازمان به حداقل برسد. برای رسیدن به این هدف، میتوان جلوی پیشروی حمله را گرفت و دادههایی را که در معرض خطر هستند محدود ساخت.
برای دستیابی به این مهم باید:
- تمام Hostهای تحت تأثیر، شناسایی و اصلاح شوند؛ از جمله Hostهای داخل و خارج از سازمان.
- منشأ حمله جداسازی شود تا تمام Instanceهای آن از نرمافزار حذف گردد.
- تجزیهوتحلیل بدافزار انجام گردد تا میزان حمله معین گردد.
- بررسی شود که آیا مهاجم به اقدامات شما واکنشی نشان داده است یا خیر.
- نوع دیگری از حمله پیشبینی شود و پاسخی ایجاد گردد.
- زمانی اختصاص داده شود تا از ایمن بودن شبکه و عدم فعالیتهای دیگر توسط مهاجم اطمینان حاصل گردد.
اطمینان حاصل شود که تیم شما محتوای مخرب را حذف کرده است و بررسی کرده که سیستمهای تحت تأثیر پاک باشند. مثلاً اگر مهاجم از یک آسیبپذیری استفاده کرده باشد، باید Patch شود یا اگر مهاجم از یک مکانیسم احراز هویت ضعیف سوءاستفاده کرده باشد، باید با یک احراز هویت قوی جایگزین گردد.
۵. بازیابی
اطمینان حاصل کنیم که سیستمهای تحت تأثیر درخطر نیستند و میتوان آنها را به شرایط کاری بازگرداند. هدف از این مرحله این است که سیستمهای تحت تأثیر با دقت به محیط کار بازگردند تا اطمینان حاصل شود که منجر به حادثهی دیگری نمیشوند. با بازیابی سیستمها از پشتیبانگیریهای پاک، جایگزین کردن فایلهای آلوده با نسخههای پاک، بازسازی سیستمها از صفر، نصب Patchها، تغییر رمزهای عبور و اعمال امنیت Perimeter شبکه (فهرستهای کنترل دسترسی روتر محدوده، مجموعه قواعد فایروال و غیره) باید اطمینان حاصل کرد که حادثهی دیگری رخ نمیدهد
به این فکر کنید که چه مدت باید سیستم شبکه را مانیتور نمایید و چگونه باید بررسی کنید که سیستمهای تحت تأثیر عملکردی عادی دارند. هزینهی نقض امنیتی و آسیبهای مربوطه را محاسبه کنید.
۶. نتیجهگیری
تیم پاسخ به حادثه با شرکا باید با هم ارتباط داشته باشند تا فرایندهای آینده را بهبود ببخشند. اسنادی را تکمیل کنید که امکان آمادهسازی آنها در طول فرایند پاسخ وجود نداشت. تیم باید تشخیص دهد که حادثه چگونه مدیریت و حذف شده است.
باید دید که چه اقداماتی برای بازیابی سیستم مورد هجوم انجام شده است، حوزههایی که تیم پاسخ در آن نیاز به بهبود دارد، و همچنین حوزههایی که در آن کارآمد بوده، مشخص گرد.د گزارشات نتیجهگیری مرور کاملی از کل حادثه ارائه میدهند و میتوان در جلسات از آنها بهعنوان مبنایی برای مقایسه یا بهعنوان اطلاعات آموزشی برای اعضای تیم پاسخ به حادثه جدید استفاده کرد.
عنصر شماره ۲: تیم پاسخ به حادثه
جهت آماده شدن برای حوادث و رسیدگی به آنها، باید یک تیم پاسخ به حادثهی متمرکز ایجاد شود که مسئول شناسایی نقضهای امنیتی و انجام اقدامات لازم باشد. این تیم باید شامل افراد زیر باشد:
- مدیر پاسخ به حادثه (رهبر تیم) – تمام اقدامات تیمی را هماهنگ کرده و اطمینان حاصل میکند که تیم روی به حداقل رساندن آسیبها و بازیابی سریع تمرکز کند. در طول جداسازی، تجزیهوتحلیل و مهار حادثه، اقدامات را اولویتبندی کند. روی تمام اقدامات نظارت کرده و تیم را در طول رخدادهای خطرناک هدایت نماید.
- تحلیلگران امنیتی – تیمی از تحلیلگران امنیتی که در چندین دپارتمان کار میکنند، مدیر را یاری مینمایند تا بتواند ایرادها را در سیستمها، راهکارها و برنامههای کاربردی امنیتی سازمان جداسازی و تصحیح کند. آنها اقدامات بهخصوصی را پیشنهاد میدهند که وضعیت امنیتی کلی را بهبود میبخشد.
- محقق اصلی – منشأ اصلی را جداسازی میکند، تمام شواهد را تجزیهوتحلیل مینماید، تحلیلگران امنیتی دیگر را مدیریت میکند و بهسرعت بازیابی سیستم و سرویس را انجام میدهد.
- پژوهشگران تهدید – محتوا و هوش تهدیدات یک حادثه را فراهم میکند. آنها با استفاده از این اطلاعات و آمار حوادث قبلی دیتابیسی از هوش تهدیدات میسازند. در بسیاری از تیمهای امنیتی، پژوهشگران تهدید بهمرور جای خود را به ابزار هوش تهدیدات خودکارسازیشده میدهند.
- مدیر ارتباطات – با تمام مخاطبین داخل و خارج از شرکت، شامل مدیریت، سهامداران داخلی، بخش حقوقی، رسانه و مشتریان ارتباط برقرار میکند.
- مدیر مستندات و جدول زمانی – بررسیها و اکتشافات تیم و تلاش برای بازیابی را ثبت میکند. همچنین یک جدول زمانی برای هر مرحله از حادثه میسازد. سیستمهای مدیریت رخداد و اطلاعات امنیت یا SIEM نسل جدید میتوانند مستندات و جداول زمانی را بهطور خودکار ایجاد کنند.
- منابع انسانی/نمایندگان قانونی – یک حادثه میتواند به اتهام جنایی منجر شود. درنتیجه باید از هدایت بخش منابع انسانی و متخصصان حقوقی بهرهمند شوید.
اهداف تیم پاسخگویی به حوادث امنیتی
هدف تیم پاسخ به حادثه این است که با هماهنگی اعضا و منابع تیم، در طول یک رخداد سایبری، تأثیر آن رخداد به حداقل برسد و عملیات بهسرعت بازیابی گردد. این هماهنگی شامل موارد زیر است:
- تجزیهوتحلیل – ثبت شدت، اولویت و تأثیر یک نقض امنیتی برای فهمیدن اینکه کدام منابع تحت تأثیر قرار گرفتهاند و آیا حادثه نیاز به توجه دارد یا خیر.
- گزارشگیری – اطلاعرسانی به اعضای تیم در مورد فرایندهای گزارشگیری. جمعآوری اطلاعات مربوطه برای نشان دادن اهمیت تیم پاسخ به حادثه.
- پاسخ – بررسی منشأ حمله، ثبت یافتهها و پیادهسازی استراتژیها و اطلاعرسانی در مورد وضعیت سازمان به اعضای تیم.
در مرکز عملیات امنیت یا SOCهای مدرن، تجزیهوتحلیل پیشرفته نقش مهمی را در شناسایی و بررسی حوادث ایفا میکند. تکنولوژی تجزیهوتحلیل رفتار کاربر و موجودیت یا بهاختصار UEBA توسط بسیاری از تیمهای امنیتی مورد استفاده قرار میگیرد تا مبنایی رفتاری در مورد سیستمهای IT یا کاربران ایجاد گردد و رفتارهای غیرعادی بهطور خودکار تشخیص داده شوند. این امر شناسایی رخدادهایی را که ممکن است حادثهی امنیتی محسوب شوند، برای کارمندان امنیتی بسیار ساده میکند.
در قسمت سوم مطلب، خصوصیات مهم در یک تیم پاسخگویی به امنیت سایبری را مورد بررسی قرار خواهیم داد.