سه عنصر مهم در پاسخگویی به حوادث امنیتی: برنامه، تیم و ابزار – بخش دوم

در قسمت اول مقاله گفتیم پاسخ به حادثه رویکردی است برای رسیدگی به نقض‌های امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. سپس درباره اهمیت پاسخگویی به حوادث سایبری صحبت کردیم و به معرفی ۳ عنصر مهم در پاسخگویی به حوادث سایبری پرداحتیم. داشتن برنامه‌ جامع ۶ مرحله‌ای قدم اول و مهم در این زمینه است. در قسمت قبل ۳ مرحله از عنصر اول یعنی برنامه را معرفی و بررسی کردیم ودر این قسمت به بررسی ۳ مرحله باقیمانده پرداخته و سپس به سراغ عنصر شماره ۲ یعنی تیم پاسخگویی به حادثه میرویم.

۴. پاکسازی

پس از مهار تهدید و بازیابی سیستم‌های اصلی به وضعیت اولیه خود یا وضعیتی نزدیک به آن، تیم باید منشأ اصلی حمله را جداسازی کند، تهدیدات و بدافزارها را حذف نماید و آسیب‌پذیری‌هایی اکسپلویت‌شده را شناسایی کرده و از بین ببرند تا حملات آتی متوقف گردد. این مراحل ممکن است پیکربندی سازمان را تغییر دهند. هدف این است که تغییراتی اعمال گردد و در همین حال تأثیر روی عملیات در سازمان به حداقل برسد. برای رسیدن به این هدف، می‌توان جلوی پیشروی حمله را گرفت و داده‌هایی را که در معرض خطر هستند محدود ساخت.

برای دستیابی به این مهم باید:

• تمام Hostهای تحت تأثیر، شناسایی و اصلاح شوند؛ از جمله Hostهای داخل و خارج از سازمان.
• منشأ حمله جداسازی شود تا تمام Instanceهای آن از نرم‌افزار حذف گردد.
• تجزیه‌و‌تحلیل بدافزار انجام گردد تا میزان حمله معین گردد.
• بررسی شود که آیا مهاجم به اقدامات شما واکنشی نشان داده است یا خیر.
• نوع دیگری از حمله پیش‌بینی شود و پاسخی ایجاد گردد.
• زمانی اختصاص داده شود تا از ایمن بودن شبکه و عدم فعالیت‌های دیگر توسط مهاجم اطمینان حاصل گردد.

اطمینان حاصل شود که تیم شما محتوای مخرب را حذف کرده است و بررسی کرده که سیستم‌های تحت تأثیر پاک باشند. مثلاً اگر مهاجم از یک آسیب‌پذیری استفاده کرده باشد، باید Patch شود یا اگر مهاجم از یک مکانیسم احراز هویت ضعیف سوءاستفاده کرده باشد، باید با یک احراز هویت قوی جایگزین گردد.

۵. بازیابی

اطمینان حاصل کنیم که سیستم‌های تحت تأثیر درخطر نیستند و می‌توان آن‌ها را به شرایط کاری بازگرداند. هدف از این مرحله این است که سیستم‌های تحت تأثیر با دقت به محیط کار بازگردند تا اطمینان حاصل شود که منجر به حادثه‌ی دیگری نمی‌شوند. با بازیابی سیستم‌ها از پشتیبان‌گیری‌های پاک، جایگزین‌ کردن فایل‌های آلوده با نسخه‌های پاک، بازسازی سیستم‌ها از صفر، نصب Patchها، تغییر رمزهای عبور و اعمال امنیت Perimeter شبکه (فهرست‌های کنترل دسترسی روتر محدوده، مجموعه قواعد فایروال و غیره) باید اطمینان حاصل کرد که حادثه‌ی دیگری رخ نمی‌دهد

به این فکر کنید که چه مدت باید سیستم شبکه را مانیتور نمایید و چگونه باید بررسی کنید که سیستم‌های تحت تأثیر عملکردی عادی دارند. هزینه‌ی نقض امنیتی و آسیب‌های مربوطه را محاسبه کنید.

۶. نتیجه‌گیری

تیم پاسخ به حادثه با شرکا باید با هم ارتباط داشته باشند تا فرایندهای آینده را بهبود ببخشند. اسنادی را تکمیل کنید که امکان آماده‌سازی آن‌ها در طول فرایند پاسخ وجود نداشت. تیم باید تشخیص دهد که حادثه چگونه مدیریت و حذف شده است.

باید دید که چه اقداماتی برای بازیابی سیستم مورد هجوم انجام شده است، حوزه‌هایی که تیم پاسخ در آن نیاز به بهبود دارد، و همچنین حوزه‌هایی که در آن کارآمد بوده، مشخص گرد.د گزارشات نتیجه‌گیری مرور کاملی از کل حادثه ارائه می‌دهند و می‌توان در جلسات از آن‌ها به‌عنوان مبنایی برای مقایسه یا به‌عنوان اطلاعات آموزشی برای اعضای تیم پاسخ به حادثه جدید استفاده کرد.

عنصر شماره ۲: تیم پاسخ به حادثه

جهت آماده شدن برای حوادث و رسیدگی به آن‌ها، باید یک تیم پاسخ به حادثه‌ی متمرکز ایجاد شود که مسئول شناسایی نقض‌های امنیتی و انجام اقدامات لازم باشد. این تیم باید شامل افراد زیر باشد:

• مدیر پاسخ به حادثه (رهبر تیم) – تمام اقدامات تیمی را هماهنگ کرده و اطمینان حاصل می‌کند که تیم روی به حداقل رساندن آسیب‌ها و بازیابی سریع تمرکز کند. در طول جداسازی، تجزیه‌و‌تحلیل و مهار حادثه، اقدامات را اولویت‌بندی کند. روی تمام اقدامات نظارت کرده و تیم را در طول رخدادهای خطرناک هدایت نماید.
• تحلیلگران امنیتی – تیمی از تحلیلگران امنیتی که در چندین دپارتمان کار می‌کنند، مدیر را یاری می‌نمایند تا بتواند ایرادها را در سیستم‌ها، راهکارها و برنامه‌های کاربردی امنیتی سازمان جداسازی و تصحیح کند. آن‌ها اقدامات به‌خصوصی را پیشنهاد می‌دهند که وضعیت امنیتی کلی را بهبود می‌بخشد.
• محقق اصلی – منشأ اصلی را جداسازی می‌کند، تمام شواهد را تجزیه‌وتحلیل می‌نماید، تحلیلگران امنیتی دیگر را مدیریت می‌کند و به‌سرعت بازیابی سیستم و سرویس را انجام می‌دهد.
• پژوهشگران تهدید – محتوا و هوش تهدیدات یک حادثه را فراهم می‌کند. آن‌ها با استفاده از این اطلاعات و آمار حوادث قبلی دیتابیسی از هوش تهدیدات می‌سازند. در بسیاری از تیم‌های امنیتی، پژوهشگران تهدید به‌مرور جای خود را به ابزار هوش تهدیدات خودکارسازی‌شده می‌دهند.
• مدیر ارتباطات – با تمام مخاطبین داخل و خارج از شرکت، شامل مدیریت، سهام‌داران داخلی، بخش حقوقی، رسانه و مشتریان ارتباط برقرار می‌کند.
• مدیر مستندات و جدول زمانی – بررسی‌ها و اکتشافات تیم و تلاش برای بازیابی را ثبت می‌کند. همچنین یک جدول زمانی برای هر مرحله از حادثه می‌سازد. سیستم‌های مدیریت رخداد و اطلاعات امنیت یا SIEM نسل جدید می‌توانند مستندات و جداول زمانی را به‌طور خودکار ایجاد کنند.
• منابع انسانی/نمایندگان قانونی – یک حادثه می‌تواند به اتهام جنایی منجر شود. درنتیجه باید از هدایت بخش منابع انسانی و متخصصان حقوقی بهره‌مند شوید.

اهداف تیم پاسخگویی به حوادث امنیتی

هدف تیم پاسخ به حادثه این است که با هماهنگی اعضا و منابع تیم، در طول یک رخداد سایبری، تأثیر آن رخداد به حداقل برسد و عملیات به‌سرعت بازیابی گردد. این هماهنگی شامل موارد زیر است:

• تجزیه‌و‌تحلیل – ثبت شدت، اولویت و تأثیر یک نقض امنیتی برای فهمیدن اینکه کدام منابع تحت تأثیر قرار گرفته‌اند و آیا حادثه نیاز به توجه دارد یا خیر.
• گزارش‌گیری – اطلاع‌رسانی به اعضای تیم در مورد فرایندهای گزارش‌گیری. جمع‌آوری اطلاعات مربوطه برای نشان دادن اهمیت تیم پاسخ به حادثه.

• پاسخ – بررسی منشأ حمله، ثبت یافته‌ها و پیاده‌سازی استراتژی‌ها و اطلاع‌رسانی در مورد وضعیت سازمان به اعضای تیم.

در مرکز عملیات امنیت یا SOCهای مدرن، تجزیه‌و‌تحلیل پیشرفته نقش مهمی را در شناسایی و بررسی حوادث ایفا می‌کند. تکنولوژی‌ تجزیه‌و‌تحلیل رفتار کاربر و موجودیت یا به‌اختصار UEBA توسط بسیاری از تیم‌های امنیتی مورد استفاده قرار می‌گیرد تا مبنایی رفتاری در مورد سیستم‌های IT یا کاربران ایجاد گردد و رفتارهای غیرعادی به‌طور خودکار تشخیص داده شوند. این امر شناسایی رخدادهایی را  که ممکن است حادثه‌ی امنیتی محسوب شوند، برای کارمندان امنیتی بسیار ساده می‌کند.

در قسمت سوم مطلب، خصوصیات مهم در یک تیم پاسخگویی به امنیت سایبری را مورد بررسی قرار خواهیم داد.