در قسمت اول مقاله گفتیم پاسخ به حادثه رویکردی است برای رسیدگی به نقضهای امنیتی داده. هدف از پاسخ به حادثه، شناسایی یک حمله، کنترل آسیب و از بین بردن دلیل اصلی حادثه است. سپس درباره اهمیت پاسخگویی به حوادث سایبری صحبت کردیم و به معرفی ۳ عنصر مهم در پاسخگویی به حوادث سایبری پرداحتیم. داشتن برنامه جامع ۶ مرحلهای قدم اول و مهم در این زمینه است. در قسمت دوم به سراغ عنصر شماره ۲ یعنی تیم پاسخگویی به حادثه رفتیم و در قسمت سوم مواردی مهم را در خصوص تیم پاسخگویی به حادثه مطرح کردیم. در قسمت چهارم و پایانی این مقاله در خصوص عنصر سوم، یعنی ابزارهای پاسخگویی به حادثه صحبت خواهیم کرد
ابزار پاسخ به حادثه
| انواع ابزار پاسخ به حادثه | دلیل نیاز به آنها |
| سامانه SIEM | دادههای Log ساخته شده در زیرساخت تکنولوژی سازمان، شامل برنامههای کاربردی، سیستمهای Host، دستگاههای امنیتی و شبکه (مثل فیلترهای آنتیویروس و فایروالها) را جمعآوری و تجمیع میکند. گزارشاتی را در مورد حوادث مربوط به امنیت، از جمله فعالیت بدافزار و لاگینها فراهم میکند. همچنین اگر فعالیت با مجموعه قواعد موجود، تناقض داشته باشد و مشکلی امنیتی را نشان دهد، هشدارهایی را ارسال میکند. |
| سیستمهای شناسایی نفوذ یا IDS – مبتنی بر شبکه و Host | زمانی که رفتارهای مشکوک یا حملات شناخته شده روی سرور، یک سیستم شناسایی نفوذ مبتنی بر Host یا HIDS یا یک سیستم شناسایی نفوذ مبتنی بر شبکه یا NIDS رخ دهد، از مبناها یا Signatureهای حمله استفاده میکند تا هشداری را منتشر کند. |
| تحلیلگران Netflow | به ترافیک واقعی روی Gatewayهای محدوده (Border) و در چارچوب یک شبکه نگاه میکند. Netflow برای ردیابی سرنخی از یک فعالیت بهخصوص مورد استفاده قرار میگیرد تا مشخص گردد که کدام پروتکلها روی شبکه مورد استفاده هستند یا کدام داراییها بین خود ارتباط برقرار کردهاند. |
| اسکنرهای آسیبپذیری | حوزههای دارای ریسک را جداسازی میکند، مجموعه آسیبپذیریهای سازمان را برای ضعفهای شناخته شده ارزیابی میکند و راهنماییهایی را برای اصلاح ارائه میدهد. ممکن است آسیبپذیریها به دلیل پیکربندی اشتباه، باگهایی در برنامههای کاربردی یا استفاده از اجزای Third-Party که توسط مهاجمین اکسپلویت میشوند ایجاد شده باشند. |
| مانیتورینگ دسترسپذیری | هدف از پاسخ به حادثه محدود کردن Downtime است. قطعی یک سرویس یا برنامه کاربردی میتواند نشانهی اولیهی یک حادثه باشد. مانیتورینگ دسترسپذیری با بررسی زمان کارکرد اجزای زیرساخت، شامل برنامههای کاربردی و سرورها، شرایط دشوار را متوقف میکند و پیش از اینکه مشکلات روی سازمان تأثیر بگذارند، مدیر وبسایت را از آنها مطلع میکند. |
| پراکسیهای وب | دسترسی به وبسایتها را کنترل کرده و دستگاههای متصل را Log مینماید. بسیاری از تهدیدات، از جمله وارد شدن به آدرس IP از راه دور، از طریق HTTP کار میکنند. اتصال HTTP همچنین میتواند برای فارنزیک (Forensic) و ردیابی تهدید حیاتی باشد. |
بهبود پاسخ به حادثه از طریق تنظیم و خودکارسازی
یکی از کلیدیترین مراحل در پاسخ به حادثه حذف خودکار مثبتهای کاذب (رخدادهایی که حقیقتاً حوادث امنیتی نیستند) و کنار هم قرار دادن جدول زمانی رخدادها، برای درک سریع اینکه چه اتفاقی در حال رخ دادن است و چه پاسخی باید داده شود.
شرکت APK یک مدیریت رخداد و اطلاعات امنیت یا SIEM نسل جدید را ارائه میدهد که جداول زمانی هوشمند را ارائه داده و بهطور خودکار رفتارهای عادی و غیرعادی را به هم متصل میکند. این امر به محققان کمک میکند مجموعهای از رخدادهای ناهنجارها را همراه با داراییها، کاربران و دلایل ریسک که همگی به یک جدول زمانی واحد متصل هستند، مشخص کنند.
این دستهبندی خودکار رخدادها در یک جدول زمانی رخداد، برای محققان زمان زیادی را صرفهجویی میکند و به آنها کمک مینماید سریعتر حوادث امنیتی را حل کرده و شدیداً میانگین زمان پاسخگویی یا MTTR را کاهش دهند.
برای پاسخ کارآمد به حادثه، کدام معیارها مورد نیاز محققان SOC هستند؟
- میانگین زمان شناسایی یا MTTD – کارآمدی راهکار شناسایی شما: آیا بیشتر هشدارها را شناسایی میکند یا اکثر هشدارها توسط کاربران و ادمینهای سیستم گزارش میشوند؟ اگر تیم عملیات امنیت شما و ابزار آن بزرگترین منبع هشدارهای امنیتی نباشند، یعنی مشکلی وجود دارد.
- دقت در شناسایی و میزان مثبتهای کاذب – درصد هشدارهایی که پس از بررسی معلوم میشود تهدیدات واقعی نیستند. مثبتهای کاذب اعتماد تیم امنیتی را در مورد ابزار خود کاهش میدهد و توجه را از مشکلات جدی پایهای دور میکند. باید در هر فرایند بررسی حادثه، مثبتهای کاذب مدنظر قرار گیرند، اما سازمانها باید مراقب باشند که بیش از حد ملایم نشوند؛ زیرا منفی کاذب تنها چیزی است که بدتر از مثبت کاذب بوده و در صورت رخ دادن آن تهدیدات جدی نادیده گرفته میشوند.
- میانگین زمان پاسخگویی/اصلاح یا به اختصار MTTR – زمانی که لازم است تا یک مسئلهی امنیتی مشاهده شده، میزان تأثیر آن شناسایی شود، مشخص گردد که باید چه اقداماتی انجام شود و سپس دست به اقدام زده شود. این اعداد میتوانند بسیار متفاوت باشند اما در طول زمان روندی کلی خود را نشان میدهد و بینش مفیدی در مورد اینکه برای قابلیتهای حفاظتی، اصلاح و خودکارسازی اضافی در چه قسمتی باید سرمایهگذاری شود شکل میگیرد.