تیم واکنش به رخداد (CSIRT): نقش‌‌ها و مسولیت‌‌ها

تیم واکنش به رخداد (CSIRT)

 

بااینکه شاید باب میل ما نباشد، کارهایی هستند که فقط انسان‌ها و در برخی موارد فقط افراد خاصی می‌توانند انجام‌ دهند بنابراین برخی از کارها را نمی‌توان خودکارسازی کرد و پاسخ به رخداد یا incident Response یکی از آن‌ها است. به همین دلیل هوشمندانه است که قبل از این که یک حادثه واقعی نیاز به پاسخ داشته باشد، یک تیم واکنش به رخداد (CSIRT) مجهز و آماده برای اقدام داشته باشیم. اولین گام کلیدی این است که نقش‌ها و مسئولیت‌های تیم پاسخ به رخداد (CSIRT) را به‌وضوح تعریف کنیم .

در این مطلب به چندین مسئله در مورد تیم واکنش به رخداد خواهیم پرداخت. اول‌ازهمه، تیم واکنش به رخداد (CSIRT) باید مجهز باشد. در ادامه توصیه‌هایی را با شما به اشتراک می‌گذاریم که به تیم شما کمک می‌کند در صورت رخ دادن بدترین سناریو، توانمند شود. دوم اینکه تیم واکنش به رخداد (CSIRT) سایبری باید هدف‌مند باشد. در هر تلاش تیمی، هدف‌گذاری بسیار مهم است زیرا به شما امکان می‌دهد حتی در مواقع بحران و استرس شدید متمرکز بمانید.

در این مقاله، نحوه جمع‌آوری و سازمان‌دهی یک تیم (CSIRT)، نحوه مجهز کردن و متمرکز نگه داشتن آن بر روی مهار، بررسی، پاسخ و بازیابی از رخدادهای امنیتی را خواهید آموخت.

نقشها و وظایف اعضای تیم واکنش به رخداد (CSIRT)

رهبر تیم (Team Leader)

تمام فعالیت‌های تیم CSIRT را هدایت و هماهنگ می‌کند و تیم را روی به حداقل رساندن آسیب و بازیابی سریع متمرکز می‌کند.

محقق اصلی (Lead Investigator)

نقش محقق اصلی، جمع‌آوری و تجزیه‌وتحلیل شواهد، تعیین علت اصلی، هدایت سایر تحلیل‌گران و پیاده‌سازی روش‌هایی برای بازیابی سریع سیستم و خدمات است.

رهبر ارتباطات (Communications Lead)

تلاش در زمینه پیام‌رسانی و ارتباطات را برای همه مخاطبان، در داخل و خارج از شرکت رهبری می‌کند.

رهبر اسناد و جدول زمانی (Documentation & Timeline Lead)

تمام فعالیت‌های تیم، به ‌ویژه وظایف تحقیق، کشف و بازیابی را مستند می‌کند و جدول زمانی قابل‌اطمینانی را برای هر مرحله از رخداد ایجاد می‌کند.

نماینده قانونی (HR/Legal Representation)

از آنجایی‌ که یک رخداد ممکن است به اتهامات جنایی منجر شود، داشتن راهنما و مشاوره حقوقی و منابع انسانی ضروری است.

چه کسانی در تیم واکنش به رخداد (CSIRT) حضور دارند؟

ما عملکردهای اصلی یک تیم واکنش به رخداد (CSIRT) را در این نوشتار مفید و قابل‌استفاده گرد هم آورده‌ایم. ازآنجایی‌ که هر شرکتی تعداد کارکنان متفاوت با مهارت‌های متفاوت خواهد داشت، به‌جای عناوین احتمالی به عملکردهای اصلی اعضای تیم اشاره کردیم. بنابراین ممکن است متوجه شوید که یک فرد می‌تواند دو وظیفه را انجام دهد، یا ممکن است بخواهید بسته به ترکیب تیم خود، بیش از یک نفر را به یک کار اختصاص دهید. با این‌ حال، در این مورد چند نکته کلیدی دیگر وجود دارد که باید در نظر داشته باشیم:

  • IT با پشتیبانی اجرایی قوی و مشارکت بین بخش‌های مختلف رهبری را برعهده دارد.

هنگامی که صحبت از پاسخ به رخداد امنیت سایبری می‌شود، IT باید با نمایندگی اجرایی از هر واحد بزرگ کسب‌وکار، پاسخ به رخداد را رهبری کند، به ‌ویژه زمانی که موضوع حقوق و منابع انسانی در میان باشد. با اینکه احتمالاً مدیران ارشد جزء اعضای فعال تیم نخواهند بود، باید برنامه‌ریزی شود که مدیران درموارد مربوط به استخدام و ارتباطات شرکت کنند.

  • نقش‌ها و مسئولیت‌های هر یک از اعضای تیم باید به‌ وضوح تعریف و مستندسازی شود و ارتباط بین آن‌ها باید مشخص شود.

با وجود اینکه در این مقاله کارکردهای کلی مانند مستندسازی، ارتباط و بررسی ارائه شده‌اند، ولی شرکت باید در زمان تشریح نقش‌های اعضای تیم خود دقیق‌تر عمل کند و مطمئن شود که این نقش‌ها را مستند کرده و به‌وضوح بین آن‌ها ارتباط برقرار کرده باشد، به‌طوری‌که افراد تیم به‌خوبی هماهنگ شده و قبل از وقوع یک بحران بدانند که از آن‌ها چه انتظاری می‌رود.

  • باید کانال‌های ارتباطی و برنامه جلسات ایجاد، تأیید و منتشر شود.

ارتباط مؤثر، رمز موفقیت هر پروژه است، و این امر به ‌ویژه برای تیم‌های پاسخ به رخداد صادق است. اطلاعات تماس اعضای تیم باید چاپ و به‌طور گسترده توزیع شوند (فقط به نسخه‌های نرم‌افزاری دفترچه‌های تلفن تکیه نکنید. به‌ احتمال‌ زیاد ممکن است در طول یک حادثه امنیتی به آن‌ها دسترسی نداشته باشید). همچنین مخاطبین خارجی مهم را نیز اضافه کنید و مطمئن شوید که در مورد اینکه چه زمانی، چگونه و با چه کسی باید ارتباط برقرار کنید، بحث و مستندسازی انجام شده است.

وظایف تیم واکنش به رخداد (CSIRT)

یک تیم واکنش به رخداد اطلاعات را تجزیه‌وتحلیل می‌کند، مشاهدات و فعالیت‌ها را موردبحث قرار می‌دهد و گزارش‌ها و ارتباطات مهم را در سراسر شرکت به اشتراک می‌گذارد. مدت زمان صرف شده برای هر یک از این فعالیت‌ها به یک سؤال کلیدی بستگی دارد: آیا این زمان، زمان آرامش است یا بحران؟ هنگامی که تیم به‌طور فعال یک رخداد امنیتی را بررسی نمی‌کند یا به آن پاسخ نمی‌دهد، باید حداقل هر سه ماه یکبار برای بررسی روندهای امنیتی فعلی و رویه‌های پاسخ به رخداد جلسه تشکیل دهد. هر چه یک تیم واکنش به رخداد (CSIRT) بتواند اطلاعات بیشتری را در اختیار کارکنان اجرایی قرار دهد، از نظر حفظ پشتیبانی اجرایی و مشارکت در مواقع موردنیاز (در زمان بحران یا بلافاصله پس از آن) بهتر عمل کرده است.

هدف تیم واکنش به رخداد (CSIRT)

هدف تیم واکنش به رخداد (CSIRT)، هماهنگ کردن و همسویی منابع کلیدی و اعضای تیم در طول یک رخداد امنیت سایبری برای به حداقل رساندن تأثیر و بازیابی عملیات در سریع‌ترین زمان ممکن است. این امر شامل کارکردهای حیاتی زیر است: تحقیق و تجزیه‌وتحلیل، ارتباطات، آموزش و آگاهی و همچنین مستندسازی و توسعه جدول زمانی.

هدف سؤالات کلیدی تاکتیک‌های کلیدی
تحقیق/تحلیل آیا این حادثه‌ای است که اکنون نیاز به توجه دارد؟ کدام دارایی‌ها تحت تأثیر قرار می‌گیرند؟ محدوده، اولویت و تأثیر باید مشخص و مستند شود.
گزارش/ارتباطات کدام نوع از رخداد امنیتی را در گزارش‌های روزانه، هفتگی و ماهانه خود لحاظ می‌کنیم؟ چه کسانی در لیست توزیع هستند؟ چه اطلاعاتی را می‌توانیم برای حفظ قابلیت دید و آگاهی (مانند گزارش‌های صنعتی، الگوهای رفتاری کاربر و غیره) در اختیار تیم اجرایی قرار دهیم؟ رخداد امنیتی را بر اساس ارزش و تأثیر دارایی تعریف و دسته‌بندی کنید. باید مستندسازی و آموزش اعضای تیم در مورد روش‌های گزارش دهی مناسب انجام شود. داده‌های مربوط به روند و سایر اطلاعات را جمع‌آوری کنید تا ارزشی را که تیم واکنش به رخداد (CSIRT) می‌تواند برای کسب‌وکار کلی به ارمغان بیاورد، به نمایش بگذارید.
پاسخ/بهبود مؤثرترین راه برای بررسی و بازیابی داده‌ها و عملکرد چیست؟ چگونه توانایی پاسخگویی خود را بهبود بخشیم؟ علت اصلی را بررسی کنید، یافته‌ها را مستند کنید، استراتژی‌های بازیابی را اجرا کنید و وضعیت را با اعضای تیم در میان بگذارید.

اعضای تیم واکنش به رخدادهای امنیتی کجا باید مستقر شوند؟

بیشتر شرکت‌ها در چندین مکان فعالیت می‌کنند و متأسفانه اکثر رخدادهای امنیتی هم به همین شیوه عمل می‌کنند. درحالی‌که ممکن است نتوان یک عضو اصلی تیم را در هر مکان داشت، سعی کنید جایی که اکثر عملیات کسب‌وکار و IT اتفاق می‌افتد، افراد در محل حضور داشته باشند. احتمال اینکه برای انجام برخی تحقیقات و فعالیت‌های تحلیلی به دسترسی فیزیکی نیاز باشد بسیار زیاد است. حتی برای کارهای بی‌اهمیت مانند راه‌اندازی مجدد سرور یا تعویض هارد دیسک.

چگونه می‌توان اعضای تیم CSIRT را مجهز کرد؟

اگر تیم واکنش به رخداد (CSIRT) برای انجام کارهایی که باید در زمان بحران انجام شود، قدرت نداشته باشد، هرگز موفق نخواهد شد. به همین دلیل ضروری است که مشارکت اجرایی تا حد امکان قابل‌ مشاهده و تا حد امکان باثبات باشد. در غیر این صورت، فارغ از اینکه دامنه حادثه امنیتی چقدر باشد، تیم به‌طور مؤثر برای به حداقل رساندن تأثیر منفی و بازیابی سریع مجهز نخواهد شد.

نکته کلیدی این است که ارزش این نقش‌های حساس تیم واکنش به رخداد  برای مدیران اجرایی تفهیم شود. صرف نظر از صنعت، مدیران همیشه به راه‌هایی برای کسب درآمد و جلوگیری از ضرر علاقه‌مند هستند. هرچه بتوانید اهداف و فعالیت‌های تیم خود را با کاهش ریسک واقعی و قابل اندازه‌گیری (به‌عبارت‌دیگر کاهش هزینه) پیوند دهید، استقبال مدیران از فعالیت تیم شما بیشتر خواهد بود.

معیارهای قابل‌ سنجش (مثلاً کاهش تعداد ساعت کاری با استفاده از ابزار فارنزیک جدید) و گزارش و ارتباطات قابل‌ اعتماد، بهترین راه برای در مرکزیت نگه داشتن تیم از نظر اولویت اجرایی و پشتیبانی خواهد بود.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.