در خصوص استخدام اعضای تیم پاسخ به حوادث امنیتی به ذکر سه مورد کلیدی میپردازیم که بر اساس پیشنهادهای مؤسسه ملی فناوری و استانداردهاست و از راهنمای مدیریت حوادث امنیتی کامپیوتری استخراج شده است.
در دسترس بودن شبانهروزی
به احتمال زیاد سازمان شما هم مثل اکثر سازمانهاست؛ بنابراین، نیاز است اعضای تیم پاسخ به حوادث امنیتی سازمان به صورت ۲۴x7x365 در دسترس باشند. حتماً به یاد داشته باشید ممکن است در برخی موارد خاص به پشتیبانی کارمندان حاضر در محل نیاز داشته باشید، بنابراین، نزدیکی محل زندگی اعضای تیم پاسخ به حوادث به محل کار مزیت بزرگی محسوب میشود. نقشها و مسئولیتهای اعضای تیم را روشن و مستقیم بیان کنید.
استخدام اعضای مجازی و یا داوطلب (درصورتیکه استخدام اعضای تماموقت امکانپذیر نباشد)
ممکن است توانایی محول کردن مسئولیتهای تماموقت به تمامی اعضا را نداشته باشید. درصورتیکه تعداد کارکنان کم باشد، تعدادی از اعضای تیمها میتوانند عضو تیم پاسخ به حوادث مجازی باشند. تیم پاسخ به حوادث مجازی کمی شبیه به یک واحد آتشنشانی داوطلبانه است. هرگاه حادثهای اضطراری رخ دهد، با اعضای تیم تماس گرفته میشود تا فوراً دور هم جمع شوند و کسانی که بتوانند کمک کنند این کار را میکنند. معمولاً Help Desk فناوری اطلاعات اولین نقطه ارتباط برای گزارش حوادث است. اعضای Help Desk آموزش میبینند تا بررسیهای اولیه را انجام داده و اطلاعات مورد نیاز را گردآوری کنند و سپس در صورتیکه به نظر برسد حادثهای جدی رخ داده به تیم پاسخ به حوادث سایبری هشدار دهند.
نظارت و تقویت روحیه تیم و کارکنان
کار تیم پاسخ به حوادث بسیار استرسزاست و در دسترس بودن مداوم ممکن است ضرر زیادی به تیم وارد کند. این امر باعث میشود اعضای تیم پاسخ به رخداد (CSIRT) به راحتی خسته شوند یا انگیزه و تمرکزشان را از دست بدهند. جلوگیری از خستگی مفرط کارکنان از طریق ارائه فرصتهایی برای یادگیری و رشد و همچنین ساخت تیم و بهبود ارتباط اعضا از اهمیت بالایی برخوردار است. همچنین ممکن است بخواهید بخشی از فعالیتهای شناسایی و پاسخ به حوادث را به شریکی قابلاعتماد مانند مرکز عملیات امنیت مدیریت شده (MSSP) برونسپاری کنید
چرا باید عضو تیم پاسخ به حوادث شد؟
همانطور که پیشتر گفتیم، تیم پاسخ به حوادث نیاز به افرادی خارقالعاده دارد که کنجکاوی ذهنی و اشتیاقی خستگیناپذیر داشته باشند و هرگز تسلیم نشوند، علیالخصوص در مواقع بحرانی. چنین توصیفاتی شبیه به ویژگیهای رهبری بزرگ است و همین موضوع است که بسیاری از اعضای سازمان را جذب میکند تا به تیم پاسخ به حوادث بپیوندند. فرصت اینکه درون و بیرون از شرکت رهبر شوی و رهبر دیده شوی، فرصتی است که به راحتی بدست نمیآید و میتواند مزایایی بیشتر از آنچه در ابتدا تصور میشود به دنبال داشته باشد. در تیم پاسخ به حوادث مواردی مانند قوانین افشا و روندها، گفتوگوی موثر با خبرگزاریها و هیئت اجرایی و… را یاد خواهید گرفت.
بیشتر بخوانید: تیم واکنش به رخداد (CSIRT): نقشها و مسولیتها
موارد مهم برای افراد تازه کار در تیم پاسخ به حوادث
چه مهارتهایی لازم است؟ باید به دنبال چه چیزهای مهمی بود؟
علاوهبر مهارت فنی و توانایی حل مسئله، اعضای تیم پاسخ به حوادث سایبری باید توانایی کارگروهی قوی و برقراری ارتباط با دیگران را داشته باشند. مهارتهای گفتاری و نوشتاری ضروریاند زیرا همکاری و هماهنگی کلید اصلی پاسخ به حوادث موثر است. کنجکاوی ذهنی و مشاهدهگری دقیق از دیگر مهارتهایی است که نیاز به تقویت شدن دارد.
تحلیل امنیتی مانند کار کارآگاهی است. در حالی که سایر کارهای فنی، افراد را در مقابل دانش خود از فناوری قرار می دهد، تجزیه و تحلیل امنیتی جایی است که در آن با دانش یک فرد ناشناس رقابت میشود. کارآگاهی مملو از سرنخ های دروغین، بن بست ها، شواهد نادرست و شاهدان غیرقابل اعتماد است. افراد تیم پاسخ به حوادث خواهند آموخت که بسیاری از مهارت های مشابه را برای مقابله با این موارد توسعه دهند.
۵ نکته برای اعضای تیم پاسخ به حوادث
دنبال وجوه مشترک و استثناهای رایج بگردید
تحلیل امنیتی شامل بررسی موشکافانه دستههایی از اطلاعات است؛ اطلاعاتی از جمله فایلهای لاگ، پایگاههای داده و رویدادهای کنترل امنیتی. پیدا کردن سرنخ در حجم زیادی از دادهها مانند لاگها، پایگاههای داده و… نیاز به جمعآوری و بررسی دارند. رایجترین چیز چیست؟ کدام رایج نیست؟ اشتراکاتشان چیست؟ کدام از همه برجستهتر است؟
یک سیستم ممکن است روزانه ۱۰،۰۰۰ اتصال TCP برقرار کند اما به کدام یک از میزبانها تنها یکبار متصل شده است؟ هنگام دنبال کردن رد یک لاگ، همیشه دنبال چیزهایی باشید که بتوانید با هم در یک گروه قرار دهید؛ با ویژگیهای مشترکشان شروع کنید و سپس آن را که از همه برجستهتر است انتخاب کنید.
بر اساس ارتباطات عقلانی قطعی پیش بروید نه فرضیات
عقل سلیم میگوید بر اساس فرضیات پیش نروید. پیش رفتن با این فرض که چیزی وجود دارد نتایج ضعیفی از جانب تیم پاسخ به حوادث به دنبال دارد. از طرف دیگر، افراد در تلاش برای پیش نرفتن با فرضیات به تله میافتند. برای یافتن حقیقت، باید ارتباطات عقلانی را کنار هم بگذارید و آنها را بیازمایید.
«اگر بدانم که این سیستم x است و هشدار Y را دیده باشم باید رویداد Z را در سیستم دیگر ببینم.»
این ارتباطی عقلانی و قطعی است که قابل آزمایش است و اگر درستی آن اثبات شود متوجه میشوید که در مسیر درستید. (اگر فرض را بر این بگیریم که این ارتباطات عقلانی بر اساس اطلاعات درست هستند.)
ناممکنها را حذف کنید
وقتی ناممکنها را حذف کنید، هرچه بماند، هرچقدر هم بعید به نظر برسد، احتمالاً حقیقت است. موارد بسیاری پیش خواهد آمد که نمیدانید دقیقاً به دنبال چه چیزی هستید، به حدی که اگر درست جلوی چشمتان هم باشد ممکن است متوجه آن نشوید. در این شرایط کارآمدترین راه، حذف چیزهایی است که میتوان با دلیل و منطق از دور خارج کرد تا جاییکه تنها چیزهای باقی بمانند که پاسخی در آن لحظه برایشان ندارید و آنجاست که میتوان حقیقت را یافت.
همیشه به دنبال توضیح سادهتر باشید
چیزی که پاسخ به حادثه را کاری با ارزش میکند پیدا کردن و متوقف کردن عامل مزاحم پیش از آن است که خسارتی جدی به بار آورد. وقتی شغل شما جستجو برای یافتن عامل مخرب و فعالیتهای مشکوک و آسیبزا باشد، امکان پیداکردن این موارد آسانتر است..
گاهی اوقات آن حملهای که مطمئن هستید کشف کردهاید، فقط شخصی است که روی کادر انتخاب پیکربندی اشتباه کلیک میکند.
مسائل را از دیدگاه مهاجمان تصور کنید. اگر جای آنها بودید چه کار میکردید؟
اعضای باتجربه تیم پاسخ به حوادث که هدفشان به دام انداختن تهاجمهای کنترلشده توسط مهاجمان انسانیای است که به دنبال دزدیدن دارایی معنوی هستند، تواناییای دارند که نه قابل آموزش دادن است و نه میتوان به طور کافی در اینجا آن را توضیح داد.
با استفاده از تجربه مدیریت سیستمها، ساختن سیستمها، نوشتن نرمافزار و پیکربندی شبکهها و همچنین دانستن درمورد چگونگی درهم شکستن امنیتشان میتوان توانایی پرسیدن این سؤال را که «اگر جای مهاجمان بودم در مرحله بعد چه میکردم؟» را در خود تقویت کرد و بر اساس این سؤال رابطهای منطقی و قابل آزمایش ساخت (که ممکن است معمولاً درست از آب دربیاید و به شما اجازه بدهد در بررسیهایتان چند قدم جلوتر بیفتید).
حرف آخر: سیستمها را مطالعه کنید، تهاجمها را مطالعه کنید، مهاجمها را مطالعه کنید، بفهمید چطور فکر میکنند، وارد ذهنشان شوید. از حریفتان هوشمندتر عمل کنید.