بااینکه شاید باب میل ما نباشد، کارهایی هستند که فقط انسانها و در برخی موارد فقط افراد خاصی میتوانند انجام دهند بنابراین برخی از کارها را نمیتوان خودکارسازی کرد و پاسخ به رخداد یا incident Response یکی از آنها است. به همین دلیل هوشمندانه است که قبل از این که یک حادثه واقعی نیاز به پاسخ داشته باشد، یک تیم واکنش به رخداد (CSIRT) مجهز و آماده برای اقدام داشته باشیم. اولین گام کلیدی این است که نقشها و مسئولیتهای تیم پاسخ به رخداد (CSIRT) را بهوضوح تعریف کنیم .
در این مطلب به چندین مسئله در مورد تیم واکنش به رخداد خواهیم پرداخت. اولازهمه، تیم واکنش به رخداد (CSIRT) باید مجهز باشد. در ادامه توصیههایی را با شما به اشتراک میگذاریم که به تیم شما کمک میکند در صورت رخ دادن بدترین سناریو، توانمند شود. دوم اینکه تیم واکنش به رخداد (CSIRT) سایبری باید هدفمند باشد. در هر تلاش تیمی، هدفگذاری بسیار مهم است زیرا به شما امکان میدهد حتی در مواقع بحران و استرس شدید متمرکز بمانید.
در این مقاله، نحوه جمعآوری و سازماندهی یک تیم (CSIRT)، نحوه مجهز کردن و متمرکز نگه داشتن آن بر روی مهار، بررسی، پاسخ و بازیابی از رخدادهای امنیتی را خواهید آموخت.
نقشها و وظایف اعضای تیم واکنش به رخداد (CSIRT)
رهبر تیم (Team Leader)
تمام فعالیتهای تیم CSIRT را هدایت و هماهنگ میکند و تیم را روی به حداقل رساندن آسیب و بازیابی سریع متمرکز میکند.
محقق اصلی (Lead Investigator)
نقش محقق اصلی، جمعآوری و تجزیهوتحلیل شواهد، تعیین علت اصلی، هدایت سایر تحلیلگران و پیادهسازی روشهایی برای بازیابی سریع سیستم و خدمات است.
رهبر ارتباطات (Communications Lead)
تلاش در زمینه پیامرسانی و ارتباطات را برای همه مخاطبان، در داخل و خارج از شرکت رهبری میکند.
رهبر اسناد و جدول زمانی (Documentation & Timeline Lead)
تمام فعالیتهای تیم، به ویژه وظایف تحقیق، کشف و بازیابی را مستند میکند و جدول زمانی قابلاطمینانی را برای هر مرحله از رخداد ایجاد میکند.
نماینده قانونی (HR/Legal Representation)
از آنجایی که یک رخداد ممکن است به اتهامات جنایی منجر شود، داشتن راهنما و مشاوره حقوقی و منابع انسانی ضروری است.
چه کسانی در تیم واکنش به رخداد (CSIRT) حضور دارند؟
ما عملکردهای اصلی یک تیم واکنش به رخداد (CSIRT) را در این نوشتار مفید و قابلاستفاده گرد هم آوردهایم. ازآنجایی که هر شرکتی تعداد کارکنان متفاوت با مهارتهای متفاوت خواهد داشت، بهجای عناوین احتمالی به عملکردهای اصلی اعضای تیم اشاره کردیم. بنابراین ممکن است متوجه شوید که یک فرد میتواند دو وظیفه را انجام دهد، یا ممکن است بخواهید بسته به ترکیب تیم خود، بیش از یک نفر را به یک کار اختصاص دهید. با این حال، در این مورد چند نکته کلیدی دیگر وجود دارد که باید در نظر داشته باشیم:
- IT با پشتیبانی اجرایی قوی و مشارکت بین بخشهای مختلف رهبری را برعهده دارد.
هنگامی که صحبت از پاسخ به رخداد امنیت سایبری میشود، IT باید با نمایندگی اجرایی از هر واحد بزرگ کسبوکار، پاسخ به رخداد را رهبری کند، به ویژه زمانی که موضوع حقوق و منابع انسانی در میان باشد. با اینکه احتمالاً مدیران ارشد جزء اعضای فعال تیم نخواهند بود، باید برنامهریزی شود که مدیران درموارد مربوط به استخدام و ارتباطات شرکت کنند.
- نقشها و مسئولیتهای هر یک از اعضای تیم باید به وضوح تعریف و مستندسازی شود و ارتباط بین آنها باید مشخص شود.
با وجود اینکه در این مقاله کارکردهای کلی مانند مستندسازی، ارتباط و بررسی ارائه شدهاند، ولی شرکت باید در زمان تشریح نقشهای اعضای تیم خود دقیقتر عمل کند و مطمئن شود که این نقشها را مستند کرده و بهوضوح بین آنها ارتباط برقرار کرده باشد، بهطوریکه افراد تیم بهخوبی هماهنگ شده و قبل از وقوع یک بحران بدانند که از آنها چه انتظاری میرود.
- باید کانالهای ارتباطی و برنامه جلسات ایجاد، تأیید و منتشر شود.
ارتباط مؤثر، رمز موفقیت هر پروژه است، و این امر به ویژه برای تیمهای پاسخ به رخداد صادق است. اطلاعات تماس اعضای تیم باید چاپ و بهطور گسترده توزیع شوند (فقط به نسخههای نرمافزاری دفترچههای تلفن تکیه نکنید. به احتمال زیاد ممکن است در طول یک حادثه امنیتی به آنها دسترسی نداشته باشید). همچنین مخاطبین خارجی مهم را نیز اضافه کنید و مطمئن شوید که در مورد اینکه چه زمانی، چگونه و با چه کسی باید ارتباط برقرار کنید، بحث و مستندسازی انجام شده است.
وظایف تیم واکنش به رخداد (CSIRT)
یک تیم واکنش به رخداد اطلاعات را تجزیهوتحلیل میکند، مشاهدات و فعالیتها را موردبحث قرار میدهد و گزارشها و ارتباطات مهم را در سراسر شرکت به اشتراک میگذارد. مدت زمان صرف شده برای هر یک از این فعالیتها به یک سؤال کلیدی بستگی دارد: آیا این زمان، زمان آرامش است یا بحران؟ هنگامی که تیم بهطور فعال یک رخداد امنیتی را بررسی نمیکند یا به آن پاسخ نمیدهد، باید حداقل هر سه ماه یکبار برای بررسی روندهای امنیتی فعلی و رویههای پاسخ به رخداد جلسه تشکیل دهد. هر چه یک تیم واکنش به رخداد (CSIRT) بتواند اطلاعات بیشتری را در اختیار کارکنان اجرایی قرار دهد، از نظر حفظ پشتیبانی اجرایی و مشارکت در مواقع موردنیاز (در زمان بحران یا بلافاصله پس از آن) بهتر عمل کرده است.
هدف تیم واکنش به رخداد (CSIRT)
هدف تیم واکنش به رخداد (CSIRT)، هماهنگ کردن و همسویی منابع کلیدی و اعضای تیم در طول یک رخداد امنیت سایبری برای به حداقل رساندن تأثیر و بازیابی عملیات در سریعترین زمان ممکن است. این امر شامل کارکردهای حیاتی زیر است: تحقیق و تجزیهوتحلیل، ارتباطات، آموزش و آگاهی و همچنین مستندسازی و توسعه جدول زمانی.
هدف | سؤالات کلیدی | تاکتیکهای کلیدی |
تحقیق/تحلیل | آیا این حادثهای است که اکنون نیاز به توجه دارد؟ کدام داراییها تحت تأثیر قرار میگیرند؟ | محدوده، اولویت و تأثیر باید مشخص و مستند شود. |
گزارش/ارتباطات | کدام نوع از رخداد امنیتی را در گزارشهای روزانه، هفتگی و ماهانه خود لحاظ میکنیم؟ چه کسانی در لیست توزیع هستند؟ چه اطلاعاتی را میتوانیم برای حفظ قابلیت دید و آگاهی (مانند گزارشهای صنعتی، الگوهای رفتاری کاربر و غیره) در اختیار تیم اجرایی قرار دهیم؟ | رخداد امنیتی را بر اساس ارزش و تأثیر دارایی تعریف و دستهبندی کنید. باید مستندسازی و آموزش اعضای تیم در مورد روشهای گزارش دهی مناسب انجام شود. دادههای مربوط به روند و سایر اطلاعات را جمعآوری کنید تا ارزشی را که تیم واکنش به رخداد (CSIRT) میتواند برای کسبوکار کلی به ارمغان بیاورد، به نمایش بگذارید. |
پاسخ/بهبود | مؤثرترین راه برای بررسی و بازیابی دادهها و عملکرد چیست؟ چگونه توانایی پاسخگویی خود را بهبود بخشیم؟ | علت اصلی را بررسی کنید، یافتهها را مستند کنید، استراتژیهای بازیابی را اجرا کنید و وضعیت را با اعضای تیم در میان بگذارید. |
اعضای تیم واکنش به رخدادهای امنیتی کجا باید مستقر شوند؟
بیشتر شرکتها در چندین مکان فعالیت میکنند و متأسفانه اکثر رخدادهای امنیتی هم به همین شیوه عمل میکنند. درحالیکه ممکن است نتوان یک عضو اصلی تیم را در هر مکان داشت، سعی کنید جایی که اکثر عملیات کسبوکار و IT اتفاق میافتد، افراد در محل حضور داشته باشند. احتمال اینکه برای انجام برخی تحقیقات و فعالیتهای تحلیلی به دسترسی فیزیکی نیاز باشد بسیار زیاد است. حتی برای کارهای بیاهمیت مانند راهاندازی مجدد سرور یا تعویض هارد دیسک.
چگونه میتوان اعضای تیم CSIRT را مجهز کرد؟
اگر تیم واکنش به رخداد (CSIRT) برای انجام کارهایی که باید در زمان بحران انجام شود، قدرت نداشته باشد، هرگز موفق نخواهد شد. به همین دلیل ضروری است که مشارکت اجرایی تا حد امکان قابل مشاهده و تا حد امکان باثبات باشد. در غیر این صورت، فارغ از اینکه دامنه حادثه امنیتی چقدر باشد، تیم بهطور مؤثر برای به حداقل رساندن تأثیر منفی و بازیابی سریع مجهز نخواهد شد.
نکته کلیدی این است که ارزش این نقشهای حساس تیم واکنش به رخداد برای مدیران اجرایی تفهیم شود. صرف نظر از صنعت، مدیران همیشه به راههایی برای کسب درآمد و جلوگیری از ضرر علاقهمند هستند. هرچه بتوانید اهداف و فعالیتهای تیم خود را با کاهش ریسک واقعی و قابل اندازهگیری (بهعبارتدیگر کاهش هزینه) پیوند دهید، استقبال مدیران از فعالیت تیم شما بیشتر خواهد بود.
معیارهای قابل سنجش (مثلاً کاهش تعداد ساعت کاری با استفاده از ابزار فارنزیک جدید) و گزارش و ارتباطات قابل اعتماد، بهترین راه برای در مرکزیت نگه داشتن تیم از نظر اولویت اجرایی و پشتیبانی خواهد بود.