تیم پاسخ‌ به رخداد (CSIRT)

تیم پاسخ به رخداد، نیاز امروز در امنیت سایبری

با افزایش تهدیدات امنیت سایبری و پیچدگی آنها، همچنین کمبود دانش تخصصی و نیروی خبره جهت پاسخ به رخداد و گزارشات تیم‌های مرکز عملیات امنیت (SOC) در سازمان، نیاز  به یک تیم متخصص و حرفه‌ای برای پاسخ به حوادث نیز رو به افزایش است.

یک مرکز پاسخ به رخداد یا Incident Response خدمات پیشگیرانه و واکنشی را در پاسخ به رخدادهای امنیتی ارائه می‌دهد. این خدمات از مراحل و فرآیندهای مختلفی تشکیل شده که شامل حوادث امنیتی و تست نفوذ بوده و دسترسی غیر مجاز مرتبط با حوزه IT را کنترل و مدیریت کرده و پاسخ­های مناسب را ارائه می‌دهد. این سیستم معمولا به صورت دائم فعال بوده و ماموریت آن مدیریت ریسک از طریق تجزیه و تحلیل متمرکز با استفاده از منابعی مانند نیروی انسانی، سخت‌افزار و نرم افزارهای خاص است. این منابع به منظور تشخیص و حفاظت در برابر نفوذ، به صورت مستمر رخدادها را نظارت و ریسک‌ها را تجزیه تحلیل کرده و پاسخ مناسب را ارائه می‌کند.

وجود یک تیم خبره پاسخ به رخداد (CSIRT) به سازمان این اطمینان را می‌دهد تا در صورت مقابله با یک حمله سایبری بتواند راهکارهای دفاعی لازم را انجام داده و عواقب ناشی از آن را کاهش دهد. همچنین تیم پاسخ به رخداد (CSIRT) کمک می‌کند تا سازمان در وهله اول نسبت به نقاط ضعف خود شناخت پیدا کرده و سپس امن‌سازی‌های لازم صورت بگیرد. پایش‌های دوره‌ای و تمرین‌های امنیتی کمک می‌کند تا سازمان بلوغ امنیت خود را افزایش داده و بالغ‌تر شدن آن، از بسیاری از تهدیدات امنیتی جلوگیری می‌نماید.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

ویژگی ها

ویژگی‌ها و امکانات مرکز پاسخ به رخداد (Incident Response)

  • مدیریت و رسیدگی به حوادث امنیتی: با وقوع تهدیدات مختلفی امنیتی برروی سامانه‌ها و سرویس‌های مهم سازمان، مدیریت این حوادث یکی از نکات کلیدی و مهمی است که باید مورد توجه قرار گیرد. پاسخ به رخداد در خلال مدیریت رخدادهای امنیتی صورت می گیرد. طبق استاندارد NIST چرخه مدیریت حوادث شامل مراحل آمادگی، شناسایی و تحلیل، جلوگیری، ریشه‌کنی، بازگردانی و درس‌های یاد گرفته شده از حوادث است. تیم خبره پاسخ به رخداد یا Incident Response Team طبق این چرخه، حوادث امنیتی را مدیریت کرده و در زمان مناسب، پاسخ مناسب را می‌دهد.
  • پاسخ به حوادث امنیتی: با افزایش سطح تهدیدات و رخدادهای امنیتی، پاسخ به رخداد یکی از مهمترین فاکتورهای اثربخشی امنیتی سازمان‌ها است. پاسخ به رخدادهای امنیتی می‌تواند شامل پاسخگویی در سطح تجهیزات امنیتی و شبکه، سامانه‌های تحت وب و سیستم عامل باشد. باتوجه به پیچیدگی‌های آنها، به تیم خبره جهت پاسخگویی مناسب در زمان کوتاه نیاز است. پاسخ به حوادث طبق Pyramid  0f Pain (هرم درد) می‌تواند سطوح مختلفی داشته باشد و هرچه به TTPها (Technique, Tactic, Procedure) نزدیک شود آن را پیچیده‌تر می‌کند و تیم  پاسخ به رخداد یا Incident Response با دانش تخصصی خود نسبت به پاسخگویی مناسب اقدام می‌کند. تیم پاسخ به رخداد یا Incident Response هشدارهای رسیده از تیم‌های مربوط به شناسایی را بررسی و در کوتاه‌ترین زمان به آنها پاسخ می‌دهند. این امر توسط نیروی مقیم ۵*۸ در سازمان یا ۷*۲۴ در مرکز MSSP  شرکت امن پردازان کویر (APK) انجام می پذیرد.
  • مدیریت آسیب‌پذیری و وصله‌های امنیتی: روزانه تعداد زیادی از آسیب‌پذیری‌های تجهیزات امنیتی و سیستم عامل‌ها منتشر می‌شود. آسیب‌پذیری‌ها دارای درجه اهمیت متفاوتی بوده که هرکدام از آنها نیازمند پاسخ مناسب هستند. یکی از مهمترین وظایف تیم پاسخ به رخداد یا Incident Response شناسایی آسیب‌پذیری‌های مختلف در سطح سازمان و اعمال وصله‌های امنیتی مناسب آنها است. با توجه به پیچیدگی و سختی‌های اعمال وصله‌های امنیتی برای حفظ دسترسی‌پذیری سرویس، تیم پاسخ به رخداد (IR) وصله‌های امنیتی را در آزمایشگاه سایبری خود بررسی کرده و سپس برروی سامانه‌ها اعمال می‌کند تا در سرویس‌های ارائه شده توسط سازمان خللی بوجود نیاید. همچنین با ابزارهای خود روزانه بروزرسانی‌های لازم را دریافت کرده و نسبت به اعمال وصله‌ها اقدام می‌نماید تا از تهدیدات احتمالی بر روی سامانه و سرویس‌ها جلوگیری نماید.
  • مشاوره امنیتی: به کارگیری استانداردها، Best Practiceهای امنیتی و راهکارهای تجربی می‌تواند به بلوغ سازمان کمک شایانی کند. مشاوره امنیتی در سطوح شبکه، سرویس، پیاده‌سازی آزمایشگاه سایبری، باز طراحی شبکه، تست نفوذ، شکار تهدیدات و فارنزیک از جمله مواردی است که در مشاوره‌های امنیتی به سازمان داده خواهد شد تا سطح بلوغ سازمان افزایش یابد.
  • ارزیابی و Audit: سازمان‌های پویا روزانه در حال تغییر و تحول در تنظيمات و تجهیزات خود هستند مانند تغییرات در Rule‌های فایروال، کانفیگ‌های ارتباطی سوییچ‌ها و حتی اضافه شدن تجهیزات جدید مانند WAFو … . یکی از وظایف تیم پاسخ به رخداد شرکت امن‌پردازان کویر (APK) بررسی دوره‌ای این موارد است. متخصصان حوزه فایروال، سوئیچ، سرویس‌های ویندوزی و لینوکسی، طبق برنامه‌های زمان‌بندی شده وضعیت سازمان را ممیزی و مشکلات امنیتی را تشخیص و به سازمان اعلام می‌نمایند.
  • امن‌سازی: یکی از اقدامات پیشگیرانه در خدمات Incident Response امن‌سازی تجهیزات، سیستم عامل‌ها و سرویس‌ها است. در امن‌سازی، آسیب‌پذیری‌ها و نقص قوانین مشخص‌ می‌گردد تا تیم‌های متخصص هر حوزه بر اساس خروجی‌های پایش آسیب‌پذیری، بازدید و Audit دوره‌ای تجهیزات امنیتی اقدام به امن‌سازی بر اساس استاندارهای امنیتی نمایند. بر اساس سطح SLA انتخابی توسط سازمان، امکان انجام یک مرحله امن‌سازی به صورت کامل و پس از شناخت شبکه وجود دارد. همچنین در مدت قرارداد به صورت دوره‌ای بر اساس خروجی‌های سایر اقدامات و بر اساس توافق با کارفرما امن‌سازی در محدوده مشخص شده انجام می‌پذیرد.
  • فارنزیک (Forensics) : یکی از اقدامات مهم در بخش واکنشی، انجام فارنزیک حوادث است. هنگام رخ دادن یک حادثه امنیتی، باید کلیه اتفاقات مورد بررسی و تحلیل قرار گیرد تا بتوان اقدامات مناسب را برای جلوگیری از تکرار حادثه، شناسایی و پاک کردن تاثیراتی که در سایر قسمت‌ها حادث گردیده و یا اقدامات قانونی لازم انجام داد. این بخش از خدمات فقط در صورت بروز حادثه و با درخواست کافرما انجام می‌پذیرد و برنامه یا زمان‌بندی مشخصی ندارد.
  • شکار تهدیدات (Threat Hunting): فرآیند هانتینگ یکی از اقدامات پیشگیرانه است. در شبکه یک سازمان اتفاقاتی رخ می‌دهد که از دید SOC و سایر بخش‌ها پنهان می‌ماند و یا عدم وجود این بخش‌ها در سازمان باعث رخ دادن این موارد می‌گردد (مانند وجود Web shell در یک سرور). تیم Hunting بر اساس دانش و ابزارهای تخصصی و بر اساس قوانین امنیتی، اقدام به بررسی سلامت سرورهای مختلف سازمان می‌نماید. این اقدامات به صورت دوره‌ای و بر روی سرورهای حیاتی سازمان انجام می‌پذیرد. لیست سرورها توسط کارفرما و پیمانکار بررسی و انتخاب می‌گردد.
  • راه‌اندازی آزمایشگاه امنیت سایبری: یکی از اقدامات مهم در پاسخگویی به رخداد طراحی و ایجاد محیطی به منظور ارتقای سطح فنی، آمادگی مقابله با رخدادهای سایبری و شبیه‌سازی حملات بر روی زیرساخت‌های سازمان، تحلیل بدافزارها و همچنین رفتارشناسی فایل‌های مخرب است که توسط شرکت امن‌پردازان کویر (APK) در طول مدت پروژه انجام می‌گردد. بدیهی است که این آزمایشگاه با توجه به مسائل روز در حوزه امنیت فناوری اطلاعات و ارتباطات، باید بصورت مستمر بازنگری و بازطراحی گردد. با پیاده‌سازی این آزمایشگاه، بستری امن برای اجرای حملات بدون ریسک ایجاد شده و می‌توانUse Case های مختلف امنیتی را جهت پیشبرد اهداف سازمان در راستای امنیت فاوا پیاده‌سازی نمود. همچنین این آزمایشگاه، زمینه‌ساز ارائه تمهیدات مناسب برای اجرای فرایندهای پیشگیری از وقوع حوادث و شبیه‌سازی سناریوهای مختلف حملات سایبری می‌گردد.
  • ارائه طرح امن‌سازی و بازطراحی: در آغاز خدمات پاسخ به رخداد (IR) نیاز است تا برنامه درستی برای امن‌سازی و بهینه‌سازی شبکه وجود داشته باشد. شرکت امن‌پردازان کویر (APK) با استفاده از شناختی که از سازمان به دست می‌آورد اقدام به ارائه طرحی با عنوان طرح امن‌سازی می‌نماید و تمام اقدامات لازم را برای بازطراحی و امن‌سازی در ابتدای پروژه مشخص می‌نماید.
  • اطلاع‌رسانی امنیتی: روزانه هزاران و شاید میلیون‌ها آسیب پذیری، حوادث و مشکلات امنیتی در دنیا شناسایی و معرفی می‌گردد که آگاهی از این موارد و سنجش آن با دارایی‌های موجود هر سازمان لازمه امن‌سازی شبکه است. از مهمترین اقدامات تیم پاسخ به رخداد شرکت امن‌پردازان کویر (APK) می‌توان به رصد اطلاعات و تطابق آنها با دارایی‌ها و وضعیت یک سازمان خاص و اطلاع‌رسانی در این خصوص اشاره کرد. این فعالیت‌ها می‌تواند درجه هوشیاری تیم‌های تشخیص و پاسخ را به مراتب افزایش داده و راهنمای درستی برای کم کردن مشکلات امنیتی یک سازمان باشد.
  • تست نفوذ (Penetration Test): از اقدامات پیشگیرانه‌ای که به امن‌سازی سازمان کمک شایانی می‌نماید، انجام تست نفوذ است. تست نفوذ به فرآیندی گفته می‌شود که طی آن به بررسی‌های دقیق و تخصصی شناسایی آسیب‌پذیری‌های مختلف پرداخته می‌شود. در حالت کلی اجرای نفوذپذیری و ارزیابی آسیب پذیری از بعد مکانی به دو حالت ارزیابی داخلی و ارزیابی خارجی مورد بررسی قرار می‌گیرد. در ارزیابی داخلی، قلمرو ارزیابی در سازمان و با نود شبکه آن‌ سازمان مطبوع صورت می‌پذیرد. این در حالی است که در نوع ارزیابی خارجی، خارج از سازمان و در بستر اینترنت صورت می‎پذیرد.
  • تیم قرمز (RedTeam): یکی از اقدامات سطح بالا و Advanced در خدمات امنیتی انجام عملیات توسط تیم قرمز است. تیم قرمز علاوه بر بررسی راهکارهای مختلف برای نفوذ ،گزارشی را تهیه می‌کند ‌که ‌کارفرما به وسیله آن می‌تواند فرآیندهای شناسایی و مانتیورینگ خود را محک بزند. این اقدامات به صورت دوره‌ای انجام گرفته و می‌تواند کمک شایانی به بلوغ تیم‌های شناسایی و مانیتورینگ امنیتی باشد.
  • پایش آسیب‌پذیری: علاوه بر اینکه در تیم امداد سایبری امن‌پردازان کویر (APK) اطلاع‌رسانی در خصوص آسیب‌پذیری‌ها انجام می‌گردد، گروهی از متخصصان با استفاده از ابزارهای لازم به صورت دوره‌ای شبکه را اسکن و آسیب‌پذیری‌ها را شناسایی و  اقدام به رفع آنها می‌نمایند. این فعالیت یکی از نیازهای اصلی یک شبکه امن می‌باشد.

مزایا

مزایای کلیدی مرکز پاسخ به رخداد

  • پشتیبانی 7*24 و شبانه‌روزی جهت پاسخگویی به حوادث و رخدادهای امنیتی
  • همکاری با تیم خبره و باتجربه
  • ارائه راه حل و استراتژی‌های مناسب جهت کاهش تاثیرات تهدیدات سایبری
  • انجام تمرین‌های تیم قرمز و تست نفوذ
  • ارائه سرویس‌های پیشرفته شکار تهدید (Threat Hunting) و فارنزیک (Forensics)
  • بازدید و امن‌سازی تجهیزات امنیتی و سرویس‌های مختلف

خدمات

خدمات و سطوح ارائه شده در مرکز پاسخ به رخداد

خدمات مرکز پاسخ به رخداد (Incidetn Response) به سه دسته مشاوره و مدیریتی، پیشگیرانه (Proactive) و واکنشی (Reactive) تقسیم بندی شده است.

سرویس‌های مشاوره و مدیریتی:

  • مشاوره امنیتی
  • اطلاع‌رسانی امنیتی
  • ارائه طرح امن‌سازی
  • راه‌اندازی آزمایشگاه امنیت سایبری و بدافزار
  • مستندسازی وضعیت موجود و مدیریت دارایی‌ها

سرویس‌های Proactive

  • تست نفوذ کامل و دوره‌ای
  • تیم قرمز (Red Team)
  • بازدید و Audit تجهیزات امنیتی
  • شکار تهدید (Threat Hunting) دوره‌ای
  • امن‌سازی دوره‌ای

سرویس‌های Reactive

  • تحلیل بدافزار (Malware Analysis)
  • پاسخ به رخدادهای امنیتی
  • پایش آسیب‌پذیری
  • فارنزیک (Forensics)
  • شکار تهدید
  • پیاده سازی پلتفرم هوش تهدیدات (TIP)


همچنین در جدول زیر خدمات ارائه شده در هر سطح قابل مشاهده است.

+Premium

Premium Standard Service Type Service Category
Unlimited Up to 24 times Up to 12 times Security Consultation Management & Consultation
Security Advisory
Once Once Once Hardening Program
× × Security Laboratory Launch
Up to 12 times 6 times Up to 3 times Periodic Penetration Test Proactive Actions
Up to 4 times Once × Periodic Red Teaming
Up to 12 times Up to 4 times Up to 2 times Periodic Audit of Security Appliances
Up to 4 times Up to 2 times × Periodic Threat Hunting
Up to 4 times Up to 4 times Up to 2 times Periodic Hardening
× Malware Analysis Reactive Actions
On-Site, 8*5

APKMSSP, 24*7

On-Site, 8*5

Remote, 8*5 Incident Response
On-Site, 8*5

APKMSSP, 24*7

On-Site, 8*5

Remote, 8*5 Vulnerability Response
× Forensics
× Threat Hunting
1 1 × Field Engineer
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.