مقالات

راهکارهای واکنشی به حوادث امنیتی

واکنش نشان دادن به حوادث امنیتی تأثیرگذار بر دارایی‌های اطلاعاتی سازمان مستلزم وجود یک رویکرد هماهنگ شده و رسمی است. در این مطلب از فراست، مراحل لازم برای واکنش به حادثه در صورت وقوع حمله سایبری را به شکل ساده و در قالب گام‌هایی قابل درک توضیح می‌دهیم.

نحوه مطالعه این مطلب

اگر در زمینه برنامه ریزی برای واکنش به حادثه تازه کار هستید، به «بخش اول» مراجعه کنید.

اگر اطلاع ندارید که از کجا شروع کنید، به «بخش دوم» مراجعه کنید.

اگر با طرح‌های واکنش به حادثه آشنا هستید اما از نحوه پیاده سازی آنها اطلاع ندارید، به «بخش سوم» مراجه کنید.

اگر درباره مدیریت واکنش به حادثه با منابع محدود نگران هستید، به «بخش چهارم» مراجعه کنید.

اگر در جستجوی استفاده از منابع Digital Guardian هستید، به «پیوست» مراجه کنید.

مقدمه

کارشناس پاسخ به حوادث

تیم باندوس، معاون امنیت سایبری شرکت امنیتی Digital Guardian، کارشناس و بازرس تأیید شده امنیت سیستم‌های اطلاعاتی (CISA)، هکر قانونی و کارشناس مورد تأیید امنیت برنامه‌های کاربردی است. او بیش از ۱۵ سال در حوزه امنیت سایبری و در یکی از شرکت‌های عضو فورچن ۱۰۰ سابقه فعالیت دارد. تمرکز اصلی وی کنترل‌های داخلی، پاسخ به حوادث و هوش تهدید است. او در این شرکت بین المللی به راه اندازی و مدیریت گروه پاسخ به حادثه مشغول بوده است.

تیم برای ساختن برنامه امنیتی مدیریت شده (MSP) به Digital Guardian پیوست تا با این طرح، قابلیت تشخیص و پاسخ به تهدیدات سایبری را در اختیار مشتریان این شرکت قرار دهد. او دانش و تخصص عملی گسترده‌ای دارد که با پیگیری و شکار تهدیدهای پیشرفته به دست آمده است. همچنین وی مدیر برنامه‌های پاسخ به حوادث برای مقابله با حملات مهم و برجسته است. گروه کارشناسان امنیت سایبری او برای حفاظت از داده‌های سازمان‌ها از جدیدترین ابزارها و فنون استفاده می‌کنند.

بخش اول: بایدها و نبایدهای پاسخ به حادثه

۵ کاری که نباید در زمان وقوع حادثه انجام داد:

  1. وحشت: نترسید. ترسیدن بدترین کاری است که می‌توانید انجام دهید. آرامش خودتان را می بایست حفظ کنید. داشتن طرح پاسخ به حادثه می‌تواند به شما برای رسیدن به این هدف کمک کند. با داشتن چنین طرحی یک مسیر از پیش تعریف شده دارید که بهترین کارهای قابل انجام در زمان وقوع حادثه را مشخص می‌کند.
  2. اعلام خبر: درباره حادثه با کسی صحبت نکنید مگر اینکه دستور دیگری گرفته باشید. درباره اینکه با چه اشخاصی درباره حادثه‌ای که تازه رخ داده صحبت می‌کنید، بسیار محتاط باشید.
  3. استفاده از حساب کاربری مدیر سیستم (ادمین): برای دسترسی به سیستم‌ها از حساب کاربری ادمین استفاده نکنید. مهاجمان ممکن است منتظر ورود کاربر با این حساب کاربری باشند تا کلمه عبور آن را به دست آورده و کنترل کل محیط را در اختیار خود بگیرند.
  4. خاموش کردن سیستم‌ها: سیستم‌های آلوده را خاموش نکنید. با خاموش کردن سیستم‌ها ممکن است داده‌های فراری که حاوی اطلاعات مهمی برای کشف جرم هستند را از دست بدهید. این اطلاعات، نقش مهمی در تحقیق و بررسی حادثه دارند.
  5. استفاده از ابزارهایی غیر از ابزارهای جرم شناسی: هیچ نرم‌افزاری به جز ابزارهای جرم شناسی را بر روی سیستم‌های آلوده نصب نکنید چون این کار باعث می‌شود اطلاعات حمله که در جدول “Master File Table” قرار دارند، پاکسازی و رونویسی شوند.

۴ کاری که باید در زمان وقوع حادثه انجام داد:

  1. جمع‌آوری داده‌ها: با استفاده از ابزارهای جرم شناسی، داده‌های فرار و سایر داده‌های مهم را از سیستم‌ها جمع‌آوری کنید. ابزارهای جرم شناسی این قابلیت را دارند که بدون تغییر هرگونه برچسب زمانی، به سیستم متصل شوند.
  2. اطلاعات بیرونی: اطلاعات بیرونی را بر اساس نشانه‌های نفوذ (IOC[۱]) شناخته شده جمع‌آوری کنید. در اینترنت درباره الگوریتم‌های رمزنگاری MD5، آدرس آی‌پی و دامنه‌هایی که در زمان بررسی‌های اولیه با آنها مواجه شده اید، تحقیق کنید. وظیفه شما مشخص کردن نوع آلودگی یا بدافزاری است که احتمالاً وارد سیستم‌های شما شده است.
  3. محافظت از سیستم‌ها: از سیستم‌ها و سایر رسانه‌های ذخیره اطلاعات برای جمع‌آوری اطلاعات جرم شناسی حفاظت کنید.
  4. جمع‌آوری گزارش‌ها: گزارش‌های (لاگ‌های) مناسب را جمع‌آوری کنید. این گزارش‌ها می‌توانند شامل لاگ رویدادهای ویندوز، فایروال، جریان ترافیک (Netflow)، نرم افزار آنتی ویروس، پروکسی و غیره باشند. ماجرا را باید هم در سطح شبکه و هم در سطح نقاط انتهایی بررسی کنید.

بخش دوم: آماده شوید.

تیم واکنش به حادثه خودتان را ایجاد کنید.

تیم واکنش به حادثه، یک تیم مرکزی است که مسئولیت آن واکنش به حوادثی است که در سطح سازمان رخ می‌دهند. این تیم گزارش نفوذهای امنیتی را دریافت کرده، آنها را تحلیل نموده و واکنش لازم را انجام می‌دهد. این تیم باید متشکل از این افراد باشد:

مدیر واکنش به حادثه

مدیر واکنش به حادثه بر مراحل لازم جهت تشخیص، تحلیل و مقابله با حادثه نظارت داشته و این مراحل را اولویت بندی می‌کند. همچنین او در صورت وقوع حوادثی با شدت زیاد، برای گفتگو درباره یافته‌ها، وضعیت و نیازها با سایر بخش‌های سازمان از جمله بخش امنیت سازمانی، منابع انسانی و غیره در ارتباط خواهد بود.

تحلیلگر امنیت

این گروه به نوعی نینجاهای سایبری هستند که با بررسی‌های دقیق و عمیق خود سعی می‌کنند زمان وقوع حادثه و آنچه در دوره وقوع حادثه رخ داده است را شناسایی کنند.

اعضای این گروه عبارتند از:

  • تحلیلگر تریاژ: تشخیص‌های مثبت کاذب را حذف کرده و در صورت شناسایی نفوذ احتمالی به دیگران هشدار می‌دهد.
  • تحلیلگر جرم شناسی: داده‌های کلیدی را جمع‌آوری کرده و جامعیت و درستی شواهد را حفظ می‌کند تا تحقیق و بازرسی به بهترین شکل ممکن انجام شود.

محققان تهدید

محققان تهدید با ارایه هوش تهدید و مشخص کردن شرایط حمله، به تحلیلگران امنیت کمک می‌کنند. آنها همواره در حال بررسی اینترنت هستند و اطلاعاتی که توسط سایر منابع گزارش شده را شناسایی می‌کنند. سپس یک پایگاه داده درون سازمانی درباره هوش داخلی به دست آمده از حوادث پیشین تشکیل می‌دهند.

کسب پشتیبانی یک تیم چند تخصصی

همه نمایندگان کسب‌وکار باید به صورت کامل طرح واکنش به حادثه را درک کرده و از آن پشتیبانی کنند. با اجرای درست و مناسب این طرح، جریان یافتن داده‌ها به صورت همواری انجام شده و اجرای کارهای لازم برای مقابله با حمله تضمین می شود.

مدیریت

جلب حمایت مدیریت برای آماده کردن منابع، بودجه، کارمندان و زمان لازم جهت برنامه ریزی و اجرای طرح واکنش به حادثه ضروری است.

منابع انسانی

اگر مشخص شود که یکی از کارمندان در حادثه نقش داشته است باید بخش منابع انسانی وارد عمل شود.

متخصصان مدیریت مخاطره و بازرسی

این کارشناسان به ارزیابی آسیب‌پذیری ها و طراحی معیارهای تهدید کمک کرده و اصول امنیتی را در سازمان تبلیغ و توصیه می‌کنند.

مشاور حقوقی

نقش مشاور حقوقی، بررسی و تضمین این موضوع است که همه شواهد جمع‌آوری شده در زمان تحقیق درباره رویداد، ارزش لازم برای پیگیری‌های قانونی را داشته باشند. این مشاور همچنین توصیه‌های لازم را درباره مسئولیت‌های شرکت در قبال مشتریان، فروشندگان و عموم مردم در رابطه با حادثه را مطرح می‌کند.

روابط عمومی

نقش روابط عمومی، برقراری ارتباط با مدیران تیم و ایجاد درک دقیق و درست نسبت به مشکل و وضعیت شرکت است تا بتوانند به خوبی با مطبوعات ارتباط برقرار کرده و به سهامداران درباره وضعیت جاری اطلاع رسانی مناسب کنند.

نکته‌هایی از گروه

ارتباط درونی و بین گروه‌ها بسیار مهم و حیاتی است.

در زمان وقوع حادثه ارتباطات باید به نحوی برقرار شود که محرمانگی اطلاعات منتشر شده حفظ شود. مدیر پاسخ به حادثه باید محور اصلی تمامی ارتباطات بوده و فقط افراد مورد نیاز و آگاه در جریان جزییات حادثه، نشانه های نفوذ، روش و تاکتیک‌های مهاجمان قرار بگیرند. امن‌سازی این ارتباطات به نحوی که مهاجمان قادر به دسترسی به پیام‌های شما نباشند هم فوق العاده مهم است تا در جریان روند تحقیق قرار نگیرند. هرگونه نشانه‌ای که مشخص کند به دنبال آنها هستید می‌تواند باعث تغییر تاکتیک و مخفی کردن هر چه بیشتر فعالیت‌ها توسط مجرمان شود.

زمان ‌برترین وظایف تیم پاسخ به حادثه

  • تعیین تأثیر یا حوزه حادثه
  • انجام کارهای لازم برای به حداقل رساندن تأثیر حمله
  • تحلیل هوش امنیت
  • تعیین دارایی‌های آسیب‌پذیر
  • انجام تحلیل‌های جرم شناسی
  • تغییر کنترل‌های امنیتی برای پیشگیری از وقوع حوادث مشابه در آینده
  • اجرای اصلاحات، با نگاهی به درس های گذشته
  • جمع‌آوری داده‌ها برای ارزیابی شرایط

ایجاد چارچوب طبقه بندی حوادث

ایجاد چارچوب طبقه بندی حوادث نقش مهمی در اولویت‌بندی آنها دارد. همچنین به شما کمک می‌کند تا معیارهای معنادار برای استفاده در آینده را مشخص کنید. ما طرح ۲ طبقه‌ای را به شما پیشنهاد می‌دهیم.

چارچوب طبقه بندی حوادث

  • طبقه بندی حوادث امنیتی: ۱.دسته بندی  ۲. نوع  ۳.شدت
  • رده بندی حوادث امنیتی ۱.روش تشخیص  ۲.مسیر حمله  ۳. تأثیر   ۴. قصد  ۵. داده‌های افشا شده  ۶.علت ریشه‌ای

نکته: در طول چرخه مدیریت حادثه و همزمان با کسب اطلاعات درباره آن، طبقه بندی حادثه ممکن است چندین بار بازنویسی شده و تغییر کند.

اولین نوع طبقه‌بندی که بر اساس دسته‌بندی، نوع و شدت انجام می‌شود، اطلاعات لازم برای تنظیم اولویت مدیریت حادثه را در اختیار شما قرار می‌دهد.

دسته بندی

  • دسترسی غیرمجاز به شبکه
  • بدافزار
  • محروم‌سازی از سرویس
  • سوءاستفاده توسط یکی از مدیران بخش فناوری اطلاعات (خواسته یا ناخواسته)
  • تلاش ناموفق برای دسترسی
  • از دست دادن دارایی‌های فیزیکی
  • ناهنجاری قابل توضیح

نوع

  • تهدید هدفمند یا فرصت‌طلبانه
  • تهدید مانای پیشرفته
  • حمله جاسوسی با حمایت یک دولت
  • تهدید هکتیویسم
  • تهدید داخلی
  • تهدیدهایی با هدف ایجاد مزاحمت

شدت

  • تأثیر مهم و حیاتی
  • تهدید جانی یا امنیت عمومی
  • تأثیر بالا
  • تهدید بر ضد داده‌های حساس
  • تأثیر متوسط
  • تهدید سیستم‌های رایانه‌ای
  • تأثیر کم
  • ایجاد اختلال در سرویس‌ها

رده‌بندی حادثه

رده‌بندی حادثه، اطلاعات بیشتری را برای شناسایی علت ریشه ای، روند حادثه و هوش تهدید در اختیار شما قرار می‌دهد. همچنین اطلاعات لازم برای تعیین راهکارهای واکنشی ضروری را در اختیار شما قرار خواهد داد.

روش تشخیص

  • کاربر
  • ارایه‌دهنده یک راهکار خاص
  • نهادهای قانونی مثل FBI
  • سیستم‌های شناسایی و مقابله با نفوذ
  • سیستم‌های جلوگیری از نشت داده، فایروال، آنتی ویروس، پروکسی و پروتکل Netflow

مسیر حمله

  • ویروس‌ها
  • پیوست‌های ایمیل
  • صفحات وب
  • پنجره‌های پاپ‌آپ
  • سیستم‌های پیام‌رسان
  • کارهای کاربران
  • سوءاستفاده از آسیب‌پذیری‌های سیستم
  • شرکت‌های شخص ثالث و غیره

تأثیر

  • اخراج کارمند
  • نقض اخلاق/ منابع انسانی
  • از دست رفتن بهره وری
  • دسترسی‌های غیرمجاز
  • نقص در وب سایت
  • تخریب اعتبار برند
  • پرونده‌های قانونی
  • محروم‌سازی از سرویس
  • ایجاد خطر برای یک یا چند آی‌پی
  • اجرای کد مخرب

قصد

  • غیرمخرب
  • مخرب
  • سرقت
  • تصادفی
  • آسیب فیزیکی
  • کلاهبرداری
  • بدنامی و رسوایی
  • جاسوسی

داده‌های افشا شده

  • عمومی
  • محرمانه
  • کنترل صادرات
  • گزارش‌های مالی
  • نامشخص

علت ریشه‌ای

  • اقدام غیرمجاز
  • مدیریت آسیب‌پذیری
  • سرقت
  • خطا یا نقص در کنترل‌های امنیتی
  • نادیده گرفتن خط مشی‌ها
  • غفلت کاربران
  • عدم پیروی از استانداردهایی مثل PII، PCI، HIPAA
  • غفلت ارایه دهنده یک سرویس

شناسایی عاملان حمله از طریق گزارش‌های نرم افزار آنتی ویروس

شاید نرم افزار آنتی ویروس مورد استفاده شما تنها ۱۰ الی ۱۵ درصد از بدافزارها را شناسایی کند ولی ممکن است لاگ آنها حاوی نشانه های مهم حمله باشد.

وقتی مهاجمان به محیط شبکه سازمان شما نفوذ کنند، یکی از اولین اهداف آنها جمع‌آوری کلمات عبور با استفاده از یک نرم‌افزار سرقت اطلاعات ورود به حساب‌های کاربری است. شاید نرم افزار آنتی ویروس شما اول از همه این فعالیت را شناسایی کرده و مانع از اجرای نرم‌افزار مربوطه شود اما ممکن است قادر به تشخیص اجرای بدافزارهای جمع‌آوری اطلاعات ورود به حساب‌های کاربری نباشد. بنابراین باید درباره هرگونه فعالیتی که با چنین ابزارهای مخربی در ارتباط است، به موقع هشدار ارسال شود. در اختیار داشتن گزارش درباره اولین تلاش بسیار مهم است چون ممکن است تنها با همین سرنخ بتوانید یک حادثه احتمالی را شناسایی کنید.

بخش سوم: ۵ مرحله واکنش به حادثه

  1. آمادگی
  2. تشخیص و گزارش دهی
  3. اولویت بندی (تریاژ) و تحلیل
  4. مقابله با حمله و برطرف سازی آن
  5. پس از حادثه

 

  1. آمادگی

آمادگی، نقشی مهم و کلیدی برای واکنش درست و مناسب به حادثه دارد.

ایجاد و مستندسازی سیاست‌های واکنش به حادثه: سیاست‌ها، رویه‌ها و قراردادهای لازم درباره مدیریت پاسخ به حوادث را تنظیم کنید.

دستورالعمل‌های لازم برای برقراری ارتباط را مشخص کنید: استانداردها و راهنماهای لازم را برای فراهم کردن امکان برقراری ارتباط حین و پس از حادثه تدوین کنید.

از فیدهای هوش تهدید استفاده کنید: جمع‌آوری، تحلیل و ادغام فیدهای هوش تهدید را به صورت پیوسته انجام دهید.

مانورهای شکار سایبری را اجرا کنید: برای پیدا کردن حوادثی که در محیط سازمان شما رخ می‌دهند، مانورهای عملیاتی شکار تهدید را اجرا کنید. به این ترتیب می‌توانید برای واکنش به حوادث از یک رویکرد پیشگیرانه استفاده کنید.

قابلیت‌های تشخیص تهدید خودتان را ارزیابی کنید: قابلیت‌های تشخیص فعلی خودتان را ارزیابی کرده و طرح ارزیابی مخاطره و نیز اصلاح و پیشرفت را متناسب با آن برنامه ریزی کنید.

 

۵ نکته برای اثربخشی هر چه بیشتر ارتباطات درباره حادثه

  1. از به کار بردن بلندگو خودداری کنید. نباید هر شخصی در هر بخشی از سازمان قادر به شنیدن گفتگوهای شما باشد.
  2. از پیام رسان‌های ارتباطی استفاده نکنید مگر اینکه رمزنگاری سراسری داشته و به نوعی امن سازی شده اند.
  3. تا حد امکان از ایمیل استفاده نکنید چون ممکن است مهاجمان به سیستم‌های ایمیل شما دسترسی پیدا کرده باشند (حمله Man in the Mailbox) و پیام‌های شما را زیر نظر داشته باشند.
  4. در صورت امکان به صورت حضوری ارتباط برقرار کرده و برای گفتگوهای تلفنی از خطوط امن استفاده کنید.
  5. برای احراز هویت کاربران در تماس‌های کنفرانسی، از کدهای دسترسی که قبلاً در اختیار آنها قرار داده اید استفاده کنید.

 

  1. شناسایی و گزارش دهی

تمرکز این مرحله، نظارت بر رویدادهای امنیتی و مشخص کردن ارتباط آنها برای تشخیص، گزارش و هشداردهی درباره حوادث امنیتی است.

نظارت

بر رویدادهای امنیتی مختلفی که در سیستم‌های متفاوت در محیط سازمان رخ می‌دهند، نظارت داشته و ارتباط آنها را مشخص کنید. این سیستم‌ها شامل فایروال ها، سیستم‌های مقابله با نفوذ و سیستم‌های جلوگیری از نشت داده هستند.

تشخیص

با مشخص کردن ارتباط بین رویدادها و هشدارها در یک راهکار SIEM[۲] (سیستم مدیریت رویداد و اطلاعات امنیتی)، حوادث امنیتی احتمالی را شناسایی کنید.

هشداردهی

تحلیلگران یک اطلاعیه را برای حادثه آماده کرده، همه یافته‌های اولیه را مستندسازی نموده و برآورد اولیه ای را از دسته بندی حادثه انجام می‌دهند.

گزارش دهی

گزارش‌های اولیه لازم برای نهادهای قانونی تهیه می‌شود.

اغلب مواقع، فایل‌های لاگ مرکزی حاوی اطلاعات زیادی درباره حادثه هستند. وجود یک سیستم SIEM مرکزی که لاگ‌های جمع‌آوری شده از همه سیستم‌های امنیتی (از جمله نرم افزار آنتی ویروس، فایروال، سیستم‌های مقابله با نفوذ و جلوگیری از نشت داده) را پردازش کند، بسیار ضروری است.

سیستم SIEM به شما امکان می‌دهد تا همه منابع موجود در سازمان را بررسی کرده و فعالیت‌های مخرب احتمالی را شناسایی کنید. همچنین این سیستم به شما امکان می‌دهد رویدادها را پیگیری کرده و تشخیص دهید مهاجمان چگونه به سیستم‌ها دسترسی پیدا کرده‌اند، به چه سیستم‌هایی نفوذ نموده اند، از چه فایروال‌هایی عبور کرده‌اند و وقتی در سیستم حضور و فعالیت داشته‌اند، چه لاگ‌هایی جهت جلوگیری از نشت داده‌ها ثبت شده است. مسئولان پاسخ به حادثه باید به چنین پرسش‌هایی پاسخ دهند. وجود یک راهکار SIEM به انجام این کار کمک می‌کند.

 

  1. اولویت بندی (تریاژ) و تحلیل

در مرحله تریاژ و تحلیل، تلاش برای مشخص کردن محدوده و درک حادثه آغاز می‌شود. همچنین محققان باید به دنبال جمع‌آوری داده‌ها از ابزارها و سیستم‌های مختلف برای تحلیل بیشتر و شناسایی نشانه‌های نفوذ باشند. این اشخاص مهارت و درک کافی درباره واکنش برای سیستم‌ها، جرم شناسی دیجیتال، تحلیل حافظه و تحلیل بدافزارها را دارند.

همزمان با جمع‌آوری شواهد، تحلیلگر بر روی سه حوزه مهم متمرکز می‌شود:

  1. تحلیل نقاط انتهایی
  2. تحلیل باینری‌ها
  3. شکار تهدید در سطح سازمان

تحلیل نقاط انتهایی

  • شناسایی آثار باقیمانده از مهاجمان
  • جمع‌آوری داده‌های لازم برای مشخص کردن جدول زمانی فعالیت‌ها
  • از سیستم ها کپی گرفته، داده های آنها را بیت به بیت از دیدگاه جرم شناسی تحلیل کرده و اطلاعات حافظه موقت (رم) را ثبت کنید تا بتوانید آنها را تحلیل نموده و داده‌های مهمی که به تشخیص حادثه کمک می‌کنند را جمع‌آوری کنید. معمولاً رم حاوی داده‌های زیادی درباره فعالیت‌های انجام شده توسط تهدیدات سایبری است.

تحلیل باینری‌ها

ابزارها یا باینرهای مخرب مورد استفاده مهاجم را بررسی کرده تا بتوانید قصد و عملکرد این برنامه‌ها را شناسایی و ثبت کنید. این تحلیل به دو روش قابل انجام است:

  1. تحلیل رفتاری: نرم‌افزار مخرب را در یک ماشین مجازی اجرا می‌کند تا بتواند رفتار آن را نظارت و تحلیل کند.
  2. تحلیل ایستا: نرم‌افزار مخرب را مهندسی معکوس می‌کند تا قابلیت‌های آن را مشخص کند.

شکار تهدید در سطح سازمان

  • شکار تهدید در سطح سازمان با هدف شناسایی همه سیستم‌های تأثیر پذیرفته از حادثه امنیتی انجام می‌شود.
  • سیستم‌های موجود و فناوری‌های لاگ رویداد را تحلیل کنید تا ماشین‌هایی که در محدوده این خطر بوده‌اند، مشخص شوند.
  • به این ترتیب مدافعان می‌توانند همه حساب‌های کاربری و ماشین‌های آلوده، بدافزارهای مورد استفاده و غیره را مشخص کنند تا بتوان مقابله با حمله و خنثی سازی آن را انجام داد.

 

  1. مقابله و خنثی سازی

این مرحله یکی از مهمترین مراحل در واکنش به حادثه است و هدف آن ایجاد اطمینان از حذف کامل آلودگی از محیط می باشد. راهبرد مقابله و خنثی سازی، بر اساس هوش و علایم تهدیدی اجرای می‌شود که در مرحله تحلیل حادثه به دست آمده‌اند. پس از بازیابی سیستم و تأیید اینکه دیگر هیچ خطر امنیتی وجود ندارد می‌توان به عملیات معمولی ادامه داد.

خاموشی هماهنگ شده

پس از مشخص کردن همه سیستم‌هایی که مهاجم به آنها دسترسی پیدا کرده یا در آنها نفوذ نموده، همزمان تمام سیستم‌ها را به صورت هماهنگ شده خاموش کنید. هنگام اجرای خاموشی هماهنگ شده، یک اعلان عمومی برای همه اعضای تیم پاسخ به حادثه ارسال می‌شود تا زمانبندی، انجام شده و منابع لازم برای رفع خطر در نظر گرفته شود.

پاکسازی و بازسازی

همه سیستم‌های آلوده را پاکسازی کرده و سیستم عامل‌ها را دوباره نصب کنید. کلمه عبور تمامی حساب‌های کاربری هک شده را تغییر دهید.

درخواست‌های مقابله با تهدید

اگر دامنه‌ها یا آی‌پی‌هایی را شناسایی کردید که در گذشته مهاجمان از آنها برای فرماندهی و کنترل استفاده کرده‌اند، درخواست‌های لازم برای مقابله با تهدید و مسدود کردن ارتباطات مهاجمان در همه کانال‌های خروجی را صادر کنید.

خاموشی سیستم‌ها به صورت هماهنگ شده

بعد از یک حادثه امنیتی و در مرحله خاموشی هماهنگ شده، یکی از سرورهایی که مهاجمان به آن نفوذ کرده بودند، خاموش نشد. به این ترتیب مهاجمان باخبر شدند که فعالیت‌هایی در حال انجام است و اینکه ما سعی داشته ایم آنها را از محیط بیرون کنیم. به همین دلیل بلافاصله دوباره برگشتند و ظرف ۱۰ دقیقه پس از خاموشی این سرورها به سایر رایانه ها نفوذ کرده و یک مجموعه ابزار و بدافزار جدید را نصب کردند. ما باید دوباره کل فرایند تریاژ و تحلیل را اجرا می‌کردیم. بنابراین همه افراد دخیل در فرایند خنثی سازی حمله باید با دقت دستورالعمل‌ها را دنبال کنند تا از وقوع چنین حمله‌ای پیشگیری شود.

از حادثه به وقوع پیوسته درس بگیرید.

حالا وقت پاسخ دادن به پرسش‌های مهم می‌رسد، از جمله اینکه این حادثه چطور رخ داده است؟ مهاجمان چه سیستم‌ها و منابعی را هدف گرفته‌اند؟ برای پیشگیری از چنین نفوذی چه کنترل‌هایی باید وجود داشته باشد؟ آیا حوزه‌های امنیتی خاصی هستند که نیاز به منابع یا بودجه بیشتر برای پرکردن این خلأ داشته باشند؟

همچنان که به این پرسش‌های مرتبط با حادثه فکر می‌کنید، درباره کل سازمان و شاخص‌های امنیتی که لازم است هر هفته/ماه/فصل گزارش داده شوند، فکر کنید. یک طرح از میزان آمادگی امنیتی سازمان و حوزه‌هایی مثل ارزیابی آسیب‌پذیری ها و برطرف سازی آنها، جمع‌آوری رویدادهای SIEM، قابلیت دید مداوم، پیکربندی‌های امنیتی و غیره ترسیم کنید. قطعاً تهیه چنین منبعی که خلأ کنترل‌های امنیتی در بخش‌های مختلف را نشان می‌دهد، نیازمند توجه ویژه است.

 

  1. فعالیت‌های پس از حادثه
  2. تکمیل گزارش حادثه

ثبت و انتشار اطلاعات درباره حادثه برای بهبود و پیشرفت طرح واکنش به حادثه و اضافه کردن راهکارهای امنیتی لازم جهت پیشگیری از وقوع حوادث مشابه در آینده مفید است.

نظارت بر رویدادهای پس از حادثه

به دقت بر فعالیت‌های پس از حادثه نظارت داشته باشید چون ممکن است مهاجمان دوباره پیدا شوند. توصیه می‌کنیم که دوباره داده‌های SIEM تحلیل شود تا هرگونه نشانه‌ای که می‌تواند با حادثه قبلی در ارتباط باشد را شناسایی کنید.

به روزرسانی هوش تهدید

فیدهای هوش تهدید سازمان را به روزرسانی کنید.

راهکارهای پیشگیرانه مورد نیاز را شناسایی کنید.

راهکارهای امنیتی جدید مورد نیاز برای پیشگیری از حوادث آتی را مشخص کنید.

جلب پشتیبانی در سطح سازمان

هماهنگی در سطح سازمان برای پیاده سازی طرح‌های امنیتی جدید اهمیت ویژه‌ای دارد.

اطلاعات ورود به سیستم‌ها را شناسایی کنید.

تمام کلمات عبوری که احتمالاً در طول حادثه دچار مخاطره شده‌اند را تغییر دهید. حتماً به این نکته توجه داشته باشید چون مهاجمان به محض دسترسی به یک سیستم، اطلاعات حساب‌های کاربری را جمع‌آوری و استخراج می‌کنند. در نتیجه مجموعه‌ای از اطلاعات انواع حساب‌های کاربری را خواهند داشت و ممکن است این منبع تنها شامل اطلاعات یک یا دو حساب کاربری که از آن استفاده کرده‌اند، نباشد. بنابراین باید در مرحله نظارت پس از حادثه همه تلاش‌های ناموفق برای ورود به این حساب‌های کاربری را زیر نظر بگیرید. ممکن است این فعالیت‌ها نشان دهنده برگشت مهاجمان به محیط و تلاش برای سوءاستفاده از اطلاعات جمع‌آوری شده باشد.

بخش چهارم: تشخیص و واکنش مدیریت شده

چه مواقعی می‌توان از تشخیص و واکنش مدیریت شده به صورت یک سرویس استفاده کرد؟

اگر هر یک از این شرایط برای سازمان شما وجود دارد، بهتر است از این سرویس استفاده کرده یا آن را به عنوان مکملی در کنار تیم واکنش به حادثه سازمان خودتان قرار دهید:

کمبود نیروی امنیتی

کمبود شدید مهارت به ویژه کارشناس امنیت سایبری، مانع از پیدا کردن و حفظ نیروی لازم برای ساختن تیم واکنش به حادثه می‌شود.

چالش‌های مدیریتی

شاید جو سیاسی سازمان شما به نحوی باشد که کسب تأیید از ۳ تا ۵ نفر که مجوز آنها برای تشکیل یک تیم واکنش به حادثه کارآمد لازم است، کار سختی باشد.

پیچیدگی همگام ماندن با بدافزارهای پیچیده

بدافزارهای مدرن، پیچیده و هدفمند بوده و شناسایی آنها سخت است. بر اساس تازه‌ترین گزارش مؤسسه Verizon، به طور متوسط بین تشخیص نفوذ و پیدا کردن بدافزار توسط شرکت‌ها یک فاصله ۲۰۰ روزی وجود دارد. با هوشمندتر شدن بدافزارها حفظ توانایی برای پیشگیری از سرقت داده‌های حساس روز به روز سخت‌تر هم می‌شود.

 

[۱] indicators of compromise

[۲] Security Information and Event Management

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سه × 1 =

دکمه بازگشت به بالا