واکنش به حوادث امنیتی تأثیرگذار بر داراییهای اطلاعاتی سازمان، مستلزم وجود یک رویکرد هماهنگ شده و رسمی است. در این مطلب از فراست، مراحل لازم برای واکنش به حادثه در صورت وقوع حمله سایبری را به شکل ساده و در قالب گامهایی قابل درک توضیح میدهیم.
نحوه مطالعه این مطلب
اگر در زمینه برنامه ریزی برای واکنش به حادثه تازه کار هستید، به «بخش اول» مراجعه کنید.
اگر اطلاع ندارید که از کجا شروع کنید، به «بخش دوم» مراجعه کنید.
اگر با طرحهای واکنش به حادثه آشنا هستید اما از نحوه پیاده سازی آنها اطلاع ندارید، به «بخش سوم» مراجه کنید.
اگر درباره مدیریت واکنش به حادثه با منابع محدود نگران هستید، به «بخش چهارم» مراجعه کنید.
اگر در جستجوی استفاده از منابع Digital Guardian هستید، به «پیوست» مراجعه کنید.
مقدمه
کارشناس پاسخ به حوادث
تیم باندوس، معاون امنیت سایبری شرکت امنیتی Digital Guardian، کارشناس و بازرس تأیید شده امنیت سیستمهای اطلاعاتی (CISA)، هکر قانونی و کارشناس مورد تأیید امنیت برنامههای کاربردی است. او بیش از 15 سال در حوزه امنیت سایبری و در یکی از شرکتهای عضو فورچن 100 سابقه فعالیت دارد. تمرکز اصلی وی کنترلهای داخلی، پاسخ به حوادث و هوش تهدید است. او در این شرکت بین المللی به راه اندازی و مدیریت گروه پاسخ به حادثه مشغول بوده است.
تیم برای ساختن برنامه امنیتی مدیریت شده (MSP) به Digital Guardian پیوست تا با این طرح، قابلیت تشخیص و پاسخ به تهدیدات سایبری را در اختیار مشتریان این شرکت قرار دهد. او دانش و تخصص عملی گستردهای دارد که با پیگیری و شکار تهدیدهای پیشرفته به دست آمده است. همچنین وی مدیر برنامههای پاسخ به حوادث برای مقابله با حملات مهم و برجسته است. گروه کارشناسان امنیت سایبری او برای حفاظت از دادههای سازمانها از جدیدترین ابزارها و فنون استفاده میکنند.
بخش اول: بایدها و نبایدهای واکنش به حوادث امنیتی
5 کاری که نباید در زمان وقوع حادثه انجام داد:
- وحشت: نترسید. ترسیدن بدترین کاری است که میتوانید انجام دهید. آرامش خودتان را می بایست حفظ کنید. داشتن طرح پاسخ به حادثه میتواند به شما برای رسیدن به این هدف کمک کند. با داشتن چنین طرحی یک مسیر از پیش تعریف شده دارید که بهترین کارهای قابل انجام در زمان وقوع حادثه را مشخص میکند.
- اعلام خبر: درباره حادثه با کسی صحبت نکنید مگر اینکه دستور دیگری گرفته باشید. درباره اینکه با چه اشخاصی درباره حادثهای که تازه رخ داده صحبت میکنید، بسیار محتاط باشید.
- استفاده از حساب کاربری مدیر سیستم (ادمین): برای دسترسی به سیستمها از حساب کاربری ادمین استفاده نکنید. مهاجمان ممکن است منتظر ورود کاربر با این حساب کاربری باشند تا کلمه عبور آن را به دست آورده و کنترل کل محیط را در اختیار خود بگیرند.
- خاموش کردن سیستمها: سیستمهای آلوده را خاموش نکنید. با خاموش کردن سیستمها ممکن است دادههای فراری که حاوی اطلاعات مهمی برای کشف جرم هستند را از دست بدهید. این اطلاعات، نقش مهمی در تحقیق و بررسی حادثه دارند.
- استفاده از ابزارهایی غیر از ابزارهای جرم شناسی: هیچ نرمافزاری به جز ابزارهای جرم شناسی را بر روی سیستمهای آلوده نصب نکنید چون این کار باعث میشود اطلاعات حمله که در جدول “Master File Table” قرار دارند، پاکسازی و رونویسی شوند.
4 کاری که باید در زمان وقوع حادثه انجام داد:
- جمعآوری دادهها: با استفاده از ابزارهای جرم شناسی، دادههای فرار و سایر دادههای مهم را از سیستمها جمعآوری کنید. ابزارهای جرم شناسی این قابلیت را دارند که بدون تغییر هرگونه برچسب زمانی، به سیستم متصل شوند.
- اطلاعات بیرونی: اطلاعات بیرونی را بر اساس نشانههای نفوذ (IOC[1]) شناخته شده جمعآوری کنید. در اینترنت درباره الگوریتمهای رمزنگاری MD5، آدرس آیپی و دامنههایی که در زمان بررسیهای اولیه با آنها مواجه شده اید، تحقیق کنید. وظیفه شما مشخص کردن نوع آلودگی یا بدافزاری است که احتمالاً وارد سیستمهای شما شده است.
- محافظت از سیستمها: از سیستمها و سایر رسانههای ذخیره اطلاعات برای جمعآوری اطلاعات جرم شناسی حفاظت کنید.
- جمعآوری گزارشها: گزارشهای (لاگهای) مناسب را جمعآوری کنید. این گزارشها میتوانند شامل لاگ رویدادهای ویندوز، فایروال، جریان ترافیک (Netflow)، نرم افزار آنتی ویروس، پروکسی و غیره باشند. ماجرا را باید هم در سطح شبکه و هم در سطح نقاط انتهایی بررسی کنید.
بخش دوم: آماده شوید.
تیم واکنش به حادثه خودتان را ایجاد کنید.
تیم واکنش به حادثه، یک تیم مرکزی است که مسئولیت آن واکنش به حوادثی است که در سطح سازمان رخ میدهند. این تیم گزارش نفوذهای امنیتی را دریافت کرده، آنها را تحلیل نموده و واکنش لازم را انجام میدهد. این تیم باید متشکل از این افراد باشد:
مدیر واکنش به حادثه
مدیر واکنش به حادثه بر مراحل لازم جهت تشخیص، تحلیل و مقابله با حادثه نظارت داشته و این مراحل را اولویت بندی میکند. همچنین او در صورت وقوع حوادثی با شدت زیاد، برای گفتگو درباره یافتهها، وضعیت و نیازها با سایر بخشهای سازمان از جمله بخش امنیت سازمانی، منابع انسانی و غیره در ارتباط خواهد بود.
تحلیلگر امنیت
این گروه به نوعی نینجاهای سایبری هستند که با بررسیهای دقیق و عمیق خود سعی میکنند زمان وقوع حادثه و آنچه در دوره وقوع حادثه رخ داده است را شناسایی کنند.
اعضای این گروه عبارتند از:
- تحلیلگر تریاژ: تشخیصهای مثبت کاذب را حذف کرده و در صورت شناسایی نفوذ احتمالی به دیگران هشدار میدهد.
- تحلیلگر جرم شناسی: دادههای کلیدی را جمعآوری کرده و جامعیت و درستی شواهد را حفظ میکند تا تحقیق و بازرسی به بهترین شکل ممکن انجام شود.
محققان تهدید
محققان تهدید با ارایه هوش تهدید و مشخص کردن شرایط حمله، به تحلیلگران امنیت کمک میکنند. آنها همواره در حال بررسی اینترنت هستند و اطلاعاتی که توسط سایر منابع گزارش شده را شناسایی میکنند. سپس یک پایگاه داده درون سازمانی درباره هوش داخلی به دست آمده از حوادث پیشین تشکیل میدهند.
کسب پشتیبانی یک تیم چند تخصصی
همه نمایندگان کسبوکار باید به صورت کامل طرح واکنش به حوادث امنیتی را درک کرده و از آن پشتیبانی کنند. با اجرای درست و مناسب این طرح، جریان یافتن دادهها به صورت همواری انجام شده و اجرای کارهای لازم برای مقابله با حمله تضمین می شود.
مدیریت
جلب حمایت مدیریت برای آماده کردن منابع، بودجه، کارمندان و زمان لازم جهت برنامه ریزی و اجرای طرح واکنش به حادثه ضروری است.
منابع انسانی
اگر مشخص شود که یکی از کارمندان در حادثه نقش داشته است باید بخش منابع انسانی وارد عمل شود.
متخصصان مدیریت مخاطره و بازرسی
این کارشناسان به ارزیابی آسیبپذیری ها و طراحی معیارهای تهدید کمک کرده و اصول امنیتی را در سازمان تبلیغ و توصیه میکنند.
مشاور حقوقی
نقش مشاور حقوقی، بررسی و تضمین این موضوع است که همه شواهد جمعآوری شده در زمان تحقیق درباره رویداد، ارزش لازم برای پیگیریهای قانونی را داشته باشند. این مشاور همچنین توصیههای لازم را درباره مسئولیتهای شرکت در قبال مشتریان، فروشندگان و عموم مردم در رابطه با حادثه را مطرح میکند.
روابط عمومی
نقش روابط عمومی، برقراری ارتباط با مدیران تیم و ایجاد درک دقیق و درست نسبت به مشکل و وضعیت شرکت است تا بتوانند به خوبی با مطبوعات ارتباط برقرار کرده و به سهامداران درباره وضعیت جاری اطلاع رسانی مناسب کنند.
نکتههایی از گروه
ارتباط درونی و بین گروهها بسیار مهم و حیاتی است.
در زمان وقوع حادثه ارتباطات باید به نحوی برقرار شود که محرمانگی اطلاعات منتشر شده حفظ شود. مدیر پاسخ به حادثه باید محور اصلی تمامی ارتباطات بوده و فقط افراد مورد نیاز و آگاه در جریان جزییات حادثه، نشانه های نفوذ، روش و تاکتیکهای مهاجمان قرار بگیرند. امنسازی این ارتباطات به نحوی که مهاجمان قادر به دسترسی به پیامهای شما نباشند هم فوق العاده مهم است تا در جریان روند تحقیق قرار نگیرند. هرگونه نشانهای که مشخص کند به دنبال آنها هستید میتواند باعث تغییر تاکتیک و مخفی کردن هر چه بیشتر فعالیتها توسط مجرمان شود.
زمان برترین وظایف تیم پاسخ به حادثه
- تعیین تأثیر یا حوزه حادثه
- انجام کارهای لازم برای به حداقل رساندن تأثیر حمله
- تحلیل هوش امنیت
- تعیین داراییهای آسیبپذیر
- انجام تحلیلهای جرم شناسی
- تغییر کنترلهای امنیتی برای پیشگیری از وقوع حوادث مشابه در آینده
- اجرای اصلاحات، با نگاهی به درس های گذشته
- جمعآوری دادهها برای ارزیابی شرایط
ایجاد چارچوب طبقه بندی حوادث
ایجاد چارچوب طبقه بندی حوادث نقش مهمی در اولویتبندی آنها دارد. همچنین به شما کمک میکند تا معیارهای معنادار برای استفاده در آینده را مشخص کنید. ما طرح 2 طبقهای را به شما پیشنهاد میدهیم.
چارچوب طبقه بندی حوادث
- طبقه بندی حوادث امنیتی: 1.دسته بندی 2. نوع 3.شدت
- رده بندی حوادث امنیتی 1.روش تشخیص 2.مسیر حمله 3. تأثیر 4. قصد 5. دادههای افشا شده 6.علت ریشهای
نکته: در طول چرخه مدیریت حادثه و همزمان با کسب اطلاعات درباره آن، طبقه بندی حادثه ممکن است چندین بار بازنویسی شده و تغییر کند.
اولین نوع طبقهبندی که بر اساس دستهبندی، نوع و شدت انجام میشود، اطلاعات لازم برای تنظیم اولویت مدیریت حادثه را در اختیار شما قرار میدهد.
دسته بندی
- دسترسی غیرمجاز به شبکه
- بدافزار
- محرومسازی از سرویس
- سوءاستفاده توسط یکی از مدیران بخش فناوری اطلاعات (خواسته یا ناخواسته)
- تلاش ناموفق برای دسترسی
- از دست دادن داراییهای فیزیکی
- ناهنجاری قابل توضیح
نوع
- تهدید هدفمند یا فرصتطلبانه
- تهدید مانای پیشرفته
- حمله جاسوسی با حمایت یک دولت
- تهدید هکتیویسم
- تهدید داخلی
- تهدیدهایی با هدف ایجاد مزاحمت
شدت
- تأثیر مهم و حیاتی
- تهدید جانی یا امنیت عمومی
- تأثیر بالا
- تهدید بر ضد دادههای حساس
- تأثیر متوسط
- تهدید سیستمهای رایانهای
- تأثیر کم
- ایجاد اختلال در سرویسها
ردهبندی حادثه
ردهبندی حادثه، اطلاعات بیشتری را برای شناسایی علت ریشه ای، روند حادثه و هوش تهدید در اختیار شما قرار میدهد. همچنین اطلاعات لازم برای تعیین راهکارهای واکنشی ضروری را در اختیار شما قرار خواهد داد.
روش تشخیص
- کاربر
- ارایهدهنده یک راهکار خاص
- نهادهای قانونی مثل FBI
- سیستمهای شناسایی و مقابله با نفوذ
- سیستمهای جلوگیری از نشت داده، فایروال، آنتی ویروس، پروکسی و پروتکل Netflow
مسیر حمله
- ویروسها
- پیوستهای ایمیل
- صفحات وب
- پنجرههای پاپآپ
- سیستمهای پیامرسان
- کارهای کاربران
- سوءاستفاده از آسیبپذیریهای سیستم
- شرکتهای شخص ثالث و غیره
تأثیر
- اخراج کارمند
- نقض اخلاق/ منابع انسانی
- از دست رفتن بهره وری
- دسترسیهای غیرمجاز
- نقص در وب سایت
- تخریب اعتبار برند
- پروندههای قانونی
- محرومسازی از سرویس
- ایجاد خطر برای یک یا چند آیپی
- اجرای کد مخرب
قصد
- غیرمخرب
- مخرب
- سرقت
- تصادفی
- آسیب فیزیکی
- کلاهبرداری
- بدنامی و رسوایی
- جاسوسی
دادههای افشا شده
- عمومی
- محرمانه
- کنترل صادرات
- گزارشهای مالی
- نامشخص
علت ریشهای
- اقدام غیرمجاز
- مدیریت آسیبپذیری
- سرقت
- خطا یا نقص در کنترلهای امنیتی
- نادیده گرفتن خط مشیها
- غفلت کاربران
- عدم پیروی از استانداردهایی مثل PII، PCI، HIPAA
- غفلت ارایه دهنده یک سرویس
شناسایی عاملان حمله از طریق گزارشهای نرم افزار آنتی ویروس
شاید نرم افزار آنتی ویروس مورد استفاده شما تنها 10 الی 15 درصد از بدافزارها را شناسایی کند ولی ممکن است لاگ آنها حاوی نشانه های مهم حمله باشد.
وقتی مهاجمان به محیط شبکه سازمان شما نفوذ کنند، یکی از اولین اهداف آنها جمعآوری کلمات عبور با استفاده از یک نرمافزار سرقت اطلاعات ورود به حسابهای کاربری است. شاید نرم افزار آنتی ویروس شما اول از همه این فعالیت را شناسایی کرده و مانع از اجرای نرمافزار مربوطه شود اما ممکن است قادر به تشخیص اجرای بدافزارهای جمعآوری اطلاعات ورود به حسابهای کاربری نباشد. بنابراین باید درباره هرگونه فعالیتی که با چنین ابزارهای مخربی در ارتباط است، به موقع هشدار ارسال شود. در اختیار داشتن گزارش درباره اولین تلاش بسیار مهم است چون ممکن است تنها با همین سرنخ بتوانید یک حادثه احتمالی را شناسایی کنید.
بخش سوم: 5 مرحله واکنش به حادثه
- آمادگی
- تشخیص و گزارش دهی
- اولویت بندی (تریاژ) و تحلیل
- مقابله با حمله و برطرف سازی آن
- پس از حادثه
- آمادگی
آمادگی، نقشی مهم و کلیدی برای واکنش درست و مناسب به حادثه دارد.
ایجاد و مستندسازی سیاستهای واکنش به حادثه: سیاستها، رویهها و قراردادهای لازم درباره مدیریت پاسخ به حوادث را تنظیم کنید.
دستورالعملهای لازم برای برقراری ارتباط را مشخص کنید: استانداردها و راهنماهای لازم را برای فراهم کردن امکان برقراری ارتباط حین و پس از حادثه تدوین کنید.
از فیدهای هوش تهدید استفاده کنید: جمعآوری، تحلیل و ادغام فیدهای هوش تهدید را به صورت پیوسته انجام دهید.
مانورهای شکار سایبری را اجرا کنید: برای پیدا کردن حوادثی که در محیط سازمان شما رخ میدهند، مانورهای عملیاتی شکار تهدید را اجرا کنید. به این ترتیب میتوانید برای واکنش به حوادث امنیتی از یک رویکرد پیشگیرانه استفاده کنید.
قابلیتهای تشخیص تهدید خودتان را ارزیابی کنید: قابلیتهای تشخیص فعلی خودتان را ارزیابی کرده و طرح ارزیابی مخاطره و نیز اصلاح و پیشرفت را متناسب با آن برنامه ریزی کنید.
5 نکته برای اثربخشی هر چه بیشتر ارتباطات درباره حادثه
- از به کار بردن بلندگو خودداری کنید. نباید هر شخصی در هر بخشی از سازمان قادر به شنیدن گفتگوهای شما باشد.
- از پیام رسانهای ارتباطی استفاده نکنید مگر اینکه رمزنگاری سراسری داشته و به نوعی امن سازی شده اند.
- تا حد امکان از ایمیل استفاده نکنید چون ممکن است مهاجمان به سیستمهای ایمیل شما دسترسی پیدا کرده باشند (حمله Man in the Mailbox) و پیامهای شما را زیر نظر داشته باشند.
- در صورت امکان به صورت حضوری ارتباط برقرار کرده و برای گفتگوهای تلفنی از خطوط امن استفاده کنید.
- برای احراز هویت کاربران در تماسهای کنفرانسی، از کدهای دسترسی که قبلاً در اختیار آنها قرار داده اید استفاده کنید.
- شناسایی و گزارش دهی
تمرکز این مرحله، نظارت بر رویدادهای امنیتی و مشخص کردن ارتباط آنها برای تشخیص، گزارش و هشداردهی درباره حوادث امنیتی است.
نظارت
بر رویدادهای امنیتی مختلفی که در سیستمهای متفاوت در محیط سازمان رخ میدهند، نظارت داشته و ارتباط آنها را مشخص کنید. این سیستمها شامل فایروال ها، سیستمهای مقابله با نفوذ و سیستمهای جلوگیری از نشت داده هستند.
تشخیص
با مشخص کردن ارتباط بین رویدادها و هشدارها در یک راهکار SIEM[2] (سیستم مدیریت رویداد و اطلاعات امنیتی)، حوادث امنیتی احتمالی را شناسایی کنید.
هشداردهی
تحلیلگران یک اطلاعیه را برای حادثه آماده کرده، همه یافتههای اولیه را مستندسازی نموده و برآورد اولیه ای را از دسته بندی حادثه انجام میدهند.
گزارش دهی
گزارشهای اولیه لازم برای نهادهای قانونی تهیه میشود.
اغلب مواقع، فایلهای لاگ مرکزی حاوی اطلاعات زیادی درباره حادثه هستند. وجود یک سیستم SIEM مرکزی که لاگهای جمعآوری شده از همه سیستمهای امنیتی (از جمله نرم افزار آنتی ویروس، فایروال، سیستمهای مقابله با نفوذ و جلوگیری از نشت داده) را پردازش کند، بسیار ضروری است.
سیستم SIEM به شما امکان میدهد تا همه منابع موجود در سازمان را بررسی کرده و فعالیتهای مخرب احتمالی را شناسایی کنید. همچنین این سیستم به شما امکان میدهد رویدادها را پیگیری کرده و تشخیص دهید مهاجمان چگونه به سیستمها دسترسی پیدا کردهاند، به چه سیستمهایی نفوذ نموده اند، از چه فایروالهایی عبور کردهاند و وقتی در سیستم حضور و فعالیت داشتهاند، چه لاگهایی جهت جلوگیری از نشت دادهها ثبت شده است. مسئولان پاسخ به حادثه باید به چنین پرسشهایی پاسخ دهند. وجود یک راهکار SIEM به انجام این کار کمک میکند.
- اولویت بندی (تریاژ) و تحلیل
در مرحله تریاژ و تحلیل، تلاش برای مشخص کردن محدوده و درک حادثه آغاز میشود. همچنین محققان باید به دنبال جمعآوری دادهها از ابزارها و سیستمهای مختلف برای تحلیل بیشتر و شناسایی نشانههای نفوذ باشند. این اشخاص مهارت و درک کافی درباره واکنش برای سیستمها، جرم شناسی دیجیتال، تحلیل حافظه و تحلیل بدافزارها را دارند.
همزمان با جمعآوری شواهد، تحلیلگر بر روی سه حوزه مهم متمرکز میشود:
- تحلیل نقاط انتهایی
- تحلیل باینریها
- شکار تهدید در سطح سازمان
تحلیل نقاط انتهایی
- شناسایی آثار باقیمانده از مهاجمان
- جمعآوری دادههای لازم برای مشخص کردن جدول زمانی فعالیتها
- از سیستم ها کپی گرفته، داده های آنها را بیت به بیت از دیدگاه جرم شناسی تحلیل کرده و اطلاعات حافظه موقت (رم) را ثبت کنید تا بتوانید آنها را تحلیل نموده و دادههای مهمی که به تشخیص حادثه کمک میکنند را جمعآوری کنید. معمولاً رم حاوی دادههای زیادی درباره فعالیتهای انجام شده توسط تهدیدات سایبری است.
تحلیل باینریها
ابزارها یا باینرهای مخرب مورد استفاده مهاجم را بررسی کرده تا بتوانید قصد و عملکرد این برنامهها را شناسایی و ثبت کنید. این تحلیل به دو روش قابل انجام است:
- تحلیل رفتاری: نرمافزار مخرب را در یک ماشین مجازی اجرا میکند تا بتواند رفتار آن را نظارت و تحلیل کند.
- تحلیل ایستا: نرمافزار مخرب را مهندسی معکوس میکند تا قابلیتهای آن را مشخص کند.
شکار تهدید در سطح سازمان
- شکار تهدید در سطح سازمان با هدف شناسایی همه سیستمهای تأثیر پذیرفته از حادثه امنیتی انجام میشود.
- سیستمهای موجود و فناوریهای لاگ رویداد را تحلیل کنید تا ماشینهایی که در محدوده این خطر بودهاند، مشخص شوند.
- به این ترتیب مدافعان میتوانند همه حسابهای کاربری و ماشینهای آلوده، بدافزارهای مورد استفاده و غیره را مشخص کنند تا بتوان مقابله با حمله و خنثی سازی آن را انجام داد.
- مقابله و خنثی سازی
این مرحله یکی از مهمترین مراحل در واکنش به حوادث امنیتی است و هدف آن ایجاد اطمینان از حذف کامل آلودگی از محیط می باشد. راهبرد مقابله و خنثی سازی، بر اساس هوش و علایم تهدیدی اجرای میشود که در مرحله تحلیل حادثه به دست آمدهاند. پس از بازیابی سیستم و تأیید اینکه دیگر هیچ خطر امنیتی وجود ندارد میتوان به عملیات معمولی ادامه داد.
خاموشی هماهنگ شده
پس از مشخص کردن همه سیستمهایی که مهاجم به آنها دسترسی پیدا کرده یا در آنها نفوذ نموده، همزمان تمام سیستمها را به صورت هماهنگ شده خاموش کنید. هنگام اجرای خاموشی هماهنگ شده، یک اعلان عمومی برای همه اعضای تیم پاسخ به حادثه ارسال میشود تا زمانبندی، انجام شده و منابع لازم برای رفع خطر در نظر گرفته شود.
پاکسازی و بازسازی
همه سیستمهای آلوده را پاکسازی کرده و سیستم عاملها را دوباره نصب کنید. کلمه عبور تمامی حسابهای کاربری هک شده را تغییر دهید.
درخواستهای مقابله با تهدید
اگر دامنهها یا آیپیهایی را شناسایی کردید که در گذشته مهاجمان از آنها برای فرماندهی و کنترل استفاده کردهاند، درخواستهای لازم برای مقابله با تهدید و مسدود کردن ارتباطات مهاجمان در همه کانالهای خروجی را صادر کنید.
خاموشی سیستمها به صورت هماهنگ شده
بعد از یک حادثه امنیتی و در مرحله خاموشی هماهنگ شده، یکی از سرورهایی که مهاجمان به آن نفوذ کرده بودند، خاموش نشد. به این ترتیب مهاجمان باخبر شدند که فعالیتهایی در حال انجام است و اینکه ما سعی داشته ایم آنها را از محیط بیرون کنیم. به همین دلیل بلافاصله دوباره برگشتند و ظرف 10 دقیقه پس از خاموشی این سرورها به سایر رایانه ها نفوذ کرده و یک مجموعه ابزار و بدافزار جدید را نصب کردند. ما باید دوباره کل فرایند تریاژ و تحلیل را اجرا میکردیم. بنابراین همه افراد دخیل در فرایند خنثی سازی حمله باید با دقت دستورالعملها را دنبال کنند تا از وقوع چنین حملهای پیشگیری شود.
از حادثه به وقوع پیوسته درس بگیرید.
حالا وقت پاسخ دادن به پرسشهای مهم میرسد، از جمله اینکه این حادثه چطور رخ داده است؟ مهاجمان چه سیستمها و منابعی را هدف گرفتهاند؟ برای پیشگیری از چنین نفوذی چه کنترلهایی باید وجود داشته باشد؟ آیا حوزههای امنیتی خاصی هستند که نیاز به منابع یا بودجه بیشتر برای پرکردن این خلأ داشته باشند؟
همچنان که به این پرسشهای مرتبط با حادثه فکر میکنید، درباره کل سازمان و شاخصهای امنیتی که لازم است هر هفته/ماه/فصل گزارش داده شوند، فکر کنید. یک طرح از میزان آمادگی امنیتی سازمان و حوزههایی مثل ارزیابی آسیبپذیری ها و برطرف سازی آنها، جمعآوری رویدادهای SIEM، قابلیت دید مداوم، پیکربندیهای امنیتی و غیره ترسیم کنید. قطعاً تهیه چنین منبعی که خلأ کنترلهای امنیتی در بخشهای مختلف را نشان میدهد، نیازمند توجه ویژه است.
- فعالیتهای پس از حادثه
- تکمیل گزارش حادثه
ثبت و انتشار اطلاعات درباره حادثه برای بهبود و پیشرفت طرح واکنش به حادثه و اضافه کردن راهکارهای امنیتی لازم جهت پیشگیری از وقوع حوادث مشابه در آینده مفید است.
نظارت بر رویدادهای پس از حادثه
به دقت بر فعالیتهای پس از حادثه نظارت داشته باشید چون ممکن است مهاجمان دوباره پیدا شوند. توصیه میکنیم که دوباره دادههای SIEM تحلیل شود تا هرگونه نشانهای که میتواند با حادثه قبلی در ارتباط باشد را شناسایی کنید.
به روزرسانی هوش تهدید
فیدهای هوش تهدید سازمان را به روزرسانی کنید.
راهکارهای پیشگیرانه مورد نیاز را شناسایی کنید.
راهکارهای امنیتی جدید مورد نیاز برای پیشگیری از حوادث آتی را مشخص کنید.
جلب پشتیبانی در سطح سازمان
هماهنگی در سطح سازمان برای پیاده سازی طرحهای امنیتی جدید اهمیت ویژهای دارد.
اطلاعات ورود به سیستمها را شناسایی کنید.
تمام کلمات عبوری که احتمالاً در طول حادثه دچار مخاطره شدهاند را تغییر دهید. حتماً به این نکته توجه داشته باشید چون مهاجمان به محض دسترسی به یک سیستم، اطلاعات حسابهای کاربری را جمعآوری و استخراج میکنند. در نتیجه مجموعهای از اطلاعات انواع حسابهای کاربری را خواهند داشت و ممکن است این منبع تنها شامل اطلاعات یک یا دو حساب کاربری که از آن استفاده کردهاند، نباشد. بنابراین باید در مرحله نظارت پس از حادثه همه تلاشهای ناموفق برای ورود به این حسابهای کاربری را زیر نظر بگیرید. ممکن است این فعالیتها نشان دهنده برگشت مهاجمان به محیط و تلاش برای سوءاستفاده از اطلاعات جمعآوری شده باشد.
بخش چهارم: تشخیص و واکنش مدیریت شده
چه مواقعی میتوان از تشخیص و واکنش مدیریت شده به صورت یک سرویس استفاده کرد؟
اگر هر یک از این شرایط برای سازمان شما وجود دارد، بهتر است از این سرویس استفاده کرده یا آن را به عنوان مکملی در کنار تیم واکنش به حادثه سازمان خودتان قرار دهید:
کمبود نیروی امنیتی
کمبود شدید مهارت به ویژه کارشناس امنیت سایبری، مانع از پیدا کردن و حفظ نیروی لازم برای ساختن تیم واکنش به حادثه میشود.
چالشهای مدیریتی
شاید جو سیاسی سازمان شما به نحوی باشد که کسب تأیید از 3 تا 5 نفر که مجوز آنها برای تشکیل یک تیم واکنش به حادثه کارآمد لازم است، کار سختی باشد.
پیچیدگی همگام ماندن با بدافزارهای پیچیده
بدافزارهای مدرن، پیچیده و هدفمند بوده و شناسایی آنها سخت است. بر اساس تازهترین گزارش مؤسسه Verizon، به طور متوسط بین تشخیص نفوذ و پیدا کردن بدافزار توسط شرکتها یک فاصله 200 روزی وجود دارد. با هوشمندتر شدن بدافزارها حفظ توانایی برای پیشگیری از سرقت دادههای حساس روز به روز سختتر هم میشود.
[1] indicators of compromise
[2] Security Information and Event Management