آموزش به همراه مدرک و پشتیبانی با 50 درصد تخفیف لذت بخشه
50 درصد تخفیف
مانده تا پایان تخفیف
مانده تا پایان تخفیف
جمال مهربان پور
جمال مهربان پور
کارشناس شبکه و زیرساخت و امنیت شبکه

فرآیند پاسخگویی به حادثه یا Incident Response چیست؟

این مقاله و بررسی صورت گرفته از دیدگاه وب سایت Fortinet میباشد.لذا سایر تعاریف واکنش به حادثه مانند مطالب ارائه شده در SANS 504 به قوت خود همچنان معتبر و قابل استناد میباشند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید


تعریف واکنش به حادثه

واکنش به رویداد، واکنشی راهبردی و سازمان یافته است که یک سازمان پس از حمله سایبری از آن استفاده می کند. پاسخ بر اساس رویه های برنامه ریزی شده اجرا می شود که به دنبال محدود کردن آسیب و تعمیر آسیب پذیری های نقض شده در سیستم ها هستند.

متخصصان فناوری اطلاعات از طرح های واکنش به حادثه برای مدیریت حوادث امنیتی استفاده می کنند. داشتن یک طرح پاسخ به حادثه به وضوح تعریف شده می تواند آسیب حمله را محدود کند، هزینه ها را کاهش دهد و در زمان پس از نقض امنیتی صرفه جویی کند.

یک حمله سایبری یا نقض داده ها می تواند صدمات زیادی به یک سازمان وارد کند و به طور بالقوه بر مشتریان، ارزش برند، مالکیت معنوی و زمان و منابع تأثیر بگذارد. هدف از پاسخ به حادثه کاهش آسیب ناشی از حمله و کمک به سازمان در بازیابی هر چه سریعتر است.

چرا برنامه ریزی واکنش به حادثه مهم است؟

با افزایش دفعات، مقیاس و پیچیدگی حملات سایبری، طرح واکنش به حادثه نقش مهمی را در دفاع از امنیت اطلاعات سازمان ها ایفا می کند. برای سازمان ها ضروری است که قبل از وقوع یک حادثه کاملاً آماده باشند تا موفقیت و آسیب یک حمله احتمالی را محدود کنند و واکنش خود را به حداکثر برسانند.

با این حال، تحقیقات اخیر Immersive Labs نشان داد که تقریباً 40٪ از سازمان‌ها مطمئن نیستند که تیم‌هایشان می‌توانند با نقض داده‌ها مقابله کنند. و در حالی که 61٪ از پاسخ دهندگان فکر می کردند که داشتن یک طرح واکنش به حادثه موثرترین راه برای آماده شدن برای یک حادثه امنیتی است، 40٪ گفتند که آخرین تمرین هیچ اقدامی ایجاد نکرده است.

حملات سایبری می تواند تأثیر مخربی بر شهرت برند داشته باشد و منجر به از دست دادن مشتریان و جریمه های هنگفت سازمان شود. داشتن یک برنامه پاسخگویی و اقدام بر اساس یافته‌ها برای یادگیری درس و اجتناب از مجازات‌های سخت‌گیرانه برای رنج بردن از دست دادن داده‌ها حیاتی است.

CSIRT: تیم پاسخگویی به حوادث امنیت رایانه

تیم پاسخگویی به حوادث رایانه یا امنیت سایبری (CSIRT) توسط افرادی که مسئول هدایت یا مدیریت پاسخ به یک حادثه هستند تشکیل می شود. این تیم برای اجرای تمرینات واکنش به حادثه، ارائه آموزش کارکنان و حفظ آگاهی امنیتی بسیار مهم است.

CSIRT شامل چندین نقش اصلی است که می تواند توسط یک یا چند نفر ایفا شود. اینها شامل مدیریت ارشد و اجرایی است که مسئول تصمیم‌گیری‌های حیاتی هستند و یک مدیر حادثه که اطمینان می‌دهد همه اقدامات ردیابی شده و حادثه به وضوح مستند شده است، به ذینفعان اطلاع داده شده و تشدید شده است.

CSIRT همچنین شامل رهبرانی از بخش خدمات مشتری، منابع انسانی، حقوقی و روابط عمومی است. این امر به تحلیلگران، محققین و کارشناسان زیرساخت فناوری اطلاعات، که معمولاً از یک سازمان خارجی هستند، نیاز دارد تا حادثه را بررسی، مهار و اصلاح کنند.

6 مرحله یک طرح واکنش به حادثه

مراحل واکنش به حادثه که سازمان ها باید انجام دهند در یک طرح شش مرحله ای توسط موسسه SANS خلاصه شده است. کتاب راهنمای کنترل حادثه، پایه و اساس اساسی کسب و کارها را برای ایجاد خط‌مشی‌ها، استانداردها و تیم‌های واکنش به حادثه مشخص می‌کند. همچنین شامل چک لیستی است که تضمین می کند هر یک از مراحل واکنش به حادثه در صورت وقوع حادثه دنبال می شود.

برای شروع، موسسه SANS یک حادثه را زمانی تعریف می‌کند که به خطر افتادن یا نقض امنیت یک سازمان، نه در صورت وقوع. هر مرحله از طرح شش مرحله ای باید به ترتیب دنبال شود، زیرا هر مرحله بر فاز قبلی استوار است.

مرحله 1: آماده سازی

آماده‌سازی حیاتی‌ترین مرحله در طرح واکنش به حادثه است، زیرا تعیین می‌کند که یک سازمان تا چه اندازه می‌تواند در صورت حمله واکنش نشان دهد. لازم است چندین عنصر کلیدی اجرا شود تا سازمان بتواند یک حادثه را مدیریت کند:

  1. خط مشی: مجموعه ای مکتوب از اصول، قواعد یا شیوه ها را در یک سازمان ارائه می دهد و اقدامی حیاتی است که راهنمایی می کند که آیا حادثه ای رخ داده است یا خیر.
  2. طرح/استراتژی پاسخ: طرح پاسخ باید شامل اولویت‌بندی حوادث بر اساس تأثیر سازمانی باشد، از حوادث جزئی مانند خرابی یک ایستگاه کاری تا خطر متوسط ​​مانند خراب شدن سرور، و مسائل پرخطر مانند سرقت داده‌ها از یک بخش این می تواند به ایجاد پرونده برای خرید مدیریت و به دست آوردن منابع مورد نیاز برای رسیدگی موثر به یک حادثه کمک کند.
  1. ارتباط: داشتن یک برنامه ارتباطی برای اطمینان از اینکه کل CSIRT می داند با چه کسی، چه زمانی و چرا تماس بگیرد، حیاتی است. نداشتن برنامه احتمالا زمان پاسخگویی را به تاخیر می اندازد و منجر به تماس با افراد اشتباه می شود.
  2. مستندسازی: این یک گام حیاتی در طرح واکنش به حادثه است. مستندسازی حادثه به سازمان کمک می کند تا در صورتی که حادثه یک عمل مجرمانه تلقی شود، شواهدی ارائه دهد. همچنین یادگیری دروس را برای آینده تسهیل می کند. هر کاری که CSIRT انجام می دهد باید مستند باشد و بتواند به هر سوالی که چه کسی، چه زمانی، کجا و چرا پاسخ دهد.
  3. تیم: CSIRT باید متشکل از افراد از رشته ها و بخش های مختلف در سراسر سازمان باشد، نه فقط تیم های فنی یا امنیتی.
  4. کنترل دسترسی: CSIRT همچنین نیاز به داشتن مجوزهای مناسب برای اجرای نقش های خود دارد. به عنوان مثال، داشتن مجوز دسترسی به شبکه ها و سیستم ها برای کاهش مشکلات و حذف آن مجوز در زمانی که دیگر مورد نیاز نیست.
  5. ابزارها: نرم افزار و سخت افزار برای کمک به CSIRT در بررسی یک حادثه بسیار مهم هستند. این می تواند از برنامه های ضد بدافزار و لپ تاپ تا پیچ گوشتی متغیر باشد. تمام ابزار مورد نیاز باید در یک "کیسه پرش" قرار گیرد.
  6. آموزش: آموزش برای اطمینان از آمادگی یک تیم برای مقابله با یک حادثه امنیتی بسیار مهم است. توصیه می‌شود تمرین‌های منظم داشته باشید تا همه اعضای CSIRT وظایف خود را در زمان وقوع حادثه و زمان وقوع آن بدانند.

مرحله 2: شناسایی

مرحله دوم به شناسایی و تعیین اینکه آیا یک حادثه رخ داده است می پردازد. اطلاعاتی مانند پیام های خطا و فایل های گزارش باید از منابع مختلف از جمله سیستم های تشخیص نفوذ و فایروال ها جمع آوری شود تا این تصمیم گرفته شود. اگر حادثه ای رخ داده است، باید در اسرع وقت گزارش شود تا به CSIRT زمان کافی برای جمع آوری شواهد و آماده شدن برای مراحل بعدی داده شود. اعضای CSIRT نیز باید مطلع شوند و روند طرح واکنش به حادثه را آغاز کنند.

به عنوان مثال، راه حل Fortinet FortiGuard بیش از 100 میلیارد رویداد امنیتی را در روز برای شناسایی و دفاع در برابر چشم انداز تهدید در حال تکامل تجزیه و تحلیل می کند. اطلاعات تهدید در زمان واقعی را ارائه می دهد که از مشتریان در برابر تهدیدات پیشرفته جدید محافظت می کند و هر زمان که رخ می دهد نقض ها را شناسایی و از آنها جلوگیری می کند.

مرحله 3: حاوی

هنگامی که یک تهدید شناسایی شد، سازمان باید هر گونه آسیب بیشتر را محدود کرده و از آن جلوگیری کند. چندین اقدام ضروری برای کمک به آنها برای کاهش یک حادثه و جلوگیری از نابودی شواهد وجود دارد.

  1. مهار کوتاه مدت: هدف از این کار محدود کردن آسیب در سریع ترین زمان ممکن است. این می تواند به سادگی جداسازی ماشین های آلوده برای از بین بردن سرورهای تولید و مسیریابی تمام ترافیک به سرورهای شکست خورده باشد.
  2. پشتیبان‌گیری از سیستم: نرم‌افزار پزشکی قانونی باید تصویری از سیستم‌های آسیب‌دیده را همانطور که در طول حادثه بوده‌اند ثبت کند تا شواهد را حفظ کند و بفهمد که چگونه به خطر افتاده‌اند.
  3. مهار طولانی مدت: این مرحله سیستم های آسیب دیده را به طور موقت ثابت می کند تا اطمینان حاصل شود که می توانند در حین بازسازی سیستم های تمیز به استفاده از آنها ادامه دهند. تمرکز اصلی این است که حساب‌ها یا درهای پشتی باقی مانده توسط مهاجمان حذف شوند و وصله‌های امنیتی نصب شوند.

مرحله 4: ریشه کن کردن

این مرحله شامل حذف و بازیابی سیستم های متاثر از حادثه امنیتی است. مانند تمام مراحل طرح، مستندسازی برای تعیین هزینه ساعت کار، منابع و تأثیر کلی حمله بسیار مهم است. سازمان همچنین باید اطمینان حاصل کند که محتوای مخرب از سیستم‌های آسیب‌دیده حذف شده است و سیستم‌ها به‌طور کامل تمیز شده‌اند تا از خطر عفونت مجدد جلوگیری شود.

مرحله ریشه‌کنی نیز برای کمک به کسب‌وکارها برای بهبود دفاع‌های خود و رفع آسیب‌پذیری‌ها بر اساس درس‌هایی که آموخته‌اند بسیار مهم است تا مطمئن شوند که سیستم‌هایشان دوباره به خطر نمی‌افتد.

مرحله 5: بازیابی

این مرحله به سازمان‌ها کمک می‌کند تا با دقت سیستم‌های آسیب‌دیده را به محیط تولید برگردانند و اطمینان حاصل کنند که حادثه دیگری رخ نمی‌دهد. سیستم ها باید هنگام بازگشت به مرحله تولید آزمایش، نظارت و تأیید شوند تا دوباره توسط بدافزار آلوده یا در معرض خطر قرار نگیرند. تصمیمات مهم در اینجا عبارتند از:

  1. زمان و تاریخی که عملیات بازیابی می شود. اپراتورها و مالکان سیستم باید بر اساس توصیه CSIRT تصمیم نهایی را بگیرند
  2. نحوه آزمایش و تأیید اینکه سیستم های در معرض خطر تمیز و کاملاً کاربردی هستند
  3. مدت زمانی که رفتارهای غیرعادی پایش می شود
  4. ابزارهای مورد استفاده برای آزمایش، نظارت و اعتبارسنجی رفتار سیستم

مرحله 6: یاد بگیرید

برای سازمان‌ها حیاتی است که واکنش‌های حادثه‌ای خود را بررسی کنند و رویکرد خود را برای حملات آینده تطبیق دهند. تمام اسنادی که در طول حادثه تکمیل نشده اند، اکنون باید همراه با اطلاعات اضافی که ممکن است برای حوادث آینده مفید باشد، جمع آوری شود.

این گزارش باید مروری بازی به بازی از آنچه در کل حادثه اتفاق افتاده ارائه دهد. این به CSIRT کمک می کند تا عملکرد خود را بهبود بخشد، از رویدادهای رخ داده درس بگیرد و مواد مرجع برای رویدادهای آینده فراهم کند. این گزارش همچنین می‌تواند به‌عنوان ماده آموزشی برای کارمندان جدید و راهنمایی هر تمرینی که تیم‌ها برگزار می‌کنند، استفاده شود.


پس از یک رویداد، یک جلسه درس آموخته باید در اسرع وقت برگزار شود. گزارش شما باید شامل موارد زیر باشد:

  1. زمانی که مشکل برای اولین بار، چگونه و توسط چه کسی شناسایی شد
  2. علت اصلی حادثه
  3. چگونه مشکل مهار و ریشه کن شد
  4. اقدامات انجام شده در طول فرآیند بازیابی
  5. مناطقی که CSIRT در آنها موثر بود و زمینه هایی برای بهبود
  6. پیشنهادات و بحث در مورد چگونگی بهبود CSIRT

فرآیند پاسخگویی به حادثه یا Incident Response چیست؟

https://www.fortinet.com/resources/cyberglossary/incident-response


0 1

نظرات