این مقاله و بررسی صورت گرفته از دیدگاه وب سایت Fortinet میباشد.لذا سایر تعاریف واکنش به حادثه مانند مطالب ارائه شده در SANS 504 به قوت خود همچنان معتبر و قابل استناد میباشند.
تعریف واکنش به حادثه
واکنش به رویداد، واکنشی راهبردی و سازمان یافته است که یک سازمان پس از حمله سایبری از آن استفاده می کند. پاسخ بر اساس رویه های برنامه ریزی شده اجرا می شود که به دنبال محدود کردن آسیب و تعمیر آسیب پذیری های نقض شده در سیستم ها هستند.
متخصصان فناوری اطلاعات از طرح های واکنش به حادثه برای مدیریت حوادث امنیتی استفاده می کنند. داشتن یک طرح پاسخ به حادثه به وضوح تعریف شده می تواند آسیب حمله را محدود کند، هزینه ها را کاهش دهد و در زمان پس از نقض امنیتی صرفه جویی کند.
یک حمله سایبری یا نقض داده ها می تواند صدمات زیادی به یک سازمان وارد کند و به طور بالقوه بر مشتریان، ارزش برند، مالکیت معنوی و زمان و منابع تأثیر بگذارد. هدف از پاسخ به حادثه کاهش آسیب ناشی از حمله و کمک به سازمان در بازیابی هر چه سریعتر است.
چرا برنامه ریزی واکنش به حادثه مهم است؟
با افزایش دفعات، مقیاس و پیچیدگی حملات سایبری، طرح واکنش به حادثه نقش مهمی را در دفاع از امنیت اطلاعات سازمان ها ایفا می کند. برای سازمان ها ضروری است که قبل از وقوع یک حادثه کاملاً آماده باشند تا موفقیت و آسیب یک حمله احتمالی را محدود کنند و واکنش خود را به حداکثر برسانند.
با این حال، تحقیقات اخیر Immersive Labs نشان داد که تقریباً 40٪ از سازمانها مطمئن نیستند که تیمهایشان میتوانند با نقض دادهها مقابله کنند. و در حالی که 61٪ از پاسخ دهندگان فکر می کردند که داشتن یک طرح واکنش به حادثه موثرترین راه برای آماده شدن برای یک حادثه امنیتی است، 40٪ گفتند که آخرین تمرین هیچ اقدامی ایجاد نکرده است.
حملات سایبری می تواند تأثیر مخربی بر شهرت برند داشته باشد و منجر به از دست دادن مشتریان و جریمه های هنگفت سازمان شود. داشتن یک برنامه پاسخگویی و اقدام بر اساس یافتهها برای یادگیری درس و اجتناب از مجازاتهای سختگیرانه برای رنج بردن از دست دادن دادهها حیاتی است.
CSIRT: تیم پاسخگویی به حوادث امنیت رایانه
تیم پاسخگویی به حوادث رایانه یا امنیت سایبری (CSIRT) توسط افرادی که مسئول هدایت یا مدیریت پاسخ به یک حادثه هستند تشکیل می شود. این تیم برای اجرای تمرینات واکنش به حادثه، ارائه آموزش کارکنان و حفظ آگاهی امنیتی بسیار مهم است.
CSIRT شامل چندین نقش اصلی است که می تواند توسط یک یا چند نفر ایفا شود. اینها شامل مدیریت ارشد و اجرایی است که مسئول تصمیمگیریهای حیاتی هستند و یک مدیر حادثه که اطمینان میدهد همه اقدامات ردیابی شده و حادثه به وضوح مستند شده است، به ذینفعان اطلاع داده شده و تشدید شده است.
CSIRT همچنین شامل رهبرانی از بخش خدمات مشتری، منابع انسانی، حقوقی و روابط عمومی است. این امر به تحلیلگران، محققین و کارشناسان زیرساخت فناوری اطلاعات، که معمولاً از یک سازمان خارجی هستند، نیاز دارد تا حادثه را بررسی، مهار و اصلاح کنند.
6 مرحله یک طرح واکنش به حادثه
مراحل واکنش به حادثه که سازمان ها باید انجام دهند در یک طرح شش مرحله ای توسط موسسه SANS خلاصه شده است. کتاب راهنمای کنترل حادثه، پایه و اساس اساسی کسب و کارها را برای ایجاد خطمشیها، استانداردها و تیمهای واکنش به حادثه مشخص میکند. همچنین شامل چک لیستی است که تضمین می کند هر یک از مراحل واکنش به حادثه در صورت وقوع حادثه دنبال می شود.
برای شروع، موسسه SANS یک حادثه را زمانی تعریف میکند که به خطر افتادن یا نقض امنیت یک سازمان، نه در صورت وقوع. هر مرحله از طرح شش مرحله ای باید به ترتیب دنبال شود، زیرا هر مرحله بر فاز قبلی استوار است.
مرحله 1: آماده سازی
آمادهسازی حیاتیترین مرحله در طرح واکنش به حادثه است، زیرا تعیین میکند که یک سازمان تا چه اندازه میتواند در صورت حمله واکنش نشان دهد. لازم است چندین عنصر کلیدی اجرا شود تا سازمان بتواند یک حادثه را مدیریت کند:
مرحله 2: شناسایی
مرحله دوم به شناسایی و تعیین اینکه آیا یک حادثه رخ داده است می پردازد. اطلاعاتی مانند پیام های خطا و فایل های گزارش باید از منابع مختلف از جمله سیستم های تشخیص نفوذ و فایروال ها جمع آوری شود تا این تصمیم گرفته شود. اگر حادثه ای رخ داده است، باید در اسرع وقت گزارش شود تا به CSIRT زمان کافی برای جمع آوری شواهد و آماده شدن برای مراحل بعدی داده شود. اعضای CSIRT نیز باید مطلع شوند و روند طرح واکنش به حادثه را آغاز کنند.
به عنوان مثال، راه حل Fortinet FortiGuard بیش از 100 میلیارد رویداد امنیتی را در روز برای شناسایی و دفاع در برابر چشم انداز تهدید در حال تکامل تجزیه و تحلیل می کند. اطلاعات تهدید در زمان واقعی را ارائه می دهد که از مشتریان در برابر تهدیدات پیشرفته جدید محافظت می کند و هر زمان که رخ می دهد نقض ها را شناسایی و از آنها جلوگیری می کند.
مرحله 3: حاوی
هنگامی که یک تهدید شناسایی شد، سازمان باید هر گونه آسیب بیشتر را محدود کرده و از آن جلوگیری کند. چندین اقدام ضروری برای کمک به آنها برای کاهش یک حادثه و جلوگیری از نابودی شواهد وجود دارد.
مرحله 4: ریشه کن کردن
این مرحله شامل حذف و بازیابی سیستم های متاثر از حادثه امنیتی است. مانند تمام مراحل طرح، مستندسازی برای تعیین هزینه ساعت کار، منابع و تأثیر کلی حمله بسیار مهم است. سازمان همچنین باید اطمینان حاصل کند که محتوای مخرب از سیستمهای آسیبدیده حذف شده است و سیستمها بهطور کامل تمیز شدهاند تا از خطر عفونت مجدد جلوگیری شود.
مرحله ریشهکنی نیز برای کمک به کسبوکارها برای بهبود دفاعهای خود و رفع آسیبپذیریها بر اساس درسهایی که آموختهاند بسیار مهم است تا مطمئن شوند که سیستمهایشان دوباره به خطر نمیافتد.
مرحله 5: بازیابی
این مرحله به سازمانها کمک میکند تا با دقت سیستمهای آسیبدیده را به محیط تولید برگردانند و اطمینان حاصل کنند که حادثه دیگری رخ نمیدهد. سیستم ها باید هنگام بازگشت به مرحله تولید آزمایش، نظارت و تأیید شوند تا دوباره توسط بدافزار آلوده یا در معرض خطر قرار نگیرند. تصمیمات مهم در اینجا عبارتند از:
مرحله 6: یاد بگیرید
برای سازمانها حیاتی است که واکنشهای حادثهای خود را بررسی کنند و رویکرد خود را برای حملات آینده تطبیق دهند. تمام اسنادی که در طول حادثه تکمیل نشده اند، اکنون باید همراه با اطلاعات اضافی که ممکن است برای حوادث آینده مفید باشد، جمع آوری شود.
این گزارش باید مروری بازی به بازی از آنچه در کل حادثه اتفاق افتاده ارائه دهد. این به CSIRT کمک می کند تا عملکرد خود را بهبود بخشد، از رویدادهای رخ داده درس بگیرد و مواد مرجع برای رویدادهای آینده فراهم کند. این گزارش همچنین میتواند بهعنوان ماده آموزشی برای کارمندان جدید و راهنمایی هر تمرینی که تیمها برگزار میکنند، استفاده شود.
پس از یک رویداد، یک جلسه درس آموخته باید در اسرع وقت برگزار شود. گزارش شما باید شامل موارد زیر باشد:
https://www.fortinet.com/resources/cyberglossary/incident-response
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود