: :
مانده تا پایان تخفیف
فقط تا آخر امروز
فقط امروز
جمال مهربان پور
کارشناس شبکه و زیرساخت و امنیت شبکه

فرآیند واکنش به حادثه یا Incident Response چیست؟

واکنش حادثه (IR) به فرآیندها و سیستم های سازمان برای کشف و پاسخ به تهدیدات و نقض امنیت سایبری اشاره دارد. هدف IR شناسایی، بررسی و مهار حملات در یک سازمان است. درس‌های آموخته‌شده از فعالیت‌های IR همچنین استراتژی‌های پیشگیری و کاهش پایین‌دستی را برای ارتقای وضعیت امنیتی کلی سازمان نشان می‌دهد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

چرا واکنش به حادثه مهم است؟

حوادث امنیت سایبری اجتناب ناپذیر است. داشتن یک برنامه واکنش قوی به حوادث می تواند تفاوت بین غرق شدن و شنا باشد. فرکانس، پیچیدگی و شدت روش‌های حمله همچنان در حال افزایش است، و برای یک مرکز عملیات امنیتی (SOC) بسیار مهم است که پاسخ‌های مستند و آزمایش شده برای تهدیداتی که با آن مواجه خواهند شد آماده کند.

فرآیند IR به پاسخگویی به سؤالات مهم در مورد یک حمله، مانند نحوه ورود مهاجم، اقداماتی که انجام داده است، و اینکه آیا اطلاعات حساس به خطر افتاده است، کمک می کند. پاسخ مطمئن به این سوالات نه تنها وضعیت امنیتی سازمان را بهبود می بخشد، بلکه به ارزیابی مسئولیت های قانونی یا نظارتی بالقوه کمک می کند.

علاوه بر این، یک استراتژی موثر IR می تواند اثرات اقتصادی را که اغلب با حوادث یا نقض امنیت سایبری مرتبط است کاهش دهد. روش‌های حمله مانند شیوع بدافزار (شامل باج‌افزار و جاسوس‌افزار)، DDoS و سرقت اعتبار می‌توانند پرهزینه و مخرب باشند، اگر سازمان به اندازه کافی آماده پاسخگویی نباشد.

انواع حوادت امنیتی عبارتند از :

فرآیند واکنش به حادثه یا Incident Response چیست؟

باج افزار

باج افزار یک مدل تجاری مجرمانه است که از نرم افزارهای مخرب برای نگهداری فایل ها، داده ها یا اطلاعات ارزشمند برای باج استفاده می کند. قربانیان یک حمله باج‌افزار ممکن است عملیات آنها به شدت کاهش یابد یا به طور کامل تعطیل شوند. در حالی که داشتن چیزی با ارزش برای باج مفهوم جدیدی نیست، باج افزار به یک تجارت مجرمانه چند میلیون دلاری تبدیل شده است که هم افراد و هم شرکت ها را هدف قرار می دهد. به دلیل محدودیت کم برای ورود و اثربخشی در ایجاد درآمد، به سرعت دیگر مدل های کسب و کار جرایم سایبری را جابجا کرده و به بزرگترین تهدیدی که امروزه سازمان ها با آن مواجه هستند تبدیل شده است.

سازش ایمیل تجاری (BEC)

بر اساس یک نظرسنجی از موارد Unit 42 Incident Response، 89٪ از سازمان‌هایی که قربانی حملات ایمیل تجاری (BEC) شده‌اند نتوانسته‌اند MFA را روشن کنند یا بهترین شیوه‌های امنیت ایمیل را دنبال کنند. علاوه بر این، در 50 درصد از این موارد پاسخ به حادثه - سازمان فاقد MFA در مورد سیستم‌های کلیدی مرتبط با اینترنت مانند ایمیل شرکتی، راه‌حل‌های شبکه خصوصی مجازی (VPN) و سایر راه‌حل‌های دسترسی از راه دور بود.

دسترسی غیرمجاز به سیستم ها یا داده ها

با توجه به اینکه بسیاری از کسب‌وکارها بار کاری خود را به ابر عمومی منتقل می‌کنند، مهاجمان محیط‌های ابری با پیکربندی نامناسب را هدف قرار می‌دهند که به آنها اجازه می‌دهد بدون نیاز به یافتن و سوء استفاده از آسیب‌پذیری یا استفاده از تکنیک‌های پیچیده، دسترسی اولیه را به دست آورند. جای تعجب نیست که مهاجمان معمولاً به دنبال محیط های ابری با پیکربندی نادرست می گردند.

بر اساس حجمی از گزارش تهدید ابر واحد 42، پیکربندی نادرست هویت و مدیریت دسترسی (IAM) به تنهایی در 65 درصد از حوادث امنیتی ابر مشاهده شده نقش داشته است.

حملات زنجیره تامین

توسعه نرم‌افزار چابک که به سازمان‌ها کمک می‌کند تا چرخه‌های توسعه را سرعت بخشند، اغلب برای دستیابی به نتایج سریع به کد شخص ثالث متکی هستند. اگر یک مهاجم توسعه دهندگان شخص ثالث یا مخازن کد آنها را به خطر بیاندازد، به طور بالقوه به آنها اجازه می دهد تا به هزاران سازمان نفوذ کنند.

حملات برنامه های وب

برای تیم‌های امنیتی سخت است که دارایی‌های خود را که دائماً در حال جابجایی، جابجایی و افزایش تعدادشان در طول زمان هستند، پیگیری کنند. این بدان معناست که با افزایش تعداد دارایی های مدیریت نشده در آن سطوح، سطح حمله مدیریت نشده همچنان به رشد خود ادامه می دهد. در نتیجه، مهاجمان به طور فزاینده‌ای در اسکن اینترنت در جستجوی سیستم‌های آسیب‌پذیر و بهره‌برداری از شکاف‌های امنیتی قبل از اصلاح آن‌ها مهارت پیدا می‌کنند. میوه های کم آویزان برای مهاجمان شامل بهداشت اولیه امنیتی (به عنوان مثال، رمزهای عبور قوی، استقرار MFA) و آسیب پذیری های روز صفر و اصلاح نشده (همانطور که در SolarWinds و Log4J دیده می شود) می شود.

چرخه حیات واکنش به حادثه چیست؟

چرخه حیات پاسخ حادثه پایه و اساس پیشنهادی برای چگونگی آماده سازی یک SOC و پاسخ به یک حمله است. پنج مرحله برای این چرخه حیات وجود دارد که توسط واحد 42 مشخص شده است:

  1. محدوده تعامل را برای ارزیابی حمله و چگونگی تأثیر آن بر محیط تعریف کنید.
  2. با جمع آوری و تجزیه و تحلیل شواهد با ابزارهای امنیتی مانند Cortex XDR، حادثه را کاملاً درک کنید.
  3. مهاجم را از محیط خود مهار کرده و از بین ببرید و نظارت 24 ساعته را در برابر فعالیت های مخرب جدید اعمال کنید.
  4. اجرای یافته ها و بهبودی از حادثه با اجرای کنترل های امنیتی پیشرفته.
  5. وضعیت امنیتی را با اصلاح طرح واکنش به حادثه با درس های آموخته شده از نقض بهبود دهید.


فرآیند واکنش به حادثه یا Incident Response چیست؟


طرح واکنش به حادثه چیست؟

یک طرح واکنش به حادثه (IRP) بخش مهمی از SOC است که مشخص می کند یک حادثه چیست و یک واکنش روشن و هدایت شده را ترسیم می کند. IRP ها توسط تیم های واکنش به حادثه مدیریت و توسعه می یابند که باید به طور مداوم برنامه را در صورت نیاز بررسی، آزمایش، اجرا و به روز کنند. این طرح‌ها پس از مهار یک حادثه یا نقض، به کار خود ادامه می‌دهند و راهنمایی‌های مداوم را برای مستندسازی مناسب و فعالیت‌های پایین‌دستی مرتبط با یک حادثه ارائه می‌دهند.

یک حادثه فقط یک مشکل امنیتی نیست. این یک مشکل تجاری است از دست دادن داده ها، آسیب رساندن به کارمندان و مشتریان، یا صدمه به شهرت، تنها چند راه هستند که حوادث می توانند تأثیرات مخربی بر کسب و کار داشته باشند. وجود یک IRP سازمان را در هنگام بحران راهنمایی می کند و اطمینان می دهد که همه نقش ها و مسئولیت های خود را درک می کنند.


طرح واکنش به حادثه در مقابل طرح بازیابی بلایا

طرح واکنش به حادثه بسیار شبیه به طرح بازیابی فاجعه (DRP) است، اما بر طیف وسیعی از تهدیدات امنیت سایبری تمرکز دارد در حالی که یک DRP بر بازیابی زیرساخت، داده ها و عملکرد از طریق پشتیبان گیری یا افزونگی تمرکز دارد. هدف هر دو به حداقل رساندن آسیب به یک سازمان است، اما در جایی که یک IRP با تهدیدات و نقض های فعال سر و کار دارد، یک DRP با شرایطی سروکار دارد که زیرساخت ها یا فرآیندهای تجاری به شدت تحت تأثیر قرار گرفته اند.

حتی اگر این اسناد مشابه هستند، همچنان مهم است که آنها را جداگانه نگهداری کنید. با این حال، غیر معمول نیست که هر سند به دیگری ارجاع دهد. بسیاری از سازمان ها از آنها به عنوان بخشی از طرح تداوم کسب و کار بزرگتر (BCP) استفاده می کنند. حفظ یک IRP قوی با چارچوب های توصیه شده امنیت سایبری، سازمان را به روشی متفاوت از DRP محافظت می کند.

نحوه ایجاد یک طرح واکنش به حادثه

هنگام ایجاد یک IRP، رهبران امنیتی باید الزامات کوتاه مدت و بلند مدت کسب و کار خود را درک کنند. اما شناسایی نیازها، ریسک‌ها و آسیب‌پذیری‌ها تنها آغاز راه است.هنگام ایجاد یک IRP کامل، مهم است که برنامه‌ای برای افرادی که آن را حفظ می‌کنند، نحوه شناسایی زمان فعال‌سازی، سازماندهی یک برنامه ارتباطی، و شناسایی معیارهای عملکرد و نیازهای انطباق ایجاد کنیم.هیچ IRP یکسانی وجود ندارد. ایجاد یک مورد نیاز به تیم های امنیتی برای آزمایش و ویرایش بی وقفه دارد. در اینجا چند نکته اضافی برای ایجاد و آزمایش طرح وجود دارد:

  • پتانسیل های ریسک خود را ارزیابی و فهرست کنید.
  • از زبان روشن و اصطلاحات بدون ابهام استفاده کنید.
  • نحوه اطلاع رسانی به ذینفعان داخلی مانند عملیات و مدیریت ارشد را مشخص کنید.
  • اگر می خواهید از یک الگوی از پیش ساخته شده استفاده کنید، آن را با نیازهای خاص خود تطبیق دهید.
  • برنامه خود را اغلب با تکنیک هایی مانند تیم سازی بنفش یا تمرینات روی میز آزمایش کنید تا در صورت نیاز تغییراتی ایجاد کنید.
  • از فناوری پاسخ به حادثه مانند Cortex XSOAR برای بهینه‌سازی و خودکارسازی گردش‌های پاسخ و از بین بردن فعالیت‌های مخرب استفاده کنید.

اگر به دنبال الگوهای IRP یا راهنمایی اضافی هستید، واحد 42 خدمات توسعه و بررسی IRP را ارائه می دهد. هنگامی که با واحد 42 شریک می شوید، با کمک یک متخصص طرح واکنش به حادثه خود را ایجاد و تأیید می کنید.

در حالی که بدون شک آماده سازی بخش مهمی از واکنش به حادثه است، به همان اندازه مهم است که SOC ها بتوانند در مواقع بحران عملکرد دقیقی داشته باشند. برای لحظاتی که مطمئن نیستند چه اتفاقی می‌افتد، بسیاری از شرکت‌ها از خدمات واکنش به حادثه درخواست می‌کنند تا به شناسایی، مهار و ریشه‌کنی آنی کمک کنند.در برنامه‌های واکنش به حادثه عمیق‌تر شوید تا بفهمید چرا برای تریاژ موفقیت‌آمیز یک حادثه حیاتی هستند: طرح واکنش به حادثه چیست؟ شروع شدن.


پزشکی قانونی دیجیتال و واکنش به حوادث چیست؟

اغلب اوقات، پزشکی قانونی دیجیتال با تلاش‌های واکنش به حادثه ترکیب می‌شود تا یک فرآیند پزشکی قانونی دیجیتال و پاسخ حادثه (DFIR) گسترده‌تر ایجاد شود. پزشکی قانونی دیجیتال به طور خاص داده ها را با هدف بازسازی یک حادثه و ارائه تصویری کامل از کل چرخه حیات حمله، که اغلب شامل بازیابی شواهد حذف شده است، جمع آوری و بررسی می کند.


فرآیند واکنش به حادثه یا Incident Response چیست؟

DFIR علت اصلی مشکلات را تعیین می کند، همه شواهد موجود را شناسایی و مکان یابی می کند، و پشتیبانی مداوم را برای اطمینان از تقویت وضعیت امنیتی سازمان برای آینده ارائه می دهد.

واکنش به حوادث بخش پیچیده اما حیاتی امنیت سایبری است. بهترین توصیه به تیم‌های امنیتی که برنامه‌های واکنش به حوادث را ایجاد می‌کنند این است که نگران نباشند. آماده و برنامه ریزی کنید، اما نترسید! مانند امنیت سایبری به طور کلی، پاسخ به حوادث مربوط به آمادگی 100٪ برای هر حمله سایبری نیست، بلکه به طور مداوم یادگیری و افزایش فرآیندها برای ایجاد انعطاف پذیری در برنامه های امنیتی است. تا زمانی که می‌دانید چه مراحلی را باید بردارید، چگونه بهترین کمک را پیدا کنید و از کدام دام‌ها اجتناب کنید، می‌توانید SOC خود را در هر حادثه امنیتی هدایت کنید. بخشی از آماده شدن برای حملات، درک چرخه حیات واکنش حادثه است.


اگر این حملات رخ دهند، SOCها می توانند DFIR را برای درک بهتر محیط خود و چگونگی موفقیت این حملات پیاده سازی کنند.کشف کنید که چرا خدمات تحقیقاتی دیجیتال همراه با تخصص واکنش به حوادث برای مدیریت پیچیدگی فزاینده حوادث امنیت سایبری مدرن حیاتی است: پزشکی قانونی دیجیتال و واکنش به حوادث

چارچوب ها و مراحل واکنش به حادثه

چارچوب‌های واکنش به رویداد استانداردهایی را برای ایجاد یک IRP در اختیار سازمان‌ها قرار می‌دهند. در حالی که اجرای آنها الزامی نیست، این چارچوب ها دستورالعمل های بسیار خوبی برای SOC ها هستند، زیرا برنامه های خود را ایجاد و تنظیم می کنند. دو آژانس سایبری به ویژه شناخته شده وجود دارد که چارچوب هایی دارند که سازمان ها ممکن است به آنها مراجعه کنند:

  1. چارچوب موسسه ملی استاندارد و فناوری (NIST) مراحل دقیقی را در مورد چگونگی ایجاد IRP، ساخت CSIRT و آموزش کارکنان ارائه می دهد. در حالی که NIST شامل چارچوب هایی برای همه فن آوری است، NIST SP 800-61 پیشنهادات خود را برای IR جزئیات می دهد.
  2. موسسه SANS دوره های آموزشی و گواهینامه ها را همراه با کتاب راهنمای 20 صفحه ای خود در زمینه IR ارائه می دهد. واحد 42 از این چارچوب‌ها و همچنین دستورالعمل‌های MITER ATT&CK و مرکز امنیت اینترنت برای کمک به مشتریان در ایجاد IRP استفاده می‌کند.


فرآیند واکنش به حادثه یا Incident Response چیست؟

بسیاری از سازمان ها یک تیم خاص دارند که برای پاسخ به حوادث اختصاص داده شده است. این تیم با نام‌های مختلفی مانند تیم پاسخگویی به حوادث امنیت رایانه (CSIRT)، تیم پاسخگویی به حوادث سایبری (CIRT) یا تیم واکنش اضطراری رایانه (CERT) استفاده می‌شود. یک CSIRT می‌تواند متشکل از یک مدیر پاسخ به حادثه، تحلیل‌گران پاسخ حادثه، تحلیل‌گر پزشکی قانونی دیجیتال، مهندسان معکوس بدافزار و محققان تهدید باشد. بسیاری از این تیم ها توسط افسران ارشد امنیت اطلاعات (CISOs) یا مدیران فناوری اطلاعات رهبری می شوند.

در برخی موارد، سازمان‌ها ترکیبی از تلاش‌ها و قابلیت‌های تیم‌های داخلی خود را با شرکای خارجی واکنش نشان می‌دهند، مانند واحد 42. تکمیل تیم با کارشناسان اضافی، یک استراتژی عالی برای رفع نیاز به سطوح مختلف تخصص موضوع است. از آنجایی که حملات سایبری می‌توانند در اشکال و اندازه‌های مختلف رخ دهند، دسترسی به شرکای خارجی با تجربه که می‌توانند در صورت لزوم شکاف‌های مهارتی را پر کنند، مفید است.


علاوه بر داشتن اعضای تیم متمرکز بر سایبری، وجود ذینفعان غیر امنیتی در تیم واکنش به حوادث نیز مفید است. این می تواند شامل حقوقی، مدیران ریسک، منابع انسانی و سایر وظایف تجاری باشد.به عنوان مثال، در صورتی که حادثه امنیتی مربوط به یک کارمند باشد، مانند تهدیدهای خودی یا نشت داده ها، داشتن یک نماینده منابع انسانی در تیم خوب است. داشتن مشاور عمومی در تیم می‌تواند برای ارزیابی پیامدهای قانونی یا اگر حادثه شامل اشخاص ثالث، مانند مشتریان یا فروشندگان باشد، مهم باشد. در نهایت، یک CSIRT باید یک متخصص روابط عمومی داشته باشد تا اطلاعات دقیق را به طرف های مربوطه ارائه دهد.

وجود یک تیم پاسخگوی حادثه خوب و توانمند بخش مهمی از فرآیند واکنش به حادثه است. CSIRT که در زمان بحران به عنوان متخصص عمل می کند، باید زمانی را صرف تحقیق در مورد تهدیدها، تشویق بهترین شیوه ها و توسعه یک طرح واکنش به حادثه کند.

ابزارها و فناوری واکنش به حوادث

جدا از طرح واکنش به حادثه، تیم‌های امنیتی به ابزارهایی نیاز دارند که به آنها کمک کند تا به هشدارهای امنیتی، از کشف تا شناسایی و پاسخ، سریع و با مقیاس پاسخ دهند. ابزارهای سنتی مورد استفاده در SOCها عبارتند از EDR، SIEM و صدها ابزار دیگر که در تیم‌های SOC به بازار عرضه می‌شوند. با این حال، اگر به خودکارسازی بخش‌های کلیدی فرآیندهای IR خود فکر می‌کنید، عاقلانه است که به ابزارهایی نگاه کنید که کاملاً یکپارچه هستند و به اشتراک‌گذاری داده‌ها اجازه می‌دهند تا دید و زمینه‌ای جامع را در مورد آنچه در سراسر سازمان شما اتفاق می‌افتد فراهم کنند. این رویکرد همچنین کارایی عملیاتی و منحنی یادگیری شیب دار را برای تیم شما در مدیریت ابزارهای بی شماری به حداقل می رساند.


تشخیص و پیشگیری از حوادث

به دنبال یک اکوسیستم کل نگر با دیدگاهی از وضعیت امنیتی برای شناسایی هدفمند تهدید، نظارت بر رفتار، اطلاعات، کشف دارایی و ارزیابی ریسک باشید.راه‌حل‌های تشخیص و پاسخ گسترده (XDR) مانند Cortex XDR، تله‌متری متفاوت را از منابع متعدد (و در برخی موارد، مکمل)، از جمله EDR، تجزیه و تحلیل ترافیک شبکه (NTA)، تجزیه و تحلیل رفتار کاربر و نهاد (UEBA) و شاخص‌های سازش (IoCs). سپس تجزیه و تحلیل رفتاری مبتنی بر ML را برای گروه‌بندی هشدارهای مرتبط انجام می‌دهد، این هشدارها را در یک جدول زمانی قرار می‌دهد و علت اصلی را برای سرعت بخشیدن به تریاژ و تحقیقات برای تحلیلگران در تمام سطوح مهارت نشان می‌دهد.

کشف و کاهش دارایی های متصل به اینترنت

ظهور ابر و کار از راه دور به این معنی است که سطوح حمله به طور مداوم در حال حرکت، تغییر و پیچیده تر شدن هستند. علاوه بر این، پیشرفت‌ها در فناوری‌های اسکن به مهاجمان این امکان را می‌دهد که کل اینترنت را به سرعت و به آسانی اسکن کنند تا بردارهای حمله را بیابند و دارایی‌های رها شده، سرکش یا پیکربندی نادرست را آشکار کنند که می‌توانند به درهای پشتی برای سازش تبدیل شوند. استقرار یک راه حل مدیریت سطح حمله مانند Cortex Xpanse می تواند ارزیابی مستمری از سطح حمله خارجی یک سازمان را با فهرستی به طور مداوم و کامل از همه دارایی ها - از جمله آدرس های IP، دامنه ها، گواهی ها، زیرساخت های ابری، و سیستم های فیزیکی- متصل به یک سازمان ارائه دهد. شبکه سازمان و نقشه هایی که در سازمان مسئولیت هر دارایی را بر عهده دارند.


پاسخ به حادثه و هماهنگی امنیتی، اتوماسیون و پاسخ (SOAR)

فناوری هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ (SOAR) مانند Cortex XSOAR به هماهنگ‌سازی، اجرا و خودکارسازی وظایف بین افراد و ابزارهای مختلف در یک پلتفرم کمک می‌کند. این به سازمان‌ها اجازه می‌دهد نه تنها به سرعت به حملات امنیت سایبری واکنش نشان دهند، بلکه حوادث آینده را نیز مشاهده، درک کرده و از آن جلوگیری کنند، بنابراین وضعیت امنیتی کلی خود را بهبود می‌بخشند.

یک محصول جامع SOAR، همانطور که توسط گارتنر تعریف شده است، برای عملکرد تحت سه قابلیت نرم افزار اصلی طراحی شده است: مدیریت تهدید و آسیب پذیری، پاسخ به حوادث امنیتی، و اتوماسیون عملیات امنیتی.


فرآیند واکنش به حادثه یا Incident Response چیست؟


مدیریت تهدید و آسیب‌پذیری مدیریت فیدهای تهدید است که اطلاعاتی درباره تهدید و تیم‌های واکنش به حادثه، زمینه اضافی را در IoCها در حوادث یا تهدیدات جدید در طبیعت فراهم می‌کند، در حالی که اتوماسیون عملیات امنیتی به هماهنگ‌سازی ابزارهای امنیتی مورد استفاده در SOC به صورت خودکار مربوط می‌شود. جریان های کاری واکنش به حادثه که بررسی و اصلاح حوادث را سرعت می بخشد.


خدمات واکنش به حوادث

بسیاری از SOCها منابع محدود یا حتی وجود ندارند تا به طور مؤثر به یک حادثه پاسخ دهند. به همین دلیل است که بسیاری از شرکت ها برای کمک به نیازهای واکنش به حادثه، شرکای خارجی را استخدام می کنند. این شرکا با تکمیل یا حتی جایگزینی تیم‌های داخلی، خدماتی را برای نظارت، شناسایی و پاسخگویی به حوادث امنیتی که رخ می‌دهند ارائه می‌کنند.

در مورد خدمات IR واحد 42، کارشناسان ما به صورت 24 ساعته در حالت آماده باش هستند تا منابعی را برای رفع نیازهای پاسخ به حادثه شما مستقر کنند. ما می‌توانیم بهترین ابزارهای کلاس مانند Cortex XDR را برای مهار تهدیدها و جمع‌آوری شواهد در عرض چند دقیقه به کار ببریم. سپس این اطلاعات در یک تجزیه و تحلیل پس از مرگ که به افزایش IRP شما کمک می کند، فشرده می شود. ویدیوی زیر را تماشا کنید تا ببینید که چگونه یک کارشناس واحد 42 به عنوان افزونه تیم شما کار می کند.


نظرات