تا 60% تخفیف
برای 4 نفر
به همراه صدور مدرک
مانده تا پایان تخفیف ها
فرآیند واکنش به حادثه یا Incident Response چیست؟
واکنش حادثه (IR) به فرآیندها و سیستم های سازمان برای کشف و پاسخ به تهدیدات و نقض امنیت سایبری اشاره دارد. هدف IR شناسایی، بررسی و مهار حملات در یک سازمان است. درسهای آموختهشده از فعالیتهای IR همچنین استراتژیهای پیشگیری و کاهش پاییندستی را برای ارتقای وضعیت امنیتی کلی سازمان نشان میدهد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
-
چرا واکنش به حادثه مهم است؟
- انواع حوادت امنیتی عبارتند از :
- باج افزار
- سازش ایمیل تجاری (BEC)
- دسترسی غیرمجاز به سیستم ها یا داده ها
- حملات زنجیره تامین
- حملات برنامه های وب
- چرخه حیات واکنش به حادثه چیست؟
- طرح واکنش به حادثه چیست؟
- طرح واکنش به حادثه در مقابل طرح بازیابی بلایا
- نحوه ایجاد یک طرح واکنش به حادثه
- پزشکی قانونی دیجیتال و واکنش به حوادث چیست؟
- چارچوب ها و مراحل واکنش به حادثه
- ابزارها و فناوری واکنش به حوادث
- تشخیص و پیشگیری از حوادث
- کشف و کاهش دارایی های متصل به اینترنت
- پاسخ به حادثه و هماهنگی امنیتی، اتوماسیون و پاسخ (SOAR)
- خدمات واکنش به حوادث
چرا واکنش به حادثه مهم است؟
حوادث امنیت سایبری اجتناب ناپذیر است. داشتن یک برنامه واکنش قوی به حوادث می تواند تفاوت بین غرق شدن و شنا باشد. فرکانس، پیچیدگی و شدت روشهای حمله همچنان در حال افزایش است، و برای یک مرکز عملیات امنیتی (SOC) بسیار مهم است که پاسخهای مستند و آزمایش شده برای تهدیداتی که با آن مواجه خواهند شد آماده کند.
فرآیند IR به پاسخگویی به سؤالات مهم در مورد یک حمله، مانند نحوه ورود مهاجم، اقداماتی که انجام داده است، و اینکه آیا اطلاعات حساس به خطر افتاده است، کمک می کند. پاسخ مطمئن به این سوالات نه تنها وضعیت امنیتی سازمان را بهبود می بخشد، بلکه به ارزیابی مسئولیت های قانونی یا نظارتی بالقوه کمک می کند.
علاوه بر این، یک استراتژی موثر IR می تواند اثرات اقتصادی را که اغلب با حوادث یا نقض امنیت سایبری مرتبط است کاهش دهد. روشهای حمله مانند شیوع بدافزار (شامل باجافزار و جاسوسافزار)، DDoS و سرقت اعتبار میتوانند پرهزینه و مخرب باشند، اگر سازمان به اندازه کافی آماده پاسخگویی نباشد.
انواع حوادت امنیتی عبارتند از :
باج افزار
باج افزار یک مدل تجاری مجرمانه است که از نرم افزارهای مخرب برای نگهداری فایل ها، داده ها یا اطلاعات ارزشمند برای باج استفاده می کند. قربانیان یک حمله باجافزار ممکن است عملیات آنها به شدت کاهش یابد یا به طور کامل تعطیل شوند. در حالی که داشتن چیزی با ارزش برای باج مفهوم جدیدی نیست، باج افزار به یک تجارت مجرمانه چند میلیون دلاری تبدیل شده است که هم افراد و هم شرکت ها را هدف قرار می دهد. به دلیل محدودیت کم برای ورود و اثربخشی در ایجاد درآمد، به سرعت دیگر مدل های کسب و کار جرایم سایبری را جابجا کرده و به بزرگترین تهدیدی که امروزه سازمان ها با آن مواجه هستند تبدیل شده است.
سازش ایمیل تجاری (BEC)
بر اساس یک نظرسنجی از موارد Unit 42 Incident Response، 89٪ از سازمانهایی که قربانی حملات ایمیل تجاری (BEC) شدهاند نتوانستهاند MFA را روشن کنند یا بهترین شیوههای امنیت ایمیل را دنبال کنند. علاوه بر این، در 50 درصد از این موارد پاسخ به حادثه - سازمان فاقد MFA در مورد سیستمهای کلیدی مرتبط با اینترنت مانند ایمیل شرکتی، راهحلهای شبکه خصوصی مجازی (VPN) و سایر راهحلهای دسترسی از راه دور بود.
دسترسی غیرمجاز به سیستم ها یا داده ها
با توجه به اینکه بسیاری از کسبوکارها بار کاری خود را به ابر عمومی منتقل میکنند، مهاجمان محیطهای ابری با پیکربندی نامناسب را هدف قرار میدهند که به آنها اجازه میدهد بدون نیاز به یافتن و سوء استفاده از آسیبپذیری یا استفاده از تکنیکهای پیچیده، دسترسی اولیه را به دست آورند. جای تعجب نیست که مهاجمان معمولاً به دنبال محیط های ابری با پیکربندی نادرست می گردند.
بر اساس حجمی از گزارش تهدید ابر واحد 42، پیکربندی نادرست هویت و مدیریت دسترسی (IAM) به تنهایی در 65 درصد از حوادث امنیتی ابر مشاهده شده نقش داشته است.
حملات زنجیره تامین
توسعه نرمافزار چابک که به سازمانها کمک میکند تا چرخههای توسعه را سرعت بخشند، اغلب برای دستیابی به نتایج سریع به کد شخص ثالث متکی هستند. اگر یک مهاجم توسعه دهندگان شخص ثالث یا مخازن کد آنها را به خطر بیاندازد، به طور بالقوه به آنها اجازه می دهد تا به هزاران سازمان نفوذ کنند.
حملات برنامه های وب
برای تیمهای امنیتی سخت است که داراییهای خود را که دائماً در حال جابجایی، جابجایی و افزایش تعدادشان در طول زمان هستند، پیگیری کنند. این بدان معناست که با افزایش تعداد دارایی های مدیریت نشده در آن سطوح، سطح حمله مدیریت نشده همچنان به رشد خود ادامه می دهد. در نتیجه، مهاجمان به طور فزایندهای در اسکن اینترنت در جستجوی سیستمهای آسیبپذیر و بهرهبرداری از شکافهای امنیتی قبل از اصلاح آنها مهارت پیدا میکنند. میوه های کم آویزان برای مهاجمان شامل بهداشت اولیه امنیتی (به عنوان مثال، رمزهای عبور قوی، استقرار MFA) و آسیب پذیری های روز صفر و اصلاح نشده (همانطور که در SolarWinds و Log4J دیده می شود) می شود.
چرخه حیات واکنش به حادثه چیست؟
چرخه حیات پاسخ حادثه پایه و اساس پیشنهادی برای چگونگی آماده سازی یک SOC و پاسخ به یک حمله است. پنج مرحله برای این چرخه حیات وجود دارد که توسط واحد 42 مشخص شده است:
- محدوده تعامل را برای ارزیابی حمله و چگونگی تأثیر آن بر محیط تعریف کنید.
- با جمع آوری و تجزیه و تحلیل شواهد با ابزارهای امنیتی مانند Cortex XDR، حادثه را کاملاً درک کنید.
- مهاجم را از محیط خود مهار کرده و از بین ببرید و نظارت 24 ساعته را در برابر فعالیت های مخرب جدید اعمال کنید.
- اجرای یافته ها و بهبودی از حادثه با اجرای کنترل های امنیتی پیشرفته.
- وضعیت امنیتی را با اصلاح طرح واکنش به حادثه با درس های آموخته شده از نقض بهبود دهید.
طرح واکنش به حادثه چیست؟
یک طرح واکنش به حادثه (IRP) بخش مهمی از SOC است که مشخص می کند یک حادثه چیست و یک واکنش روشن و هدایت شده را ترسیم می کند. IRP ها توسط تیم های واکنش به حادثه مدیریت و توسعه می یابند که باید به طور مداوم برنامه را در صورت نیاز بررسی، آزمایش، اجرا و به روز کنند. این طرحها پس از مهار یک حادثه یا نقض، به کار خود ادامه میدهند و راهنماییهای مداوم را برای مستندسازی مناسب و فعالیتهای پاییندستی مرتبط با یک حادثه ارائه میدهند.
یک حادثه فقط یک مشکل امنیتی نیست. این یک مشکل تجاری است از دست دادن داده ها، آسیب رساندن به کارمندان و مشتریان، یا صدمه به شهرت، تنها چند راه هستند که حوادث می توانند تأثیرات مخربی بر کسب و کار داشته باشند. وجود یک IRP سازمان را در هنگام بحران راهنمایی می کند و اطمینان می دهد که همه نقش ها و مسئولیت های خود را درک می کنند.
طرح واکنش به حادثه در مقابل طرح بازیابی بلایا
طرح واکنش به حادثه بسیار شبیه به طرح بازیابی فاجعه (DRP) است، اما بر طیف وسیعی از تهدیدات امنیت سایبری تمرکز دارد در حالی که یک DRP بر بازیابی زیرساخت، داده ها و عملکرد از طریق پشتیبان گیری یا افزونگی تمرکز دارد. هدف هر دو به حداقل رساندن آسیب به یک سازمان است، اما در جایی که یک IRP با تهدیدات و نقض های فعال سر و کار دارد، یک DRP با شرایطی سروکار دارد که زیرساخت ها یا فرآیندهای تجاری به شدت تحت تأثیر قرار گرفته اند.
حتی اگر این اسناد مشابه هستند، همچنان مهم است که آنها را جداگانه نگهداری کنید. با این حال، غیر معمول نیست که هر سند به دیگری ارجاع دهد. بسیاری از سازمان ها از آنها به عنوان بخشی از طرح تداوم کسب و کار بزرگتر (BCP) استفاده می کنند. حفظ یک IRP قوی با چارچوب های توصیه شده امنیت سایبری، سازمان را به روشی متفاوت از DRP محافظت می کند.
نحوه ایجاد یک طرح واکنش به حادثه
هنگام ایجاد یک IRP، رهبران امنیتی باید الزامات کوتاه مدت و بلند مدت کسب و کار خود را درک کنند. اما شناسایی نیازها، ریسکها و آسیبپذیریها تنها آغاز راه است.هنگام ایجاد یک IRP کامل، مهم است که برنامهای برای افرادی که آن را حفظ میکنند، نحوه شناسایی زمان فعالسازی، سازماندهی یک برنامه ارتباطی، و شناسایی معیارهای عملکرد و نیازهای انطباق ایجاد کنیم.هیچ IRP یکسانی وجود ندارد. ایجاد یک مورد نیاز به تیم های امنیتی برای آزمایش و ویرایش بی وقفه دارد. در اینجا چند نکته اضافی برای ایجاد و آزمایش طرح وجود دارد:
- پتانسیل های ریسک خود را ارزیابی و فهرست کنید.
- از زبان روشن و اصطلاحات بدون ابهام استفاده کنید.
- نحوه اطلاع رسانی به ذینفعان داخلی مانند عملیات و مدیریت ارشد را مشخص کنید.
- اگر می خواهید از یک الگوی از پیش ساخته شده استفاده کنید، آن را با نیازهای خاص خود تطبیق دهید.
- برنامه خود را اغلب با تکنیک هایی مانند تیم سازی بنفش یا تمرینات روی میز آزمایش کنید تا در صورت نیاز تغییراتی ایجاد کنید.
- از فناوری پاسخ به حادثه مانند Cortex XSOAR برای بهینهسازی و خودکارسازی گردشهای پاسخ و از بین بردن فعالیتهای مخرب استفاده کنید.
اگر به دنبال الگوهای IRP یا راهنمایی اضافی هستید، واحد 42 خدمات توسعه و بررسی IRP را ارائه می دهد. هنگامی که با واحد 42 شریک می شوید، با کمک یک متخصص طرح واکنش به حادثه خود را ایجاد و تأیید می کنید.
در حالی که بدون شک آماده سازی بخش مهمی از واکنش به حادثه است، به همان اندازه مهم است که SOC ها بتوانند در مواقع بحران عملکرد دقیقی داشته باشند. برای لحظاتی که مطمئن نیستند چه اتفاقی میافتد، بسیاری از شرکتها از خدمات واکنش به حادثه درخواست میکنند تا به شناسایی، مهار و ریشهکنی آنی کمک کنند.در برنامههای واکنش به حادثه عمیقتر شوید تا بفهمید چرا برای تریاژ موفقیتآمیز یک حادثه حیاتی هستند: طرح واکنش به حادثه چیست؟ شروع شدن.
پزشکی قانونی دیجیتال و واکنش به حوادث چیست؟
اغلب اوقات، پزشکی قانونی دیجیتال با تلاشهای واکنش به حادثه ترکیب میشود تا یک فرآیند پزشکی قانونی دیجیتال و پاسخ حادثه (DFIR) گستردهتر ایجاد شود. پزشکی قانونی دیجیتال به طور خاص داده ها را با هدف بازسازی یک حادثه و ارائه تصویری کامل از کل چرخه حیات حمله، که اغلب شامل بازیابی شواهد حذف شده است، جمع آوری و بررسی می کند.
DFIR علت اصلی مشکلات را تعیین می کند، همه شواهد موجود را شناسایی و مکان یابی می کند، و پشتیبانی مداوم را برای اطمینان از تقویت وضعیت امنیتی سازمان برای آینده ارائه می دهد.
واکنش به حوادث بخش پیچیده اما حیاتی امنیت سایبری است. بهترین توصیه به تیمهای امنیتی که برنامههای واکنش به حوادث را ایجاد میکنند این است که نگران نباشند. آماده و برنامه ریزی کنید، اما نترسید! مانند امنیت سایبری به طور کلی، پاسخ به حوادث مربوط به آمادگی 100٪ برای هر حمله سایبری نیست، بلکه به طور مداوم یادگیری و افزایش فرآیندها برای ایجاد انعطاف پذیری در برنامه های امنیتی است. تا زمانی که میدانید چه مراحلی را باید بردارید، چگونه بهترین کمک را پیدا کنید و از کدام دامها اجتناب کنید، میتوانید SOC خود را در هر حادثه امنیتی هدایت کنید. بخشی از آماده شدن برای حملات، درک چرخه حیات واکنش حادثه است.
اگر این حملات رخ دهند، SOCها می توانند DFIR را برای درک بهتر محیط خود و چگونگی موفقیت این حملات پیاده سازی کنند.کشف کنید که چرا خدمات تحقیقاتی دیجیتال همراه با تخصص واکنش به حوادث برای مدیریت پیچیدگی فزاینده حوادث امنیت سایبری مدرن حیاتی است: پزشکی قانونی دیجیتال و واکنش به حوادث
چارچوب ها و مراحل واکنش به حادثه
چارچوبهای واکنش به رویداد استانداردهایی را برای ایجاد یک IRP در اختیار سازمانها قرار میدهند. در حالی که اجرای آنها الزامی نیست، این چارچوب ها دستورالعمل های بسیار خوبی برای SOC ها هستند، زیرا برنامه های خود را ایجاد و تنظیم می کنند. دو آژانس سایبری به ویژه شناخته شده وجود دارد که چارچوب هایی دارند که سازمان ها ممکن است به آنها مراجعه کنند:
- چارچوب موسسه ملی استاندارد و فناوری (NIST) مراحل دقیقی را در مورد چگونگی ایجاد IRP، ساخت CSIRT و آموزش کارکنان ارائه می دهد. در حالی که NIST شامل چارچوب هایی برای همه فن آوری است، NIST SP 800-61 پیشنهادات خود را برای IR جزئیات می دهد.
- موسسه SANS دوره های آموزشی و گواهینامه ها را همراه با کتاب راهنمای 20 صفحه ای خود در زمینه IR ارائه می دهد. واحد 42 از این چارچوبها و همچنین دستورالعملهای MITER ATT&CK و مرکز امنیت اینترنت برای کمک به مشتریان در ایجاد IRP استفاده میکند.
بسیاری از سازمان ها یک تیم خاص دارند که برای پاسخ به حوادث اختصاص داده شده است. این تیم با نامهای مختلفی مانند تیم پاسخگویی به حوادث امنیت رایانه (CSIRT)، تیم پاسخگویی به حوادث سایبری (CIRT) یا تیم واکنش اضطراری رایانه (CERT) استفاده میشود. یک CSIRT میتواند متشکل از یک مدیر پاسخ به حادثه، تحلیلگران پاسخ حادثه، تحلیلگر پزشکی قانونی دیجیتال، مهندسان معکوس بدافزار و محققان تهدید باشد. بسیاری از این تیم ها توسط افسران ارشد امنیت اطلاعات (CISOs) یا مدیران فناوری اطلاعات رهبری می شوند.
در برخی موارد، سازمانها ترکیبی از تلاشها و قابلیتهای تیمهای داخلی خود را با شرکای خارجی واکنش نشان میدهند، مانند واحد 42. تکمیل تیم با کارشناسان اضافی، یک استراتژی عالی برای رفع نیاز به سطوح مختلف تخصص موضوع است. از آنجایی که حملات سایبری میتوانند در اشکال و اندازههای مختلف رخ دهند، دسترسی به شرکای خارجی با تجربه که میتوانند در صورت لزوم شکافهای مهارتی را پر کنند، مفید است.
علاوه بر داشتن اعضای تیم متمرکز بر سایبری، وجود ذینفعان غیر امنیتی در تیم واکنش به حوادث نیز مفید است. این می تواند شامل حقوقی، مدیران ریسک، منابع انسانی و سایر وظایف تجاری باشد.به عنوان مثال، در صورتی که حادثه امنیتی مربوط به یک کارمند باشد، مانند تهدیدهای خودی یا نشت داده ها، داشتن یک نماینده منابع انسانی در تیم خوب است. داشتن مشاور عمومی در تیم میتواند برای ارزیابی پیامدهای قانونی یا اگر حادثه شامل اشخاص ثالث، مانند مشتریان یا فروشندگان باشد، مهم باشد. در نهایت، یک CSIRT باید یک متخصص روابط عمومی داشته باشد تا اطلاعات دقیق را به طرف های مربوطه ارائه دهد.
وجود یک تیم پاسخگوی حادثه خوب و توانمند بخش مهمی از فرآیند واکنش به حادثه است. CSIRT که در زمان بحران به عنوان متخصص عمل می کند، باید زمانی را صرف تحقیق در مورد تهدیدها، تشویق بهترین شیوه ها و توسعه یک طرح واکنش به حادثه کند.
ابزارها و فناوری واکنش به حوادث
جدا از طرح واکنش به حادثه، تیمهای امنیتی به ابزارهایی نیاز دارند که به آنها کمک کند تا به هشدارهای امنیتی، از کشف تا شناسایی و پاسخ، سریع و با مقیاس پاسخ دهند. ابزارهای سنتی مورد استفاده در SOCها عبارتند از EDR، SIEM و صدها ابزار دیگر که در تیمهای SOC به بازار عرضه میشوند. با این حال، اگر به خودکارسازی بخشهای کلیدی فرآیندهای IR خود فکر میکنید، عاقلانه است که به ابزارهایی نگاه کنید که کاملاً یکپارچه هستند و به اشتراکگذاری دادهها اجازه میدهند تا دید و زمینهای جامع را در مورد آنچه در سراسر سازمان شما اتفاق میافتد فراهم کنند. این رویکرد همچنین کارایی عملیاتی و منحنی یادگیری شیب دار را برای تیم شما در مدیریت ابزارهای بی شماری به حداقل می رساند.
تشخیص و پیشگیری از حوادث
به دنبال یک اکوسیستم کل نگر با دیدگاهی از وضعیت امنیتی برای شناسایی هدفمند تهدید، نظارت بر رفتار، اطلاعات، کشف دارایی و ارزیابی ریسک باشید.راهحلهای تشخیص و پاسخ گسترده (XDR) مانند Cortex XDR، تلهمتری متفاوت را از منابع متعدد (و در برخی موارد، مکمل)، از جمله EDR، تجزیه و تحلیل ترافیک شبکه (NTA)، تجزیه و تحلیل رفتار کاربر و نهاد (UEBA) و شاخصهای سازش (IoCs). سپس تجزیه و تحلیل رفتاری مبتنی بر ML را برای گروهبندی هشدارهای مرتبط انجام میدهد، این هشدارها را در یک جدول زمانی قرار میدهد و علت اصلی را برای سرعت بخشیدن به تریاژ و تحقیقات برای تحلیلگران در تمام سطوح مهارت نشان میدهد.
کشف و کاهش دارایی های متصل به اینترنت
ظهور ابر و کار از راه دور به این معنی است که سطوح حمله به طور مداوم در حال حرکت، تغییر و پیچیده تر شدن هستند. علاوه بر این، پیشرفتها در فناوریهای اسکن به مهاجمان این امکان را میدهد که کل اینترنت را به سرعت و به آسانی اسکن کنند تا بردارهای حمله را بیابند و داراییهای رها شده، سرکش یا پیکربندی نادرست را آشکار کنند که میتوانند به درهای پشتی برای سازش تبدیل شوند. استقرار یک راه حل مدیریت سطح حمله مانند Cortex Xpanse می تواند ارزیابی مستمری از سطح حمله خارجی یک سازمان را با فهرستی به طور مداوم و کامل از همه دارایی ها - از جمله آدرس های IP، دامنه ها، گواهی ها، زیرساخت های ابری، و سیستم های فیزیکی- متصل به یک سازمان ارائه دهد. شبکه سازمان و نقشه هایی که در سازمان مسئولیت هر دارایی را بر عهده دارند.
پاسخ به حادثه و هماهنگی امنیتی، اتوماسیون و پاسخ (SOAR)
فناوری هماهنگسازی امنیتی، اتوماسیون و پاسخ (SOAR) مانند Cortex XSOAR به هماهنگسازی، اجرا و خودکارسازی وظایف بین افراد و ابزارهای مختلف در یک پلتفرم کمک میکند. این به سازمانها اجازه میدهد نه تنها به سرعت به حملات امنیت سایبری واکنش نشان دهند، بلکه حوادث آینده را نیز مشاهده، درک کرده و از آن جلوگیری کنند، بنابراین وضعیت امنیتی کلی خود را بهبود میبخشند.
یک محصول جامع SOAR، همانطور که توسط گارتنر تعریف شده است، برای عملکرد تحت سه قابلیت نرم افزار اصلی طراحی شده است: مدیریت تهدید و آسیب پذیری، پاسخ به حوادث امنیتی، و اتوماسیون عملیات امنیتی.
مدیریت تهدید و آسیبپذیری مدیریت فیدهای تهدید است که اطلاعاتی درباره تهدید و تیمهای واکنش به حادثه، زمینه اضافی را در IoCها در حوادث یا تهدیدات جدید در طبیعت فراهم میکند، در حالی که اتوماسیون عملیات امنیتی به هماهنگسازی ابزارهای امنیتی مورد استفاده در SOC به صورت خودکار مربوط میشود. جریان های کاری واکنش به حادثه که بررسی و اصلاح حوادث را سرعت می بخشد.
خدمات واکنش به حوادث
بسیاری از SOCها منابع محدود یا حتی وجود ندارند تا به طور مؤثر به یک حادثه پاسخ دهند. به همین دلیل است که بسیاری از شرکت ها برای کمک به نیازهای واکنش به حادثه، شرکای خارجی را استخدام می کنند. این شرکا با تکمیل یا حتی جایگزینی تیمهای داخلی، خدماتی را برای نظارت، شناسایی و پاسخگویی به حوادث امنیتی که رخ میدهند ارائه میکنند.
در مورد خدمات IR واحد 42، کارشناسان ما به صورت 24 ساعته در حالت آماده باش هستند تا منابعی را برای رفع نیازهای پاسخ به حادثه شما مستقر کنند. ما میتوانیم بهترین ابزارهای کلاس مانند Cortex XDR را برای مهار تهدیدها و جمعآوری شواهد در عرض چند دقیقه به کار ببریم. سپس این اطلاعات در یک تجزیه و تحلیل پس از مرگ که به افزایش IRP شما کمک می کند، فشرده می شود. ویدیوی زیر را تماشا کنید تا ببینید که چگونه یک کارشناس واحد 42 به عنوان افزونه تیم شما کار می کند.