آموزش رایگان سکیوریتی پلاس: چگونه تیم واکنش به حوادث امنیتی را آماده کنیم

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

• شرایط حق حسابرسی (Right-to-audit clauses): اطمینان حاصل کنید که قرارداد شما با ارائه‌دهنده خدمات ابری الزامات امنیتی را شامل می‌شود و اطمینان حاصل کنید که حق ممیزی برای مطابقت با این الزامات در اختیار شما قرار می‌گیرد.
•   قانونی/حوزه قضایی (Regulatory/jurisdiction): در ارتباط با داده‌های موجود در فضای ابری، مهم است که بدانید سرورهایی که داده‌های شما را ذخیره می‌کنند در کجای دنیا قرار دارند. در ارتباط با اکثر ارائه‌دهندگان خدمات ابری، می‌توانید منطقه‌ای که قرار است داده‌های شما در آن ذخیره شود را مشخص کنید. این کار کمک می‌کند در ارتباط با قوانین و مقررات اعمال شده در ارتباط با دسترسی به داده‌ها در آن مناطق اطلاعات بیشتری کسب کنید.
•   قوانین اعلان نقض داده (Data breach notification): اطمینان حاصل کنید قرارداد شما با ارائه‌دهنده خدمات ابری مشخص می‌کند که به محض کشف نقض داده به شما اطلاع داده می‌شود تا بتوانید قوانین حاکم بر شرکت خود را در مورد اعلان‌های نقض داده‌ها دنبال کنید.

واکنش به حادثه

در این بخش با واکنش به حادثه و مفهوم تیم واکنش به حادثه آشنا می‌شوید. آزمون گواهینامه Security+ دانش شما در مورد نحوه پاسخ‌گویی به حوادث امنیتی در سازمان را آزمایش خواهد کرد.

تیم واکنش به حوادث

اولین کاری که برای آماده شدن برای رسیدگی به حوادث امنیتی در سازمان خود باید انجام دهید این است که مطمئن شوید یک تیم پاسخگویی به رایانه‌ای یا CIRT آماده کرده‌اید. یک تیم پاسخ‌گویی به حادثه مسئولیت رسیدگی به حوادث امنیتی که در سازمان رخ می‌دهد و تصحیح و مستندسازی به موقع مدارک امنیتی را بر عهده دارد.

اولین قدم ایجاد تیم است. این تیم متشکل از کارمندان سازمان با مجموعه مهارت‌های مختلف است. به طور معمول، اعضا تیم واکنش به حادثه به شرح زیر هستند:

•   رهبر تیم (Team leader): سرپرست تیم مسئول اطمینان از این‌ موضوع است که همه اعضای تیم نقش خود در هنگام وقوع یک حادثه امنیتی را می‌دانند. علاوه بر این، رهبر تیم مسئول برقراری تعامل با اشخاص یا نهادهای ثالث خارجی است که ممکن است در شرایط خاص به وجود آن‌ها نیاز باشد.
•   متخصص فنی (Technical specialist): متخصص فنی دارای تخصص فنی برای ارزیابی و شناسایی مقیاس حادثه امنیتی است و می‌داند که چگونه مشکل را باید برطرف کرد. CIRT ممکن است تعدادی متخصص فنی در زمینه‌های مختلف داشته باشد. برای مثال، ممکن است یک متخصص ویندوز سرور، یک متخصص لینوکس و یک متخصص سیسکو در یک تیم واکنش به حادثه وجود داشته باشند.
•   متخصص اسناد و مدارک (Documentation specialist): متخصص مستندسازی می‌داند که چگونه کل فرآیند پاسخ‌دهی را باید مستندسازی کند و مسئول درج اطلاعات در پایگاه داده در ارتباط با هر حادثه، علت و راه‌حل است.
•   مشاور حقوقی (Legal advisor): مشاور حقوقی قوانین و مقرراتی که شرکت شما باید در مورد جرم‌شناسی دیجیتالی و پاسخ به حوادث رعایت کند را می‌داند. مشاور حقوقی فردی است که بقیه اعضای تیم می‌توانند در صورت داشتن سؤال در مورد مسائل جرم‌شناسی دیجیتالی مثل این‌که چه نوع مدارکی برای دادگاه مناسب هستند از او سوال کند.

پس از ایجاد تیم، اعضای تیم می‌توانند روی روش‌های واکنش به حادثه، از جمله نحوه واکنش به انواع مختلف حوادث امنیتی، کار کنند.

طرح واکنش به حوادث

هنگامی که تیم واکنش به حادثه را تشکیل دادید، می‌توانید کار روی ایجاد طرح واکنش به حادثه را شروع کنید. طرح واکنش به حادثه باید شامل عناصر مختلفی مثل شناسایی انواع مختلف حوادث و نقش شغلی هر یک از اعضای تیم در طول یک حادثه باشد. موارد زیر عناصر رایجی هستند که باید در طرح واکنش به حادثه گنجانده شوند:

•   تعریف انواع/رده‌های حادثه مستندشده (Documented incident types/category definitions): طرح باید انواع مختلفی از حوادث امنیتی که می‌تواند در سازمان شما رخ دهد را تعریف کند. برای مثال، ممکن است یک نوع حادثه به نام حمله مهندس اجتماعی و یکی به نام انکار سرویس داشته باشید. لازم به ذکر است که ضرورتی ندارد هر نوع حادثه مرتبط با حمله‌های سایبری باشند. شما می‌توانید یک نوع حادثه به نام دسترسی غیرمجاز تصادفی در مستندات داشته باشید. هنگامی که هر یک از انواع مختلف حوادث را فهرست کردید، سپس می‌توانید تعاریفی به آن‌ها اختصاص دهید که نوع حادثه را مشخص می‌کند.
•   نقش‌ها و مسئولیت‌ها (Roles and responsibilities): این طرح باید نقش‌ها و مسئولیت‌های هر یک از اعضای تیم را مشخص کند. این شامل نقش شغلی هر عضو قبل از وقوع یک حادثه امنیتی، در طول یک حادثه امنیتی و بعد از یک حادثه امنیتی است.
•   گزارش‌دهی الزامات (Reporting requirements): این طرح باید نحوه و زمانی را که کاربران قرار است حوادث امنیتی احتمالی را گزارش کنند، مشخص کند. طرح واکنش به حادثه باید مشخص کند که اولین پاسخ‌دهنده به حادثه چه کسی است. در نهایت، این طرح باید هرگونه الزامات گزارش‌دهی در ارتباط با حادثه امنیتی و عناصری که باید در گزارش موجود باشد را مشخص کند.
•   تیم پاسخگویی به حوادث رایانه‌ای یا سایبری (Computer (or Cyber) Incident Response Team): این طرح باید اعضای مختلف CIRT و مسئولیت‌های آن‌ها را مشخص کند.
•   تمرین (Exercise): مهم است که اطمینان حاصل شود همه برای وقوع یک حادثه امنیتی آماده هستند، بنابراین تمرین‌هایی را برنامه‌ریزی کنید که بتوانید رویدادهایی که در طول یک حادثه امنیتی از مرحله شناسایی تا مرحله عملی باید انجام دهید را شامل شود.

هنگام آماده شدن برای آزمون گواهینامه سکیوریتی پلاس باید مراحل واکنش به حادثه را به خاطر بسپارید.

فرآیند واکنش به حادثه

آزمون سکیوریتی پلاس از شما انتظار دارد به طور خاص نحوه پاسخگویی به حوادث امنیتی را هنگامی که در یک محیط تجاری رخ می‌دهند، بدانید. اطمینان از این‌که CIRT مراحل مختلف فرآیند واکنش به حادثه را درک می‌کند بسیار مهم است.

مراحل زیر مراحل فرآیند واکنش به حادثه را تشریح می‌کند:

•    آماده‌سازی (Preparation): اولین قدم این است که با جمع‌آوری یک تیم CIRT و ایجاد رویه‌های واکنش به حادثه، برای حوادث امنیتی آماده شوید. اطمینان حاصل کنید که به کل سازمان در مورد مسئولیت آن‌ها در واکنش به حوادث امنیتی و این‌که نقش آن‌ها چیست آموزش داده‌اید.
•    شناسایی (Identification): مرحله بعدی این است که شخصی در شرکت تشخیص دهد که یک حادثه امنیتی بالقوه رخ داده است. این حادثه می‌تواند هر چیزی باشد. از این‌که کاربر متوجه شود کامپیوترش آن‌طور که انتظار می‌رود پاسخ نمی‌دهد تا کارمندی که متوجه شود فایل‌های روی سرور وب تغییر کرده‌اند.

هنگامی که یک حادثه امنیتی توسط یک کارمند شناسایی شد، کارمند باید به سرعت به CIRT اطلاع دهد. مطمئن شوید که کارمندان می‌دانند که باید حادثه امنیتی را به چه کسی گزارش دهند تا اولین پاسخ‌دهنده بتواند بلافاصله با این حادثه برخورد کند. اولین پاسخ‌دهنده تعیین می‌کند که آیا حادثه‌ای رخ داده است و آیا حادثه نیاز به اقدامات فوری دارد یا خیر.

•    محدود کردن (Containment): یکی از اولین کارهایی که یک پاسخ‌دهنده باید انجام دهد، محدود کردن دامنه حادثه امنیتی به منظور پیشگیری از تبدیل شدن آن به یک مشکل بزرگ‌تر است. به عنوان مثال، اگر به حادثه‌ای بدافزاری پاسخ دهید، اولین پاسخ‌دهنده باید فورا سیستم را از شبکه جدا کند تا از انتشار ویروس به سایر سیستم‌های شبکه جلوگیری کند.
•    ریشه‌کنی (Eradication): هنگامی که حادثه امنیتی شناسایی و مهار شد، CIRT باید اقداماتی برای ریشه‌کن کردن هر مشکلی که باعث این حادثه شده است را انجام دهد. این اقدامات می‌توانند چیزی به سادگی قرار دادن فایروال یا افزایش حفاظت از سامانه‌ها در برابر ویروس‌ها باشد.
•    بازیابی (Recovery): مرحله بازیابی زمانی است که CIRT یک سیستم را به حالت قبل از وقوع حادثه امنیتی بازیابی می‌کند. این معمولا شامل استفاده از روش‌های بازیابی است، که منابع کاملا مستندی هستند که شامل دستورالعمل‌های گام به گام در مورد نحوه بازیابی سیستم هستند.
•    درس‌های آموخته شده (Lessons learned): پس از رسیدگی به حادثه، CIRT باید درس‌های آموخته شده را مستند کند. این مرحله به تیم اجازه می‌دهد تا به تصویر بزرگی نگاه کند و به سؤالات اینجا چه اتفاقی افتاد و چگونه می‌توانیم از تکرار آن جلوگیری کنیم، پاسخ دهند.

همان‌گونه که مشاهده می‌کنید اطلاع در مورد این‌که مراحل واکنش به حادثه و فعالیت‌های انجام شده به چه صورتی باید انجام شوند، اهمیت زیادی دارد. توجه داشته باشید که مهار پس از شناسایی رخداد اتفاق می‌افتد، زیرا می‌خواهید در سریع‌ترین زمان ممکن دامنه حادثه را محدود کنید.

اولین پاسخ‌دهندگان (First Responders)

همان‌گونه که اشاره شد، اگر شما اولین پاسخ‌دهنده به یک حادثه امنیتی هستید، اولین هدف شما مهار این حادثه است. به عنوان مثال، اگر به شکایت کاربری پاسخ می‌دهید که به نظر می‌رسد سیستم او کند شده است و پس از ورود متوجه شدید که ممکن است به دلیل ویروس باشد، سیستم را از شبکه جدا کنید (با جدا کردن کابل شبکه از رایانه) تا ویروس، دیگر سیستم‌های موجود در شبکه را آلوده نکند. تنها چیزی که بدتر از برخورد با یک کامپیوتر آلوده است، برخورد با چند سیستم آلوده است!

اگر متوجه شدید که سیستم‌های موجود در شبکه شما در حال تکثیر ویروس هستند، ممکن است مجبور شوید کل سوئیچ را خاموش کنید یا حتی ممکن است مجبور شوید اتصال به اینترنت را قطع کنید تا ویروس از شبکه به دیگر شبکه‌ها از طریق اینترنت منتقل نشود.

برای آزمون سکیوریتی پلاس باید بدانید که اولین پاسخ‌دهنده باید روی مهار حادثه امنیتی متمرکز شود تا به مشکل بزرگ‌تری تبدیل نشود. این ممکن است شامل قطع کردن سیستم در معرض خطر از شبکه برای جلوگیری از گسترش حادثه امنیتی در سراسر شبکه باشد.

کنترل خسارت و ضرر (Damage and Loss Control)

اولین کاری که هنگام رسیدن به صحنه انجام می‌دهید، ارزیابی شدت حادثه امنیتی است. از خود سؤالاتی بپرسید مبنی بر این مضوم که آیا این حادثه فقط یک سیستم را تحت تاثیر قرار داده یا تعدادی از سیستم‌های شبکه را تحت تاثیر قرار داده است.

هدف دیگر کنترل ضرر است. بهترین راه برای کنترل تلفات ناشی از یک حادثه امنیتی، مهار حادثه با قطع کردن سیستم یا سیستم‌های درگیر از شبکه است. اگر یک سیستم درگیر است، می‌توانید به سادگی آن سیستم را از شبکه جدا کنید، در حالی که اگر یک بخش کامل درگیر است، ممکن است بخواهید سوئیچ شبکه را خاموش کنید تا ناخواسته باعث گسترش ویروس نشوید.

تمرینات (Exercises)

به عنوان بخشی از استراتژی واکنش به حادثه، مهم است که در انواع مختلف تمرینات شرکت کنید تا زمانی که یک حادثه واقعی رخ می‌دهد آماده باشید. می‌توانید از انواع تمرین‌ها برای کمک به آماده‌سازی کارکنان برای یک حادثه امنیتی استفاده کنید:

•    Tabletop: تیم واکنش به حادثه رویه‌های واکنشی را که باید هنگام وقوع حادثه دنبال شود، بررسی می‌کند. رویکرد فوق به همه کمک می‌کند تا نقش شغلی خود را در هنگام وقوع حادثه درک کنند.
•    Walkthroughs: جزئیات را به دقت بررسی کنید، زیرا یک سناریوی امنیتی را بررسی کرده‌اید باید به تیم واکنش به حادثه اجازه دهید در مورد مراحلی که انجام داده‌اند، بحث کنند و عملکرد خودشان را تحلیل کنند.
•    Simulations: شبیه‌سازی‌ها رویدادهای واقعی در یک محیط شبیه‌سازی شده هستند تا اطمینان حاصل شود که تیم واکنش به حادثه می‌داند چگونه از ابزارها استفاده کند و مراحل لازم برای پاسخ به یک حادثه را انجام ‌دهد.

سیاست‌ها و رویه‌های واکنش به حادثه

سازمان‌ها باید برای تهیه یک طرح واکنش به حادثه وقت بگذارند تا به طور کلی بدانند که چگونه به حوادث امنیتی واکنش نشان دهند. علاوه بر ایجاد تیم واکنش به حادثه و ایجاد طرح واکنش به حادثه، هنگام آماده‌سازی خط‌مشی‌ها و رویه‌های واکنش به حادثه، باید مولفه‌های زیر را نیز در نظر بگیرید:

•   مدیریت ذینفعان (Stakeholder management): درک این‌که سهام‌دارانی که از پروژه واکنش به حادثه حمایت مالی می‌کنند در جریان این برنامه و درک اهداف آن قرار داشته باشند، حائز اهمیت است.
•   برنامه ارتباطی (Communication plan): داشتن یک برنامه ارتباطی به طوری که بتوان در مواقع اضطراری یک کانال‌ ارتباطی ایمن در اختیارتان قرار دهد اهمیت زیادی دارد. لازم به توضیح است ذینفعان نیز باید به این کانال ارتباطی دسترسی داشته باشند.
•   طرح بازیابی بلایا (Disaster recovery plan) و طرح تداوم کسب‌وکار (business continuity plan): ما درباره این دو مفهوم و اهمیت آن‌ها به تفضیل صحبت کردیم. مطمئن شوید که یک طرح بازیابی کامل پس از فاجعه و طرح تداوم کسب و کار دارید.
•   برنامه‌ریزی تداوم عملیات (Continuity of operations planning): این مفهوم نیز مرتبط با طرح تداوم کسب‌وکار است.  برنامه‌ریزی تداوم عملیات، برنامه‌ای است که تضمین می‌کند همه عملکردهای حیاتی یک کسب‌وکار همچنان می‌توانند در مواقع اضطراری یا فاجعه کار کنند.
•    حفظ خط‌مشی‌های (Retention policies): مشخص می‌کند که برای چه مدت زمانی اطلاعات باید در سازمان حفظ شود که شامل پشتیبان‌گیری و ذخیره‌سازی اطلاعات در خارج از سازمان است.

در این زمینه چارچوب‌های مختلفی وجود دارند که می‌توانند به شما در تعیین نحوه پاسخگویی به حوادث کمک کنند. در ادامه، چند چارچوب مهم که باید برای آزمون در مورد آن‌ها اطلاع داشته باشید را بررسی خواهیم کرد.

•   MITRE ATT&CK MITRE Adversarial Tactics, Techniques, and Common Knowledge: این چارچوب که به اختصار ATT&CK نامیده می‌شود، چارچوبی است که برای تشریح مراحل چرخه حمله و پلتفرم‌های رایج طراحی شده است.
•   مدل الماسی تحلیل نفوذ (The Diamond Model of Intrusion Analysis): این مدل اطلاعاتی تهدید، رابطه بین مولفه‌های حمله دشمن، قابلیت‌ها، زیرساخت و قربانی را مشخص می‌کند.
•   زنجیره کشتار سایبری (Cyber kill chain): زنجیره کشتار سایبری توسط لاکهید مارتین توسعه داده شد و فرآیند حمله را به هفت مرحله تقسیم می‌کند که شناسایی، ساخت سلاح، تحویل، بهره‌برداری، نصب، فرماندهی و کنترل، و اقدامات ضروری است.

منابع داده موردنیاز در ارتباط با تحقیق

هنگام انجام یک تحقیق یا پاسخ به یک حادثه امنیتی، مهم است که بدانید از کجا می‌توانید اطلاعاتی را به دست آورید که می‌تواند در پاسخ به حادثه کمک کند. موارد زیر از مکان‌های رایجی هستند که اجازه می‌دهند، اطلاعات ارزشمندی کسب کنید.

•   خروجی اسکن آسیب‌پذیری (Vulnerability scan output): می‌توانید اسکن آسیب‌پذیری یک سیستم را انجام دهید و به نتیجه اسکن آسیب‌پذیری نگاه کنید تا حفره‌های امنیتی را شناسایی کنید که ممکن است عامل نفوذ و حمله باشند. برای آزمون، به یاد داشته باشید که امتیاز CVV گزارش شده با هر آسیب‌پذیری، نشانه‌ای از شدت آسیب‌پذیری است. به عنوان مثال، آسیب‌پذیری با نمره CVV 3 به اندازه آسیب‌پذیری که نمره CVV 9 را نشان می‌دهد (از 1 تا 10 متغیر است) شدید نیست.
•   خروجی تحلیل‌گر پروتکل (Protocol analyzer output): می‌توانید از یک تحلیل‌گر پروتکل یا تحلیل‌گر بسته برای تجزیه و تحلیل ترافیک شبکه و جستجوی ناهنجاری‌ها در ترافیک شبکه استفاده کنید.
•    syslog/rsyslog/syslog-ng: می‌توانید از syslog برای ارسال گزارش‌ها از چند منبع به سرور مرکزی syslog استفاده کنید. شما می‌توانید از rsyslog در یک سیستم یونیکسی برای ارسال پیام‌های گزارش به یک شبکه IP استفاده کنید. شما می‌توانید از ویژگی جدید syslog syslog-ng برای پیاده‌سازی قابلیت‌های syslog توسعه یافته مانند فیلترینگ مبتنی بر محتوا استفاده کنید.
•    journalctl: می‌توانید از journalctl به عنوان ابزاری برای انجام پرس‌وجو روی گزارش‌ها استفاده کنید.
•     NXLog: یک مجموعه گزارش و ابزار بهبود ویژگی است که در پلتفرم‌های مختلف اجرا می‌شود. می‌توانید از آن برای پردازش گزارش‌ها و ارسال رویدادهای گزارش به سیستم‌های دیگر استفاده کنید.
•    نمایشگر پهنای باند ( Bandwidth monitors): می‌توانید از یک ابزار نظارت بر پهنای باند برای شناسایی ناهنجاری‌ها در استفاده از پهنای باند برای شناسایی حمله احتمالی شبکه یا وجود بدافزار در شبکه استفاده کنید.
•    داشبوردهای SIEM: می‌توانید از داشبورد اطلاعات امنیتی و مدیریت رویداد (SIEM) که ابزاری مرکزی است در ارتباط با مشاهده و ارزیابی رویدادهای امنیتی و هشدارهایی که توسط دستگاه‌ها و برنامه‌های کاربردی در شبکه تولید می‌شوند، استفاده کنید. به بیان دقیق‌تر کاری که SIEM انجام می‌دهد، تجمیع گزارش‌ها در یک مکان مرکزی است. سیستم SIEM رویدادها را با روندهای امنیتی مرتبط می‌کند و به شما امکان می‌دهد میزان حساسیت هشدارهای امنیتی را تنظیم کنید.

برای مطالعه تمام قسمت‌های آموزش سکیوریتی پلاس اینجا کلیک کنید.

تبلیغات لینکی: 

سایت استخدام