از آنجا که حملات سایبری همچنان در حجم ، تنوع و پختگی افزایش می یابد ، علاوه بر این که مخرب تر و آسیب پذیرتر است ، سازمان ها باید آماده باشند تا به طور مؤثر اداره کنند..


آنها علاوه بر بکارگیری راه حل ها و شیوه های امنیتی مؤثر ، به توانایی شناسایی سریع و مقابله با حملات نیاز دارند ، از این رو حداقل خسارت ، اختلال و هزینه را تضمین می کنند..

هر سیستم IT هدف احتمالی حمله سایبری است و بیشتر مردم موافق هستند که موضوع این نیست که آیا ، اما چه زمانی این اتفاق خواهد افتاد. با این وجود ، این تأثیرات بسته به سرعت و اثربخشی مسئله شما متفاوت است ، از این رو لزوم آمادگی برای واکنش در مورد حادثه.

پاسخ حادثه سایبری (IR) به مجموعه ای از فرآیندهای یک سازمان برای رسیدگی به حمله به سیستم های IT خود اشاره دارد. این امر به ترکیبی از ابزارهای سخت افزاری و نرم افزاری مناسب و همچنین شیوه هایی از قبیل برنامه ریزی صحیح ، رویه ها ، آموزش و پشتیبانی توسط همه افراد در سازمان نیاز دارد..

بهترین اقدامات قبل ، حین و بعد از حوادث امنیتی

هنگامی که حمله سایبری رخ می دهد ، چندین فعالیت ممکن است همزمان انجام شود ، و در صورت عدم وجود هماهنگی یا رویه های صحیح رسیدگی به حادثه ، این مسئله بسیار جالب است..

با این حال ، تهیه پیشاپیش و ایجاد یک برنامه واضح و روشن برای پاسخ به حوادث ، به تیم های امنیتی اجازه می دهد تا با هماهنگی کار کنند. این امر آنها را قادر می سازد علاوه بر جلوگیری از وقفه های غیر ضروری در مشاغل ، روی کارهای مهم که باعث آسیب های احتمالی سیستم های اطلاعات ، داده ها و شهرت آنها می شوند ، تمرکز کنند..

تهیه یک برنامه پاسخ حوادث

یک برنامه پاسخ به حادثه مراحل پیگیری در صورت حمله یا هر مسئله امنیتی دیگر را مستند می کند. اگرچه مراحل واقعی ممکن است با توجه به محیط متفاوت باشد ، یک فرآیند معمولی ، بر اساس چارچوب SANS (SysAdmin ، حسابرسی ، شبکه و امنیت) ، شامل آماده سازی ، شناسایی ، مهار ، حذف ، بهبودی ، اطلاع رسانی از حادثه و ارسال پس از آن خواهد بود. بررسی حادثه.

پاسخ حادثهجریان فرآیند پاسخ حوادث (براساس الگوی NIST) تصویر NIST

تهیه این برنامه شامل تهیه یک برنامه با اطلاعات مربوطه و رویه های واقعی است که تیم واکنش حوادث رایانه ای (CIRT) برای رسیدگی به این حادثه دنبال خواهد کرد..

این شامل:

  • تیم ها و افراد مشخصی که مسئولیت هر مرحله از روند واکنش حادثه را بر عهده دارند.
  • آنچه را که یک حادثه را تشکیل می دهد ، تعریف می کند ، از جمله اینکه چه نوع پاسخی را ضمانت می کند.
  • داده ها و سیستم های مهم که نیاز به حفاظت و حفاظت بیشتری دارند.
  • روشی برای حفظ حالت های آسیب دیده سیستم های آسیب دیده برای اهداف پزشکی قانونی.
  • رویه هایی برای تعیین چه موقع و چه کسی به اطلاع یک مسئله امنیتی. هنگامی که حادثه ای رخ داد ، ممکن است لازم باشد کاربران آسیب دیده ، مشتریان ، مجریان نیروی انتظامی و غیره را آگاه سازید ، اما این امر با یک صنعت و پرونده دیگر متفاوت خواهد بود..

یک برنامه پاسخگویی به حادثه باید به آسانی قابل فهم و پیاده سازی باشد و همچنین با سایر برنامه ها و سیاست های سازمان مطابقت داشته باشد. با این حال ، استراتژی و رویکرد ممکن است در صنایع مختلف ، تیم ها ، تهدیدات و خسارات احتمالی متفاوت باشد. آزمایش و به روزرسانی منظم از صحت و اثربخشی این طرح اطمینان حاصل می کند.

هنگامی که یک حمله سایبری رخ می دهد ، واکنش حوادث گام بر می دارد

هنگامی که یک حادثه امنیتی رخ داد ، تیم ها باید سریع و کارآمد عمل کنند تا آن را مهار کنند و از شیوع آن در سیستم های تمیز جلوگیری کنند. موارد زیر بهترین کارها در هنگام پرداختن به مسائل امنیتی است. اما ممکن است اینها با توجه به محیط و ساختار یک سازمان متفاوت باشند.

تیم پاسخ حوادث رایانه ای را جمع آوری یا درگیر کنید

اطمینان حاصل کنید که تیم CIRT چند رشته ای در خارج از خانه یا برون سپاری دارای افراد مناسب و با مهارت و تجربه مناسب است. از میان اینها ، یک مدیر تیم را انتخاب کنید که فرد محوری جهت هدایت و اطمینان از پاسخ طبق برنامه و زمان بندی باشد. رهبر همچنین با مدیریت و به ویژه هنگامی که تصمیمات مهمی در رابطه با عملیات وجود دارد ، همکاری خواهد کرد.

حادثه را شناسایی کرده و نوع و منبع حمله را مشخص کنید

در صورت بروز هرگونه نشانه ای از تهدید ، تیم IR باید سریعاً عمل کند تا بررسی کند که آیا این مسئله واقعاً امنیتی است ، داخلی یا خارجی و در عین حال اطمینان حاصل شود که آن ها در سریعترین زمان ممکن وجود دارند. روشهای معمول تعیین زمان وجود مسئله شامل مواردی است که به آنها محدود نمی شود.

  • هشدارهای مربوط به ابزارهای نظارتی امنیتی ، نقص در سیستم ، رفتارهای غیرمعمول ، اصلاح پرونده های غیر منتظره یا غیرمعمول ، کپی یا بارگیری و غیره
  • گزارش توسط کاربران ، سرپرست شبکه یا سیستم ، پرسنل امنیتی یا شرکای خارجی یا شخص ثالث خارجی.
  • حسابرسی با علائم رفتار غیرمعمول کاربر یا سیستم ها ، مانند چندین بار ورود به سیستم شکست خورده ، بارگیری فایل های بزرگ ، استفاده از حافظه بالا و سایر ناهنجاری ها وارد سیستم می شود..

هشدار خودکار حادثه امنیتی وارونیسهشدار خودکار حادثه امنیتی وارونیس – تصویر وارونیس 

تأثیر حمله را ارزیابی و تحلیل کنید

خسارت ناشی از حمله بسته به نوع آن ، اثربخشی راه حل امنیتی و سرعت پاسخگویی تیم متفاوت است. بیشتر اوقات ، تا بعد از حل کامل مسئله ، نمی توان میزان خسارت را دید. تجزیه و تحلیل باید نوع حمله ، تأثیر آن و خدماتی را که می تواند بر آن تأثیر بگذارد ، کشف کند.

همچنین خوب است که به دنبال اثری از مهاجمان باشید و اطلاعاتی را که در تعیین جدول زمانی فعالیت ها کمک می کند ، جمع آوری کند. این شامل تجزیه و تحلیل کلیه مؤلفه های سیستم های آسیب دیده ، گرفتن اطلاعات مربوط به پزشکی قانونی و تعیین آنچه ممکن است در هر مرحله اتفاق افتاده باشد می باشد..

بسته به میزان حمله و یافته ها ، ممکن است لازم باشد که میزان بروز آن به تیم مربوطه افزایش یابد.

مهار ، رفع تهدید و بهبودی

مرحله مهار شامل مسدود شدن حمله از گسترش و همچنین بازیابی سیستم ها به وضعیت عملکرد اولیه است. در حالت ایده آل ، تیم CIRT باید تهدید و علت اصلی را شناسایی کند ، با مسدود کردن یا قطع سیستم های مصالحه ، تمیز کردن بدافزار یا ویروس ، مسدود کردن کاربران مخرب و بازیابی خدمات ، تهدیدات را برطرف کند..

آنها همچنین باید آسیب پذیری هایی را که مهاجمان از آنها سوءاستفاده می کنند برای جلوگیری از وقوع آینده در همان ها ایجاد و برطرف کنند. مهار معمولی شامل اقدامات کوتاه مدت و بلند مدت و همچنین تهیه نسخه پشتیبان از وضعیت فعلی است.

قبل از بازیابی نسخه پشتیبان تمیز یا تمیز کردن سیستم ها ، مهم است که یک نسخه از وضعیت سیستم های آسیب دیده را نگه دارید. این برای حفظ وضعیت فعلی ضروری است ، که می تواند در هنگام پزشکی قانونی مفید باشد. پس از پشتیبان گیری ، مرحله بعدی بازیابی خدمات مختل شده است. تیم ها می توانند این کار را در دو مرحله انجام دهند:

  • سیستم ها و مؤلفه شبکه را بررسی کنید تا تأیید کنید که همه به درستی کار می کنند
  • مجدداً تمام مؤلفه هایی را که آلوده یا به خطر افتاده اند ، مجدداً بررسی کرده و تمیز کرده و ترمیم کنید تا اطمینان حاصل شود که اکنون آنها ایمن ، تمیز و عملیاتی هستند.

اطلاع رسانی و گزارش

تیم پاسخ به بروز آنالیز ، پاسخ و گزارش را انجام می دهند. آنها باید علت اصلی این حادثه را بررسی کنند ، یافته های خود را در مورد تأثیر ، نحوه حل مسئله ، استراتژی بازیابی در هنگام انتقال اطلاعات مربوط به مدیریت ، تیم های دیگر ، کاربران و ارائه دهندگان شخص ثالث ، مستند سازند..

ارتباط با آژانس های خارجی و ارائه دهندگانارتباط با آژانس های خارجی و ارائه دهندگان تصویر NIST

اگر این نقض به داده های حساس نیاز داشته باشد که به اطلاع مقامات اجرای قانون رسیده باشد ، تیم باید این کار را آغاز کرده و رویه های تعیین شده در سیاست IT خود را دنبال کند..

معمولاً یک حمله منجر به سرقت ، سوءاستفاده ، فساد یا فعالیت غیرمجاز بر روی داده های حساس مانند اطلاعات محرمانه ، شخصی ، خصوصی و تجاری می شود. به همین دلیل ، اطلاع رسانی به افراد آسیب دیده ضروری است تا بتوانند اقدامات احتیاطی را انجام داده و از داده های مهم خود مانند اطلاعات مالی ، شخصی و سایر اطلاعات محرمانه محافظت کنند..

به عنوان مثال ، اگر یک مهاجم موفق به دسترسی به حساب های کاربری شود ، تیم های امنیتی باید به آنها اطلاع دهند و از آنها بخواهند که رمزهای خود را تغییر دهند.

یک بررسی بعد از حادثه انجام دهید

حل یک حادثه همچنین آموخته های آموخته شده را ارائه می دهد ، و تیم ها می توانند راه حل امنیتی خود را مورد تجزیه و تحلیل قرار داده و لینک های ضعیف را حل کنند در آینده از یک حادثه مشابه جلوگیری کنیدبرخی از پیشرفت ها شامل به کارگیری راه حل های امنیتی و نظارت بهتر برای تهدیدات داخلی و خارجی ، روشن کردن کارکنان و کاربران در مورد تهدیدات امنیتی مانند فیشینگ ، اسپم ، بدافزار و موارد دیگر است که باید از آنها جلوگیری کرد..

سایر اقدامات حفاظتی در حال اجرای جدیدترین و مؤثرترین ابزارهای امنیتی ، وصله سرورها ، رفع همه آسیب پذیری های موجود در رایانه های مشتری و سرور و غیره است..

مطالعه موردی درباره حوادث بانک NIC آسیا نپال

توانایی یا عدم تشخیص کافی ناکافی می تواند منجر به خسارات و تلفات بیش از حد شود. یک مثال ، پرونده NIC Asia Bank نپال است که پس از مصالحه در فرآیند کسب و کار در سال 2017 ، مقداری پول از دست داده و بازیابی شد. مهاجمین SWIFT را به خطر انداختند و وام های کلاهبرداری را از این بانک به حساب های مختلف در انگلستان ، ژاپن ، سنگاپور و ایالات متحده منتقل کردند..

خوشبختانه ، مقامات معاملات غیرقانونی را کشف کردند ، اما فقط موفق به جبران بخشی از پول های سرقت شده شدند. ممکن است سیستم هشدار بهتری وجود داشته باشد ، تیم های امنیتی می توانند این حادثه را در مراحل اولیه شناسایی کنند ، شاید قبل از اینکه مهاجمان موفق شوند در فرایند تجارت سازش کنند..

از آنجا که این یک مسئله امنیتی پیچیده سایر کشورها را درگیر کرده بود ، بانک مجبور شد به مقامات اجرای قانون و تحقیقات را آگاه کند. همچنین ، این دامنه فراتر از تیم پاسخگوی حوادث داخلی بانک و از این رو حضور تیم های خارجی از KPMG ، بانک مرکزی و دیگران بود.

تحقیقات پزشکی قانونی توسط تیم های خارجی از بانک مرکزی آنها ثابت کرد که این حادثه ممکن است ناشی از سوء رفتار شخصی خود در معرض سیستم های بحرانی باشد.

طبق یک گزارش ، شش اپراتور آن زمان از رایانه اختصاصی سیستم SWIFT برای سایر کارهای غیر مرتبط استفاده کرده بودند. این ممکن است سیستم SWIFT را در معرض دید خود قرار دهد ، از این رو به مهاجمان اجازه می دهد تا آن را سازش کنند. پس از این حادثه ، این بانک شش نفر از کارمندان را به سایر بخشهای کم حساس دیگر منتقل کرد.

درسهای آموخته شده: بانک باید علاوه بر ایجاد آگاهی صحیح امنیتی در بین کارکنان و اجرای سیاست های سختگیرانه ، یک سیستم نظارت و هشدار دهنده موثر نیز به کار ببندد..

نتیجه

یک پاسخ مناسب برای برنامه ریزی ، تیم خوب ، و ابزارها و اقدامات امنیتی مربوطه به سازمان شما امکان می دهد تا سریع عمل کند و به طیف گسترده ای از مسائل امنیتی بپردازد. این باعث کاهش خسارت ، اختلال در سرویس ، سرقت داده ها ، از دست رفتن اعتبار و تعهدات احتمالی می شود.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me