پاسخ به رخدادهای امنیتی: چگونگی آماده شدن برای حملات وپاسخ به آنها
آیا برنامه ای جهت پاسخ به رخدادهای امنیتی در سازمان خود دارید؟ اگر کسی به شبکه شما نفوذ کرد، چه کار می کنید؟ چه می شود اگر یک کارمند شرکت ناخواسته سیستم های شما را با باج افزار آلوده کند؟ اگر مهاجمین وب سایت شما را خراب کنند یا حمله ازکار اندازی سرویس (DDoS) را انجام دهند چه می کنید؟ چه می شود اگر یک تهدید مداوم پیشرفته (APT) سازمان شما را هدف قرار دهد؟ اینها سوالات مهمی هستند که احتما وقوع همه آنها برای هر سازمانی با هر ابعای وجود دارد فقط مسئله این است: کی این اتفاق خواهد افتاد؟
با توجه به تحقیقات موسسه Ponemon، که توسط IBM حمایت می شود، شرکت های سراسر جهان با احتمال ۲۶ درصد احتمال نقض موارد امنیتی شامل حداقل ۱۰،۰۰۰ پرونده در طی دو سال آینده روبرو هستند. و محققان دریافتند که در سرتاسر جهان میانگین هزینه نقض داده ها ۴ میلیون دلار یا ۱۵۸ دلار به ازای هر رکورد است. در ایالات متحده آمریکا، هزینه ها حتی بیشتر است، به طور میانگین ۲۲۱ دلار به ازای هر رکورد و مبلغ کل ۷.۰۱ میلیون دلار برای هر نقض امنیتی که اتفاق بیافتد.
گزارش بررسی های مربوط به نقض اطلاعات Verizon در سال گذشته بیش از ۱۰۰،۰۰۰ حادثه امنیتی را شناسایی کرد، از جمله ۳۱۴۱ مورد آن که منجر به نقض موارد امنیتی داده ها شده. نتیجه گیری: “هیچ محلی، صنعت یا سازمانی در برابر نقض امنیت داده ها ضد گلوله نیست.”
با توجه به اینکه سازمان شما احتمال دارد حوادث امنیتی، حملات و حتی احتمالاً نقض موارد امنیتی داده ها را تجربه کند، به یک برنامه پاسخگویی به حوادث سایبری احتیاج دارید.
پاسخ به رخدادهای امنیتی چیست؟
برای تعریف “پاسخ حادثه” ابتدا باید بدانید که چه حادثه امنیتی را تشکیل می دهد. گزارش Verizon یک حادثه را “یک رویداد امنیتی است که یکپارچگی، محرمانگی یا در دسترس بودن دارایی اطلاعات را به خطر می اندازد” تعریف می کند. یک حادثه می تواند شامل حمله باشد، یعنی تلاش عمدی برای دستیابی غیرمجاز در جهت آسیب یا نابودی شبکه. یا یک حادثه می تواند یک تصادف ساده باشد، مانند کارمندی که لپ تاپ شرکت را در ناخواسته گم می کند. یک حادثه ممکن است باعث نقض امنیت داده ها یا سرقت اطلاعات شرکت شود.
پاسخ به رخدادهای امنیتی یک رویکرد رسمی و سازمان یافته برای مقابله با انواع حوادث امنیتی است. این معمولاً شامل یک برنامه پاسخ حوادث (IPR) است، که مراحلی را که یک شرکت باید پس از وقوع یک حادثه دنبال کند، تعیین می کند. این برنامه ها باید شامل روند واکنش حادثه برای انواع متداول از جمله حوادث ذکر شده در زیر باشد.
نمونه هایی از رخدادهای امنیتی
فیشینگ: در حمله فیشینگ، مجرمان یک پیام (معمولاً از طریق ایمیل) به کارمندان سازمان ارسال می کنند که شامل پیوست مخرب است. به گفته Verizon، خبر بد این است که حملات فیشینگ در حال افزایش است و کارکنان نمی دانند چگونه آنها را مدیریت کنند. میانگین زمان بین مهاجمین برای ارسال پیام فیشینگ و زمانی که اولین گیرنده پیام را باز می کند فقط ۱ دقیقه و ۴۰ ثانیه است و مدت زمان متوسط برای کلیک روی لینک مخرب فقط ۳ دقیقه و ۴۵ ثانیه است. فقط ۳ درصد از گیرندگان ایمیل های فیشینگ موارد مشکوک را گزارش داده اند.
Credential های سرقت شده: هدف بسیاری از حملات فیشینگ یا بدافزارها بدست آوردن credential های معتبر است که به یک مهاجم امکان دسترسی به شبکه سازمان را می دهد. با این وجود در بسیاری از موارد مهاجمان مجبور نیستند که هر چیزی را “سرقت کنند” آنها فقط رمز درست را حدس می زنند. براساس گزارش، “۶۳٪ از نقض داده های تأیید شده شامل رمزهای عبور ضعیف، پیش فرض یا سرقت شده است.”
بد افزارها: یک دسته گسترده است که شامل هر نوع نرم افزار مخرب است. نمونه ها شامل ویروس ها، اسب های تروجان، روت کیت ها، ابزارهای تبلیغاتی مزاحم تبلیغاتی و باج گیری رایج است. کاربران می توانند بدافزارها را از چند طریق به یک شبکه وارد کنند، به عنوان مثال با کلیک کردن روی پیوست مخرب در یک ایمیل فیشینگ، با مراجعه به یک صفحه وب مخرب یا اتصال یک درایو USB آلوده یا دستگاه دیگر به شبکه.
باج افزارها: باج افزار نوعی بدافزار است که به منظور بازیابی اطلاعاتی که رمزگذاری شده است مبلغی را درخواست میکند. طبق گزارش Symantec شرکتهای بزرگ امنیتی تنها سال گذشته صد نوع بدافزار جدید را کشف کردند و میانگین تقاضای باج گیری به ۶۷۹ دلار رسیده است.
حملات از کار اندازی سرویس DDOS: در یک حمله انکار سرویس (DoS) حملات به یک سیستم معمولاً یک سرور وب با ایجاد ترافیک بیش از اندازه انجام می شود به نحوی که کاربران خود دیگر نمی توانند به آن دسترسی داشته باشند. هکرها معمولاً حملات DoS را به دلایل عقیدتی یا “مجازات” شخص یا سازمان برای برخی فعالیتها سوق می دهند. به عنوان مثال مهاجمان سال گذشته پس از انتشار سلسله مقالاتی درمورد خرید خدمات DDOS به وبلاگ نویس امنیتی Brian Krebs با حمله DoS حمله كردند.
حملات به برنامه های تحت وب: هکرها به برنامه های وب سازمانها از چند طریق مختلف حمله می کنند، مانند حملات سرریز بافر، SQL injection، cross-site scripting و DoS حمله می کند. Verizon سال گذشته ۵۳۳۴ مورد حمله برنامه های وب را گزارش کرد، از جمله ۹۰۸ مورد که منجر به نقض امنیت اطلاعات شد. شرکت های خدمات مالی یک هدف ویژه برای حملات وب هستند.
از دست دادن ویا سرقت دستگاه ها: در حالی که استفاده ازتلفن همراه شایع تر شده اند، سرقت دستگاه هایی را که حاوی اطلاعات شرکت ها هستند یا می توانند به شبکه های شرکتی دسترسی پیدا کنند، افزایش یافته است. بسیاری از این حوادث منجر به نقض اطلاعات نمی شوند، اما سازمان ها اغلب تشخیص تمایز بین حوادث و سرقت های عمدی که با هدف نفوذ در شبکه های سازمان انجام می شود، بسیار دشوار است.
حملات داخلی سازمان ها گاهی اوقات به تهدیدات کارمندان خود یا کارمندان شرکای خود توجه کافی نمی کنند، اما ورایزون گزارش داد که سال گذشته ۱۰ هزار و ۴۸۹ مورد “سوء استفاده از سطح دسترسی” رخ داده است. شناسایی و کاهش این حملات می تواند بسیار دشوار باشد زیرا خودی ها اغلب دانشی دارند که به آنها کمک می کند از اقدامات امنیتی سازمان فرار کنند.
روند پاسخ به رخدادهای امنیتی
تیم پاسخ به رخداد امنیتی چه می کند؟ موسسه SANS شش مرحله از چرخه پاسخ به حادثه را مشخص کرده است:
- آماده سازی: در این مرحله سازمانها سیاست ها، برنامه پاسخ به حملات امنیتی، ارتباطات، اسناد و مدارك، تیم ها، ابزارهای كنترل دسترسی و آموزش را تنظیم می كنند.
- شناسایی: این مرحله شامل شناسایی فعالیت غیرمعمول و تعیین اینکه آیا حادثه امنیتی صورت گرفته است یا خیر را مشخص میکنند.
- مهار: پس از تشخیص اینکه حادثه ای رخ داده است، قدم بعدی شما باید برای جلوگیری از هرگونه صدمه احتمالی باشد.
- پاکسازی: در مرحله بعد، شما باید هر کد مخرب را حذف کرده و هرگونه آسیب وارده به سیستم ها و شبکه های خود را تعمیر کنید. و کلیه آثار به جا مانده از حمله را پاکسازی کنید.
- بهبود: پس از رفع مشکل، سازمان ها باید سیستم های آسیب دیده را به آرامی و با دقت به اینترنت برگردانند، و اقدامات لازم را برای اطمینان از این که این حادثه بلافاصله مجدداً رخ نخواهد داد را انجام دهند.
- بکار گیری آموخته ها: بعد از اینکه سیستم ها دوباره به طور عادی کار می کنند، تیم باید حادثه را مستند کند و به دنبال راه هایی برای امنیت بیشتر سیستم ها در برابر حملات مشابه باشد.
نکاتی برای پاسخ موثر به رخدادهای امنیتی:
کارشناسان برای بهبود پاسخ حادثه شما نکاتی را ارائه می دهند، از جمله موارد زیر:
- به فرآیندهای نظارت دستی اعتماد نکنید: اگر مجبور باشید منتظر بمانید که کارمندان امنیتی به موارد غیرمعمول در ترافیک شبکه توجه کنند برای متوقف کردن حمله یا کاهش آسیب ممکن است بسیار دیر شود. درعوض، به دنبال ابزارهای امنیتی باشید که بتوانند روند هشدار به شما را هنگام وقوع یک حادثه را بصورت صورت خودکار انجام دهد.
- “جعبه ابزار شناسایی” را تنظیم کنید: هنگامی که حادثه ای رخ داده، استفاده از شبکه شرکت شما ممکن است بی خطر باشد. اگر برنامه نقض امنیت اطلاعات شما یک فایل ذخیره شده در هارد دیسک شما باشد یا اگر تنها راه دسترسی به شماره تلفن های تیم پاسخ دهنده از طریق اینترانت شرکت باشد، این مشکل است. موسسه SANS توصیه می کند “جعبه ابزار شناسایی امنیت” را که شامل یک لپ تاپ با نرم افزارهای فارنزیک، لیست تماس با اعضای تیم، درایوهای USB و تمام ابزارهای لازم برای تشخیص، حاوی: ابزارهای ریشه کن کردن و بهبودی از یک حادثه است را همیشه آماده داشته باشید.
- چک لیست های خود را ایجاد کنید: در شرایط پر استرس حمله افراد به احتمال زیاد مرتکب اشتباه می شوند حتی در طی یک روند کاملا عادی ممکن است اشتباه عمل کنند. چک لیست دقیقاً به تیم می گویند چه کاری انجام دهند و با چه ترتیبی می توانند کارها را خیلی راحت تر اجرا کنند.
- تاثیر فن آوری اطلاعات را در نظر بگیرید: در بیشتر سازمان ها، کارمندان می توانند از برخی سرویس های ابری یا فناوری هایی استفاده کنند که واحد فناوری اطلاعات از آن اطلاع ندارد. برنامه شما باید فرایندی برای پاسخگویی به تهدیدات امنیتی معرفی شده توسط این سرویس ها و ابزارهای غیرمجاز باشد.
- یک اصول پایه baseline از رفتار عادی ایجاد کنید: تا زمانی که متوجه نشوید که آیا رفتار سیستم عادی و نرمال میباشد یا خیر نمی توانید بگویید که آیا اتفاق غیر عادی در شبکه های شما رخ می دهد یا نه. فعالیت معمولی که در شبکه خود مشاهده می کنید را زیر نظر داشته و مستند سازی کنید تا تشخیص هنگام وقوع حادثه آسان تر شود.
- به طور مرتب ایجاد رخدادهای کنترل شده را انجام دهید: اگر برنامه پاسخ حادثه شما آنقدرها خوب عمل نکند، نمی توانید این وسط یک حمله بزرگ را پیدا کنید. برای تعیین اثربخشی برنامه خود، آزمایش های مربوط به قابلیت های واکنش به حادثه خود را برنامه ریزی و اجرا کنید و به دنبال راه هایی برای بهبود آنها باشید.
- برنامه خود را مرتباً مرور و به روز کنید: مهاجمان همیشه روشهای جدیدی را برای تحقق اهداف خود پیدا می کنند. هر چند ماه یک بار برنامه خود را چک کنید تا مطمئن شوید که احتمالاً تمام خطرهای احتمالی را در نظر گرفته اید و از آخرین فن آوری و بهترین روش ها برای پاسخ به حوادث استفاده می کنید.
ایجاد یک تیم پاسخ به رخداد
چه کسی باید در تیم پاسخ حادثه شما خدمت کند؟ به نظر می رسد برخی از اعضای تیم مورد نظر شما کاملاً واضح به نظر می رسند. به عنوان مثال اگر یک افسر ارشد امنیت اطلاعات دارید، وی قطعاً باید در این تیم حضور داشته باشد. دیگران ممکن است کمتر نیاز باشند. به عنوان مثال داشتن یک وکیل در تیم جهت پیگیری موارد قضایی.
هر سازمان متفاوت است، بنابراین ترکیب دقیق پرسنل تیم پاسخ دهنده حوادث شما بسته به اندازه، صنعت، تهدیدات امنیتی احتمالی و عوامل دیگر شما متفاوت خواهد بود. مؤسسه SANS توصیه می کند که افراد گروه های زیر را نیز در سازمان خود در نظر بگیرید:
- مدیران سطح بالا
- تیم امنیت اطلاعات
- واحد آی تی
- حسابرس فناوری اطلاعات
- واحد منابع انسانی
- واحد روابط عمومی
- حسابرس مالی
در برخی موارد، ممکن است قرارداد با فروشندگان خارجی که می توانند برخی از خدمات پاسخ حادثه را ارائه دهند، مفید باشد. به عنوان مثال ممکن است بخواهید یک وکیل خارجی، شرکت روابط عمومی یا متخصص امنیت اطلاعات را با تخصص در پاسخ به حوادث امنیتی و نقض داده ها استخدام کنید.
نکات برتر برای تیم پاسخ به رخداد امنیتی
دستورالعمل های واضح و روشن در مورد حادثه امنیتی تشکیل دهید. همه باید درک کنند که چه نوع رویدادهایی نیاز به پاسخ تیم دارند و کدام یک نیست. برخی از حوادث مانند نقص عمده داده ها، ممکن است شما را مجبور به بسیج کل تیم کند، در حالی که موارد دیگر مانند یک لپ تاپ سرقت شده، می توانند توسط یک یا دو نفر اداره شوند. اطمینان حاصل کنید که آن جزئیات مستند شده است تا هنگام بروز یک حادثه (یا حادثه احتمالی) هیچگونه سردرگمی ایجاد نشود.
نقش ها و مسئولیت های اعضای تیم را تعیین کنید. همچنین باید به دقت مستنداتی را انجام دهید که هر شخص در پاسخ به هر نوع حادثه چه خواهد کرد. به دست آوردن همه چیز در نوشتن، شانس اینکه یک وظیفه اصلی در شکافها از بین برود، به حداقل می رسد.
به طور مرتب تیم خود را آموزش دهید. اطمینان حاصل کنید که تیم پاسخ حادثه شما در مورد آخرین بردارهای حمله و مراحل لازم برای مقابله با آنها به روز باشد. این یعنی برنامه ریزی جلسات آموزشی که در آن روندهای جدید امنیتی را طی می کنید و برنامه پاسخ حادثه خود را مرور می کنید.
ابزارهای ارتباطی داخلی و خارجی را ایجاد و استفاده کنید. در بحبوحه یک حادثه امنیتی، ممکن است به همه روشهای ارتباطی معمول خود دسترسی نداشته باشید. به عنوان مثال اگر یک هکر به زیرساخت همکاری داخلی شما دسترسی پیدا کرده باشد، ممکن است شما نتوانید از این بستر همکاری برای هشدار اعضای تیم استفاده کنید، زیرا این امر باعث می شود هکرها از آن مطلع شوند یا آنرا از کار بیندازند. یک حادثه امنیتی همچنین ممکن است با قطع برق یا از دست رفتن ارتباطات سرویس همراه باشد که استفاده از برخی از انواع ارتباطات را غیرممکن می کند. به همین دلایل، شما باید چندین روش ارتباط برقرار کنید و در برنامه خود مشخص کنید که زمان استفاده از هر کدام چیست.
تهیه یک برنامه
پاسخ به رخدادهای امنیتی
نوشتن برنامه پاسخ حادثه امنیتی ممکن است چشم انداز ترسناکی به نظر برسد. اگر چنین است، شما تنها نیستید. بررسی گروهی استراتژی سازمانی از متخصصان امنیت IT در آمریکای شمالی نشان داد كه ۹۸ درصد از پاسخ دهندگان پذیرفته اند كه با روند پاسخگویی به حادثه خود دچار چالش هایی هستند.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
119 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
183 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.67k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.16k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.38k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.55k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.