‫ 6گام برای تسریع واکنش به حوادث امنیت‌سایبری

ابزار‌های امنیتی مدرن همچنان در توانایی خود برای دفاع از شبکه‌ها و نقاط‌پایانی سازمان‌ها در برابر مجرمان‌سایبری بهبود می‌یابند، اما مجرمین‌سایبری هنوز هم گاهی اوقات راهی برای ورود پیدا می‌کنند.

تیم‌های امنیتی باید بتوانند تهدیدات را متوقف کرده و عملیات عادی را در سریع‌ترین زمان ممکن بازگردانند، به‌همین دلیل ضروری است که این تیم‌ها نه‌تنها ابزار‌های مناسب را داشته باشند، بلکه بدانند که چگونه به‌طور موثر به یک حادثه واکنش نشان دهند، منابعی مانند یک الگوی واکنش حادثه را می‌توان برای تعریف یک طرح با نقش‌ها و مسئولیت‌ها، فرآیند‌ها و چک‌لیست آیتم‌های اقدام سفارشی کرد.

اما آماده‌سازی نمی‌تواند به همین‌جا ختم شود، تیم‌ها باید به‌طور مداوم برای سازگاری با تهدید‌ها به‌سرعت در‌حال تکامل باشند، تمرین کنند، هر حادثه امنیتی باید به‌عنوان یک فرصت آموزشی برای کمک به سازمان برای آمادگی بهتر یا حتی پیشگیری از حوادث آینده مورد استفاده قرار گیرد.

در ذیل چارچوبی با شش مرحله برای یک IR (تیم واکنش به حادثه)موفق تعریف شده است:

1- آماده‌سازی

2- شناسایی

3- مهار

4- ریشه‌کنی

5- بازیابی

6-درس‌های آموخته‌شده

در‌حالی‌که این مراحل از یک جریان منطقی پیروی می‌کنند، ممکن است برای تکرار مراحل خاصی که بار اول نادرست یا ناقص انجام شده‌اند، به مرحله قبلی برگردید.

بله، این سرعت IR را کاهش می‌دهد. اما تکمیل هر‌مرحله به‌طور کامل مهم‌تر از صرفه‌جویی در زمان برای تسریع مراحل است.

1- آماده‌سازی

هدف: تیم خود را برای مدیریت مؤثر رویداد‌ها آماده کنید

همه افرادی که به سیستم شما دسترسی دارند باید برای یک حادثه آماده باشند ، نه فقط تیم واکنش به حادثه، خطای انسانی مقصر اکثر موارد نقض امنیت‌سایبری است، بنابر‌این اولین و مهمترین گام در IR آموزش پرسنل در مورد آنچه که باید جستجو کنند ،می‌باشد،استفاده از یک طرح پاسخ به حادثه قالب‌بندی‌شده برای ایجاد نقش‌ها و مسئولیت‌ها برای همه شرکت‌کنندگان ، رهبران امنیتی، مدیران عملیات، تیم‌های میز کمک، مدیران هویت و دسترسی و همچنین ممیزی، انطباق، ارتباطات و مدیران اجرایی می‌تواند هماهنگی کارآمد را تضمین کند.

مهاجمان به تکامل مهندسی‌اجتماعی و تکنیک‌های فیشینگ نیزه‌ای خود ادامه می‌دهند تا سعی‌کنند یک قدم جلوتر از کمپین‌های آموزشی و آگاهی‌بخشی باشند، در‌حالی‌که بسیاری از افراد اکنون می‌دانند که یک ایمیل ضعیف را نادیده می‌گیرند که در ازای یک پیش‌پرداخت کوچک وعده پاداش می‌دهد، برخی از هدف‌ها قربانی پیام متنی خارج از ساعات کاری می‌شوند که وانمود می‌کند رئیس‌شان برای کمک به زمان حساس درخواست کمک می‌کند،برای در نظر گرفتن این سازگاری‌ها، آموزش داخلی شما باید به‌طور مرتب به‌روز شود تا آخرین روند‌ها و تکنیک‌ها را منعکس کند.

پاسخ‌دهنده‌ی حادثه شما ، یا مرکز عملیات امنیتی (SOC)، به آموزش منظم نیز نیاز دارند، که در حالت ایده‌آل بر اساس شبیه‌سازی حوادث واقعی است، یک تمرین فشرده روی میز می‌تواند سطح آدرنالین را افزایش دهد و به تیم شما این حس را بدهد که تجربه یک حادثه در دنیای واقعی چگونه است،ممکن‌است متوجه شوید که برخی از اعضای تیم زمانی که گرما روشن است، می‌درخشند، در‌حالی‌که برخی دیگر به آموزش و راهنمایی بیشتری نیاز دارند.

بخش دیگری از آماده‌سازی شما ترسیم یک استراتژی واکنش خاص است، رایج‌ترین رویکرد، مهار و ریشه‌کن‌کردن حادثه است، گزینه دیگر این‌است‌که یک حادثه در حال انجام را تماشا کنید تا بتوانید رفتار مهاجم را ارزیابی کنید و اهداف آن‌ها را شناسایی کنید، با این‌فرض که آسیب جبران‌ناپذیری ایجاد نمی‌کند.

فراتر از آموزش و استراتژی، فناوری نقش بزرگی در واکنش به حادثه ایفا می‌کند، لاگ‌ها یک جزء ‌حیاتی هستند،به‌عبارت ساده، هر‌چه بیشتر وارد سیستم شوید، بررسی یک حادثه برای تیم IR آسان‌تر و کارآمد‌تر خواهد بود.

همچنین، استفاده از یک پلت‌فرم(سکو) تشخیص و پاسخ نقطه‌پایانی (EDR) یا ابزار تشخیص و پاسخ گسترده (XDR) با کنترل متمرکز، به شما امکان می‌دهد تا به‌سرعت اقدامات دفاعی مانند جدا‌سازی ماشین‌ها، جدا‌کردن آن‌ها از شبکه و اجرای دستورات متقابل را در مقیاس انجام دهید.

سایر فناوری‌های مورد‌نیاز برای IR شامل یک محیط مجازی است که در آن لاگ‌ها، فایل‌ها و سایر داده‌ها را می‌توان تجزیه‌و‌تحلیل کرد، همراه با فضای خیره‌سازی کافی برای نگهداری این اطلاعات،شما نمی‌خواهید در طول یک حادثه زمان را برای راه‌اندازی ماشین‌های مجازی و اختصاص فضای ذخیره‌سازی تلف کنید.

در نهایت، شما به سیستمی برای مستند‌سازی یافته‌های خود از یک حادثه، چه با استفاده از صفحات گسترده یا یک ابزار اختصاصی اسناد IR، نیاز دارید،اسناد شما باید جدول زمانی حادثه، سیستم‌ها و کاربرانی که تحت تاثیر قرار‌گرفته‌اند و فایل‌های مخرب و شاخص‌های سازش (IOC) را که (هم در لحظه و هم به‌صورت گذشته‌نگر) کشف کرده‌اید، پوشش دهد.

2- شناسایی

هدف: تشخیص این‌که آیا شما نقض شده‌اید یا خیر و IOC ها را جمع‌آوری کنید.

چند راه وجود دارد که می‌توانید تشخیص دهید که یک حادثه رخ داده است یا در‌حال حاضر در‌حال انجام است.

•    تشخیص داخلی : یک حادثه را می‌توان توسط تیم نظارت داخلی یا یکی دیگر از اعضای سازمان شما (به لطف تلاش‌های آگاهی امنیتی شما)، از طریق هشدار‌های یک یا چند محصول امنیتی شما، یا در طی یک تمرین شکار تهدید پیشگیرانه کشف کرد.

•    تشخیص خارجی : یک مشاور شخص‌ثالث یا ارائه‌دهنده خدمات مدیریت‌شده می‌تواند با استفاده از ابزار‌های امنیتی یا تکنیک‌های شکار تهدید، حوادث را از طرف شما شناسایی کند، یا یک شریک تجاری ممکن است رفتار غیر‌عادی ببیند که نشان‌دهنده یک حادثه بالقوه است.

•    افشای داده‌های استخراج‌شده :  بدترین سناریو این است که زمانی متوجه شوید که یک حادثه تنها پس از کشف این که داده‌ها از محیط شما استخراج شده و در سایت‌های اینترنتی یا دارک‌نت پست شده‌اند، رخ داده است،اگر چنین داده‌هایی شامل اطلاعات حساس مشتری باشد و قبل از اینکه وقت کافی برای آماده‌کردن پاسخ عمومی هماهنگ داشته باشید، به مطبوعات درز کند، پیامد‌های بسیار بدی دارد. 

هیچ بحثی در مورد شناسایی بدون مطرح‌کردن خستگی هشدار کامل نخواهد بود.

اگر تنظیمات تشخیص برای محصولات امنیتی شما خیلی بالا باشد، هشدار‌های زیادی در مورد فعالیت‌های غیر‌مهم در نقاط‌پایانی و شبکه خود دریافت خواهید کرد، این یک راه عالی برای غلبه بر تیم شما است و می‌تواند منجر به بسیاری از هشدار‌های نادیده گرفته شود.

سناریوی معکوس، که در آن تنظیمات شما خیلی کم شماره‌گیری می‌شود، به همان اندازه مشکل‌ساز است، زیرا ممکن است رویداد‌های مهم را از دست بدهید، یک وضعیت امنیتی متعادل فقط تعداد مناسبی از هشدار‌ها را ارائه می‌دهد تا بتوانید حوادثی را شناسایی کنید که ارزش بررسی بیشتر را دارند، بدون اینکه دچار خستگی هشدار شوند،فروشندگان امنیت شما می‌توانند به شما کمک کنند تعادل مناسب را پیدا کنید و در حالت ایده‌آل، هشدار‌ها را به‌طور خودکار فیلتر کنند تا تیم شما بتواند روی موارد مهم تمرکز کند.

در مرحله شناسایی، تمام شاخص‌های سازش (IOC) جمع‌آوری‌شده از هشدار‌ها، مانند میزبان‌ها و کاربران در معرض خطر، فایل‌ها و فرآیند‌های مخرب، کلید‌های رجیستری جدید و موارد دیگر را مستند می‌کنید.

هنگامی که همه IOC ها را مستند کردید، به مرحله مهار می‌روید.

3- مهار

هدف: به حداقل رساندن آسیب

مهار به‌همان اندازه که یک گام متمایز در IR است، یک استراتژی است.

شما می‌خواهید یک رویکرد مناسب برای سازمان خاص خود ایجاد کنید، و پیامد‌های امنیتی و تجاری را در ذهن داشته باشید، اگرچه جداسازی دستگاه‌ها یا جدا‌کردن آن‌ها از شبکه ممکن است از گسترش حمله در سراسر سازمان جلوگیری کند، اما می‌تواند منجر به آسیب مالی قابل‌توجه یا سایر تاثیرات تجاری شود، این تصمیمات باید زود‌تر از موعد گرفته شود و به‌وضوح در استراتژی IR شما بیان شود.

مهار را می‌توان به هر دو مرحله کوتاه‌مدت و بلند‌مدت تقسیم کرد که برای هر‌یک پیامد‌های منحصر‌به‌فرد دارد.

•    کوتاه‌مدت : این شامل مراحلی است که ممکن است در لحظه بردارید، مانند خاموش‌کردن سیستم‌ها، قطع‌کردن دستگاه‌ها از شبکه و مشاهده فعالانه فعالیت‌های عامل تهدید، هر‌یک از این مراحل دارای مزایا و معایبی هستند.

•    بلند‌مدت : بهترین سناریو این است که سیستم آلوده را آفلاین نگه دارید تا بتوانید با خیال راحت به مرحله ریشه‌کنی بروید، با‌این‌حال، این همیشه امکان‌پذیر نیست، بنابراین ممکن‌است لازم باشد اقداماتی مانند وصله، تغییر رمز‌عبور، از‌بین‌بردن سرویس‌های خاص و موارد دیگر را انجام دهید.

در مرحله مهار، می‌خواهید دستگاه‌های حیاتی خود مانند کنترل‌کننده‌های دامنه، سرور‌های فایل و سرور‌های پشتیبان را اولویت‌بندی کنید تا مطمئن شوید که در معرض خطر قرار نگرفته‌اند.

مراحل اضافی در این مرحله شامل مستند‌سازی دارایی‌ها و تهدید‌هایی است که در طول حادثه وجود داشته است، و همچنین گروه‌بندی دستگاه‌ها بر‌اساس این‌که آیا به خطر افتاده یا خیر، اگر مطمئن نیستید، بدترین را فرض کنید،هنگامی که همه دستگاه‌ها دسته‌بندی شدند و تعریف شما از مهار را برآورده کردند، این مرحله به پایان می‌رسد.

مرحله پاداش: بررسی

هدف: تعیین کنید چه کسی، چه چیزی، چه زمانی، کجا، چرا، چگونه

در این مرحله باید به یکی دیگر از جنبه‌های مهم IR اشاره کرد: بررسی.

بررسی در طول فرآیند IR انجام می‌شود در‌حالی‌که یک مرحله از خود نیست، باید در هنگام انجام هر مرحله در نظر گرفته شود، هدف تحقیق پاسخگویی به سؤالاتی در مورد اینکه به کدام سیستم‌ها دسترسی پیدا کرده‌اند و منشاء نقض می‌پردازد، وقتی حادثه مهار شد، تیم‌ها می‌توانند با گرفتن هرچه بیشتر داده‌های مرتبط از منابعی مانند تصاویر دیسک، حافظه و گزارش‌ها، تحقیقات کامل را تسهیل کنند.

این فلوچارت روند کلی را به تصویر می‌کشد:

ممکن‌است با اصطلاح پزشکی‌قانونی دیجیتال و پاسخ به حوادث (DFIR) آشنا باشید، اما شایان ذکر است که اهداف پزشکی‌قانونی IR با اهداف پزشکی‌قانونی سنتی متفاوت است،در IR، هدف اولیه پزشکی‌قانونی کمک به پیشرفت از یک مرحله به مرحله بعدی تا حد امکان کارآمد به‌منظور از سرگیری عملیات عادی تجاری است.

تکنیک‌های پزشکی‌قانونی دیجیتال به‌گونه‌ای طراحی شده‌اند که تا حد‌امکان اطلاعات مفید را از شواهد جمع‌آوری‌شده استخراج کرده و آن‌ها را به اطلاعات مفیدی تبدیل می‌کنند که می‌تواند به ایجاد تصویر کامل‌تری از حادثه یا حتی کمک به تعقیب یک مجرم‌سایبری کمک کند.

نقاط داده‌ای که زمینه را به مصنوعات کشف‌شده اضافه می‌کنند ممکن‌است شامل نحوه ورود مهاجم به شبکه یا حرکت به اطراف، دسترسی به فایل‌ها یا ایجاد فرآیند‌های اجرا‌شده و موارد دیگر باشد، البته، این می‌تواند یک فرآیند زمان‌بر باشد که ممکن‌است با IR در تضاد باشد.

قابل‌توجه است که DFIR از زمانی که این اصطلاح برای اولین بار ابداع شد تکامل یافته است، امروزه سازمان‌ها صد‌ها یا هزاران ماشین دارند که هر‌یک از آن‌ها صد‌ها گیگا‌بایت یا حتی چندین ترابایت فضای خیره‌سازی دارند، بنابراین رویکرد سنتی‌،گرفتن و تجزیه‌و‌تحلیل تصاویر دیسک کامل از همه ماشین‌های در‌معرض خطر دیگر عملی نیست.

شرایط فعلی نیاز به رویکرد جراحی بیشتری دارد، جایی که اطلاعات خاصی از هر دستگاه در ‌معرض خطر جمع‌آوری و تجزیه‌و‌تحلیل می‌شود.

4-ریشه‌کنی

هدف: مطمئن شوید که تهدید به‌طور کامل حذف شده است.

با تکمیل مرحله مهار، می‌توانید به ریشه‌کنی بروید که می‌تواند از طریق تمیز‌کردن دیسک، بازگرداندن به یک نسخه پشتیبان تمیز یا تصویر‌برداری مجدد کامل دیسک انجام شود، پاکسازی ،مستلزم حذف فایل‌های مخرب و حذف یا تغییر کلید‌های رجیستری است، Reimaging به معنای نصب مجدد سیستم عامل است.

قبل از هر اقدامی، تیم IR می‌خواهد به سیاست‌های سازمانی اشاره کند که به‌عنوان مثال، در‌صورت حمله بد‌افزار خواستار تغییر تصویر ماشین‌های خاص است.

همانند مراحل قبلی، مستند‌سازی نقشی در ریشه‌کنی بازی می‌کند، تیم IR باید اقدامات انجام‌شده در هر دستگاه را به‌دقت مستند کند تا مطمئن شود که چیزی از قلم نیفتاده است،به‌عنوان یک بررسی اضافی، می‌توانید پس از تکمیل فرآیند ریشه‌کنی، اسکن‌های فعال سیستم‌های خود را برای هر‌گونه شواهدی از تهدید انجام دهید.

5- بازیابی

هدف: بازگشت به عملیات عادی.

تمام تلاش شما به اینجا منجر شده است! مرحله بازیابی زمانی است که می‌توانید تجارت را طبق معمول از سر بگیرید، تعیین زمان بازیابی عملیات تصمیم کلیدی در این مرحله است، در حالت ایده‌آل، این می‌تواند بدون تاخیر اتفاق بیفتد، اما ممکن است لازم باشد منتظر ساعات غیر‌فعال یا سایر دوره‌های آرام سازمان خود باشید.

یک بررسی دیگر برای تایید اینکه آیا IOC در سیستم‌های بازیابی‌شده باقی نمانده است، همچنین باید تعیین کنید که آیا علت اصلی هنوز وجود دارد یا خیر و اصلاحات مناسب را اجرا کنید.

اکنون که در مورد این نوع حادثه یاد گرفته‌اید، می‌توانید در آینده بر ‌آن نظارت کرده و کنترل‌های حفاظتی را ایجاد کنید.

6- درس‌های آموخته‌شده

هدف: آنچه اتفاق افتاده را مستند کنید و توانایی‌های خود را بهبود بخشید.

اکنون که این حادثه به‌راحتی پشت‌سر گذاشته شده است، زمان آن است که در مورد هر مرحله اصلی IR فکر کنید و به سؤالات کلیدی پاسخ دهید، سؤالات و جنبه‌های زیادی وجود دارد که باید پرسیده و بررسی شود، در زیر چند نمونه آورده شده است:

•  شناسایی: پس از وقوع مصالحه اولیه چقدر طول کشید تا حادثه شناسایی شود؟

•  مهار: چه مدت طول کشید تا این حادثه مهار شود؟

•  ریشه‌کنی: پس از ریشه‌کنی، آیا هنوز نشانه‌هایی از بد‌افزار یا سازش پیدا کردید؟

بررسی این موارد به شما کمک می‌کند تا به عقب برگردید و سؤالات اساسی مانند: آیا ما ابزار مناسبی داریم؟ آیا کارکنان ما به‌طور مناسب برای پاسخگویی به حوادث آموزش دیده‌اند؟

سپس این چرخه به مرحله آماده‌سازی باز می‌گردد، جایی که می‌توانید بهبود‌های لازم را مانند به‌روز‌رسانی الگوی طرح واکنش به حادثه ، فناوری و فرآیند‌های خود و ارائه آموزش بهتر به افراد خود انجام دهید.

 4 نکته حرفه‌ای برای ایمن‌ماندن

بیایید با سه پیشنهاد نهایی که باید در‌نظر داشته باشیم نتیجه‌گیری کنیم:

1- هر‌چه بیشتر وارد شوید، بررسی آسان‌تر خواهد بود، اطمینان حاصل کنید که برای صرفه‌جویی در هزینه و زمان تا حد امکان وارد سیستم شده‌اید.

2- با شبیه‌سازی حملات علیه شبکه خود آماده باشید، این نشان می‌دهد که چگونه تیم SOC شما هشدار‌ها و توانایی آن‌ها در برقراری ارتباط را تجزیه‌و‌تحلیل می‌کند ،که در طول یک حادثه واقعی بسیار مهم است.

3- افراد در وضعیت امنیتی سازمان شما ضروری هستند، آیا می‌دانستید که 95 درصد از حملات سایبری ناشی از خطای انسانی است؟ به‌همین دلیل انجام آموزش‌های دوره‌ای برای دو گروه مهم است: کاربران نهایی و تیم امنیتی شما.

4- داشتن یک تیم تخصصی IR شخص ثالث را در نظر بگیرید که می‌تواند بلافاصله برای کمک به حوادث دشوارتر که ممکن است فراتر از توانایی تیم شما باشد، وارد عمل شود، این تیم‌ها که ممکن است صد‌ها حادثه را حل کرده باشند، تجربه IR و ابزار لازم برای ضربه‌زدن به زمین و سرعت‌بخشیدن به IR شما را خواهند داشت.
 

منبع

helpnetsecurity


     خانه بلاگ

نوشته

 
بیجاری
ایجاد شده در 14 آبان 1402
بازدید 32

برچسب‌ها

امنیت سایبری مجرمان سایبری مهاجمان سایبری مهندسی اجتماعی

امتیاز

امتیاز شما
         
تعداد امتیازها: 1

بایگانی

همیاران سایبری – تمام حقوق محفوظ است