‫ kh_jonobi_bijari بلاگ

کشاورزی‌لینک: افزایش سئو یا تهدید امنیت سایبری؟

در دنیای پیچیده و پر‌سرعت اینترنت، جایی که کسب‌و‌کار‌ها برای کسب رتبه‌های بالا‌تر در صفحات نتایج موتور‌های جستجو ( SERPs ) به‌شدت مبارزه می‌کنند، بهینه‌سازی موتور‌جستجو ( SEO ) به‌عنوان یک استراتژی بازاریابی ضروری ظاهر شده است، یکی از جنبه‌های سئو که بحث‌های گسترده‌ای را در‌میان بازاریابان دیجیتال و متخصصان امنیت سایبری برانگیخته است، «کشاورزی پیوند» است. 

کشاورزی پیوند دو‌گانگی جالبی را ایجاد می‌کند، از یک‌طرف، به‌عنوان یک روش بالقوه برای افزایش رتبه سئو تلقی می‌شود و از سوی‌دیگر، با تهدیدات امنیت سایبری قابل‌توجهی همراه است.

سئو و جذابیت کشاورزی‌لینک

سئو را می‌توان به‌عنوان بهینه‌سازی استراتژیک محتوای آنلاین با هدف نهایی نشان‌دادن بیشتر آن در موتور‌های جستجو درک کرد،هنگامی که یک صفحه‌وب به هر صفحه دیگری پیوند می‌یابد، موتور‌های جستجو آن را به‌عنوان یک رای برای اعتبار و ارتباط صفحه در نظر می‌گیرند، پس از آن، صفحاتی که رای بیشتری دارند (پیوند‌ها) تمایل دارند در موتور‌های جستجو مانند گوگل، بینگ یا یاهو رتبه بالاتری داشته باشند ،که پاسخ اصلی به سوال «چرا بک لینک‌ها مهم هستند » می‌باشد.

در اینجا جذابیت کشاورزی پیوند وجود دارد ، عملی که شامل ایجاد شبکه‌ای از وب‌سایت‌هایی است که با یکدیگر پیوند دارند، با هدف افزایش تعداد پیوند‌های ورودی به یک وب‌سایت خاص و از نظر تئوری، رتبه‌بندی سئو آن را بالا می‌برند ، مفهوم افزایش دید و دسترسی یک وب‌سایت از طریق پیوند تقویت‌شده ،قابل‌قبول و امیدوار‌کننده به‌نظر می‌رسد، با‌این‌حال، این رویکرد خاص با مجکوعه‌ای از مشکلات احتمالی همراه است که باید در نظر گرفته شود.

لینک مزارع و ورطه امنیت سایبری

هر‌قدر‌هم که افزایش فوری سئو ارائه‌شده توسط کشاورزی‌لینک وسوسه‌انگیز باشد، کاوش عمیق‌تر در خطرات امنیت سایبری ذاتی آن بسیار مهم است، چرا‌که مزارع پیوند اغلب از طریق برنامه‌ها و ربات‌‌های خودکار اداره می‌شوند که شبکه‌ای از وب‌سایت‌ها را ایجاد می‌کنند که اکثر آن‌ها کیفیت پایینی دارند و حاوی محتوای نامربوط یا هرزنامه هستند. 

برای کاربران، کلیک بر‌روی این پیوند‌ها می‌تواند مانند قدم‌گذاشتن در میدان مین، تهدیدات بالقوه امنیت سایبری را به‌همراه داشته باشند، تهدیداتی که می‌توانند از حملات فیشینگ تا ارسال بد‌افزار متغیر باشند ،لذا  برای کسب‌و‌کار‌هایی که برای افزایش مصنوعی حضور آنلاین خود به کشاورزی پیوند تکیه می‌کنند،تبدیل‌شدن ناخواسته به یک چرخ‌دنده‌ در یک شبکه بالقوه خطرناک می‌تواند شهرت آنان را خدشه‌دار کرده، ترافیک واقعی وب آنان را کاهش داده و حتی منجر به اقدامات تنبیهی موتور‌های جستجو شود.

بینش عمیق‌تر در مورد شبکه‌های کشاورزی لینک

مزارع پیوند با ایجاد شبکه‌ای از وب‌سایت‌ها که همگی به یکدیگر پیوند دارند، کار می‌کنند و موتور‌های جستجو را دستکاری می‌کنند تا این باور را داشته باشند که یک سایت مهم‌تر یا مرتبط‌تر از آنچه هست، به‌نظر برسد ، با افزایش مصنوعی اهمیت درک‌شده یک وب‌سایت از طریق فراوانی وب‌سایت‌های به هم پیوسته، کشاورزی پیوند قصد دارد الگوریتم‌های موتور‌های جستجو را گمراه کند.

با‌این‌حال، موتور‌های جستجوی پیشرفته، به‌ویژه گوگل، در شناسایی و جریمه‌کردن وب‌سایت‌های مرتبط با پیوند‌های کشاورزی از طریق الگوریتم‌های پیچیده ، مانند به‌روز‌رسانی پنگوئن Google، که به‌طور خاص وب‌سایت‌هایی را که از طرح‌های پیوند دستکاری استفاده می‌کنند، هدف قرار داده و جریمه می‌کنند، ماهر شده‌اند ، در نتیجه، وب‌سایت‌هایی که در کشاورزی پیوند مشارکت می‌کنند، در‌خطر سقوط در رتبه‌بندی موتور‌های جستجو یا به‌طور کلی حذف فهرست قرار‌دارند.

علاوه‌بر‌این، برای مشاغلی که حتی به‌صورت ناآگاهانه با مزارع پیوند مرتبط هستند، خطر فراتر از جریمه‌های SEO است،کسب‌و‌کار‌ها با عضویت در یک شبکه کشاورزی لینک، به‌طور ناخواسته کاربران خود را در معرض تهدیدات امنیت سایبری زیادی قرار می‌دهند و در نتیجه اعتماد و یکپارچگی کاربران را به‌خطر می‌اندازند.

پیمایش ایمن از طریق شیوه‌های سئو

در‌حالی‌که خطرات مربوط به کشاورزی‌لینک قابل‌توجه است، تمایل اساسی برای افزایش رتبه‌بندی سئو برای موفقیت آنلاین، معتبر و حیاتی است، حال این سوال مطرح می‌شود که چگونه کسب‌و‌کار‌ها می‌توانند در وب پیچیده سئو حرکت کنند و حضور آنلاین خود را بدون متوسل‌شدن به استراتژی‌های مضر و مخاطره‌آمیز مانند کشاورزی لینک تقویت کنند؟

•    سئو کلاه سفید: درگیر در روش‌های سئو کلاه‌سفید باشید که به دستور‌العمل‌های اخلاقی پایبند هستند و به‌جای تلاش برای فریب‌دادن الگوریتم‌ها، بر ایجاد محتوای ارزشمند و مرتبط برای کاربران انسانی واقعی تمرکز می‌کنند.

•    کیفیت بر کمیت: بر تولید محتوای با کیفیت بالا تمرکز کنید که واقعا برای مخاطبان هدف شما ارزشمند است، در‌نتیجه به‌طور طبیعی پیوند‌های ورودی را از وب‌سایت‌های معتبر جذب کنید.

•    ایمن و نظارت بر بک‌لینک‌ها: به‌طور منظم و با استفاده از ابزار‌ها و خدماتی که بینش‌هایی را در مورد نمایه بک‌لینک ارائه می‌دهند،بک‌لینک‌های وب‌سایت خود را بررسی و نظارت کنید تا مطمئن شوید که به‌طور ناخواسته بخشی از یک مزرعه لینک نیستید. 

نتیجه‌گیری: وزن‌کردن ترازو

کشاورزی‌پیوند بر‌روی یک پایه متزلزل قرار دارد و مسیری وسوسه‌انگیز و در عین‌حال بالقوه خطرناک را به سمت بهبود سئو ارائه می‌دهد، در‌حالی‌که رضایت فوری از رتبه‌بندی سریع سئو تقویت‌شده ممکن است برای برخی جذاب باشد، خطرات چند‌وجهی نهفته در عمل کشاورزی پیوند ، از جریمه‌شدن توسط الگوریتم‌های موتور‌های جستجو گرفته تا تهدیدات بالقوه امنیت سایبری ، یک ضد روایت قانع‌کننده ارائه می‌کند.

بنابراین، کسب‌و‌کار‌ها و مدیران وب باید به تاثیر گسترده‌تر و پایدار‌تر استراتژی‌های SEO خود فکر کنند و شیوه‌هایی را انتخاب کنند که هم از حضور دیجیتالی و هم از امنیت سایبری محافظت می‌کند،لذا از طریق شیوه‌های سئو اخلاقی و یک چار‌چوب امنیت سایبری قوی ، کسب‌و‌کار‌ها می‌توانند مسیری پایدار را به سمت دید واقعی آنلاین و تعامل کاربر هموار کنند، و به‌طور موثری از طریق وب پیچیده و دو‌وجهی از کشاورزی پیوند استفاده کنند.

6گام برای تسریع واکنش به حوادث امنیت‌سایبری

ابزار‌های امنیتی مدرن همچنان در توانایی خود برای دفاع از شبکه‌ها و نقاط‌پایانی سازمان‌ها در برابر مجرمان‌سایبری بهبود می‌یابند، اما مجرمین‌سایبری هنوز هم گاهی اوقات راهی برای ورود پیدا می‌کنند.

تیم‌های امنیتی باید بتوانند تهدیدات را متوقف کرده و عملیات عادی را در سریع‌ترین زمان ممکن بازگردانند، به‌همین دلیل ضروری است که این تیم‌ها نه‌تنها ابزار‌های مناسب را داشته باشند، بلکه بدانند که چگونه به‌طور موثر به یک حادثه واکنش نشان دهند، منابعی مانند یک الگوی واکنش حادثه را می‌توان برای تعریف یک طرح با نقش‌ها و مسئولیت‌ها، فرآیند‌ها و چک‌لیست آیتم‌های اقدام سفارشی کرد.

اما آماده‌سازی نمی‌تواند به همین‌جا ختم شود، تیم‌ها باید به‌طور مداوم برای سازگاری با تهدید‌ها به‌سرعت در‌حال تکامل باشند، تمرین کنند، هر حادثه امنیتی باید به‌عنوان یک فرصت آموزشی برای کمک به سازمان برای آمادگی بهتر یا حتی پیشگیری از حوادث آینده مورد استفاده قرار گیرد.

در ذیل چارچوبی با شش مرحله برای یک IR (تیم واکنش به حادثه)موفق تعریف شده است:

1- آماده‌سازی

2- شناسایی

3- مهار

4- ریشه‌کنی

5- بازیابی

6-درس‌های آموخته‌شده

در‌حالی‌که این مراحل از یک جریان منطقی پیروی می‌کنند، ممکن است برای تکرار مراحل خاصی که بار اول نادرست یا ناقص انجام شده‌اند، به مرحله قبلی برگردید.

بله، این سرعت IR را کاهش می‌دهد. اما تکمیل هر‌مرحله به‌طور کامل مهم‌تر از صرفه‌جویی در زمان برای تسریع مراحل است.

1- آماده‌سازی

هدف: تیم خود را برای مدیریت مؤثر رویداد‌ها آماده کنید

همه افرادی که به سیستم شما دسترسی دارند باید برای یک حادثه آماده باشند ، نه فقط تیم واکنش به حادثه، خطای انسانی مقصر اکثر موارد نقض امنیت‌سایبری است، بنابر‌این اولین و مهمترین گام در IR آموزش پرسنل در مورد آنچه که باید جستجو کنند ،می‌باشد،استفاده از یک طرح پاسخ به حادثه قالب‌بندی‌شده برای ایجاد نقش‌ها و مسئولیت‌ها برای همه شرکت‌کنندگان ، رهبران امنیتی، مدیران عملیات، تیم‌های میز کمک، مدیران هویت و دسترسی و همچنین ممیزی، انطباق، ارتباطات و مدیران اجرایی می‌تواند هماهنگی کارآمد را تضمین کند.

مهاجمان به تکامل مهندسی‌اجتماعی و تکنیک‌های فیشینگ نیزه‌ای خود ادامه می‌دهند تا سعی‌کنند یک قدم جلوتر از کمپین‌های آموزشی و آگاهی‌بخشی باشند، در‌حالی‌که بسیاری از افراد اکنون می‌دانند که یک ایمیل ضعیف را نادیده می‌گیرند که در ازای یک پیش‌پرداخت کوچک وعده پاداش می‌دهد، برخی از هدف‌ها قربانی پیام متنی خارج از ساعات کاری می‌شوند که وانمود می‌کند رئیس‌شان برای کمک به زمان حساس درخواست کمک می‌کند،برای در نظر گرفتن این سازگاری‌ها، آموزش داخلی شما باید به‌طور مرتب به‌روز شود تا آخرین روند‌ها و تکنیک‌ها را منعکس کند.

پاسخ‌دهنده‌ی حادثه شما ، یا مرکز عملیات امنیتی (SOC)، به آموزش منظم نیز نیاز دارند، که در حالت ایده‌آل بر اساس شبیه‌سازی حوادث واقعی است، یک تمرین فشرده روی میز می‌تواند سطح آدرنالین را افزایش دهد و به تیم شما این حس را بدهد که تجربه یک حادثه در دنیای واقعی چگونه است،ممکن‌است متوجه شوید که برخی از اعضای تیم زمانی که گرما روشن است، می‌درخشند، در‌حالی‌که برخی دیگر به آموزش و راهنمایی بیشتری نیاز دارند.

بخش دیگری از آماده‌سازی شما ترسیم یک استراتژی واکنش خاص است، رایج‌ترین رویکرد، مهار و ریشه‌کن‌کردن حادثه است، گزینه دیگر این‌است‌که یک حادثه در حال انجام را تماشا کنید تا بتوانید رفتار مهاجم را ارزیابی کنید و اهداف آن‌ها را شناسایی کنید، با این‌فرض که آسیب جبران‌ناپذیری ایجاد نمی‌کند.

فراتر از آموزش و استراتژی، فناوری نقش بزرگی در واکنش به حادثه ایفا می‌کند، لاگ‌ها یک جزء ‌حیاتی هستند،به‌عبارت ساده، هر‌چه بیشتر وارد سیستم شوید، بررسی یک حادثه برای تیم IR آسان‌تر و کارآمد‌تر خواهد بود.

همچنین، استفاده از یک پلت‌فرم(سکو) تشخیص و پاسخ نقطه‌پایانی (EDR) یا ابزار تشخیص و پاسخ گسترده (XDR) با کنترل متمرکز، به شما امکان می‌دهد تا به‌سرعت اقدامات دفاعی مانند جدا‌سازی ماشین‌ها، جدا‌کردن آن‌ها از شبکه و اجرای دستورات متقابل را در مقیاس انجام دهید.

سایر فناوری‌های مورد‌نیاز برای IR شامل یک محیط مجازی است که در آن لاگ‌ها، فایل‌ها و سایر داده‌ها را می‌توان تجزیه‌و‌تحلیل کرد، همراه با فضای خیره‌سازی کافی برای نگهداری این اطلاعات،شما نمی‌خواهید در طول یک حادثه زمان را برای راه‌اندازی ماشین‌های مجازی و اختصاص فضای ذخیره‌سازی تلف کنید.

در نهایت، شما به سیستمی برای مستند‌سازی یافته‌های خود از یک حادثه، چه با استفاده از صفحات گسترده یا یک ابزار اختصاصی اسناد IR، نیاز دارید،اسناد شما باید جدول زمانی حادثه، سیستم‌ها و کاربرانی که تحت تاثیر قرار‌گرفته‌اند و فایل‌های مخرب و شاخص‌های سازش (IOC) را که (هم در لحظه و هم به‌صورت گذشته‌نگر) کشف کرده‌اید، پوشش دهد.

2- شناسایی

هدف: تشخیص این‌که آیا شما نقض شده‌اید یا خیر و IOC ها را جمع‌آوری کنید.

چند راه وجود دارد که می‌توانید تشخیص دهید که یک حادثه رخ داده است یا در‌حال حاضر در‌حال انجام است.

•    تشخیص داخلی : یک حادثه را می‌توان توسط تیم نظارت داخلی یا یکی دیگر از اعضای سازمان شما (به لطف تلاش‌های آگاهی امنیتی شما)، از طریق هشدار‌های یک یا چند محصول امنیتی شما، یا در طی یک تمرین شکار تهدید پیشگیرانه کشف کرد.

•    تشخیص خارجی : یک مشاور شخص‌ثالث یا ارائه‌دهنده خدمات مدیریت‌شده می‌تواند با استفاده از ابزار‌های امنیتی یا تکنیک‌های شکار تهدید، حوادث را از طرف شما شناسایی کند، یا یک شریک تجاری ممکن است رفتار غیر‌عادی ببیند که نشان‌دهنده یک حادثه بالقوه است.

•    افشای داده‌های استخراج‌شده :  بدترین سناریو این است که زمانی متوجه شوید که یک حادثه تنها پس از کشف این که داده‌ها از محیط شما استخراج شده و در سایت‌های اینترنتی یا دارک‌نت پست شده‌اند، رخ داده است،اگر چنین داده‌هایی شامل اطلاعات حساس مشتری باشد و قبل از اینکه وقت کافی برای آماده‌کردن پاسخ عمومی هماهنگ داشته باشید، به مطبوعات درز کند، پیامد‌های بسیار بدی دارد. 

هیچ بحثی در مورد شناسایی بدون مطرح‌کردن خستگی هشدار کامل نخواهد بود.

اگر تنظیمات تشخیص برای محصولات امنیتی شما خیلی بالا باشد، هشدار‌های زیادی در مورد فعالیت‌های غیر‌مهم در نقاط‌پایانی و شبکه خود دریافت خواهید کرد، این یک راه عالی برای غلبه بر تیم شما است و می‌تواند منجر به بسیاری از هشدار‌های نادیده گرفته شود.

سناریوی معکوس، که در آن تنظیمات شما خیلی کم شماره‌گیری می‌شود، به همان اندازه مشکل‌ساز است، زیرا ممکن است رویداد‌های مهم را از دست بدهید، یک وضعیت امنیتی متعادل فقط تعداد مناسبی از هشدار‌ها را ارائه می‌دهد تا بتوانید حوادثی را شناسایی کنید که ارزش بررسی بیشتر را دارند، بدون اینکه دچار خستگی هشدار شوند،فروشندگان امنیت شما می‌توانند به شما کمک کنند تعادل مناسب را پیدا کنید و در حالت ایده‌آل، هشدار‌ها را به‌طور خودکار فیلتر کنند تا تیم شما بتواند روی موارد مهم تمرکز کند.

در مرحله شناسایی، تمام شاخص‌های سازش (IOC) جمع‌آوری‌شده از هشدار‌ها، مانند میزبان‌ها و کاربران در معرض خطر، فایل‌ها و فرآیند‌های مخرب، کلید‌های رجیستری جدید و موارد دیگر را مستند می‌کنید.

هنگامی که همه IOC ها را مستند کردید، به مرحله مهار می‌روید.

3- مهار

هدف: به حداقل رساندن آسیب

مهار به‌همان اندازه که یک گام متمایز در IR است، یک استراتژی است.

شما می‌خواهید یک رویکرد مناسب برای سازمان خاص خود ایجاد کنید، و پیامد‌های امنیتی و تجاری را در ذهن داشته باشید، اگرچه جداسازی دستگاه‌ها یا جدا‌کردن آن‌ها از شبکه ممکن است از گسترش حمله در سراسر سازمان جلوگیری کند، اما می‌تواند منجر به آسیب مالی قابل‌توجه یا سایر تاثیرات تجاری شود، این تصمیمات باید زود‌تر از موعد گرفته شود و به‌وضوح در استراتژی IR شما بیان شود.

مهار را می‌توان به هر دو مرحله کوتاه‌مدت و بلند‌مدت تقسیم کرد که برای هر‌یک پیامد‌های منحصر‌به‌فرد دارد.

•    کوتاه‌مدت : این شامل مراحلی است که ممکن است در لحظه بردارید، مانند خاموش‌کردن سیستم‌ها، قطع‌کردن دستگاه‌ها از شبکه و مشاهده فعالانه فعالیت‌های عامل تهدید، هر‌یک از این مراحل دارای مزایا و معایبی هستند.

•    بلند‌مدت : بهترین سناریو این است که سیستم آلوده را آفلاین نگه دارید تا بتوانید با خیال راحت به مرحله ریشه‌کنی بروید، با‌این‌حال، این همیشه امکان‌پذیر نیست، بنابراین ممکن‌است لازم باشد اقداماتی مانند وصله، تغییر رمز‌عبور، از‌بین‌بردن سرویس‌های خاص و موارد دیگر را انجام دهید.

در مرحله مهار، می‌خواهید دستگاه‌های حیاتی خود مانند کنترل‌کننده‌های دامنه، سرور‌های فایل و سرور‌های پشتیبان را اولویت‌بندی کنید تا مطمئن شوید که در معرض خطر قرار نگرفته‌اند.

مراحل اضافی در این مرحله شامل مستند‌سازی دارایی‌ها و تهدید‌هایی است که در طول حادثه وجود داشته است، و همچنین گروه‌بندی دستگاه‌ها بر‌اساس این‌که آیا به خطر افتاده یا خیر، اگر مطمئن نیستید، بدترین را فرض کنید،هنگامی که همه دستگاه‌ها دسته‌بندی شدند و تعریف شما از مهار را برآورده کردند، این مرحله به پایان می‌رسد.

مرحله پاداش: بررسی

هدف: تعیین کنید چه کسی، چه چیزی، چه زمانی، کجا، چرا، چگونه

در این مرحله باید به یکی دیگر از جنبه‌های مهم IR اشاره کرد: بررسی.

بررسی در طول فرآیند IR انجام می‌شود در‌حالی‌که یک مرحله از خود نیست، باید در هنگام انجام هر مرحله در نظر گرفته شود، هدف تحقیق پاسخگویی به سؤالاتی در مورد اینکه به کدام سیستم‌ها دسترسی پیدا کرده‌اند و منشاء نقض می‌پردازد، وقتی حادثه مهار شد، تیم‌ها می‌توانند با گرفتن هرچه بیشتر داده‌های مرتبط از منابعی مانند تصاویر دیسک، حافظه و گزارش‌ها، تحقیقات کامل را تسهیل کنند.

این فلوچارت روند کلی را به تصویر می‌کشد:

ممکن‌است با اصطلاح پزشکی‌قانونی دیجیتال و پاسخ به حوادث (DFIR) آشنا باشید، اما شایان ذکر است که اهداف پزشکی‌قانونی IR با اهداف پزشکی‌قانونی سنتی متفاوت است،در IR، هدف اولیه پزشکی‌قانونی کمک به پیشرفت از یک مرحله به مرحله بعدی تا حد امکان کارآمد به‌منظور از سرگیری عملیات عادی تجاری است.

تکنیک‌های پزشکی‌قانونی دیجیتال به‌گونه‌ای طراحی شده‌اند که تا حد‌امکان اطلاعات مفید را از شواهد جمع‌آوری‌شده استخراج کرده و آن‌ها را به اطلاعات مفیدی تبدیل می‌کنند که می‌تواند به ایجاد تصویر کامل‌تری از حادثه یا حتی کمک به تعقیب یک مجرم‌سایبری کمک کند.

نقاط داده‌ای که زمینه را به مصنوعات کشف‌شده اضافه می‌کنند ممکن‌است شامل نحوه ورود مهاجم به شبکه یا حرکت به اطراف، دسترسی به فایل‌ها یا ایجاد فرآیند‌های اجرا‌شده و موارد دیگر باشد، البته، این می‌تواند یک فرآیند زمان‌بر باشد که ممکن‌است با IR در تضاد باشد.

قابل‌توجه است که DFIR از زمانی که این اصطلاح برای اولین بار ابداع شد تکامل یافته است، امروزه سازمان‌ها صد‌ها یا هزاران ماشین دارند که هر‌یک از آن‌ها صد‌ها گیگا‌بایت یا حتی چندین ترابایت فضای خیره‌سازی دارند، بنابراین رویکرد سنتی‌،گرفتن و تجزیه‌و‌تحلیل تصاویر دیسک کامل از همه ماشین‌های در‌معرض خطر دیگر عملی نیست.

شرایط فعلی نیاز به رویکرد جراحی بیشتری دارد، جایی که اطلاعات خاصی از هر دستگاه در ‌معرض خطر جمع‌آوری و تجزیه‌و‌تحلیل می‌شود.

4-ریشه‌کنی

هدف: مطمئن شوید که تهدید به‌طور کامل حذف شده است.

با تکمیل مرحله مهار، می‌توانید به ریشه‌کنی بروید که می‌تواند از طریق تمیز‌کردن دیسک، بازگرداندن به یک نسخه پشتیبان تمیز یا تصویر‌برداری مجدد کامل دیسک انجام شود، پاکسازی ،مستلزم حذف فایل‌های مخرب و حذف یا تغییر کلید‌های رجیستری است، Reimaging به معنای نصب مجدد سیستم عامل است.

قبل از هر اقدامی، تیم IR می‌خواهد به سیاست‌های سازمانی اشاره کند که به‌عنوان مثال، در‌صورت حمله بد‌افزار خواستار تغییر تصویر ماشین‌های خاص است.

همانند مراحل قبلی، مستند‌سازی نقشی در ریشه‌کنی بازی می‌کند، تیم IR باید اقدامات انجام‌شده در هر دستگاه را به‌دقت مستند کند تا مطمئن شود که چیزی از قلم نیفتاده است،به‌عنوان یک بررسی اضافی، می‌توانید پس از تکمیل فرآیند ریشه‌کنی، اسکن‌های فعال سیستم‌های خود را برای هر‌گونه شواهدی از تهدید انجام دهید.

5- بازیابی

هدف: بازگشت به عملیات عادی.

تمام تلاش شما به اینجا منجر شده است! مرحله بازیابی زمانی است که می‌توانید تجارت را طبق معمول از سر بگیرید، تعیین زمان بازیابی عملیات تصمیم کلیدی در این مرحله است، در حالت ایده‌آل، این می‌تواند بدون تاخیر اتفاق بیفتد، اما ممکن است لازم باشد منتظر ساعات غیر‌فعال یا سایر دوره‌های آرام سازمان خود باشید.

یک بررسی دیگر برای تایید اینکه آیا IOC در سیستم‌های بازیابی‌شده باقی نمانده است، همچنین باید تعیین کنید که آیا علت اصلی هنوز وجود دارد یا خیر و اصلاحات مناسب را اجرا کنید.

اکنون که در مورد این نوع حادثه یاد گرفته‌اید، می‌توانید در آینده بر ‌آن نظارت کرده و کنترل‌های حفاظتی را ایجاد کنید.

6- درس‌های آموخته‌شده

هدف: آنچه اتفاق افتاده را مستند کنید و توانایی‌های خود را بهبود بخشید.

اکنون که این حادثه به‌راحتی پشت‌سر گذاشته شده است، زمان آن است که در مورد هر مرحله اصلی IR فکر کنید و به سؤالات کلیدی پاسخ دهید، سؤالات و جنبه‌های زیادی وجود دارد که باید پرسیده و بررسی شود، در زیر چند نمونه آورده شده است:

•  شناسایی: پس از وقوع مصالحه اولیه چقدر طول کشید تا حادثه شناسایی شود؟

•  مهار: چه مدت طول کشید تا این حادثه مهار شود؟

•  ریشه‌کنی: پس از ریشه‌کنی، آیا هنوز نشانه‌هایی از بد‌افزار یا سازش پیدا کردید؟

بررسی این موارد به شما کمک می‌کند تا به عقب برگردید و سؤالات اساسی مانند: آیا ما ابزار مناسبی داریم؟ آیا کارکنان ما به‌طور مناسب برای پاسخگویی به حوادث آموزش دیده‌اند؟

سپس این چرخه به مرحله آماده‌سازی باز می‌گردد، جایی که می‌توانید بهبود‌های لازم را مانند به‌روز‌رسانی الگوی طرح واکنش به حادثه ، فناوری و فرآیند‌های خود و ارائه آموزش بهتر به افراد خود انجام دهید.

 4 نکته حرفه‌ای برای ایمن‌ماندن

بیایید با سه پیشنهاد نهایی که باید در‌نظر داشته باشیم نتیجه‌گیری کنیم:

1- هر‌چه بیشتر وارد شوید، بررسی آسان‌تر خواهد بود، اطمینان حاصل کنید که برای صرفه‌جویی در هزینه و زمان تا حد امکان وارد سیستم شده‌اید.

2- با شبیه‌سازی حملات علیه شبکه خود آماده باشید، این نشان می‌دهد که چگونه تیم SOC شما هشدار‌ها و توانایی آن‌ها در برقراری ارتباط را تجزیه‌و‌تحلیل می‌کند ،که در طول یک حادثه واقعی بسیار مهم است.

3- افراد در وضعیت امنیتی سازمان شما ضروری هستند، آیا می‌دانستید که 95 درصد از حملات سایبری ناشی از خطای انسانی است؟ به‌همین دلیل انجام آموزش‌های دوره‌ای برای دو گروه مهم است: کاربران نهایی و تیم امنیتی شما.

4- داشتن یک تیم تخصصی IR شخص ثالث را در نظر بگیرید که می‌تواند بلافاصله برای کمک به حوادث دشوارتر که ممکن است فراتر از توانایی تیم شما باشد، وارد عمل شود، این تیم‌ها که ممکن است صد‌ها حادثه را حل کرده باشند، تجربه IR و ابزار لازم برای ضربه‌زدن به زمین و سرعت‌بخشیدن به IR شما را خواهند داشت.
 

منبع

helpnetsecurity

بایگانی

همیاران سایبری – تمام حقوق محفوظ است