• تعداد بازدید : 828
Incident Response
فرآیند پاسخگویی به حادثه

فرآیند پاسخگویی به حادثه یا Incident Response چیست؟

پاسخ به حادثه (IR) رویکردی است برای کشف و پاسخ به تهدیدات و نقض‌های امنیت سایبری. هدف IR شناسایی، بررسی و مهار حملات در یک سازمان است. یک حادثه را می‌توان به عنوان نقض قوانین، سیاست‌ها و هر فعالیت انحراف از معیارها و غیرقابل قبول عنوان کرد. هدف اصلی این رویکرد داشتن یک برنامه تدوین شده به جهت پاسخگویی به حوادث امنیتی است قبل از اینکه این حوادث سازمان را با مشکلات غیرقابل بازگشت و اساسی رو‌به‌رو کند. درس‌های آموخته‌شده از فعالیت‌های IR می‌تواند باعث ایجاد استراتژی‌های پیشگیری و کاهش ریسک‌های امنیتی شود و ارتقای وضعیت امنیتی کلی سازمان را بالا ببرد.

 

چرا پاسخگویی به حادثه مهم است؟

حوادث امنیت سایبری اجتناب ناپذیر است. داشتن یک برنامه واکنش قوی به حوادث می‌تواند تفاوت بین غرق شدن و شنا باشد. در سال‌های اخیر پیچیدگی و شدت روش‌های حمله افزایش چشمگیری داشته و هر روزه در حال افزایش است. داشتن یک فرآیند کامل‌، جامع و مستند در برابر تهدیدات و حملات یکی از مهمترین عناصر تیم مرکز عملیات امنیت (SOC)  است‌. فرآیند IR به پاسخگویی به سؤالات مهم در مورد یک حمله، مانند نحوه ورود مهاجم، اقداماتی که انجام داده است و اینکه آیا اطلاعات حساس به خطر افتاده است یا خیر کمک کننده است. پاسخ مطمئن به این سوالات نه تنها وضعیت امنیتی سازمان را بهبود می‌بخشد بلکه به ارزیابی مسئولیت‌های قانونی یا نظارتی بالقوه کمک می‌کند.

 

انواع حوادت امنیتی عبارتند از:

Cyber Security Attacks

 

 

 

 

 

مدیریت بهینه‌ی پاسخ به حادثه عبارت است از:

· داشتن برنامه‌ای جامع:

در هر سازمان تیم پاسخگویی به حوادث باید یک برنامه جامع و مستند را به جهت رسیدگی و تهدیدات و حملات آماده کند. این برنامه باعث تفکیک، دسته بندی و سنجش شدت حملات می‌گردد، تعیین می‌کند چگونه باید حملات را متوقف و اجزای تشکیل دهنده و تاثیرگذار آن را از بین برد، ساز و کارهای بازیابی اطلاعات هدف قرار گرفته شده را تدوین می‌کند و با تجزیه و تحلیل حادثه نواقص و آسیب پذیری‌های موجود را رفع کرده تا از تکرار حوادث و رخدادهای آتی پیشگیری نماید.

 

· استفاده از افراد مناسب:

یکی از مهمترین عوامل در تیم پاسخگویی به حادثه استفاده از افراد متخصص و کارآمد، و ایجاد نقش‌های افراد حاضر در تیم است. (مدیر تیم، تحلیل‌گر امنیت، پژوهشگر تهدیدات، متخصص جرم‌شناسی و ....)

 

· ابزارهای مناسب:

استفاده از ابزار نقش بسیار مهمی در بررسی تهدیدات امنیتی دارد. کمبود نیروی انسانی متخصص و منابع، باعث عدم شناسایی بسیاری از رخدادها امنیتی در سازمان‌ها شده است‌. ابزارها رخدادهای امنیتی را تجزیه و تحلیل کرده، در مورد آن‌ها هشدار داده و می‌تواند به اصلاح آن‌ها کمک کند.

 

6 مرحله در فرآیند پاسخگویی به حادثه:

تیم CSIRT فرآیندهای پاسخگویی به حوادث امنیتی را اجرایی می‌کند، این تیم اطلاعات و داده موجود در یک حادثه امنیتی را تجزیه و تحلیل و به آن‌ها پاسخ مناسبی خواهد داد.

مراحل پاسخگویی به حوادث در یک طرح شش مرحله‌ای توسط موسسه SANS خلاصه شده است . این موسسه یک حادثه امنیتی را به خطر افتادن یا نقص امنیت یک سازمان نه صرفا در صورت وقوع تعریف می‌کند .هر مرحله از این طرح شش مرحله‌ای باید به ترتیب دنبال شود زیرا هر مرحله بر بخش قبلی دلالت دارد.

فرآیند پاسخگویی به حادثه

 

گام اول :Preparation

فاز Preparation یا “آماده سازی” یکی از حیاتی‌ترین فازهای پروسه Incident Response است .هر سازمان می‌بایست برای مواجه شدن با هرگونه حمله و حادثه از پیش آماده باشد. این گام تعیین می‌کند که یک سازمان تا چه اندازه می‌تواند در صورت مواجه شدن با یک حادثه امنیتی واکنش نشان دهد. چندین عنصر کلیدی در گام آماده سازی اجرا می‌شود تا سازمان بتواند یک حادثه را مدیریت کند.

 

گام دوم :Identification

فاز Identification یا “شناسایی”، دومین فاز از پروسه پاسخگویی به حادثه است، در فاز شناسایی هدف ما بررسی منابع سازمان و داشتن نظارت و Monitoring بر روی آنها می‌باشد تا رفتارهای مخرب و Threat های متنوع را کشف و شناسایی کنیم، در این فاز ما به صورت  Real Time باید Threat ها را شناسایی و آنها را طبقه‌بندی و میزان شدت آنها را بررسی کنیم.

 

گام سوم :Containment

فاز Containment یا “مهار” مرحله‌ای نام دارد  که تیم پاسخدهی به رخداد متوجه می‌شود که با چه سطحی از حادثه مواجه شده است، به عبارتی هنگامی که تیم IR یک حادثه را شناسایی کرد باید از هرگونه آسیب بیشتر را محدود کرده و از آن جلوگیری کند، در این گام چندین اقدام مهم وجود دارد تا با انجام آنها به کاهش یک حادثه و جلوگیری از نابودی شواهد بپردازیم، برای مثال: به صورت موقت و کوتاه مدت سیستم‌های آلوده به خطرات و حملات را از دیگر سیستم‌های آلوده نشده جدا سازی می‌کنیم تا با خیال راحت‌تری بتوانیم فرآيند‌های امنیتی و رفع مشکلات و اعمال Patch ها را به انجام برسانیم و بعد دوباره آن را وارد شبکه اصلی کنیم.

 

گام چهارم :Eradication

فاز Eradication یا “ریشه کن کردن” شامل از بین بردن فرآیندهایی می‌شود که منجر به وقوع حادثه‌های اخیر در کامپیوتر، سیستم یا شبکه شده است. در این مرحله باید ریشه اصلی حمله و حادثه را شناسایی کنیم و مشکلات و بد افزارهای موجود را حذف کنیم و اقدامات تدافعی متنوعی را برای جلوگیری از رخ‌دادن دوباره این نوع حملات درنظر بگیریم.

 

گام پنجم :Recovery

گام Recovery یا بازیابی به سازمان‌ها کمک می‌کند تا با دقت سیستم‌های آسیب‌دیده را به محیط تولید برگردانند و اطمینان حاصل کنند که حادثه دیگری رخ نمی‌دهد. سیستم‌ها میبایست هنگام بازگشت به مرحله تولید آزمایش، نظارت و تأیید شوند تا دوباره توسط بدافزار آلوده یا در معرض خطر قرار نگیرند.

 

گام ششم :Lessons Learned

در این فاز باید گزارشات و مستندات کاملی از شرح حادثه و جزئیات آن تهیه شود و بررسی شود که برای جلوگیری از رخدادن دوباره حملات این چنینی باید چه فرآیندی را صورت داد که روند پاسخگویی به حوادث را بهبود ببخشد.

 Incident Response (پاسخ به حوادث) نقش حیاتی در امنیت سازمان دارد، زیرا به سازمان‌ها کمک می‌کند تا به‌صورت سریع و مؤثر به تهدیدات و حوادث امنیتی واکنش نشان دهند و تأثیرات منفی آن‌ها را به حداقل برسانند. در زیر نقش‌های کلیدی Incident Response در امنیت سازمان را بررسی می‌کنیم:

· کاهش زمان و شدت تأثیر حوادث

· محافظت از داده‌های حساس

· بازیابی سریع سیستم‌ها و خدمات

· کاهش هزینه‌های مالی و عملیاتی

· بهبود امنیت سایبری و پیشگیری از حملات آینده

· پاسخگویی به مقررات و تعهدات قانونی

· حفاظت از اعتبار سازمان

· ارزیابی و مدیریت ریسک‌های امنیتی

· ایجاد فرهنگ امنیت در سازمان

نکته: زمان پاسخگویی یا تاخیر در واکنش به حادثه، نقشی حیاتی در تعیین میزان شدت و عواقب یک حادثه‌ی امنیتی دارد. هر چه شناسایی یک تهدید در شبکه‌ی یک سازمان یا شرکت بیشتر طول بکشد، آن تهدید می‌تواند آسیب بیشتری به سازمان وارد نماید و احتمال هزینه ‌بر بودن فرایند بازیابی آن نیز بیشتر می‌شود. متاسفانه تیم‌های امنیتی با چالش‌های بی‌شماری روبه‌رو هستند که واکنش سریع و مؤثر به حادثه را دشوار می‌کندمهمترین عوامل تاثیرگذار در پاسخدهی به حوادث در زمان مناسب به شرح ذیل می‌باشد:

· حجم بسیار زیاد داده‌ها

· کمبود کارشناسان ماهر امنیت سایبری

· استفاده نکردن از ابزار‌های مناسب و تکنولوژی‌های به روز دنیای امنیت سایبری

· نداشتن دید و شناخت کافی از منابع درون سازمانی

 

پیشنهاد ما برای شناسایی به موقع و پاسخدهی به حوادث در کوتاهترین زمان ممکن استفاده از راهکار امنیت یکپارچه اطلاعات dSIEM است.

کاربردهای راهکار dSIEM را می‌توان در سه حوزه بیان کرد:

· Investigative & Security Detective

این حوزه بر روی شناسایی و واکنش (در واقع پاسخ به حملات) نفوذ بدافزارها، دسترسی غیر مجاز به داده‌ها و اطلاعات و سایر مسائل امنیتی تمرکز دارد.

· Policy & Compliance Regulatory

تمرکز این قسمت بر روی قوانین و سیاست‌های مورد نیاز و همچنین احکام تعیین شده در سازمان میباشد.

· System & Network TShoot Operation -Normal Operation

این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم در صدد رفع مشکلات هستند.

siem
امتیاز :  ۰ |  مجموع :  ۰

برچسب ها

    گروه دوران یکی از موفقترین مجموعه شرکت های دانش بنیان کامپیوتری می باشد که با هدف ارائه محصولات و خدمات متنوع در زمینه فناوری اطلاعات تاسیس گردیده است. این گروه که بیش از دو دهه از تاسیس آن می گذرد.
    با ساماندهی بیش از 500 نفر از فارغ التحصیلان دانشگاه های معتبر كشور و بهره گیری از دانش روز دنیا..

    تماس با ما

    آدرس: تهران، خیابان خرمشهر، خیابان صابونچی کوچه ایازی، پلاک 62 تلفن: 43580
    داده پردازان دوران 43588601
    نوآوران ارتباطات دوران 43585201
    خبره پردازان دوران 88140020
    آمار بازدید سایت :  1223153
    آخرین بروزرسانی سایت : 1404/02/06 15:15

    لینک های مرتبط

    6.1.7.0
    V6.1.7.0