فرآیند پاسخگویی به حادثه یا Incident Response چیست؟
پاسخ به حادثه (IR) رویکردی است برای کشف و پاسخ به تهدیدات و نقضهای امنیت سایبری. هدف IR شناسایی، بررسی و مهار حملات در یک سازمان است. یک حادثه را میتوان به عنوان نقض قوانین، سیاستها و هر فعالیت انحراف از معیارها و غیرقابل قبول عنوان کرد. هدف اصلی این رویکرد داشتن یک برنامه تدوین شده به جهت پاسخگویی به حوادث امنیتی است قبل از اینکه این حوادث سازمان را با مشکلات غیرقابل بازگشت و اساسی روبهرو کند. درسهای آموختهشده از فعالیتهای IR میتواند باعث ایجاد استراتژیهای پیشگیری و کاهش ریسکهای امنیتی شود و ارتقای وضعیت امنیتی کلی سازمان را بالا ببرد.
چرا پاسخگویی به حادثه مهم است؟
حوادث امنیت سایبری اجتناب ناپذیر است. داشتن یک برنامه واکنش قوی به حوادث میتواند تفاوت بین غرق شدن و شنا باشد. در سالهای اخیر پیچیدگی و شدت روشهای حمله افزایش چشمگیری داشته و هر روزه در حال افزایش است. داشتن یک فرآیند کامل، جامع و مستند در برابر تهدیدات و حملات یکی از مهمترین عناصر تیم مرکز عملیات امنیت (SOC) است. فرآیند IR به پاسخگویی به سؤالات مهم در مورد یک حمله، مانند نحوه ورود مهاجم، اقداماتی که انجام داده است و اینکه آیا اطلاعات حساس به خطر افتاده است یا خیر کمک کننده است. پاسخ مطمئن به این سوالات نه تنها وضعیت امنیتی سازمان را بهبود میبخشد بلکه به ارزیابی مسئولیتهای قانونی یا نظارتی بالقوه کمک میکند.
انواع حوادت امنیتی عبارتند از:

مدیریت بهینهی پاسخ به حادثه عبارت است از:
· داشتن برنامهای جامع:
در هر سازمان تیم پاسخگویی به حوادث باید یک برنامه جامع و مستند را به جهت رسیدگی و تهدیدات و حملات آماده کند. این برنامه باعث تفکیک، دسته بندی و سنجش شدت حملات میگردد، تعیین میکند چگونه باید حملات را متوقف و اجزای تشکیل دهنده و تاثیرگذار آن را از بین برد، ساز و کارهای بازیابی اطلاعات هدف قرار گرفته شده را تدوین میکند و با تجزیه و تحلیل حادثه نواقص و آسیب پذیریهای موجود را رفع کرده تا از تکرار حوادث و رخدادهای آتی پیشگیری نماید.
· استفاده از افراد مناسب:
یکی از مهمترین عوامل در تیم پاسخگویی به حادثه استفاده از افراد متخصص و کارآمد، و ایجاد نقشهای افراد حاضر در تیم است. (مدیر تیم، تحلیلگر امنیت، پژوهشگر تهدیدات، متخصص جرمشناسی و ....)
· ابزارهای مناسب:
استفاده از ابزار نقش بسیار مهمی در بررسی تهدیدات امنیتی دارد. کمبود نیروی انسانی متخصص و منابع، باعث عدم شناسایی بسیاری از رخدادها امنیتی در سازمانها شده است. ابزارها رخدادهای امنیتی را تجزیه و تحلیل کرده، در مورد آنها هشدار داده و میتواند به اصلاح آنها کمک کند.
6 مرحله در فرآیند پاسخگویی به حادثه:
تیم CSIRT فرآیندهای پاسخگویی به حوادث امنیتی را اجرایی میکند، این تیم اطلاعات و داده موجود در یک حادثه امنیتی را تجزیه و تحلیل و به آنها پاسخ مناسبی خواهد داد.
مراحل پاسخگویی به حوادث در یک طرح شش مرحلهای توسط موسسه SANS خلاصه شده است . این موسسه یک حادثه امنیتی را به خطر افتادن یا نقص امنیت یک سازمان نه صرفا در صورت وقوع تعریف میکند .هر مرحله از این طرح شش مرحلهای باید به ترتیب دنبال شود زیرا هر مرحله بر بخش قبلی دلالت دارد.

گام اول :Preparation
فاز Preparation یا “آماده سازی” یکی از حیاتیترین فازهای پروسه Incident Response است .هر سازمان میبایست برای مواجه شدن با هرگونه حمله و حادثه از پیش آماده باشد. این گام تعیین میکند که یک سازمان تا چه اندازه میتواند در صورت مواجه شدن با یک حادثه امنیتی واکنش نشان دهد. چندین عنصر کلیدی در گام آماده سازی اجرا میشود تا سازمان بتواند یک حادثه را مدیریت کند.
گام دوم :Identification
فاز Identification یا “شناسایی”، دومین فاز از پروسه پاسخگویی به حادثه است، در فاز شناسایی هدف ما بررسی منابع سازمان و داشتن نظارت و Monitoring بر روی آنها میباشد تا رفتارهای مخرب و Threat های متنوع را کشف و شناسایی کنیم، در این فاز ما به صورت Real Time باید Threat ها را شناسایی و آنها را طبقهبندی و میزان شدت آنها را بررسی کنیم.
گام سوم :Containment
فاز Containment یا “مهار” مرحلهای نام دارد که تیم پاسخدهی به رخداد متوجه میشود که با چه سطحی از حادثه مواجه شده است، به عبارتی هنگامی که تیم IR یک حادثه را شناسایی کرد باید از هرگونه آسیب بیشتر را محدود کرده و از آن جلوگیری کند، در این گام چندین اقدام مهم وجود دارد تا با انجام آنها به کاهش یک حادثه و جلوگیری از نابودی شواهد بپردازیم، برای مثال: به صورت موقت و کوتاه مدت سیستمهای آلوده به خطرات و حملات را از دیگر سیستمهای آلوده نشده جدا سازی میکنیم تا با خیال راحتتری بتوانیم فرآيندهای امنیتی و رفع مشکلات و اعمال Patch ها را به انجام برسانیم و بعد دوباره آن را وارد شبکه اصلی کنیم.
گام چهارم :Eradication
فاز Eradication یا “ریشه کن کردن” شامل از بین بردن فرآیندهایی میشود که منجر به وقوع حادثههای اخیر در کامپیوتر، سیستم یا شبکه شده است. در این مرحله باید ریشه اصلی حمله و حادثه را شناسایی کنیم و مشکلات و بد افزارهای موجود را حذف کنیم و اقدامات تدافعی متنوعی را برای جلوگیری از رخدادن دوباره این نوع حملات درنظر بگیریم.
گام پنجم :Recovery
گام Recovery یا بازیابی به سازمانها کمک میکند تا با دقت سیستمهای آسیبدیده را به محیط تولید برگردانند و اطمینان حاصل کنند که حادثه دیگری رخ نمیدهد. سیستمها میبایست هنگام بازگشت به مرحله تولید آزمایش، نظارت و تأیید شوند تا دوباره توسط بدافزار آلوده یا در معرض خطر قرار نگیرند.
گام ششم :Lessons Learned
در این فاز باید گزارشات و مستندات کاملی از شرح حادثه و جزئیات آن تهیه شود و بررسی شود که برای جلوگیری از رخدادن دوباره حملات این چنینی باید چه فرآیندی را صورت داد که روند پاسخگویی به حوادث را بهبود ببخشد.
Incident Response (پاسخ به حوادث) نقش حیاتی در امنیت سازمان دارد، زیرا به سازمانها کمک میکند تا بهصورت سریع و مؤثر به تهدیدات و حوادث امنیتی واکنش نشان دهند و تأثیرات منفی آنها را به حداقل برسانند. در زیر نقشهای کلیدی Incident Response در امنیت سازمان را بررسی میکنیم:
· کاهش زمان و شدت تأثیر حوادث
· محافظت از دادههای حساس
· بازیابی سریع سیستمها و خدمات
· کاهش هزینههای مالی و عملیاتی
· بهبود امنیت سایبری و پیشگیری از حملات آینده
· پاسخگویی به مقررات و تعهدات قانونی
· حفاظت از اعتبار سازمان
· ارزیابی و مدیریت ریسکهای امنیتی
· ایجاد فرهنگ امنیت در سازمان
نکته: زمان پاسخگویی یا تاخیر در واکنش به حادثه، نقشی حیاتی در تعیین میزان شدت و عواقب یک حادثهی امنیتی دارد. هر چه شناسایی یک تهدید در شبکهی یک سازمان یا شرکت بیشتر طول بکشد، آن تهدید میتواند آسیب بیشتری به سازمان وارد نماید و احتمال هزینه بر بودن فرایند بازیابی آن نیز بیشتر میشود. متاسفانه تیمهای امنیتی با چالشهای بیشماری روبهرو هستند که واکنش سریع و مؤثر به حادثه را دشوار میکند. مهمترین عوامل تاثیرگذار در پاسخدهی به حوادث در زمان مناسب به شرح ذیل میباشد:
· حجم بسیار زیاد دادهها
· کمبود کارشناسان ماهر امنیت سایبری
· استفاده نکردن از ابزارهای مناسب و تکنولوژیهای به روز دنیای امنیت سایبری
· نداشتن دید و شناخت کافی از منابع درون سازمانی
پیشنهاد ما برای شناسایی به موقع و پاسخدهی به حوادث در کوتاهترین زمان ممکن استفاده از راهکار امنیت یکپارچه اطلاعات dSIEM است.
کاربردهای راهکار dSIEM را میتوان در سه حوزه بیان کرد:
· Investigative & Security Detective
این حوزه بر روی شناسایی و واکنش (در واقع پاسخ به حملات) نفوذ بدافزارها، دسترسی غیر مجاز به دادهها و اطلاعات و سایر مسائل امنیتی تمرکز دارد.
· Policy & Compliance Regulatory
تمرکز این قسمت بر روی قوانین و سیاستهای مورد نیاز و همچنین احکام تعیین شده در سازمان میباشد.
· System & Network TShoot Operation -Normal Operation
این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم در صدد رفع مشکلات هستند.
