000879 ランダム
 ホーム | 日記 | プロフィール 【フォローする】 【ログイン】

delvin23のブログ

【毎日開催】
15記事にいいね!で1ポイント
10秒滞在
いいね! --/--
おめでとうございます!
ミッションを達成しました。
※「ポイントを獲得する」ボタンを押すと広告が表示されます。
x

PR

プロフィール

delvin23

delvin23

カレンダー

バックナンバー

2024.02
2024.01
2023.12
2023.11
2023.10

カテゴリ

日記/記事の投稿

コメント新着

コメントに書き込みはありません。

キーワードサーチ

▼キーワード検索

2023.04.19
XML
カテゴリ:カテゴリ未分類
کسانی که در حوزه امنیت و شبکه فعالیت دارند به خوبی می دانند که فقط انسان‌ها و در برخی موارد فقط افراد خاصی می‌توانند انجام‌ دهند بنابراین برخی از کارها را نمی‌توان خودکارسازی کرد و پاسخ به رخداد یا incident Response یکی از آن‌ها است. به همین دلیل هوشمندانه است که قبل از این که یک حادثه واقعی نیاز به پاسخ داشته باشد، یک تیم واکنش به رخداد (CSIRT) مجهز و آماده برای اقدام داشته باشیم. اولین گام کلیدی این است که نقش‌ها و مسئولیت‌هایتیم پاسخگویی به رخدادهای امنیتی را به‌وضوح تعریف کنیم .
در این مطلب به برخی از ​رخدادهای امنیتی و خدمات امنیتی مورد نیاز برای جلوگیری از حملات سایبری و چندین مسئله در مورد تیم واکنش به رخداد خواهیم پرداخت. اول‌ازهمه، تیم واکنش به رخداد (CSIRT) باید مجهز باشد. در ادامه توصیه‌هایی را با شما به اشتراک می‌گذاریم که به تیم شما کمک می‌کند در صورت رخ دادن بدترین سناریو، توانمند شود. دوم اینکه تیم واکنش به رخداد (CSIRT) سایبری باید هدف‌مند باشد. در هر تلاش تیمی برای خدمات امنیت شبکه، هدف‌گذاری بسیار مهم است زیرا به شما امکان می‌دهد حتی در مواقع بحران و استرس شدید متمرکز بمانید.
در این مقاله، نحوه جمع‌آوری و سازمان‌دهی یک تیم (CSIRT)، نحوه مجهز کردن و متمرکز نگه داشتن آن بر روی مهار، بررسی، پاسخ و بازیابی از رخدادهای امنیتی را خواهید آموخت.
​نقش‌ها و وظایف اعضای تیم واکنش به رخداد (CSIRT)​
​رهبر تیم (Team Leader)​
​تمام فعالیت‌های تیم CSIRT یا تیم پاسخ به حادثه را هدایت و هماهنگ می‌کند و تیم را روی به حداقل رساندن آسیب و بازیابی سریع متمرکز می‌کند.
​محقق اصلی (Lead Investigator)​
نقش محقق اصلی، جمع‌آوری و تجزیه‌وتحلیل شواهد، تعیین علت اصلی، هدایت سایر تحلیل‌گران و پیاده‌سازی روش‌هایی برای بازیابی سریع سیستم و خدمات است.
​رهبر ارتباطات (Communications Lead)​
تلاش در زمینه پیام‌رسانی و ارتباطات را برای همه مخاطبان، در داخل و خارج از شرکت رهبری می‌کند.
رهبر اسناد و جدول زمانی (Documentation & Timeline Lead)
تمام فعالیت‌های تیم، به ‌ویژه وظایف تحقیق، کشف و بازیابی را مستند می‌کند و جدول زمانی قابل‌اطمینانی را برای هر مرحله از رخداد ایجاد می‌کند.
​نماینده قانونی (HR/Legal Representation)​
از آنجایی‌ که یک رخداد ممکن است به اتهامات جنایی منجر شود، داشتن راهنما و مشاوره حقوقی و منابع انسانی ضروری است.
​چه کسانی در تیم واکنش به رخداد (CSIRT) حضور دارند؟​

ما عملکردهای اصلی یک تیم واکنش به رخداد (CSIRT) را در این نوشتار مفید و قابل‌استفاده گرد هم آورده‌ایم. ازآنجایی‌ که هر شرکتی تعداد کارکنان متفاوت با مهارت‌های متفاوت خواهد داشت، به‌جای عناوین احتمالی به عملکردهای اصلی اعضای تیم اشاره کردیم. بنابراین ممکن است متوجه شوید که یک فرد می‌تواند دو وظیفه را انجام دهد، یا ممکن است بخواهید بسته به ترکیب تیم خود، بیش از یک نفر را به یک کار اختصاص دهید. با این‌ حال، در این مورد چند نکته کلیدی دیگر وجود دارد که باید در نظر داشته باشیم:
IT با پشتیبانی اجرایی قوی و مشارکت بین بخش‌های مختلف رهبری را برعهده دارد.
هنگامی که صحبت از پاسخ به رخداد امنیت سایبری می‌شود، IT باید با نمایندگی اجرایی از هر واحد بزرگ کسب‌وکار، پاسخ به رخداد را رهبری کند، به ‌ویژه زمانی که موضوع حقوق و منابع انسانی در میان باشد. با اینکه احتمالاً مدیران ارشد جزء اعضای فعال تیم نخواهند بود، باید برنامه‌ریزی شود که مدیران درموارد مربوط به استخدام و ارتباطات شرکت کنند.
نقش‌ها و مسئولیت‌های هر یک از اعضای تیم باید به‌ وضوح تعریف و مستندسازی شود و ارتباط بین آن‌ها باید مشخص شود.
با وجود اینکه در این مقاله کارکردهای کلی مانند مستندسازی، ارتباط و بررسی ارائه شده‌اند، ولی شرکت باید در زمان تشریح نقش‌های اعضای تیم خود دقیق‌تر عمل کند و مطمئن شود که این نقش‌ها را مستند کرده و به‌وضوح بین آن‌ها ارتباط برقرار کرده باشد، به‌طوری‌که افراد تیم به‌خوبی هماهنگ شده و قبل از وقوع یک بحران بدانند که از آن‌ها چه انتظاری می‌رود.
باید کانال‌های ارتباطی و برنامه جلسات ایجاد، تأیید و منتشر شود.
ارتباط مؤثر، رمز موفقیت هر پروژه است، و این امر به ‌ویژه برای تیم‌های پاسخ به رخداد صادق است. اطلاعات تماس اعضای تیم باید چاپ و به‌طور گسترده توزیع شوند (فقط به نسخه‌های نرم‌افزاری دفترچه‌های تلفن تکیه نکنید. در حال حاضر ​مرکز عملیات امنیت مدیریت شده​ (MSSP) یک مرکز با استانداردهای امنیتی و فیزیکی بسیار پیشرفته برای Monitoring و مدیریت سیستم­ها و تجهیزات امنیتی یک سازمان به صورت برون‌سپاری شده است. به‌ احتمال‌ زیاد ممکن است در طول یک حادثه امنیتی به آن‌ها دسترسی نداشته باشید). همچنین مخاطبین خارجی مهم را نیز اضافه کنید و مطمئن شوید که در مورد اینکه چه زمانی، چگونه و با چه کسی باید ارتباط برقرار کنید، بحث و مستندسازی انجام شده است.

​وظایف تیم واکنش به رخداد (CSIRT)​

یک تیم واکنش به رخداد اطلاعات را تجزیه‌وتحلیل می‌کند، مشاهدات و فعالیت‌ها را موردبحث قرار می‌دهد و گزارش‌ها و ارتباطات مهم را در سراسر شرکت به اشتراک می‌گذارد. مدت زمان صرف شده برای هر یک از این فعالیت‌ها به یک سؤال کلیدی بستگی دارد: آیا این زمان، زمان آرامش است یا بحران؟ هنگامی که تیم به‌طور فعال یک رخداد امنیتی را بررسی نمی‌کند یا به آن پاسخ نمی‌دهد، باید حداقل هر سه ماه یکبار برای بررسی روندهای امنیتی فعلی و رویه‌های پاسخ به رخداد جلسه تشکیل دهد. هر چه یک تیم واکنش به رخداد (CSIRT) بتواند اطلاعات بیشتری را در اختیار کارکنان اجرایی قرار دهد، از نظر حفظ پشتیبانی اجرایی و مشارکت در مواقع موردنیاز (در زمان بحران یا بلافاصله پس از آن) بهتر عمل کرده است. توجه داشته باشید که با توجه به پیشرفت فناوری، افزایش تعداد دستگاه‌های متصل به اینترنت، رشد روزافزون داده‌ها و روش‌های پیشرفته حملات سایبری، نیاز به استفاده از ​جداسازی اینترنت از شبکه داخلی​ و راهکارهای جدیدی برای مدیریت امنیت سایبری احساس می‌شود. 
​هدف تیم واکنش به رخداد (CSIRT)​

هدف تیم واکنش به رخداد (CSIRT)، هماهنگ کردن و همسویی منابع کلیدی و اعضای تیم در طول یک رخداد امنیت سایبری برای به حداقل رساندن تأثیر و بازیابی عملیات در سریع‌ترین زمان ممکن است. این امر شامل کارکردهای حیاتی زیر است: تحقیق و تجزیه‌وتحلیل، ارتباطات، آموزش و آگاهی و همچنین مستندسازی و توسعه جدول زمانی.
نکته: فراموش نکنید که به کارگیری UTM بومی در درگاه ورودی شبکه علاوه بر امکان اعمال قدرتمند سیاست­‌های امنیتی در قالب یک تجهیز، کاهش پیچیدگی­‌ها، مدیریت ساده، انعطاف‌پذیری، نگهداری و به‌­روزرسانی آسان تر را نسبت به دیگر محصولات مشابه به وجود می­‌آورد.
​ اعضای تیم واکنش به رخدادهای امنیتی کجا باید مستقر شوند؟​

بیشتر شرکت‌ها در چندین مکان فعالیت می‌کنند و متأسفانه اکثر رخدادهای امنیتی هم به همین شیوه عمل می‌کنند. درحالی‌که ممکن است نتوان یک عضو اصلی تیم را در هر مکان داشت، سعی کنید جایی که اکثر عملیات کسب‌وکار و IT اتفاق می‌افتد، افراد در محل حضور داشته باشند. احتمال اینکه برای انجام برخی تحقیقات و فعالیت‌های تحلیلی به دسترسی فیزیکی نیاز باشد بسیار زیاد است. حتی برای کارهای بی‌اهمیت مانند راه‌اندازی مجدد سرور یا تعویض هارد دیسک.
​چگونه می‌توان اعضای تیم CSIRT را مجهز کرد؟​

اگر تیم واکنش به رخداد (CSIRT) برای انجام کارهایی که باید در زمان بحران انجام شود، قدرت نداشته باشد، هرگز موفق نخواهد شد. به همین دلیل ضروری است که مشارکت اجرایی تا حد امکان قابل‌ مشاهده و تا حد امکان باثبات باشد. در غیر این صورت، فارغ از اینکه دامنه حادثه امنیتی چقدر باشد، تیم به‌طور مؤثر برای به حداقل رساندن تأثیر منفی و بازیابی سریع مجهز نخواهد شد.
نکته کلیدی این است که ارزش این نقش‌های حساس تیم واکنش به رخداد  برای مدیران اجرایی تفهیم شود. صرف نظر از صنعت، مدیران همیشه به راه‌هایی برای کسب درآمد و جلوگیری از ضرر علاقه‌مند هستند. هرچه بتوانید اهداف و فعالیت‌های تیم خود را با کاهش ریسک واقعی و قابل اندازه‌گیری (به‌عبارت‌دیگر کاهش هزینه) پیوند دهید، استقبال مدیران از فعالیت تیم شما بیشتر خواهد بود.  این مسئله سبب شده تا نیاز به ​انواع مدل‌های مرکز عملیات امنیت​ و راهکارهای امنیتی برای حفاظت از اطلاعات در سطح شبکه‌ها و سیستم‌های کامپیوتری احساس شود.
معیارهای قابل‌ سنجش (مثلاً کاهش تعداد ساعت کاری با استفاده از ابزار فارنزیک جدید) و گزارش و ارتباطات قابل‌ اعتماد، بهترین راه برای در مرکزیت نگه داشتن تیم از نظر اولویت اجرایی و پشتیبانی خواهد بود.





お気に入りの記事を「いいね!」で応援しよう

最終更新日  2023.04.19 07:46:51
コメント(0) | コメントを書く



© Rakuten Group, Inc.