|
|
|
2023.04.19
カテゴリ:カテゴリ未分類
کسانی که در حوزه امنیت و شبکه فعالیت دارند به خوبی می دانند که فقط انسانها و در برخی موارد فقط افراد خاصی میتوانند انجام دهند بنابراین برخی از کارها را نمیتوان خودکارسازی کرد و پاسخ به رخداد یا incident Response یکی از آنها است. به همین دلیل هوشمندانه است که قبل از این که یک حادثه واقعی نیاز به پاسخ داشته باشد، یک تیم واکنش به رخداد (CSIRT) مجهز و آماده برای اقدام داشته باشیم. اولین گام کلیدی این است که نقشها و مسئولیتهایتیم پاسخگویی به رخدادهای امنیتی را بهوضوح تعریف کنیم . در این مطلب به برخی از رخدادهای امنیتی و خدمات امنیتی مورد نیاز برای جلوگیری از حملات سایبری و چندین مسئله در مورد تیم واکنش به رخداد خواهیم پرداخت. اولازهمه، تیم واکنش به رخداد (CSIRT) باید مجهز باشد. در ادامه توصیههایی را با شما به اشتراک میگذاریم که به تیم شما کمک میکند در صورت رخ دادن بدترین سناریو، توانمند شود. دوم اینکه تیم واکنش به رخداد (CSIRT) سایبری باید هدفمند باشد. در هر تلاش تیمی برای خدمات امنیت شبکه، هدفگذاری بسیار مهم است زیرا به شما امکان میدهد حتی در مواقع بحران و استرس شدید متمرکز بمانید. در این مقاله، نحوه جمعآوری و سازماندهی یک تیم (CSIRT)، نحوه مجهز کردن و متمرکز نگه داشتن آن بر روی مهار، بررسی، پاسخ و بازیابی از رخدادهای امنیتی را خواهید آموخت. نقشها و وظایف اعضای تیم واکنش به رخداد (CSIRT) رهبر تیم (Team Leader) تمام فعالیتهای تیم CSIRT یا تیم پاسخ به حادثه را هدایت و هماهنگ میکند و تیم را روی به حداقل رساندن آسیب و بازیابی سریع متمرکز میکند. محقق اصلی (Lead Investigator) نقش محقق اصلی، جمعآوری و تجزیهوتحلیل شواهد، تعیین علت اصلی، هدایت سایر تحلیلگران و پیادهسازی روشهایی برای بازیابی سریع سیستم و خدمات است. رهبر ارتباطات (Communications Lead) تلاش در زمینه پیامرسانی و ارتباطات را برای همه مخاطبان، در داخل و خارج از شرکت رهبری میکند. رهبر اسناد و جدول زمانی (Documentation & Timeline Lead) تمام فعالیتهای تیم، به ویژه وظایف تحقیق، کشف و بازیابی را مستند میکند و جدول زمانی قابلاطمینانی را برای هر مرحله از رخداد ایجاد میکند. نماینده قانونی (HR/Legal Representation) از آنجایی که یک رخداد ممکن است به اتهامات جنایی منجر شود، داشتن راهنما و مشاوره حقوقی و منابع انسانی ضروری است. چه کسانی در تیم واکنش به رخداد (CSIRT) حضور دارند؟ ما عملکردهای اصلی یک تیم واکنش به رخداد (CSIRT) را در این نوشتار مفید و قابلاستفاده گرد هم آوردهایم. ازآنجایی که هر شرکتی تعداد کارکنان متفاوت با مهارتهای متفاوت خواهد داشت، بهجای عناوین احتمالی به عملکردهای اصلی اعضای تیم اشاره کردیم. بنابراین ممکن است متوجه شوید که یک فرد میتواند دو وظیفه را انجام دهد، یا ممکن است بخواهید بسته به ترکیب تیم خود، بیش از یک نفر را به یک کار اختصاص دهید. با این حال، در این مورد چند نکته کلیدی دیگر وجود دارد که باید در نظر داشته باشیم: IT با پشتیبانی اجرایی قوی و مشارکت بین بخشهای مختلف رهبری را برعهده دارد. هنگامی که صحبت از پاسخ به رخداد امنیت سایبری میشود، IT باید با نمایندگی اجرایی از هر واحد بزرگ کسبوکار، پاسخ به رخداد را رهبری کند، به ویژه زمانی که موضوع حقوق و منابع انسانی در میان باشد. با اینکه احتمالاً مدیران ارشد جزء اعضای فعال تیم نخواهند بود، باید برنامهریزی شود که مدیران درموارد مربوط به استخدام و ارتباطات شرکت کنند. نقشها و مسئولیتهای هر یک از اعضای تیم باید به وضوح تعریف و مستندسازی شود و ارتباط بین آنها باید مشخص شود. با وجود اینکه در این مقاله کارکردهای کلی مانند مستندسازی، ارتباط و بررسی ارائه شدهاند، ولی شرکت باید در زمان تشریح نقشهای اعضای تیم خود دقیقتر عمل کند و مطمئن شود که این نقشها را مستند کرده و بهوضوح بین آنها ارتباط برقرار کرده باشد، بهطوریکه افراد تیم بهخوبی هماهنگ شده و قبل از وقوع یک بحران بدانند که از آنها چه انتظاری میرود. باید کانالهای ارتباطی و برنامه جلسات ایجاد، تأیید و منتشر شود. ارتباط مؤثر، رمز موفقیت هر پروژه است، و این امر به ویژه برای تیمهای پاسخ به رخداد صادق است. اطلاعات تماس اعضای تیم باید چاپ و بهطور گسترده توزیع شوند (فقط به نسخههای نرمافزاری دفترچههای تلفن تکیه نکنید. در حال حاضر مرکز عملیات امنیت مدیریت شده (MSSP) یک مرکز با استانداردهای امنیتی و فیزیکی بسیار پیشرفته برای Monitoring و مدیریت سیستمها و تجهیزات امنیتی یک سازمان به صورت برونسپاری شده است. به احتمال زیاد ممکن است در طول یک حادثه امنیتی به آنها دسترسی نداشته باشید). همچنین مخاطبین خارجی مهم را نیز اضافه کنید و مطمئن شوید که در مورد اینکه چه زمانی، چگونه و با چه کسی باید ارتباط برقرار کنید، بحث و مستندسازی انجام شده است. وظایف تیم واکنش به رخداد (CSIRT) یک تیم واکنش به رخداد اطلاعات را تجزیهوتحلیل میکند، مشاهدات و فعالیتها را موردبحث قرار میدهد و گزارشها و ارتباطات مهم را در سراسر شرکت به اشتراک میگذارد. مدت زمان صرف شده برای هر یک از این فعالیتها به یک سؤال کلیدی بستگی دارد: آیا این زمان، زمان آرامش است یا بحران؟ هنگامی که تیم بهطور فعال یک رخداد امنیتی را بررسی نمیکند یا به آن پاسخ نمیدهد، باید حداقل هر سه ماه یکبار برای بررسی روندهای امنیتی فعلی و رویههای پاسخ به رخداد جلسه تشکیل دهد. هر چه یک تیم واکنش به رخداد (CSIRT) بتواند اطلاعات بیشتری را در اختیار کارکنان اجرایی قرار دهد، از نظر حفظ پشتیبانی اجرایی و مشارکت در مواقع موردنیاز (در زمان بحران یا بلافاصله پس از آن) بهتر عمل کرده است. توجه داشته باشید که با توجه به پیشرفت فناوری، افزایش تعداد دستگاههای متصل به اینترنت، رشد روزافزون دادهها و روشهای پیشرفته حملات سایبری، نیاز به استفاده از جداسازی اینترنت از شبکه داخلی و راهکارهای جدیدی برای مدیریت امنیت سایبری احساس میشود. هدف تیم واکنش به رخداد (CSIRT) هدف تیم واکنش به رخداد (CSIRT)، هماهنگ کردن و همسویی منابع کلیدی و اعضای تیم در طول یک رخداد امنیت سایبری برای به حداقل رساندن تأثیر و بازیابی عملیات در سریعترین زمان ممکن است. این امر شامل کارکردهای حیاتی زیر است: تحقیق و تجزیهوتحلیل، ارتباطات، آموزش و آگاهی و همچنین مستندسازی و توسعه جدول زمانی. نکته: فراموش نکنید که به کارگیری UTM بومی در درگاه ورودی شبکه علاوه بر امکان اعمال قدرتمند سیاستهای امنیتی در قالب یک تجهیز، کاهش پیچیدگیها، مدیریت ساده، انعطافپذیری، نگهداری و بهروزرسانی آسان تر را نسبت به دیگر محصولات مشابه به وجود میآورد. اعضای تیم واکنش به رخدادهای امنیتی کجا باید مستقر شوند؟ بیشتر شرکتها در چندین مکان فعالیت میکنند و متأسفانه اکثر رخدادهای امنیتی هم به همین شیوه عمل میکنند. درحالیکه ممکن است نتوان یک عضو اصلی تیم را در هر مکان داشت، سعی کنید جایی که اکثر عملیات کسبوکار و IT اتفاق میافتد، افراد در محل حضور داشته باشند. احتمال اینکه برای انجام برخی تحقیقات و فعالیتهای تحلیلی به دسترسی فیزیکی نیاز باشد بسیار زیاد است. حتی برای کارهای بیاهمیت مانند راهاندازی مجدد سرور یا تعویض هارد دیسک. چگونه میتوان اعضای تیم CSIRT را مجهز کرد؟ اگر تیم واکنش به رخداد (CSIRT) برای انجام کارهایی که باید در زمان بحران انجام شود، قدرت نداشته باشد، هرگز موفق نخواهد شد. به همین دلیل ضروری است که مشارکت اجرایی تا حد امکان قابل مشاهده و تا حد امکان باثبات باشد. در غیر این صورت، فارغ از اینکه دامنه حادثه امنیتی چقدر باشد، تیم بهطور مؤثر برای به حداقل رساندن تأثیر منفی و بازیابی سریع مجهز نخواهد شد. نکته کلیدی این است که ارزش این نقشهای حساس تیم واکنش به رخداد برای مدیران اجرایی تفهیم شود. صرف نظر از صنعت، مدیران همیشه به راههایی برای کسب درآمد و جلوگیری از ضرر علاقهمند هستند. هرچه بتوانید اهداف و فعالیتهای تیم خود را با کاهش ریسک واقعی و قابل اندازهگیری (بهعبارتدیگر کاهش هزینه) پیوند دهید، استقبال مدیران از فعالیت تیم شما بیشتر خواهد بود. این مسئله سبب شده تا نیاز به انواع مدلهای مرکز عملیات امنیت و راهکارهای امنیتی برای حفاظت از اطلاعات در سطح شبکهها و سیستمهای کامپیوتری احساس شود. معیارهای قابل سنجش (مثلاً کاهش تعداد ساعت کاری با استفاده از ابزار فارنزیک جدید) و گزارش و ارتباطات قابل اعتماد، بهترین راه برای در مرکزیت نگه داشتن تیم از نظر اولویت اجرایی و پشتیبانی خواهد بود.
最終更新日
2023.04.19 07:46:51
コメント(0) | コメントを書く |
