پس از حمله سایبری چه کارهایی باید انجام دهیم؟
اوایل اسفندماه 99 بود که خبری در ارتباط با حمله به یکی از شرکتهای بزرگ زیرساخت ابری در ایران منتشر شد و کمی پس از آن کاربران فضای مجازی دیدگاههای شخصی خود در ارتباط با این رخداد، تاثیرات آن و تمهیداتی که شرکت مسئول باید اعمال میکرد را مطرح کردند. به فاصله کوتاهی از این اتفاق اعلام شد حمله فوق با هدف حذف اطلاعات مشتریان این شرکت انجام گرفته، هیچگونه نشت دادهها اتفاق نیافتاده و کارمندان این شرکت در تلاش هستند تا شرایط را به حالت اولیه بازگردانند. فارغ از نوع حمله و تاثیرات مستقیم و غیرمستقیمی که بر جای گذاشت، نکته مهمی که باید به آن دقت کنیم رعایت اصلی است که اعلام میدارد، سازمانها و شرکتهای بزرگ و حساس برای مقابله با تهدیدات هکری به یک برنامه واکنش به حوادث امنیتی نیاز دارند تا بتوانند در کوتاهمدت همه چیز را به حالت اولیه باز گردانند. واکنش به حوادث امنیتی تاثیرگذار بر عملکرد و داراییهای یک سازمان، مستلزم وجود یک برنامه هماهنگ و قابل اجرا است. در این مقاله قصد داریم، چگونگی واکنش به حملههای سایبری را به زبانی ساده و در قالب گامهای اجرایی شرح دهیم.
بایدها و نبایدهای پاسخ به حوادث
هنگامی که حمله سایبری اتفاق میافتد بدون اتلاف وقت، نباید شتابزده و بیبرنامه عمل کرد. در چنین شرایطی باید بر مبنای یک راهحل جامع از قبل تهیه شده، گام برداشت تا نشانهها از میان نروند یا ناخواسته درهای جدیدی به روی هکرها گشوده نشود. در زمان وقوع حادثه ارتباطات تیمها و کارمندان با یکدیگر باید به گونهای باشد که محرمانگی اطلاعاتی حفظ شود. مدیر پاسخ به حادثه باید محور اصلی تمامی ارتباطات باشد و تنها افراد موردنیاز در جریان جزئیات حادثه، نشانههای نفوذ، روشها و تکنیکهایی قرار بگیرند که هکرها استفاده کردهاند. ایمنسازی ارتباطات به گونهای که مهاجمان قادر به مشاهده پیامها نباشند، اهمیت زیادی دارد تا اطلاعاتی در ارتباط با روند تحقیقات در اختیار هکرها قرار نگیرد. هرگونه نشانهای که مشخص کند به دنبال آنها (هکرها) هستید، باعث میشود تاکتیک خود را تغییر دهند و فعالیتهای خود را با اختفای بیشتری انجام دهند.
5 اقدامی که نباید انجام دهید
- 1. وحشت زده نشوید: ترس بدترین احساسی است که به سراغتان میآید. آرامش خود را حفظ کنید و اگر طرحی برای پاسخگویی به حوادث تدوین کردهاید به سراغ آن بروید. وجود چنین طرحی یک مسیر از پیش تعریف شده در اختیارتان قرار میدهد تا بهترین کارهای قابل انجام در زمان وقوع حادثه را انجام دهید.
- 2. اطلاعرسانی همگانی انجام ندهید: درباره حادثه با کسی صحبت نکنید، مگر آنکه دستور صریحی از مقام بالاتر از خود دریافت کرده باشید. درباره اینکه قرار است با چه افرادی در ارتباط با حادثه اتفاق افتاده صحبت کنید محتاط باشید.
- 3. از حساب کاربری مدیر سیستم استفاده نکنید: برای دسترسی به سامانهها از حساب کاربری مدیر استفاده نکنید. هکرها ممکن است منتظر ورود کاربر با این حساب باشند تا گذرواژه را به دست آورده و کنترل کامل محیط را به دست گیرند.
- 4. سامانههای آلوده نباید خاموش شوند: سامانههای آلوده را خاموش نکنید. با خاموش کردن سامانهها ممکن است دادههایی که درون حافظه اصلی قرار دارند و برای کشف جرم نقش حیاتی دارند از بین بروند. این اطلاعات نقش مهمی در تحقیق و بررسی حوادث دارند.
- از ابزارهای متفرقه برای جرمشناسی استفاده نکنید: هیچ نرمافزاری به جز ابزارهای جرمشناسی را روی سامانههای آلوده نصب نکنید، اینکار باعث میشود اطلاعات حمله که در جدول Master File Table قرار دارند رونویسی و پاک شوند.
5 اقدامی که پس از وقوع حوادث باید انجام دهید
- 1. جمعآوری دادهها: ابزارهای جرمشناسی، دادههایی که درون حافظه اصلی سیستم قرار دارند را همراه با دادههای مهم ذخیره شده در سامانهها جمعآوری میکنند. ابزارهای جرمشناسی میتوانند بدون تغییر هرگونه برچسب زمانی به سامانهها متصل شوند.
- 2. اطلاعات خارجی: اطلاعات خارجی را بر مبنای نشانههای نفوذ شناخته شده جمعآوری کنید. بهتر است در ارتباط با الگوریتمهای رمزنگاری MD5، آدرس آیپی و دامنههایی که در زمان بررسیهای اولیه با آنها روبرو شدهاید تحقیق کنید. هدف از انجام اینکار مشخص کردن نوع آلودگی یا بدافزاری است که ممکن است به سامانهها وارد شده باشد.
- محافظت از سامانهها: از سامانهها و تجهیزات ذخیرهساز اطلاعات که در ارتباط با جمعآوری اطلاعات جرمشناسی استفاده میشوند، محافظت کنید.
- 4. جمعآوری گزارشها: گزارشهای مناسب که اطلاعات ارزشمندی دارند را جمعآوری کنید. این گزارشها باید در ارتباط با رخدادهای ویندوز، دیوارآتش، جریان ترافیک شبکه، نرمافزار ضدویروس، پروکسی و نرمافزارهای مرتبط با شبکه باشند. علاوه بر این گزارشهای مربوط به نقاط پایانی نیز باید جمعآوری شوند.
تیم واکنش به حادثه ایجاد کنید
هنگامی که کسبوکار خود را راهاندازی کردید، در اولین گام باید به فکر آمادهسازی تیم واکنش به حادثه باشید. تیم واکنش به حادثه، تیمی مرکزی است که مسئولیت آن واکنش به اتفاقاتی است که در سطح سازمان یا شرکت رخ میدهد. این تیم گزارش نفوذهای امنیتی را دریافت و تحلیل میکند و واکنش لازم را تدارک میبیند. تیم واکنش به حوادث باید متشکل از افراد زیر باشد:
- مدیر واکنش به حادثه: مدیر واکنش به حادثه بر مراحل ضروری تشخیص، تحلیل و مقابله با حادثه نظارت میکند و مراحل مذکور را اولویتبندی میکند. علاوه بر این، در صورت وقوع حوادثی با خطرات سطح بالا، برای گفتوگو در رابطه با یافتهها، وضعیت و نیازها با سایر بخشهای سازمان نظیر واحد امنیت، منابع انسانی و غیره در تعامل خواهد بود.
- تحلیلگر امنیت: تحلیلگران امنیتی کارشناسانی هستند که با بررسیهای موشکافانه سعی میکنند زمان وقوع حادثه و فعالیتهایی که در مدت زمان وقوع حادثه اتفاق افتادهاند را شناسایی کنند. در سازمانهای بزرگ گروهی از تحلیلگران که زیرمجموعه تیم واکنش به حادثه هستند تشکیل میشود. اعضاء این گروه به شرح زیر هستند:
- تحلیلگر تریاژ (Triage): تشخیصهای مثبت کاذب را حذف میکند و اگر یک نفوذ احتمالی را شناسایی کند به واحدهای مربوطه هشدار میدهد.
- تحلیلگر جرمشناسی: دادههای مهم را جمعآوری میکند و مواظب است که جامعیت و صحت اطلاعات حفظ شوند تا روند تحقیق و بازرسی با مشکلی روبرو نشود.
- پژوهشگران تهدید: پژوهشگران تهدید افرادی هستند که مهارت کافی در زمینه هوش تهدید دارند و قادر هستند شرایط حمله را مشخص کنند و تا حد زیادی به تحلیلگران کمک میکنند. این افراد دائما در حال تحقیق هستند و اطلاعاتی که توسط منابع مختلف گزارش شده را ارزیابی میکنند. در ادامه یک پایگاه داده درون سازمانی درباره هوش داخلی به دست آمده از حادثه فعلی و حوادث قبلی ایجاد میکنند.
دریافت پشتیبانی از یک یا چند تیم تخصصی
شرکای تجاری و سهامداران کسبوکار باید به طور کامل طرح واکنش به حادثه را درک کنند و از آن پشتیبانی کنند. با اجرای درست و مناسب این طرح، در صورت بروز یک حمله هکری این امکان وجود دارد که ترافیک را به سمت مقصد دیگری هدایت کرد و در همان زمان کارهای لازم برای مقابله با حمله را انجام داد، بدون آنکه نیازی باشد تا خدمات به طور کامل از دسترس خارج شوند.
مدیریت
یکی دیگر از اقدامات مهمی که باید انجام شود، جلب حمایت مدیر یا هئیت مدیره با هدف دریافت منابع، بودجه، کارمندان و زمان لازم برای برنامهریزی و اجرای طرح واکنش به حادثه است.
منابع انسانی
اگر مشخص شود که یکی از کارمندان در حادثه نقش داشته باید بخش منابع انسانی به سرعت وارد عمل شود. به طور مثال، کارمندی که روی سروری که اهمیت زیادی دارد، ایمیلی را باز کرده و راه را برای ورود بدافزارها یا دسترسی هکرها به حسابها هموار کرده است، باید به سرعت شناسایی شود.
متخصصان مدیریت مخاطره و بازرسی
این افراد مسئول هستند تا آسیبپذیریها را شناسایی کنند و سنجههایی را طراحی کنند که فرایند شناسایی تهدیدها را ساده میکند.
مشاور حقوقی
نقش مشاور حقوقی، بررسی و تضمین این مسئله است که تمامی شواهد جمعآوری شده پس از بروز حادثه، ارزش لازم برای ارائه در مجامع قانونی را دارند. یکی از وظایف مشاور حقوقی این است که در صورت شکایت با استناد به مفاد مندرج در قرارداد، مسئولیتهای شرکت در قبال مشتریان، فروشندگان و عموم مردم در ارتباط با حادثه را شرح دهد.
روابط عمومی
نقش روابط عمومی، برقراری ارتباط با مدیران تیم و تشریح مشکل به زبان ساده به گونهای است که همگان شناخت دقیق و درستی در ارتباط با مشکل و وضعیت شرکت داشته باشند. علاوه بر این، باید به سهامداران درباره وضعیت جاری اطلاعرسانی دقیقی کند و در صورت لزوم، به کاربران هشدارهای لازم را بدهد.
تیم پاسخ به حادثه چه وظایفی دارد؟
از مهمترین وظایف تیم پاسخ به حادثه به موارد زیر باید اشاره کرد:
- تعیین تأثیر یا حوزه حادثه
- انجام کارهای لازم برای به حداقل رساندن تأثیر حمله
- تحلیل هوش امنیت
- تعیین داراییهای آسیبپذیر
- انجام تحلیلهای جرمشناسی
- تغییر کنترلهای امنیتی برای پیشگیری از وقوع حوادث مشابه در آینده
- اجرای اصلاحات با توجه به تجارب گذشته
- جمعآوری دادهها برای ارزیابی شرایط
ساخت چارچوب طبقهبندی حوادث
پیادهسازی چارچوب طبقهبندی حوادث نقش مهمی در اولویتبندی آنها دارد. علاوه بر این به کسبوکار کمک میکند تا سنجههای معناداری برای استفاده در آینده مشخص کند. کارشناسان امنیتی پیشنهاد میکنند برنامه جامع پاسخگویی به حوادث به دو بخش طبقهبندی و ردهبندی تقسیم شوند که هر یک زیر مجموعههای خاص خود را دارند.
طبقهبندی حوادث امنیتی
در مدت زمان چرخه مدیریت حادثه و همزمان با دریافت اطلاعات در مورد آن، طبقهبندی حادثه ممکن است چند مرتبه بازنویسی شده و تغییر کند. طبقهبندی حوادث از سه زیر مجموعه مهم به شرح زیر تشکیل میشود.
- دستهبندی: در این زیرمجموعه باید به دسترسی غیرمجاز به شبکه، بدافزار، محرومسازی از سرویس، سوءاستفاده یا غفلت بعضی از مدیران بخش فناوری اطلاعات، تلاش ناموفق برای دسترسی، از دست دادن داراییهای فیزیکی و ناهنجاری قابل توضیح پرداخته شود.
- نوع: در این زیرمجموعه باید مباحثی نظیر تهدید هدفمند یا فرصتطلبانه، تهدید مانای (Mana) پیشرفته، حمله جاسوسی با حمایت یک سازمان مشخص، تهدید هکتیویسم (Hacktivism)، تهدید داخلی و تهدیدهایی با هدف ایجاد مزاحمت بررسی شود.
3شدت: در این زیرمجموعه باعث مباحثی نظیر تاثیر مهم و حیاتی، تهدید جانی یا امنیت عمومی، تاثیر بالا، تهدید بر ضد دادههای حساس، تاثیر متوسط، تهدید سیستمهای رایانهای، تاثیر کم و ایجاد اختلال در سرویسها بررسی شود.
ردهبندی حوادث امنیتی
ردهبندی حوادث به تیمها کمک میکند به شکل هدفمندی به مقابله با تأثیرات جانبی حمله و پیشگیری از بروز حملات در آینده بپردازند. بر همین اساس ضروری است در زمان تدوین ردهبندی به موارد زیر به دقت رسیدگی کنید. با توجه به اینکه ردهبندی حادثه، اطلاعات بیشتری برای شناسایی علت ریشهای، روند حادثه و هوش تهدید و اطلاعات لازم برای تعیین راهکارهای واکنشی ضروری ارائه میکند باید به دقت تدوین شود. ردهبندی از بخشهای زیر تشکیل شده است:
- روش تشخیص: در این زیرمجموعه باید موارد مهمی نظیر کاربر، راهحلهای خاص، درخواست کمک از نهادهای قانونی نظیر پلیس فتا، سیستمهای شناسایی و مقابله با نفوذ، سیستمهای جلوگیری از نشت داده، دیوارآتش، ضدویروس، پروکسی و پروتکل Netflow بررسی شوند.
- 2. مسیر حمله: زیرمجموعه فوق به این دلیل مهم است که اطلاعات دقیقی در ارتباط با نوع و مسیر حمله ارائه میکند. در این زمینه باید اطلاعات کافی در مورد ویروسها، پیوستهای ایمیل، صفحات وب، پنجرههای پاپآپ، سیستمهای پیامرسان، کارهای کاربران، سوءاستفاده از آسیبپذیریهای سیستم و شرکتهای شخص ثالث و غیره به دست آید.
- تاثیر: زمانی که حملهای انجام میشود تاثیرات مختلفی بر جای میگذارد، بنابراین باید در برنامه جامع مواردی نظیر اخراج کارمند، نقض قوانین، از دست رفتن بهرهوری، دسترسیهای غیرمجاز، نقص در وب سایت، تخریب اعتبار برند، پروندههای قانونی، محرومسازی از سرویس، ایجاد خطر برای یک یا چند آیپی و اجرای کد مخرب بررسی شود.
- نیت و هدف از انجام حمله: با توجه به اینکه تمامی حملههای سایبری هدفمند هستند، در این بخش باید مواردی نظیر غیرمخرب، مخرب، سرقت، تصادفی، آسیب فیزیکی، کلاهبرداری، بدنامی، رسوایی و جاسوسی بررسی شود.
- 5. دادههای افشا شده: به ندرت اتفاق میافتد که یک حمله سایبری تاثیری بر افشای دادهها نداشته باشد. بنابراین باید در برنامه جامع به این مسئله پرداخته شود که افشای دادهها باعث بروز مشکل در چه بخش یا بخشهایی شده است.
- 6. علت ریشهای بروز حمله: در این بخش باید علت بروز حمله مشخص شود تا بتوان اقدامات مناسب را انجام داد. بنابراین باید اقدامات غیرمجاز، مدیریت آسیبپذیری، سرقت، خطا یا نقص در کنترلهای امنیتی، نادیده گرفتن خطمشیها، غفلت کاربران، عدم پیروی از استانداردهایی مثل PII، PCI، HIPAA یا غفلت ارایهدهنده یک سرویس در ارتباط با پروتکلهای امنیتی بررسی شود.
ردیابی هکرها از طریق گزارشهای ثبت شده توسط ضدویروسها
برخی کارشناسان امنیتی بر این باور هستند که ضدویروسهای مورد استفاده توسط سازمانها ممکن است ۱۰ تا ۱۵ درصد بدافزارها را شناسایی نکند، اما گزارشهای مهمی در ارتباط با نشانههای مهم حمله جمعآوری میکنند. هنگامیکه هکرها به شبکه سازمان نفوذ کنند، اولین هدف آنها جمعآوری گذرواژهها با استفاده از نرمافزارهای سرقت اطلاعات ورود به حسابهای کاربری است. به طور معمول ضدویروسها به سرعت قادر به شناسایی این موضوع هستند و مانع اجرای نرمافزارهای مخرب میشوند، اما گاهی اوقات در این زمینه با شکست روبرو میشوند. بااینحال، در بیشتر موارد هرگونه فعالیتی که با ابزارهای مخرب مرتبط است را در قالب گزارشهایی ضبط میکنند. در اختیار داشتن گزارش درباره اولین تلاش مهم است، زیرا ممکن است با همین سرنخ بتوانید یک حادثه احتمالی را شناسایی کنید.
5 مرحله واکنش به حادثه
در زمان بروز حمله باید در قالب یک برنامه پنج مرحلهای به حادثه پاسخ دهید. این پنج مرحله شامل آمادگی، تشخیص و گزارشدهی، اولویتبندی (تریاژ) و تحلیل، مقابله با حمله و پاکسازی آن و اقدامات پس از حادثه است.
-
آمادگی
آمادگی، نقشی مهمی در واکنش به حادثه دارد. اعضا تیم واکنش به حادثه باید در ارتباط با مباحث زیر آمادگی لازم را داشته باشند:
تنظیم و مستندسازی خطمشیهای واکنش به حادثه: ضروری است تا خطمشیها، روالها و چهارچوبهای لازم در ارتباط با مدیریت پاسخ به حوادث به دقت تنظیم شوند.
دستورالعملهای لازم برای برقراری ارتباط باید مشخص شوند: استانداردها و رهنمودهای لازم برای آمادهسازی امکان برقراری ارتباط در مدت زمان حادثه باید تدوین شوند.
از فیدهای هوش تهدید استفاده شود: جمعآوری، تحلیل و ادغام فیدهای هوش تهدید باید بهطور مستمر انجام شوند.
مانورهای شکار سایبری باید به طور مرتب اجرا شوند: برای شناسایی حوادثی که در محیط سازمان اتفاق میافتند، ضروری است تا مانورهای عملیاتی شکار تهدید اجرا شوند. در چنین شرایطی قادر هستید برای پاسخگویی به حوادث از یک رویکرد پیشگیرانه استفاده کنید.
-
تشخیص و گزارش دهی
در این مرحله تمرکز باید روی نظارت بر رخدادهای امنیتی و شناسایی ارتباط آنها برای تشخیص، گزارش و هشداردهی درباره حوادث امنیتی باشد. یکی از موضوعات مهمی که باید به آن دقت کنید نظارت است. نظارت بر رخدادهای امنیتی مختلفی که در سامانههای متفاوت سازمان اتفاق میافتد و شناسایی ارتباط آنها با یکدیگر نقش مهمی در تشخیص دقیق علت بروز حمله دارد. این سیستمها ممکن است دیوارهای آتش، سامانههای مقابله با نفوذ و سامانههای جلوگیری از نشت داده باشند. عامل مهم دیگری که نباید نادیده گرفته شود تشخیص است. با مشخص کردن ارتباط بین رخدادها و هشدارها در یک راهکار مبتنی بر SIEM قادر به شناسایی حوادث امنیتی احتمالی هستید. پس از به سرانجام رساندن دو مرحله قبل نوبت به هشداردهی میرسد. در این مرحله تحلیلگران هشداری در ارتباط با حادثه آماده میکنند، تمامی یافتههای اولیه را مستندسازی میکنند و برآورد اولیه از دستهبندی حادثه ارائه میکنند و گزارشهای اولیه برای نهادهای قانونی را آماده میکنند. وجود یک راهحل SIEM مرکزی که گزارشهای جمعآوری شده از تمامی سامانههای امنیتی (ضدویروس، دیوار آتش، سامانههای مقابله با نفوذ و جلوگیری از نشت داده) را دریافت کند ضروری است. دقت کنید یک راهحل SIEM این امکان را فراهم میکند تا تمامی منابع موجود در سازمان را بررسی و فعالیتهای مخرب احتمالی را شناسایی کنید.
-
اولویتبندی (تریاژ) و تحلیل
در مرحله تریاژ و تحلیل، هدف مشخص کردن محدوده و درک حادثه است. تحلیلگران باید برای جمعآوری دادهها، تحلیلهای دقیقتر و شناسایی نشانههای نفوذ از ابزارهای مختلفی استفاده کنند. این افراد باید مهارت و درک کافی درباره سیستمها، جرمشناسی دیجیتال، تحلیل حافظه و تحلیل بدافزارها داشته باشند. همزمان با جمعآوری نشانهها، تحلیلگر باید روی سه حوزه مهم تحلیل نقاط انتهایی، تحلیل کدهای دودویی (فایلهای اجرایی) و شکار تهدید در سطح سازمان متمرکز شود. تحلیل نقاط انتهایی به تحلیلگران در شناسایی آثار باقیمانده از مهاجمان، جمعآوری دادههای لازم برای مشخص کردن جدول زمانی فعالیتها و کپی گرفتن از سامانهها و جمعآوری بیت به بیت دادهها که در جرمشناسی کاربرد دارند و جمعآوری اطلاعات حافظه موقت کمک میکند. در ارتباط با تحلیل باینریها باید به این نکته مهم دقت شود که ابزارهای مورد استفاده مهاجم بررسی شوند تا بتوان عملکرد این برنامهها را شناسایی کرد. تحلیل باینری به دو صورت تحلیل رفتاری (نرمافزار مخرب در یک ماشین مجازی اجرا میشود تا بتوان رفتار آن را تحلیل کرد) و تحلیل ایستا (نرمافزار مخرب مهندسی معکوس میشود تا قابلیتهای آن مشخص شود) اجرا میشود.
-
مقابله و خنثاسازی
مقابله و خنثی سازی یکی از مهمترین مراحل در برنامه واکنش به حادثه است، زیرا این اطمینان را میدهد که آلودگی از محیط به طور کامل برطرف شده است. راهبرد مقابله و خنثیسازی، بر مبنای هوش و علایم تهدیدی انجام میشود که در مرحله تحلیل حادثه به دست آمدهاند. پس از بازیابی سیستم و تأیید اینکه هیچ خطر امنیتی وجود ندارد، تمامی خدمات به حالت اولیه باز میگردند. یکی از موضوعات مهمی که در این مرحله باید به آن دقت کنید خاموشی هماهنگ شده است. پس از شناسایی تمامی سامانههایی که هکرها به آنها نفوذ کردهاند باید همزمان تمام سیستمها (پس از جمعآوری مدارک و نشانهها) به شکل هماهنگ خاموش شوند. در زمان خاموش کردن سامانهها باید یک اعلان عمومی برای همه اعضای تیم پاسخ به حادثه ارسال شود. در این مرحله پاکسازی و بازسازی انجام میشود که تمام سیستمهای آلوده پاکسازی میشوند و سیستمعاملها دوباره نصب میشوند. علاوه بر این باید تمامی حسابهای کاربری هک شده تغییر کنند. اگر دامنهها یا آیپیهایی را شناسایی کردید که هکرها برای فرماندهی و کنترل از آنها استفاده کردهاند باید گامهای لازم برای مقابله با تهدید و مسدودسازی ارتباطات مهاجمان در همه کانالهای خروجی انجام شود.
-
فعالیتهای نهایی
پس از آنکه تمامی اقدامات لازم انجام شد در مرحله بعد باید به سراغ تکمیل گزارش حادثه بروید. ثبت و انتشار اطلاعات درباره حادثه برای بهبود و پیشرفت طرح واکنش به حادثه و اضافه کردن راهحلهای امنیتی با هدف پیشگیری از وقوع حوادث مشابه ضروری است. در این مرحله باید به دقت فعالیتهای پس از حادثه را رصد کنید، زیرا ممکن است هکرها دومرتبه بازگردند. پیشنهاد میکنیم دوباره دادههای SIEM را تحلیل کنید تا هرگونه نشانهای که میتواند با حادثه قبلی در ارتباط باشد شناسایی شود. در این مرحله ضروری است تا فیدهای هوش تهدید سازمان را بهروزرسانی کنید و راهحلهای امنیتی جدیدی برای پیشگیری از حوادث آتی اتخاذ کنید
منبع:Shabakeh-mag