امنیت

پس از حمله سایبری چه کارهایی باید انجام دهیم؟

‌اوایل اسفندماه 99 بود که خبری در ارتباط با حمله به یکی از شرکت‌های بزرگ زیرساخت ابری در ایران منتشر شد و کمی پس از آن کاربران فضای مجازی دیدگاه‌های شخصی خود در ارتباط با این رخداد، تاثیرات آن و تمهیداتی که شرکت مسئول باید اعمال می‌کرد را مطرح کردند. به فاصله کوتاهی از این اتفاق اعلام شد حمله فوق با هدف حذف اطلاعات مشتریان این شرکت انجام گرفته، هیچ‌گونه نشت داده‌ها اتفاق نیافتاده و کارمندان این شرکت در تلاش هستند تا شرایط را به حالت اولیه بازگردانند. فارغ از نوع حمله و تاثیرات مستقیم و غیر‌مستقیمی که بر جای گذاشت، نکته مهمی که باید به آن دقت کنیم رعایت اصلی است که اعلام می‌دارد، سازمان‌ها و شرکت‌های بزرگ و حساس برای مقابله با تهدیدات هکری به یک برنامه واکنش به حوادث امنیتی نیاز دارند تا بتوانند در کوتاه‌مدت همه چیز را به حالت اولیه باز گردانند. واکنش به حوادث امنیتی تاثیرگذار بر عملکرد و دارایی‌های یک سازمان، مستلزم وجود یک برنامه هماهنگ و قابل اجرا است. در این مقاله قصد داریم، چگونگی واکنش به حمله‌های سایبری را به زبانی ساده و در قالب گام‌های اجرایی شرح دهیم.

بایدها و نبایدهای پاسخ به حوادث

هنگامی که حمله سایبری اتفاق می‌افتد بدون اتلاف وقت، نباید شتاب‌زده و بی‌برنامه عمل کرد. در چنین شرایطی باید بر مبنای یک راه‌حل جامع از قبل تهیه شده، گام برداشت تا نشانه‌ها از میان نروند یا ناخواسته در‌های جدیدی به روی هکرها گشوده نشود. در زمان وقوع حادثه ارتباطات تیم‌ها و کارمندان با یکدیگر باید به گونه‌ای باشد که محرمانگی اطلاعاتی حفظ شود. مدیر پاسخ به حادثه باید محور اصلی تمامی ارتباطات باشد و تنها افراد موردنیاز در جریان جزئیات حادثه، نشانه‌های نفوذ، روش‌ها و تکنیک‌هایی قرار بگیرند که هکرها استفاده کرده‌اند. ایمن‌سازی ارتباطات به گونه‌ای که مهاجمان قادر به مشاهده پیام‌ها نباشند، اهمیت زیادی دارد تا اطلاعاتی در ارتباط با روند تحقیقات در اختیار هکرها قرار نگیرد. هرگونه نشانه‌ای که مشخص کند به دنبال آن‌ها (هکرها) هستید، باعث می‌شود تاکتیک خود را تغییر دهند و فعالیت‌های خود را با اختفای بیشتری انجام دهند.

5 اقدامی که نباید انجام دهید

  1. 1. وحشت ‌زده نشوید: ترس بدترین احساسی است که به سراغ‌تان می‌آید. آرامش خود را حفظ کنید و اگر طرحی برای پاسخ‌گویی به حوادث تدوین کرده‌اید به سراغ آن بروید. وجود چنین طرحی یک مسیر از پیش تعریف شده در اختیارتان قرار می‌دهد تا بهترین کارهای قابل انجام در زمان وقوع حادثه را انجام دهید.
  2. 2. ‌اطلاع‌رسانی همگانی انجام ندهید: درباره حادثه با کسی صحبت نکنید، مگر آن‌که دستور صریحی از مقام بالاتر از خود دریافت کرده باشید. درباره این‌که قرار است با چه افرادی در ارتباط با حادثه اتفاق افتاده صحبت کنید محتاط باشید.
  3. 3. از حساب کاربری مدیر سیستم استفاده نکنید: برای دسترسی به سامانه‌ها از حساب کاربری مدیر استفاده نکنید. هکرها ممکن است منتظر ورود کاربر با این حساب باشند تا گذرواژه را به دست آورده و کنترل کامل محیط را به دست گیرند.
  4. 4. سامانه‌های آلوده نباید خاموش شوند: سامانه‌های آلوده را خاموش نکنید. با خاموش کردن سامانه‌ها ممکن است داده‌هایی که درون حافظه اصلی قرار دارند و برای کشف جرم نقش حیاتی دارند از بین بروند. این اطلاعات نقش مهمی در تحقیق و بررسی حوادث دارند.
  5. از ابزارهای متفرقه برای جرم‌شناسی استفاده نکنید: هیچ نرم‌افزاری به جز ابزارهای جرم‌شناسی را روی سامانه‌های آلوده نصب نکنید، این‌کار باعث می‌شود اطلاعات حمله که در جدول Master File Table قرار دارند رونویسی و پاک شوند.

5 اقدامی که پس از وقوع حوادث باید انجام دهید

  1. 1. جمع‌آوری داده‌ها: ابزارهای جرم‌‌شناسی، داده‌هایی که درون حافظه اصلی سیستم قرار دارند را همراه با داده‌های مهم ذخیره شده در سامانه‌ها جمع‌آوری می‌کنند. ابزارهای جرم‌شناسی می‌توانند بدون تغییر هرگونه برچسب زمانی به سامانه‌ها متصل شوند.
  2. 2. اطلاعات خارجی: اطلاعات خارجی را بر مبنای نشانه‌های نفوذ شناخته شده جمع‌آوری کنید. بهتر است در ارتباط با الگوریتم‌های رمزنگاری MD5، آدرس آی‌پی و دامنه‌هایی که در زمان بررسی‌های اولیه با آن‌ها روبرو شده‌اید تحقیق کنید. هدف از انجام این‌کار مشخص کردن نوع آلودگی یا بدافزاری است که ممکن است به سامانه‌ها وارد شده باشد.
  3. محافظت از سامانه‌ها: از سامانه‌ها و تجهیزات ذخیره‌ساز اطلاعات که در ارتباط با جمع‌آوری اطلاعات جرم‌شناسی استفاده می‌شوند، محافظت کنید.
  4. 4. جمع‌آوری گزارش‌ها: گزارش‌های مناسب که اطلاعات ارزشمندی دارند را جمع‌آوری کنید. این گزارش‌ها باید در ارتباط با رخدادهای ویندوز، دیوارآتش، جریان ترافیک شبکه، نرم‌افزار ضدویروس، پروکسی و نرم‌افزارهای مرتبط با شبکه باشند. علاوه بر این گزارش‌های مربوط به نقاط پایانی نیز باید جمع‌آوری شوند.

تیم واکنش به حادثه ایجاد کنید

هنگامی که کسب‌وکار خود را راه‌اندازی کردید، در اولین گام باید به فکر آماده‌سازی تیم واکنش به حادثه باشید. تیم واکنش به حادثه، تیمی مرکزی است که مسئولیت آن واکنش به اتفاقاتی است که در سطح سازمان یا شرکت رخ می‌دهد. این تیم گزارش‌ نفوذهای امنیتی را دریافت و تحلیل می‌کند و واکنش لازم را تدارک می‌بیند. تیم واکنش به حوادث باید متشکل از افراد زیر باشد:

  1. مدیر واکنش به حادثه: مدیر واکنش به حادثه بر مراحل ضروری تشخیص، تحلیل و مقابله با حادثه نظارت می‌کند و مراحل مذکور را اولویت‌بندی می‌کند. علاوه بر این، در صورت وقوع حوادثی با خطرات سطح بالا، برای گفت‌وگو در رابطه با یافته‌ها، وضعیت و نیازها با سایر بخش‌های سازمان نظیر واحد امنیت، منابع انسانی و غیره در تعامل خواهد بود.
  2. تحلیل‌گر امنیت: تحلیل‌گران امنیتی کارشناسانی هستند که با بررسی‌های موشکافانه سعی می‌کنند زمان وقوع حادثه و فعالیت‌هایی که در مدت زمان وقوع حادثه اتفاق افتاده‌اند را شناسایی کنند. در سازمان‌های بزرگ گروهی از تحلیل‌گران که زیرمجموعه تیم واکنش به حادثه هستند تشکیل می‌شود. اعضاء این گروه به شرح زیر هستند:
  3. تحلیل‌گر تریاژ (Triage): تشخیص‌های مثبت کاذب را حذف می‌کند و اگر یک نفوذ احتمالی را شناسایی کند به واحدهای مربوطه هشدار می‌دهد.
  4. تحلیل‌گر جرم‌شناسی: داده‌های مهم را جمع‌آوری می‌کند و مواظب است که جامعیت و صحت اطلاعات حفظ شوند تا روند تحقیق و بازرسی با مشکلی روبرو نشود.
  5. پژوهشگران تهدید: پژوهشگران تهدید افرادی هستند که مهارت کافی در زمینه هوش تهدید دارند و قادر هستند شرایط حمله را مشخص کنند و تا حد زیادی به تحلیل‌گران کمک می‌کنند. این افراد دائما در حال تحقیق هستند و اطلاعاتی که توسط منابع مختلف گزارش شده را ارزیابی می‌کنند. در ادامه یک پایگاه داده درون سازمانی درباره هوش داخلی به دست آمده از حادثه فعلی و حوادث قبلی ایجاد می‌کنند.

دریافت پشتیبانی از یک یا چند تیم تخصصی

شرکای تجاری و سهام‌داران کسب‌وکار باید به طور کامل طرح واکنش به حادثه را درک کنند و از آن پشتیبانی کنند. با اجرای درست و مناسب این طرح، در صورت بروز یک حمله هکری این امکان وجود دارد که ترافیک را به سمت مقصد دیگری هدایت کرد و در همان زمان کارهای لازم برای مقابله با حمله را انجام داد، بدون آنکه نیازی باشد تا خدمات به طور کامل از دسترس خارج شوند.

مدیریت

یکی دیگر از اقدامات مهمی که باید انجام شود، جلب حمایت مدیر یا هئیت مدیره با هدف دریافت منابع، بودجه، کارمندان و زمان لازم برای برنامه‌ریزی و اجرای طرح واکنش به حادثه است.

منابع انسانی

اگر مشخص شود که یکی از کارمندان در حادثه نقش داشته باید بخش منابع انسانی به سرعت وارد عمل شود. به طور مثال، کارمندی که روی سروری که اهمیت زیادی دارد، ایمیلی را باز کرده و راه را برای ورود بدافزارها یا دسترسی هکرها به حساب‌ها هموار کرده است، باید به سرعت شناسایی شود.

متخصصان مدیریت مخاطره و بازرسی

این افراد مسئول هستند تا آسیب‌پذیری‌ها را شناسایی کنند و سنجه‌هایی را طراحی کنند که فرایند شناسایی تهدیدها را ساده می‌کند.

مشاور حقوقی

نقش مشاور حقوقی، بررسی و تضمین این مسئله است که تمامی شواهد جمع‌آوری شده پس از بروز حادثه، ارزش لازم برای ارائه در مجامع قانونی را دارند. یکی از وظایف مشاور حقوقی این است که در صورت شکایت با استناد به مفاد مندرج در قرارداد، مسئولیت‌های شرکت در قبال مشتریان، فروشندگان و عموم مردم در ارتباط با حادثه را شرح دهد.

روابط عمومی

نقش روابط عمومی، برقراری ارتباط با مدیران تیم و تشریح مشکل به زبان ساده به گونه‌ای است که همگان شناخت دقیق و درستی در ارتباط با مشکل و وضعیت شرکت داشته باشند. علاوه بر این، باید به سهام‌داران درباره وضعیت جاری اطلاع‌رسانی دقیقی کند و در صورت لزوم، به کاربران هشدارهای لازم را بدهد.

تیم پاسخ به حادثه چه وظایفی دارد؟

از مهم‌ترین وظایف تیم پاسخ به حادثه به موارد زیر باید اشاره کرد:

  • تعیین تأثیر یا حوزه حادثه
  • انجام کارهای لازم برای به حداقل رساندن تأثیر حمله
  • تحلیل هوش امنیت
  • تعیین دارایی‌های آسیب‌پذیر
  • انجام تحلیل‌های جرم‌شناسی
  • تغییر کنترل‌های امنیتی برای پیشگیری از وقوع حوادث مشابه در آینده
  • اجرای اصلاحات با توجه به تجارب گذشته
  • جمع‌آوری داده‌ها برای ارزیابی شرایط

ساخت چارچوب طبقه‌بندی حوادث

پیاده‌سازی چارچوب طبقه‌بندی حوادث نقش مهمی در اولویت‌بندی آن‌ها دارد. علاوه بر این به کسب‌وکار کمک می‌کند تا سنجه‌های معناداری برای استفاده در آینده مشخص کند. کارشناسان امنیتی پیشنهاد می‌کنند برنامه جامع پاسخ‌گویی به حوادث به دو بخش طبقه‌بندی و رده‌بندی تقسیم شوند که هر یک زیر مجموعه‌های خاص خود را دارند.

طبقه‌بندی حوادث امنیتی

در مدت زمان چرخه مدیریت حادثه و هم‌زمان با دریافت اطلاعات در مورد آن، طبقه‌بندی حادثه ممکن است چند مرتبه بازنویسی شده و تغییر کند. طبقه‌بندی حوادث از سه زیر مجموعه مهم به شرح زیر تشکیل می‌شود.

  1. دسته‌بندی: در این زیرمجموعه باید به دسترسی غیرمجاز به شبکه، بدافزار، محروم‌سازی از سرویس، سوءاستفاده یا غفلت بعضی از مدیران بخش فناوری اطلاعات، تلاش ناموفق برای دسترسی، از دست دادن دارایی‌های فیزیکی و ناهنجاری قابل توضیح پرداخته شود.
  2. نوع: در این زیرمجموعه باید مباحثی نظیر تهدید هدفمند یا فرصت‌طلبانه، تهدید مانای (Mana) پیشرفته، حمله جاسوسی با حمایت یک سازمان مشخص، تهدید هکتیویسم (Hacktivism)، تهدید داخلی و تهدیدهایی با هدف ایجاد مزاحمت بررسی شود.

3شدت: در این زیرمجموعه باعث مباحثی نظیر تاثیر مهم و حیاتی، تهدید جانی یا امنیت عمومی، تاثیر بالا، تهدید بر ضد داده‌های حساس، تاثیر متوسط، تهدید سیستم‌های رایانه‌ای، تاثیر کم و ایجاد اختلال در سرویس‌ها بررسی شود.

رده‌بندی حوادث امنیتی

رده‌بندی حوادث به تیم‌ها کمک می‌کند به شکل هدفمندی به مقابله با تأثیرات جانبی حمله و پیشگیری از بروز حملات در آینده بپردازند. بر همین اساس ضروری است در زمان تدوین رده‌بندی به موارد زیر به دقت رسیدگی کنید. با توجه به این‌که رده‌بندی حادثه، اطلاعات بیشتری برای شناسایی علت ریشه‌ای، روند حادثه و هوش تهدید و اطلاعات لازم برای تعیین راهکارهای واکنشی ضروری ارائه می‌کند باید به دقت تدوین شود. رده‌بندی از بخش‌های زیر تشکیل شده است:

  1. روش تشخیص: در این زیرمجموعه باید موارد مهمی نظیر کاربر، راه‌حل‌های خاص، درخواست کمک از نهادهای قانونی نظیر پلیس فتا، سیستم‌های شناسایی و مقابله با نفوذ، سیستم‌های جلوگیری از نشت داده، دیوارآتش، ضدویروس، پروکسی و پروتکل Netflow بررسی شوند.
  2. 2. مسیر حمله: زیرمجموعه فوق به این دلیل مهم است که اطلاعات دقیقی در ارتباط با نوع و مسیر حمله ارائه می‌کند. در این زمینه باید اطلاعات کافی در مورد ویروس‌ها، پیوست‌های ایمیل، صفحات وب، پنجره‌های پاپ‌آپ، سیستم‌های پیام‌رسان، کارهای کاربران، سوءاستفاده از آسیب‌پذیری‌های سیستم و شرکت‌های شخص ثالث و غیره به دست آید.
  3. تاثیر: زمانی که حمله‌ای انجام می‌شود تاثیرات مختلفی بر جای می‌گذارد، بنابراین باید در برنامه جامع مواردی نظیر اخراج کارمند، نقض قوانین، از دست رفتن بهره‌وری، دسترسی‌های غیرمجاز، نقص در وب سایت، تخریب اعتبار برند، پرونده‌های قانونی، محروم‌سازی از سرویس، ایجاد خطر برای یک یا چند آی‌پی و اجرای کد مخرب بررسی شود.
  4. نیت و هدف از انجام حمله: با توجه به این‌که تمامی حمله‌های سایبری هدف‌مند هستند، در این بخش باید مواردی نظیر غیرمخرب، مخرب، سرقت، تصادفی، آسیب فیزیکی، کلاهبرداری، بدنامی، رسوایی و جاسوسی بررسی شود.
  5. 5. داده‌های افشا شده: به ندرت اتفاق می‌افتد که یک حمله سایبری تاثیری بر افشای داده‌ها نداشته باشد. بنابراین باید در برنامه جامع به این مسئله پرداخته شود که افشای داده‌ها باعث بروز مشکل در چه بخش یا بخش‌هایی شده است.
  6. 6. علت ریشه‌ای بروز حمله: در این بخش باید علت بروز حمله مشخص شود تا بتوان اقدامات مناسب را انجام داد. بنابراین باید اقدامات غیرمجاز، مدیریت آسیب‌پذیری، سرقت، خطا یا نقص در کنترل‌های امنیتی، نادیده گرفتن خط‌مشی‌ها، غفلت کاربران، عدم پیروی از استانداردهایی مثل PII، PCI، HIPAA یا غفلت ارایه‌دهنده یک سرویس در ارتباط با پروتکل‌های امنیتی بررسی شود.

ردیابی هکرها از طریق گزارش‌های ثبت شده توسط ضدویروس‌ها

برخی کارشناسان امنیتی بر این باور هستند که ضدویروس‌های مورد استفاده توسط سازمان‌ها ممکن است ۱۰ تا ۱۵ درصد بدافزارها را شناسایی نکند، اما گزارش‌های مهمی در ارتباط با نشانه‌های مهم حمله جمع‌آوری می‌کنند. هنگامی‌که هکرها به شبکه سازمان نفوذ کنند، اولین هدف آن‌ها جمع‌آوری گذرواژه‌ها با استفاده از نرم‌افزارهای سرقت اطلاعات ورود به حساب‌های کاربری است. به طور معمول ضدویروس‌ها به سرعت قادر به شناسایی این موضوع هستند و مانع اجرای نرم‌افزارهای مخرب می‌شوند، اما گاهی اوقات در این زمینه با شکست روبرو می‌شوند. بااین‌حال، در بیشتر موارد هرگونه فعالیتی که با ابزارهای مخرب مرتبط است را در قالب گزارش‌هایی ضبط می‌کنند. در اختیار داشتن گزارش درباره اولین تلاش مهم است، زیرا ممکن است با همین سرنخ بتوانید یک حادثه احتمالی را شناسایی کنید.

5 مرحله واکنش به حادثه

در زمان بروز حمله باید در قالب یک برنامه پنج مرحله‌ای به حادثه پاسخ دهید. این پنج مرحله شامل آمادگی، تشخیص و گزارش‌دهی، اولویت‌بندی (تریاژ) و تحلیل، مقابله با حمله و پاک‌سازی آن و اقدامات پس از حادثه است.

  1. آمادگی

آمادگی، نقشی مهمی در واکنش به حادثه دارد. اعضا تیم واکنش به حادثه باید در ارتباط با مباحث زیر آمادگی لازم را داشته باشند:

تنظیم و مستندسازی خط‌مشی‌های واکنش به حادثه: ضروری است تا خط‌مشی‌ها، روال‌ها و چهارچوب‌های لازم در ارتباط با مدیریت پاسخ به حوادث به دقت تنظیم شوند.

دستورالعمل‌های لازم برای برقراری ارتباط باید مشخص شوند: استانداردها و رهنمودهای لازم برای آماده‌سازی امکان برقراری ارتباط در مدت زمان حادثه باید تدوین شوند.

از فیدهای هوش تهدید استفاده شود: جمع‌آوری، تحلیل و ادغام فیدهای هوش تهدید باید به‌طور مستمر انجام شوند.

مانورهای شکار سایبری باید به طور مرتب اجرا شوند: برای شناسایی حوادثی که در محیط سازمان اتفاق می‌افتند، ضروری است تا مانورهای عملیاتی شکار تهدید اجرا شوند. در چنین شرایطی قادر هستید برای پاسخ‌گویی به حوادث از یک رویکرد پیشگیرانه استفاده کنید.

  1. تشخیص و گزارش دهی

در این مرحله تمرکز باید روی نظارت بر رخدادهای امنیتی و شناسایی ارتباط آن‌ها برای تشخیص، گزارش و هشداردهی درباره حوادث امنیتی باشد. یکی از موضوعات مهمی که باید به آن دقت کنید نظارت است. نظارت بر رخدادهای امنیتی مختلفی که در سامانه‌های متفاوت سازمان اتفاق می‌افتد و شناسایی ارتباط آن‌ها با یکدیگر نقش مهمی در تشخیص دقیق علت بروز حمله دارد. این سیستم‌ها ممکن است دیوارهای آتش، سامانه‌های مقابله با نفوذ و سامانه‌های جلوگیری از نشت داده باشند. عامل مهم دیگری که نباید نادیده گرفته شود تشخیص است. با مشخص کردن ارتباط بین رخدادها و هشدارها در یک راهکار مبتنی بر SIEM قادر به شناسایی حوادث امنیتی احتمالی هستید. پس از به سرانجام رساندن دو مرحله قبل نوبت به هشداردهی می‌رسد. در این مرحله تحلیل‌گران هشداری در ارتباط با حادثه آماده می‌کنند، تمامی یافته‌های اولیه را مستندسازی می‌کنند و برآورد اولیه‌ از دسته‌بندی حادثه ارائه می‌کنند و گزارش‌های اولیه برای نهادهای قانونی را آماده می‌کنند. وجود یک راه‌حل SIEM مرکزی که گزارش‌های جمع‌آوری شده از تمامی سامانه‌های امنیتی (ضدویروس، دیوار آتش، سامانه‌های مقابله با نفوذ و جلوگیری از نشت داده) را دریافت کند ضروری است. دقت کنید یک راه‌حل SIEM این امکان را فراهم می‌کند تا تمامی منابع موجود در سازمان را بررسی و فعالیت‌های مخرب احتمالی را شناسایی کنید.

  1. اولویت‌بندی (تریاژ) و تحلیل

در مرحله تریاژ و تحلیل، هدف مشخص کردن محدوده و درک حادثه است. تحلیل‌گران باید برای جمع‌آوری داده‌ها، تحلیل‌های دقیق‌تر و شناسایی نشانه‌های نفوذ از ابزارهای مختلفی استفاده کنند. این افراد باید مهارت و درک کافی درباره سیستم‌ها، جرم‌شناسی دیجیتال، تحلیل حافظه و تحلیل بدافزارها داشته باشند. هم‌زمان با جمع‌آوری نشانه‌ها، تحلیل‌گر باید روی سه حوزه مهم تحلیل نقاط انتهایی، تحلیل کدهای دودویی (فایل‌های اجرایی) و شکار تهدید در سطح سازمان متمرکز شود. تحلیل نقاط انتهایی به تحلیل‌گران در شناسایی آثار باقیمانده از مهاجمان، جمع‌آوری داده‌های لازم برای مشخص کردن جدول زمانی فعالیت‌ها و کپی گرفتن از سامانه‌ها و جمع‌آوری بیت به بیت داده‌ها که در جرم‌شناسی کاربرد دارند و جمع‌آوری اطلاعات حافظه موقت کمک می‌کند. در ارتباط با تحلیل باینری‌ها باید به این نکته مهم دقت شود که ابزارهای مورد استفاده مهاجم بررسی شوند تا بتوان عملکرد این برنامه‌ها را شناسایی کرد. تحلیل باینری به دو صورت تحلیل رفتاری (نرم‌افزار مخرب در یک ماشین مجازی اجرا می‌شود تا بتوان رفتار آن را تحلیل کرد) و تحلیل ایستا (نرم‌افزار مخرب مهندسی معکوس می‌شود تا قابلیت‌های آن مشخص شود) اجرا می‌شود.

  1. مقابله و خنثاسازی

مقابله و خنثی سازی یکی از مهم‌ترین مراحل در برنامه واکنش به حادثه است، زیرا این اطمینان را می‌دهد که آلودگی از محیط به طور کامل برطرف شده است. راهبرد مقابله و خنثی‌سازی، بر مبنای هوش و علایم تهدیدی انجام می‌شود که در مرحله تحلیل حادثه به دست آمده‌اند. پس از بازیابی سیستم و تأیید این‌که هیچ خطر امنیتی وجود ندارد، تمامی خدمات به حالت اولیه باز می‌گردند. یکی از موضوعات مهمی که در این مرحله باید به آن دقت کنید خاموشی هماهنگ شده است. پس از شناسایی تمامی سامانه‌هایی که هکرها به آن‌ها نفوذ کرده‌اند باید هم‌زمان تمام سیستم‌ها (پس از جمع‌آوری مدارک و نشانه‌ها) به شکل هماهنگ خاموش شوند. در زمان خاموش کردن سامانه‌ها باید یک اعلان عمومی برای همه اعضای تیم پاسخ به حادثه ارسال ‌شود. در این مرحله پاک‌سازی و بازسازی انجام می‌شود که تمام سیستم‌های آلوده پاک‌سازی می‌شوند و سیستم‌عامل‌ها دوباره نصب می‌شوند. علاوه بر این باید تمامی حساب‌های کاربری هک شده تغییر کنند. اگر دامنه‌ها یا آی‌پی‌هایی را شناسایی کردید که هکرها برای فرماندهی و کنترل از آن‌ها استفاده کرده‌اند باید گام‌های لازم برای مقابله با تهدید و مسدودسازی ارتباطات مهاجمان در همه کانال‌های خروجی انجام شود.

  1. فعالیت‌های نهایی

پس از آنکه تمامی اقدامات لازم انجام شد در مرحله بعد باید به سراغ تکمیل گزارش حادثه بروید. ثبت و انتشار اطلاعات درباره حادثه برای بهبود و پیشرفت طرح واکنش به حادثه و اضافه کردن راه‌حل‌های امنیتی با هدف پیشگیری از وقوع حوادث مشابه ضروری است. در این مرحله باید به دقت فعالیت‌های پس از حادثه را رصد کنید، زیرا ممکن است هکرها دومرتبه بازگردند. پیشنهاد می‌کنیم دوباره داده‌های SIEM را تحلیل کنید تا هرگونه نشانه‌ای که می‌تواند با حادثه قبلی در ارتباط باشد شناسایی شود. در این مرحله ضروری است تا فیدهای هوش تهدید سازمان را به‌روزرسانی کنید و راه‌حل‌های امنیتی جدیدی برای پیشگیری از حوادث آتی اتخاذ کنید

منبع:Shabakeh-mag

مقالات مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا