پاسخ به حوادث یا پاسخ به تهدیدات در امنیت سایبری چیست و چه اهمیتی دارد؟ برای آشنایی با اقداماتی که پس از حمله هکری به سازمان خود باید انجام دهید، این مقاله را بخوانید.
با اینکه با رعایت اصول امنیت سایبری و امنسازی سازمان خود میتوانید بسیاری از حملات و تهدیدات سایبری را دفع کنید اما همواره امکان اجرای موفق حمله سایبری علیه سازمان شما وجود دارد و در واقع، هیچ شبکه یا سازمانی در دنیا نفوذناپذیر نیست. مسئله مهم این است که در صورت بروز حادثه امنیتی برای سازمان شما باید چه اقداماتی انجام دهید و آیا طرح مشخصی برای چنین شرایطی دارید؟ در این مقاله میخواهیم شما را با یکی از مهمترین اصول امنیت سایبری و امنیت شبکه یعنی پاسخ به حوادث (incident responce) که پاسخ به تهدیدات نیز نامیده میشود، آشنا کنیم. با سایبرنو تا انتهای این مقاله همراه باشید.
منظور از پاسخ به حوادث یا پاسخ به تهدیدات چیست؟
پاسخ به حوادث (Incident Response) روالی است که سازمان باید بعد از یک حمله سایبری انجام دهد. مهمترین اهداف پاسخ به حوادث شامل شناسایی حمله، تعیین آسیبهایی که به سازمان وارد شده و از بین بردن ضعف امنیتی مورد استفاده توسط نفوذگران هستند. منظور از حادثه در اینجا هر گونه عبور از قوانین، خط مشیها و فعالیتهای بدخواهانهای میباشد که ممکن است عملکرد شبکه، رایانهها یا تلفنهای همراه را به خطر بیندازد.
امروزه تعداد حوادث سایبری و انواع آن به ویژه در کشور ما در حال افزایش است و چنانچه سازمانی فاقد فرآیند یا طرحی برای پاسخ به حوادث سایبری باشد، پاسخ به حوادث و بازگشت سامانههای سازمان زمان زیادی میگیرد. گذشته از این، هزینههای سازمان و میزان آسیبی که ممکن است به زیرساختها وارد شود، بسیار بیشتر از سازمانی خواهد بود که از قبل طرح مشخصی برای پاسخ به حادثه سایبری آماده کرده باشد. بنابراین پاسخ به حوادث سایبری (Incident Response) موضوع بسیار مهمی است که هر سازمانی باید با آن توجه کند.
چرا پاسخ به حوادث سایبری مهم است؟
وقتی سازمان شما حادثهای سایبری را به سرعت شناسایی میکند، میتواند فرآیندها و سرویسها را سریعتر به حالت عادی بازگرداند و آسیبپذیریهای امنیتی را نیز حل کند. پاسخ به حادثه سایبری در واقع خط مقدم دفاع در برابر حملات سایبری است و به مرور میتواند منجر به تعریف رویههایی در سازمان شود که از رخداد دوباره حادثه سایبری جلوگیری کند.
چنانچه سازمان شما نتواند حادثه سایبری را در زمان لازم شناسایی و دفع کند، احتمال نشت اطلاعات و تحمیل هزینههای سنگین به سازمان وجود خواهد داشت. پاسخ به حوادث در این مرحله نیز میتواند کمک کند تا جلوی نفوذگران برای نفوذ بیشتر به درون سازمان و دسترسی به اطلاعات حساستر گرفته شود. همچنین در این مرحله میتوان با اجرای فرآیند پاسخ به حوادث سایبری از انجام دوباره حمله با استفاده از روشهای مشابه جلوگیری کرد.
شش مرحله پاسخ به حوادث سایبری کدامند؟
به طور کلی فرآیند پاسخ به حوادث سایبری شامل ۶ مرحله زیر است:
۱- آمادهسازی (Preparation): قبل از وقوع حمله سازمان شما باید کارهای زیر را انجام دهد:
- یک تیم پاسخ به حوادث در سازمان خود ایجاد کنید. اعضای این تیم باید تجربه کافی در حوزه امنیت سایبری داشته باشند.
- خط مشیهای امنیتی را تعیین و به صورت دورهای بررسی کنید. همچنین میزان ریسک ناشی از حملات خارجی یا حملات داخلی (از طریق کارمندان سازمان) را ارزیابی کنید.
- نقاط ضعف سازمان خود، مخصوصا آسیبپذیریها و ضعفهای امنیتی که به خاطر ساختار سازمان قادر به برطرفسازی آنها در وضعیت فعلی نیستید را به خوبی بشناسید. همچنین تجهیزات حساس سازمان خود که حمله نفوذگران به آنها ممکن است باعث آسیبهای جبران ناپذیر به سازمان شما شود را شناسایی کنید.
- دستورالعملی ارتباطی در زمان رخداد حوادث سایبری تعیین کنید. مثلا بعد از رخداد حادثه باید با چه کسانی در داخل یا خارج سازمان تماس بگیرید؟
- نقش، مسئولیتها و وظایف تیم پاسخ به حوادث سایبری را تعیین کنید. همچنین تعیین کنید که پرسنل سازمان شما به چه آموزشهایی برای جلوگیری از ایجاد حوادث سایبری نیاز دارند.
- اعضای تیم پاسخ به حوادث در سازمان را مدیریت کنید و به آنها آموزشهای لازم را ارئه دهید. مطمئن شوید که آنها به کلیه ابزارها و اطلاعات مورد نیاز برای پاسخ به حوادث سایبری دسترسی دارند.
- به پرسنل سازمان خود آموزشهای لازم را ارائه دهید. مثلا به آنها باید آموزش دهید که چگونه باید حوادث سایبری یا هرگونه رخداد مشکوک را گزارش دهند.

۲- شناسایی (Identification): تعیین کنید که تحت چه شرایطی باید تیم پاسخ به حوادث فعالیتش را شروع کند . سامانههای امنیتی اقدام به جمعآوری لاگها از فایروالها، ابزارهای مانیتورینگ و... میکنند. این لاگها باید توسط متخصصین یا ابزارهای خودکار مورد بررسی قرار گیرند. به عنوان مثال اگر مشاهده میکنید که در لاگها شخصی مشغول نوشتن کد در بخش نظرات وبسایت شما است، این معنی را نمیدهد که وبسایت شما مورد نفوذ قرار گرفته است. متخصصین امنیتی باید چند فاکتور را مد نظر قرار دهند و به محض شناسایی یک مورد خطرناک و جدید وارد عمل شوند. بعد از اینکه حادثه سایبری شناسایی و به تیم پاسخ به حوادث ارسال شد، این تیم باید کارهای زیر را انجام دهد:
- حمله را از جوانب مختلف مورد بررسی قرار دهد و شواهد و مدارک لازم را ثبت و ذخیره کند.
- میزان خطر و نوع حادثه سایبری تعیین شود.
- کلیه کارهای انجامشده توسط تیم پاسخ به حوادث باید مستند شود زیرا ممکن است این مستندات برای ارائه به مراجع قانونی مورد استفاده قرار گیرند.
۳- دفع حمله (Containment): به محض شناسایی حادثه سایبری، تیم پاسخ به حوادث باید جلوی نفوذ بیشتر به درون سازمان را بگیرد. این عملیات شامل موارد زیر میشود:
- اقدامات کوتاه مدت: در کوتاه مدت باید کاری کنیم که آسیب بیشتری به سازمان وارد نشود. از جمله کارهای این مرحله میتوان به خاموش کردن سرورهای تحت حمله و جداسازی شبکه مورد نفوذ قرار گرفته از سایر شبکهها اشاره کرد.
- پشتیبانگیری از سامانهها: شما باید از کلیه رایانههایی که تحت نفوذ قرار گرفتهاند نسخه پشتیبان تهیه کنید. از این نسخه پشتیبان میتوان به عنوان شاهدی برای انجام نفوذ و کارهای مربوط به جرمشناسایی رایانهای یا Forensics استفاده کرد. همچنین با استفاده از آن میتوان فهمید نفوذ به سازمان به چه روشی رخ داده است. سامانه درایو امن سایبرنو میتواند برای انجام این کار مفید باشد.
- اقدامات بلند مدت: در این مرحله اقدام به بازگردانی سیستمها به حالت اولیه کنید. مثلا یک سری سیستمهای جدید را از ابتدا نصب کنید (یا نسخه پشتیبان را برگردانید) تا جایگزین سیستمهای مورد نفوذ قرار گرفته شوند. بر روی سیستمهای جدید باید کلیه پچهای امنیتی، اصلاح آسیبپذیریها، حذف حسابها یا دربهای پشتی نفوذگر، تغییر قوانین دیوارههای آتش و سایر سامانههای امنیتی را نصب کنید.

۴- قلع و قمع حمله (Eradication): در این مرحله باید منشا اصلی حمله را جداسازی، کلیه بدافزارها و ابزارهای نفوذ و شناسایی را حدف و کلیه آسیبپذیریهایی که اکسپلویت شده بودند را اصلاح کنید. ممکن است نیاز باشد که ساختار شبکه سازمان را تغییر دهید. به عنوان مثال میتوانید معماری شبکه را طوری تغییر دهید که در صورت رخداد حمله مشابه میزان نشت اطلاعات یا آسیب به سازمان به حداقل ممکن برسد.
برخی از کارهایی که میتوان در این مرحله انجام داد به شرح زیر است:
- تمامی سیستمهای مورد نفوذ قرار گرفته را شناسایی کنید و کلیه ابزارهای نفوذگر و مشکلات امنیتی را از بین ببرید. این شامل سیستمهای داخل سازمان و سیستمهای خارج سازمان (همانند سرورهای موجود در دیتاسنترهای خارجی یا VPSها) میشود.
- عملیات تحلیل بدافزار انجام دهید تا مشخص شود نفوذگر چه کارهایی در سازمان انجام داده است.
- بررسی کنید که آیا نفوذگر اقدامات دیگری در پاسخ به اقدامات شما انجام داده است یا خیر؟ هرگونه حساب کاربری ساختهشده یا مجوز جدید را به دقت مورد بررسی قرار دهید.
- بعد از حمله مدتی به دقت شبکه را بررسی کنید تا مطمئن شوید که دیگر حملهای رخ نمیدهد و دسترسی نفوذگران به طور کامل قطع شده است.
- مطمئن شوید که تیم پاسخ به حوادث کلیه محتواهای بدخواهانه و راههای نفوذ را از بین برده است. به عنوان مثال چنانچه نفوذ با استفاده از یک آسیبپذیری رخ داده است، مطمئن شوید که آن آسیبپذیری بر روی تمامی سیستمها پچ شده است. همچنین اگر نفوذگر با سوء استفاده از یک روش احراز هویت ضعیف موفق به نفوذ شده است، مطمئن شوید که آن روش احراز هویت با یک روش احراز هویت قوی جایگزین شود.
۵- بازیابی (Recovery): هدف از این مرحله بازگردانی کلیه سیستمها به حالت اولیه و شروع فعالیت عادی سامانههای سازمان است. در این مرحله باید سیستمها را از روی نسخه پشتیبان غیرآلوده بازگردانی و اقدام به نصب کلیه پچهای امنیتی، تغییر رمز عبورها، و تغییر تنظیمات ابزارهای امنیتی (مثلا تغییر قوانین فایروالها) کنید. بعد از راهاندازی سیستمها به حالت اولیه نیز باید تا مدتی شبکه را مورد بررسی قرار دهید تا دوباره مورد نفوذ قرار نگیرد. همچنین در این مرحله هزینه این حادثه باید تعیین شود. باید تعیین شود در کل چقدر هزینه این نشت اطلاعات و بازگردانی آن شده است؟ چقدر هزینه نیروهای تحلیل بدافزار، تیم پاسخ به حوادث و... شده است؟

۶- عبرت گرفتن (Lessons Learned): بعد از هر حادثهای بهتر است جلساتی برگزار کنیم تا تعیین شود چه مشکلاتی داشتهایم که این نفوذ رخ داده است و چه کارهایی برای بهتر کردن امنیت سازمان باید انجام دهیم. در این جلسات که با حضور مدیران و ذینفعان سازمان برگزار میشوند باید روش پاسخ به حمله مورد بررسی قرار گیرد و مشخص شود چه جاهایی در هنگام رخداد مورد مشابه نیاز به ارتقاء دارد. گزارشهایی که در این جلسات ارائه میشود میتواند برای تعیین کیفیت عملکرد تیم پاسخ به حوادث یا آموزش نیروهای جدید تیم مفید باشد.
تیم پاسخ به حوادث رایانهای یا CSIRT چیست؟
برای آمادهسازی در برابر حوادث سایبری نیاز به یک تیم اختصاصی پاسخ به حوادث دارید. این تیم مسئول شناسایی حوادث سایبری و پاسخ به آنهاست. در سازمانهای بزرگ این تیم شامل متخصصینی اختصاصی و تمام وقت است که به آنها اعضای تیم CSIRT مخفف Computer Security Incident Response Team گویند. در سازمانهای کوچکتر معمولا افرادی تمام وقت به عنوان اعضای CSIRT وجود ندارند و برخی از مسئولین IT که در حوزه امنیت تجربه دارند، به عنوان اعضای CSIRT انتخاب میشوند. در برخی سازمانها ممکن است از متخصصین امنیت خارج از سازمان نیز برای پاسخ به حوادث رایانهای استفاده شود.
همچنین تیم پاسخ به حوادث مسئول ارتباط و صحبت کردن با افراد داخل سازمان و گروههای خارج از سازمان همانند روزنامهها، مشاورین حقوقی، مشتریان آسیبدیده، مسئولین قضایی و... در رابطه با حادثه سایبری است.

تیم پاسخ باید دارای اعضای زیر باشد:
- مدیر (Manager): مدیر تیم پاسخ به حوادث کل تیم را رهبری میکند و بر روی کلیه فعالیتهای تیم نظارت دارد.
- تحلیلگران امنیتی (Security Analysts): تحلیلگران امنیتی اقدام به بررسی شرایط کلیه دپارتمانهای سازمان میکنند و به طور دائم با ارائه پیشنهادات خود وضعیت امنیت سایبری سازمان را بهبود میبخشند.
- بازرس ارشد (Lead Investigator): بازرس ارشد وظیفه جداسازی مبدا حمله، بررسی شواهد و مدیریت سایر تحلیلگران امنیتی را بر عهده دارد.
- رهبر ارتباطات (Communications Lead): وظیفه ارتباط با کلیه افراد داخل و خارج سازمان از جمله روزنامهها، مشتریان، مسئولین قضایی و... را دارد.
- رهبر مستندسازی (Documentations Lead): وظیفه مستندسازی روال پاسخگویی به حوادث و ساخت گزارش حادثه سایبری و روال عملکرد تیم را دارد.
- وکیل حقوقی (Legal Representation): نفوذ به سازمان شما ممکن است باعث شود که درگیر پروندههای قضایی شوید. بنابراین یک مشاور حقوقی نیز باید در تیم پاسخ به حوادث سایبری وجود داشته باشد.
ابزارهای پاسخ به حوادث

برای پاسخ به حوادث سایبری نیازمند ابزارهای نرمافزاری و سختافزاری هستند که از جمله این ابزارها میتوان به موارد زیر اشاره کرد:
- سامانههای پاسخ به حوادث و مدیریت رخداد (SIEM مخفف Security Incident Event Management): این سامانهها به طور خودکار لاگهای تولیدشده توسط تجهیزات داخل سازمان (همانند برنامهها، فایروالها، سرورها و...) را جمعآوری میکنند و گزارشاتی درباره رخدادهای امنیتی در کل سازمان ارائه میدهند. از جمله مطرحترین سامانههای SIEM میتوان به IBM QRadar، AlienVault OSSIM، Splunk و... اشاره کرد.
- سامانههای تشخیص نفوذ (IDS مخفف Intrusion Detection System): این سامانهها اقدام به شناسایی حرکات مشکوک یا حملات شناختهشده در سطح شبکه یا در سطح سرورها یا رایانههای شخصی میکنند. سامانههای تشخیص نفوذی که در سطح شبکه عمل میکنند Network Based Intrusion Detection Systems یا NIDS نام دارند و سامانههایی که در سطح سرورها یا رایانههای شخصی کار میکنند Host Based Intrusion Detection Systems یا HIDS نام دارند. از مطرحترین سامانههای IDS میتوان به Snort، Suricata و SolarWinds IDS اشاره کرد.
- سامانههای تحلیل Netflow: این ابزارها ترافیک عبوری از Gateway شبکه سازمان یا ترافیک شبکه داخل سازمان را بررسی میکنند. از مطرحترین سامانههای تحلیل Netflow میتوان به سامانه متنباز ntop اشاره کرد.
- ابزارهای شناسایی آسیبپذیری: این ابزارها میتوانند اقدام به شناسایی آسیبپذیریهای موجود در تجهیزات سازمان شما کنند. از جمله مطرحترین ابزارهای شناسایی آسیبپذیری میتوان به OpenVAS اشاره کرد.
- ابزارهای نظارت بر وضعیت سرویسهای سازمان: همانطور که گفته شد هدف از پاسخ به حوادث کم کردن زمان از دسترس خارج از شدن سرویسهای سازمان است. از دسترس خارج شدن یک سرویس یا برنامه میتواند نشانهای از وجود یک حادثه باشد. ابزارهای نظارت بر وضعیت سرویس به طور مداوم اقدام به بررسی وضعیت سرویسها میکنند و در صورت اختلال در هر کدام از آنها به مسئول سازمان اطلاعرسانی میکنند. از مطرحترین ابزارهای مانیتورینگ سرویسها میتوان به Nagios اشاره کرد.
- پراکسیها: پراکسیهای تحت وب میتوانند کلیه اتصالات به سرویسهایی که پراکسی کردهاند را لاگگیری نمایند. این لاگها میتواند برای شناسایی تهدیدات، حملات و مبدا آنها مفید باشد. از جمله مطرحترین پراکسیهای تحت وب میتوان به Squid Proxy اشاره کرد.
خدمات پاسخ به حوادث سایبرنو
یکی از خدمات ارائه شده توسط سایبرنو پاسخ به حوادث است. سایبرنو میتواند در زمان رخداد حادثه در سازمان شما اقدام به اعزام تیم متخصصین سایبری خود به محل حادثه کند تا به سازمان شما در پاسخگویی بهتر و سریعتر حادثه سایبری کمک کند.
تاریخ انتشار:
1401/12/03
تاریخ بروزرسانی:
1401/12/10