پاسخ به حوادث یا پاسخ به تهدیدات در امنیت سایبری چیست؟

آموزش سایبرنو
پاسخ به حوادث یا پاسخ به تهدیدات در امنیت سایبری چیست؟

پاسخ به حوادث یا پاسخ به تهدیدات در امنیت سایبری چیست و چه اهمیتی دارد؟ برای آشنایی با اقداماتی که پس از حمله هکری به سازمان خود باید انجام دهید، این مقاله را بخوانید. 

با اینکه با رعایت اصول امنیت سایبری و امن‌سازی سازمان خود می‌توانید بسیاری از حملات و تهدیدات سایبری را دفع کنید اما همواره امکان اجرای موفق حمله سایبری علیه سازمان شما وجود دارد و در واقع، هیچ شبکه یا سازمانی در دنیا نفوذناپذیر نیست. مسئله مهم این است که در صورت بروز حادثه امنیتی برای سازمان شما باید چه اقداماتی انجام دهید و آیا طرح مشخصی برای چنین شرایطی دارید؟ در این مقاله می‌خواهیم شما را با یکی از مهم‌ترین اصول امنیت سایبری و امنیت شبکه یعنی پاسخ به حوادث (incident responce) که پاسخ به تهدیدات نیز نامیده می‌شود، آشنا کنیم. با سایبرنو تا انتهای این مقاله همراه باشید.

 

منظور از پاسخ به حوادث یا پاسخ به تهدیدات چیست؟

پاسخ به حوادث (Incident Response) روالی است که سازمان باید بعد از یک حمله سایبری انجام دهد. مهم‌ترین اهداف پاسخ به حوادث شامل شناسایی حمله، تعیین آسیب‌هایی که به سازمان وارد شده و از بین بردن ضعف امنیتی مورد استفاده توسط نفوذگران هستند. منظور از حادثه در اینجا هر گونه عبور از قوانین، خط مشی‌ها و فعالیت‌های بدخواهانه‌ای می‌باشد که ممکن است عملکرد شبکه، رایانه‌ها یا تلفن‌های همراه را به خطر بیندازد.

امروزه تعداد حوادث سایبری و انواع آن به ویژه در کشور ما در حال افزایش است و چنانچه سازمانی فاقد فرآیند یا طرحی برای پاسخ به حوادث سایبری باشد، پاسخ به حوادث و بازگشت سامانه‌های سازمان زمان زیادی می‌گیرد. گذشته از این، هزینه‌های سازمان و میزان آسیبی که ممکن است به زیرساخت‌ها وارد شود، بسیار بیشتر از سازمانی خواهد بود که از قبل طرح مشخصی برای پاسخ به حادثه سایبری آماده کرده باشد. بنابراین پاسخ به حوادث سایبری (Incident Response) موضوع بسیار مهمی است که هر سازمانی باید با آن توجه کند.

 

چرا پاسخ به حوادث سایبری مهم است؟

وقتی سازمان شما حادثه‌ای سایبری را به سرعت شناسایی می‌کند، می‌تواند فرآیندها و سرویس‌ها را سریعتر به حالت عادی بازگرداند و آسیب‌پذیری‌های امنیتی را نیز حل کند. پاسخ به حادثه سایبری در واقع خط مقدم دفاع در برابر حملات سایبری است و به مرور می‌تواند منجر به تعریف رویه‌هایی در سازمان شود که از رخداد دوباره حادثه سایبری جلوگیری کند.

چنانچه سازمان شما نتواند حادثه سایبری را در زمان لازم شناسایی و دفع کند، احتمال نشت اطلاعات و تحمیل هزینه‌های سنگین به سازمان وجود خواهد داشت. پاسخ به حوادث در این مرحله نیز می‌تواند کمک کند تا جلوی نفوذگران برای نفوذ بیشتر به درون سازمان و دسترسی به اطلاعات حساس‌تر گرفته شود. همچنین در این مرحله می‌توان با اجرای فرآیند پاسخ به حوادث سایبری از انجام دوباره حمله با استفاده از روش‌های مشابه جلوگیری کرد.

 

شش مرحله پاسخ به حوادث سایبری کدامند؟

به طور کلی فرآیند پاسخ به حوادث سایبری شامل ۶ مرحله زیر است:

۱- آماده‌سازی (Preparation): قبل از وقوع حمله سازمان شما باید کارهای زیر را انجام دهد:

  • یک تیم پاسخ به حوادث در سازمان خود ایجاد کنید. اعضای این تیم باید تجربه کافی در حوزه امنیت سایبری داشته باشند. 
  • خط مشی‌های امنیتی را تعیین و به صورت دوره‌ای بررسی کنید. همچنین میزان ریسک ناشی از حملات خارجی یا حملات داخلی (از طریق کارمندان سازمان) را ارزیابی کنید.
  • نقاط ضعف سازمان خود، مخصوصا آسیب‌پذیری‌ها و ضعف‌های امنیتی که به خاطر ساختار سازمان قادر به برطرف‌سازی آن‌ها در وضعیت فعلی نیستید را به خوبی بشناسید. همچنین تجهیزات حساس سازمان خود که حمله نفوذگران به آن‌ها ممکن است باعث آسیب‌های جبران ناپذیر به سازمان شما شود را شناسایی کنید.
  • دستورالعملی ارتباطی در زمان رخداد حوادث سایبری تعیین کنید. مثلا بعد از رخداد حادثه باید با چه کسانی در داخل یا خارج سازمان تماس بگیرید؟
  • نقش، مسئولیت‌ها و وظایف تیم پاسخ به حوادث سایبری را تعیین کنید. همچنین تعیین کنید که پرسنل سازمان شما به چه آموزش‌هایی برای جلوگیری از ایجاد حوادث سایبری نیاز دارند.
  • اعضای تیم پاسخ به حوادث در سازمان را مدیریت کنید و به آن‌ها آموزش‌های لازم را ارئه دهید. مطمئن شوید که آن‌ها به کلیه ابزارها و اطلاعات مورد نیاز برای پاسخ به حوادث سایبری دسترسی دارند.
  • به پرسنل سازمان خود آموزش‌های لازم را ارائه دهید. مثلا به آن‌ها باید آموزش دهید که چگونه باید حوادث سایبری یا هرگونه رخداد مشکوک را گزارش دهند.

 

آماده سازی برای پاسخ به تهدیدات سایبری

 

۲- شناسایی (Identification): تعیین کنید که تحت چه شرایطی باید تیم پاسخ به حوادث فعالیتش را شروع کند . سامانه‌های امنیتی اقدام به جمع‌آوری لاگ‌ها از فایروال‌ها، ابزارهای مانیتورینگ و... می‌کنند. این لاگ‌ها باید توسط متخصصین یا ابزارهای خودکار مورد بررسی قرار گیرند. به عنوان مثال اگر مشاهده می‌کنید که در لاگ‌ها شخصی مشغول نوشتن کد در بخش نظرات وبسایت شما است، این معنی را نمی‌دهد که وبسایت شما مورد نفوذ قرار گرفته است. متخصصین امنیتی باید چند فاکتور را مد نظر قرار دهند و به محض شناسایی یک مورد خطرناک و جدید وارد عمل شوند. بعد از اینکه حادثه سایبری شناسایی و به تیم پاسخ به حوادث ارسال شد، این تیم باید کارهای زیر را انجام دهد:

  • حمله را از جوانب مختلف مورد بررسی قرار دهد و شواهد و مدارک لازم را ثبت و ذخیره کند.
  • میزان خطر و نوع حادثه سایبری تعیین شود.
  • کلیه کارهای انجام‌شده توسط تیم پاسخ به حوادث باید مستند شود زیرا ممکن است این مستندات برای ارائه به مراجع قانونی مورد استفاده قرار گیرند.

۳- دفع حمله (Containment): به محض شناسایی حادثه سایبری، تیم پاسخ به حوادث باید جلوی نفوذ بیشتر به درون سازمان را بگیرد. این عملیات شامل موارد زیر می‌شود:

  • اقدامات کوتاه مدت: در کوتاه مدت باید کاری کنیم که آسیب بیشتری به سازمان وارد نشود. از جمله کارهای این مرحله می‌توان به خاموش کردن سرورهای تحت حمله و جداسازی شبکه مورد نفوذ قرار گرفته از سایر شبکه‌ها اشاره کرد.
  • پشتیبان‌گیری از سامانه‌ها: شما باید از کلیه رایانه‌هایی که تحت نفوذ قرار گرفته‌اند نسخه پشتیبان تهیه کنید. از این نسخه پشتیبان می‌توان به عنوان شاهدی برای انجام نفوذ و کارهای مربوط به جرم‌شناسایی رایانه‌ای یا Forensics استفاده کرد. همچنین با استفاده از آن می‌توان فهمید نفوذ به سازمان به چه روشی رخ داده است. سامانه درایو امن سایبرنو می‌تواند برای انجام این کار مفید باشد. 
  • اقدامات بلند مدت: در این مرحله اقدام به بازگردانی سیستم‌ها به حالت اولیه کنید. مثلا یک سری سیستم‌های جدید را از ابتدا نصب کنید (یا نسخه پشتیبان را برگردانید) تا جایگزین سیستم‌های مورد نفوذ قرار گرفته شوند. بر روی سیستم‌های جدید باید کلیه پچ‌های امنیتی، اصلاح آسیب‌پذیری‌ها، حذف حساب‌ها یا درب‌های پشتی نفوذگر، تغییر قوانین دیواره‌های آتش و سایر سامانه‌های امنیتی را نصب کنید.

 

دفع حمله

 

۴- قلع و قمع حمله (Eradication): در این مرحله باید منشا اصلی حمله را جداسازی، کلیه بدافزارها و ابزارهای نفوذ و شناسایی را حدف و کلیه آسیب‌پذیری‌هایی که اکسپلویت شده بودند را اصلاح کنید. ممکن است نیاز باشد که ساختار شبکه سازمان را تغییر دهید. به عنوان مثال می‌توانید معماری شبکه را طوری تغییر دهید که در صورت رخداد حمله مشابه میزان نشت اطلاعات یا آسیب به سازمان به حداقل ممکن برسد.

برخی از کارهایی که می‌توان در این مرحله انجام داد به شرح زیر است:

  • تمامی سیستم‌های مورد نفوذ قرار گرفته را شناسایی کنید و کلیه ابزارهای نفوذگر و مشکلات امنیتی را از بین ببرید. این شامل سیستم‌های داخل سازمان و سیستم‌های خارج سازمان (همانند سرورهای موجود در دیتاسنترهای خارجی یا VPSها) می‌شود.
  • عملیات تحلیل بدافزار انجام دهید تا مشخص شود نفوذگر چه کارهایی در سازمان انجام داده است. 
  • بررسی کنید که آیا نفوذگر اقدامات دیگری در پاسخ به اقدامات شما انجام داده است یا خیر؟ هرگونه حساب کاربری ساخته‌شده یا مجوز جدید را به دقت مورد بررسی قرار دهید.
  • بعد از حمله مدتی به دقت شبکه را بررسی کنید تا مطمئن شوید که دیگر حمله‌ای رخ نمی‌دهد و دسترسی نفوذگران به طور کامل قطع شده است.
  • مطمئن شوید که تیم پاسخ به حوادث کلیه محتواهای بدخواهانه و راه‌های نفوذ را از بین برده است. به عنوان مثال چنانچه نفوذ با استفاده از یک آسیب‌پذیری رخ داده است، مطمئن شوید که آن آسیب‌پذیری بر روی تمامی سیستم‌ها پچ شده است. همچنین اگر نفوذگر با سوء استفاده از یک روش احراز هویت ضعیف موفق به نفوذ شده است، مطمئن شوید که آن روش احراز هویت با یک روش احراز هویت قوی جایگزین شود. 

۵- بازیابی (Recovery): هدف از این مرحله بازگردانی کلیه سیستم‌ها به حالت اولیه و شروع فعالیت عادی سامانه‌های سازمان است. در این مرحله باید سیستم‌ها را از روی نسخه پشتیبان غیرآلوده بازگردانی و اقدام به نصب کلیه پچ‌های امنیتی، تغییر رمز عبورها، و تغییر تنظیمات ابزارهای امنیتی (مثلا تغییر قوانین فایروال‌ها) کنید. بعد از راه‌اندازی سیستم‌ها به حالت اولیه نیز باید تا مدتی شبکه را مورد بررسی قرار دهید تا دوباره مورد نفوذ قرار نگیرد. همچنین در این مرحله هزینه این حادثه باید تعیین شود. باید تعیین شود در کل چقدر هزینه این نشت اطلاعات و بازگردانی آن شده است؟ چقدر هزینه نیروهای تحلیل بدافزار، تیم پاسخ به حوادث و... شده است؟

 

بازیابی اطلاعات پس از حمله سایبری

 

۶- عبرت گرفتن (Lessons Learned): بعد از هر حادثه‌ای بهتر است جلساتی برگزار کنیم تا تعیین شود چه مشکلاتی داشته‌ایم که این نفوذ رخ داده است و چه کارهایی برای بهتر کردن امنیت سازمان باید انجام دهیم. در این جلسات که با حضور مدیران و ذینفعان سازمان برگزار می‌شوند باید روش پاسخ به حمله مورد بررسی قرار گیرد و مشخص شود چه جاهایی در هنگام رخداد مورد مشابه نیاز به ارتقاء دارد. گزارش‌هایی که در این جلسات ارائه می‌شود می‌تواند برای تعیین کیفیت عملکرد تیم پاسخ به حوادث یا آموزش نیروهای جدید تیم مفید باشد.

 

تیم پاسخ به حوادث رایانه‌ای یا CSIRT‌ چیست؟

برای آماده‌سازی در برابر حوادث سایبری نیاز به یک تیم اختصاصی پاسخ به حوادث دارید. این تیم مسئول شناسایی حوادث سایبری و پاسخ به آن‌هاست. در سازمان‌های بزرگ این تیم شامل متخصصینی اختصاصی و تمام وقت است که به آن‌ها اعضای تیم CSIRT مخفف Computer Security Incident Response Team گویند. در سازمان‌های کوچکتر معمولا افرادی تمام وقت به عنوان اعضای CSIRT وجود ندارند و برخی از مسئولین IT‌ که در حوزه امنیت تجربه دارند، به عنوان اعضای CSIRT انتخاب می‌شوند. در برخی سازمان‌ها ممکن است از متخصصین امنیت خارج از سازمان نیز برای پاسخ به حوادث رایانه‌ای استفاده شود.
همچنین تیم پاسخ به حوادث مسئول ارتباط و صحبت کردن با افراد داخل سازمان و گروه‌های خارج از سازمان همانند روزنامه‌ها، مشاورین حقوقی، مشتریان آسیب‌دیده، مسئولین قضایی و... در رابطه با حادثه سایبری است.

 

تیم امنیت سایبری

 

تیم پاسخ باید دارای اعضای زیر باشد:

  • مدیر (Manager): مدیر تیم پاسخ به حوادث کل تیم را رهبری می‌کند و بر روی کلیه فعالیت‌های تیم نظارت دارد.
  • تحلیلگران امنیتی (Security Analysts): تحلیلگران امنیتی اقدام به بررسی شرایط کلیه دپارتمان‌های سازمان می‌کنند و به طور دائم با ارائه پیشنهادات خود وضعیت امنیت سایبری سازمان را بهبود می‌بخشند.
  • بازرس ارشد (Lead Investigator): بازرس ارشد وظیفه جداسازی مبدا حمله، بررسی شواهد و مدیریت سایر تحلیلگران امنیتی را بر عهده دارد.
  • رهبر ارتباطات (Communications Lead): وظیفه ارتباط با کلیه افراد داخل و خارج سازمان از جمله روزنامه‌ها، مشتریان، مسئولین قضایی و... را دارد.
  • رهبر مستندسازی (Documentations Lead): وظیفه مستندسازی روال پاسخگویی به حوادث و ساخت گزارش حادثه سایبری و روال عملکرد تیم را دارد.
  • وکیل حقوقی (Legal Representation): نفوذ به سازمان شما ممکن است باعث شود که درگیر پرونده‌های قضایی شوید. بنابراین یک مشاور حقوقی نیز باید در تیم پاسخ به حوادث سایبری وجود داشته باشد.

 

ابزارهای پاسخ به حوادث

 

ابزارهای پاسخ به تهدیدات

 

برای پاسخ به حوادث سایبری نیازمند ابزارهای نرم‌افزاری و سخت‌افزاری هستند که از جمله این ابزارها می‌توان به موارد زیر اشاره کرد:

  • سامانه‌های پاسخ به حوادث و مدیریت رخداد (SIEM مخفف Security Incident Event Management): این سامانه‌ها به طور خودکار لاگ‌های تولیدشده توسط تجهیزات داخل سازمان (همانند برنامه‌ها، فایروال‌ها، سرورها و...) را جمع‌آوری می‌کنند و گزارشاتی درباره رخدادهای امنیتی در کل سازمان ارائه می‌دهند. از جمله مطرح‌ترین سامانه‌های SIEM می‌توان به IBM QRadar، AlienVault OSSIM، Splunk و... اشاره کرد.
  • سامانه‌های تشخیص نفوذ (IDS مخفف Intrusion Detection System): این سامانه‌ها اقدام به شناسایی حرکات مشکوک یا حملات شناخته‌شده در سطح شبکه یا در سطح سرورها یا رایانه‌های شخصی می‌کنند. سامانه‌های تشخیص نفوذی که در سطح شبکه عمل می‌کنند Network Based Intrusion Detection Systems یا NIDS نام دارند و سامانه‌هایی که در سطح سرورها یا رایانه‌های شخصی کار می‌کنند Host Based Intrusion Detection Systems یا HIDS نام دارند. از مطرح‌ترین سامانه‌های IDS‌ می‌توان به Snort، Suricata و SolarWinds IDS اشاره کرد.
  • سامانه‌های تحلیل Netflow: این ابزارها ترافیک عبوری از Gateway شبکه سازمان یا ترافیک شبکه داخل سازمان را بررسی می‌کنند. از مطرح‌ترین سامانه‌های تحلیل Netflow می‌توان به سامانه متن‌باز ntop اشاره کرد.
  • ابزارهای شناسایی آسیب‌پذیری: این ابزارها می‌توانند اقدام به شناسایی آسیب‌پذیری‌های موجود در تجهیزات سازمان شما کنند. از جمله مطرح‌ترین ابزارهای شناسایی آسیب‌پذیری می‌توان به OpenVAS اشاره کرد.
  • ابزارهای نظارت بر وضعیت سرویس‌های سازمان: همانطور که گفته شد هدف از پاسخ به حوادث کم کردن زمان از دسترس خارج از شدن سرویس‌های سازمان است. از دسترس خارج شدن یک سرویس یا برنامه می‌تواند نشانه‌ای از وجود یک حادثه باشد. ابزارهای نظارت بر وضعیت سرویس به طور مداوم اقدام به بررسی وضعیت سرویس‌ها می‌کنند و در صورت اختلال در هر کدام از آن‌ها به مسئول سازمان اطلاع‌رسانی می‌کنند. از مطرح‌ترین ابزارهای مانیتورینگ سرویس‌ها می‌توان به Nagios اشاره کرد.
  • پراکسی‌ها: پراکسی‌های تحت وب می‌توانند کلیه اتصالات به سرویس‌هایی که پراکسی کرده‌اند را لاگ‌گیری نمایند. این لاگ‌ها می‌تواند برای شناسایی تهدیدات، حملات و مبدا آن‌ها مفید باشد. از جمله مطرح‌ترین پراکسی‌های تحت وب می‌توان به Squid Proxy‌ اشاره کرد.

 

خدمات پاسخ به حوادث سایبرنو

یکی از خدمات ارائه شده توسط سایبرنو پاسخ به حوادث است. سایبرنو می‌تواند در زمان رخداد حادثه در سازمان شما اقدام به اعزام تیم متخصصین سایبری خود به محل حادثه کند تا به سازمان شما در پاسخگویی بهتر و سریعتر حادثه سایبری کمک کند.

تاریخ انتشار: 1401/12/03
تاریخ بروزرسانی: 1402/11/11
user avatar
نویسنده: امیر ظاهری مدیر تولید محتوا سایبرنو
امیر ظاهری در سال ۱۳۹۴ از دانشگاه «تربیت مدرس» در مقطع کارشناسی ارشد رشته «بیوفیزیک» فارغ‌التحصیل شد. او که به فناوری، امنیت سایبری، رمزنگاری و بلاک‌چین علاقه داشت، نویسندگی در این حوزه‌ها را شروع کرد و در سال ۱۳۹۸ به عضویت هیئت تحریریه «زومیت»، پربازدیدترین مجله تخصصی فناوری ایران، درآمد. او سابقه همکاری به عنوان کارشناس تولید محتوا با استارت‌آپ «جاب ویژن» نیز دارد. در سال ۱۴۰۰ همکاری خودش را با سایبرنو شروع کرد و از آن زمان تاکنون به صورت تخصصی در حوزه امنیت سایبری فعالیت دارد.
برچسب‌های مرتبط
آموزش سایبرنو خدمات
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

با ما در ارتباط باشید
تهران، میدان رسالت، خیابان فرجام، خیابان شهید حسینعلی، پلاک ۹
٠٢١۹١٠۹۴٣٣٠
گواهینامه ها
logo-samandehi
مشاهده
بیشتر
تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.