فرآیند واکنش به حادثه یا Incident Response چیست؟

طبق تعریف NIST، تمرین شبیه‌سازی، یک تمرین discuss-base یا مبتنی بر تبادل نظر میان اعضا تیم در شرایط اضطراری است. Cyphon ابزارهای را برای جمع آوری، پردازش و آزمایش حوادث در اختیار تحلیلگران قرار میدهد که داده هارا از منابع های مختلفی از جمله Log ها و API ها و ایمیل ها جمع آوری میکنند و تحلیل آنهارا به شکل ساده تری تبدیل میکنند. در واقع Volatility یک‌ ابزار متن باز و رایگان برای انجام فرآيند های جرم شناسي دیجیتال و کالبدشکافی بستر Memory میباشد ‌که جزوه بهترین ابزارهای این حوزه شناخته میشود. هنگامی که یک تهدید شناسایی شد، سازمان باید هر گونه آسیب بیشتر را محدود کرده و از آن جلوگیری کند. چندین اقدام ضروری برای کمک به آنها برای کاهش یک حادثه و جلوگیری از نابودی شواهد وجود دارد.

تیم های DevOps علاوه بر اینکه توانایی استقرار و سرعت بخشیدن به فرآيند هارا دارند میبایست که توانایی نظارت و بررسی و رصد محیط ابری راهم داشته باشند و برای هر حادثه ایی و رخداد خاصی راهکارهای براساس ویژگی های امنیتی در پیش رو درنظر بگیرند. سازمان‌ها می‌توانند با هدف اتخاذ رویکرد پیشگیرانه، به شناسایی نقاط ضعف در افراد (کمبود ظرفیت و مهارت)، جریان کاری و فناوری بپردازند. این رویکرد پیشگیرانه فرصت‌هایی را برای تقویت تاب‌آوری در برابر تهدیدات سایبری و افزایش آمادگی ایجاد می‌کند. در برخی موارد، سازمان‌ها ترکیبی از تلاش‌ها و قابلیت‌های تیم‌های داخلی خود را با شرکای خارجی واکنش نشان می‌دهند، مانند واحد 42. تکمیل تیم با کارشناسان اضافی، یک استراتژی عالی برای رفع نیاز به سطوح مختلف تخصص موضوع است.

این پلتفروم توانایی رسیدگی به فایل های مخرب، ترافیک های نامعلوم و غیر عادی از سمت C&C Server ها و حساب های کاربری آسیب دیده را دارد. مرحله ریشه‌کنی نیز برای کمک به کسب‌وکارها برای بهبود دفاع‌های خود و رفع آسیب‌پذیری‌ها بر اساس درس‌هایی که آموخته‌اند بسیار مهم است تا مطمئن شوند که سیستم‌هایشان دوباره به خطر نمی‌افتد. حملات سایبری می تواند تأثیر مخربی بر شهرت برند داشته باشد و منجر به از دست دادن مشتریان و جریمه های هنگفت سازمان شود. داشتن یک برنامه پاسخگویی و اقدام بر اساس یافته‌ها برای یادگیری درس و اجتناب از مجازات‌های سخت‌گیرانه برای رنج بردن از دست دادن داده‌ها حیاتی است. سازمان‌ها می‌توانند با سیستماتیک کردن لاگ‌های فعالیت‌ مختلف کاربران، مانند زمان‌ ورود، تجهیزات استفاده‌شده برای احراز هویت، سیستم‌های دسترسی یافته و اپلیکیشن مورد استفاده، مبنای رفتاری جامعی ایجاد کنند. سازمان‌ها به منظور مقابله‌ی موثر با این چالش، باید تصویر واضحی از نحوه‌ی فعالیت روزمره‌ی کاربران داشته باشند تا بتوانند به سرعت انحرافات و موارد مشکوک را شناسایی کنند.

باید به طور منظم و دوره‌ای سناریوهای مختلف را شبیه‌ سازی کنید تا اطمینان حاصل شود که برنامه واقعاً کار می‌کند و همه کارکنان آموزش‌های لازم را دیده‌اند. این شامل شناسایی نقاط آسیب‌ پذیر (Vulnerability)، احتمال وقوع فاجعه، و تأثیر احتمالی آن بر کسب‌ و کار است. تعریف الگوی رفتاری نرمال و تعیین حد و مرز برای فعالیت‌های غیرعادی نیز از مراحل حیاتی به شمار می‌روند. غالبا نسخه‌ها‌ی اصلاح‌شده‌ پیش از اکسپلویت توسط مهاجمان، از سوی وندور مربوطه ارائه می‌گردند. پس از تهیه‌ی IR Plan و Playbook، مرحله‌ی بعدی آزمایش آن‌ها از طریق تمرین‌های شبیه‌ساز (tabletop exercise) است.

سازمان‌ها برای مقابله با تهدیدات فزاینده‌ی استفاده از اطلاعات ورود به سیستم، باید نحوه‌ی رفتار کاربران را تحلیل نموده و این تحلیل‌ها را در استراتژی‌های امنیتی خود ادغام کنند. کسب‌و‌کارها می‌توانند با استفاده از UEBA (یا حتی مدیریت لاگ‌ها و مانیتورینگ) به یک وضعیت امنیتی پویا دست یابند که قابلیت شناسایی و کاهش سریع تهدیدات را دارد. شناسایی موارد مشکوک ممکن است به اکانت‌های در معرض خطر داخلی اشاره داشته باشند که باید فورا مورد بررسی قرار گیرند. صرف نظر از نحوه تحلیل رفتار کاربران، قرار گرفتن یک playbook در اختیار تیم امنیت، اهمیت فراوانی داشته و به آن‌ها کمک می‌کند تا به طور منظم و هماهنگ به مهار تهدیدات امنیتی بپردازند. همچنین می توانید از یک رویکرد متمرکز استفاده کنید تا امکان پاسخ خودکار سریع را فراهم کنید. از داده‌های ابزارهای امنیتی استفاده کنید، تجزیه و تحلیل‌های پیشرفته را اعمال کنید و پاسخ‌های خودکار را روی سیستم‌هایی مانند فایروال و سرورهای ایمیل با استفاده از فناوری‌هایی مانند سازمان‌دهی امنیتی، اتوماسیون و پاسخ (SOAR) هماهنگ کنید.

اینها شامل مدیریت ارشد و اجرایی است که مسئول تصمیم‌گیری‌های حیاتی هستند و یک مدیر حادثه که اطمینان می‌دهد همه اقدامات ردیابی شده و حادثه به وضوح مستند شده است، به ذینفعان اطلاع داده شده و تشدید شده است. این مقاله و بررسی صورت گرفته از دیدگاه وب سایت Fortinet میباشد.لذا سایر تعاریف واکنش به حادثه مانند مطالب ارائه شده در SANS 504 به قوت خود همچنان معتبر و قابل استناد میباشند. یک ارزیابی ریسک دقیق، به شما کمک می‌کند تا برنامه‌هایی را با توجه به تهدیدهای خاصی که با آنها مواجه هستید اولویت‌ بندی کنید. توصیه می‌شود سازمان‌ها با تمرکز بر اجرای چهار مورد اول به ترتیب شروع کنند، به‌ویژه اگر هنوز این اقدامات انجام نشده یا به طور کامل پیاده‌سازی نشده‌اند. هرچند این لیست، جامع نبوده و سازمان‌های دیگر نیز باید اقدامات بیشتری را نیز در نظر بگیرند؛ اما رایج‌ترین نقاط ضعف مشاهده‌شده در سازمان‌هایی که Fortinet با آن‌ها همکاری داشته است را پوشش می‌دهد.

این به CSIRT کمک می کند تا عملکرد خود را بهبود بخشد، از رویدادهای رخ داده درس بگیرد و مواد مرجع برای رویدادهای آینده فراهم کند. این گزارش همچنین می‌تواند به‌عنوان ماده آموزشی برای کارمندان جدید و راهنمایی هر تمرینی که تیم‌ها برگزار می‌کنند، استفاده شود. برای شروع، موسسه SANS یک حادثه را زمانی تعریف می‌کند که به خطر افتادن یا نقض امنیت یک سازمان، نه در صورت وقوع. هر مرحله از طرح شش مرحله ای باید به ترتیب دنبال شود، زیرا هر مرحله بر فاز قبلی استوار است. یک برنامه بازیابی از بحران فقط یک مستند نیست بلکه یک رویکرد است و باید به کارکنان و همکاران آموزش داد که این برنامه چگونه عمل می کند، در صورت وقوع فاجعه چه کاری انجام دهند و نقششان در طرح بازیابی چیست.

طراحی و ویژگی های تسهیلات کنترل در شرایط اضطراری ( تجهیزات اتاق کنترل، ارتباطات، سیستم های هشدار، محل اضطراری و غیره ) باید به گونه ای باشد که اجرای ERP امکان پذیر باشد. تیم پاسخگویی به حوادث رایانه یا امنیت سایبری (CSIRT) توسط افرادی که مسئول هدایت یا مدیریت پاسخ به یک حادثه هستند تشکیل می شود. این تیم برای اجرای تمرینات واکنش به حادثه، ارائه آموزش کارکنان و حفظ آگاهی امنیتی بسیار مهم است. متخصصان فناوری اطلاعات از طرح های واکنش به حادثه برای مدیریت حوادث امنیتی استفاده می کنند. داشتن یک طرح پاسخ به حادثه به وضوح تعریف شده می تواند آسیب حمله را محدود کند، هزینه ها را کاهش دهد و در زمان پس از نقض امنیتی صرفه جویی کند. هر مرحله‌ی این برنامه به گونه‌ای طراحی شده که به مقابله با حوادث امنیتی و کاهش تاثیر آن‌ها پرداخته و رویکردی ساختارمند برای فرایند IR ارائه دهد.

چنانچه سازمانی از FortiSIEM استفاده می‌کند، می‌تواند با فعال‌سازی قابلیت UEBA به جمع‌آوری دیتای دقیق از فعالیت کاربران بپردازد و رفتارهای غیرعادی و مخرب را شناسایی کند. با توجه به اینکه باگ‌‌های امنیتی می‌توانند برای مدت طولانی پنهان بمانند، استفاده صحیح و موثر از لاگ‌ها در شناسایی و تحلیل این مشکلات از اهمیت حیاتی برخوردار است. این رویکرد پیشگیرانه، نقش مهمی در کاهش خطرات احتمالی داشته و تضمین می‌کند که سازمان‌ها با الزامات قانونی و استانداردهای صنعتی، سازگار هستند. آن‌چه در این ارزیابی‌ها حائز اهمیت است، بررسی دقیق نتایج به منظور حذف false positiveها و ارزیابی تاثیر احتمالی آسیب‌پذیری‌ها بر روی سازمان است. به گفته‌ی موسسه‌ی National Institute of Standards and Technology (NIST) چرخه‌ی مهار تهدیدات سایبری، به چهار دسته‌ی اساسی تقسیم شده که اولین و مهم‌ترین آن‌ها داشتن آمادگی است. ادعاهای خود را بر اساس تجربه خود در مدیریت سیستم ها، نوشتن نرم افزار، پیکربندی شبکه ها، ساختن سیستم ها و غیره، تصور سیستم ها و فرآیندها از چشم مهاجم ایجاد کنید.

هدف هر دو به حداقل رساندن آسیب به یک سازمان است، اما در جایی که یک IRP با تهدیدات و نقض های فعال سر و کار دارد، یک DRP با شرایطی سروکار دارد که زیرساخت ها یا فرآیندهای تجاری به شدت تحت تأثیر قرار گرفته اند. واکنش حادثه (IR) به فرآیندها و سیستم های سازمان برای کشف و پاسخ به تهدیدات و نقض امنیت سایبری اشاره دارد. درس‌های آموخته‌شده از فعالیت‌های IR همچنین استراتژی‌های پیشگیری و کاهش پایین‌دستی را برای ارتقای وضعیت امنیتی کلی سازمان نشان می‌دهد. مانند تمام مراحل طرح، مستندسازی برای تعیین هزینه ساعت کار، منابع و تأثیر کلی حمله بسیار مهم است. سازمان همچنین باید اطمینان حاصل کند که محتوای مخرب از سیستم‌های آسیب‌دیده حذف شده است و سیستم‌ها به‌طور کامل تمیز شده‌اند تا از خطر عفونت مجدد جلوگیری شود.

در نتیجه، مهاجمان به طور فزاینده‌ای در اسکن اینترنت در جستجوی سیستم‌های آسیب‌پذیر و بهره‌برداری از شکاف‌های امنیتی قبل از اصلاح آن‌ها مهارت پیدا می‌کنند. میوه های کم آویزان برای مهاجمان شامل بهداشت اولیه امنیتی (به عنوان مثال، رمزهای عبور قوی، استقرار MFA) و آسیب پذیری های روز صفر و اصلاح نشده (همانطور که در SolarWinds و Log4J دیده می شود) می شود. فرکانس، پیچیدگی و شدت روش‌های حمله همچنان در حال افزایش است، و برای یک مرکز عملیات امنیتی (SOC) بسیار مهم است که پاسخ‌های مستند و آزمایش شده برای تهدیداتی که با آن مواجه خواهند شد آماده کند. اطلاعاتی مانند پیام های خطا و فایل های گزارش باید از منابع مختلف از جمله سیستم های تشخیص نفوذ و فایروال ها جمع آوری شود تا این تصمیم گرفته شود. اگر حادثه ای رخ داده است، باید در اسرع وقت گزارش شود تا به CSIRT زمان کافی برای جمع آوری شواهد و آماده شدن برای مراحل بعدی داده شود.

بنابراین کسب‌و‌کارها باید به طور فعال به موارد مشکوک و هشدارهای امنیتی، واکنش مناسب نشان دهند. جای تعجب نیست که مهاجمان معمولاً به دنبال محیط های ابری با پیکربندی نادرست می گردند. پس از شناسایی مشکلات و حوادث برای رفع آنها به جای اعمال پیکربندی های مشابه بر روی تمامی سیستم ها از راهکار های Automation و IaC استفاده کنید که به واسطه آنها به شکل سریع تری توانایی اعمال پاسخگویی به حوادث را داشته باشید. نرم افزار های زیادی بر این حوزه وجود دارد و همچنین از برنامه نویسی نیز برای اینکار میتوانیم استفاده کنیم که کاربردی‌ترین و پب استفاده ترین زبان برای بحث Automation زبان پایتون میباشد. به طور معمول مهاجمان سایبری از آسیب‌پذیری‌های موجود در سیستم‌هایpublic-facing  برای دسترسی به شبکه استفاده می‌کنند.

این فرآيند پشتیان گیری و دریافت Log ها میتوانید در هر خدمات دهنده ابری یا Cloud Service Provider خاصی متفاوت باشد و میتواند رایگان و غیر رایگان باشد اما غیر رایگان های آن صرفا میتوانند ویژگی های اضافی را ارائه کنند و در اکثر شرایط این فرآيند رایگان میباشد. بهتر است این ارزیابی‌ها شامل بررسی فرایند، روش، پرسنل، اسناد و فناوری‌های مختلف باشد تا میزان آمادگی کلی سازمان برای IR مورد سنجش قرار گیرد. برخلاف ممیزی، این ارزیابی‌ها برای مشخص کردن نقاط ضعف احتمالی‌ای طراحی شده‌اند که ممکن است توانایی سازمان را در مهار موثر تهدیدات، تضعیف کنند. – تعیین کنید که کدام فرد یا گروه به صورت کلی مسئولیت برنامه را دارد، سپس به افق دوراندیشی که تیم گسترده‌تری را ایجاد کنید فکر کنید – به عنوان مثال تیم فناوری اطلاعات، حقوقی، مالی و منابع انسانی. CSIRT که در زمان بحران به عنوان متخصص عمل می کند، باید زمانی را صرف تحقیق در مورد تهدیدها، تشویق بهترین شیوه ها و توسعه یک طرح واکنش به حادثه کند.

این شرکا با تکمیل یا حتی جایگزینی تیم‌های داخلی، خدماتی را برای نظارت، شناسایی و پاسخگویی به حوادث امنیتی که رخ می‌دهند ارائه می‌کنند. این تیم با نام‌های مختلفی مانند تیم پاسخگویی به حوادث امنیت رایانه (CSIRT)، تیم پاسخگویی به حوادث سایبری (CIRT) یا تیم واکنش اضطراری رایانه (CERT) استفاده می‌شود. یک CSIRT می‌تواند متشکل از یک مدیر پاسخ به حادثه، تحلیل‌گران پاسخ حادثه، تحلیل‌گر پزشکی قانونی دیجیتال، مهندسان معکوس بدافزار و محققان تهدید باشد. بسیاری از این تیم ها توسط افسران ارشد امنیت اطلاعات (CISOs) یا مدیران فناوری اطلاعات رهبری می شوند. فناوری هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ (SOAR) مانند Cortex XSOAR به هماهنگ‌سازی، اجرا و خودکارسازی وظایف بین افراد و ابزارهای مختلف در یک پلتفرم کمک می‌کند. این به سازمان‌ها اجازه می‌دهد نه تنها به سرعت به حملات امنیت سایبری واکنش نشان دهند، بلکه حوادث آینده را نیز مشاهده، درک کرده و از آن جلوگیری کنند، بنابراین وضعیت امنیتی کلی خود را بهبود می‌بخشند.

علاوه‌براین یک برنامه‌ی مناسب باید شامل اهداف و مقاصد، سطوح شدت تهدیدات امنیتی و سایر عناصر کلیدی باشد که به تقویت چارچوب خنثی‌سازی تهدیدات کمک می‌کند. ممکن است شامل از بین بردن مخرب، کاهش اشتباهات پیکربندی یا شناسایی سایر سرورهایی باشد که ممکن است آلوده شده باشند، بنابراین اطلاعات در مورد چگونگی پاسخ به هر نوع حادثه در اینجا گنجانده می‌شود. این بخش از برنامه همچنین مراحل لازم برای بازگرداندن سیستم‌های تحت تأثیر به عملکرد عادی را شامل می‌شود، که ممکن است شامل بازیابی از پشتیبان، بازسازی از یک سطح پایه امن، جایگزینی فایل‌های آلوده با نسخه‌های سالم، پچینگ یا تغییر رمز عبور باشد. پس از حل حادثه، برنامه شامل یک مرحله برای ارزیابی تجربیات گذشته و ادغام آن اطلاعات در یک برنامه پاسخ به حوادث بازنگری‌شده است. علاوه بر داشتن اعضای تیم متمرکز بر سایبری، وجود ذینفعان غیر امنیتی در تیم واکنش به حوادث نیز مفید است. این می تواند شامل حقوقی، مدیران ریسک، منابع انسانی و سایر وظایف تجاری باشد.به عنوان مثال، در صورتی که حادثه امنیتی مربوط به یک کارمند باشد، مانند تهدیدهای خودی یا نشت داده ها، داشتن یک نماینده منابع انسانی در تیم خوب است.

به طور خلاصه درک فرایندهای تجاری مرتبط با این سیستم‌ها به منظور اتخاذ تصمیمات آگاهانه ضروری است. عدم آگاهی از منابع سازمان و نحوه‌ی دسترسی به آن‌ها موجب می‌شود تیم‌های امنیت نتوانند طور موثر عمق و گستره‌ی یک حادثه‌ی امنیتی را شناسایی نمایند. هر Playbook باید اقدامات و مسئولیت‌های دقیقی را برای سناریوهای مختلف تعیین کند تا این اطمینان حاصل شود که تیم IR از آمادگی کامل برخوردار می‌باشد. اگر به دنبال الگوهای IRP یا راهنمایی اضافی هستید، واحد 42 خدمات توسعه و بررسی IRP را ارائه می دهد. هنگامی که با واحد 42 شریک می شوید، با کمک یک متخصص طرح واکنش به حادثه خود را ایجاد و تأیید می کنید. این یک مشکل تجاری است از دست دادن داده ها، آسیب رساندن به کارمندان و مشتریان، یا صدمه به شهرت، تنها چند راه هستند که حوادث می توانند تأثیرات مخربی بر کسب و کار داشته باشند.

Penetration test بر خلاف vulnerability assessment که بر روی آسیب‌پذیری‌های شناخته‌شده تمرکز دارد، به شناسایی نقطه ضعف‌های ناشناخته‌ای می‌پردازد که ممکن است شبکه یا اپلیکیشن‎‌ها را در معرض خطر قرار دهند. مصرف بیش از حد و فایل های مشکوک – اگر شاهد افزایش عملکرد حافظه یا هارد دیسک های شرکت خود هستید، ممکن است شخصی به طور غیرقانونی به آن ها دسترسی داشته باشد یا داده ها درز کرده باشد. در دنیای امروز، تهدیدات سایبری چالشی همیشگی هستند که همگام با پیشرفت فناوری، پیچیده‌تر می‌گردند. اگر علاقمند به حوزه Automation با زبان پایتون ( Python ) هستید میتوانید از دوره آموزشی Network Automation با Python استفاده کنید و بر فرآيند Automation از پایه تا پیشرفته بر روی اکثر پلتفروم ها به واسطه Python تسلط پیدا کنید. تست‌های نفوذ (penetration test) را می‌توان متناسب با محیط خاص مانند شبکه‌های داخلی یا خارجی یا حتی با تمرکز بر روی یک بخش خاص انجام داد. گزارش اخیر Statista پیش‌بینی می‌کند هزینه جهانی جرایم سایبری می‌تواند تا سال ۲۰۲۹ به ۱۵.۶۳ تریلیون دلار برسد.

اطمینان حاصل کنید که پشتیبان‌ها آفلاین ذخیره شده و بازیابی به صورت دوره‌ای آزمایش شود. یک لیست دقیق از دستورالعمل‌های برخورد با حوادث ایجاد کنید و همه چیز را دوره‌ای با تیم پاسخ به حوادث آزمایش کنید. ظهور ابر و کار از راه دور به این معنی است که سطوح حمله به طور مداوم در حال حرکت، تغییر و پیچیده تر شدن هستند. علاوه بر این، پیشرفت‌ها در فناوری‌های اسکن به مهاجمان این امکان را می‌دهد که کل اینترنت را به سرعت و به آسانی اسکن کنند تا بردارهای حمله را بیابند و دارایی‌های رها شده، سرکش یا پیکربندی نادرست را آشکار کنند که می‌توانند به درهای پشتی برای سازش تبدیل شوند. طرح واکنش به حادثه بسیار شبیه به طرح بازیابی فاجعه (DRP) است، اما بر طیف وسیعی از تهدیدات امنیت سایبری تمرکز دارد در حالی که یک DRP بر بازیابی زیرساخت، داده ها و عملکرد از طریق پشتیبان گیری یا افزونگی تمرکز دارد.

بهترین توصیه به تیم‌های امنیتی که برنامه‌های واکنش به حوادث را ایجاد می‌کنند این است که نگران نباشند. مانند امنیت سایبری به طور کلی، پاسخ به حوادث مربوط به آمادگی 100٪ برای هر حمله سایبری نیست، بلکه به طور مداوم یادگیری و افزایش فرآیندها برای ایجاد انعطاف پذیری در برنامه های امنیتی است. تا زمانی که می‌دانید چه مراحلی را باید بردارید، چگونه بهترین کمک را پیدا کنید و از کدام دام‌ها اجتناب کنید، می‌توانید SOC خود را در هر حادثه امنیتی هدایت کنید. بسیاری از SOCها منابع محدود یا حتی وجود ندارند تا به طور مؤثر به یک حادثه پاسخ دهند. به همین دلیل است که بسیاری از شرکت ها برای کمک به نیازهای واکنش به حادثه، شرکای خارجی را استخدام می کنند.

سازمان‌ها با پیاده‌سازی پروتکل‌های پیشنهادی، می‌توانند به‌طور قابل‌توجهی دامنه تهدیدات را کاهش دهند و قدرت دفاعی خود را در برابر دسترسی غیرمجاز و نقض‌های احتمالی تقویت کنند. لیست موجودی سیستم‌های سخت‌افزاری و نرم‌افزاری باید شامل اطلاعاتی مانند صاحب کسب‌و‌کار، عملیات خاصی که یک سیستم برای انجام آن طراحی شده، نام هاست و IPها، طبقه‌بندی داده‌ها، اهمیت اطلاعات، دیتای مربوط به ممیزی یا مقررات و سایر اطلاعات مفید برای تیم IR باشد. اقدامات مذکور شامل ارزیابی و بررسی تهدیدات به صورت دوره‌ای، پیاده‌سازی پالیسی‌های امنیتی، مانیتورینگ دائمی و همچنین جمع‌آوری اطلاعات مربوط به تهدیدات می‌گردد. DFIR علت اصلی مشکلات را تعیین می کند، همه شواهد موجود را شناسایی و مکان یابی می کند، و پشتیبانی مداوم را برای اطمینان از تقویت وضعیت امنیتی سازمان برای آینده ارائه می دهد. دسترسی به حساب‌ها بدون مجوز – حساب‌های دارای امتیاز نسبت به حساب های عادی به اطلاعات و سیستم‌های بیشتری دسترسی دارند. حساب های دارای امتیاز را به دقت زیر نظر داشته باشید و مراقب افزایش امتیازات در حساب های کاربری عادی باشید.

باج افزار یک مدل تجاری مجرمانه است که از نرم افزارهای مخرب برای نگهداری فایل ها، داده ها یا اطلاعات ارزشمند برای باج استفاده می کند. قربانیان یک حمله باج‌افزار ممکن است عملیات آنها به شدت کاهش یابد یا به طور کامل تعطیل شوند. در حالی که داشتن چیزی با ارزش برای باج مفهوم جدیدی نیست، باج افزار به یک تجارت مجرمانه چند میلیون دلاری تبدیل شده است که هم افراد و هم شرکت ها را هدف قرار می دهد. به دلیل محدودیت کم برای ورود و اثربخشی در ایجاد درآمد، به سرعت دیگر مدل های کسب و کار جرایم سایبری را جابجا کرده و به بزرگترین تهدیدی که امروزه سازمان ها با آن مواجه هستند تبدیل شده است. فرآیند IR به پاسخگویی به سؤالات مهم در مورد یک حمله، مانند نحوه ورود مهاجم، اقداماتی که انجام داده است، و اینکه آیا اطلاعات حساس به خطر افتاده است، کمک می کند. پاسخ مطمئن به این سوالات نه تنها وضعیت امنیتی سازمان را بهبود می بخشد، بلکه به ارزیابی مسئولیت های قانونی یا نظارتی بالقوه کمک می کند.

این طرح‌ها پس از مهار یک حادثه یا نقض، به کار خود ادامه می‌دهند و راهنمایی‌های مداوم را برای مستندسازی مناسب و فعالیت‌های پایین‌دستی مرتبط با یک حادثه ارائه می‌دهند. بر اساس یک نظرسنجی از موارد Unit 42 Incident Response، 89٪ از سازمان‌هایی که قربانی حملات ایمیل تجاری (BEC) شده‌اند نتوانسته‌اند MFA را روشن کنند یا بهترین شیوه‌های امنیت ایمیل را دنبال کنند. علاوه بر این، در 50 درصد از این موارد پاسخ به حادثه - سازمان فاقد MFA در مورد سیستم‌های کلیدی مرتبط با اینترنت مانند ایمیل شرکتی، راه‌حل‌های شبکه خصوصی مجازی (VPN) و سایر راه‌حل‌های دسترسی از راه دور بود. فرآيند پاسخگویی به حوادث امری مهم میباشد و انجام دقیق و اصولی آن امری مهم تر پس از این بابت این فرآيند مانند دیگر فرآيند های حوزه امنیت دارای ابزارهای خاص و منحصر به فرد خود میباشد که فرآيند پاسخگويی به حوادث را ساده تر و سریع تر میکنند. در این مقاله قصد داریم بپردازیم به معرفی فرآيند پاسخگویی به حوادث و معرفی 5 تا از بهترین ابزارهای پاسخگویی به حوادث که به صورت رایگان و Open Source ارائه شده اند.

بررسی کامل محیط Active Directory از این جهت اهمیت دارد که اطمینان حاصل شود با توصیه‌های مهم مایکروسافت و استانداردهایی مانند NIST هم‌راستا است. این تطابق به بهبود وضعیت امنیتی پیکربندی AD کمک نموده و مدیریت لاگ‌ها را بهینه می‌سازد. این امر به نوبه‌ی خود جمع‌آوری دیتا و همچنین شناسایی و بررسی های حوادث امنیتی را کارامدتر می‌سازد. علاوه بر این، یک استراتژی موثر IR می تواند اثرات اقتصادی را که اغلب با حوادث یا نقض امنیت سایبری مرتبط است کاهش دهد. روش‌های حمله مانند شیوع بدافزار (شامل باج‌افزار و جاسوس‌افزار)، DDoS و سرقت اعتبار می‌توانند پرهزینه و مخرب باشند، اگر سازمان به اندازه کافی آماده پاسخگویی نباشد. مراحل واکنش به حادثه که سازمان ها باید انجام دهند در یک طرح شش مرحله ای توسط موسسه SANS خلاصه شده است.

از تراکنش‌های مالی گرفته تا ارتباط با مشتریان، همه چیز به سیستم‌های کامپیوتری و شبکه‌ها گره خورده است. اما چه اتفاقی می‌افتد اگر یک فاجعه – از یک حمله سایبری تا یک بلای طبیعی – سیستم‌های حیاتی کسب و کار شما را از کار بیاندازد؟ اینجاست که اهمیت یک برنامه بازیابی از بحران (Disaster Recovery Plan - DRP) مشخص می‌شود. داشتن یک DRP مؤثر تنها یک آپشن نیست؛ بلکه یک ضرورت برای تضمین بقا و تداوم کسب و کار است. بازبینی و بهینه‌سازی لاگ‌های AD، برای خنثی‌سازی سریع تهدیدات امنیتی، امری حیاتی است. لاگ‌هایی که به درستی پیکربندی شده‌اند، اطلاعات ارزشمندی در مورد فعالیت کاربران، تلاش‌های احراز هویت و تغییرات سیستم را ارائه داده و به این ترتیب به تیم‌های امنیت کمک می‌کنند تا تهدیدات را به موقع شناسایی و مهار کنند. هر یک از IR Playbookها قادر به فراهم آوردن جزییات دقیقی از تمام مراحل IR از جمله آماده‌سازی، شناسایی و آنالیز، مهار تهدیدات، محدودکردن تهدیدات و مانع از گسترش آن‌ها، حذف کامل و انجام فعالیت‌های مربوط به پس از حادثه‌ی امنیتی می‌باشند.

اطلاعات را از ابزارهای امنیتی و سیستم های فناوری اطلاعات جمع آوری کنید و آن را در یک مکان مرکزی مانند سیستم SIEM نگهداری کنید. از این اطلاعات برای ایجاد جدول زمانی رخداد استفاده کنید و تحقیقی درباره حادثه با تمام نقاط داده مربوطه در یک مکان انجام دهید. ابزارهای امنیتی مدرن مانند User and Entity Behavior Analytics (UEBA) این فرآیندها را خودکار می کنند و می توانند ناهنجاری ها را در رفتار کاربر یا دسترسی به فایل به طور خودکار شناسایی کنند. این امر پوشش بسیار بهتری از حوادث امنیتی احتمالی را فراهم می کند و باعث صرفه جویی در وقت تیم های امنیتی می شود. CSIRT همچنین شامل رهبرانی از بخش خدمات مشتری، منابع انسانی، حقوقی و روابط عمومی است. این امر به تحلیلگران، محققین و کارشناسان زیرساخت فناوری اطلاعات، که معمولاً از یک سازمان خارجی هستند، نیاز دارد تا حادثه را بررسی، مهار و اصلاح کنند.

وجود یک IRP سازمان را در هنگام بحران راهنمایی می کند و اطمینان می دهد که همه نقش ها و مسئولیت های خود را درک می کنند. در این مقاله ما قرار است به معرفی 5 تا از بهترین ابزار های Open Source پاسخگویی به حوادث را معرفی و بررسی کنیم. برای سازمان‌ها حیاتی است که واکنش‌های حادثه‌ای خود را بررسی کنند و رویکرد خود را برای حملات آینده تطبیق دهند. تمام اسنادی که در طول حادثه تکمیل نشده اند، اکنون باید همراه با اطلاعات اضافی که ممکن است برای حوادث آینده مفید باشد، جمع آوری شود. به عنوان مثال، راه حل Fortinet FortiGuard بیش از 100 میلیارد رویداد امنیتی را در روز برای شناسایی و دفاع در برابر چشم انداز تهدید در حال تکامل تجزیه و تحلیل می کند. اطلاعات تهدید در زمان واقعی را ارائه می دهد که از مشتریان در برابر تهدیدات پیشرفته جدید محافظت می کند و هر زمان که رخ می دهد نقض ها را شناسایی و از آنها جلوگیری می کند.

با افزایش دفعات، مقیاس و پیچیدگی حملات سایبری، طرح واکنش به حادثه نقش مهمی را در دفاع از امنیت اطلاعات سازمان ها ایفا می کند. برای سازمان ها ضروری است که قبل از وقوع یک حادثه کاملاً آماده باشند تا موفقیت و آسیب یک حمله احتمالی را محدود کنند و واکنش خود را به حداکثر برسانند. در انتخاب ابر باید اطمینان حاصل کنید که این فرآيند به صورت کامل و به صورت چندین بار قابل اجرا باشد. سپس تجزیه و تحلیل رفتاری مبتنی بر ML را برای گروه‌بندی هشدارهای مرتبط انجام می‌دهد، این هشدارها را در یک جدول زمانی قرار می‌دهد و علت اصلی را برای سرعت بخشیدن به تریاژ و تحقیقات برای تحلیلگران در تمام سطوح مهارت نشان می‌دهد. یک طرح واکنش به حادثه (IRP) بخش مهمی از SOC است که مشخص می کند یک حادثه چیست و یک واکنش روشن و هدایت شده را ترسیم می کند. IRP ها توسط تیم های واکنش به حادثه مدیریت و توسعه می یابند که باید به طور مداوم برنامه را در صورت نیاز بررسی، آزمایش، اجرا و به روز کنند.

ما می‌توانیم بهترین ابزارهای کلاس مانند Cortex XDR را برای مهار تهدیدها و جمع‌آوری شواهد در عرض چند دقیقه به کار ببریم. سپس این اطلاعات در یک تجزیه و تحلیل پس از مرگ که به افزایش IRP شما کمک می کند، فشرده می شود. ویدیوی زیر را تماشا کنید تا ببینید که چگونه یک کارشناس واحد 42 به عنوان افزونه تیم شما کار می کند. برای تیم‌های امنیتی سخت است که دارایی‌های خود را که دائماً در حال جابجایی، جابجایی و افزایش تعدادشان در طول زمان هستند، پیگیری کنند. این بدان معناست که با افزایش تعداد دارایی های مدیریت نشده در آن سطوح، سطح حمله مدیریت نشده همچنان به رشد خود ادامه می دهد.

داشتن مشاور عمومی در تیم می‌تواند برای ارزیابی پیامدهای قانونی یا اگر حادثه شامل اشخاص ثالث، مانند مشتریان یا فروشندگان باشد، مهم باشد. در نهایت، یک CSIRT باید یک متخصص روابط عمومی داشته باشد تا اطلاعات دقیق را به طرف های مربوطه ارائه دهد. اغلب اوقات، پزشکی قانونی دیجیتال با تلاش‌های واکنش به حادثه ترکیب می‌شود تا یک فرآیند پزشکی قانونی دیجیتال و پاسخ حادثه (DFIR) گسترده‌تر ایجاد شود. پزشکی قانونی دیجیتال به طور خاص داده ها را با هدف بازسازی یک حادثه و ارائه تصویری کامل از کل چرخه حیات حمله، که اغلب شامل بازیابی شواهد حذف شده است، جمع آوری و بررسی می کند. با این حال، تحقیقات اخیر Immersive Labs نشان داد که تقریباً 40٪ از سازمان‌ها مطمئن نیستند که تیم‌هایشان می‌توانند با نقض داده‌ها مقابله کنند. و در حالی که 61٪ از پاسخ دهندگان فکر می کردند که داشتن یک طرح واکنش به حادثه موثرترین راه برای آماده شدن برای یک حادثه امنیتی است، 40٪ گفتند که آخرین تمرین هیچ اقدامی ایجاد نکرده است.