۶ گام برای پاسخ سریع به حوادث امنیت سایبری : آماده‌سازی

0
261
پاسخ سریع به حوادث امنیت سایبری

ابزارهای امنیتی مدرن همچنان از سازمان‌ها و شبکه‌های آن‌ها در برابر تهدید‌ها دفاع میکنند و راه‌های خود را بهبود می‌بخشند اما خرابکاران امنیتی گهگاهی راه خود را پیدا می‌کنند.

تیم‌‌های امنیتی باید بتوانند تهدیدها را متوقف کنند و کارها و عملیات عادی را به حالت قبل حمله برگردانند. به همین دلیل این تیم‌ها نه تنها باید ابزارهای مناسب را داشته باشند بلکه باید بدانند چگونه به یک حادثه امنیت سایبری پاسخ دهند.

کار به همینجا ختم نمی‌شود. تیم‌های امنیت سایبری باید خودشان را، همانطور که تهدیدها تغییر وپیشرفت میکنند، به روز نگاه دارند. هر حادثه امنیتی باید به عنوان یک فرصت آموزشی برای کمک به سازمان یا شرکت در نظر گرفته شود تا در حوادث بعدی از این درس استفاده کنند.

موسسه SANS چارچوبی با ۶ قدم برای پاسخ سریع به حوادث امنیت سایبری آماده کرده است:

  • آماده‌سازی
  • شناسایی
  • مهار
  • قلع‌ و قمع
  • بهبود
  • درس‌های یادگرفته

در حالی که این مراحل از یک جریان منطقی پیروی می‌کنند، ممکن است برای تکرار مراحل خاصی که بار اول نادرست یا ناقص انجام شده اند، به مرحله قبلی برگردید. بله، این سرعت IR (پاسخ به حوادث) را کاهش می‌دهد. اما تکمیل هر مرحله به طور کامل مهمتر از صرفه جویی در زمان برای تسریع مراحل است.

۱- آماده‌سازی

هدف: تیم خود را برای مدیریت مؤثر و مؤثر رویدادها آماده کنید.

همه افرادی که به سیستم‌ شما دسترسی دارند باید برای حادثه آماده باشند- نه فقط تیم واکنش به حادثه. خطای انسانی یکی از مهم‌ترین و اصلی‌ترین دلایل نقض داده است. پس اولین و مهم‌ترین گام در IR آموزش کارمندان است تا بدانند باید به چیزی دقت کنند. استفاده از یک طرح پاسخ به حادثه امنیت سایبری قالب‌بندی شده برای ایجاد نقش‌ها و مسئولیت‌ها برای همه اعضای شرکت – مدیران امنیتی، مدیران عامل، تیم‌های ممیزی، و سایر نقش‌های سازمان – می‌تواند هماهنگی کارآمد را تضمین کند.

خرابکارها به حملات مهندسی اجتماعی و تکنیک‌های فیشینگ نیزه‌ای ادامه خواهند داد تا یک قدم جلوتر از کمپین‌های آموزشی شرکت باشند. در حالی که بسیاری از کارمندان اکنون می دانند که ایمیلی که از نظر دستور زبان ضعیف است را باید نادیده بگیرند، انواع ایمیل‌های دیگری دریافت می‌کنند. برخی در ازای یک پیش پرداخت کوچک وعده پاداش می دهد، برخی از اهداف قربانی یک پیام متنی خارج از ساعات کاری دریافت میکنند که وانمود می‌کند رئیس آنها درخواست کاری حساس و اضطراری‌ای دارد و غیره. به همین جهت آموزش داخلی شما باید به طور مرتب به روز شود تا آخرین روندها و تکنیک‌ها را منعکس کند.

پاسخ دهنده حادثه، یا مرکز عملیات امنیتی (SOC)، البته در صورت وجود، همچنین نیاز به یک آموزش منظم دارند که در شرایط ایده‌آل باید شبیه‌سازی عملیات واقعی باشد. یک شبیه سازی شبیه حمله واقعی می‌تواند سطح آدرنالین در اعضای تیم را افزایش دهد و آن‌ها حس یک حمله واقعی را تجربه کنند. برخی اعضای تیم هنگام روشن شدن آتش می‌درخشند و برخی دیگر نیاز به آموزش و راهنمایی بیشتری دارند، در این تمرین‌ها این‌ها کشف خواهید کرد.

بخش دیگری از آماده سازی شامل ترسیم یک استراتژی پاسخ خاص است. رایج‌ترین رویکرد، مهار و ریشه‌کن کردن حادثه است. گزینه دیگر این است که یک حادثه را تماشا کنید، رفتار مهاجم را ارزیابی کنید و اهداف او رو شناسایی کنید.

فراتر از آموزش و استراتژی، فناوری نقش بزرگی در واکنش به حادثه ایفا می کند. لاگ‌ها یک جزء حیاتی هستند. به عبارت ساده، هرچه بیشتر لاگ داشته باشید، بررسی یک حادثه برای تیم IR آسانتر و کارآمدتر خواهد بود.

همچنین، استفاده از یک پلت‌فرم تشخیص و پاسخ نقطه پایانی (EDR) یا ابزار تشخیص و پاسخ گسترده (XDR) با کنترل متمرکز، به شما امکان می‌دهد تا به سرعت اقدامات دفاعی مانند جداسازی ماشین‌ها، جدا کردن آنها از شبکه و اجرای دستورات متقابل را در مقیاس انجام دهید.

سایر فناوری‌های مورد نیاز برای IR شامل یک محیط مجازی است که در آن لاگ‌ها، فایل‌ها و سایر داده‌ها را می‌توان تجزیه و تحلیل کرد، همراه با فضای ذخیره‌سازی کافی برای نگهداری این اطلاعات. شما نمی‌خواهید در طول یک حادثه امنیت سایبری زمان را برای راه‌اندازی ماشین‌های مجازی و اختصاص فضای ذخیره سازی تلف کنید.

در نهایت، شما به سیستمی برای مستندسازی یافته‌های خود از یک حادثه، چه با استفاده از صفحات گسترده یا یک ابزار اختصاصی اسناد IR، نیاز دارید. اسناد شما باید جدول زمانی حادثه، سیستم‌ها و کاربرانی که تحت تأثیر قرار گرفته‌اند، و فایل‌های مخرب و شاخص‌های سازش (IOC) را که کشف کرده‌اید، پوشش دهد.

منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html

مقاله قبلیپیکربندی نادرست امنیت سایبری : تنظیمات پیش‌فرض سیستم‌ها و سرویس‌ها
مقاله بعدی۶ گام برای پاسخ سریع به حوادث امنیت سایبری : شناسایی

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.