ابزارهای امنیتی مدرن همچنان از سازمانها و شبکههای آنها در برابر تهدیدها دفاع میکنند و راههای خود را بهبود میبخشند اما خرابکاران امنیتی گهگاهی راه خود را پیدا میکنند.
تیمهای امنیتی باید بتوانند تهدیدها را متوقف کنند و کارها و عملیات عادی را به حالت قبل حمله برگردانند. به همین دلیل این تیمها نه تنها باید ابزارهای مناسب را داشته باشند بلکه باید بدانند چگونه به یک حادثه امنیت سایبری پاسخ دهند.
کار به همینجا ختم نمیشود. تیمهای امنیت سایبری باید خودشان را، همانطور که تهدیدها تغییر وپیشرفت میکنند، به روز نگاه دارند. هر حادثه امنیتی باید به عنوان یک فرصت آموزشی برای کمک به سازمان یا شرکت در نظر گرفته شود تا در حوادث بعدی از این درس استفاده کنند.
موسسه SANS چارچوبی با ۶ قدم برای پاسخ سریع به حوادث امنیت سایبری آماده کرده است:
- آمادهسازی
- شناسایی
- مهار
- قلع و قمع
- بهبود
- درسهای یادگرفته
در حالی که این مراحل از یک جریان منطقی پیروی میکنند، ممکن است برای تکرار مراحل خاصی که بار اول نادرست یا ناقص انجام شده اند، به مرحله قبلی برگردید. بله، این سرعت IR (پاسخ به حوادث) را کاهش میدهد. اما تکمیل هر مرحله به طور کامل مهمتر از صرفه جویی در زمان برای تسریع مراحل است.
۱- آمادهسازی
هدف: تیم خود را برای مدیریت مؤثر و مؤثر رویدادها آماده کنید.
همه افرادی که به سیستم شما دسترسی دارند باید برای حادثه آماده باشند- نه فقط تیم واکنش به حادثه. خطای انسانی یکی از مهمترین و اصلیترین دلایل نقض داده است. پس اولین و مهمترین گام در IR آموزش کارمندان است تا بدانند باید به چیزی دقت کنند. استفاده از یک طرح پاسخ به حادثه امنیت سایبری قالببندی شده برای ایجاد نقشها و مسئولیتها برای همه اعضای شرکت – مدیران امنیتی، مدیران عامل، تیمهای ممیزی، و سایر نقشهای سازمان – میتواند هماهنگی کارآمد را تضمین کند.
خرابکارها به حملات مهندسی اجتماعی و تکنیکهای فیشینگ نیزهای ادامه خواهند داد تا یک قدم جلوتر از کمپینهای آموزشی شرکت باشند. در حالی که بسیاری از کارمندان اکنون می دانند که ایمیلی که از نظر دستور زبان ضعیف است را باید نادیده بگیرند، انواع ایمیلهای دیگری دریافت میکنند. برخی در ازای یک پیش پرداخت کوچک وعده پاداش می دهد، برخی از اهداف قربانی یک پیام متنی خارج از ساعات کاری دریافت میکنند که وانمود میکند رئیس آنها درخواست کاری حساس و اضطراریای دارد و غیره. به همین جهت آموزش داخلی شما باید به طور مرتب به روز شود تا آخرین روندها و تکنیکها را منعکس کند.
پاسخ دهنده حادثه، یا مرکز عملیات امنیتی (SOC)، البته در صورت وجود، همچنین نیاز به یک آموزش منظم دارند که در شرایط ایدهآل باید شبیهسازی عملیات واقعی باشد. یک شبیه سازی شبیه حمله واقعی میتواند سطح آدرنالین در اعضای تیم را افزایش دهد و آنها حس یک حمله واقعی را تجربه کنند. برخی اعضای تیم هنگام روشن شدن آتش میدرخشند و برخی دیگر نیاز به آموزش و راهنمایی بیشتری دارند، در این تمرینها اینها کشف خواهید کرد.
بخش دیگری از آماده سازی شامل ترسیم یک استراتژی پاسخ خاص است. رایجترین رویکرد، مهار و ریشهکن کردن حادثه است. گزینه دیگر این است که یک حادثه را تماشا کنید، رفتار مهاجم را ارزیابی کنید و اهداف او رو شناسایی کنید.
فراتر از آموزش و استراتژی، فناوری نقش بزرگی در واکنش به حادثه ایفا می کند. لاگها یک جزء حیاتی هستند. به عبارت ساده، هرچه بیشتر لاگ داشته باشید، بررسی یک حادثه برای تیم IR آسانتر و کارآمدتر خواهد بود.
همچنین، استفاده از یک پلتفرم تشخیص و پاسخ نقطه پایانی (EDR) یا ابزار تشخیص و پاسخ گسترده (XDR) با کنترل متمرکز، به شما امکان میدهد تا به سرعت اقدامات دفاعی مانند جداسازی ماشینها، جدا کردن آنها از شبکه و اجرای دستورات متقابل را در مقیاس انجام دهید.
سایر فناوریهای مورد نیاز برای IR شامل یک محیط مجازی است که در آن لاگها، فایلها و سایر دادهها را میتوان تجزیه و تحلیل کرد، همراه با فضای ذخیرهسازی کافی برای نگهداری این اطلاعات. شما نمیخواهید در طول یک حادثه امنیت سایبری زمان را برای راهاندازی ماشینهای مجازی و اختصاص فضای ذخیره سازی تلف کنید.
در نهایت، شما به سیستمی برای مستندسازی یافتههای خود از یک حادثه، چه با استفاده از صفحات گسترده یا یک ابزار اختصاصی اسناد IR، نیاز دارید. اسناد شما باید جدول زمانی حادثه، سیستمها و کاربرانی که تحت تأثیر قرار گرفتهاند، و فایلهای مخرب و شاخصهای سازش (IOC) را که کشف کردهاید، پوشش دهد.
منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html
