حوادث امنیت سایبری هر روز چندین قربانی میگیرد. شرکتها و سازمانها باید تیمهایی برای شناسایی حملهها و نحوه پاسخگویی به آنها را داشته باشند. حتی اگر شرکت شما کوچک باشد، باز هم صاحب دادهها و منابعی هستید که برایتان مهم هستند و در صورت بروز نقض داده ممکن است خسارتهای جبرانناپذیری را متحمل شوید. در این سری از مجموعه مقالههای پاسخ به حوادث امنیتی (IR) خواندیم که موسسه SANS چارچوبی با ۶ قدم برای IR آماده کرده است. در مقالههای «آمادهسازی» و «شناسایی» قدم اول و دوم را مرور کردیم. در این مقاله از وبسایت امنیت اینترنت کنشتک به مرحله سوم یعنی «مهار» اشاره میکنیم.
۶ گام برای پاسخ سریع به حوادث امنیت سایبری : مهار کردن
هدف : به حداقل رساندن آسیب
مهار به همان اندازه که یک گام متمایز در IR است، یک استراتژی است. شما می خواهید یک رویکرد مناسب برای سازمان با توجه به پیامدهای امنیتی و تجاری ایجاد کنید. اگرچه جداسازی دستگاهها یا جدا کردن آنها از شبکه ممکن است از گسترش حمله در سراسر سازمان جلوگیری کند، اما میتواند منجر به آسیب مالی قابل توجه یا آسیبهای دیگر شود. این تصمیمات باید زودتر از موعد گرفته شود و به وضوح در استراتژی IR شما بیان شود.
مهار را می توان به هر دو مرحله کوتاه مدت و بلند مدت تقسیم کرد که هر یک پیامدهای منحصر به فرد دارد.
- کوتاه مدت: این شامل اقداماتی است که ممکن است در لحظه اتخاذ کنید، مانند خاموش کردن سیستمها، قطع اتصال دستگاهها از شبکه، مانیتور فعالیتهای مخرب بصورت فعال، هر کدام از اینها مزایا و معایب خود را دارند.
- بلند مدت: بهترین سناریو این است که سیستم آلوده را آفلاین نگه دارید تا بتوانید با خیال راحت به مرحله ریشه کنی بروید. با این حال، این همیشه امکان پذیر نیست، بنابراین ممکن است لازم باشد اقداماتی مانند وصله، تغییر رمز عبور، از بین بردن سرویسهای خاص و موارد دیگر را انجام دهید.
در مرحله مهار، دستگاههای حیاتی مانند کنترلکنندههای دامنه، سرورهای فایل و سرورهای پشتیبان را اولویتبندی میکنند تا مطمئن شوند که در معرض خطر قرار نگرفتهاند.
مراحل اضافی در این مرحله شامل مستندسازی داراییها و تهدیدهایی است که ممکن است تحت تاثیر حادثه قرار گرفته باشند، و همچنین گروهبندی دستگاهها بر اساس اینکه آیا به خطر افتادهاند یا خیر. اگر مطمئن نیستید، بدترین احتمال را در نظر بگیرید. هنگامی که همه دستگاهها دستهبندی شدند، این مرحله به پایان میرسد.
در این مرحله باید به یکی دیگر از جنبههای مهم پاسخگویی به حادثه امنیت سایبری اشاره کنیم: بررسی. هدف این مرحله جواب دادن به سوالهای چه کسی، چه چیزی، کجا، چگونه، چه زمان، و چرا است. بررسی در طول فرایند IR انجام میشود، هر چند خودش یک مرحله جدا به حساب نمیآید، اما در تمام مراحل باید آن را در نظر داشت.
هدف مرحله بررسی تحقیق درباره این است که به کدام سیستمها دسترسی پیدا کردهاند و منشا نقض کجاست. وقتی حادثه مهار شد، تیمها میتوانند با گردآوری هر چه بیشتر اطلاعات از منابعی مانند دیسکها، حافظه، و گزارشها تحقیقات خود را کامل کنند.
منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html
