۶ گام برای پاسخ سریع به حوادث امنیت سایبری : مهار کردن

0
271
۶ گام برای پاسخ سریع به حوادث امنیت سایبری : مهار کردن

حوادث امنیت سایبری هر روز چندین قربانی میگیرد. شرکت‌ها و سازمان‌ها باید تیم‌هایی برای شناسایی حمله‌ها و نحوه پاسخگویی به آن‌ها را داشته باشند. حتی اگر شرکت شما کوچک باشد، باز هم صاحب داده‌ها و منابعی هستید که برایتان مهم هستند و در صورت بروز نقض داده ممکن است خسارت‌های جبران‌ناپذیری را متحمل شوید. در این سری از مجموعه مقاله‌‌های پاسخ به حوادث امنیتی (IR) خواندیم که موسسه SANS چارچوبی با ۶ قدم برای IR آماده کرده است. در مقاله‌های «آماده‌سازی» و «شناسایی» قدم اول و دوم را مرور کردیم. در این مقاله از وب‌سایت امنیت اینترنت کنش‌تک به مرحله سوم یعنی «مهار» اشاره می‌کنیم.

۶ گام برای پاسخ سریع به حوادث امنیت سایبری : مهار کردن

هدف : به حداقل رساندن آسیب

مهار به همان اندازه که یک گام متمایز در IR است، یک استراتژی است. شما می خواهید یک رویکرد مناسب برای سازمان با توجه به پیامدهای امنیتی و تجاری ایجاد کنید. اگرچه جداسازی دستگاه‌ها یا جدا کردن آنها از شبکه ممکن است از گسترش حمله در سراسر سازمان جلوگیری کند، اما می‌تواند منجر به آسیب مالی قابل توجه یا آسیب‌‌های دیگر شود. این تصمیمات باید زودتر از موعد گرفته شود و به وضوح در استراتژی IR شما بیان شود.

مهار را می توان به هر دو مرحله کوتاه مدت و بلند مدت تقسیم کرد که هر یک پیامدهای منحصر به فرد دارد.

  • کوتاه مدت: این شامل اقداماتی است که ممکن است در لحظه اتخاذ کنید، مانند خاموش کردن سیستم‌‌ها، قطع اتصال دستگاه‌ها از شبکه، مانیتور فعالیت‌های مخرب بصورت فعال، هر کدام از این‌ها مزایا و معایب خود را دارند.
  • بلند مدت:  بهترین سناریو این است که سیستم آلوده را آفلاین نگه دارید تا بتوانید با خیال راحت به مرحله ریشه کنی بروید. با این حال، این همیشه امکان پذیر نیست، بنابراین ممکن است لازم باشد اقداماتی مانند وصله، تغییر رمز عبور، از بین بردن سرویس‌های خاص و موارد دیگر را انجام دهید.

در مرحله مهار، دستگاه‌های حیاتی مانند کنترل‌کننده‌های دامنه، سرورهای فایل و سرورهای پشتیبان را اولویت‌بندی میکنند تا مطمئن شوند که در معرض خطر قرار نگرفته‌اند.

مراحل اضافی در این مرحله شامل مستندسازی دارایی‌ها و تهدیدهایی است که ممکن است تحت تاثیر حادثه قرار گرفته باشند، و همچنین گروه‌بندی دستگاه‌ها بر اساس اینکه آیا به خطر افتاده‌اند یا خیر. اگر مطمئن نیستید، بدترین احتمال را در نظر بگیرید. هنگامی که همه دستگاه‌ها دسته‌بندی شدند، این مرحله به پایان می‌رسد.

در این مرحله باید به یکی دیگر از جنبه‌های مهم پاسخ‌گویی به حادثه امنیت سایبری اشاره کنیم: بررسی. هدف این مرحله جواب دادن به سوال‌‌های چه کسی، چه چیزی، کجا، چگونه، چه زمان، و چرا است. بررسی در طول فرایند IR انجام می‌شود، هر چند خودش یک مرحله جدا به حساب نمی‌آید، اما در تمام مراحل باید آن را در نظر داشت.

هدف مرحله‌ بررسی تحقیق درباره این است که به کدام سیستم‌ها دسترسی پیدا کرده‌اند و منشا نقض کجاست. وقتی حادثه مهار شد، تیم‌ها می‌توانند با گردآوری هر چه بیشتر اطلاعات از منابعی مانند دیسک‌‌ها، حافظه‌، و گزارش‌ها تحقیقات خود را کامل کنند.

منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html

مقاله قبلی۶ گام برای پاسخ سریع به حوادث امنیت سایبری : شناسایی
مقاله بعدی۶ گام برای پاسخ سریع به حوادث امنیت سایبری : ریشه‌کن کردن، بازیابی و آموزش

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.