در ادامه ۶ گام برای پاسخ سریع به حوادث امنیت سایبری، به سه مورد آخر یعنی ریشهکن یا حذف کردن، بازیابی و آموزش میپردازیم.
ریشهکن کردن
هدف : مطمئن شوید که تهدید کامل رفع شده است.
بعد از مرحله مهار میتوانید به سراغ مرحله بعدی از پاسخ سریع به حوادث امنیتی بروید، قدم ریشه کن کردن. این کار میتواند از طریق پاکسازی دیسک، حذف کامل فایلهای مخرب، تغییر کلیدهای رجیستری، بازگرداندن فایل پشتیبان سالم و نصب دوباره سیستمعامل باشد.
همانند مراحل قبلی، در این مرحله مستند سازی نقش مهمی دارد. برای مثال تیم IR اقدامات انجام شده در هر دستگاه را به دقت مستند میکند تا مطمئن شود چیزی از قلم نیافتد. بعنوان یک بررسی دیگر بعد از تکمیل فرایند ریشهکنی، تمام سیستمها را دوباره اسکن کنید تا مطمئن شوید تهدیدی در میان نیست.
بازیابی
هدف: بازگشت به عملیات عادی
همه اینکارها برای این مرحله یعنی بازیابی انجام شد، تا بتوانید دوباره فعالیتهای عادی را از سر بگیرید. اما تعیین زمان بازیابی بسیار حائز اهمیت است. این مرحله میتواند بدون تاخیر انجام شود و یا باید مقداری منتظر بمانید، بستگی به شرایط شرکت یا سازمان.
دوباره چک کنید تا مطمئن شوید هیچ IOCیی در سیستمهای بازیابی شده باقی نمانده است. همچنین باید تائید کنید که علت اصلی دیگر وجود ندارد.
درسهایی که یاد گرفتیم
هدف: آنچه اتفاق افتاده را مستند کنید و توانایی های خود را بهبود بخشید.
اکنون که این حادثه را پشت سر گذاشته شده است، زمان آن است که در مورد هر مرحله اصلی IR فکر کنید و به سؤالات کلیدی پاسخ دهید، سؤالات و جنبه های زیادی وجود دارد که باید پرسیده و بررسی شود، در زیر چند نمونه آورده شده است:
شناسایی: پس از وقوع مصالحه اولیه چقدر طول کشید تا حادثه شناسایی شود؟
مهار: چه مدت طول کشید تا این حادثه مهار شود؟
ریشه کنی: پس از ریشه کنی، آیا هنوز نشانه هایی از بدافزار پیدا کردید؟
بررسی این موارد به شما کمک میکند تا به عقب برگردید و سؤالات اساسی مانند: آیا ما ابزار مناسبی داریم؟ آیا کارکنان ما به طور مناسب برای پاسخگویی به حوادث آموزش دیده اند؟ پاسخ دهید.
سپس این چرخه به آماده سازی باز میگردد، جایی که می توانید بهبودهای لازم را مانند به روز رسانی الگوی طرح واکنش به حادثه، فناوری و فرآیندهای خود و ارائه آموزش بهتر به کارمندان را انجام دهید.
۴ نکته مهم برای امن ماندن:
۱- هر چه بیشتر log کنید همانقدر بهتر و عمیقتر میتوانید بررسی کنید و در زمان و هزینه صرفهجویی میکنید.
۲- از طریق حملههای شبیهسازی به سیستمها و شبکه خود، آمادگی را حفظ کنید. این حملات نشان میدهد که تیم SOC چگونه میتواند هشدارها را تجزیه و تحلیل کند. این در طول یک حادثه واقعی بسیار مهم است.
۳- کارمندان در زنجیره امنیت سایبری شرکت نقش کلیدی و مهمی دارند. تقریبا ۹۵ درصد حملات سایبری ناشی از خطای انسانی هستند.برای همین انجام گروههای آموزشی برای دو گروه بسیار مهم است: کاربران نهایی و تیم امنیتی شما.
۴- داشتن یک تیم تخصصی IR ثالث میتواند به شرکت شما بسیار کمک کند. زیرا این گروه تا اکنون با حادثههای متنوع و مختلفی روبرو و آنها را حل کرده و پشت سر گذاشتهاند. تجربه این تیمها میتواند برای شما بسیار کمک کننده باشد.
منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html
