همزمان و حتی چند قدم جلوتر از پیشرفت تکنولوژی و محصولات امنیتی، هکرها وخرابکارها اطلاعات و روشهای خود را به روز میکنند و تغییر میدهند. حادثههای امنیت سایبری، با متدهای قدیمی و جدید، هر روز برای انواع شرکتها، سازمانها و افراد رخ میدهند. تیمهای ارزیابی و یا تیمهای امنیت سایبری شرکتها باید بتوانند این حادثهها و تهدیدها را شناسایی و متوقف کنند. برای این کار نه تنها باید ابزارهای مناسب داشته باشند بلکه باید بدانند چگونه به یک حادثه سایبری پاسخ دهند.
موسسه SANS چارچوبی با ۶ قدم برای پاسخ سریع به حوادث امنیت سایبری آماده کرده است. در مقاله «۶ گام برای پاسخ سریع به حوادث امنیت سایبری : آمادهسازی» گام اول را مرور کردیم و در این مقاله به گام دوم یعنی شناسایی میپردازیم.
پاسخ سریع به حوادث امنیت سایبری
شناسایی
هدف: تشخیص اینکه آیا نفوذی در شرکت یا سازمانتان رخ داده و جمعآوری IOCها.
چند راه حل وجود دارد که تشخیص دهید آیا حادثه امنیت سایبریای رخ داده و یا هماکنون در حال انجام است:
تشخیص داخلی: یک حادثه در شرکت یا سازمان میتواند توسط تیم نظارت داخلی و یا یکی از کارمندان – به لطف آموزشهای آگاهی امنیت سایبری- گزارش شود. این شناسایی همچنین میتواند در قالب یک هشدار از سمت یک یا چند نرمافزار امنیتی باشد.
تشخیص خارجی: یک شرکت یا شخص ثالث که بعنوان مشاور امنیتی شما است و یا سازمان شما از محصولات امنیت سایبری آنها استفاده میکند- میتواند بروز یک حمله سایبری را تشخیص و آن را گزارش دهد. این میتواند مشاهده یک رفتار غیرعادی در ترافیک باشد.
افشای دادههای استخراج شده: یکی از بدترین نوع تشخیص بروز یک حادثه امنیتی این است که متوجه شوید دادههای شرکت یا سازمان شما در فروشگاههای دارک وب برای دانلود یا خرید و فروش بارگذاری شده است. اگر این دادهها، اطلاعات حساس مشتری شما باشد، قبل از اینکه آمادگی پاسخ به عموم را پیدا کنید، این خبر در رسانهها درز میکند و حتی ممکن است پیامدهای بدتری نیز داشته باشد.
هیچ بحثی در مورد شناسایی حمله بدون مطرح کردن حجم عظیم هشدارها کامل نخواهد بود. اگر تنظیمات تشخیص محصولات امنیتی شما خیلی بالا باشد، هشداری فراوانی در مورد فعالیتهای غیرمهم در نقاط پایانی و شبکه خود دریافت خواهید کرد. این باعث میشود تیم ارزیابی شما با حجم عظیمی از هشدارها روبرو شود و همین احتمال از نادیده گرفتن یک هشدار مهم را بالا میبرد.
همین اتفاق زمانی نیز رخ میدهد که تنظیمات تشخیص حمله در محصولات امنیتی پایین باشد، زیرا ممکن است هشدارهای مهم را اصلا دریافت نکنید و آن را از دست بدهید. در یک وضعیت امنیتی متعادل، هشدارهای نه زیاد و نه کم را دریافت خواهید کرد، و میتوانید حوادثی را شناسایی کنید که ارزش بررسی زیادی دارند.
فروشندگان و توسعه دهندهگان محصولات میتوانند به شما در پیدا کردن تعاپل مناسب کمک کنند، وحتی بصورت خودکار هشدارها را فیلتر کنند تا شما فقط هشدارهای مهم و با ارزش برای بررسی را دریافت کنید.
در مرحله شناسایی، تمام شاخصهای سازش (IOC) جمعآوریشده از هشدارها، مانند میزبانها و کاربران در معرض خطر، فایلها و فرآیندهای مخرب، کلیدهای رجیستری جدید و موارد دیگر را مستند میکنید.
منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html
