۶ گام برای پاسخ سریع به حوادث امنیت سایبری : شناسایی

0
110
پاسخ سریع به حوادث امنیت سایبری : شناسایی

همزمان و حتی چند قدم جلوتر از پیشرفت تکنولوژی و محصولات امنیتی، هکرها وخرابکارها اطلاعات و روش‌‌های خود را به روز می‌کنند و تغییر می‌دهند. حادثه‌های امنیت سایبری، با متدهای قدیمی و جدید، هر روز برای انواع شرکت‌ها، سازمان‌ها و افراد رخ می‌دهند. تیم‌های ارزیابی و یا تیم‌های امنیت سایبری شرکت‌‌ها باید بتوانند این حادثه‌ها و تهدیدها را شناسایی و متوقف کنند.  برای این کار نه تنها باید ابزارهای مناسب داشته باشند بلکه باید بدانند چگونه به یک حادثه سایبری پاسخ دهند.

موسسه SANS چارچوبی با ۶ قدم برای پاسخ سریع به حوادث امنیت سایبری آماده کرده است. در مقاله «۶ گام برای پاسخ سریع به حوادث امنیت سایبری : آماده‌سازی» گام اول را مرور کردیم و در این مقاله به گام دوم یعنی شناسایی می‌پردازیم.

پاسخ سریع به حوادث امنیت سایبری

شناسایی

هدف: تشخیص اینکه آیا نفوذی در شرکت یا سازمان‌تان رخ داده و جمع‌آوری IOC‌ها.

چند راه حل وجود دارد که تشخیص دهید آیا حادثه امنیت سایبری‌ای رخ داده و یا هم‌اکنون در حال انجام است:

تشخیص داخلی: یک حادثه در شرکت یا سازمان می‌تواند توسط تیم نظارت داخلی و یا یکی از کارمندان – به لطف آموزش‌های آگاهی امنیت سایبری- گزارش شود. این شناسایی همچنین می‌تواند در قالب یک هشدار از سمت یک یا چند نرم‌افزار امنیتی باشد.

تشخیص خارجی: یک شرکت یا شخص ثالث که بعنوان مشاور امنیتی شما است و یا سازمان شما از محصولات امنیت سایبری آن‌ها استفاده می‌کند- می‌تواند بروز یک حمله سایبری را تشخیص و آن را گزارش دهد. این می‌تواند مشاهده یک رفتار غیرعادی در ترافیک باشد.

افشای داده‌های استخراج شده: یکی از بدترین نوع تشخیص بروز یک حادثه امنیتی این است که متوجه شوید داده‌های شرکت یا سازمان شما در فروشگاه‌‌های دارک وب برای دانلود یا خرید و فروش بارگذاری شده است. اگر این داده‌‌ها، اطلاعات حساس مشتری شما باشد، قبل از اینکه آمادگی پاسخ به عموم را پیدا کنید، این خبر در رسانه‌‌ها درز می‌کند و حتی ممکن است پیامد‌های بدتری نیز داشته باشد.

هیچ بحثی در مورد شناسایی حمله بدون مطرح کردن حجم عظیم هشدارها کامل نخواهد بود. اگر تنظیمات تشخیص محصولات امنیتی شما خیلی بالا باشد، هشداری فراوانی در مورد فعالیت‌های غیرمهم در نقاط پایانی و شبکه خود دریافت خواهید کرد. این باعث می‌شود تیم ارزیابی شما با حجم عظیمی از هشدارها روبرو شود و همین احتمال از نادیده گرفتن یک هشدار مهم را بالا می‌برد.

همین اتفاق زمانی نیز رخ می‌دهد که تنظیمات تشخیص حمله در محصولات امنیتی پایین باشد، زیرا ممکن است هشدارهای مهم را اصلا دریافت نکنید و آن را از دست بدهید. در یک وضعیت امنیتی متعادل، هشدارهای نه زیاد و نه کم را دریافت خواهید کرد، و میتوانید حوادثی را شناسایی کنید که ارزش بررسی زیادی دارند.

فروشندگان و توسعه دهنده‌گان محصولات میتوانند به شما در پیدا کردن تعاپل مناسب کمک کنند، وحتی بصورت خودکار هشدارها را فیلتر کنند تا شما فقط هشدارهای مهم و با ارزش برای بررسی را دریافت کنید.

در مرحله شناسایی، تمام شاخص‌های سازش (IOC) جمع‌آوری‌شده از هشدارها، مانند میزبان‌ها و کاربران در معرض خطر، فایل‌ها و فرآیندهای مخرب، کلیدهای رجیستری جدید و موارد دیگر را مستند می‌کنید.

منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html

مقاله قبلی۶ گام برای پاسخ سریع به حوادث امنیت سایبری : آماده‌سازی
مقاله بعدی۶ گام برای پاسخ سریع به حوادث امنیت سایبری : مهار کردن

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.