۶ گام برای پاسخ سریع به حوادث امنیت سایبری : ریشه‌کن کردن، بازیابی و آموزش

0
155
۶ گام برای پاسخ سریع به حوادث امنیت سایبری : ریشه‌کن کردن، بازیابی و آموزش

در ادامه ۶ گام برای پاسخ سریع به حوادث امنیت سایبری، به سه مورد آخر یعنی ریشه‌کن یا حذف کردن، بازیابی و آموزش میپردازیم.

ریشه‌کن کردن

هدف : مطمئن شوید که تهدید کامل رفع شده است.

بعد از مرحله مهار می‌توانید به سراغ مرحله بعدی از پاسخ سریع به حوادث امنیتی بروید، قدم ریشه کن کردن. این کار می‌تواند از طریق پاکسازی دیسک، حذف کامل فایل‌های مخرب، تغییر کلید‌های رجیستری، بازگرداندن فایل پشتیبان سالم و نصب دوباره سیستم‌عامل باشد.

همانند مراحل قبلی، در این مرحله مستند سازی نقش مهمی دارد. برای مثال تیم IR اقدامات انجام شده در هر دستگاه را به دقت مستند می‌کند تا مطمئن شود چیزی از قلم نیافتد. بعنوان یک بررسی دیگر بعد از تکمیل فرایند ریشه‌کنی، تمام سیستم‌‌ها را دوباره اسکن کنید تا مطمئن شوید تهدیدی در میان نیست.

بازیابی

هدف: بازگشت به عملیات عادی

همه این‌کارها برای این مرحله یعنی بازیابی انجام شد، تا بتوانید دوباره فعالیت‌‌های عادی را از سر بگیرید. اما تعیین زمان بازیابی بسیار حائز اهمیت است. این مرحله می‌تواند بدون تاخیر انجام شود و یا باید مقداری منتظر بمانید، بستگی به شرایط شرکت یا سازمان.

دوباره چک کنید تا مطمئن شوید هیچ IOC‌یی در سیستم‌های بازیابی شده باقی نمانده است. همچنین باید تائید کنید که علت اصلی دیگر وجود ندارد.

درس‌هایی که یاد گرفتیم

هدف: آنچه اتفاق افتاده را مستند کنید و توانایی های خود را بهبود بخشید.

اکنون که این حادثه را پشت سر گذاشته شده است، زمان آن است که در مورد هر مرحله اصلی IR فکر کنید و به سؤالات کلیدی پاسخ دهید، سؤالات و جنبه های زیادی وجود دارد که باید پرسیده و بررسی شود، در زیر چند نمونه آورده شده است:

شناسایی: پس از وقوع مصالحه اولیه چقدر طول کشید تا حادثه شناسایی شود؟

مهار: چه مدت طول کشید تا این حادثه مهار شود؟

ریشه کنی: پس از ریشه کنی، آیا هنوز نشانه هایی از بدافزار پیدا کردید؟

بررسی این موارد به شما کمک می‌کند تا به عقب برگردید و سؤالات اساسی مانند: آیا ما ابزار مناسبی داریم؟ آیا کارکنان ما به طور مناسب برای پاسخگویی به حوادث آموزش دیده اند؟ پاسخ دهید.

سپس این چرخه به آماده سازی باز می‌گردد، جایی که می توانید بهبودهای لازم را مانند به روز رسانی الگوی طرح واکنش به حادثه، فناوری و فرآیندهای خود و ارائه آموزش بهتر به کارمندان را انجام دهید.

۴ نکته مهم برای امن ماندن:

۱- هر چه بیشتر log کنید همانقدر بهتر و عمیق‌تر می‌توانید بررسی کنید و در زمان و هزینه صرفه‌جویی می‌کنید.

۲- از طریق حمله‌های شبیه‌سازی به سیستم‌ها و شبکه خود، آمادگی را حفظ کنید. این حملات نشان می‌دهد که تیم SOC چگونه میتواند هشدارها را تجزیه و تحلیل کند. این در طول یک حادثه واقعی بسیار مهم است.

۳- کارمندان در زنجیره امنیت سایبری شرکت نقش کلیدی و مهمی دارند. تقریبا ۹۵ درصد حملات سایبری ناشی از خطای انسانی هستند.برای همین انجام گروه‌های آموزشی برای دو گروه بسیار مهم است: کاربران نهایی و تیم امنیتی شما.

۴- داشتن یک تیم تخصصی IR ثالث می‌تواند به شرکت شما بسیار کمک کند. زیرا این گروه تا اکنون با حادثه‌های متنوع و مختلفی روبرو و آن‌ها را حل کرده و پشت سر گذاشته‌اند. تجربه این تیم‌‌ها می‌تواند برای شما بسیار کمک کننده باشد.

منبع: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html

مقاله قبلی۶ گام برای پاسخ سریع به حوادث امنیت سایبری : مهار کردن
مقاله بعدیباج‌افزار بعنوان سرویس : تهدیدی که پیشرفت‌ش را نمی‌توانید نادیده بگیرید

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.