فرآیند پاسخگویی به حادثه یا Incident Response چیست؟

فرآیند پاسخگویی به حادثه (Incident Response)

موسسه SANS یک سازمان خصوصی است که تحقیقات و آموزش امنیت اطلاعات را انجام می دهد. ما در این مقاله شش مولفه یک برنامه پاسخ به حادثه SANS را بررسی خواهیم کرد.

پاسخ به حوادث به شرکت ها کمک می کند تا مطمئن شوند که از حوادث امنیتی آگاه هستند و می توانند برای محدود کردن آسیب ها به سرعت واکنش نشان دهند. هدف همچنین جلوگیری از حملات آینده یا موقعیت هایی است که مشابه این مورد است.

مراحل طرح پاسخ به حادثه

• Preparation (آماده‌سازی): در مرحله اول، ابتدا پالیسی‌های امنیتی سازمان را بررسی و تدوین کنید.
• به کارکنان سازمان آموزش کافی دهید.
• ارزیابی ریسک انجام دهید.
• دارایی های حساس را شناسایی کنید.
• فعالیت کاربران را محدود کنیم.
• تدوین پل ارتباطی (زمانی که حادثه‌ای رخ داد، به چه افرادی اطلاع دهیم).
• مشخص کنید که تیم باید روی کدام رویدادهای امنیتی مهم تمرکز کند .
• یک تیم پاسخگویی به حوادث امنیت رایانه ای (CSIRT) ایجاد کنید.
• تهیه نمونه برای نوشتن گزارشات مربوط به رخداد
• تهیه چک‌لیست (Play Book) برای انواع حملات
• Identification (شناسایی): در مرحله بعد، رویدادهای حوادث امنیتی را شناسایی کنید. این ممکن است شامل نظارت بر محیط سازمان برای رویدادهای مشکوک باشد. به‌عنوان مثال، سیستم‌های IT را برای انحراف از عملیات معمولی بررسی کنید و مشخص کنید که آیا آن‌ها حوادث امنیتی هستند یا خیر. شواهد را جمع‌آوری کنید، نوع و شدت وقوع حادثه را تعیین و مستند کنید.
• Containment (محدود سازی): پس از شناسایی یک حادثه، اطمینان حاصل کنید که گسترش نمی‌یابد یا آسیب بیشتری به سازمان وارد نمی‌کند. به‌عنوان مثال، تمام اقدامات لازم را برای جلوگیری از انتشار Worm و Virus توسط مهاجم انجام دهید. همچنین مطمئن شوید که مهاجم قادر به دسترسی بیشتر به منابع سیستم نمی‌باشد.
• Data Eradication (ریشه‌کنی داده‌ها): این مرحله در مورد اطمینان از این است که اطلاعات غیرمجاز در هیچ یک از سیستم‌های شما نگهداری نمی‌شود. به عنوان مثال، اقدامات لازم را برای حذف کدهای مخرب از سیستم‌های سازمان انجام دهید. همچنین نحوه جمع‌آوری داده‌ها را بیابید و مشخص کنید که برای جلوگیری از اتفاقات چه باید کرد.
• Data Recovery (بازیابی اطلاعات): پس از جداسازی یک حادثه، سعی کنید سیستم‌های آسیب دیده را به حالت عادی خود بازگردانید. به‌عنوان مثال، سعی کنید داده‌هایی که در طول حمله آسیب دیده‌اند را بازیابی کنید. اقدامات لازم را برای بازیابی سیستم‌های آسیب دیده و بازگرداندن آن‌ها به عملکرد عادی انجام دهید.
• Lessons Learned (تجارب آموخته): در طول این مرحله، ابتدا مشخص کنید که چه چیزی باعث این حادثه امنیتی شده است و سپس برنامه‌ای برای جلوگیری از اتفاقات مشابه در آینده ایجاد کنید. به عنوان مثال، اگر شیوع یک Worm بوده، نحوه انتشار آن در شبکه‌های خود را بیابید و سپس برنامه‌ای برای جلوگیری از وقوع مشابه در آینده ایجاد کنید.

همچنین، بررسی کنید که آیا الزامات نظارتی مربوط به این حادثه امنیتی وجود دارد یا خیر و سپس برنامه ای برای برآورده کردن آنها تهیه کنید. برای بازیابی از حملات آینده و همچنین بازیابی از خود این حمله برنامه ریزی کنید.