چطور از رخداد سایبری درس بگیریم؟

26 آبان 1403 چطور از رخداد سایبری درس بگیریم؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ رخدادهای جدی امنیت سایبری اغلب روی گروه‌های مختلف از جمله آن‌هایی که معمولاً طبق قاعده مشخص موضوعات امنیتی یا فناوری اطلاعات را مدیریت نمی‌کنند اثر می‌گذارد. البته که واکنش اولیه نیازمند تمرکز روی شناسایی، مهار و بهبودی از رخداد است. اما به محض آرام گرفتن طوفان، زمانش می‌رسد که مرحله مهم دیگری را مد نظر قرار داد: رخداد سایبری چه درسی به ما می‌تواند بدهد؟ چطور می‌توانیم شانس جلوگیری از حملات مشابه را در آینده بیشتر کنیم؟ این‌ها سوالاتی هستند که پرداختن بهشان اهمیت دارد؛ حتی اگر رخداد به دلیل واکنش درست یا صرفاً یار بودن بخت موجب هیچ خسارت قابل ملاحظه‌ای نشده باشد.

افراد درگیر

تحلیل رخداد برای کل سازمان اهمیت دارد. مهم است که نه تنها تیم آی‌تی و امنیتی که همچنین مدیریت ارشد و سهامداران سیستم آی‌تی نیز در پروسه دخیل شوند؛ همینطور هر فروشنده‌ای که بابت رخداد یا در پی شرکت در واکنش به آن تحت‌الشعاع قرار گرفته است. باید جو، جوی سازنده و پویا باشد. این را هم بدانید که مسئله، شکار جادوگر نیست (گرچه به اشتباهات باید پرداخته شود)؛ نباید مدام جو را خراب کرد و تقصیر را گردن هم انداخت. کاری است که شده. اینجور درگیری‌ها فقط نمای کلی را مخدوش کرده، پروسه تحلیل را کند نموده و به امنیت بلند مدت سازمان آسیب می‌زند. بسیاری از شرکت‌ها جزئیات رخداد را رو نمی‌کنند و می‌ترسند به اعتبارشان خدشه وارد شده یا حمله دوباره پیاده شود. گرچه شاید این قابل درک باشد و البته که برخی اطلاعات باید محرمانه بمانند اما تلاش برای شفاف بودن در واکنش به رخداد نیز ضروری است. جزئیات حمله و واکنش باید به اشتراک گذاشته شود؛ اگر با عموم نه حتماً و دست کم با دایره‌ای معتمد از جماعت فعال در حوزه امنیت سایبری. همان‌هایی که می‌توانند به افراد کمک کنند جلوی حملات مشابه را روی سازمان خود بگیرند.

تحلیل پرجزئیات رخداد

گرچه کلی از داده‌های رخداد از قبل در طول فاز واکنش، جمع‌آوری شده اما تحلیل پسارخدادی فرصت بینش‌های عمیق‌تر را می‌دهد. اول از همه به پرسش‌های این چنینی پاسخ می‌دهد: چطور و کِی این تهاجم به سازمان نفوذ کرد؟ چه ضعف‌های فنی/سازمانی و آسیب‌پذیری‌هایی اکسپلویت شد؟ چطور حمله شکل گرفت؟ نقشه‌سازی اقدامات و تلاش‌ها برای پاسخ بر اساس جدول زمانی کمک می‌کند تا زمان شناسایی ناهنجاری‌ها مشخص شده، معین شود این ناهنجاری‌ها چطور شناسایی شدند، چه اقدامات واکنشی صورت گرفته و اینکه آیا تیم‌های مربوطه دخیل بودند یا نه و اینکه آیا سناریوهای ارتقای مزیت در این مسئله نقش داشته‌اند یا نه. پاسخ به این سوالات باید با دقت سندسازی گشته و به داده‌های واقعی مانند لاگ‌های SIEM، برچسب‌های زمانی برای ایجاد تسک در تسک منیجر، برچسب‌های زمانی برای ایمیل‌هایی که ارسال می‌شوند و غیره ارجاع شوند. این به شما کمک می‌کند نمای پرجزئیات و جامعی بسازید و از این رو ارزیابی جمعی سرعت و کارایی هر گام واکنشی میسر می‌شود. همچنین لازم است جداگانه اثر یک رخداد را روی ابعاد دیگر کسب و کار مانند تداوم عملیات‌ها، یکپارچگی داده و نشتی‌ها و خسارات مالی (هم مستقیم و هم غیر مستقیم) و اعتبار شرکت ارزیابی کنیم. این به تعادل مقیاس و هزینه رخداد در برابر مقیاس و هزینه اقدامات برای تقویت امنیت اطلاعات کمک می‌کند.

شناسایی نقاط قوت و ضعف

گزارشات فنی رخدادها شاید ظاهراً حاوی هر اطلاعات مورد نیاز باشد اما در واقعیت آن‌ها اغلب زمینه‌های مهم سازمانی را ک دارند. گزارش ممکن است بگوید مهاجمین با اکسپلویت یک آسیب‌پذیری خاص دست به اکسپلویت زدند و سازمان باید آسیب‌پذیری مذکور را روی همه سرورها را پچ کند. اما چنین تحلیل سطحی‌ای پرسش‌های مهم و حیاتی را نادیده می‌گیرد: این آسیب‌پذیری بعد از افشا، چه مدت بدون پچ شدن باقی مانده بوده؟ چه آسیب‌پذیری‌های شناخته‌شده دیگری روی سرورها وجود دارند؟ چه SLAهای پچ که رویشان توافق شده بین آی‌تی و امنیت سایبری وجود دارد؟ آیا اولویت‌بندی آسیب‌پذیری در سازمان وجود دارد؟ هر مرحله و پروسه تحت‌الشعاع قرار گرفته توسط رخداد لایق این میزان دقت و ظرافت است.

رویکردی چنین جامع می‌گذارد چشم‌انداز امنیت برآورد شود و نواقصی که این رخداد را رقم زدند بدرستی دیده شوند. شایان ذکر است که نباید فقط تمرکز را روی موارد منفی گذاشت: اگر برخی تیم‌ها سریع و مؤثر واکنش نشان دادند و یا اگر پروسه‌های فناوری‌های موجود که به شناسایی یا کم کردن اثرات رخداد کمک کردند، این ابعاد باید برای درک اینکه آیا چنین تجربه مثبتی می‌تواند جای دیگر پیاده‌سازی شود مورد تحلیل قرار گیرد. خطای انسانی و عوامل رفتاری نیازمند توجه ویژه هستند. آن‌ها چه نقشی ایفا کردند؟ باری دیگر بگوییم که هدف، دنبال مقصر گشتن نیست. بلکه باید اقدامات را برای کاهش یا تعدیل اثر ناگزیر عوامل انسانی در آینده شناسایی کرد.

برنامه‌ای برای ارتقا

این خلاقانه‌ترین و به لحاظ سازمانی پرجالش‌ترین فاز بازنگری رخداد است. این نیازمند توسعه اقداماتی است مؤثر و واقع‌گرایانه برای پرداختن به ضعف‌ها با توجه به محدودیت‌های منبع. مشارکت مدیریت ارشد در این فرآیند به ویژه سودمند است - همانطور که گفته می‌شود، بودجه های امنیت سایبری هرگز سریعتر از پس از یک رخداد بزرگ تصویب نمی‌شوند. در طرح باید چند جنبه در نظر گرفته شود:

به روزرسانی نقشه دارایی فناوری اطلاعات این رخداد ممکن است اطلاعات جدید زیادی را در مورد نحوه پردازش داده‌های شرکت و نحوه اجرای فرآیندها به طور کلی فاش کرده باشد. اغلب لازم است اولویت‌ها به‌روزرسانی شوند، که نشان‌دهنده درک بهتر این است که کدام دارایی‌ها به بیشترین محافظت نیاز دارند.

فناوری‌های تشخیص و پاسخ. با تجزیه و تحلیل اینکه چه مراحلی از حمله توسط مدافعان شناسایی نشدند و کدام اقدامات فنی برای متوقف کردن پیشرفت حمله وجود نداشت، تیم می‌تواند برای پیاده‌سازی ابزارهای امنیتی اضافی مانند EDR، SIEM و NGFW برنامه‌ریزی کند. گاهی اوقات مشخص می‌شود که گرچه ابزارهای لازم به نظر می‌رسند، اما فاقد اتوماسیون (مثلاً پلی‌بوک‌های پاسخ خودکار)، یا جریان‌های داده (مانند فیدهای اطلاعاتی تهدید) هستند. یا، شاید، شیوه‌های ذخیره‌سازی گزارش، حذف عمده آنها توسط مهاجمان را تسهیل می‌کرد. اگر تجزیه و تحلیل نشان داد که مدافعان زمان زیادی را صرف جستجوی دستی میزبان‌های در معرض خطر یا سایر کارهای پرزحمت می‌کنند، به اطلاعات مهم دسترسی ندارند یا ابزار لازم برای پاسخگویی در سطح سازمانی را ندارند، باید به پیشرفت‌های فناوری توجه ویژه ای شود.

پروسه‌ها و خط‌مشی‌ها. بعد از تعیین اینکه رخداد به دلیل نقض سیاست‌های موجود یا عدم آن‌ها بوده، لازم است به این مسئله با بازدید مجدد کل زنجیره رخدادها، اصلاح هر نقص شناسایی‌شده در پروسه و انعکاس این اصلاحات در سیاست امنیتی پرداخته شود. فرآیندهای تجدیدنظرشده‌ی شرکت از پروسه‌ها و خط‌مشی‌ها و تایم‌لاین‌های منظم برای آسیب‌پذیری و مدیریت اکانت گرفته تا دفترچه‌بازی‌های واکنش به رخداد باید جلوگیری از رخدادهای مشابه را در آینده تضمین دهند. بنامه کلی واکنش به رخداد همچنین می‌بایست به روزشده باشد و مبتنی بر تجارب عملی اصلاح شده باشد. باید این را هم شفاف‌سازی کنیم که کدام طرف نتوانسته بوده در این پروسه تماماً شرکت کند و چطور باید بین طرف‌ها ارتباطی سریع شکل داد (تا بدین‌ترتیب تصمیم‌گیری با سرعت در مواقع اضطراری تضمین داده شود).

اقدامات پیشگیرانه: فناوری. رخدادها فرصتی را برای نگاهی تازه به شیوه‌های موجود برای مدیریت حساب و مدیریت پچ فراهم می‌کند. بهبودهای گام به گام باید در مناطقی برنامه‌ریزی شود که شرکت از بهترین شیوه‌ها پیروی نکرده است: اجرای اصل اقل امتیاز و مدیریت متمرکز هویت، و اولویت بندی و رسیدگی منظم به آسیب‌پذیری‌های زیرساختی کلیدی.

اقدامات پیشگیرانه: مردم. هر خطای انسانی به اقدامات اصلاحی نیاز دارد - آموزش هدفمند یا حتی تمارین متناسب با نقش های فردی. شایان ذکر است که چه آموزش هایی برای افراد خاص، بخش‌ها یا کل سازمان لازم است. یک رخداد بزرگ می‌تواند یک زنگ بیدارباش قدرتمند باشد که بر اهمیت امنیت اطلاعات و مشارکت در آموزش آگاهی از امنیت سایبری تاکید می‌کند، حتی در میان کسانی که آن را کم اهمیت جلوه می‌دهند.

دنبال کردن فرآیندهای به‌روز می‌تواند چالشی‌تر باشد- نیازمند تلاش ویژه در تربیت. یادآوری‌هایی از سوی مدیریت و یک برنامه تشویقی ممکن است برای اطمینان از تصویب کامل مقررات به‌روز شده ضروری باشد.

آماده‌سازی برای رخداد بعدی

همه اقدامات ذکر شده در بالا به طورت تئوریک، انعطاف‌پذیری امنیت سایبری و آمادگی برای رخدادها را ارتقا می‌دهند. اما برای اطمینان از نتیجه، ارزش آن را دارد که اثربخشی آنها را از طریق تمارین امنیت سایبری، تست نفوذ یا تیم قرمز تأیید کنیم. این شبیه‌سازی‌های رخدادهای سایبری واقعی اهداف مختلفی را دنبال می‌کنند، بنابراین کدام ترکیب مناسب‌تر به سازمان و اقدامات انجام‌شده پس از رخداد بستگی دارد. اجرای همه بهبودها و اقدامات امنیتی به روز شده می‌تواند یک فرآیند طولانی و مرحله‌ای باشد، بنابراین جلسات منظم با همه طرف‌های درگیر برای جمع‌آوری بازخورد، بحث در مورد اجرا، رسیدگی به چالش‌ها و بررسی پیشرفت‌های امنیتی بیشتر ضروری است. برای اطمینان از اینکه این جلسات صوری نیستند، ضروری است که بر روی معیارها و نقاط عطف خاص برای ردیابی مؤثر پیشرفت توافق کنید.

 

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

 

 

 

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,710,150 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,568,900 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,156,890 ریال11,568,900 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    77,167,650 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,914,750 ریال21,829,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,651,825 ریال31,303,650 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,743,300 ریال33,486,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    69,453,825 ریال138,907,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    83,345,325 ریال166,690,650 ریال
    خرید
  • Kaspersky Small Office Security

    267,018,150 ریال
    خرید
  • Kaspersky Small Office Security

    97,236,825 ریال194,473,650 ریال
    خرید
  • Kaspersky Small Office Security

    311,007,900 ریال
    خرید
  • Kaspersky Small Office Security

    111,128,325 ریال222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    355,769,400 ریال
    خرید
  • Kaspersky Small Office Security

    125,019,825 ریال250,039,650 ریال
    خرید
  • Kaspersky Small Office Security

    399,759,150 ریال
    خرید
  • Kaspersky Small Office Security

    127,335,075 ریال254,670,150 ریال
    خرید
  • Kaspersky Small Office Security

    407,476,650 ریال
    خرید
  • Kaspersky Small Office Security

    179,428,200 ریال358,856,400 ریال
    خرید
  • Kaspersky Small Office Security

    574,174,650 ریال
    خرید
  • Kaspersky Small Office Security

    231,521,325 ریال463,042,650 ریال
    خرید
  • Kaspersky Small Office Security

    740,872,650 ریال
    خرید
  • Kaspersky Small Office Security

    279,755,700 ریال559,511,400 ریال
    خرید
  • Kaspersky Small Office Security

    895,222,650 ریال
    خرید
  • Kaspersky Small Office Security

    530,574,450 ریال1,061,148,900 ریال
    خرید
  • Kaspersky Small Office Security

    1,697,842,650 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد