روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ رخدادهای جدی امنیت سایبری اغلب روی گروههای مختلف از جمله آنهایی که معمولاً طبق قاعده مشخص موضوعات امنیتی یا فناوری اطلاعات را مدیریت نمیکنند اثر میگذارد. البته که واکنش اولیه نیازمند تمرکز روی شناسایی، مهار و بهبودی از رخداد است. اما به محض آرام گرفتن طوفان، زمانش میرسد که مرحله مهم دیگری را مد نظر قرار داد: رخداد سایبری چه درسی به ما میتواند بدهد؟ چطور میتوانیم شانس جلوگیری از حملات مشابه را در آینده بیشتر کنیم؟ اینها سوالاتی هستند که پرداختن بهشان اهمیت دارد؛ حتی اگر رخداد به دلیل واکنش درست یا صرفاً یار بودن بخت موجب هیچ خسارت قابل ملاحظهای نشده باشد.
افراد درگیر
تحلیل رخداد برای کل سازمان اهمیت دارد. مهم است که نه تنها تیم آیتی و امنیتی که همچنین مدیریت ارشد و سهامداران سیستم آیتی نیز در پروسه دخیل شوند؛ همینطور هر فروشندهای که بابت رخداد یا در پی شرکت در واکنش به آن تحتالشعاع قرار گرفته است. باید جو، جوی سازنده و پویا باشد. این را هم بدانید که مسئله، شکار جادوگر نیست (گرچه به اشتباهات باید پرداخته شود)؛ نباید مدام جو را خراب کرد و تقصیر را گردن هم انداخت. کاری است که شده. اینجور درگیریها فقط نمای کلی را مخدوش کرده، پروسه تحلیل را کند نموده و به امنیت بلند مدت سازمان آسیب میزند. بسیاری از شرکتها جزئیات رخداد را رو نمیکنند و میترسند به اعتبارشان خدشه وارد شده یا حمله دوباره پیاده شود. گرچه شاید این قابل درک باشد و البته که برخی اطلاعات باید محرمانه بمانند اما تلاش برای شفاف بودن در واکنش به رخداد نیز ضروری است. جزئیات حمله و واکنش باید به اشتراک گذاشته شود؛ اگر با عموم نه حتماً و دست کم با دایرهای معتمد از جماعت فعال در حوزه امنیت سایبری. همانهایی که میتوانند به افراد کمک کنند جلوی حملات مشابه را روی سازمان خود بگیرند.
تحلیل پرجزئیات رخداد
گرچه کلی از دادههای رخداد از قبل در طول فاز واکنش، جمعآوری شده اما تحلیل پسارخدادی فرصت بینشهای عمیقتر را میدهد. اول از همه به پرسشهای این چنینی پاسخ میدهد: چطور و کِی این تهاجم به سازمان نفوذ کرد؟ چه ضعفهای فنی/سازمانی و آسیبپذیریهایی اکسپلویت شد؟ چطور حمله شکل گرفت؟ نقشهسازی اقدامات و تلاشها برای پاسخ بر اساس جدول زمانی کمک میکند تا زمان شناسایی ناهنجاریها مشخص شده، معین شود این ناهنجاریها چطور شناسایی شدند، چه اقدامات واکنشی صورت گرفته و اینکه آیا تیمهای مربوطه دخیل بودند یا نه و اینکه آیا سناریوهای ارتقای مزیت در این مسئله نقش داشتهاند یا نه. پاسخ به این سوالات باید با دقت سندسازی گشته و به دادههای واقعی مانند لاگهای SIEM، برچسبهای زمانی برای ایجاد تسک در تسک منیجر، برچسبهای زمانی برای ایمیلهایی که ارسال میشوند و غیره ارجاع شوند. این به شما کمک میکند نمای پرجزئیات و جامعی بسازید و از این رو ارزیابی جمعی سرعت و کارایی هر گام واکنشی میسر میشود. همچنین لازم است جداگانه اثر یک رخداد را روی ابعاد دیگر کسب و کار مانند تداوم عملیاتها، یکپارچگی داده و نشتیها و خسارات مالی (هم مستقیم و هم غیر مستقیم) و اعتبار شرکت ارزیابی کنیم. این به تعادل مقیاس و هزینه رخداد در برابر مقیاس و هزینه اقدامات برای تقویت امنیت اطلاعات کمک میکند.
شناسایی نقاط قوت و ضعف
گزارشات فنی رخدادها شاید ظاهراً حاوی هر اطلاعات مورد نیاز باشد اما در واقعیت آنها اغلب زمینههای مهم سازمانی را ک دارند. گزارش ممکن است بگوید مهاجمین با اکسپلویت یک آسیبپذیری خاص دست به اکسپلویت زدند و سازمان باید آسیبپذیری مذکور را روی همه سرورها را پچ کند. اما چنین تحلیل سطحیای پرسشهای مهم و حیاتی را نادیده میگیرد: این آسیبپذیری بعد از افشا، چه مدت بدون پچ شدن باقی مانده بوده؟ چه آسیبپذیریهای شناختهشده دیگری روی سرورها وجود دارند؟ چه SLAهای پچ که رویشان توافق شده بین آیتی و امنیت سایبری وجود دارد؟ آیا اولویتبندی آسیبپذیری در سازمان وجود دارد؟ هر مرحله و پروسه تحتالشعاع قرار گرفته توسط رخداد لایق این میزان دقت و ظرافت است.
رویکردی چنین جامع میگذارد چشمانداز امنیت برآورد شود و نواقصی که این رخداد را رقم زدند بدرستی دیده شوند. شایان ذکر است که نباید فقط تمرکز را روی موارد منفی گذاشت: اگر برخی تیمها سریع و مؤثر واکنش نشان دادند و یا اگر پروسههای فناوریهای موجود که به شناسایی یا کم کردن اثرات رخداد کمک کردند، این ابعاد باید برای درک اینکه آیا چنین تجربه مثبتی میتواند جای دیگر پیادهسازی شود مورد تحلیل قرار گیرد. خطای انسانی و عوامل رفتاری نیازمند توجه ویژه هستند. آنها چه نقشی ایفا کردند؟ باری دیگر بگوییم که هدف، دنبال مقصر گشتن نیست. بلکه باید اقدامات را برای کاهش یا تعدیل اثر ناگزیر عوامل انسانی در آینده شناسایی کرد.
برنامهای برای ارتقا
این خلاقانهترین و به لحاظ سازمانی پرجالشترین فاز بازنگری رخداد است. این نیازمند توسعه اقداماتی است مؤثر و واقعگرایانه برای پرداختن به ضعفها با توجه به محدودیتهای منبع. مشارکت مدیریت ارشد در این فرآیند به ویژه سودمند است - همانطور که گفته میشود، بودجه های امنیت سایبری هرگز سریعتر از پس از یک رخداد بزرگ تصویب نمیشوند. در طرح باید چند جنبه در نظر گرفته شود:
به روزرسانی نقشه دارایی فناوری اطلاعات این رخداد ممکن است اطلاعات جدید زیادی را در مورد نحوه پردازش دادههای شرکت و نحوه اجرای فرآیندها به طور کلی فاش کرده باشد. اغلب لازم است اولویتها بهروزرسانی شوند، که نشاندهنده درک بهتر این است که کدام داراییها به بیشترین محافظت نیاز دارند.
فناوریهای تشخیص و پاسخ. با تجزیه و تحلیل اینکه چه مراحلی از حمله توسط مدافعان شناسایی نشدند و کدام اقدامات فنی برای متوقف کردن پیشرفت حمله وجود نداشت، تیم میتواند برای پیادهسازی ابزارهای امنیتی اضافی مانند EDR، SIEM و NGFW برنامهریزی کند. گاهی اوقات مشخص میشود که گرچه ابزارهای لازم به نظر میرسند، اما فاقد اتوماسیون (مثلاً پلیبوکهای پاسخ خودکار)، یا جریانهای داده (مانند فیدهای اطلاعاتی تهدید) هستند. یا، شاید، شیوههای ذخیرهسازی گزارش، حذف عمده آنها توسط مهاجمان را تسهیل میکرد. اگر تجزیه و تحلیل نشان داد که مدافعان زمان زیادی را صرف جستجوی دستی میزبانهای در معرض خطر یا سایر کارهای پرزحمت میکنند، به اطلاعات مهم دسترسی ندارند یا ابزار لازم برای پاسخگویی در سطح سازمانی را ندارند، باید به پیشرفتهای فناوری توجه ویژه ای شود.
پروسهها و خطمشیها. بعد از تعیین اینکه رخداد به دلیل نقض سیاستهای موجود یا عدم آنها بوده، لازم است به این مسئله با بازدید مجدد کل زنجیره رخدادها، اصلاح هر نقص شناساییشده در پروسه و انعکاس این اصلاحات در سیاست امنیتی پرداخته شود. فرآیندهای تجدیدنظرشدهی شرکت از پروسهها و خطمشیها و تایملاینهای منظم برای آسیبپذیری و مدیریت اکانت گرفته تا دفترچهبازیهای واکنش به رخداد باید جلوگیری از رخدادهای مشابه را در آینده تضمین دهند. بنامه کلی واکنش به رخداد همچنین میبایست به روزشده باشد و مبتنی بر تجارب عملی اصلاح شده باشد. باید این را هم شفافسازی کنیم که کدام طرف نتوانسته بوده در این پروسه تماماً شرکت کند و چطور باید بین طرفها ارتباطی سریع شکل داد (تا بدینترتیب تصمیمگیری با سرعت در مواقع اضطراری تضمین داده شود).
اقدامات پیشگیرانه: فناوری. رخدادها فرصتی را برای نگاهی تازه به شیوههای موجود برای مدیریت حساب و مدیریت پچ فراهم میکند. بهبودهای گام به گام باید در مناطقی برنامهریزی شود که شرکت از بهترین شیوهها پیروی نکرده است: اجرای اصل اقل امتیاز و مدیریت متمرکز هویت، و اولویت بندی و رسیدگی منظم به آسیبپذیریهای زیرساختی کلیدی.
اقدامات پیشگیرانه: مردم. هر خطای انسانی به اقدامات اصلاحی نیاز دارد - آموزش هدفمند یا حتی تمارین متناسب با نقش های فردی. شایان ذکر است که چه آموزش هایی برای افراد خاص، بخشها یا کل سازمان لازم است. یک رخداد بزرگ میتواند یک زنگ بیدارباش قدرتمند باشد که بر اهمیت امنیت اطلاعات و مشارکت در آموزش آگاهی از امنیت سایبری تاکید میکند، حتی در میان کسانی که آن را کم اهمیت جلوه میدهند.
دنبال کردن فرآیندهای بهروز میتواند چالشیتر باشد- نیازمند تلاش ویژه در تربیت. یادآوریهایی از سوی مدیریت و یک برنامه تشویقی ممکن است برای اطمینان از تصویب کامل مقررات بهروز شده ضروری باشد.
آمادهسازی برای رخداد بعدی
همه اقدامات ذکر شده در بالا به طورت تئوریک، انعطافپذیری امنیت سایبری و آمادگی برای رخدادها را ارتقا میدهند. اما برای اطمینان از نتیجه، ارزش آن را دارد که اثربخشی آنها را از طریق تمارین امنیت سایبری، تست نفوذ یا تیم قرمز تأیید کنیم. این شبیهسازیهای رخدادهای سایبری واقعی اهداف مختلفی را دنبال میکنند، بنابراین کدام ترکیب مناسبتر به سازمان و اقدامات انجامشده پس از رخداد بستگی دارد. اجرای همه بهبودها و اقدامات امنیتی به روز شده میتواند یک فرآیند طولانی و مرحلهای باشد، بنابراین جلسات منظم با همه طرفهای درگیر برای جمعآوری بازخورد، بحث در مورد اجرا، رسیدگی به چالشها و بررسی پیشرفتهای امنیتی بیشتر ضروری است. برای اطمینان از اینکه این جلسات صوری نیستند، ضروری است که بر روی معیارها و نقاط عطف خاص برای ردیابی مؤثر پیشرفت توافق کنید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
