IRCAR201101084
زماني كه يك رخداد كشف ميشود، تصميم گيري عجولانه در مورد آن موثر و كارآ نخواهد بود. با مدون كردن سياستها، روالها و توافقهاي مناسب، احتمال انجام اشتباهات فاجعه آميز به حداقل خواهد رسيد. علاوه بر اين با در نظر گرفتن معيارهاي پيشگيرانه، قادر خواهيد بود تعداد رخدادها را نيز كم كنيد.
گام 1: از تكنيكهاي پيشگيرانه براي جلوگيري از رخدادها استفاده كنيد.
بهترين راه براي مديريت يك رخداد اين است كه در گام اول از روي دادن آن جلوگيري نماييم. براي انجام اين كار، نياز به تدوين سياستها، كنترل و تحليل ترافيك شبكه، به كارگيري يك برنامه اصلاح آسيب پذيريها، تشخيص آسيب پذيريها، ارتقاي مهارتهاي امنيتي فني كارمندان، پيكربندي آگاهانه سيستمها و ايجاد برنامه هاي آموزش مديريت رخداد است. تركيب اين اعمال، كار نفوذگران را براي دسترسي به سيستمهاي شما و ضربه زدن به آنها سختتر ميكند. به اين منظور فعاليتهاي زير را انجام دهيد.
فعاليت 1-1: آسيب پذيريهاي شناخته شده سيستم را اصلاح كنيد
حجم گسترده اي از نفوذهاي كامپيوتري از طريق آسيب پذيريهاي شناخته شده اتفاق مي افتند. براي جلوگيري از نفوذ به سيستم، هيچ كاري مهمتر از پيكربندي امن سيستمهاي جديد و اصلاح آسيب پذيريهاي شناخته شده وجود ندارد.
يك پروسه رسمي براي بازبيني هشدارهاي امنيتي و تست و اعمال اصلاحيه ها ايجاد نماييد. با مديران سيستمهاي خود كار كرده و اطمينان حاصل كنيد كه اصلاحيه هاي مهم در كوتاهترين زمان ممكن اعمال ميشوند. اصلاحيه ها را پيش از اتصال سيستمهاي جديد به اينترنت، بر روي آنها نصب كنيد.
نكته: يكي از درسهاي كرم Code Red در جولاي 2001 اين بود كه بسياري از سيستمهايي كه پشت فايروال قرار داشتند نيز آلوده شده بودند. بنابراين به اصلاح آسيب پذيريهاي تمام سيستمها اهميت دهيد.
فعاليت 1-2: مهارتهاي امنيتي فني را توسعه دهيد
در مقياس بزرگ معمولا آسيب پذيريها حذف نميشوند، چرا كه مديران سيستمها و شبكه ها و حتي متخصصين امنيتي از اين آسيب پذيريها آگاه نبوده يا نميدانند با آنها چه كنند. عاقلانه است كه از تك تك مديران سيستم و مديران شبكه و تك تك افرادي كه مسووليت مستقيم امنيت و عملكرد سيستم را بر عهده دارند بخواهيد كه مهارتهاي خود را افزايش دهند و اين مساله را از طريق دريافت گواهيهاي معتبر ثابت كنند.
فعاليت 1-3: سياستي در مورد محرمانگي ايجاد كنيد
سازمان شما بايد سياستي در مورد محرمانگي تدوين كرده و رعايت آن را اجباري كند. اين سياست بايد به سوالاتي مانند اين پاسخ دهد: "آيا ايميلهاي ذخيره شده بر روي فايل سرور شما جزو داراييهاي سازمان به حساب مي آيد يا جزو داراييهاي هر يك از كاربران سيستمها؟". اين سياست همچنين بايد مشخص كند كه رمزگذاري در چه زماني مجاز بوده و تحت چه شرايطي مورد نياز است. بخش رمزگذاري بايد افرادي را كه كليدها را نگهداري ميكنند نيز مشخص كرده باشد.
فعاليت 1-4: پيغامهاي هشدار دهنده نمايش دهيد
از ديد حقوقي، نمايش پيغامهاي هشدار دهنده يكي از مهمترين گامهايي است كه ميتوانيد براي ايجاد آمادگي براي يك رخداد انجام دهيد. هر سيستمي بايد يك پيغام هشدار دهنده قابل مشاهده براي كاربراني كه سعي ميكنند به آن وارد شوند، نمايش دهد. اين پيغام بايد بيان كننده اين نكات باشد كه اين سيستم جزو داراييهاي سازمان شماست، در معرض كنترل قرار دارد و استفاده بدون مجوز از آن ممنوع است. مشاور حقوقي شما بايد پيغام هشدار دهنده شما را بازبيني نمايد. اين پيغام نبايد سيستم عامل يا هدف اين كامپيوتر را مشخص كند.
فعاليت 1-5: يك راهكار سازماني براي مديريت رخداد ايجاد كنيد
زماني كه يك رخداد كشف ميشود، شما بين دو روش مديريت رخداد بايد تصميم گيري كنيد. اولين و ساده ترين روش «منع، حذف و رد دسترسي» است. تمركز اين روش بر ريشه كن كردن مشكل با سرعت هرچه تمامتر و بازگشت به كار عادي است. روش ديگر كه به مهارت فني و برنامه ريزي بيشتري نياز دارد، عبارتست از «كنترل و جمع آوري اطلاعات». در اينجا شما به فرد نفوذگر اجازه ميدهيد كه به حمله خود ادامه دهد. البته ممكن است اين كار را با محدوديتهاي زيركانه كه خرابي را به حداقل ميرسانند انجام دهيد. اغلب، تصميم گيري بين اين دو روش به اين بستگي دارد كه شما مايليد فرد نفوذگر را تعقيب كنيد يا خير. روش اول شواهد لازم براي شناسايي و تعقيب مجرم را در اختيار شما نميگذارد.
زماني كه روش اول انتخاب ميشود، يك سازمان از مجموعه اي از تكنيكها مانند رد كردن دسترسي به «آدرسهاي IP بد»، ايجاد محدوديت براي سرويسها با استفاده از يك فايروال يا مسيرياب براي فيلتر كردن ترافيك، يا فقط قطع كردن سيستمهاي هدف از شبكه را مورد استفاده قرار ميدهد.
هر دو روش مزايا و معايبي دارند. بهتر است كه سياست خود را با توجه به يك رخداد جدي تعيين كنيد. مديريت سازمان را وارد اين تصميم گيري نماييد. هر سيستم يا برنامه اي بسته به حساسيت آن، ميتواند يك روش مديريت رخداد مخصوص به خود داشته باشد. اين تصميم به مديريت رده بالا وابسته است، اما بايد پيش از وقوع يك رخداد اين تصميم گيري انجام شود و در روالهاي مديريت رخداد رسمي سازي گردد.
فعاليت 1-6: تشخيص نفوذ خودكار ايجاد كنيد
يك سيستم تشخيص نفوذ (IDS) ميتواند يك مكانيزم هشدار دهي اوليه در هنگام وقوع نفوذ به يك سيستم ارائه دهد. محصولات تجاري و ابزارهاي رايگان مانند Snort ميتوانند طوري تنظيم گردند تا بخشهاي حياتي شبكه را در مورد حملات نظارت كنند. بعلاوه، از عاملهاي مبتني بر ميزبان بر روي سرورهاي حياتي استفاده كنيد تا در هنگام احتمال وقوع حمله به سيستمهاي شخصي، هشدار دهند. هشدارها را اولويت بندي نموده و IDS را تنظيم كنيد تا تعداد «گزارشهاي خطاي نادرست» را كاهش دهيد و هشدارهاي با كيفيت توليد نماييد. در صورتي كه يك رخداد كار سازمان شما را به دادگاه بكشاند، يك IDS به عنوان منبعي از داده ها مورد استناد قرار ميگيرد تا نشان دهد كه لاگهاي سيستمها دستكاري يا جعل نشده اند.
نكته: برخي محصولات IDS ميتوانند طوري پيكربندي گردند كه به طور خودكار به يك رخداد پاسخ دهند. براي مثال ميتوانند اين كار را با قطع ارتباط فرد مهاجم يا تنظيم مجدد ليست كنترل دسترسي فايروال انجام دهند. در هنگام پيكربندي يك IDS به اين روش بايد احتياط لازم مد نظر قرار داده شود، چرا كه مهاجمان هوشمند قادر خواهند بود با استفاده از پاسخ خودكار، IDS شما را فريب دهند تا فعاليتهاي ناخواسته اي را انجام دهد.
فعاليت 1-7: سياستي براي ارتباط با سازمانها و افراد خارج از سازمان ايجاد كنيد
يك گروه از رخدادهاي كامپيوتري كه به شدت در حال گسترش هستند، حملات انكار سرويس مبتني بر شبكه هستند كه از كلاهبرداري استفاده ميكنند. در اين حالت يك فرد در بيرون از سازمان شما ميتواند كاري كند كه كامپيوترهاي شما به يك سازمان ديگر حمله كنند. سازمان شما بايد سياستي را تدوين كند كه مشخص نمايد با چه كسي، در چه زماني و چگونه در سازمانهاي بيروني تماس گرفته شده و در اين باره اطلاع رساني شود. بسيار مهم است كه درست مانند زماني كه سازمان شما هدف قرار ميگيرد، در زماني كه سازمان شما به منبع مشكلات تبديل ميشود نيز پاسخگو و مسووليت پذير باشيد. در اين رخدادهاي مدرن، سازمان شما ميتواند منبع حملاتي به نظر بيايد كه در حقيقت نيست. روالهايي بنويسيد كه ارتباطات با سايتهاي منبع و سايتهاي هدف را تعريف كنند.
سياستي براي برخورد با رخدادهايي كه كامپيوترهاي راه دور شما و رخدادهايي كه كامپيوترهاي پيمانكاران و ساير كارمندان غير تمام وقت را درگير ميكنند، تدوين كنيد. هر چه تعداد بيشتري از كارمندان از راه دور كار كنند، رخدادهاي امنيتي بيشتري سيستمهاي راه دور را تحت تاثير قرار داده يا توسط اين سيستمهاي ايجاد ميشود. سياستي تدوين كنيد كه كار جستجو و ضبط اين سيستمها را انجام دهد. سيستمهاي مشاوران، كارمندان موقتي و زير پيمانكاران در دسته اين سيستمها قرار ميگيرند. اطمينان حاصل كنيد كه «سياستهاي استفاده قابل قبول» سازمان شما، شامل كامپيوترهاي خانگي و كامپيوترهاي قابل حمل نيز ميشود. سيستمي را ايجاد كنيد كه از طريق آن به طور روتين هر فرد خارجي كه به سيستمها و اطلاعات دسترسي دارد مانند مشاور را ثبت نماييد. اين ركوردها بايد جزئيات دسترسي مورد قبول را مشخص كند. به عنوان بخشي از اين سياست، راهكارها و مكانيزمهايي را تعريف كنيد كه دسترسي آنها را پس از اتمام كار با سازمان شما يا انتقال به جاي ديگر يا در صورت عدم نياز، قطع كند.
فعاليت 1-8: توافق نامه هايي با سازمانهاي بيروني ايجاد كنيد
توافق نامه هايي را با تمامي سازمانهاي بيروني مرتبط با شبكه خود ايجاد كنيد كه به سازمان شما اين حق را بدهد كه در صورت نياز ارتباط آنها را قطع كرده و يا كنترل نماييد. برخي سازمانها ترجيح ميدهند از زبان پيمانكاران خود استفاده كنند كه نياز دارد تمامي طرفها در صورت وقوع يك رخداد، به سايرين اطلاع رساني كنند. اطمينان حاصل كنيد كه ملزومات امنيتي در توافق نامه هاي سطح سرويس در نظر گرفته شده باشند.
فعاليت 1-9: داراييها و سرورهاي حساس را مشخص كنيد
يك ارزيابي امنيتي براي شناسايي داراييهاي محاسباتي حساس شركت خود انجام دهيد. مشخص كنيد كه در صورتي كه يك سيستم از دسترس خارج شود يا اينكه داده هاي محرمانه آن افشا گردد، چه تاثيري بر سازمان ميگذارد. يك تكنيك، استفاده از مقياس عددي احتمال وقوع (از 1 تا 5) و ميزان تاثير گذاري آن (از 1 تا 5) است كه 1 نشان دهنده كمترين خطر/هزينه و 5 نشان دهنده بيشترين خطر/هزينه است. اين دو را با هم جمع زده و خطرها را به شكل عددي و از زياد به كم منظم كنيد. زمان بيشتري براي محافظت از سيستمهايي كه حساستر هستند صرف كنيد و گامهاي اضافي براي امن كردن اين سيستمها در نظر بگيريد. در صورت امكان، صاحبان سيستمها نيز بايد در تعيين حساسيت دخيل باشند.
فعاليت 1-10: از سياستهاي قوي براي حسابهاي كاربري استفاده كنيد
حسابهاي كاربري بدون استفاده يا حسابهايي با كلمه عبور ضعيف، پتانسيل ويژه اي براي وقوع رخدادهاي امنيتي دارند. سياستهاي تعيين كلمات عبور قوي را تعريف و اجراي آن را اجباري نماييد. اين سياستها شامل انقضاي يك كلمه عبور، قوانين پيچيدگي كلمه عبور (مانند كاراكترهاي حروف كوچك و بزرگ) و تاريخچه كلمات عبور است كه از يك كلمه عبور دو بار استفاده نشود. ابزارهايي مانند John the Ripper ميتوانند براي تخصيص كلمه عبور مورد استفاده قرار گيرند. همچنين ابزارهايي نيز براي يونيكس و ويندوز براي قوي كردن كلمات عبور وجود دارند.
فعاليت 1-11: يك بازبيني حقوقي بر سياستها و روالهاي خود انجام دهيد
اگر شركت شما قصد دارد (يا ممكن است قصد داشته باشد) كه كارهاي قانوني در برابر يك رخداد انجام دهد، سياستها و روالهاي شما بايد توسط متخصصين حقوقي بازبيني شود.
در قسمت بعدي به ساير گامهاي مرحله آمادگي خواهيم پرداخت.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
- 29