IRCAR201105097
در قسمتهاي قبلي مجموعه مقالات «مديريت رخداد در شش مرحله»، به مرحله آمادگي كه نخستين مرحله از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله دوم يعني مرحله شناسايي خواهيم پرداخت.
شناسايي يعني تصميم گيري در مورد اينكه آيا واقعا يك رخداد امنيتي اتفاق افتاده است يا خير، و اينكه اگر رخدادي اتفاق افتاده است، طبيعت آن رخداد چيست. به طور طبيعي مرحله شناسايي پس از اينكه يك نفر متوجه يك وقوع امر غير عادي در يك سيستم يا يك شبكه ميشود آغاز ميگردد. اين مرحله همچينن شامل اطلاع رساني و درخواست كمك از افرادي كه ميتوانند مساله را درك كرده و آن را حل نمايند نيز ميگردد. تشخيص اين مساله كه هر امر غير عادي در شبكه يا سيستم يك رخداد امنيتي محسوب نميشود مهم است. در اغلب موارد مردم سريعا نتيجه گيري ميكنند كه پشت هر مشكلي يك دشمن قرار گرفته است.
گام 1: فردي را به عنوان مسئول رخداد انتخاب كنيد
بدون انتخاب يك نقطه مركزي كنترل، بسياري از افراد كارهاي متداخل انجام ميدهند. فعاليتهاي هدايت نشده ميتواند باعث تشخيص اشتباه طبيعت يك رخداد، از دست دادن شواهد و مدارك قانوني و ايجاد وضعيتي بدتر از رخداد اصلي گردد.
فعاليت 1-1: فردي را براي مديريت يا هماهنگي انتخاب كنيد
روش انتخاب فردي به عنوان مدير رخداد بايد از پيش تعيين شده باشد. اين فرد بايد دانش عمومي گسترده اي از شركت شما داشته باشد و تجاربي نيز در زمينه مديريت رخدادها و تصميم گيري در مشكلات داشته باشد. اگر گروه «تصميم دستور» (Command Decision Team) و گروه «مديريت رخداد در محل» (On Site Team) در مكانهاي مختلفي قرار دارند، لازم است كه اين دو گروه با استفاده ابزارهاي امن با يكديگر در ارتباط باشند. از آنجاييكه اغلب رخدادها در خارج از ساعات كاري مانند آخر هفته ها يا تعطيلات اتفاق مي افتد، گروهي از مديران بالقوه بايد شناسايي شده و با سياستها و روالهاي امنيتي آشنا گردند. اين افراد همچنين بايد بدانند كه ليستهاي تماس ايجاد شده در مرحله آمادگي را كجا ميتوانند پيدا كنند.
فعاليت 1-2: شروع به ايجاد يك لاگ از رخداد نماييد
از ابتداي كشف يك رخداد مشكوك، مدير آن رخداد بايد شروع به يادداشت برداري از هر گام نمايد، به طوري كه كاملا مشخص باشد كه چه كسي چه كاري را در چه زماني، چگونه و چرا انجام داده است. اين يادداشتها بايد داراي ترتيب زماني بوده و مشخص باشد كه هر اتفاقي دقيقا چه زماني رخ داده است. اين لاگ بايد حتي الامكان واقعي بوده و از حدس و گمان فردي خالي باشد. از نوشتن جملاتي مانند «هكرها لاگهاي سيستم را پاك كرده اند» خودداري كرده و به جاي آن جملاتي مانند «لاگهاي سيستم براي مدت شش ساعت هيچ چيزي را ثبت نكرده اند» استفاده كنيد. استفاده بدون احتياط از جملات و به كار گرفتن حدس و گمانهاي شخصي ميتواند ارزيابي رخداد را مختل نمايد و حتي از نظر حقوقي مشكل ايجاد كند.
گام 2: مشخص كنيد كه يك واقعه در حقيقت يك رخداد امنيتي است يا خير
شواهدي كه يك رخداد امنيتي بالقوه را نشان ميدهند اغلب ميتوانند نشان دهنده مسائل ديگري نيز باشند. صرفنظر از تشخيصي كه در مورد يك واقعه داده شده باشد، معمولا ميتوان داده هاي موجود را با تشخيص داده شده تطبيق داد.
فعاليت 2-1: اشتباهات ساده را چك كنيد
مثالهايي از اشتباهات كوچك شامل خطاهايي در پيكربندي سيستم يا يك برنامه، خطاهاي سخت افزاري و خطاهاي كاربر يا مدير سيستم ميباشد. يك متخصص حرفه اي در زمينه مديريت رخداد كه شرايط مختلفي را مشاهده و تجربه كرده باشد، اغلب ميتواند با چند سوال كوتاه از كارمندان مديريت سيستم محلي در مورد وقوع يا عدم وقوع يك رخداد امنيتي تصميم گيري نمايد. صرف زمان براي ارزيابي پيكربنديها براي اشتباهات ساده، يك هدف ديگر را نيز دنبال ميكند: ممكن است مشكلات يا آسيب پذيريهاي مرتبط ديگر از طريق اين پروسه ابتدايي تست كردن كشف گردند. زماني كه احتمال وقوع اشتباهات ساده منتفي شده باشد، شناسايي كل رخداد ساده تر خواهد بود.
فعاليت 2-2: شواهد را با جزئيات تعيين كنيد
از فهرست نشانه هايي كه در طول مرحله آمادگي ايجاد كرده ايد استفاده كنيد و به سرعت نوع احتمالي رخداد را مشخص نماييد.
گام 3: يك مجموعه قابل اثبات از مدارك ايجاد و نگهداري نماييد
ممكن است رويدادهايي كه مشاهده ميكنيد و شواهد و مداركي كه جمع آوري ميكنيد بسيار عالي باشند، اما شما بايد بتوانيد شش ماه بعد از وقوع رخداد و درون دادگاه ثابت كنيد كه اينها دقيقا حوادثي هستند كه رخ داده اند و شواهد و مداركي هستند كه شما در طول رخداد جمع آوري كرده ايد. نگهداري يك مجموعه مشخص از شواهد و مدارك در مواردي كه به پيگيريهاي قانوني ختم ميشود، بسيار حائز اهميت است. اگر كسي بتواند ثابت كند كه افرادي امكان تغيير اين شواهد و مدارك پس از وقوع رخداد را داشته اند، از ارزش قانوني شواهد مذكور كاسته خواهد شد.
فعاليت 3-1: هر جزئي از شواهد را شناسايي كنيد
به جز در شرايط و رخدادهاي بسيار حاد كه براي جلوگيري از صدمات بيشتر مجبور هستيد بلافاصله سيستم را خاموش كنيد، در شرايط ديگر قبل از هر كاري اقدام به شناسايي شواهد و مدارك نماييد. لاگهاي شما بايد روز و ساعت را مشخص كرده و موقعيت و شماره سريال يا هرگونه اطلاعات شناسايي ديگر را شرح دهد. ممكن است آژانسهاي اجراي قانون بخواهند كه درايوهاي مشكوك به عنوان مدرك جرم مهر و موم گردند. اطمينان حاصل كنيد كه هر نوع اطلاعات شناسايي، مدل يا شماره سريال را ثبت ميكنيد. بعلاوه برنامه ها بايد طوري باشند كه هم سخت افزار و هم داده هاي پشتيبان بازيابي گردند. حتي tape هاي قديميتر پشتيبان كه قبل از وقوع رخداد ثبت شده اند نيز ممكن است حاوي شواهد ارزشمندي باشند. هر زمان كه كپيهايي از داده هاي الكترونيكي ايجاد ميشود، داده هاي اصلي (نه داده هاي كپي) بايد به عنوان مدرك مهر و موم گردند.
يادداشتها و مدارك چاپي را شماره و تاريخ زده و امضا نماييد. ديسكها را با لاگهاي اصلي، بدون تغيير و كامل در يك پاكت يا جاي ديگري نگهداري كنيد، سپس آن پاكت را شماره و تاريخ زده و امضا نماييد. زماني كه مدارك را به شخصي مرتبط در سازمان خود تحويل ميدهيد، به ازاي هر گزينه تحويل داده شده رسيد دريافت كنيد. اگر مدارك به مجريان قانون تحويل داده ميشود، اطمينان حاصل كنيد كه تمامي اين مدارك با جزئيات مشخص شده و امضا شده اند. يادداشتهاي دستنويس معمولي بايد كپي گرفته شده و يادداشتهاي اصلي بايد به عنوان بخشي از زنجيره شواهد نگهداري گردند. داده هاي الكترونيكي بايد در اولين فرصت ممكن جمع آوري شوند و پروسه كپي گرفتن از مدارك نيز بايد داراي شاهد باشد.
فعاليت 3-2: دسترسي به شواهد را كنترل كنيد
بايد بتوانيد ثابت كنيد كه چه كسي به محل نگهداري مدارك دسترسي دارد و تعداد اين افراد بايد بسيار كم باشد. اگر قفلي وجود دارد، هيچ كليدي نبايد قابل كپي سازي باشد. با سياست و تمرين اطمينان حاصل كنيد كه هر فردي كه به اين كليدها دسترسي دارد كاملا لزوم كنترل دسترسي به اين مدارك را درك ميكند. ممكن است در دادگاه نياز به شهادت هر يك از افرادي كه دسترسي به مدارك دارند وجود داشته باشد.
گام 4: با افرادي كه سرويسهاي شبكه شما ارائه ميدهند هماهنگ كنيد
بسياري از كارها ممكن است نياز به كمك ISP شما داشته باشند. ممكن است نياز باشد فيلترهايي به كار گرفته شود يا اينكه جداول مسيريابي پيش از رسيدن ترافيك شبكه به سايت شما تغيير كنند. بعلاوه ممكن است شواهد قانوني در لاگهاي ISP وجود داشته باشد كه بايد نگهداري گردند.
فعاليت 4-1: با ISP خود هماهنگي نزديكي داشته باشيد
به ISP خود در مورد اين مساله توضيح دهيد و از وي بخواهيد كه در تحقيقات كمك نمايد. در صورت امكان، در اختيار داشتن نامها و شماره هاي تماس پرسنل ارشد در ISP پيش از وقوع رخداد ميتواند مفيد باشد. ممكن است در هنگام نياز زمان زيادي براي پيدا كردن اين افراد از دست بدهيد. شما نياز داريد به افرادي كه ظرفيت و تجربه براي ارزيابي لاگها دارند و ميتوانند در تجهيزات شبكه تغييراتي ايجاد كنند دسترسي داشته باشيد.
اغلب ISP ها براي جلوگيري از شكايات كاربران، پيش از در اختيار گذاشتن اطلاعات مربوط به شما درخواست دستور قضايي ميكنند. متاسفانه بسياري از شواهد پيش از آماده شدن دستور قضايي ممكن است از بين بروند. شما ميتوانيد براي محافظت از داده ها از ISP خود بخواهيد كپيهايي از لاگها نگهداري كند تا دستور قضايي را دريافت نماييد.
گام 5: به مقامات رسمي مناسب اطلاع دهيد
رخدادهاي كامپيوتري معمولا اگر به سرعت اطلاع داده شوند، بسيار ساده تر مديريت ميگردند. اگر شما مشاهده كنيد كه يكي از همكارانتان در كافه تريا به روي زمين افتاده است، قطعا تا روز بعد براي اطلاع به اورژانس پزشكي صبر نميكنيد.
فعاليت 5-1: گروه مديريت رخداد سازماني يا محلي خود را آگاه كنيد.
به محض اينكه به وقوع يك رخداد مشكوك شديد، مدير و مسئول امنيت سازمان خود را در جريان قرار دهيد. شروع كار بر روي يك رخداد بدون اطلاع دادن به گروه مديريت، اشتباه بزرگي است. اين مسئوليت گروه مديريت است كه اطمينان حاصل نمايند كه تذكرات لازم داده شده و منابع لازم در دسترس گروه قرار گرفته است. يك مدير نيز بايد با مدير رخداد همكاري نزديكي داشته باشد تا زنجيره مديريتي ابلاغ و به كارگيري دستورات برقرار گردد.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
- 42