مديريت رخداد در شش مرحله- مرحله كنترل و محدودسازی

IRCAR201105098
در قسمت­هاي قبلي مجموعه مقالات «مديريت رخداد در شش مرحله»، به مراحل «آمادگي» و «شناسايي» كه دو مرحله نخست از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله سوم يعني مرحله «كنترل و محدود سازي» خواهيم پرداخت.
هدف مرحله «كنترل و محدود سازي» اين است كه قلمرو و بزرگي يك رخداد را محدود نماييم تا از بدتر شدن آن جلوگيري كنيم.

گام 1: گروه «مديريت رخداد در محل» را به بررسي وضعيت بگماريد
اگر داده ها با سرعت و دقت جمع آوري نگردند، ممكن است ديگر هرگز نتوانيد آنها را جمع آوري كنيد.
فعاليت 1-1: يك گروه كوچك را به كار بگيريد
چهار يا پنج نفر حد بالاي تعداد افراد گروه «مديريت رخداد در محل» در يك موقعيت است. يك گروه بزرگتر، ريسك عدم هماهنگي منجر به خطا و سربار ارتباطات را بالا مي­برد. همچنين اگر اين رخداد منجر به پيگيري قانوني و دادگاه گردد، هر كسي كه در اين محدوده قرار داشته باشد يك شاهد بالقوه خواهد بود.
فعاليت 1-2: در صورت امكان محدوده را با استفاده از پرسنل امنيتي به لحاظ فيزيكي امن نماييد
فعاليت 1-3: فرم بررسي ارائه شده در انتهاي اين مقاله را مورد استفاده قرار دهيد
فيلدهاي فرم بررسي به شما كمك مي­كند اطمينان حاصل كنيد كه تمامي اطلاعات مورد نياز ثبت شده اند.
فعاليت 1-4: اطلاعاتي را كه از مرحله شناسايي جمع آوري شده است مرور نماييد
بسيار دقت كنيد كه نتايجي را كه ديگران به آن رسيده اند، كاملا مورد بررسي قرار دهيد.
فعاليت 1-5: سيستم­ها را دست نخورده باقي بگذاريد
اجازه ندهيد سيستم­ها پيش از پشتيبان گيري كامل، به هيچ طريقي جايگزين گردند.

گام 2: كمتر از چيزي كه مي­دانيد نشان دهيد
دقت كنيد كه در صورت تشخيص يك نفوذ مبتني بر شبكه، با اعمال خود نشان ندهيد كه چقدر درباره اين نفوذ اطلاعات كسب كرده ايد.
فعاليت 2-1: از استفاده از روش­هاي بديهي و قابل تشخيص براي پيدا كردن نفوذگر خودداري نماييد
يك خطاي كلاسيك افراد تازه كار اين است كه با استفاده از ping كردن، nslookup، finger، telnet يا هر روش ديگري به برقراري ارتباط با منبع مشكوك به حمله مي­پردازند. اگر مهاجمان تشخيص دهند كه در حال سعي براي مكان يابي آنها هستيد، ممكن است فايل سيستم شما را پاك كرده و ارتباط خود را براي مدتي قطع كنند تا از رديابي شدن توسط شما جلوگيري به عمل آورند.
فعاليت 2-2: روال­هاي استاندارد و معمول را ادامه دهيد
اگر سايت شما توسط يك سيستم تشخيص نفوذ فعال كه ارتباطات را قطع كرده و آدرس­هاي IP مهاجم را مسدود مي­كند محافظت مي­گردد، اين IDS را غير فعال نكنيد تا داده هاي بيشتري جمع آوري نماييد. غير فعال كردن IDS تغييري در پروفايل شما ايجاد مي­كند كه مي­تواند هشداري براي مهاجم باشد.

گام 3: در صورت امكان از كدهايي كه احتمالا مورد سوء استفاده قرار گرفته اند دوري كنيد
ممكن است نفوذگران تروجان­ها و كدهاي خرابكار مشابه را در فايل­هاي دودويي سيستم نصب نمايند.
فعاليت 3-1: در مورد فايل­هاي دودويي سيستم كه مورد سوء استفاده قرار گرفته اند محتاط باشيد
ورود به سيستمي كه مورد سوء استفاده قرار گرفته است به عنوان «root» يا «administrator»، و سپس تايپ دستوراتي مانند ftp براي دانلود كردن ابزارهايي از سايت ديگر كار عاقلانه اي نيست. در صورت امكان يك نسخه رمز شده از فايل­هاي دودويي حياتي سيستم عامل­هاي هسته اي سازمان تهيه كنيد. در هر حال، تنها فايل دودويي كه شما در اين لحظه در يك رخداد مي­خواهيد بر آن تمركز كنيد، برنامه پشتيبان گير سيستم است.

گام 4: از سيستم نسخه پشتيبان تهيه كنيد
مجرمان رايانه اي روز به روز در انجام فعاليت­هاي غير قانوني و جلوگيري از شناسايي و تعقيب شدن خبره تر مي­شوند. بنابراين بسيار مهم است كه يك نسخه پشتيبان كامل ترجيحا با استفاده از تصوير ديسك سيستم تهيه كنيد.
فعاليت 4-1: نسخه پشتيبان را در حافظه جديدي كه تا كنون استفاده نشده است ذخيره كنيد
پشتيبان گيري را به محض مشاهده نشانه هايي از وقوع يك رخداد مرتبط با امنيت آغاز نماييد. از ديسك­هاي جديد استفاده كنيد، چرا كه در صورت ثبت پشتيبان بر روي اطلاعات قديمي ممكن است مراجع قانوني به اين نتيجه برسند كه مدارك و شواهد ناقص و معيوب هستند. در صورت امكان دو نسخه پشتيبان تهيه كنيد، يك نسخه به عنوان مدرك مهر و موم مي­شود. نسخه ديگر مي­تواند بعدا به عنوان معياري براي مقايسه مورد استفاده قرار گيرد تا در صورت وقوع هر فعاليت غير مجاز ديگر، شما متوجه گرديد. پشتيبان گيري ديسك به ديسك معمولا سريعترين روش است. به طور معمول اگر شما مجبور هستيد از يك ديسك قديمي براي پشتيبان گيري استفاده كنيد، نمي­توانيد روي اين مساله حساب كنيد كه فرمت كردن ديسك تمامي داده هاي پيشين را پاك كند.
فعاليت 4-2: tape هاي پشتيبان را طوري نگهداري كنيد كه گم نشده و به سرقت نروند
محافظت از tape يك بخش مهم از زنجيره شواهد و مدارك اطلاعات حياتي است. اگر tape ها محافظت نگردند، ممكن است خرابي بزرگي به بار آيد.

گام 5: ريسك فعاليت­هاي جاري را مشخص كنيد
يكي از سخت ترين تصميمات، و يكي از مسائل استرس زا براي كاربران و مديران ارشد اين است كه با سيستمي كه آسيب ديده چه كنيم. در اينجا شما تصميم خواهيد گرفت كه آيا سيستم را كاملا خاموش كنيد، از شبكه قطع كنيد يا اجازه دهيد به كار خود ادامه دهد تا هر فعاليتي بر روي سيستم قابل كنترل باشد.
فعاليت 5-1: لاگ­ها و ساير منابع اطلاعاتي را پيدا كنيد
بسياري از فايل­هاي لاگ به سرعت تغيير مي­كنند، بنابراين بسيار مهم است كه لاگ­هاي شبكه و كامپيوتر را فورا پيدا كنيد.
فعاليت 5-2: لاگ­هاي سيستم­هاي مجاور را بازبيني كنيد
لاگ­ها و پايگاه­هاي داده امضاي فايل رمزنگاري را از ساير سيستم­هاي همان زير شبكه و سيستم­هايي كه معمولا به سيستم­هاي قرباني متصل مي­شوند بازبيني نماييد. به خصوص اگر ارتباطي مبتني بر اعتماد متقابل وجود دارد.
فعاليت 5-3: پيشنهادهاي مناسب ارائه دهيد
گروه «مديريت رخداد در محل»، توصيه ها و راهنمايي­هايي به گروه «تصميم دستور» ارائه مي­دهد، كه گروه «تصميم دستور» بر اساس آنها تصميم خواهد گرفت چه كاري بايد انجام گيرد.

گام 6: به مشورت با صاحبان سيستم­ها ادامه دهيد
سطح استرس صاحبان سيستم­ها مي­تواند بسيار بالا باشد، چرا كه كار آنها در مدت پروسه بازبيني متوقف شده و نيز نگران اين هستند كه ممكن است حجم زيادي از پول از بين برود.
فعاليت 6-1: صاحبان و مديران سيستم­ها را مختصرا در جريان قرار دهيد
كاربران سيستم­هاي آسيب ديده تقريبا هميشه در همان لحظه براي كار مهمي به سيستم خود نياز دارند. همچنين معمولا تمايلي در مديران سيستم كه مسئول آن سيستم هستند وجود دارد تا رخداد را دروني نمايند. آنها ممكن است فكر كنند كه به علت اينكه سيستم آسيب ديده متعلق به آنهاست، پس وضعيت ايجاد شده نتيجه خطاي آنهاست و در نتيجه در برابر شما موضع دفاعي بگيرند. آگاه ساختن آنها از جريان اتفاقات مي­تواند استرس آنها را كم كند.
فعاليت 6-2: هرگز اجازه ندهيد يك رخداد به يك مساله براي همكارانتان تبديل شود
همانطور كه به كار براي محدود كردن يك رخداد ادامه مي­دهيد، سعي كنيد حتي الامكان زماني براي لبخند زدن به همكاران و اطمينان دادن به آنها كه كارها به خوبي پيش مي­رود اختصاص دهيد.

گام 7: كلمات عبور را تغيير دهيد
يك هدف معمول نفوذگران، نام كاربري و كلمه عبور root يا administrator است.
فعاليت 7-1: كلمات عبور سيستم­هاي آسيب ديده را تغيير دهيد
در حالت وقوع يك رخداد امنيتي، كلمات عبور سيستم آسيب ديده و تمامي سيستم­هايي كه با آن تعامل دارند بايد تغيير يابند.
فعاليت 7-2: اگر نفوذگري را تشخيص داده يا به وجود آن مشكوك هستيد، كلمات عبور را تغيير دهيد
اگر دليلي داريد كه سيستم­هاي شما هدف يك حمله نفوذي قرار گرفته اند، ممكن است كلمات عبور موجود بر روي تمامي سيستم­ها در LAN يا زير شبكه مربوطه مورد سوء استفاده قرار گرفته باشند. اگر يك سيستم اصلي مانند سرور ميل POP مورد سوء استفاده قرار گرفته باشد، و سازمان بخواهد شايعات و سر و صداها را به حداقل برساند، اعلام تعويض كلمات عبور به عنوان بخشي از ارتقاي سيستم يا توصيه روتين يك مميز امنيتي خارجي مي­تواند كاري عاقلانه باشد. براي كاربران تاكيد كنيد استفاده از يك كلمه عبور يكتا كه بر روي هيچ سيستم ديگري مورد استفاده نباشد بسيار مهم است.

مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي

منابع:

Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1