IRCAR201105101
تاريخ: 10/3/90
در قسمتهاي قبلي مجموعه مقالات «مديريت رخداد در شش مرحله»، به مراحل «آمادگي»، «شناسايي» و «كنترل و محدود سازي» كه سه مرحله نخست از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله چهارم يعني مرحله «پاكسازي» خواهيم پرداخت.
هدف مرحله پاكسازي اين است كه عامل يا عوامل وقوع يك رخداد امنيتي در سيستم را حذف كرده يا كاهش دهيم. سوء استفاده از يك سيستم ميتواند ضربه اي براي صاحب سيستم باشد. ولي اگر گروه مديريت رخداد نتواند مشكل را به خوبي پاكسازي نمايد، و اگر سوء استفاده ديگري رخ دهد، مديريت ميتواند صلاحيت گروه مديريت رخداد را زير سوال ببرد.
گام 1: علت و دلايل رخداد را مشخص كنيد
اگر شما ندانيد چه اتفاقي افتاده است، قادر نخواهيد بود مشكل امنيتي سيستم قرباني را حل كنيد.
فعاليت 1-1: حمله را ايزوله كرده و نحوه وقوع آن را معين كنيد
ممكن است اطلاعات جمع آوري شده در طول مرحله بررسي، براي تعيين علت ريشه اي رخداد كافي باشد. در اغلب رخدادها، چندين علت براي يك رخداد وجود دارد. براي مثال عدم وجود كنترلهاي فني كافي، ميتواند در نتيجه عدم موفقيت در انتخاب و آموزش مديران سيستمها، كمبود سياستها و روالهاي امنيتي مدون، عدم توجه مديريت و يا تمامي اين دلايل رخ دهد. اعضاي گروه بايد يك بازبيني جامع از داده هاي جمع آوري شده انجام دهند و تصور نكنند كه يك عامل به تنهايي موجب وقوع حمله شده است.
اگر به هر دليل شواهد كافي براي به دست آوردن يك درك صحيح از حمله و نحوه سوء استفاده مهاجم از ضعف امنيتي وجود نداشته باشد، اعضاي گروه بايد تمامي احتمالات واقع بينانه را بر اساس اطلاعات موجود فهرست نمايند. گروه با استفاده از چيزهايي كه امكان آنها وجود دارد، ميتواند سناريوهايي براي توضيح آنچه اتفاق افتاده است ترتيب دهد.
گام 2: ديوار دفاعي خود را بهبود بخشيد
زماني كه يك سيستم مورد سوء استفاده قرار ميگيرد، فايل كلمه عبور، آدرس IP و سيستم عامل آن ممكن است در اختيار هكرها قرار گرفته باشد. در نتيجه براي هفته ها پس از وقوع رخداد، ممكن است اين سيستم مجددا مورد حمله قرار گيرد. مهاجمان جديد ممكن است داده هاي كافي براي شروع حمله در اختيار داشته باشند. مساله مهمتر اين است كه مهاجم اصلي ممكن است از اينكه صاحب سيستم حمله را كشف كرده است بي خبر باشد. ممكن است اين مهاجم به سيستم قرباني باز گردد تا اطلاعات ديگري به دست آورده و از اين سيستم به عنوان ابزاري براي حمله به سيستمهاي ديگر استفاده كند.
فعاليت 2-1: تكنيكهاي محافظتي مناسب را به كار بنديد. تكنيكهايي مانند استفاده از فايروال و فيلترهاي مسيرياب، انتقال سيستم به يك آدرس IP جديد، يا در شرايط حاد انتقال وظيفه سيستم به يك سيستم عامل امنتر
گروه مديريت رخداد نميتواند به يك ميزبان كه مورد سوء استفاده قرار گرفته است اجازه دهد كه ارتباطات شبكه را مجددا ايجاد نمايد، مگر اينكه گروه به طور كامل دلايل وقوع رخداد را درك نموده و صاحبان سيستمها را به دنبال كردن روالهاي پاكسازي خاص كه از وقوع مجدد رخداد جلوگيري ميكنند، هدايت نمايد. اين گروه بايد هميشه پياده سازي صحيح اين روالها را پيش از اتصال مجدد به شبكه بازبيني كند.
بسته به عوامل محيطي و عملياتي، ممكن است بسياري از روالها خارج از كنترل صاحب سيستم باشند. براي مثال، نوعا در شركتهاي بزرگ، پيكربندي فايروال و مسيرياب مسئوليت يك نهاد سازماني ديگر به حساب مي آيد. گروه مديريت رخداد بايد به عنوان رابط بين صاحب سيستم و اين نهادها عمل كرده و اطمينان حاصل كند كه محافظت كافي اعمال شده است. همچنين ممكن است صاحب سيستم تخصص فني كافي براي بازسازي سيستم پس از وقوع رخداد را نداشته باشد. در نهايت ممكن است گروه به اين نتيجه برسد كه علت وقوع رخداد، يك سيستم عامل يا يك محيط شبكه ناامن بوده است كه نميتواند صرفا با بازسازي سيستم يا شبكه موجود حل شود. ممكن است در اين صورت گروه توصيه كند كه مديريت به كارگيري يك سيستم عامل امنتر را پيش از اتصال مجدد به شبكه در دستور كار قرار دهد.
گام 3: عمليات تحليل آسيب پذيري را انجام دهيد
احتياط ايجاب ميكند كه تمامي سايتهايي كه به امنيت خود اهميت ميدهند، تحليل آسيب پذيريهاي سيستمها و شبكه هاي خود را به طور منظم انجام دهند، اما بسياري اين كار را نميكنند. اما زماني كه آنها يك رخداد امنيتي را تجربه ميكنند، به سرعت به دنبال تحليل آسيب پذيريهاي ديگر نيز ميروند. استفاده از ابزارهاي خودكار تشخيص آسيب پذيري ميتواند به يك گروه مديريت رخداد كمك كند تا نه تنها درستي روالهاي پاكسازي خود را بررسي كنند، بلكه عواملي را كه ممكن است امكانات وقوع يك حمله را فراهم كنند نيز تصحيح نمايند.
فعاليت 3-1: تحليل آسيب پذيري سيستم را انجام دهيد
از يك ابزار تحليل آسيب پذيريهاي سيستم براي تصميم گيري در مورد اينكه آيا پيكربندي و نسخه هاي نرم افزار در سايت شما به به روز رساني نياز دارند يا خير استفاده كنيد. براي اين كار ميتوانيد يك ابزار تحليل آسيب پذيري را به كار گرفته و يا يك مشاور امنيتي استخدام نماييد تا اين كار را براي شما انجام دهد.
هر دو گروه ابزارهاي ارزيابي مبتني بر ميزبان و مبتني بر شبكه ميتوانند استحكام پيكربنديهاي سيستم و شبكه را مشخص كنند. ابزارهاي مبتني بر ميزبان سطح بالاتري از دقت را نسبت به ابزارهاي مبتني بر شبكه فراهم مي آورند. ابزارهاي مبتني بر ميزبان مانند bastille (در اين آدرس: http://www.bastille-linux.org) يا ابزارهاي مركز امنيت اينترنت (در اين آدرس: http://www.cisecurity.org)، اين قابليت را دارند كه واقعا امنيت يك سيستم را تقويت نمايند. ابزارهاي مبتني بر شبكه مانند nmap (در اين آدرس: http://www.insecure.org/nmap) يا nessus (در اين آدرس: http://www.nessus.org) ميتوانند آسيب پذيريهاي معمول را كه ممكن است باعث وقوع يك سوء استفاده شده باشند شناسايي نمايند. استفاده از مجموعه اي از اين ابزارها مفيدتر خواهد بود، چرا كه ممكن است هر ابزاري قابليتهاي يكتايي داشته باشد.
فعاليت 3-2: به دنبال آسيب پذيريهاي مرتبط بگرديد
يك گام حياتي و اغلب فراموش شده در مرحله پاكسازي، اين است كه اطمينان حاصل نماييد كه ساير پلتفورمها در سازمان، در برابر عواملي كه منجر به سوء استفاده شده اند آسيب پذير نيستند. اعضاي گروه مديريت رخداد ميتوانند به سرعت از ابزارهاي ارزيابي خودكار براي پيدا كردن چنين عواملي استفاده كنند. اعضاي گروه بايد در مورد دو نوع اطلاعات كه به اين جستجو كمك ميكنند هشيار باشند. نخست اينكه آيا سازمان يك فهرست از منابع محاسباتي خود دارد؟ اگر چنين است اين فهرست ميتواند كار جستجو را تسريع نمايد. اعضاي گروه بايد تشخيص دهند كه اگر يك ابزار ارزيابي مبتني بر شبكه را به كار گيرند، نميتوانند اطمينان داشته باشند كه تمامي سيستمهاي بالقوه آسيب پذير در زمان جستجو آنلاين باشند. بدون يك فهرست معتبر از منابع محاسباتي، هر جستجوي شبكه اي ممكن است ناقص باشد.
دومين مساله اي كه اعضاي گروه بايد نسبت به آن آگاه باشند اين است كه آيا سازمان يك برنامه مديريت پيكربندي موثر دارد؟ اگر چنين است، آيا اين برنامه متمركز است يا خير؟ فهرستها و قابليتهاي پيكربندي متمركز به گروه اجازه خواهند داد كه توجه و منابع خود را بر روي جستجو و تصحيح آسيب پذيريهاي مرتبط معطوف نمايد.
گام 4: علت رخداد را از بين ببريد
تصميم گيري در مورد كاري كه بايد براي از بين بردن علت رخداد انجام داد، اغلب يك چالش بزرگ است. فعاليتهايي كه در زير ميخوانيد، يك راهنماي سطح بالا را ارائه ميدهد. راهنماييهاي ديگر براي هريك از انواع معمول حملات در آينده ارائه خواهند شد.
فعاليت 4-1: حملات ويروسي
در حالتي كه يك حمله ويروسي رخ داده باشد، پاكسازي صرفا به حذف ويروس از تمامي سيستمها و حافظه ها با استفاده از ابزارهاي پاكسازي ويروس ختم ميشود.
فعاليت 4-2: حملات ساير كدهاي خرابكار
نرم افزارهاي تجاري مختلفي براي پاكسازي كدهاي خرابكار معمولي يا خطرناك وجود دارند. بيشتر برنامه هاي تجاري در محيطهاي ويندوز و Mac، ويروسهاي كامپيوتري، تروجانهاي مشهور و كرمهاي مختلف را شناسايي ميكنند. در مورد محيطهاي يونيكس برنامه هاي تجاري كمتري وجود دارند. اما طي سه سال گذشته در اغلب موارد، متخصصان سرشناسي ابزارهاي تشخيص و پاكسازي را براي پوشش دادن تروجانها و كرمهاي سيستمهاي يونيكس در دامنه هاي عمومي عرضه كرده اند. گروه مديريت رخداد بايد استفاده از هر دو گروه نرم افزارهاي تجاري و رايگان را در دستور كار خود داشته باشد.
گروه بايد پتانسيل آلودگي مجدد را با توجه به اين نكته كه پاكسازي كامل تمامي حافظه ها كار سختي است، ارزيابي كرده و تشخيص دهد. اگر نسخه هاي پشتيبان آلوده شده باشند، پتانسيل آلودگي مجدد افزايش مي يابد.
در نهايت، گروه بايد اطمينان حاصل كند كه يك روال موثر وجود دارد كه از طريق آن، به روز رساني برنامه هاي آنتي ويروس تجاري امكان پذير ميگردد.
فعاليت 4-3: نفوذ به شبكه
در حالتي كه نفوذ به شبكه رخ داده باشد، كار پاكسازي بسيار سختتر خواهد بود. بسياري از حملات بر روي شبكه از دو بخش تشكيل شده اند. نخست يك فاز ابتدايي است كه در آن آسيب پذيري يك سيستم مورد سوء استفاده قرار گرفته و دسترسي به آن سيستم فراهم ميشود. سپس نفوذگر معمولا يك ابزار (در پشتي) نصب ميكند كه ادامه دسترسي را فراهم مي آورد. نفوذگر همچنين ممكن است از اين سيستم براي نفوذ به كامپيوترهاي ديگر نيز استفاده كند. مثالهاي بسياري وجود دارد كه در آن نفوذگران با استفاده از يك سيستم، اسكريپتهاي سوء استفاده كننده را بر عليه كامپيوترهاي ديگر مورد استفاده قرار داده اند. مهاجمان همچنين اغلب برنامه هاي دسترسي در پشتي و برنامه هاي جاسوسي را نصب كرده و كلمات عبور و نامهاي كاربري را جمع آوري ميكنند. وظيفه گروه شما اين است كه چنين برنامه هايي را جستجو كرده و آنها را حذف نماييد.
گروه مديريت رخداد بايد مشخص نمايد كه آيا مهاجم به هر طريقي تغييري در سيستم قرباني ايجاد كرده است يا خير (منظور از تغيير سيستم، جايگزيني فايلهاي سيستمي و دودويي، نصب برنامه هاي حمله و ايجاد درهاي پشتي است). تنها راه عملي براي انجام اين كار اين است كه بلافاصله سيستم قرباني را از شبكه قطع كرده و تا زماني كه اعضاي گروه، تحليل جرم شناسي كاملي بر روي آن انجام نداده اند، آن را به شبكه متصل نكنيم. اين مساله مستلزم اين است كه اعضاي گروه اطلاعاتي از وضعيت طبيعي سيستم پيش از حمله داشته باشند و به فايلها و برنامه هاي سالم آن در نسخه هاي پشتيبان نيز دسترسي داشته باشند.
اگر دلايل تجاري براي قطع نكردن ارتباط سيستم با شبكه وجود داشته باشد، گروه ميتواند راههاي جايگزين را مورد استفاده قرار دهد. براي مثال، قرار دادن يك فايروال مستقيم در جلوي سيستم قرباني و ايجاد يك ليست كنترل دسترسي (ACL) براي ممانعت از دسترسي مهاجم ميتواند مفيد باشد. يك راه ديگر ميتواند فيلتر كردن ارتباطات ورودي و حتي خروجي سيستم قرباني در محيط شبكه سازماني باشد.
در نهايت، اگر ملاحظات حقوقي و پيگيريهاي قانوني ايجاب ميكند كه نظارت بر فعاليتهاي مهاجم نسبت به پاكسازي سيستم اولويت داشته باشد، ممكن است سيستم در محل خود باقي مانده و سنسورهايي براي كنترل فعاليت مهاجم بر روي آن قرار گيرند. صرفا مديريت ارشد سازمان حق تصميم گيري و پذيرش چنين كاري را دارند.
فعاليت 4-4: در صورتي كه مهاجم متوجه تلاشهاي شما شده باشد
برخي اوقات مهاجمان تلاشهاي شما براي پاكسازي را تشخيص داده و سعي ميكنند كنترل سيستم شما را در دست خود نگاه دارند. اين موقعيت مشكلي است كه ممكن است نياز به كمك و پشتيباني مجريان قانون داشته باشيد. به تلاش خود براي حذف كد مهاجم از سيستم ادامه دهيد. هر كار ممكن را براي به دست آوردن لاگهاي شبكه و تلفن انجام دهيد. اگر آدرس منبع ترافيك شبكه دستكاري نشده و همچنين اگر سياستهاي شما اجازه ميدهد، با صاحب شبكه منبع تماس گرفته و لاگهاي آنها را نيز دريافت كنيد.
در برخي شرايط، مهاجمان واقعا با پرسنل سازماني تماس گرفته و به آنها پيشنهاد كمك براي پاكسازي سيستمها را ميدهند.
هر سازماني بايد سياستها و روالهاي مدوني براي برخورد با چنين شرايطي داشته باشد. اين سياست بايد مشخص كند در چه نقطه اي سازمان گزارش داده و درخواست كمك از آژانسهاي حقوقي و نهادهاي مجري قانون مينمايد. نكته مهمتر اينكه اين سياست بايد تعيين كند چه كسي در سازمان تصميم گيرنده خواهد بود و چه كسي تماسها را برقرار خواهد كرد.
اعضاي گروه بايد از برقراري تماس مستقيم با يك مهاجم در غياب سياست مدون خودداري نمايند. اگر چنين تماسي برقرار شود، اعضاي گروه بايد ركوردهاي جزئيات تمامي تماسها را نگاه دارند. زماني كه پرسنل مجري قانون (و نه پرسنل سازماني) به يك رخداد پاسخ داده باشند، همان افراد نيز معمولا تمامي تماسها را مديريت خواهند كرد. به همين دليل سازمانها بايد رابطه خوبي با آژانسهاي مجري قانون برقرار نمايند.
گام 5: آخرين نسخه پشتيبان را كه مشكلي ندارد پيدا كنيد
در مرحله بعدي شما سيستم را بازيابي كرده و به كار معمول خود باز خواهيد گرداند. به هر حال قبل از هر كاري بايد يك نسخه پشتيبان را كه به روز بوده و آلوده نباشد پيدا كنيد.
فعاليت 5-1: به دنبال يك نسخه پشتيبان به روز (آخرين نسخه پيش از وقوع رخداد) بگرديد
دانستن اينكه يك حمله دقيقا چه زماني اتفاق افتاده است كار سختي است، و اين مساله انتخاب نسخه هاي پشتيبان را مشكل ميكند. در طول حمله نسخه دوم كرم Code Red، نسخه c يك در پشتي بر روي ويندوز NT يا 2000 كه IIS اجرا ميكردند، نصب ميكرد. اغلب افرادي كه با Code Red آلوده شده بودند قادر نبودند تعيين كنند كه سيستم آنها چه زماني براي نخستين بار آلوده شده است. با اينكه ابزارهايي براي رفع آلودگي وجود داشت، اما راهي براي فهميدن اين مطلب كه چه بر سر سيستم قرباني آمده است، وجود نداشت. قربانيان مجبور بودند بين بازسازي كل سيستم از ابتدا يا بازيابي فايلها از يك نسخه پشتيبان كه پيش از كشف اولين نمونه از نسخه دوم Code Red (در ژوئن 2001) ايجاد شده بود، يكي را انتخاب كنند.
· حمله rootkit
يك حمله rootkit كدهاي خرابكار زيادي را در مكانهاي پنهان مختلفي در يك سيستم كامپيوتري قرار ميدهد، به صورتي كه پاكسازي سيستم تقريبا هرگز يك گزينه مفيد نخواهد بود. اگر شواهدي از يك حمله rootkit مشاهده ميشود، شايد بهتر باشد از استفاده از نسخه هاي پشتيبان اجتناب كرده، سيستم عامل را از ابتدا بازسازي نموده، آن را به صورتي امن پيكربندي كرده، آخرين اصلاحيه ها را نصب نموده و در نهايت داده ها را بارگذاري كنيد.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي
مديريت رخداد در شش مرحله- مرحله كنترل و محدود سازي
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1
- 21