IRCAR201105102
تاريخ: 10/3/90
در قسمتهاي پيشين مجموعه مقالات «مديريت رخداد در شش مرحله»، به مراحل «آمادگي»، «شناسايي»، «كنترل و محدود سازي» و «پاكسازي»، كه چهار مرحله نخست از مراحل شش گانه مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله پنجم، يعني «مرحله بازيابي» خواهيم پرداخت.
مرحله بازيابي
در مرحله بازيابي، وظيفه شما اين است كه هر چه سريعتر سيستم را به وضعيت معمولي و كاملا قابل استفاده پيش از وقوع رخداد باز گردانيد.
گام 1: سيستم را بازيابي كنيد
اگرچه سرعت انجام كار در مديريت رخدادهاي امنيتي يك مساله حياتي به شمار ميرود، ولي برداشتن حتي يك گام اشتباه در اين مرحله، ميتواند به فرد مهاجم اجازه دهد كه بعدها مجددا به سيستم باز گردد.
فعاليت 1-1: سيستم را از طريق نسخه هاي پشتيبان سالم بازيابي كرده يا اينكه كل سيستم را بارگذاري مجدد نماييد
ممكن است برخي رخدادهاي امنيتي مانند كدهاي خرابكار، نياز به يك بازيابي كامل عملكرد از نسخه هاي پشتيبان داشته باشند. در اين حالت، لازم است ابتدا از تماميت، سلامت و درستي نسخه هاي پشتيبان اطمينان حاصل نماييد. ايده معمول اين است كه عمليات بازيابي، از آخرين نسخه پشتيبان سيستم كه پيش از وقوع رخداد ايجاد شده است انجام گيرد. تمامي تلاشهاي لازم را انجام دهيد تا اطمينان حاصل كنيد كه كدي را كه آلوده شده و مورد سوء استفاده قرار گرفته است، بازيابي نكرده ايد. اگر هيچ نسخه پشتيباني از سيستم پيش از وقوع رخداد ايجاد نشده باشد، ممكن است لازم باشد سيستم را از CD-ROM يا ساير حافظه هاي مورد اطمينان مجددا بازسازي كرده و سپس اصلاحيه ها را اعمال نماييد، يا اينكه يك نسخه پشتيبان از يك سيستم مشابه كه آلوده نبوده و مورد سوء استفاده قرار نگرفته است، به دست آورده و براي اين كار مورد استفاده قرار دهيد.
گام 2: سيستم را اعتبار سنجي نماييد
مديريت سازمان و كاربران سيستمهاي آسيب ديده از رخداد، ميخواهند اين اطمينان را دريافت نمايند كه آيا مشكل واقعا از بين رفته است يا خير.
فعاليت 2-1: زماني كه عمليات بازيابي سيستم آسيب ديده تمام شد، بررسي كرده و اطمينان حاصل نماييد كه عملكرد شما كاملا موفقيت آميز بوده و سيستم به وضعيت عادي كاري خود بازگشته است
به طور ايده آل، يك برنامه تست براي ارزيابي سيستمهاي آسيب ديده وجود دارد. به طور معمول به اين ترتيب عمل مي شود كه يك سيستم با وظايف عادي آن اجرا شده و به دقت توسط مجموعه اي از تكنيكها مانند ثبت كننده هاي وقايع شبكه و فايلهاي ثبت وقايع سيستم مورد نظارت قرار ميگيرد. احتياط كنيد، چرا كه برخي اوقات اصلاحيه ها يا تكنيكهاي مورد استفاده براي جلوگيري از سوء استفاده از يك آسيب پذيري امنيتي، ميتوانند موجب شوند كه عملكرد فعلي سيستم با عملكرد آن پيش از وقوع رخداد كاملا متفاوت گردد.
گام 3: تصميم گيري كنيد كه چه زماني عملكرد سيستمها را بازيابي نماييد
عدم حصول اطمينان در مورد اينكه تمامي كدهاي خرابكار حذف شده اند يا خير، ميتواند تاخيرهاي بسيار طولاني در كار شما ايجاد نمايد.
فعاليت 3-1: تصميم نهايي را بر عهده صاحبان سيستمها بگذاريد
پيشنهاد ميكنيم كه مديريت يك سيستم آسيب ديده و مديران سيستمهاي سازمان، اين نوع تصميم گيريها را بر عهده بگيرند. در اغلب موارد اين افراد به حدي در مورد تهديدات امنيتي حساس هستند كه حتي مايل هستند سيستم را براي چندين روز آفلاين باقي بگذارند تا ارتقاي سيستم عامل را انجام داده و اصلاحيه هاي لازم را نصب نمايند.
گام 4: سيستمها را مورد نظارت قرار دهيد
درهاي پشتي و ساير كدهاي خرابكار ميتوانند به خوبي خود را پنهان نمايند.
فعاليت 4-1: زماني كه سيستم به وضعيت آنلاين بازميگردد، به بررسي و كنترل سيستم در مورد درهاي پشتي كه احتمالا تشخيص داده نشده اند ادامه دهيد.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي
مديريت رخداد در شش مرحله- مرحله كنترل و محدود سازي
مديريت رخداد در شش مرحله- مرحله پاکسازی
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1
- 16