مديريت رخداد در شش مرحله- مقدمه

مديريت رخداد در شش مرحله- مقدمه

تاریخ ایجاد

IRCAR201012081
مديريت رخداد بسيار شبيه به اورژانس پزشكي است. در اين وضعيت، فرد كمك رسان تحت فشار قرار داشته و اشتباهات وي مي­توانند بسيار گران تمام شوند. در اختيار داشتن يك روال ساده و از پيش تعريف شده، در اين موارد بهترين راهكار است. به همين دليل بزرگترين و با تجربه ترين متخصصين مديريت رخدادهاي امنيتي نيز از روال­هاي از پيش تعريف شده و سيستماتيك براي پاسخگويي به رخدادهاي مرتبط با امنيت استفاده مي­كنند. اين افراد، شش مرحله ثابت و مشخص را همواره در ذهن خود دارند، از فرم­هاي از پيش طراحي شده استفاده مي­كنند و در صورت نياز، از ديگران كمك مي­گيرند. اين شش مرحله به طور مختصر به شرح زيرند:

  1. آمادگي: داشتن سياست­ها، روال­ها و توافق­هايي كه باعث مي­شوند در زمان وقوع يك رخداد امنيتي، شما بر اساس يك سياست مدون رفتار كرده و از تصميمات شتابزده خودداري نماييد.
  2. شناسايي: تشخيص اين موضوع كه اولا آيا يك رخداد امنيتي رخ داده است يا خير و ثانيا در صورت وقوع، طبيعت اين رخداد چيست.
  3. كنترل و محدود سازي: محدود كردن دامنه رخداد و جلوگيري از بدتر شدن آن است.
  4. پاكسازي: حذف يا كاهش عواملي كه باعث وقوع اين رخداد امنيتي شده اند.
  5. بازيابي: بازگرداندن سيستم به وضعيت عادي و كاربردي.
  6. پيگيري: يادگيري از اين تجربه و استفاده از آن در هنگام وقوع رخدادهاي آتي.

هريك از اين مراحل، از چندين گام تشكيل شده اند كه در قسمت­هاي آينده اين مقالات، به تفصيل بيان خواهند شد.

ده گام اوليه براي برخورد با يك رخداد امنيتي كامپيوتري
زماني كه يك رخداد امنيتي كامپيوتري رخ مي­دهد و شما براي آن آمادگي نداريد، اين ده گام را دنبال كنيد:

  • گام اول: خونسردي خود را حفظ كنيد. حتي يك رخداد بسيار ساده نيز به شما فشار و استرس تحميل مي­كند. در اين حالت برقراري ارتباط با ديگران و هماهنگي با آنها سخت مي­شود. آرامش شما مي­تواند از ارتكاب خطاهاي جدي توسط ديگران جلوگيري نمايند.
  • گام دوم: از يادداشت­هاي مناسب استفاده كنيد. فرم­هايي را كه در انتهاي اين مجموعه مقالات ارائه مي­شوند، مورد استفاده قرار دهيد. به اين منظور، با فرمي كه «معرفي رويداد» نام دارد آغاز كنيد. سپس كار خود را با ساير فرم­هاي مرتبط ادامه دهيد. همانطور كه فرم­ها را تكميل مي­كنيد، به خاطر داشته باشيد كه يادداشت­هاي شما مي­توانند به عنوان مدرك در دادگاه مورد استفاده قرار گيرند. در مورد پاسخ­هاي خود به چهار سوال «چه كسي»، «چه چيزي»، «چه زماني» و «كجا» اطمينان حاصل كنيد. همچنين بهتر است كه به سوالات «چگونه» و «چرا» نيز توجه كنيد.
  • گام سوم: به افراد مناسب اطلاع داده و از آنها كمك بخواهيد. اين كار را با اطلاع رساني به هماهنگ كننده امنيتي و مدير خود آغاز كنيد. بخواهيد كه يكي از همكاران براي كمك به هماهنگ كردن روال مديريت رخداد اختصاص داده شود. يك كپي از دفتر تلفن شركت گرفته و با خود همراه داشته باشيد. از همكار خود بخواهيد كه يادداشت­هاي دقيقي از صحبت­هاي تمامي افراد بنويسد. خود شما نيز همين كار را انجام دهيد.
  • گام چهارم: جزئيات رخداد را به كمترين تعداد افراد ممكن منتقل كنيد. به آنها تاكيد كنيد كه افراد قابل اعتمادي هستند و سازمان شما روي احتياط آنها حساب مي­كند.
  • گام پنجم: اگر كامپيوترهاي شما مورد سوء استفاده قرار گرفته اند، از آنها براي بحث­هاي مديريت رخداد استفاده نكنيد. به جاي اين كار از تلفن و فاكس استفاده نماييد. اطلاعات مربوط به رخداد را با ايميل و چت منتقل نكنيد. ممكن است اين اطلاعات توسط مهاجمان مورد شنود قرار گيرند و وضعيت بدتر گردد. زماني كه از كامپيوتر براي انتقال اطلاعات استفاده مي­كنيد، تمامي ايميل­هاي مربوط به مديريت رخداد را رمزگذاري نماييد.
  • گام ششم: مشكل را محدود كنيد. گام­هاي لازم براي جلوگيري از بدتر شدن مشكل را به كار ببنديد. اين مساله اغلب به معناي حذف سيستم آسيب ديده از شبكه است. البته ممكن است مديريت تصميم بگيرد به منظور به دام انداختن فرد مهاجم، ارتباطات اين سيستم را باز بگذارد.
  • گام هفتم: هر چه سريع­تر يك نسخه پشتيبان از سيستم­هاي آسيب ديده تهيه كنيد. براي اين كار از ابزار ذخيره سازي جديد و استفاده نشده اي استفاده كنيد. در صورت امكان، يك نسخه پشتيبان دودويي يا بيت به بيت تهيه نماييد. ابزارهايي مانند SafeBack، يا Norton Ghost مي­توانند پشتيبان­هاي دودويي اجرايي بر روي پلت­فورم­هاي اينتل تهيه كنند. اگر فرصت كافي براي يادگيري ابزار «dd» را پيش از وقوع رخداد داشته باشيد، مي­توانيد اين ابزار را براي هر دو سيستم عامل ويندوز و يونيكس مورد استفاده قرار دهيد. البته اين كار نياز به تمرين دارد.
  • گام هشتم: از شر مشكل خلاص شويد. اگر مي­توانيد مشخص كنيد كه چه چيزي باعث ايجاد مشكل شده است. گام­هايي را براي تصحيح نواقصي كه باعث رخ دادن مشكل شده بودند به كار ببنديد.
  • گام نهم: به كار خود برگرديد. پس از چك كردن نسخه هاي پشتيبان و حصول اطمينان از اينكه مورد سوء استفاده قرار نگرفته اند، سيستم خود را از طريق اين نسخه هاي پشتيبان بازيابي كنيد. سپس سيستم را به دقت كنترل كنيد تا مطمئن شويد كه مي­تواند وظايف خود را انجام دهد. چند هفته همچنان سيستم را تحت نظارت داشته باشيد تا اطمينان حاصل كنيد كه مجددا مورد سوء استفاده قرار نگرفته باشد.
  • گام دهم: از اين تجربه درس بگيريد. بنابراين در هنگام روي دادن رخداد بعدي آماده خواهيد بود. اين مجموعه مقالات به شما كمك خواهد كرد تا يك روش سيستماتيك براي مديريت رخدادها در اختيار داشته باشيد.

افراد بسيار كمي وجود دارند كه تجربه كافي مديريت رخداد براي راهنمايي دادن در مورد تمامي انواع رخدادها و براي تمامي انواع سازمان­ها را دارا باشند. اين مجموعه مقالات، تجربه مديريت رخداد بيش از 50 سازمان مختلف تجاري، دولتي و آموزشي را يك جا گرد آورده است. اگر سازمان مطبوع شما يك سازمان بسيار كوچك است، فقط قسمت­هايي از اين راهنما را كه مي­توانيد پياده سازي نماييد. در قسمت­هاي آينده اين مجموعه مقالات، شش مرحله اصلي مديريت رخدادهاي امنيت كامپيوتري را به تفصيل شرح خواهيم داد.

مطالب مرتبط:
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول

برچسب‌ها
مستندات مرجع
  • 26