IRCAR201104093
در قسمتهاي قبلي مجموعه مقالات مديريت رخداد در شش مرحله، به گامهاي يك تا چهار مرحله آمادگي كه نخستين مرحله از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به گامهاي بعدي اين مرحله خواهيم پرداخت.
گام 5: امكانات گزارش دهي ساده فراهم كنيد
زماني كه كاربران نميدانند در صورت مشاهده يك رخداد امنيتي با چه كسي تماس گرفته يا چه بگويند، گزارش اطلاعات در مورد رخدادهاي احتمالي را به تاخير مي اندازند. گزارش رخدادهاي امنيتي كامپيوتري بايد به اندازه گزارش يك واقعه آتش سوزي ساده باشد.
فعاليت 5-1: به كاربران آموزش دهيد
زماني كه كارمند جديدي وارد سازمان ميشود، فرصت ايده آلي براي آگاهي دادن و راهنمايي وي در مورد روالهاي مديريت رخداد و پروسه گزارش دهي در سازمان است. البته حافظه افراد در طول زمان كمرنگ ميشود و به همين دليل شما نبايد روي معارفه اوليه كارمندان حساب چنداني باز كنيد. اطلاع رساني در مورد پاسخگويي رخداد در سازمان شما بايد بخشي از آگاهيها و هشدارهاي امنيتي سالانه شما باشد.
فعاليت 5-2: فهرستي از نشانه هاي يك رخداد را منتشر كنيد
فهرستي از نشانه ها ميتواند به گروه شما و سايرين كمك كند كه يك رخداد را شناسايي نمايند. مثالهايي از نشانه ها عبارتند از: فعاليت در حسابهاي كاربري كه پيش از اين بلا استفاده بوده اند، دسترسيهاي غير معمول خارج از محل، اسكريپتهاي ريشه تخصيص id جديد، انتقال كلمات عبور در لاگهاي ftp و وب، از كار افتادن سيستم، پر شدن غير عادي فايل سيستمها، نامهاي فايل جديد يا نا آشنا و موارد غير عادي مشابه. با مديران سيستمهاي سازمان خود براي تهيه فهرستي از نشانه هايي كه متناسب با سيستم عاملهاي مورد استفاده در سازمان شما هستند همكاري نماييد.
فعاليت 5-3: از وب استفاده كنيد
يك صفحه وب رخداد اينترانتي ايجاد كرده و به كاربران كمك كنيد كه گروه مديريت رخداد كامپيوتري شما را پيدا كنند. هر دپارتماني بايد يك كپي از اين اطلاعات را در صورتي كه شبكه يا وب سرور از كار افتاده باشد در اختيار داشته باشد. شما همچنين ميتوانيد از صفحه وب براي آگاه نگاه داشتن سازمان خود از تغييرات استفاده نماييد.
فعاليت 5-4: گزارش دهي از طريق ايميل يا تلفن را تبليغ كنيد
يك ايميل ساده مانند incident@(yourorganization).org ايجاد كنيد تا كاربران از طريق آن اقدام به گزارش كردن رخدادها نمايند. همچنين تخصيص خطوط تلفني براي گزارش كردن رخدادهاي امنيتي به صورت ناشناس و رايگان بسيار كمك كننده است.
فعاليت 5-5: به گزارش دهندگان پاداش بدهيد
يك سازمان كارمنداني را كه رخدادها يا وقايع مشكوك را شناسايي كرده اند با يك جايزه مورد تقدير قرار ميدهد. سازمان ديگري تصوير كارمندان هوشيار را با توضيح كوتاهي در مورد نحوه شناسايي رخداد توسط آنها و كمكي كه به سازمان كرده اند منتشر ميكند. به هر حال كارمنداني كه رخدادها را گزارش ميكنند بايد مورد قدرداني قرار گيرند.
فعاليت 5-6: اطلاعات مديريت را به صورت مداوم به روز نماييد
مديريت را در مورد تهديدات، هزينه رخدادها، ملزومات امنيتي و اطلاعات مشابه ديگر مطلع و آگاه نگاه داريد.
فعاليت 5-7: پارامترها و ملزومات رخداد را مشخص كنيد
ملزوماتي را كه پيش از اعلام وقوع رخداد به مديريت ارشد يا آژانسهاي قانوني خارج از سازمان مورد نياز است مشخص كنيد. اطمينان حاصل كنيد كه هر تماسي از اين نوع مورد قبول مديريت و اداره روابط عمومي قرار خواهد گرفت.
فعاليت 5-8: فرمهاي گزارش دهي براي رخدادها را ايجاد و نگهداري نماييد
فرمهايي براي ثبت اطلاعات رخدادها آماده كنيد. استفاده از فرمهاي از پيش آماده شده اين اطمينان را ايجاد ميكند كه رخدادها به طور كامل و با اطلاعات دقيق ثبت شده اند.
گام 6: به اعضاي گروه آموزش دهيد
كارمندان ناآگاه و آموزش نديده ميتوانند در هنگام وقوع يك رخداد، دردسرهاي بزرگي ايجاد كنند. پاسخگويي به يك رخداد ميتواند فشار زيادي بر روي گروه پاسخگويي وارد آورد. يك گروه آموزش ديده ميتواند كمك كند كه جريانات بسيار آرامتر پيش بروند.
فعاليت 6-1: نشستي براي برنامه ريزي و آموزش سناريوها تنظيم كنيد
نشستي براي گروه مديريت رخداد فراهم كنيد تا در مورد چگونگي مديريت سناريوهاي اساسي بحث كنند. مثالها ميتواند شامل يك اپيدمي ويروسي، تلاشهاي ناموفق براي نفوذ به كامپيوتر، نفوذهاي موفق به كامپيوترها يا كشف حجم قابل توجهي از تصاوير غير اخلاقي كودكان بر روي يك كامپيوتر شركت باشد. در مورد نحوه مديريت اين رخدادها تصميم گيري كنيد. مشخص كنيد كه آيا منابع خارج از سازمان بايد درگير موضوع گردند يا خير. سناريوهاي ساختگي را با درسهايي كه از آنها ميتوان گرفت پيگيري نماييد. سناريوهاي مثالي و پاسخ آنها را در برنامه رسمي پاسخگويي رخداد سازمان خود درج كنيد.
فعاليت 6-2: ابزارها و تكنيكهاي آموزش را فراهم كنيد
آموزشهايي براي اعضاي گروه پاسخگويي به رخداد در مورد استفاده از ابزارها و تكنيكها براي تهيه پشتيبان، جمع آوري شواهد و تحليل فراهم كنيد. يك CD يا فلاپي با ابزارهاي جرم شناسي ايجاد نماييد. در صورتي كه قصد داريد از نتايج اين ابزارها به عنوان شاهد قانوني استفاده كنيد، بهتر است گروه حقوقي نيز اين ابزارها را بازبيني نمايند. اطمينان حاصل كنيد كه اعضاي گروه به خوبي توجيه شده اند كه هرگز برنامه ها را مستقيما بر روي يك ميزبان كه مورد سوء استفاده قرار گرفته است اجرا نكنند. اطمينان حاصل كنيد كه ابزارهاي انتخابي شما براي تحليل جرم شناسي مورد قبول هستند و شواهد موجود بر روي سيستم هدف را تغيير نميدهند.
فعاليت 6-3: درايوهاي پرظرفيت تهيه كنيد
از آنجاييكه تهيه و نگهداري نسخه هاي پشتيبان يكي از مهمترين وظايف شماست، خود را با ديسكهاي پر ظرفيت، دفترچه راهنماي نحوه استفاده از آنها، و انواع كابلها و ترميناتورها مجهز كنيد. استفاده از اين ابزارها را پيش از اينكه در شرايط بحران به آنها نياز پيدا كنيد تمرين نماييد.
فعاليت 6-4: بازيهاي جنگي ايجاد كنيد
نشستهايي براي شبيه سازي يك رخداد براي مديران سيستم و اعضاي گروه مديريت رخداد اجرا كنيد كه در آنها، برخي از اعضا به عنوان مهاجم و سايرين به عنوان مدافعان اعمال نقش نمايند. اين بازيهاي جنگي را صرفا به پرسنل ارشد محدود نكنيد. برنامه پاسخگويي رخداد خود را طوري به روز نماييد كه شامل تمامي مسائل مطرح شده در آموزشها و تمرينات باشد.
گام 7: راهكارهايي را براي همكاريهاي درون سازماني ايجاد نماييد
زماني كه يك رخداد اتفاق مي افتد، معمولا كمبودي به لحاظ تعداد افرادي كه تمايل به كمك كردن دارند مشاهده نميشود. اما اگر نقشهاي سازماني و تعامل ميان آنها به خوبي تعريف نشده باشند، برخي از اين افراد ميتوانند باعث وخيمتر شدن اوضاع گردند.
فعاليت 7-1: مديريت محلي در مورد رخدادهاي كوچك را تقويت كنيد
كاربران و مديران سيستمهاي محلي بايد قادر باشند رخدادهاي كوچك مانند آلودگيهاي ويروسي را مديريت نمايند. سياست رخداد سازمان بايد تعيين كند كه كاربران و مديران سيستمها كدام رخدادها را به تنهايي ميتوانند مديريت نمايند و كدام رخدادها را بايد گزارش كنند.
فعاليت 7-2: همكاري نزديكي با help desk ها داشته باشيد
نخستين نشانه وقوع يك مشكل ميتواند كاربري باشد كه به يك help desk (واحد پشتيباني) گزارش ميدهد. help desk ها ميتوانند اولين خط دفاعي براي رخدادهاي كوچكي مانند آلودگيهاي ويروسي كه چند سيستم را درگير كرده است باشند. بسياري از help desk ها ساعت سرويس دهي طولاني داشته و برخي حتي شبانه روزي هستند. Help desk را به بخشي از گروه مديريت رخداد تبديل كنيد و به عنوان نقطه تماس براي گزارش رخدادها از آن استفاده نماييد.
Help desk ها همچنين يك هدف اوليه براي حملات مهندسي اجتماعي هستند. يك حمله بسيار ساده مهندسي اجتماعي تلفني است كه ميگويد: «من براي تحويل يك گزارش مهم به مدير عجله دارم و متاسفانه كلمه عبور خود را فراموش كرده ام. ممكن است يك كلمه عبور جديد به من بدهيد؟» اگر كارمندان help desk بخشي از پروسه مديريت رخداد شما باشند، از انواع حملاتي كه بر عليه سازمان شما انجام ميشود آگاه هستند و احتمال آسيب پذيري آنها در برابر حملات مهندسي اجتماعي كمتر خواهد بود. بعلاوه در بسياري از سازمانها كارمندان help desk بر مديريت شبكه و كنسولهاي نفوذ نظارت ميكنند و در نتيجه در مورد مشاهده، گزارش دادن و احتمالا پاسخگويي به رخدادها آموزشهاي اوليه ديده اند. در نهايت اگر كاربر يكي از سيستمها مشكلي را مشاهده كند و تشخيص ندهد كه مربوط به يك سوء استفاده امنيتي است يا خير، احتمالا مشكل را به help desk گزارش خواهد داد.
در قسمت بعدي، آخرين گامهاي مرحله آمادگي را بيان خواهيم كرد.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
- 10