در قسمتهاي قبلي مجموعه مقالات مديريت رخداد در شش مرحله، به گامهاي يك تا هفت مرحله آمادگي كه نخستين مرحله از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به گامهاي بعدي اين مرحله خواهيم پرداخت.
گام 8: توجه ويژه اي به ارتباط با مديران سيستمها داشته باشيد
مديران سيستمها افرادي هستند كه اغلب، در مورد امنيت كاربردي براي گروهي از سيستمها مسئول هستند. نبض سيستمهاي كامپيوتري در دستان اين افراد است. بارها مديران سيستم آگاه بسياري از رخدادها را با اخطار دادن در مورد اتفاقي كه به نظر عجيب مي آيد و با بازبيني فايلهاي لاگ سيستم كشف كرده اند. از طرف ديگر، مديران سيستمها پتانسيل ايجاد ضربه هاي سنگين در يك رخداد را دارا هستند. اين افراد با حسابهاي كاربري با اولويت بالا ميتوانند به افراد نفوذگر هشدار دهند كه فعاليت آنها كشف شده است، شواهد را از بين ببرند يا حتي فايلهاي سيستم را در اثر اشتباه پاك كنند.
فعاليت 8-1: مديران سيستمها را درگير كنيد
مديران سيستمهاي بخشهاي مختلف را براي مشاوره در مورد پروسه مديريت رخداد دعوت كنيد. اين مجموعه، پرسپكتيو مورد نياز براي حل مشكلات را به روش موثرتري فراهم ميكند.
فعاليت 8-2: آموزش پيشگيرانه را هدايت كنيد
كارگاه هايي را براي مديران سيستمها در مورد بسته هاي نرم افزاري موجود براي تشخيص حملات و نظارت موثر بر سيستمها فراهم كنيد. موثرترين اساتيد معمولا كساني هستند كه ميتوانند تجارب دست اول در مديريت رخدادها و در استفاده از ابزارها را شرح دهند. براي دريافت گواهي نامه امنيتي GIAC براي مديران سيستمها و شبكه خود برنامه ريزي نماييد.
فعاليت 8-3: توانايي افراد در خواندن فايلهاي لاگ را شناسايي كنيد
نشانه هاي بسياري از رخدادهاي هرگز كشف نشده در داخل فايلهاي لاگ قرار دارند. جمع آوري لاگهاي سيستم به تنهايي كافي نيست، بلكه مهم اين است كه اين لاگها را بخوانيد. ابزارهايي براي تحليل آسانتر فايلهاي لاگ و خودكار كردن اين پروسه به كار بگيريد. اطمينان حاصل كنيد كه سياست شما براي نگهداري از لاگها در موارد تحقيقات عميقي كه در آن، لاگهايي از هفته ها و ماهها قبل مورد نياز است مناسب است. آن دسته از مديران سيستمها كه رخدادها را تشخيص ميدهند بايد شناسايي شده و مورد تقدير قرار گيرند.
فعاليت 8-4: پشتيبان گيري منظم از سيستم را ترويج كنيد
نسخه هاي پشتيبان ناكافي علت بسياري از فاجعه ها در بازيابي سيستمها پس از رخدادهاي امنيتي هستند. پشتيبانهاي به روز و پاك يا خارج از محل بسيار مهم هستند. مديران سيستمها را تشويق كنيد تا نسخه هاي پشتيبان خود را به روز نگه دارند و اطمينان حاصل كنند كه tape drive هاي آنها به درستي كار ميكنند. از سيستمهاي حياتي حداقل بايد روزي يك بار نسخه پشتيبان تهيه شود. اطمينان حاصل كنيد كه پشتيبانهاي خارج از محل به موقع قابل بازيابي هستند. هر عضو از گروه مديريت رخداد بايد با نرم افزار پشتيبان گيري تجاري سازمان و نيز ابزارهاي رايگاني مانند dd براي سيستمهاي يونيكس و ntbackup براي سيستمهاي ويندوز آشنا باشد.
فعاليت 8-5: اطمينان حاصل كنيد كه عمليات رسيدگي (auditing) و لاگ گيري به خوبي انجام ميشود
اطمينان حاصل كنيد كه رسيدگي و لاگ گيري پيش از وقوع يك رخداد به خوبي انجام ميشود. بعلاوه، اطمينان حاصل كنيد كه ساعتهاي سيستمها از يك منبع زماني قابل اعتماد همزمان شده اند. اين نكته اين اطمينان را ايجاد ميكند كه فايلهاي لاگ، زمان دقيق وقوع يك رخداد را نشان ميدهند. در هر زمان ممكن لاگها را به سرورهاي رزرو ارسال نماييد.
فعاليت 8-6: اطمينان حاصل كنيد كه سيستمها داراي نرم افزار آنتي ويروس به روز هستند
نرم افزار آنتي ويروس ميتواند براي محافظت يك سيستم در برابر ويروسها، تروجانها، كرمها و ساير كدهاي خرابكار مورد استفاده قرار گيرد. نرم افزار آنتي ويروس تنها زماني موثر است كه توصيفات ويروسها در آن به طور مرتب به روز گردد. اغلب سايتها هر روز به روز ميشوند. بهتر است هر از گاهي آنتي ويروس خود را چك كنيد تا اطمينان حاصل كنيد كه درست كار ميكند. چرا كه كدهاي خرابكار جديد سعي ميكنند آنتي ويروس و فايروال شخصي را از كار بيندازند.
فعاليت 8-7: با پيكربنديهاي سرور و سيستم عاملها آشنا باشيد
شما بايد با پروسه هاي متعارف سيستم عامل مانند lsass.exe بر روي ويندوز NT/2000 و syslog بر روي يونيكس آشنا باشيد. براي سيستمهاي متصل به اينترنت، پروسه هايي را كه بايد بر روي سيستمها اجرا گردند مستند نماييد. اگر قادر باشيد پروسه هاي سيستمي عادي را تشخيص دهيد، قادر خواهيد بود به سرعت برنامه هاي غيرعادي را نيز شناسايي نماييد. اين برنامه ها ميتوانند تروجان يا درهاي پشتي باشند كه توسط مهاجمان بر روي سيستم شما قرار ميگيرند. الگوريتمهاي درهم سازي رمزنگاري مانند MD5 يا SHA-1 را اجرا كنيد يا نرم افزارهايي مانند Tripwire را نصب نماييد تا تماميت فايلهاي سيستمي حياتي را كنترل كنيد.
فعاليت 8-8: تست نفوذ انجام دهيد
يكي از بهترين راهها براي جلوگيري از رخدادها اين است كه اطمينان حاصل كنيد كه سيستمهاي شما آسيب پذير نيستند. تستهاي نفوذ را مرتب انجام دهيد تا مطمئن شويد كه سيستمهاي شما به طور امن پيكربندي شده اند و اصلاحيه هاي آنها اعمال شده است. يك روش اين است كه اين تست را در سه مرحله انجام دهيد: 1- شناسايي مودمهاي بدون مجوز يا با مجوزي كه ضعيف پيكربندي شده اند. 2- تست خارجي براي اينكه يك فرد خارجي ميتواند چه چيزهايي در مورد سيستم شما كشف كرده و مورد سوء استفاده قرار دهد. 3- تست داخلي براي اينكه يك فرد داخلي ميتواند چه چيزهايي در مورد سيستم شما كشف كرده و مورد سوء استفاده قرار دهد. اگر منابع لازم براي انجام يك تست نفوذ خوب را در اختيار نداريد، حداقل يك اسكن كننده آسيب پذيري مانند nessus را اجرا كنيد.
گام 9: ارتباطاتي را با آژانسهاي حقوقي و ساير گروههاي پاسخگويي به رخدادهاي كامپيوتري ايجاد كنيد
اگر ارتباطات خود را از قبل سازماندهي نماييد، زماني كه در وضعيت بحراني به كمك احتياج داريد اين كار راحتتر انجام ميگيرد. ممكن است آژانسهاي حقوقي متعددي مسئوليتهايي براي مديريت رخدادهاي كامپيوتري داشته باشند كه با يكديگر همپوشاني داشته باشند. مساله اين است كه چگونه افرادي را پيدا كرده و با آنها تماس بگيريم كه در مورد رخدادهاي كامپيوتري اطلاعات لازم را دارا هستند.
فعاليت 9-1: با قوانين كاربردي آشنا باشيد
خود را با قوانين محلي مرتبط با جرايم كامپيوتري شامل قوانين مديريت شواهد و تعقيب قانوني آشنا كنيد. اگر قصد شما اين است كه مجرم را مورد تعقيب قانوني قرار دهيد، بايد مفاهيم قانوني را درك نماييد.
فعاليت 9-2: انواع شرايطي را كه نهادهاي اجرايي قانون درگير خواهند شد شناسايي كنيد
نهادهاي اجرايي قانون پيش از هرچيز بر توقيف كردن و تعقيب كردن مجرمان تمركز دارند. آژانسهاي حقوقي در اين موارد كار ميكنند: خلافكاري، سرقت، جاسوسي، هرزنگاري كودكان و تهديدات كامپيوتري. از طرف ديگر در شرايطي ممكن است كه اين آژانسها قادر نباشند در پاسخگويي كمك نمايند. در صورتي كه شواهد حفظ نشوند يا اينكه مورد پيش آمده چندان ارزشمند به نظر نيايد، ممكن است آنها صرفا يك تحقيق سرسري انجام دهند.
فعاليت 9-3: پيش از وقوع يك رخداد با نهادهاي محلي اجرايي قانون تماس بگيريد
اكنون زمان آن است كه ماموران جرايم كامپيوتري محلي خود را شناسايي كنيد. آنها اغلب مايلند آموزشهايي در مورد جرايم كامپيوتري به سازمان شما ارائه دهند و مديريت شما را ملاقات نمايند. آنها همچنين ميتوانند به شما براي تعيين ملزومات محلي و ملي براي مديريت شواهد كمك كنند. تمامي اطلاعات تماس مربوط به اين نهادها و اعضاي آن شامل شماره هاي تلفن، آدرسهاي ايميل و ساير موارد مشابه را جمع آوري كنيد. اين اطلاعات تماس را در راهبردهاي مديريت رخداد سازمان خود يادداشت نماييد. ارتباطات از هر نوعي كه باشند، يك سرمايه به حساب مي آيند. در يك رخداد اين افراد ميتوانند خود را به عنوان بهترين دوست سازمان شما به اثبات برسانند. برخي سايتها قويا پيشنهاد ميدهند كه يك فرد خاص به عنوان رابط حقوقي گروه انتخاب شود.
فعاليت 9-4: با يك گروه CIRT يا FIRST متصل شده يا چنين گروهي ايجاد كنيد
اگر يك گروه پاسخگويي به رخدادهاي كامپيوتري يا نهاد هماهنگ كننده براي سازمانهايي مانند شما وجود دارد، اعضاي آن را شناسايي كرده و مكانيزمهايي براي كمك گرفتن از آنها در هنگام نياز ايجاد كنيد.
در قسمت بعدي به مرحله دوم مديريت رخداد يعني مرحله شناسايي خواهيم پرداخت.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
- 16