پاسخگويی به انواع مختلف رخدادهای امنيتی- قسمت دوم

پاسخگويی به انواع مختلف رخدادهای امنيتی- قسمت دوم

تاریخ ایجاد

IRCAR201107108
تاريخ: 21/4/90

در مجموعه مقالات «مديريت رخداد در شش مرحله»، فعاليت­هايي را كه در مورد بخش بزرگي از انواع رخدادهاي امنيتي كامپيوتري قابل اعمال هستند، بيان كرديم. از اين پس، انواع معمول رخدادهاي امنيتي را معرفي كرده و فعاليت­هاي خاصي را كه براي مقابله با هر نوع از اين رخدادها مفيد هستند، پيشنهاد مي­دهيم. در اين مجموعه مقالات به طور خاص به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس، استفاده نامناسب، جاسوسي، فريب­ها، دسترسي غير مجاز و مالكيت فكري خواهيم پرداخت. پيش از اين به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه و انكار سرويس پرداختيم. در اين قسمت به رخدادهاي استفاده نامناسب مي­پردازيم.

رخدادهاي نوع چهارم: استفاده نامناسب
استفاده نامناسب به معناي استفاده از منابع كامپيوتر و شبكه به روشي است كه سياست­ها يا قوانين يك شبكه را نقض نمايد. استفاده نامناسب، از سرقت از منابع براي دسترسي شخصي يا سرگرمي تا استفاده از منابع براي مقاصد مجرمانه را شامل مي­شود. جدي­ترين مشكل در اين موارد عبارت است از دسترسي، ذخيره سازي يا انتقال داده هاي غير اخلاقي. معمولا تحقيقات مربوط به استفاده نامناسب، از اتهامي آغاز مي­شود كه بايد با آزمون و تحليل ثابت شده يا رد گردد.
فعاليت 1: اطمينان حاصل كنيد كه سياستهاي شما براي تحقيقات شما كافي است
آيا سياست­هاي شما به اندازه كافي به افراد تحت تحقيق اطلاع رساني مي­كنند كه در اين مورد هيچ فرضيه اي مبني بر حريم شخصي يا دارايي شخصي وجود ندارد؟ آيا سيستم­ها داراي علائم هشدار دهنده لازم هستند؟
فعاليت 2: قانون را بشناسيد
اطمينان حاصل كنيد كه قانون را به تمامي مي­شناسيد. عدم اطلاع از قوانين كشوري و محلي، باعث مي­شود كه يك ديوار دفاعي و قانوني مناسب شكل نگيرد. شما بايد مانند يك بازجو قوانين مرتبط با حرفه خود را بشناسيد. اگر در جايي شك داريد، توقف كرده و با مشاور خود مشورت نماييد.
فعاليت 3: با مشاور مشورت نماييد
چنانچه هر بخشي از يك درخواست براي دريافت اطلاعات، به طور مستقيم يا غير مستقيم از نهادهاي اجرايي قانون نشأت مي­گيرد، با مشاور خود در اين مورد مشورت كنيد. ممكن است شما به عامل يك آژانس اجرايي قانون تبديل گرديد و در معرض قوانين ديگري قرار بگيريد كه توانايي شما را براي تست كردن منابع شركتتان در زمان نياز محدود نمايد.
فعاليت 4: مديريت را در مورد وقايع احتمالي آگاه سازيد
در ابتداي كار به مديريت سازمان اين آگاهي را بدهيد كه در صورتي كه تحقيقات وقوع يك فعاليت مجرمانه خاص را نشان بدهد، ممكن است كنترل آن پروسه تحقيقاتي را به كلي از دست بدهند. براي مثال اگر فعاليتي مبني بر انتشار تصاوير غير اخلاقي كشف گردد، بايد اين موضوع به مقامات قانوني گزارش داده شده و كنترل كار به دست آنان سپرده شود. يعني ممكن است مقامات قانوني در اين زمان بخواهند كنترل تحقيقات را خود به دست گيرند.
فعاليت 5:خطر تحقيقات را تحليل كنيد
تحقيقات خطرهاي زيادي را به همراه دارند (ادعاهاي تجاوز به حريم خصوصي، تفسير غلط قوانين تحقيقاتي، خطاهاي سهوي، مداخله افراد داراي قدرت و غيره). اگر تنها خواسته سازمان تغيير رفتار باشد و نه انجام يك فعاليت مديريتي، ممكن است روش­هايي كه موثرتر هستند و خطر كمتري از تحقيقات متمركز دارند نيز وجود داشته باشند.
فعاليت 6: محافظت قانوني ايجاد نماييد
از آنجاييكه شما نمي­دانيد چه چيزي در نتيجه تحقيقات كشف خواهد شد، پيش از انجام هر كاري با مشاور شركت خود تماس بگيريد. يكي از شكل­هاي محافظت از شما و شركت شما، اين است كه كار تحقيقات را با وساطت يك وكيل انجام دهيد. در اين حالت بايد تمامي درخواست­ها براي پشتيباني تحقيقاتي از طريق وكيل به شما ارجاع گردد و تمامي اطلاعات نيز صرفا به وكيل بازگردانده شود.
فعاليت 7: گروه تحقيقاتي را كوچك نگه داشته و محرمانگي را جدي بگيريد
تحقيقات در مورد رخدادهاي استفاده نامناسب، خطر تعقيب قانوني را به همراه دارد. شما اغلب با اتهاماتي در ارتباط هستيد كه ممكن است براي افرادي كه مورد تحقيق قرار مي­گيرند، آزار دهنده و شرم آور باشد. حتي اگر اثبات گردد كه فرد مورد تحقيق بي گناه بوده و از اتهام تبرئه گردد، شايعات مربوط به اين قضيه مي­تواند به شهرت فرد صدمه وارد كرده و قابليت وي براي فعاليت در سازمان را كاهش دهد. بنابراين اطلاعات مربوط به تحقيقات بايد حتي الامكان در گروه كوچكي متمركز شده و از انتشار آن جلوگيري گردد.
فعاليت 8: با دپارتمان امنيت فيزيكي هماهنگي داشته باشيد
عدم هماهنگي با دپارتمان امنيت فيزيكي شركت در هنگام انجام تحقيقات در حوزه وظايف محوله آنها، مي­تواند منجر به غير فعال كردن غير عمدي هشدارها يا برانگيختن شك گردد. امنيت فيزيكي مي­تواند به هر چيزي كه يك نفوذ غير مجاز به نظر مي­رسد و احتمالا در حال سوء استفاده از محرمانگي تحقيقات است، پاسخ دهد.
فعاليت 9: اعضاي گروه تحقيقاتي خود را بشناسيد
اعضاي گروه را به دقت انتخاب كنيد. برخي افراد با برخي اتفاقات نامناسب (مانند پخش تصاوير غير اخلاقي، مرگ، شكنجه و قطع عضو) بسيار پريشان مي­شوند. بسياري از اعضاي امنيت آي تي، متخصصان حوزه كامپيوتر يا شبكه هستند و ممكن است از نظر احساسي براي ارتباط با چنين مسائلي آماده نباشند. به اعضاي گروه خود آگاهي بدهيد كه چه چيزي در انتظار آنهاست و آنها را آماده كنيد كه در صورت نياز يا در صورت تشخيص شما، وظايف خود را تغيير دهند.
فعاليت 10: يك فرمت استاندارد براي ارائه ايجاد كنيد
موضوعات نامناسب اغلب احساسات متفاوتي را در مشاهده كنندگان ايجاد مي­كنند. دو فرد مختلف تعريف يكساني از زشتي يا قباحت ندارند.
به جاي ارائه موضوعات به صورت مستقيم، يك ماتريس ايجاد كنيد كه با استفاده از يك سيستم درجه بندي، وضعيت موضوع را مشخص كرده و نوع استفاده از آن را (دانلود شده، ذخيره شده، ارسال شده و غيره) را نيز تعيين نمايد. در اين صورت ابزاري در اختيار مديريت و منابع انساني قرار مي­گيرد تا موارد مربوط به استفاده نامناسب را بدون نياز به مشاهده موضوعات، مديريت نمايند.
فعاليت 11: يك سياست براي نگهداري داده هاي مربوط به موضوع تحقيق ايجاد و استفاده كنيد
از يك حافظه كه قطعا كنترل مي­شود براي نگهداري موضوعات جمع آوري شده در دوره تحقيقات استفاده كرده و تمامي كپي­هاي ديگر اين داده ها را از بين ببريد. بايد دقت ويژه اي در مورد موضوعاتي كه ممنوعه محسوب مي­شوند (مانند تصاوير غير اخلاقي كودكان) مبذول گردد. در مورد هر موضوعي كه به نظرتان ممنوع مي آيد، با مشاور شركت خود مشورت كرده و از توصيه هاي وي پيروي كنيد.

مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي
مديريت رخداد در شش مرحله- مرحله كنترل و محدود سازي
مديريت رخداد در شش مرحله- مرحله پاكسازي
مديريت رخداد در شش مرحله- مرحله بازيابي
مديريت رخداد در شش مرحله- مرحله پيگيري
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت اول

منابع:

Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1

برچسب‌ها