IRCAR201107108
تاريخ: 21/4/90
در مجموعه مقالات «مديريت رخداد در شش مرحله»، فعاليتهايي را كه در مورد بخش بزرگي از انواع رخدادهاي امنيتي كامپيوتري قابل اعمال هستند، بيان كرديم. از اين پس، انواع معمول رخدادهاي امنيتي را معرفي كرده و فعاليتهاي خاصي را كه براي مقابله با هر نوع از اين رخدادها مفيد هستند، پيشنهاد ميدهيم. در اين مجموعه مقالات به طور خاص به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس، استفاده نامناسب، جاسوسي، فريبها، دسترسي غير مجاز و مالكيت فكري خواهيم پرداخت. پيش از اين به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه و انكار سرويس پرداختيم. در اين قسمت به رخدادهاي استفاده نامناسب ميپردازيم.
رخدادهاي نوع چهارم: استفاده نامناسب
استفاده نامناسب به معناي استفاده از منابع كامپيوتر و شبكه به روشي است كه سياستها يا قوانين يك شبكه را نقض نمايد. استفاده نامناسب، از سرقت از منابع براي دسترسي شخصي يا سرگرمي تا استفاده از منابع براي مقاصد مجرمانه را شامل ميشود. جديترين مشكل در اين موارد عبارت است از دسترسي، ذخيره سازي يا انتقال داده هاي غير اخلاقي. معمولا تحقيقات مربوط به استفاده نامناسب، از اتهامي آغاز ميشود كه بايد با آزمون و تحليل ثابت شده يا رد گردد.
فعاليت 1: اطمينان حاصل كنيد كه سياستهاي شما براي تحقيقات شما كافي است
آيا سياستهاي شما به اندازه كافي به افراد تحت تحقيق اطلاع رساني ميكنند كه در اين مورد هيچ فرضيه اي مبني بر حريم شخصي يا دارايي شخصي وجود ندارد؟ آيا سيستمها داراي علائم هشدار دهنده لازم هستند؟
فعاليت 2: قانون را بشناسيد
اطمينان حاصل كنيد كه قانون را به تمامي ميشناسيد. عدم اطلاع از قوانين كشوري و محلي، باعث ميشود كه يك ديوار دفاعي و قانوني مناسب شكل نگيرد. شما بايد مانند يك بازجو قوانين مرتبط با حرفه خود را بشناسيد. اگر در جايي شك داريد، توقف كرده و با مشاور خود مشورت نماييد.
فعاليت 3: با مشاور مشورت نماييد
چنانچه هر بخشي از يك درخواست براي دريافت اطلاعات، به طور مستقيم يا غير مستقيم از نهادهاي اجرايي قانون نشأت ميگيرد، با مشاور خود در اين مورد مشورت كنيد. ممكن است شما به عامل يك آژانس اجرايي قانون تبديل گرديد و در معرض قوانين ديگري قرار بگيريد كه توانايي شما را براي تست كردن منابع شركتتان در زمان نياز محدود نمايد.
فعاليت 4: مديريت را در مورد وقايع احتمالي آگاه سازيد
در ابتداي كار به مديريت سازمان اين آگاهي را بدهيد كه در صورتي كه تحقيقات وقوع يك فعاليت مجرمانه خاص را نشان بدهد، ممكن است كنترل آن پروسه تحقيقاتي را به كلي از دست بدهند. براي مثال اگر فعاليتي مبني بر انتشار تصاوير غير اخلاقي كشف گردد، بايد اين موضوع به مقامات قانوني گزارش داده شده و كنترل كار به دست آنان سپرده شود. يعني ممكن است مقامات قانوني در اين زمان بخواهند كنترل تحقيقات را خود به دست گيرند.
فعاليت 5:خطر تحقيقات را تحليل كنيد
تحقيقات خطرهاي زيادي را به همراه دارند (ادعاهاي تجاوز به حريم خصوصي، تفسير غلط قوانين تحقيقاتي، خطاهاي سهوي، مداخله افراد داراي قدرت و غيره). اگر تنها خواسته سازمان تغيير رفتار باشد و نه انجام يك فعاليت مديريتي، ممكن است روشهايي كه موثرتر هستند و خطر كمتري از تحقيقات متمركز دارند نيز وجود داشته باشند.
فعاليت 6: محافظت قانوني ايجاد نماييد
از آنجاييكه شما نميدانيد چه چيزي در نتيجه تحقيقات كشف خواهد شد، پيش از انجام هر كاري با مشاور شركت خود تماس بگيريد. يكي از شكلهاي محافظت از شما و شركت شما، اين است كه كار تحقيقات را با وساطت يك وكيل انجام دهيد. در اين حالت بايد تمامي درخواستها براي پشتيباني تحقيقاتي از طريق وكيل به شما ارجاع گردد و تمامي اطلاعات نيز صرفا به وكيل بازگردانده شود.
فعاليت 7: گروه تحقيقاتي را كوچك نگه داشته و محرمانگي را جدي بگيريد
تحقيقات در مورد رخدادهاي استفاده نامناسب، خطر تعقيب قانوني را به همراه دارد. شما اغلب با اتهاماتي در ارتباط هستيد كه ممكن است براي افرادي كه مورد تحقيق قرار ميگيرند، آزار دهنده و شرم آور باشد. حتي اگر اثبات گردد كه فرد مورد تحقيق بي گناه بوده و از اتهام تبرئه گردد، شايعات مربوط به اين قضيه ميتواند به شهرت فرد صدمه وارد كرده و قابليت وي براي فعاليت در سازمان را كاهش دهد. بنابراين اطلاعات مربوط به تحقيقات بايد حتي الامكان در گروه كوچكي متمركز شده و از انتشار آن جلوگيري گردد.
فعاليت 8: با دپارتمان امنيت فيزيكي هماهنگي داشته باشيد
عدم هماهنگي با دپارتمان امنيت فيزيكي شركت در هنگام انجام تحقيقات در حوزه وظايف محوله آنها، ميتواند منجر به غير فعال كردن غير عمدي هشدارها يا برانگيختن شك گردد. امنيت فيزيكي ميتواند به هر چيزي كه يك نفوذ غير مجاز به نظر ميرسد و احتمالا در حال سوء استفاده از محرمانگي تحقيقات است، پاسخ دهد.
فعاليت 9: اعضاي گروه تحقيقاتي خود را بشناسيد
اعضاي گروه را به دقت انتخاب كنيد. برخي افراد با برخي اتفاقات نامناسب (مانند پخش تصاوير غير اخلاقي، مرگ، شكنجه و قطع عضو) بسيار پريشان ميشوند. بسياري از اعضاي امنيت آي تي، متخصصان حوزه كامپيوتر يا شبكه هستند و ممكن است از نظر احساسي براي ارتباط با چنين مسائلي آماده نباشند. به اعضاي گروه خود آگاهي بدهيد كه چه چيزي در انتظار آنهاست و آنها را آماده كنيد كه در صورت نياز يا در صورت تشخيص شما، وظايف خود را تغيير دهند.
فعاليت 10: يك فرمت استاندارد براي ارائه ايجاد كنيد
موضوعات نامناسب اغلب احساسات متفاوتي را در مشاهده كنندگان ايجاد ميكنند. دو فرد مختلف تعريف يكساني از زشتي يا قباحت ندارند.
به جاي ارائه موضوعات به صورت مستقيم، يك ماتريس ايجاد كنيد كه با استفاده از يك سيستم درجه بندي، وضعيت موضوع را مشخص كرده و نوع استفاده از آن را (دانلود شده، ذخيره شده، ارسال شده و غيره) را نيز تعيين نمايد. در اين صورت ابزاري در اختيار مديريت و منابع انساني قرار ميگيرد تا موارد مربوط به استفاده نامناسب را بدون نياز به مشاهده موضوعات، مديريت نمايند.
فعاليت 11: يك سياست براي نگهداري داده هاي مربوط به موضوع تحقيق ايجاد و استفاده كنيد
از يك حافظه كه قطعا كنترل ميشود براي نگهداري موضوعات جمع آوري شده در دوره تحقيقات استفاده كرده و تمامي كپيهاي ديگر اين داده ها را از بين ببريد. بايد دقت ويژه اي در مورد موضوعاتي كه ممنوعه محسوب ميشوند (مانند تصاوير غير اخلاقي كودكان) مبذول گردد. در مورد هر موضوعي كه به نظرتان ممنوع مي آيد، با مشاور شركت خود مشورت كرده و از توصيه هاي وي پيروي كنيد.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي
مديريت رخداد در شش مرحله- مرحله كنترل و محدود سازي
مديريت رخداد در شش مرحله- مرحله پاكسازي
مديريت رخداد در شش مرحله- مرحله بازيابي
مديريت رخداد در شش مرحله- مرحله پيگيري
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت اول
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1
- 18