IRCAR201109114
تاريخ: 30/6/90
در مجموعه مقالات «مديريت رخداد در شش مرحله»، فعاليتهايي را كه در مورد بخش بزرگي از انواع رخدادهاي امنيتي كامپيوتري قابل اعمال هستند، بيان كرديم. سپس در مجموعه مقالات حاضر، انواع معمول رخدادهاي امنيتي را معرفي كرده و فعاليتهاي خاصي را كه براي مقابله با هر نوع از اين رخدادها مفيد هستند، پيشنهاد كرده ايم. پيش از اين به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس، استفاده نامناسب، جاسوسي، Hoax ها، دسترسي غير مجاز و بخشي از فعاليتهاي مرتبط با رخدادهاي مربوط به نقض حقوق مالكيت فكري اشاره كرديم. در اين قسمت به ادامه فعاليتهاي مرتبط با رخدادهاي مربوط به نقض حقوق مالكيت فكري خواهيم پرداخت.
رخدادهاي نوع هشتم: نقض حقوق مالكيت فكري (ادامه)
فعاليت 16: هويت آن دسته از داراييهاي تحت حقوق مالكيت فكري خود كه مورد سوء استفاده قرار گرفته اند را بررسي كنيد
اين بخش در صورتي كه داراييهاي تحت حقوق مالكيت فكري سازمان خود را توسط watermark ها، محتوا يا ساير مكانيزمها مشخص كرده باشيد بسيار راحت است. اما در صورتي كه اين داراييها را مشخص نكرده باشيد يا اگر يك فرد خاطي در كارهاي خود از بخشهايي از اين داراييهاي شما سوء استفاده كرده باشد، اين كار چالش برانگيز ميشود.
مثالهاي متعددي وجود دارد كه در آن خاطيان نشانهاي حق كپي و نشانهاي تجاري و نيز عنوان اسناد را حذف كرده اند تا صاحب حقيقي يك دارايي تحت حقوق مالكيت فكري مشخص نگردد. به همين دليل ممكن است لازم باشد به طور همزمان از چندين متد براي مشخص كردن داراييهاي تحت حقوق مالكيت فكري خود استفاده كنيد.
فعاليت 17: يك لاگ از موارد تشخيص داده شده ايجاد كنيد
اين لاگ شالوده شواهد شما را تشكيل ميدهد و ممكن است پيش از كمك گرفتن از قاضي يا وكيل و نهادهاي اجرايي قانون مورد نياز باشد. اين لاگ بايد شامل اطلاعاتي مانند نوع و موقعيت دارايي تحت حقوق مالكيت فكري مانند يك URL، نام فايل، عنوان، نويسنده و غيره باشد. در زمان مناسب امضاهاي MD5 يا SHA-1 يا كپيهاي اصلي و خراب شده را نيز در اين لاگ وارد كنيد.
فرمهاي شناسايي رخداد نقض حقوق مالكيت فكري در انتهاي مقاله ضميمه شده اند و مثالهاي كاملي از اطلاعاتي كه بايد جمع آوري شوند را ارائه ميدهند.
فعاليت 18: خسارت مادي ايجاد شده در نتيجه سوء استفاده از حقوق مالكيت فكري را ارزيابي كنيد
اين بخش در صورتي كه سازمان شما قبلا ارزش پايه داراييهاي تحت حقوق مالكيت فكري خود را مشخص كرده باشد، بسيار ساده تر خواهد بود. يك عامل كليدي در تعيين خسارت اين است كه يك حق مالكيت فكري چند بار توسط فرد متجاوز مورد سوء استفاده قرار گرفته است.
براي مثال، تصور كنيد كه يك شركت كه كتابهاي الكترونيكي را از طريق اينترنت به فروش ميرساند، متوجه شود كه يكي از بهترين كتابهايش در سايت يك فرد متجاوز به صورت رايگان عرضه شده است. خسارت مادي ناشي از اين سوء استفاده، در صورتي كه اين كتاب هزاران بار دانلود شده باشد، بسيار بيشتر از زماني است كه كتاب فقط دو بار دانلود شده باشد.
فعاليت 19: شواهد را به دقت جمع آوري و ذخيره كنيد
استانداردها و تكنيكهاي موجود براي جمع آوري شواهد ديجيتال را بررسي و درك كنيد. مشخص كنيد كه آيا سازمان شما از مهارتهاي لازم در اين زمينه در درون سازمان برخوردار است يا اينكه نياز به كمك يا آموزش خارج از سازمان دارد. زير سوال بردن صحت و اصالت شواهد ديجيتال، يك تاكتيك مشهور وكيلان مدافع است.
تمامي شواهد ديجيتال را جمع آوري كرده و بر روي يك كپي بيت به بيت از نسخه اصلي تحليل نماييد. اطمينان حاصل كنيد كه روالهاي جمع آوري داده هاي خود را كاملا مستند كرده ايد، يعني چه چيزهايي، چگونه و توسط چه كساني جمع آوري شده اند. هر گام خود را به طور مناسب مشخص كنيد. براي مثال، اگر يك تصوير از يك وب سايت شامل سوء استفاده از حقوق مالكيت فكري تهيه شده است، شما ميتوانيد بلافاصله يك امضاي MD5 از آن تهيه كنيد. براي افزايش اعتبار و سنديت، اطمينان حاصل كنيد كه زمان ايجاد تصوير و زمان ايجاد امضاي MD5 حتي الامكان به يكديگر نزديك باشند. به علاوه، از ابزارهاي مرور آفلاين براي عكسبرداري از يك سايت مشكوك در يك زمان خاص و نوشتن تمامي شواهد در يك حافظه غير قابل تغيير مانند CD-R استفاده كنيد.
اگر شما در طول پروسه جمع آوري داده ها مرتكب خطايي شديد، وحشت نكنيد. اين خطا را به طور كامل مستند كرده و به كار خود ادامه دهيد. نكته مهمتر اين است كه سعي كنيد اين خطا را دوباره تكرار نكنيد.
اگر در مورد چيزي شك داريد، با بخش حقوقي سازمان خود يا آژانسهاي اجرايي قانون در مورد روالهاي مناسب جمع آوري شواهد براي رخدادهاي خاص مشورت كنيد.
فعاليت 20: اطلاعات مناسب را در مورد افراد سوء استفاده كننده از حقوق مالكيت فكري جمع آوري كنيد
از منابع عمومي براي جمع آوري اطلاعات در مورد افراد يا سازمانهاي خاطي و متجاوز استفاده كنيد. منابع عمومي شامل موتورهاي جستجو، وب سايت خود فرد خاطي، انتشارت و پايگاههاي داده اطلاعات عمومي ميباشد. اطلاعاتي كه بايد جمع آوري شوند شامل نامها، موقعيتها، نامهاي دامنه، آدرسهاي IP و اطلاعات تماس شامل شماره هاي تلفن، آدرسهاي ايميل، وب سايتهاي شخصي و آدرسهاي فيزيكي و پستي ميباشد. هميشه اخلاقي رفتار كنيد و با تمامي قوانين مربوطه در هنگام جمع آوري شواهد در مورد يك فرد متجاوز، هماهنگ باشيد.
فعاليت 21: در مورد فعال سازي گروههاي پاسخگويي تصميم گيري كنيد
ممكن است هر رخداد سوء استفاده از حقوق مالكيت فكري نياز به يك پاسخ كامل نداشته باشد. اغلب سازمانها، منابع يا زمان محدودي براي پاسخگويي به سوء استفاده از حقوق مالكيت فكري دارند. پس بايد بدانيد كه بايد وارد چه جنگهايي شويد. اينگونه تصميمات بهتر است كه بر اساس يك تحليل ريسك كه مشخص ميكند كدام حقوق مالكيت فكري در سازمان شما مهمتر هستند، اتخاذ گردند.
فعاليت 22: محافظتهاي حقوق مالكيت فكري موجود در دامنه و ISP خود را شناسايي كنيد
تعداد زيادي از ISP ها و صاحبان دامنه ها، سياستهاي حقوق مالكيت فكري و استفاده قابل قبول محكمي دارند. شما ميتوانيد در صورت سوء استفاده يكي از مشريان اين ISP ها از حقوق مالكيت فكري شما، از اين موضوع به نفع خود استفاده كنيد. صاحب شبكه اي را كه تجاوز به حقوق شما در آنجا رخ داده است شناسايي نماييد. سپس با آنها تماس گرفته و رخداد سوء استفاده را شرح دهيد. بسياري از آنها از فرد متجاوز خواهند خواست كه دارايي تحت حقوق مالكيت فكري شما را حذف نمايد، در غير اينصورت وب سايت وي را از كار خواهند انداخت.
فعاليت 23: تمامي ارتباطات را مستند كنيد
يك لاگ از تمامي مكاتبات، تماسهاي تلفني، ملاقاتها و غيره كه در طول يك رخداد سوء استفاده از حقوق مالكيت فكري اتفاق مي افتد نگهداري كنيد. اين كار به شناسايي مسئوليتهاي موجود پس از تخمين خسارت نهايي كمك ميكند. براي مثال اگر درخواست شما براي يك ISP ماهها مورد بي توجهي قرار بگيرد و در طول اين مدت، هزار دانلود ديگر از دارايي تحت حقوق مالكيت فكري شما رخ دهد، آنگاه دادگاه ميتواند اين ISP را مسئول خسارتهاي ايجاد شده بداند. همچنين، ممكن است افراد فهرست شده در اين لاگ در رخدادهاي آتي به متحدان اصلي شما تبديل شوند. نگهداري يادداشتهاي دقيق و با جزئيات از ارتباطات همچنين در زمان لازم به بازيابي سريع اطلاعات كمك ميكند.
فعاليت 24: مشخص كنيد كه داراييهاي تحت حقوق مالكيت فكري شما چگونه افشا شده يا مورد سوء استفاده قرار گرفته اند
اين، يك مساله چالشي بوده و به درك شما از پروسه مديريت حقوق مالكيت فكري سازمان شما بستگي دارد. براي مثال، اگر يك رخداد سوء استفاده از حقوق مالكيت فكري به دليلي مانند اسرار تجاري، براي سازمان شما محرمانه باشد، آنگاه ممكن است يك كارمند آن را نشت داده يا شكل ديگري از جاسوسي اقتصادي رخ داده باشد. سوء استفاده همچنين ميتواند به علت مجوزهاي اهمال كارانه و سهل انگارانه در وب سايت سازمان شما كه به افراد غير مجاز، اجازه استفاده و افشاي داراييهاي تحت حقوق مالكيت فكري شما را داده است، رخ داده باشد. جرم شناسي جزئي سيستم متجاوز معمولا مفيدترين اطلاعات را نشان ميدهد. چنين نوع دسترسي احتمالا فقط از طريق يك مجوز تفتيش از طرف سيستم قضايي قابل انجام خواهد بود.
در زمان ممكن، فعاليتهاي تمامي افرادي را كه با دارايي مورد سوء استفاده قرار گرفته تعامل داشته اند، شناسايي كرده و بررسي نماييد. در حالت عادي اين كار فقط در سازمانهاي كوچك يا سازمانهاي بزرگي كه تعداد كمي از افراد با اين داراييها تعامل داشته اند، ممكن است. در چنين سازمانهايي، اين روش براي تشخيص نحوه سوء استفاده از حقوق مالكيت فكري موثر است.
زماني كه دليل سوء استفاده از حقوق مالكيت فكري روشن شد، گامهاي مناسب را براي از بين بردن اين دليل انجام دهيد.
فعاليت 25: بررسي كنيد كه مكانيزمهاي انتشار حقوق مالكيت فكري به طور مناسب كار ميكنند
اطمينان حاصل كنيد كه پيمانكاران مورد اعتماد يا فروشندگان داراييهاي تحت حقوق مالكيت فكري شما، مورد سوء استفاده قرار نگرفته باشند. براي مثال، تصور كنيد كه سازمان شما يك توليد كننده كتابهاي الكترونيكي بوده و با يك شركت آنلاين براي فروش كتابهاي خود شريك است. اگر شما متوجه شويد كه كتابهاي شما مورد سوء استفاده قرار گرفته اند، بايد با شركت شريك خود تماس گرفته و اطمينان حاصل كنيد كه آنها مورد سوء استفاده قرار نگرفته باشند. آنها نيز ممكن است قادر باشند يك آدرس IP يا آدرس ايميل فرد متجاوز را در يكي از مدخلهاي لاگهاي دانلود خود كشف كنند.
فعاليت 26: طرحهاي تشخيص و پروسه مديريت حقوق مالكيت فكري را بازبيني و به روز رساني كنيد
اطلاعات جمع آوري شده در طول مراحل شناسايي و كنترل و محدود سازي را براي به روز رساني و بهبود سياستها، روالها و كنترلهاي خود مورد استفاده قرار دهيد. اين كار در جلوگيري و پاسخگويي به سوء استفاده هاي آتي از حقوق مالكيت فكري شما كمك خواهد كرد.
فعاليت 27: آسيب پذيريهايي را كه پيش از اين مورد سوء استفاده قرار گرفته اند به طور مرتب بررسي كنيد
اگر يك رخداد سوء استفاده از حقوق مالكيت فكري با استفاده از يك آسيب پذيري خاص رخ داده است، به طور مرتب آن آسيب پذيري را بررسي نماييد. اگر چنين رخدادي به علت كمبود يا نقصي در پروسه مديريت حقوق مالكيت فكري سازمان شما رخ داده است، مميزي دقيقي براي رخدادهاي مديريت حقوق مالكيت فكري ايجاد نماييد.
فعاليت 28: وب سايتهايي را كه پيش از اين به سوء استفاده از حقوق مالكيت فكري ميپرداخته اند، به طور مرتب بررسي كنيد
زماني كه مشخص شد كه يك دارايي تحت حقوق مالكيت فكري شما كه مورد سوء استفاده قرار گرفته است، از يك وب سايت حذف شده است، اطمينان حاصل كنيد كه فرد خاطي اين دارايي را در جايي ديگر يا با نامي ديگر مجددا مورد سوء استفاده قرار ندهد. همچنين اگر يك ISP اين وب سايت را از كار بيندازد، اين فرد خاطي ممكن است فورا يك سايت جديد با يك ISP ديگر راه اندازي نمايد و به سوء استفاده از حق مالكيت فكري شما ادامه دهد. جستجوي هاي الكترونيكي منظم يا استفاده از يك شركت جستجوي حقوق مالكيت فكري براي تشخيص اين متجاوزان مكرر، مفيد خواهد بود.
فعاليت 29: گروه بازيابي را مطلع و آگاه نگاه داريد
يك رخداد بسيار مهم سوء استفاده از حقوق مالكيت فكري يا رخدادهاي مكرر در يك زمان طولاني، ممكن است نيازمند اين باشد كه يك سازمان داراييهاي تحت حقوق مالكيت فكري خود را بازيابي نمايد. در اين صورت احتمالا يك گروه بازيابي شكل خواهد گرفت. اين گروه نياز خواهد داشت كه به خوبي در مورد تمامي رخدادهاي سوء استفاده از حقوق مالكيت فكري كه ميتوانند تصوير يا منافع سازمان را تحت تاثير قرار دهند، آگاه و مطلع نگاه داشته شود.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي
مديريت رخداد در شش مرحله- مرحله كنترل و محدود سازي
مديريت رخداد در شش مرحله- مرحله پاكسازي
مديريت رخداد در شش مرحله- مرحله بازيابي
مديريت رخداد در شش مرحله- مرحله پيگيري
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت اول
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت دوم
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت سوم
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت چهارم
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1
- 12