آشنایی با فرآیند پاسخگویی به حوادث یا Incident Handling
Remain calm and Take Notes
نکته ای که باید همواره به آن توجه داشته باشید این است که بروز حتی یک حادثه کوچک هم میتواند موجب بروز استرس و نگرانی در شما شود. این استرس موجب میشود تا ارتباطات و هماهنگیهای شما دچار اختلال گردد. به همین خاطر شما باید در همه موارد آرامش خود را حفظ نمایید.
هیچ گاه نباید عجله به خرج دهید زیرا عجله موجب بروز اشتباه شده و این اشتباه میتواند بسیار هزینهبر باشد.
در هنگام بروز حوادث، یادداشتبرداری میتواند کمک بسیاری به شما نماید. گاهی اوقات این یادداشتها میتواند حتی در دادگاه نیز به شما کمک کند. علاوه بر این مهاجمان نمیتوانند آن را از سیستم شما به سرقت ببرند و یا مورد حمله انکار سرویس قرار دهند.
همچنین این یادداشتها افکار شما را سازماندهی میکنند و موجب افزایش قدرت عملکرد شما میشوند.
البته یادداشت برداری سریع نیز یک مهارت است که پیشنهاد میکنیم آن را فرابگیرید.
یک Incident Handler نه تنها باید یادداشتبرداری کند بلکه باید این کار را به درستی انجام دهد. مانند روزنامه نگارها این چند سوال که چه کسی، چه زمانی، چه مکانی، چرا و چگونه را باید در هنگام یادداشت برداری مد نظر داشته باشد.
مهم این است که تمام پرسشها، پاسخهای آنها و اقداماتی که داشتهاید را ثبت کنید و هیچ چیز را از قلم نیاندازید.
اطمینان حاصل کنید که تاریخ مربوط به هر ورودی که یادداشت میکنید به همراه آن نام Incident Handler را نیز ثبت نمایید.
همچنین وجود یک ضبط کننده صدا و یا حتی دوربین هم میتواند به شما در جمع آوری اطلاعات کمک نماید.
پس آرام باش و یادداشت کن = Remain calm and Take Notes
Key Points – Management Support
“من می دانم که هکرها میتوانند برای ما مزاحمت ایجاد کنند، اما آن واقعا نمیتوانند به چیزی آسیب وارد کنند! منظورم این است که آن نمیتوانند هیچ صدمه جدی را به سیستم وارد نمایند!”
نظر شما در مورد جمله بالا چیست؟
این جمله مربوط به یک مدیر ارشد امنیتی و طرز تفکر وی در خصوص هکرها میباشد. آیا با نظر وی موافقید؟
قطعا این طور نیست و هکرها میتوانند ضربات جبران ناپذیری را به سیستم و سازمان شما وارد نمایند. وظیفه ما در قبال چنین مدیرانی، آگاهی رسانی و تفهیم عواقب ناشی از هک میباشد.
چه چیزی او را متقاعد خواهد کرد؟
دیدن شواهدی از آسیب به خصوص آسیبهای قابلتوجهی که میتواند بر توانایی و عملکرد سازمان برای رقابت با سازمانیهای مشابه تاثیر بگذارد بسیار مناسب میباشد.
همچنین میتوانید یک گزارش ماهانه یا سه ماهه ایجاد نمایید و آن را گزارش حادثه یا Incident Report نام گذاری نمایید. آن را به گونه ای خاص و جذاب برای مدیر آماده نمایید تا نشان دهید که در ماه یا سه ماهه گذشته چه فعالیتهایی را انجام داده اید. اگر ماه آرامی را گذراندهاید و اتفاق خاصی در این ماه برای شما به وقوع نپیوسته است، لیستی از وقایع امنیتی دیگری که در مطبوعات منتشر شده است را شرح دهید و توضیح دهید که تیم شما چگونه اقدامات پیشگیرانه را برای مقابله با این مشکلات در محیط سازمان خود انجام میدهد.
ایجاد گزارش گرافیکی که شامل نمودارها و اشکال مختلف است نیز بسیار تاثیر گذار خواهد بود. اگر یک مدیر اجرایی قادر به دریافت و درک موارد باشد، توضیح نحوه چگونگی اجرای یک حمله به رقابیش میتواند تاثیر خوبی داشته باشد و موجب حمایت بیشتر وی از تلاش شما شود.
اگر شما دامنه ارتباطات خود با مدیریت را بیشتر نکرده و روی آن سرمایه گذاری نکنید، شما و تیم Incident Handling تنها زمانی برای سازمان مفید هستید که یک حادثه رخ داده باشد (که باعث ترس مدیر شده است) و شما توانسته باشید آن را به درستی مدیریت نمایید.
شما برای کسب اطلاعات در خصوص حوادث هم میتوانید از سایت isc.sans.edu و هم از پایگاه datalossdb.org استفاده نمایید.
Key Points – Building a Team
یکی از موارد چالش برانگیز در فرآیند Incident Handling، ایجاد یک تیم مناسب است. هنگامی که حادثه رخ میدهد و شما حرکت خود را آغاز میکنید، همه میخواهند که با شما وارد عمل شوند. ولی باید این را در نظر بگیرید که اعضای Incident Handling علاوه بر اینکه باید دارای تمایل به انجام فعالیت باشند، باید مهارتهای لازم را نیز در هنگام وقوع یک بحران و تخصص کافی در جمع آوری مدارک را نیز دارا باشند.
پیشنهاد میشود که شما ابتدا یک تیم اصلی از کارشناسان و متخصصان ماهر را تشکیل داده و سپس یک تیم بزرگتر که شامل کارشناسان قانونی، امور عمومی و افسران امنیتی و یا تمام مدیران سیستمها هستند را تشکیل دهید.
اگر سازمان شما دارای بخشها و یا شعب مختلفی میباشد باید قبل از وقوع حادثه، تجزیه و تحلیل لازم از این شعب را داشته باشید. به صورت کلی، جمعیت شناسی سازمان به شما کمک بسیاری در جهت ایجاد تیم متمرکز و مناسب خواهد کرد.
برای ایجاد یک تیم خوب، اطمینان حاصل کنید که تیم شما دارای رشتههای زیر باشد:
• امنیت که شامل امنیت فیزیکی و امنیت کامپیوتر است.
• عملیات (system administration)
• مدیریت شبکه
• مشاوره حقوقی
• منابع انسانی
• امور عمومی / روابط عمومی
• بازیابی فاجعه (Disaster Recovery) و برنامه ریزی برای تداوم کسب و کار
• نمایندگی شعب یا اتحادیهها
لازم به ذکر است که تیم شما نیاز به مجموعه مهارتهای اعضای تیم برای اداره حوادث و تجزیه و تحلیل قانونی دارد که این مهارتها ممکن است در یک فرد وجود داشته و یا در بین چند نفر باشد.
Key Point – Checklists and Team Issues
با توجه به پیچیدگی موجود در منابع هر سازمان، بسیار مفید خواهد بود که تیم عملیات در یک سازمان چک لیستهای مناسبی را که ساختار استاندارد مربوط به هر سیستم را در محیط سازمان توصیف میکند تهیه نموده و آنها را مورد بررسی قرار دهد.
نه تنها مدیران سیستم به این اسناد به صورت روزانه مراجعه میکنند، بلکه این اسناد میتواند برای Incident Handler ها برای فهم بهتر از محیط سازمان بسیار مفید باشد.
در صورتی که این اسناد موجود باشد، پیشنهاد میشود یک نسخه از آنها در اختیار تیم Incident Handling قرار گیرد و در صورتی که این اسناد وجود نداشته باشد، تیم Incident Handling می بایست با کمک مدیران سیستم در طول زمان آماده سازی (Preparation) این اسناد را آماده نمایند.
علاوه بر این ممکن است بخواهید تا یک image از یک ماشین مجازی که استانداردها در آن پیاده سازی شده است ایجاد نمایید تا در هنگام بروز حادثه، با مقایسه این سیستم با سیستمی که حادثه بر روی آن اتفاق افتاده است، مدارک وشواهد لازم را تجزیه و تحلیل نمایید.
نکته: امکان دارد سازمانی که باید فرآیند پاسخگویی به حادثه در آن انجام شود بیش از 10 هزار سیستم داشته باشد که باید این فرآیند در آنها صورت گیرد. در این حالت زمان زیادی باید صرف تجزیه و تحلیل این سیستمها نمود که این امر منجر به کاهش راندامان کاری و فرسایشی شدن پروژه میگردد. در این زمان شما باید از مواردی مانند پاداش، غرامت یا جبران خسارت و ایجاد زمان استراحت برای بالا بردن انرژی اعضای تیم استفاده نمایید. اگرچه شاید برخی از این موارد خلاف فرهنگ سازمانی شما باشد ولی برای حصول نتیجه صحیح باید از آنها استفاده نمود.
این موارد را هم در نظر بگیرید که شاید شما باید در روزهای تعطیل و تا پاسی از شب عملیات خود را ادامه دهید، پس انجام موارد مذکور میتواند تاحد قابل قبولی در روحیه تیم شما تاثیر مثبتی داشته باشد.
در انتها هم باید به این نکته اشاره کرد که زمان در عملیات بسیار مهم است و باید اطمینان داشته باشید که مدیران سیستم از این مورد اطلاع داشته باشند.
Key Points – Team Organization
این بخش یکی از مهمترین ایدههایی است که از فرآیند تحقیق Incident Handling ناشی شده است. در یک حادثه بزرگ، اعضای تیم اقدام یا Action به لحاظ فنی به محل حادثه اعزام میشوند، اطلاعات را جمع آوری میکنند، وضعیت را ارزیابی نموده و تصمیم میگیرند و یا با توجه به شرایط توصیههایی ارائه میدهند. اما این حتی نیمی از کار مورد نیاز برای رسیدگی به یک حادثه جدی هم نمیباشد. در یک حادثه بزرگ باید کارهای ارتباطی زیادی صورت گیرد و نیاز به هماهنگیهای مختلفی میباشد و در برخی از موارد باید تصمیمات در سطح مدیران ارشد اتخاذ گردد.
در ادارت پلیس مشاهده میشود که برای رسیدگی به حوادث بزرگ، پستهای فرماندهی را تنظیم میکنند. همچنین متخصصین بازیابی فاجعه یا Disaster Recovery نیز در هنگام مواجهه با آتش سوزی، سیل و یا گردباد کار مشابهی را انجام میدهند.
در ساختار پاسخگویی به حادثه نیز باید پست فرماندهی از قبل شناسایی شده باشد و میبایست روشهای ارتباطی فراوانی با تیم فرماندهی مانند تلفن، فاکس، شبکه، تلفن همراه و مواردی از این دست نیز مشخص گردد. همچنین کارمندانی که میتوانند اطلاعات مناسب را از مکان حادثه دریافت کنند نیز باید مشخص گردند. این تیم فرماندهی است.
علاوه بر تیم فرماندهی شما همچنین نیاز به متخصصان فنی محلی نیز دارید. باید اطمینان حاصل نمایید که شما میتوانید یک فرد فنی را در محل حادثه داشته باشید. این نکته را هم در نظر داشته باشید که باید یک بازه زمانی مشخص را برای پاسخگویی به حادثه مشخص نمایید که میتواند بین 15 تا 90 دقیقه باشد.