دوره آموزشی SEC504 – بخش سوم

آشنایی با فرآیند پاسخگویی به حوادث یا Incident Handling

Remain calm and Take Notes
نکته ای که باید همواره به آن توجه داشته باشید این است که بروز حتی یک حادثه کوچک هم ‌می‌تواند موجب بروز استرس و نگرانی در شما شود. این استرس موجب می‌شود تا ارتباطات و هماهنگی‌های شما دچار اختلال گردد. به همین خاطر شما باید در همه موارد آرامش خود را حفظ نمایید.
هیچ گاه نباید عجله به خرج دهید زیرا عجله موجب بروز اشتباه شده و این اشتباه ‌می‌تواند بسیار هزینه‌بر باشد.
در هنگام بروز حوادث، یادداشت‌برداری ‌می‌تواند کمک بسیاری به شما نماید. گاهی اوقات این یادداشت‌ها ‌می‌تواند حتی در دادگاه نیز به شما کمک کند. علاوه بر این مهاجمان نمی‌توانند آن را از سیستم شما به سرقت ببرند و یا مورد حمله انکار سرویس قرار دهند.
همچنین این یادداشت‌ها افکار شما را سازماندهی می‌کنند و موجب افزایش قدرت عملکرد شما می‌شوند.
البته یادداشت برداری سریع نیز یک مهارت است که پیشنهاد می‌کنیم آن را فرابگیرید.
یک Incident Handler نه تنها باید یادداشت‌برداری کند بلکه باید این کار را به درستی انجام دهد. مانند روزنامه نگارها این چند سوال که چه کسی، چه زمانی، چه مکانی، چرا و چگونه را باید در هنگام یادداشت برداری مد نظر داشته باشد.
مهم این است که تمام پرسش‌ها، پاسخ‌های آن‌ها و اقداماتی که داشته‌اید را ثبت کنید و هیچ چیز را از قلم نیاندازید.
اطمینان حاصل کنید که تاریخ مربوط به هر ورودی که یادداشت می‌کنید به همراه آن نام Incident Handler را نیز ثبت نمایید.
همچنین وجود یک ضبط کننده صدا و یا حتی دوربین هم ‌می‌تواند به شما در جمع آوری اطلاعات کمک نماید.

پس آرام باش و یادداشت کن = Remain calm and Take Notes

Key Points – Management Support
“من می دانم که هکرها ‌می‌توانند برای ما مزاحمت ایجاد کنند، اما آن واقعا نمی‌توانند به چیزی آسیب وارد کنند! منظورم این است که آن نمی‌توانند هیچ صدمه جدی را به سیستم وارد نمایند!”
نظر شما در مورد جمله بالا چیست؟
این جمله مربوط به یک مدیر ارشد امنیتی و طرز تفکر وی در خصوص هکرها می‌باشد. آیا با نظر وی موافقید؟
قطعا این طور نیست و هکرها ‌می‌توانند ضربات جبران ناپذیری را به سیستم و سازمان شما وارد نمایند. وظیفه ما در قبال چنین مدیرانی، آگاهی رسانی و تفهیم عواقب ناشی از هک می‌باشد.
چه چیزی او را متقاعد خواهد کرد؟
دیدن شواهدی از آسیب به خصوص آسیب‌های قابل‌توجهی که ‌می‌تواند بر توانایی و عملکرد سازمان برای رقابت با سازمانی‌های مشابه تاثیر بگذارد بسیار مناسب می‌باشد.
همچنین می‌توانید یک گزارش ماهانه یا سه ماهه ایجاد نمایید و آن را گزارش حادثه یا Incident Report نام گذاری نمایید. آن را به گونه ای خاص و جذاب برای مدیر آماده نمایید تا نشان دهید که در ماه یا سه ماهه گذشته چه فعالیت‌هایی را انجام داده اید. اگر ماه آرامی را گذرانده‌اید و اتفاق خاصی در این ماه برای شما به وقوع نپیوسته است، لیستی از وقایع امنیتی دیگری که در مطبوعات منتشر شده است را شرح دهید و توضیح دهید که تیم شما چگونه اقدامات پیشگیرانه را برای مقابله با این مشکلات در محیط سازمان خود انجام می‌دهد.
ایجاد گزارش گرافیکی که شامل نمودارها و اشکال مختلف است نیز بسیار تاثیر گذار خواهد بود. اگر یک مدیر اجرایی قادر به دریافت و درک موارد باشد، توضیح نحوه چگونگی اجرای یک حمله به رقابیش ‌می‌تواند تاثیر خوبی داشته باشد و موجب حمایت بیشتر وی از تلاش شما شود.
اگر شما دامنه ارتباطات خود با مدیریت را بیشتر نکرده و روی آن سرمایه گذاری نکنید، شما و تیم Incident Handling تنها زمانی برای سازمان مفید هستید که یک حادثه رخ داده باشد (که باعث ترس مدیر شده است) و شما توانسته باشید آن را به درستی مدیریت نمایید.
شما برای کسب اطلاعات در خصوص حوادث هم می‌توانید از سایت isc.sans.edu و هم از پایگاه datalossdb.org استفاده نمایید.

Key Points – Building a Team
یکی از موارد چالش برانگیز در فرآیند Incident Handling، ایجاد یک تیم مناسب است. هنگامی که حادثه رخ می‌دهد و شما حرکت خود را آغاز می‌کنید، همه می‌خواهند که با شما وارد عمل شوند. ولی باید این را در نظر بگیرید که اعضای Incident Handling علاوه بر اینکه باید دارای تمایل به انجام فعالیت باشند، باید مهارت‌های لازم را نیز در هنگام وقوع یک بحران و تخصص کافی در جمع آوری مدارک را نیز دارا باشند.
پیشنهاد می‌شود که شما ابتدا یک تیم اصلی از کارشناسان و متخصصان ماهر را تشکیل داده و سپس یک تیم بزرگتر که شامل کارشناسان قانونی، امور عمومی و افسران امنیتی و یا تمام مدیران سیستم‌ها هستند را تشکیل دهید.
اگر سازمان شما دارای بخش‌ها و یا شعب مختلفی می‌باشد باید قبل از وقوع حادثه، تجزیه و تحلیل لازم از این شعب را داشته باشید. به صورت کلی، جمعیت شناسی سازمان به شما کمک بسیاری در جهت ایجاد تیم متمرکز و مناسب خواهد کرد.
برای ایجاد یک تیم خوب، اطمینان حاصل کنید که تیم شما دارای رشته‌های زیر باشد:
• امنیت که شامل امنیت فیزیکی و امنیت کامپیوتر است.
• عملیات (system administration)
• مدیریت شبکه
• مشاوره حقوقی
• منابع انسانی
• امور عمومی / روابط عمومی
• بازیابی فاجعه (Disaster Recovery) و برنامه ریزی برای تداوم کسب و کار
• نمایندگی شعب یا اتحادیه‌ها

لازم به ذکر است که تیم شما نیاز به مجموعه مهارت‌های اعضای تیم برای اداره حوادث و تجزیه و تحلیل قانونی دارد که این مهارت‌ها ممکن است در یک فرد وجود داشته و یا در بین چند نفر باشد.

Key Point – Checklists and Team Issues
با توجه به پیچیدگی موجود در منابع هر سازمان، بسیار مفید خواهد بود که تیم عملیات در یک سازمان چک لیست‌های مناسبی را که ساختار استاندارد مربوط به هر سیستم را در محیط سازمان توصیف می‌کند تهیه نموده و آن‌ها را مورد بررسی قرار دهد.
نه تنها مدیران سیستم به این اسناد به صورت روزانه مراجعه می‌کنند، بلکه این اسناد ‌می‌تواند برای Incident Handler‌ ها برای فهم بهتر از محیط سازمان بسیار مفید باشد.
در صورتی که این اسناد موجود باشد، پیشنهاد می‌شود یک نسخه از آن‌ها در اختیار تیم Incident Handling قرار گیرد و در صورتی که این اسناد وجود نداشته باشد، تیم Incident Handling می بایست با کمک مدیران سیستم در طول زمان آماده سازی (Preparation) این اسناد را آماده نمایند.
علاوه بر این ممکن است بخواهید تا یک image از یک ماشین مجازی که استانداردها در آن پیاده سازی شده است ایجاد نمایید تا در هنگام بروز حادثه، با مقایسه این سیستم با سیستمی که حادثه بر روی آن اتفاق افتاده است، مدارک وشواهد لازم را تجزیه و تحلیل نمایید.
نکته: امکان دارد سازمانی که باید فرآیند پاسخگویی به حادثه در آن انجام شود بیش از 10 هزار سیستم داشته باشد که باید این فرآیند در آن‌ها صورت گیرد. در این حالت زمان زیادی باید صرف تجزیه و تحلیل این سیستم‌ها نمود که این امر منجر به کاهش راندامان کاری و فرسایشی شدن پروژه می‌گردد. در این زمان شما باید از مواردی مانند پاداش، غرامت یا جبران خسارت و ایجاد زمان استراحت برای بالا بردن انرژی اعضای تیم استفاده نمایید. اگرچه شاید برخی از این موارد خلاف فرهنگ سازمانی شما باشد ولی برای حصول نتیجه صحیح باید از آن‌ها استفاده نمود.
این موارد را هم در نظر بگیرید که شاید شما باید در روزهای تعطیل و تا پاسی از شب عملیات خود را ادامه دهید، پس انجام موارد مذکور ‌می‌تواند تاحد قابل قبولی در روحیه تیم شما تاثیر مثبتی داشته باشد.
در انتها هم باید به این نکته اشاره کرد که زمان در عملیات بسیار مهم است و باید اطمینان داشته باشید که مدیران سیستم از این مورد اطلاع داشته باشند.

Key Points – Team Organization
این بخش یکی از مهمترین ایده‌هایی است که از فرآیند تحقیق Incident Handling ناشی شده است. در یک حادثه بزرگ، اعضای تیم اقدام یا Action به لحاظ فنی به محل حادثه اعزام می‌شوند، اطلاعات را جمع آوری می‌کنند، وضعیت را ارزیابی نموده و تصمیم می‌گیرند و یا با توجه به شرایط توصیه‌هایی ارائه می‌دهند. اما این حتی نیمی از کار مورد نیاز برای رسیدگی به یک حادثه جدی هم نمی‌باشد. در یک حادثه بزرگ باید کارهای ارتباطی زیادی صورت گیرد و نیاز به هماهنگی‌های مختلفی می‌باشد و در برخی از موارد باید تصمیمات در سطح مدیران ارشد اتخاذ گردد.
در ادارت پلیس مشاهده می‌شود که برای رسیدگی به حوادث بزرگ، پست‌های فرماندهی را تنظیم می‌کنند. همچنین متخصصین بازیابی فاجعه یا Disaster Recovery نیز در هنگام مواجهه با آتش سوزی، سیل و یا گردباد کار مشابهی را انجام می‌دهند.
در ساختار پاسخگویی به حادثه نیز باید پست فرماندهی از قبل شناسایی شده باشد و می‌بایست روش‌های ارتباطی فراوانی با تیم فرماندهی مانند تلفن، فاکس، شبکه، تلفن همراه و مواردی از این دست نیز مشخص گردد. همچنین کارمندانی که ‌می‌توانند اطلاعات مناسب را از مکان حادثه دریافت کنند نیز باید مشخص گردند. این تیم فرماندهی است.
علاوه بر تیم فرماندهی شما همچنین نیاز به متخصصان فنی محلی نیز دارید. باید اطمینان حاصل نمایید که شما می‌توانید یک فرد فنی را در محل حادثه داشته باشید. این نکته را هم در نظر داشته باشید که باید یک بازه زمانی مشخص را برای پاسخگویی به حادثه مشخص نمایید که ‌می‌تواند بین 15 تا 90 دقیقه باشد.