دوره آموزشی SEC504 – بخش چهارم

در این بخش از دوره SEC504 از موسسه SANS به ادامه مباحث آشنایی با Preparation و بخش های مرتبط با آن می پرازیم.

Key Points – Emergency Comm Plan

در هنگام بروز یک حادثه، با توجه به وجود استرس، ارتباطات تحت تاثیر قرار می‌گیرد و برای جلوگیری از این مورد باید یک طرح ارتباطات ضروری ایجاد نمایید. بدین منظور باید یک لیستی از افراد کلیدی به همراه راه‌های ارتباطی برای دست یابی به آن‌ها را جمع آوری نمایید. همچنین ایجاد یک صندوق پست صوتی برای تیم اصلی که هر عضو ‌می‌تواند به آن دسترسی داشته باشد نیز بسیار مهم است. در این حالت اولین فردی که سر صحنه حادثه حاضر می‌شود ‌می‌تواند یک پیام را برای اعضای دیگر ارسال نماید.

شما همچنین باید یک لیست از اطلاعات تماس تیم پاسخگویی به حادثه جمع‌آوری نمایید که شامل نام اعضای تیم، وظیفه و سمت، شماره تماس، شماره فکس، شماره همراه و حتی اثر انگشت می‌باشد. این لیست را در اختیار اعضای تیم قرار دهید.

Key Points – Getting Access to Systems and Data

در هنگام بروز حادثه، ممکن است تیم Incident Handling نیاز داشته باشد تا به سیستم‌های حساس دسترسی پیداکند. معمولا در ‌سازمان‌ها یک سیاست وجود دارد که می‌گوید باید کلمات عبور در بسته‌های مهر و موم شده در گاوصندوق نگهداری شود. علاوه بر تامین امنیت این بسته، باید اطلاعات موجود در آن نیز بروزرسانی گردد.

به این نکته توجه داشته باشید که در صورت امکان سعی کنید بدون داشتن این کلمات عبور، حداکثر اطلاعات را جمع‌آوری نمایید و در صورتی که نیاز به دسترسی داشتید، حتما مجوز‌های لازم را از مراجع مربوطه کسب نمایید.

برای استفاده از سطح دسترسی مدیر در انجام فرآیند عملیات حتما اعضای تیم را از این موضوع با خبر نموده و از افراد با تجربه برای این منظور کمک بگیرید زیرا امکان بروز اختلال در سیستم سازمان در صورت هرگونه اشتباه وجود دارد.

Key Points – Reporting Facilities

کارکنان به ویژه کارکنان عملیات شبکه، مدیران شبکه و کارکنان Help Desk چشم و گوش هر سازمان هستند. یک سازمان معمولا به کارمندانی که یک حادثه مشکوک را گزارش می‌دهند، پاداش می‌دهد. این موارد موجب می‌شود تا کارمندان ترغیب شده و در صورت مشاهده یک حادثه آن را به مسئولین این امر گزارش نمایند.

با استفاده از روش‌های مختلف، امکان ارائه گزارش را ساده سازی نمایید. این گزارش‌ها ‌می‌تواند از طریق تماس تلفنی، ایمیل و یا یک وب سایت داخلی اختصاص داده شده برای مدیریت حوادث ارسال شود. در این حالت کارمندان را راحت بگذارید تا به صورت دلخواه خود گزارش را ارسال نمایند. برخی از افراد با تماس تلفنی راحت بوده و برخی دیگر ایمیل را ترجیح می‌دهند.

برای اینکه کارمندان معنای حادثه را متوجه شوند یک لیستی از مواردی که ‌می‌تواند یک حادثه باشد را منتشر کنید و در اختیار آن‌ها قرار دهید.

در انتها هم باید یک اتاقی مشابه اتاق جنگ ایجاد کنید که باید مکانی امن برای گفت و گو‌ها و اشتراک اطلاعات مربوط به وقایع باشد.

Key Points – Train the Team

برای مقابله با حوادث بهترین راه آموزش است. در فرآیند پاسخگویی به رخداد، تنها دانستن یک روش برای ایجاد یک Image از اطلاعات کافی نیست، اگر مشکلی به وجود بیاید باید آماده تغییر رویکرد خود باشید. دانستن چگونگی خواندن لاگ‌ها و بررسی سیستم، نیاز به دانش در حوزه سیستم عامل دارد و این موارد تنها با مطالعه و آموزش و تمرین امکان پذیر می‌باشد.

همچنین پیشنهاد می‌گردد تا یک نقشه و سناریو برای آموزش تیم داشته باشید و ابزارهای مورد نیاز برای تیم را آماده نموده و آموزش تکینک‌های استفاده از این ابزارها را نیز در اختیار تیم قرار دهید.

همچنین می‌توانید برای ارزیابی تیم از یک ‌هانی‌پات داخلی استفاده نمایید و با راه اندازی آن اقدام به حمله و آنالیز آن نمایید.

برای ارزیابی و آموزش اعضای تیم می‌توانید یک تست نفوذ که قبلا هم اطلاع رسانی نشده است را شبیه سازی نموده و چگونگی پاسخگویی تیم به آن را بررسی نمایید.

همچنین می‌توانید از سایت‌هایی که دارای چالش‌های نفوذ می‌باشند استفاده نمایید که یکی از این سایت‌ها در ادامه آورده شده است:

https://www.counterhackchallenges.com

Key Potnts – Cultivate Relationships

این یک واقعیت است که بسیاری از افراد فنی، عملکرد تیم Help Desk را تحقیر می‌کنند. آن‌ها در اولین موقعیت ورودی اطلاعات برای ما قرار دارند. شاید آن‌ها برنامه نویسی سیستم و یا مهارت‌های پیچیده تر را نداشته باشند ولی ‌می‌توانند در فرآیند پاسخگویی به رخداد به ما کمک بسیاری نمایند. اگر قصد موفقیت را دارید باید این موضوع را قبول کنید.

باید توجه داشته باشید که هیچ جایگزینی برای هزاران چشم که کاربران شما دارند وجود ندارد، آن‌ها در واقع شبکه ای از سنسورها هستند. کاربران با مشاهده موضوعات مختلف که شاید برخی از آن‌ها خنده دار هم به نظر برسد، تمایل دارند تا موضوع را با Help Desk‌ ها در میان بگذارند. این اطلاع رسانی در کشف برخی از حملات تاثیر گذار خواهد بود.

علاوه بر این اگر گروهی قصد حمله مهندسی اجتماعی را داشته باشند، احتمالا بخش Help Desk یکی از گزینه‌های آن‌ها خواهد بود. پس با بیان این موارد، سرمایه‌گذاری بر روی بخش Help Desk و اطمینان از اینکه آن‌ها بخشی از فرآیند Incident Handling شما هستند، عمل صحیحی می‌باشد.

مدیران سیستم و مدیران شبکه، بخش مهم دیگری در فرآیند پاسخگویی به حادثه می‌باشند. اگر Incident Handler‌ ها، آن‌ها را از خود نداسته و با آن‌ها مخالفت نمایند، این موضوع برای سازمان یک مشکل بزرگ خواهد بود که در هنگام بروز حادثه و در طی آن خود را آشکار می سازد.

به یاد داشته باشید که اگر در زمان‌های مناسب به یکدیگر اعتماد نکرده و همراهی نکنید، هنگامی که زیر آتش هستید (هنگام بروز حادثه) با هم خوب کار نخواهید کرد. شما نمی‌توانید بدون مدیران شبکه و سیستم یک حادثه بزرگ را به سادگی مدیریت نمایید ولی احتمالا در دقایق اولیه یک حادثه احتمالا برای تشخیص حادثه با آن‌ها مشکل داشته باشید.

بهترین کار این است که آن‌ها را درگیر نموده و به آن‌ها آموزش دهید و آن‌ها را بخش جدایی ناپذیر از توانایی خود برای پاسخگویی به حوادث بدانید. به هر حال اگر یکی از مدیران سیستم به ویژه آن‌هایی که برای مدت کوتاهی است مشغول به کار شده اند، شما را صدا زد و گفت که این موضوع درست به نظر نمی‌رسد، شما به آن‌ها اطمینان کنید. در هر صورت این افراد ساختار و سیستم‌های خود را می شناسند و در صورتی که نشانه ای ظریف را کشف نمودند باید به خوبی از آن‌ها تشکر و قدردانی نمود. این موضوعات ظریف ‌می‌تواند نشان دهنده یک نفوذ یا حتی تسخیر یک سیستم باشد.

در انتها نیز مدیران شبکه را ترغیب به پشتیبان گیری به صورت منظم نمایید.