در این بخش به محبث Containment در فرآیند مدیریت رخداد می پردازیم
Containment
تا کنون ما خود را آماده نمودیم و یک حادثه احتمالی را شناسایی نمودیم. ما در صحنه حاضر شدیم و فرآیندهای مورد نیاز جهت شناسایی را انجام دادیم. در ادامه به مرحله Containment می رسیم. در این مرحله هدف ما محدود کردن مشکل به وجود آمده و جلوگیری از بدتر شدن آن است.
در این مرحله ما اصطلاحا میخواهیم خونریزی را متوقف کنیم.
ما چگونه می توانیم مهاجم را قبل از آسیب بیشتر به سازمان، در مسیر خود شناسایی نماییم؟ این جمله نشان دهنده ماهیت مرحله Containment میباشد.
Sub – Phases
Containment شامل سه زیرمجموعه میباشند که عبارتند از:
short-term containment
system back-up
long-term containment
در ادامه به جزئیات مربوط به موارد فوق اشاره خواهیم نمود.
Deployment
اگر شما با یک جرم مشکوکی برخورد نمودید، میتوانید برای ضبط صحنه جرم از دوربینهای دیجیتال استفاده نمایید و از موارد عکس تهیه نمایید. توجه داشته باشید که شما هنگامی سر صحنه حادثه حاضر میشوید که حادثه رخ داده است و امکان دارد آن چه که شما مشاهده میکنید، آنچه که اتفاق افتاده است نباشد و شرایط تغییر کرده باشد.
به عنوان مثال یک تروجان ممکن است ابتدا یک آیکون را بر روی دسکتاپ ایجاد کند ولی بعد از آن، آیکون را از دسکتاپ حذف نماید. به همین دلیل اگر کاربر میگوید که یک نماد یا تغییر در دسکتاپ صورت گرفته و او آن را دیده است ولی در صورتی که شما چیزی را مشاهده نمیکنید، این را به عنوان اشتباه کاربر در نظر نگیرید. با بیان این مطالب، وقت خود را برای بررسی شواهدی که قبل از حضور شما ایجاد شده است، نیز اختصاص دهید که شامل چیزی است که همه دیدند، شنیده اند یا انجام داده اند و یا هر سندی است که ایجاد شده است.
شما باید یک تیم کوچک را برای بررسی وضعیت ایجاد نمایید که عموما فردی که این کار را انجام میدهد همان فردی است که به عنوان تیم Identification به صحنه جرم اعزارم میشود. در این مورد شما باید از صحنه حادثه محافظت نمایید.
Characterize Incident
ما در حال گذر به مرحله Containment هستیم و در این بخش حادثه را شناسایی نمودهایم. یکی از موارد مهم در این بخش مستند سازی مشخصات مربوط به حادثه میباشد که تا به حال با آنها روبرو شدهایم.
سازمانی با نام FIRST که مخفف Forum of Incident Response and Security Teams میباشد، سندی را منتشر نموده است که در آن یک حادثه را بر اساس سه حوزه توصیف میکند. این سه حوزه دسته بندی عمومی یا Category، Criticality و Sensitivity میباشد.
از دیدگاه Category حوادث به دستههای زیر تقسیم بندی میگردند:
Denial of Service
Compromised Information
Compromised Asset
Unlawful Activity
Internal Hacking
External Hacking
Malware
E-mail
Policy Violations
توجه داشته باشید که یک حادثه ممکن است در چندین دسته بندی قرار گیرد. علاوه بر دسته بندیهایی که در این بخش مشاهده میکنید، شما میتوانید دسته بندیهای دیگری را که نشان دهنده حملات تکامل یافته میباشد را نیز اضافه نمایید.
بخش Criticality یا رتبه بندی بحران برای یک حادثه به ما کمک میکند تا سرعت اعزام تیم پاسخگویی به حادثه را تعیین نماییم. برای حوادث بحرانی شما ممکن است تیم پاسخگویی به حادثه را در کمتر از یک ساعت به صحنه حادثه اعزام کنید. دسته بندی زیر برای رتبه بندی بحران در نظر گرفته شده است:
Incident impacts critical systems: 60 min
Incident impacts non-critical systems: 4 hrs
Possible incident, non-critical: 24 hrs
البته با توجه به شرایط سازمان، این زمآنها متغیر خواهد بود.
معیار بعدی حساسیت یا Sensitivity میباشد. در این بخش انواع افرادی که میتوانند اطلاعات مربوط به حادثه را منتشر نمایند مشخص میگردد. برای موارد بسیار حساس، ما فقط آن را با تیم واکنش به حادثه و مدیریت به اشتراک میگذاریم. برای موارد حساس، ممکن است تیمهای عملیاتی و صاحبان سیستم را هم به لیست خود اضافه کنیم و برای موارد با حساسیت کمتر، میتوانیم به کارمندان هم اطلاع دهیم.
Extremely sensitive (CSIRT, mgmt)
Sensitive (CSIRT, mgmt,sys owners,ops)
Less sensitive (employees informed of Policy Violations isolated virus infection)
جهت کسب اطلاعات بیشتر میتوانید به لینک زیر از وب سایت سازمان FIRST مراجعه نمایید.
https://www.first.org/resources/guides/csirt_case_classification.html
Inform Management
اگر یک فرد که در کنار شما نشسته است به طور ناگهانی دچار حمله قلبی شود، اولین کاری که انجام می دهید چه خواهد بود؟
امیدوارم پاسخ شما این باشد که اورژانس را مطلع خواهید کرد. در هنگام بروز حادثه نیز بهترین کار پس از مشاهده یک حادثه، اطلاع به تیم پاسخگویی به حادثه میباشد.
تیم حادثه باید دارای یک عضو از مدیران ارشد باشد که این مدیر میتواند در هنگام حادثه موانع را از پیش پای شما بردارد. شما باید اطلاعات این فرد را در اختیار داشته باشید تا در اسرع وقت به او دسترسی داشته باشید. همچنین باید به این نکته توجه داشته باشید که شما به تنهایی نمیتوانید تمام کارها را مانند یادداشت برداری، حفاظت از صحنه حادثه و غیره انجام دهید و به همین دلیل نیاز به یک دستیار دارید.
پیشنهاد میشود که حداقل دو نفر را برای هر حادثه در نظر بگیرید. امکان دارد در هنگام یادداشت برداری دچار چالش و مغایرتهایی باشید که باید آنها را در بررسی مجدد اصلاح نمایید.
Notify Appropriate Officials and Create an Incident Tracking Entry
کاربران باید آگاهی داشته باشند، هنگامی که Incident Handler ها در حادثه قرار دارند، ممکن است اطلاعات مهمی را از دست بدهند. در یک حمله گسترده ممکن است یک پیام دیده شود و شما فرض کنید که درست است ولی موارد بسیار دیگری نیز در همان زمان بوجود بیایند.
به همین دلیل یک راه کار خوب، تشویق کاربران برای طلب کردن پاسخ درخواست است. شما باید یک ساختار ارسال و دریافت تیکت ایجاد کنید که به وسیله آن، همه مواردی که به تیم Help Desk یا تیم Incident Handling گزارش میشود، ثبت میگردد و با این کار شما موجب جلوگیری از، ازدست رفتن اطلاعات میشوید.
از دیدگاه کاربر بهترین نمونه یک گزارش ممکن است به مدیر سیستم، Help Desk و پاسخگویان حادثه ارسال شود. اگر کاربر به این سه بخش گزارش را ارسال کند سه نوع تیکت مختلف ایجاد میشود که شانس قابل توجهی برای انجام اقدام مربوط به گزارش وجود دارد که این امر میتواند به شواهد فارنزیکی آسیب بزند. چرا که برای انجام بهتر عملیات فارنزیکی، شواهد باید دست نخورده باقی بماند.
البته از سوی دیگر وجود چشمهای اضافی در مشکل میتواند یک گزینه خوب باشد.
بهترین راه حل این است که ساختار ارتباط گزارش گیری را با مدیران سیستم و Help Desk ها نزدیک تر نمایید.
البته برخی از محصولات تجاری مربوط بهSecurity Information Management (SIM) و Security Event Management (SEM) شامل توانایی اختصاص یک شماره حادثه به یک گروه از Event ها میباشند که با این قابلیت میتوان آنها را پیگیری نمود. برخی از این محصولات شامل یک محیط مشترک (collaborative environment) برای Incident Handler ها جهت انجام تجزیه و تحلیل و به اشتراک گذاشتن نتایج در تیم هستند. یکی از این محصولات CyberSponse میباشد. که در آدرس https://cybersponse.com/ میتوانید جزئیات مربوط به آن را مشاهده نمایید.
ابزار دیگر Real Time Incident Response (RTIR) میباشد که یک سیستم Ticketing بوده و برای ردگیری فرآیند Incident Handling استفاده میشود.
https://bestpractical.com/rtir/
ابزار بعدی Orion Live CD است که برای Incident Handler ها طراحی شده و شامل ابزارهای متعدد، قالبهای آماده گزارش میباشد.
