فا

‫ مديريت رخداد در شش مرحله- مرحله بازيابي

IRCAR201105102
تاريخ: 10/3/90
در قسمت­هاي پيشين مجموعه مقالات «مديريت رخداد در شش مرحله»، به مراحل «آمادگي»، «شناسايي»، «كنترل و محدود سازي» و «پاكسازي»، كه چهار مرحله نخست از مراحل شش گانه مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله پنجم، يعني «مرحله بازيابي» خواهيم پرداخت.
مرحله بازيابي
در مرحله بازيابي، وظيفه شما اين است كه هر چه سريعتر سيستم را به وضعيت معمولي و كاملا قابل استفاده پيش از وقوع رخداد باز گردانيد.
گام 1: سيستم را بازيابي كنيد
اگرچه سرعت انجام كار در مديريت رخدادهاي امنيتي يك مساله حياتي به شمار مي­رود، ولي برداشتن حتي يك گام اشتباه در اين مرحله، مي­تواند به فرد مهاجم اجازه دهد كه بعدها مجددا به سيستم باز گردد.
فعاليت 1-1: سيستم را از طريق نسخه هاي پشتيبان سالم بازيابي كرده يا اينكه كل سيستم را بارگذاري مجدد نماييد
ممكن است برخي رخدادهاي امنيتي مانند كدهاي خرابكار، نياز به يك بازيابي كامل عملكرد از نسخه هاي پشتيبان داشته باشند. در اين حالت، لازم است ابتدا از تماميت، سلامت و درستي نسخه هاي پشتيبان اطمينان حاصل نماييد. ايده معمول اين است كه عمليات بازيابي، از آخرين نسخه پشتيبان سيستم كه پيش از وقوع رخداد ايجاد شده است انجام گيرد. تمامي تلاش­هاي لازم را انجام دهيد تا اطمينان حاصل كنيد كه كدي را كه آلوده شده و مورد سوء استفاده قرار گرفته است، بازيابي نكرده ايد. اگر هيچ نسخه پشتيباني از سيستم پيش از وقوع رخداد ايجاد نشده باشد، ممكن است لازم باشد سيستم را از CD-ROM يا ساير حافظه هاي مورد اطمينان مجددا بازسازي كرده و سپس اصلاحيه ها را اعمال نماييد، يا اينكه يك نسخه پشتيبان از يك سيستم مشابه كه آلوده نبوده و مورد سوء استفاده قرار نگرفته است، به دست آورده و براي اين كار مورد استفاده قرار دهيد.
گام 2: سيستم را اعتبار سنجي نماييد
مديريت سازمان و كاربران سيستم­هاي آسيب ديده از رخداد، مي­خواهند اين اطمينان را دريافت نمايند كه آيا مشكل واقعا از بين رفته است يا خير.
فعاليت 2-1: زماني كه عمليات بازيابي سيستم آسيب ديده تمام شد، بررسي كرده و اطمينان حاصل نماييد كه عملكرد شما كاملا موفقيت آميز بوده و سيستم به وضعيت عادي كاري خود بازگشته است
به طور ايده آل، يك برنامه تست براي ارزيابي سيستمهاي آسيب ديده وجود دارد. به طور معمول به اين ترتيب عمل مي شود كه يك سيستم با وظايف عادي آن اجرا شده و به دقت توسط مجموعه اي از تكنيك­ها مانند ثبت كننده هاي وقايع شبكه و فايل­هاي ثبت وقايع سيستم مورد نظارت قرار مي­گيرد. احتياط كنيد، چرا كه برخي اوقات اصلاحيه ها يا تكنيك­هاي مورد استفاده براي جلوگيري از سوء استفاده از يك آسيب پذيري امنيتي، مي­توانند موجب شوند كه عملكرد فعلي سيستم با عملكرد آن پيش از وقوع رخداد كاملا متفاوت گردد.
گام 3: تصميم گيري كنيد كه چه زماني عملكرد سيستم­ها را بازيابي نماييد
عدم حصول اطمينان در مورد اينكه تمامي كدهاي خرابكار حذف شده اند يا خير، مي­تواند تاخيرهاي بسيار طولاني در كار شما ايجاد نمايد.
فعاليت 3-1: تصميم نهايي را بر عهده صاحبان سيستم­ها بگذاريد
پيشنهاد مي­كنيم كه مديريت يك سيستم آسيب ديده و مديران سيستم­هاي سازمان، اين نوع تصميم گيري­ها را بر عهده بگيرند. در اغلب موارد اين افراد به حدي در مورد تهديدات امنيتي حساس هستند كه حتي مايل هستند سيستم را براي چندين روز آفلاين باقي بگذارند تا ارتقاي سيستم عامل را انجام داده و اصلاحيه هاي لازم را نصب نمايند.
گام 4: سيستم­ها را مورد نظارت قرار دهيد
درهاي پشتي و ساير كدهاي خرابكار مي­توانند به خوبي خود را پنهان نمايند.
فعاليت 4-1: زماني كه سيستم به وضعيت آنلاين بازمي­گردد، به بررسي و كنترل سيستم در مورد درهاي پشتي كه احتمالا تشخيص داده نشده اند ادامه دهيد
مطالب مرتبط:
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0