فا

‫ مديريت رخداد در شش مرحله- مرحله پاكسازي

IRCAR201105101
تاريخ: 10/3/90
 
در قسمت­هاي قبلي مجموعه مقالات «مديريت رخداد در شش مرحله»، به مراحل «آمادگي»، «شناسايي» و «كنترل و محدود سازي» كه سه مرحله نخست از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله چهارم يعني مرحله «پاكسازي» خواهيم پرداخت.
 
هدف مرحله پاكسازي اين است كه عامل يا عوامل وقوع يك رخداد امنيتي در سيستم را حذف كرده يا كاهش دهيم. سوء استفاده از يك سيستم مي­تواند ضربه اي براي صاحب سيستم باشد. ولي اگر گروه مديريت رخداد نتواند مشكل را به خوبي پاكسازي نمايد، و اگر سوء استفاده ديگري رخ دهد، مديريت مي­تواند صلاحيت گروه مديريت رخداد را زير سوال ببرد.
 
گام 1: علت و دلايل رخداد را مشخص كنيد
اگر شما ندانيد چه اتفاقي افتاده است، قادر نخواهيد بود مشكل امنيتي سيستم قرباني را حل كنيد.
 
فعاليت 1-1: حمله را ايزوله كرده و نحوه وقوع آن را معين كنيد
ممكن است اطلاعات جمع آوري شده در طول مرحله بررسي، براي تعيين علت ريشه اي رخداد كافي باشد. در اغلب رخدادها، چندين علت براي يك رخداد وجود دارد. براي مثال عدم وجود كنترل­هاي فني كافي، مي­تواند در نتيجه عدم موفقيت در انتخاب و آموزش مديران سيستم­ها، كمبود سياست­ها و روال­هاي امنيتي مدون، عدم توجه مديريت و يا تمامي اين دلايل رخ دهد. اعضاي گروه بايد يك بازبيني جامع از داده هاي جمع آوري شده انجام دهند و تصور نكنند كه يك عامل به تنهايي موجب وقوع حمله شده است.
اگر به هر دليل شواهد كافي براي به دست آوردن يك درك صحيح از حمله و نحوه سوء استفاده مهاجم از ضعف امنيتي وجود نداشته باشد، اعضاي گروه بايد تمامي احتمالات واقع بينانه را بر اساس اطلاعات موجود فهرست نمايند. گروه با استفاده از چيزهايي كه امكان آنها وجود دارد، مي­تواند سناريوهايي براي توضيح آنچه اتفاق افتاده است ترتيب دهد.
 
گام 2: ديوار دفاعي خود را بهبود بخشيد
زماني كه يك سيستم مورد سوء استفاده قرار مي­گيرد، فايل كلمه عبور، آدرس IP و سيستم عامل آن ممكن است در اختيار هكرها قرار گرفته باشد. در نتيجه براي هفته ها پس از وقوع رخداد، ممكن است اين سيستم مجددا مورد حمله قرار گيرد. مهاجمان جديد ممكن است داده هاي كافي براي شروع حمله در اختيار داشته باشند. مساله مهمتر اين است كه مهاجم اصلي ممكن است از اينكه صاحب سيستم حمله را كشف كرده است بي خبر باشد. ممكن است اين مهاجم به سيستم قرباني باز گردد تا اطلاعات ديگري به دست آورده و از اين سيستم به عنوان ابزاري براي حمله به سيستم­هاي ديگر استفاده كند.
 
فعاليت 2-1: تكنيك­هاي محافظتي مناسب را به كار بنديد. تكنيك­هايي مانند استفاده از فايروال و فيلترهاي مسيرياب، انتقال سيستم به يك آدرس IP جديد، يا در شرايط حاد انتقال وظيفه سيستم به يك سيستم عامل امن­تر
گروه مديريت رخداد نمي­تواند به يك ميزبان كه مورد سوء استفاده قرار گرفته است اجازه دهد كه ارتباطات شبكه را مجددا ايجاد نمايد، مگر اينكه گروه به طور كامل دلايل وقوع رخداد را درك نموده و صاحبان سيستم­ها را به دنبال كردن روال­هاي پاكسازي خاص كه از وقوع مجدد رخداد جلوگيري مي­كنند، هدايت نمايد. اين گروه بايد هميشه پياده سازي صحيح اين روال­ها را پيش از اتصال مجدد به شبكه بازبيني كند.
بسته به عوامل محيطي و عملياتي، ممكن است بسياري از روال­ها خارج از كنترل صاحب سيستم باشند. براي مثال، نوعا در شركت­هاي بزرگ، پيكربندي فايروال و مسيرياب مسئوليت يك نهاد سازماني ديگر به حساب مي آيد. گروه مديريت رخداد بايد به عنوان رابط بين صاحب سيستم و اين نهادها عمل كرده و اطمينان حاصل كند كه محافظت كافي اعمال شده است. همچنين ممكن است صاحب سيستم تخصص فني كافي براي بازسازي سيستم پس از وقوع رخداد را نداشته باشد. در نهايت ممكن است گروه به اين نتيجه برسد كه علت وقوع رخداد، يك سيستم عامل يا يك محيط شبكه ناامن بوده است كه نمي­تواند صرفا با بازسازي سيستم يا شبكه موجود حل شود. ممكن است در اين صورت گروه توصيه كند كه مديريت به كارگيري يك سيستم عامل امن­تر را پيش از اتصال مجدد به شبكه در دستور كار قرار دهد.
 
گام 3: عمليات تحليل آسيب پذيري را انجام دهيد
احتياط ايجاب مي­كند كه تمامي سايت­هايي كه به امنيت خود اهميت مي­دهند، تحليل آسيب پذيري­هاي سيستم­ها و شبكه هاي خود را به طور منظم انجام دهند، اما بسياري اين كار را نمي­كنند. اما زماني كه آنها يك رخداد امنيتي را تجربه مي­كنند، به سرعت به دنبال تحليل آسيب پذيري­هاي ديگر نيز مي­روند. استفاده از ابزارهاي خودكار تشخيص آسيب پذيري مي­تواند به يك گروه مديريت رخداد كمك كند تا نه تنها درستي روال­هاي پاكسازي خود را بررسي كنند، بلكه عواملي را كه ممكن است امكانات وقوع يك حمله را فراهم كنند نيز تصحيح نمايند.
 
فعاليت 3-1: تحليل آسيب پذيري سيستم را انجام دهيد
از يك ابزار تحليل آسيب پذيري­هاي سيستم براي تصميم گيري در مورد اينكه آيا پيكربندي و نسخه هاي نرم افزار در سايت شما به به روز رساني نياز دارند يا خير استفاده كنيد. براي اين كار مي­توانيد يك ابزار تحليل آسيب پذيري را به كار گرفته و يا يك مشاور امنيتي استخدام نماييد تا اين كار را براي شما انجام دهد.
هر دو گروه ابزارهاي ارزيابي مبتني بر ميزبان و مبتني بر شبكه مي­توانند استحكام پيكربندي­هاي سيستم و شبكه را مشخص كنند. ابزارهاي مبتني بر ميزبان سطح بالاتري از دقت را نسبت به ابزارهاي مبتني بر شبكه فراهم مي آورند. ابزارهاي مبتني بر ميزبان مانند bastille (در اين آدرس: http://www.bastille-linux.org) يا ابزارهاي مركز امنيت اينترنت (در اين آدرس: http://www.cisecurity.org)، اين قابليت را دارند كه واقعا امنيت يك سيستم را تقويت نمايند. ابزارهاي مبتني بر شبكه مانند nmap (در اين آدرس: http://www.insecure.org/nmap) يا nessus (در اين آدرس: http://www.nessus.org) مي­توانند آسيب پذيري­هاي معمول را كه ممكن است باعث وقوع يك سوء استفاده شده باشند شناسايي نمايند. استفاده از مجموعه اي از اين ابزارها مفيدتر خواهد بود، چرا كه ممكن است هر ابزاري قابليت­هاي يكتايي داشته باشد.
 
فعاليت 3-2: به دنبال آسيب پذيري­هاي مرتبط بگرديد
يك گام حياتي و اغلب فراموش شده در مرحله پاكسازي، اين است كه اطمينان حاصل نماييد كه ساير پلتفورم­ها در سازمان، در برابر عواملي كه منجر به سوء استفاده شده اند آسيب پذير نيستند. اعضاي گروه مديريت رخداد مي­توانند به سرعت از ابزارهاي ارزيابي خودكار براي پيدا كردن چنين عواملي استفاده كنند. اعضاي گروه بايد در مورد دو نوع اطلاعات كه به اين جستجو كمك مي­كنند هشيار باشند. نخست اينكه آيا سازمان يك فهرست از منابع محاسباتي خود دارد؟ اگر چنين است اين فهرست مي­تواند كار جستجو را تسريع نمايد. اعضاي گروه بايد تشخيص دهند كه اگر يك ابزار ارزيابي مبتني بر شبكه را به كار گيرند، نمي­توانند اطمينان داشته باشند كه تمامي سيستم­هاي بالقوه آسيب پذير در زمان جستجو آنلاين باشند. بدون يك فهرست معتبر از منابع محاسباتي، هر جستجوي شبكه اي ممكن است ناقص باشد.
دومين مساله اي كه اعضاي گروه بايد نسبت به آن آگاه باشند اين است كه آيا سازمان يك برنامه مديريت پيكربندي موثر دارد؟ اگر چنين است، آيا اين برنامه متمركز است يا خير؟ فهرست­ها و قابليت­هاي پيكربندي متمركز به گروه اجازه خواهند داد كه توجه و منابع خود را بر روي جستجو و تصحيح آسيب پذيري­هاي مرتبط معطوف نمايد.
 
گام 4: علت رخداد را از بين ببريد
تصميم گيري در مورد كاري كه بايد براي از بين بردن علت رخداد انجام داد، اغلب يك چالش بزرگ است. فعاليت­هايي كه در زير مي­خوانيد، يك راهنماي سطح بالا را ارائه مي­دهد. راهنمايي­هاي ديگر براي هريك از انواع معمول حملات در آينده ارائه خواهند شد.
 
فعاليت 4-1: حملات ويروسي
در حالتي كه يك حمله ويروسي رخ داده باشد، پاكسازي صرفا به حذف ويروس از تمامي سيستم­ها و حافظه ها با استفاده از ابزارهاي پاكسازي ويروس ختم مي­شود.
 
فعاليت 4-2: حملات ساير كدهاي خرابكار
نرم افزارهاي تجاري مختلفي براي پاكسازي كدهاي خرابكار معمولي يا خطرناك وجود دارند. بيشتر برنامه هاي تجاري در محيط­هاي ويندوز و Mac، ويروس­هاي كامپيوتري، تروجان­هاي مشهور و كرم­هاي مختلف را شناسايي مي­كنند. در مورد محيط­هاي يونيكس برنامه هاي تجاري كمتري وجود دارند. اما طي سه سال گذشته در اغلب موارد، متخصصان سرشناسي ابزارهاي تشخيص و پاكسازي را براي پوشش دادن تروجان­ها و كرم­هاي سيستم­هاي يونيكس در دامنه هاي عمومي عرضه كرده اند. گروه مديريت رخداد بايد استفاده از هر دو گروه نرم افزارهاي تجاري و رايگان را در دستور كار خود داشته باشد.
گروه بايد پتانسيل آلودگي مجدد را با توجه به اين نكته كه پاكسازي كامل تمامي حافظه ها كار سختي است، ارزيابي كرده و تشخيص دهد. اگر نسخه هاي پشتيبان آلوده شده باشند، پتانسيل آلودگي مجدد افزايش مي يابد.
در نهايت، گروه بايد اطمينان حاصل كند كه يك روال موثر وجود دارد كه از طريق آن، به روز رساني برنامه هاي آنتي ويروس تجاري امكان پذير مي­گردد.
 
فعاليت 4-3: نفوذ به شبكه
در حالتي كه نفوذ به شبكه رخ داده باشد، كار پاكسازي بسيار سخت­تر خواهد بود. بسياري از حملات بر روي شبكه از دو بخش تشكيل شده اند. نخست يك فاز ابتدايي است كه در آن آسيب پذيري يك سيستم مورد سوء استفاده قرار گرفته و دسترسي به آن سيستم فراهم مي­شود. سپس نفوذگر معمولا يك ابزار (در پشتي) نصب مي­كند كه ادامه دسترسي را فراهم مي آورد. نفوذگر همچنين ممكن است از اين سيستم براي نفوذ به كامپيوترهاي ديگر نيز استفاده كند. مثال­هاي بسياري وجود دارد كه در آن نفوذگران با استفاده از يك سيستم، اسكريپت­هاي سوء استفاده كننده را بر عليه كامپيوترهاي ديگر مورد استفاده قرار داده اند. مهاجمان همچنين اغلب برنامه هاي دسترسي در پشتي و برنامه هاي جاسوسي را نصب كرده و كلمات عبور و نام­هاي كاربري را جمع آوري مي­كنند. وظيفه گروه شما اين است كه چنين برنامه هايي را جستجو كرده و آنها را حذف نماييد.
گروه مديريت رخداد بايد مشخص نمايد كه آيا مهاجم به هر طريقي تغييري در سيستم قرباني ايجاد كرده است يا خير (منظور از تغيير سيستم، جايگزيني فايل­هاي سيستمي و دودويي، نصب برنامه هاي حمله و ايجاد درهاي پشتي است). تنها راه عملي براي انجام اين كار اين است كه بلافاصله سيستم قرباني را از شبكه قطع كرده و تا زماني كه اعضاي گروه، تحليل جرم شناسي كاملي بر روي آن انجام نداده اند، آن را به شبكه متصل نكنيم. اين مساله مستلزم اين است كه اعضاي گروه اطلاعاتي از وضعيت طبيعي سيستم پيش از حمله داشته باشند و به فايل­ها و برنامه هاي سالم آن در نسخه هاي پشتيبان نيز دسترسي داشته باشند.
اگر دلايل تجاري براي قطع نكردن ارتباط سيستم با شبكه وجود داشته باشد، گروه مي­تواند راه­هاي جايگزين را مورد استفاده قرار دهد. براي مثال، قرار دادن يك فايروال مستقيم در جلوي سيستم قرباني و ايجاد يك ليست كنترل دسترسي (ACL) براي ممانعت از دسترسي مهاجم مي­تواند مفيد باشد. يك راه ديگر مي­تواند فيلتر كردن ارتباطات ورودي و حتي خروجي سيستم قرباني در محيط شبكه سازماني باشد.
در نهايت، اگر ملاحظات حقوقي و پيگيري­هاي قانوني ايجاب مي­كند كه نظارت بر فعاليت­هاي مهاجم نسبت به پاكسازي سيستم اولويت داشته باشد، ممكن است سيستم در محل خود باقي مانده و سنسورهايي براي كنترل فعاليت مهاجم بر روي آن قرار گيرند. صرفا مديريت ارشد سازمان حق تصميم گيري و پذيرش چنين كاري را دارند.
 
فعاليت 4-4: در صورتي كه مهاجم متوجه تلاش­هاي شما شده باشد
برخي اوقات مهاجمان تلاش­هاي شما براي پاكسازي را تشخيص داده و سعي مي­كنند كنترل سيستم شما را در دست خود نگاه دارند. اين موقعيت مشكلي است كه ممكن است نياز به كمك و پشتيباني مجريان قانون داشته باشيد. به تلاش خود براي حذف كد مهاجم از سيستم ادامه دهيد. هر كار ممكن را براي به دست آوردن لاگ­هاي شبكه و تلفن انجام دهيد. اگر آدرس منبع ترافيك شبكه دستكاري نشده و همچنين اگر سياست­هاي شما اجازه مي­دهد، با صاحب شبكه منبع تماس گرفته و لاگ­هاي آنها را نيز دريافت كنيد.
در برخي شرايط، مهاجمان واقعا با پرسنل سازماني تماس گرفته و به آنها پيشنهاد كمك براي پاكسازي سيستم­ها را مي­دهند.
هر سازماني بايد سياست­ها و روال­هاي مدوني براي برخورد با چنين شرايطي داشته باشد. اين سياست بايد مشخص كند در چه نقطه اي سازمان گزارش داده و درخواست كمك از آژانس­هاي حقوقي و نهادهاي مجري قانون مي­نمايد. نكته مهمتر اينكه اين سياست بايد تعيين كند چه كسي در سازمان تصميم گيرنده خواهد بود و چه كسي تماس­ها را برقرار خواهد كرد.
اعضاي گروه بايد از برقراري تماس مستقيم با يك مهاجم در غياب سياست مدون خودداري نمايند. اگر چنين تماسي برقرار شود، اعضاي گروه بايد ركوردهاي جزئيات تمامي تماس­ها را نگاه دارند. زماني كه پرسنل مجري قانون (و نه پرسنل سازماني) به يك رخداد پاسخ داده باشند، همان افراد نيز معمولا تمامي تماس­ها را مديريت خواهند كرد. به همين دليل سازمان­ها بايد رابطه خوبي با آژانس­هاي مجري قانون برقرار نمايند.
 
گام 5: آخرين نسخه پشتيبان را كه مشكلي ندارد پيدا كنيد
در مرحله بعدي شما سيستم را بازيابي كرده و به كار معمول خود باز خواهيد گرداند. به هر حال قبل از هر كاري بايد يك نسخه پشتيبان را كه به روز بوده و آلوده نباشد پيدا كنيد.
 
فعاليت 5-1: به دنبال يك نسخه پشتيبان به روز (آخرين نسخه پيش از وقوع رخداد) بگرديد
دانستن اينكه يك حمله دقيقا چه زماني اتفاق افتاده است كار سختي است، و اين مساله انتخاب نسخه هاي پشتيبان را مشكل مي­كند. در طول حمله نسخه دوم كرم Code Red، نسخه c يك در پشتي بر روي ويندوز NT يا 2000 كه IIS اجرا مي­كردند، نصب مي­كرد. اغلب افرادي كه با Code Red آلوده شده بودند قادر نبودند تعيين كنند كه سيستم آنها چه زماني براي نخستين بار آلوده شده است. با اينكه ابزارهايي براي رفع آلودگي وجود داشت، اما راهي براي فهميدن اين مطلب كه چه بر سر سيستم قرباني آمده است، وجود نداشت. قربانيان مجبور بودند بين بازسازي كل سيستم از ابتدا يا بازيابي فايل­ها از يك نسخه پشتيبان كه پيش از كشف اولين نمونه از نسخه دوم Code Red (در ژوئن 2001) ايجاد شده بود، يكي را انتخاب كنند.
 
·         حمله rootkit
يك حمله rootkit كدهاي خرابكار زيادي را در مكان­هاي پنهان مختلفي در يك سيستم كامپيوتري قرار مي­دهد، به صورتي كه پاكسازي سيستم تقريبا هرگز يك گزينه مفيد نخواهد بود. اگر شواهدي از يك حمله rootkit مشاهده مي­شود، شايد بهتر باشد از استفاده از نسخه هاي پشتيبان اجتناب كرده، سيستم عامل را از ابتدا بازسازي نموده، آن را به صورتي امن پيكربندي كرده، آخرين اصلاحيه ها را نصب نموده و در نهايت داده ها را بارگذاري كنيد.
 
مطالب مرتبط:
 
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0