‫ مديريت رخداد در شش مرحله- مرحله شناسايي

IRCAR201105097
در قسمت­هاي قبلي مجموعه مقالات «مديريت رخداد در شش مرحله»، به مرحله آمادگي كه نخستين مرحله از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله دوم يعني مرحله شناسايي خواهيم پرداخت.
 
شناسايي يعني تصميم گيري در مورد اينكه آيا واقعا يك رخداد امنيتي اتفاق افتاده است يا خير، و اينكه اگر رخدادي اتفاق افتاده است، طبيعت آن رخداد چيست. به طور طبيعي مرحله شناسايي پس از اينكه يك نفر متوجه يك وقوع امر غير عادي در يك سيستم يا يك شبكه مي­شود آغاز مي­گردد. اين مرحله همچينن شامل اطلاع رساني و درخواست كمك از افرادي كه مي­توانند مساله را درك كرده و آن را حل نمايند نيز مي­گردد. تشخيص اين مساله كه هر امر غير عادي در شبكه يا سيستم يك رخداد امنيتي محسوب نمي­شود مهم است. در اغلب موارد مردم سريعا نتيجه گيري مي­كنند كه پشت هر مشكلي يك دشمن قرار گرفته است.
 
گام 1: فردي را به عنوان مسئول رخداد انتخاب كنيد
بدون انتخاب يك نقطه مركزي كنترل، بسياري از افراد كارهاي متداخل انجام مي­دهند. فعاليت­هاي هدايت نشده مي­تواند باعث تشخيص اشتباه طبيعت يك رخداد، از دست دادن شواهد و مدارك قانوني و ايجاد وضعيتي بدتر از رخداد اصلي گردد.
 
فعاليت 1-1: فردي را براي مديريت يا هماهنگي انتخاب كنيد
روش انتخاب فردي به عنوان مدير رخداد بايد از پيش تعيين شده باشد. اين فرد بايد دانش عمومي گسترده اي از شركت شما داشته باشد و تجاربي نيز در زمينه مديريت رخدادها و تصميم گيري در مشكلات داشته باشد. اگر گروه «تصميم دستور» (Command Decision Team) و گروه «مديريت رخداد در محل» (On Site Team) در مكان­هاي مختلفي قرار دارند، لازم است كه اين دو گروه با استفاده ابزارهاي امن با يكديگر در ارتباط باشند. از آنجاييكه اغلب رخدادها در خارج از ساعات كاري مانند آخر هفته ها يا تعطيلات اتفاق مي افتد، گروهي از مديران بالقوه بايد شناسايي شده و با سياست­ها و روال­هاي امنيتي آشنا گردند. اين افراد همچنين بايد بدانند كه ليست­هاي تماس ايجاد شده در مرحله آمادگي را كجا مي­توانند پيدا كنند.
 
فعاليت 1-2: شروع به ايجاد يك لاگ از رخداد نماييد
از ابتداي كشف يك رخداد مشكوك، مدير آن رخداد بايد شروع به يادداشت برداري از هر گام نمايد، به طوري كه كاملا مشخص باشد كه چه كسي چه كاري را در چه زماني، چگونه و چرا انجام داده است. اين يادداشت­ها بايد داراي ترتيب زماني بوده و مشخص باشد كه هر اتفاقي دقيقا چه زماني رخ داده است. اين لاگ بايد حتي الامكان واقعي بوده و از حدس و گمان فردي خالي باشد. از نوشتن جملاتي مانند «هكرها لاگ­هاي سيستم را پاك كرده اند» خودداري كرده و به جاي آن جملاتي مانند «لاگ­هاي سيستم براي مدت شش ساعت هيچ چيزي را ثبت نكرده اند» استفاده كنيد. استفاده بدون احتياط از جملات و به كار گرفتن حدس و گمان­هاي شخصي مي­تواند ارزيابي رخداد را مختل نمايد و حتي از نظر حقوقي مشكل ايجاد كند.
 
گام 2: مشخص كنيد كه يك واقعه در حقيقت يك رخداد امنيتي است يا خير
شواهدي كه يك رخداد امنيتي بالقوه را نشان مي­دهند اغلب مي­توانند نشان دهنده مسائل ديگري نيز باشند. صرفنظر از تشخيصي كه در مورد يك واقعه داده شده باشد، معمولا مي­توان داده هاي موجود را با تشخيص داده شده تطبيق داد.
 
فعاليت 2-1: اشتباهات ساده را چك كنيد
مثال­هايي از اشتباهات كوچك شامل خطاهايي در پيكربندي سيستم يا يك برنامه، خطاهاي سخت افزاري و خطاهاي كاربر يا مدير سيستم مي­باشد. يك متخصص حرفه اي در زمينه مديريت رخداد كه شرايط مختلفي را مشاهده و تجربه كرده باشد، اغلب مي­تواند با چند سوال كوتاه از كارمندان مديريت سيستم محلي در مورد وقوع يا عدم وقوع يك رخداد امنيتي تصميم گيري نمايد. صرف زمان براي ارزيابي پيكربندي­ها براي اشتباهات ساده، يك هدف ديگر را نيز دنبال مي­كند: ممكن است مشكلات يا آسيب پذيري­هاي مرتبط ديگر از طريق اين پروسه ابتدايي تست كردن كشف گردند. زماني كه احتمال وقوع اشتباهات ساده منتفي شده باشد، شناسايي كل رخداد ساده تر خواهد بود.
 
فعاليت 2-2: شواهد را با جزئيات تعيين كنيد
از فهرست نشانه هايي كه در طول مرحله آمادگي ايجاد كرده ايد استفاده كنيد و به سرعت نوع احتمالي رخداد را مشخص نماييد.
 
گام 3: يك مجموعه قابل اثبات از مدارك ايجاد و نگهداري نماييد
ممكن است رويدادهايي كه مشاهده مي­كنيد و شواهد و مداركي كه جمع آوري مي­كنيد بسيار عالي باشند، اما شما بايد بتوانيد شش ماه بعد از وقوع رخداد و درون دادگاه ثابت كنيد كه اينها دقيقا حوادثي هستند كه رخ داده اند و شواهد و مداركي هستند كه شما در طول رخداد جمع آوري كرده ايد. نگهداري يك مجموعه مشخص از شواهد و مدارك در مواردي كه به پيگيري­هاي قانوني ختم مي­شود، بسيار حائز اهميت است. اگر كسي بتواند ثابت كند كه افرادي امكان تغيير اين شواهد و مدارك پس از وقوع رخداد را داشته اند، از ارزش قانوني شواهد مذكور كاسته خواهد شد.
 
فعاليت 3-1: هر جزئي از شواهد را شناسايي كنيد
به جز در شرايط و رخدادهاي بسيار حاد كه براي جلوگيري از صدمات بيشتر مجبور هستيد بلافاصله سيستم را خاموش كنيد، در شرايط ديگر قبل از هر كاري اقدام به شناسايي شواهد و مدارك نماييد. لاگ­هاي شما بايد روز و ساعت را مشخص كرده و موقعيت و شماره سريال يا هرگونه اطلاعات شناسايي ديگر را شرح دهد. ممكن است آژانس­هاي اجراي قانون بخواهند كه درايوهاي مشكوك به عنوان مدرك جرم مهر و موم گردند. اطمينان حاصل كنيد كه هر نوع اطلاعات شناسايي، مدل يا شماره سريال را ثبت مي­كنيد. بعلاوه برنامه ها بايد طوري باشند كه هم سخت افزار و هم داده هاي پشتيبان بازيابي گردند. حتي tape هاي قديمي­تر پشتيبان كه قبل از وقوع رخداد ثبت شده اند نيز ممكن است حاوي شواهد ارزشمندي باشند. هر زمان كه كپي­هايي از داده هاي الكترونيكي ايجاد مي­شود، داده هاي اصلي (نه داده هاي كپي) بايد به عنوان مدرك مهر و موم گردند.
يادداشت­ها و مدارك چاپي را شماره و تاريخ زده و امضا نماييد. ديسك­ها را با لاگ­هاي اصلي، بدون تغيير و كامل در يك پاكت يا جاي ديگري نگهداري كنيد، سپس آن پاكت را شماره و تاريخ زده و امضا نماييد. زماني كه مدارك را به شخصي مرتبط در سازمان خود تحويل مي­دهيد، به ازاي هر گزينه تحويل داده شده رسيد دريافت كنيد. اگر مدارك به مجريان قانون تحويل داده مي­شود، اطمينان حاصل كنيد كه تمامي اين مدارك با جزئيات مشخص شده و امضا شده اند. يادداشت­هاي دستنويس معمولي بايد كپي گرفته شده و يادداشت­هاي اصلي بايد به عنوان بخشي از زنجيره شواهد نگهداري گردند. داده هاي الكترونيكي بايد در اولين فرصت ممكن جمع آوري شوند و پروسه كپي گرفتن از مدارك نيز بايد داراي شاهد باشد.
 
فعاليت 3-2: دسترسي به شواهد را كنترل كنيد
بايد بتوانيد ثابت كنيد كه چه كسي به محل نگهداري مدارك دسترسي دارد و تعداد اين افراد بايد بسيار كم باشد. اگر قفلي وجود دارد، هيچ كليدي نبايد قابل كپي سازي باشد. با سياست و تمرين اطمينان حاصل كنيد كه هر فردي كه به اين كليدها دسترسي دارد كاملا لزوم كنترل دسترسي به اين مدارك را درك مي­كند. ممكن است در دادگاه نياز به شهادت هر يك از افرادي كه دسترسي به مدارك دارند وجود داشته باشد.
 
گام 4: با افرادي كه سرويس­هاي شبكه شما ارائه مي­دهند هماهنگ كنيد
بسياري از كارها ممكن است نياز به كمك ISP شما داشته باشند. ممكن است نياز باشد فيلترهايي به كار گرفته شود يا اينكه جداول مسيريابي پيش از رسيدن ترافيك شبكه به سايت شما تغيير كنند. بعلاوه ممكن است شواهد قانوني در لاگ­هاي ISP وجود داشته باشد كه بايد نگهداري گردند.
 
فعاليت 4-1: با ISP خود هماهنگي نزديكي داشته باشيد
به ISP خود در مورد اين مساله توضيح دهيد و از وي بخواهيد كه در تحقيقات كمك نمايد. در صورت امكان، در اختيار داشتن نام­ها و شماره هاي تماس پرسنل ارشد در ISP پيش از وقوع رخداد مي­تواند مفيد باشد. ممكن است در هنگام نياز زمان زيادي براي پيدا كردن اين افراد از دست بدهيد. شما نياز داريد به افرادي كه ظرفيت و تجربه براي ارزيابي لاگ­ها دارند و مي­توانند در تجهيزات شبكه تغييراتي ايجاد كنند دسترسي داشته باشيد.
اغلب ISP ها براي جلوگيري از شكايات كاربران، پيش از در اختيار گذاشتن اطلاعات مربوط به شما درخواست دستور قضايي مي­كنند. متاسفانه بسياري از شواهد پيش از آماده شدن دستور قضايي ممكن است از بين بروند. شما مي­توانيد براي محافظت از داده ها از ISP خود بخواهيد كپي­هايي از لاگ­ها نگهداري كند تا دستور قضايي را دريافت نماييد.
 
گام 5: به مقامات رسمي مناسب اطلاع دهيد
رخدادهاي كامپيوتري معمولا اگر به سرعت اطلاع داده شوند، بسيار ساده تر مديريت مي­گردند. اگر شما مشاهده كنيد كه يكي از همكارانتان در كافه تريا به روي زمين افتاده است، قطعا تا روز بعد براي اطلاع به اورژانس پزشكي صبر نمي­كنيد.
 
فعاليت 5-1: گروه مديريت رخداد سازماني يا محلي خود را آگاه كنيد.
به محض اينكه به وقوع يك رخداد مشكوك شديد، مدير و مسئول امنيت سازمان خود را در جريان قرار دهيد. شروع كار بر روي يك رخداد بدون اطلاع دادن به گروه مديريت، اشتباه بزرگي است. اين مسئوليت گروه مديريت است كه اطمينان حاصل نمايند كه تذكرات لازم داده شده و منابع لازم در دسترس گروه قرار گرفته است. يك مدير نيز بايد با مدير رخداد همكاري نزديكي داشته باشد تا زنجيره مديريتي ابلاغ و به كارگيري دستورات برقرار گردد.
 
مطالب مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0