فا

‫ مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم

IRCAR201104096
در قسمت­هاي قبلي مجموعه مقالات مديريت رخداد در شش مرحله، به گام­هاي يك تا هفت مرحله آمادگي كه نخستين مرحله از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به گام­هاي بعدي اين مرحله خواهيم پرداخت.
 
گام 8: توجه ويژه اي به ارتباط با مديران سيستم­ها داشته باشيد
مديران سيستم­ها افرادي هستند كه اغلب، در مورد امنيت كاربردي براي گروهي از سيستم­ها مسئول هستند. نبض سيستم­هاي كامپيوتري در دستان اين افراد است. بارها مديران سيستم آگاه بسياري از رخدادها را با اخطار دادن در مورد اتفاقي كه به نظر عجيب مي آيد و با بازبيني فايل­هاي لاگ سيستم كشف كرده اند. از طرف ديگر، مديران سيستم­ها پتانسيل ايجاد ضربه هاي سنگين در يك رخداد را دارا هستند. اين افراد با حساب­هاي كاربري با اولويت بالا مي­توانند به افراد نفوذگر هشدار دهند كه فعاليت آنها كشف شده است، شواهد را از بين ببرند يا حتي فايل­هاي سيستم را در اثر اشتباه پاك كنند.
 
فعاليت 8-1: مديران سيستم­ها را درگير كنيد
مديران سيستم­هاي بخش­هاي مختلف را براي مشاوره در مورد پروسه مديريت رخداد دعوت كنيد. اين مجموعه، پرسپكتيو مورد نياز براي حل مشكلات را به روش موثرتري فراهم مي­كند.
 
فعاليت 8-2: آموزش پيش­گيرانه را هدايت كنيد
كارگاه هايي را براي مديران سيستم­ها در مورد بسته هاي نرم افزاري موجود براي تشخيص حملات و نظارت موثر بر سيستم­ها فراهم كنيد. موثرترين اساتيد معمولا كساني هستند كه مي­توانند تجارب دست اول در مديريت رخدادها و در استفاده از ابزارها را شرح دهند. براي دريافت گواهي نامه امنيتي GIAC براي مديران سيستم­ها و شبكه خود برنامه ريزي نماييد.
 
فعاليت 8-3: توانايي افراد در خواندن فايل­هاي لاگ را شناسايي كنيد
نشانه هاي بسياري از رخدادهاي هرگز كشف نشده در داخل فايل­هاي لاگ قرار دارند. جمع آوري لاگ­هاي سيستم به تنهايي كافي نيست، بلكه مهم اين است كه اين لاگ­ها را بخوانيد. ابزارهايي براي تحليل آسانتر فايل­هاي لاگ و خودكار كردن اين پروسه به كار بگيريد. اطمينان حاصل كنيد كه سياست شما براي نگهداري از لاگ­ها در موارد تحقيقات عميقي كه در آن، لاگ­هايي از هفته ها و ماه­ها قبل مورد نياز است مناسب است. آن دسته از مديران سيستم­ها كه رخدادها را تشخيص مي­دهند بايد شناسايي شده و مورد تقدير قرار گيرند.
 
فعاليت 8-4: پشتيبان گيري منظم از سيستم را ترويج كنيد
نسخه هاي پشتيبان ناكافي علت بسياري از فاجعه ها در بازيابي سيستم­ها پس از رخدادهاي امنيتي هستند. پشتيبان­هاي به روز و پاك يا خارج از محل بسيار مهم هستند. مديران سيستم­ها را تشويق كنيد تا نسخه هاي پشتيبان خود را به روز نگه دارند و اطمينان حاصل كنند كه tape drive هاي آنها به درستي كار مي­كنند. از سيستم­هاي حياتي حداقل بايد روزي يك بار نسخه پشتيبان تهيه شود. اطمينان حاصل كنيد كه پشتيبان­هاي خارج از محل به موقع قابل بازيابي هستند. هر عضو از گروه مديريت رخداد بايد با نرم افزار پشتيبان گيري تجاري سازمان و نيز ابزارهاي رايگاني مانند dd براي سيستم­هاي يونيكس و ntbackup براي سيستم­هاي ويندوز آشنا باشد.
 
فعاليت 8-5: اطمينان حاصل كنيد كه عمليات رسيدگي (auditing) و لاگ گيري به خوبي انجام مي­شود
اطمينان حاصل كنيد كه رسيدگي و لاگ گيري پيش از وقوع يك رخداد به خوبي انجام مي­شود. بعلاوه، اطمينان حاصل كنيد كه ساعت­هاي سيستم­ها از يك منبع زماني قابل اعتماد همزمان شده اند. اين نكته اين اطمينان را ايجاد مي­كند كه فايل­هاي لاگ، زمان دقيق وقوع يك رخداد را نشان مي­دهند. در هر زمان ممكن لاگ­ها را به سرورهاي رزرو ارسال نماييد.
 
فعاليت 8-6: اطمينان حاصل كنيد كه سيستم­ها داراي نرم افزار آنتي ويروس به روز هستند
نرم افزار آنتي ويروس مي­تواند براي محافظت يك سيستم در برابر ويروس­ها، تروجان­ها، كرم­ها و ساير كدهاي خرابكار مورد استفاده قرار گيرد. نرم افزار آنتي ويروس تنها زماني موثر است كه توصيفات ويروس­ها در آن به طور مرتب به روز گردد. اغلب سايت­ها هر روز به روز مي­شوند. بهتر است هر از گاهي آنتي ويروس خود را چك كنيد تا اطمينان حاصل كنيد كه درست كار مي­كند. چرا كه كدهاي خرابكار جديد سعي مي­كنند آنتي ويروس و فايروال شخصي را از كار بيندازند.
 
فعاليت 8-7: با پيكربندي­هاي سرور و سيستم عامل­ها آشنا باشيد
شما بايد با پروسه هاي متعارف سيستم عامل مانند lsass.exe بر روي ويندوز NT/2000 و syslog بر روي يونيكس آشنا باشيد. براي سيستم­هاي متصل به اينترنت، پروسه هايي را كه بايد بر روي سيستم­ها اجرا گردند مستند نماييد. اگر قادر باشيد پروسه هاي سيستمي عادي را تشخيص دهيد، قادر خواهيد بود به سرعت برنامه هاي غيرعادي را نيز شناسايي نماييد. اين برنامه ها مي­توانند تروجان يا درهاي پشتي باشند كه توسط مهاجمان بر روي سيستم شما قرار مي­گيرند. الگوريتم­هاي درهم سازي رمزنگاري مانند MD5 يا SHA-1 را اجرا كنيد يا نرم افزارهايي مانند Tripwire را نصب نماييد تا تماميت فايل­هاي سيستمي حياتي را كنترل كنيد.
 
فعاليت 8-8: تست نفوذ انجام دهيد
يكي از بهترين راه­ها براي جلوگيري از رخدادها اين است كه اطمينان حاصل كنيد كه سيستم­هاي شما آسيب پذير نيستند. تست­هاي نفوذ را مرتب انجام دهيد تا مطمئن شويد كه سيستم­هاي شما به طور امن پيكربندي شده اند و اصلاحيه هاي آنها اعمال شده است. يك روش اين است كه اين تست را در سه مرحله انجام دهيد: 1- شناسايي مودم­هاي بدون مجوز يا با مجوزي كه ضعيف پيكربندي شده اند. 2- تست خارجي براي اينكه يك فرد خارجي مي­تواند چه چيزهايي در مورد سيستم شما كشف كرده و مورد سوء استفاده قرار دهد. 3- تست داخلي براي اينكه يك فرد داخلي مي­تواند چه چيزهايي در مورد سيستم شما كشف كرده و مورد سوء استفاده قرار دهد. اگر منابع لازم براي انجام يك تست نفوذ خوب را در اختيار نداريد، حداقل يك اسكن كننده آسيب پذيري مانند nessus را اجرا كنيد.
 
 
گام 9: ارتباطاتي را با آژانس­هاي حقوقي و ساير گروه­هاي پاسخگويي به رخدادهاي كامپيوتري ايجاد كنيد
اگر ارتباطات خود را از قبل سازماندهي نماييد، زماني كه در وضعيت بحراني به كمك احتياج داريد اين كار راحتتر انجام مي­گيرد. ممكن است آژانس­هاي حقوقي متعددي مسئوليت­هايي براي مديريت رخدادهاي كامپيوتري داشته باشند كه با يكديگر همپوشاني داشته باشند. مساله اين است كه چگونه افرادي را پيدا كرده و با آنها تماس بگيريم كه در مورد رخدادهاي كامپيوتري اطلاعات لازم را دارا هستند.
 
فعاليت 9-1: با قوانين كاربردي آشنا باشيد
خود را با قوانين محلي مرتبط با جرايم كامپيوتري شامل قوانين مديريت شواهد و تعقيب قانوني آشنا كنيد. اگر قصد شما اين است كه مجرم را مورد تعقيب قانوني قرار دهيد، بايد مفاهيم قانوني را درك نماييد.
 
فعاليت 9-2: انواع شرايطي را كه نهادهاي اجرايي قانون درگير خواهند شد شناسايي كنيد
نهادهاي اجرايي قانون پيش از هرچيز بر توقيف كردن و تعقيب كردن مجرمان تمركز دارند. آژانس­هاي حقوقي در اين موارد كار مي­كنند: خلافكاري، سرقت، جاسوسي، هرزنگاري كودكان و تهديدات كامپيوتري. از طرف ديگر در شرايطي ممكن است كه اين آژانس­ها قادر نباشند در پاسخگويي كمك نمايند. در صورتي كه شواهد حفظ نشوند يا اينكه مورد پيش آمده چندان ارزشمند به نظر نيايد، ممكن است آنها صرفا يك تحقيق سرسري انجام دهند.
 
فعاليت 9-3: پيش از وقوع يك رخداد با نهادهاي محلي اجرايي قانون تماس بگيريد
اكنون زمان آن است كه ماموران جرايم كامپيوتري محلي خود را شناسايي كنيد. آنها اغلب مايلند آموزش­هايي در مورد جرايم كامپيوتري به سازمان شما ارائه دهند و مديريت شما را ملاقات نمايند. آنها همچنين مي­توانند به شما براي تعيين ملزومات محلي و ملي براي مديريت شواهد كمك كنند. تمامي اطلاعات تماس مربوط به اين نهادها و اعضاي آن شامل شماره هاي تلفن، آدرس­هاي ايميل و ساير موارد مشابه را جمع آوري كنيد. اين اطلاعات تماس را در راهبردهاي مديريت رخداد سازمان خود يادداشت نماييد. ارتباطات از هر نوعي كه باشند، يك سرمايه به حساب مي آيند. در يك رخداد اين افراد مي­توانند خود را به عنوان بهترين دوست سازمان شما به اثبات برسانند. برخي سايت­ها قويا پيشنهاد مي­دهند كه يك فرد خاص به عنوان رابط حقوقي گروه انتخاب شود.
 
فعاليت 9-4: با يك گروه CIRT يا FIRST متصل شده يا چنين گروهي ايجاد كنيد
اگر يك گروه پاسخگويي به رخدادهاي كامپيوتري يا نهاد هماهنگ كننده براي سازمان­هايي مانند شما وجود دارد، اعضاي آن را شناسايي كرده و مكانيزم­هايي براي كمك گرفتن از آنها در هنگام نياز ايجاد كنيد.
 
در قسمت بعدي به مرحله دوم مديريت رخداد يعني مرحله شناسايي خواهيم پرداخت.
 
مطالب مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0