فا

‫ مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم

IRCAR201104093
در قسمت­هاي قبلي مجموعه مقالات مديريت رخداد در شش مرحله، به گام­هاي يك تا چهار مرحله آمادگي كه نخستين مرحله از مراحل مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به گام­هاي بعدي اين مرحله خواهيم پرداخت.
 
گام 5: امكانات گزارش دهي ساده فراهم كنيد
زماني كه كاربران نمي­دانند در صورت مشاهده يك رخداد امنيتي با چه كسي تماس گرفته يا چه بگويند، گزارش اطلاعات در مورد رخدادهاي احتمالي را به تاخير مي اندازند. گزارش رخدادهاي امنيتي كامپيوتري بايد به اندازه گزارش يك واقعه آتش سوزي ساده باشد.
 
فعاليت 5-1: به كاربران آموزش دهيد
زماني كه كارمند جديدي وارد سازمان مي­شود، فرصت ايده آلي براي آگاهي دادن و راهنمايي وي در مورد روال­هاي مديريت رخداد و پروسه گزارش دهي در سازمان است. البته حافظه افراد در طول زمان كمرنگ مي­شود و به همين دليل شما نبايد روي معارفه اوليه كارمندان حساب چنداني باز كنيد. اطلاع رساني در مورد پاسخگويي رخداد در سازمان شما بايد بخشي از آگاهي­ها و هشدارهاي امنيتي سالانه شما باشد.
 
فعاليت 5-2: فهرستي از نشانه هاي يك رخداد را منتشر كنيد
فهرستي از نشانه ها مي­تواند به گروه شما و سايرين كمك كند كه يك رخداد را شناسايي نمايند. مثال­هايي از نشانه ها عبارتند از: فعاليت در حساب­هاي كاربري كه پيش از اين بلا استفاده بوده اند، دسترسي­هاي غير معمول خارج از محل، اسكريپت­هاي ريشه تخصيص id جديد، انتقال كلمات عبور در لاگ­هاي ftp و وب، از كار افتادن سيستم، پر شدن غير عادي فايل سيستم­ها، نام­هاي فايل جديد يا نا آشنا و موارد غير عادي مشابه. با مديران سيستم­هاي سازمان خود براي تهيه فهرستي از نشانه هايي كه متناسب با سيستم عامل­هاي مورد استفاده در سازمان شما هستند همكاري نماييد.
 
فعاليت 5-3: از وب استفاده كنيد
يك صفحه وب رخداد اينترانتي ايجاد كرده و به كاربران كمك كنيد كه گروه مديريت رخداد كامپيوتري شما را پيدا كنند. هر دپارتماني بايد يك كپي از اين اطلاعات را در صورتي كه شبكه يا وب سرور از كار افتاده باشد در اختيار داشته باشد. شما همچنين مي­توانيد از صفحه وب براي آگاه نگاه داشتن سازمان خود از تغييرات استفاده نماييد.
 
فعاليت 5-4: گزارش دهي از طريق ايميل يا تلفن را تبليغ كنيد
يك ايميل ساده مانند incident@(yourorganization).org ايجاد كنيد تا كاربران از طريق آن اقدام به گزارش كردن رخدادها نمايند. همچنين تخصيص خطوط تلفني براي گزارش كردن رخدادهاي امنيتي به صورت ناشناس و رايگان بسيار كمك كننده است.
 
فعاليت 5-5: به گزارش دهندگان پاداش بدهيد
يك سازمان كارمنداني را كه رخدادها يا وقايع مشكوك را شناسايي كرده اند با يك جايزه مورد تقدير قرار مي­دهد. سازمان ديگري تصوير كارمندان هوشيار را با توضيح كوتاهي در مورد نحوه شناسايي رخداد توسط آنها و كمكي كه به سازمان كرده اند منتشر مي­كند. به هر حال كارمنداني كه رخدادها را گزارش مي­كنند بايد مورد قدرداني قرار گيرند.
 
فعاليت 5-6: اطلاعات مديريت را به صورت مداوم به روز نماييد
مديريت را در مورد تهديدات، هزينه رخدادها، ملزومات امنيتي و اطلاعات مشابه ديگر مطلع و آگاه نگاه داريد.
 
فعاليت 5-7: پارامترها و ملزومات رخداد را مشخص كنيد
ملزوماتي را كه پيش از اعلام وقوع رخداد به مديريت ارشد يا آژانس­هاي قانوني خارج از سازمان مورد نياز است مشخص كنيد. اطمينان حاصل كنيد كه هر تماسي از اين نوع مورد قبول مديريت و اداره روابط عمومي قرار خواهد گرفت.
 
فعاليت 5-8: فرم­هاي گزارش دهي براي رخدادها را ايجاد و نگهداري نماييد
فرم­هايي براي ثبت اطلاعات رخدادها آماده كنيد. استفاده از فرم­هاي از پيش آماده شده اين اطمينان را ايجاد مي­كند كه رخدادها به طور كامل و با اطلاعات دقيق ثبت شده اند.
 
گام 6: به اعضاي گروه آموزش دهيد
كارمندان ناآگاه و آموزش نديده مي­توانند در هنگام وقوع يك رخداد، دردسرهاي بزرگي ايجاد كنند. پاسخگويي به يك رخداد مي­تواند فشار زيادي بر روي گروه پاسخگويي وارد آورد. يك گروه آموزش ديده مي­تواند كمك كند كه جريانات بسيار آرامتر پيش بروند.
 
فعاليت 6-1: نشستي براي برنامه ريزي و آموزش سناريوها تنظيم كنيد
نشستي براي گروه مديريت رخداد فراهم كنيد تا در مورد چگونگي مديريت سناريوهاي اساسي بحث كنند. مثال­ها مي­تواند شامل يك اپيدمي ويروسي، تلاش­هاي ناموفق براي نفوذ به كامپيوتر، نفوذهاي موفق به كامپيوترها يا كشف حجم قابل توجهي از تصاوير غير اخلاقي كودكان بر روي يك كامپيوتر شركت باشد. در مورد نحوه مديريت اين رخدادها تصميم گيري كنيد. مشخص كنيد كه آيا منابع خارج از سازمان بايد درگير موضوع گردند يا خير. سناريوهاي ساختگي را با درس­هايي كه از آنها مي­توان گرفت پي­گيري نماييد. سناريوهاي مثالي و پاسخ آنها را در برنامه رسمي پاسخگويي رخداد سازمان خود درج كنيد.
 
فعاليت 6-2: ابزارها و تكنيك­هاي آموزش را فراهم كنيد
آموزش­هايي براي اعضاي گروه پاسخگويي به رخداد در مورد استفاده از ابزارها و تكنيك­ها براي تهيه پشتيبان، جمع آوري شواهد و تحليل فراهم كنيد. يك CD يا فلاپي با ابزارهاي جرم شناسي ايجاد نماييد. در صورتي كه قصد داريد از نتايج اين ابزارها به عنوان شاهد قانوني استفاده كنيد، بهتر است گروه حقوقي نيز اين ابزارها را بازبيني نمايند. اطمينان حاصل كنيد كه اعضاي گروه به خوبي توجيه شده اند كه هرگز برنامه ها را مستقيما بر روي يك ميزبان كه مورد سوء استفاده قرار گرفته است اجرا نكنند. اطمينان حاصل كنيد كه ابزارهاي انتخابي شما براي تحليل جرم شناسي مورد قبول هستند و شواهد موجود بر روي سيستم هدف را تغيير نمي­دهند.
 
فعاليت 6-3: درايوهاي پرظرفيت تهيه كنيد
از آنجاييكه تهيه و نگهداري نسخه هاي پشتيبان يكي از مهمترين وظايف شماست، خود را با ديسك­هاي پر ظرفيت، دفترچه راهنماي نحوه استفاده از آنها، و انواع كابل­ها و ترميناتورها مجهز كنيد. استفاده از اين ابزارها را پيش از اينكه در شرايط بحران به آنها نياز پيدا كنيد تمرين نماييد.
 
فعاليت 6-4: بازي­هاي جنگي ايجاد كنيد
نشست­هايي براي شبيه سازي يك رخداد براي مديران سيستم و اعضاي گروه مديريت رخداد اجرا كنيد كه در آنها، برخي از اعضا به عنوان مهاجم و سايرين به عنوان مدافعان اعمال نقش نمايند. اين بازي­هاي جنگي را صرفا به پرسنل ارشد محدود نكنيد. برنامه پاسخگويي رخداد خود را طوري به روز نماييد كه شامل تمامي مسائل مطرح شده در آموزش­ها و تمرينات باشد.
 
گام 7: راهكارهايي را براي همكاري­هاي درون سازماني ايجاد نماييد
زماني كه يك رخداد اتفاق مي افتد، معمولا كمبودي به لحاظ تعداد افرادي كه تمايل به كمك كردن دارند مشاهده نمي­شود. اما اگر نقش­هاي سازماني و تعامل ميان آنها به خوبي تعريف نشده باشند، برخي از اين افراد مي­توانند باعث وخيم­تر شدن اوضاع گردند.
 
فعاليت 7-1: مديريت محلي در مورد رخدادهاي كوچك را تقويت كنيد
كاربران و مديران سيستم­هاي محلي بايد قادر باشند رخدادهاي كوچك مانند آلودگي­هاي ويروسي را مديريت نمايند. سياست رخداد سازمان بايد تعيين كند كه كاربران و مديران سيستم­ها كدام رخدادها را به تنهايي مي­توانند مديريت نمايند و كدام رخدادها را بايد گزارش كنند.
 
فعاليت 7-2: همكاري نزديكي با help desk ها داشته باشيد
نخستين نشانه وقوع يك مشكل مي­تواند كاربري باشد كه به يك help desk (واحد پشتيباني) گزارش مي­دهد. help desk ها مي­توانند اولين خط دفاعي براي رخدادهاي كوچكي مانند آلودگي­هاي ويروسي كه چند سيستم را درگير كرده است باشند. بسياري از help desk ها ساعت سرويس دهي طولاني داشته و برخي حتي شبانه روزي هستند. Help desk را به بخشي از گروه مديريت رخداد تبديل كنيد و به عنوان نقطه تماس براي گزارش رخدادها از آن استفاده نماييد.
Help desk ها همچنين يك هدف اوليه براي حملات مهندسي اجتماعي هستند. يك حمله بسيار ساده مهندسي اجتماعي تلفني است كه مي­گويد: «من براي تحويل يك گزارش مهم به مدير عجله دارم و متاسفانه كلمه عبور خود را فراموش كرده ام. ممكن است يك كلمه عبور جديد به من بدهيد؟» اگر كارمندان help desk بخشي از پروسه مديريت رخداد شما باشند، از انواع حملاتي كه بر عليه سازمان شما انجام مي­شود آگاه هستند و احتمال آسيب پذيري آنها در برابر حملات مهندسي اجتماعي كمتر خواهد بود. بعلاوه در بسياري از سازمان­ها كارمندان help desk بر مديريت شبكه و كنسول­هاي نفوذ نظارت مي­كنند و در نتيجه در مورد مشاهده، گزارش دادن و احتمالا پاسخگويي به رخدادها آموزش­هاي اوليه ديده اند. در نهايت اگر كاربر يكي از سيستم­ها مشكلي را مشاهده كند و تشخيص ندهد كه مربوط به يك سوء استفاده امنيتي است يا خير، احتمالا مشكل را به help desk گزارش خواهد داد.
 
در قسمت بعدي، آخرين گام­هاي مرحله آمادگي را بيان خواهيم كرد.
 
مطالب مرتبط:
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0