مدیریت رخداد در شش مرحله- مقدمه

مدیریت رخداد بسیار شبیه به اورژانس پزشکی است. در این وضعیت، فرد کمک رسان تحت فشار قرار داشته و اشتباهات وی می توانند بسیار گران تمام شوند. در اختیار داشتن یک روال ساده و از پیش تعریف شده، در این موارد بهترین راهکار است. به همین دلیل بزرگترین و با تجربه ترین متخصصین مدیریت رخدادهای امنیتی نیز از روال های از پیش تعریف شده و سیستماتیک برای پاسخگویی به رخدادهای مرتبط با امنیت استفاده می کنند. این افراد، شش مرحله ثابت و مشخص را همواره در ذهن خود دارند، از فرم های از پیش طراحی شده استفاده می کنند و در صورت نیاز، از دیگران کمک می گیرند. این شش مرحله به طور مختصر به شرح زیرند:

 

1. آمادگی: داشتن سیاست ها، روال ها و توافق هایی که باعث می شوند در زمان وقوع یک رخداد امنیتی، شما بر اساس یک سیاست مدون رفتار کرده و از تصمیمات شتابزده خودداری نمایید.

2. شناسایی: تشخیص این موضوع که اولا آیا یک رخداد امنیتی رخ داده است یا خیر و ثانیا در صورت وقوع، طبیعت این رخداد چیست.

3. کنترل و محدود سازی: محدود کردن دامنه رخداد و جلوگیری از بدتر شدن آن است.

4. پاکسازی: حذف یا کاهش عواملی که باعث وقوع این رخداد امنیتی شده اند.

5. بازیابی: بازگرداندن سیستم به وضعیت عادی و کاربردی.

6. پیگیری: یادگیری از این تجربه و استفاده از آن در هنگام وقوع رخدادهای آتی.

 

هریک از این مراحل، از چندین گام تشکیل شده اند که در قسمت های آینده این مقالات، به تفصیل بیان خواهند شد.

 

ده گام اولیه برای برخورد با یک رخداد امنیتی کامپیوتری

زمانی که یک رخداد امنیتی کامپیوتری رخ می دهد و شما برای آن آمادگی ندارید، این ده گام را دنبال کنید:

 

گام اول: خونسردی خود را حفظ کنید. حتی یک رخداد بسیار ساده نیز به شما فشار و استرس تحمیل می کند. در این حالت برقراری ارتباط با دیگران و هماهنگی با آنها سخت می شود. آرامش شما می تواند از ارتکاب خطاهای جدی توسط دیگران جلوگیری نمایند.

 

گام دوم: از یادداشت های مناسب استفاده کنید. فرم هایی را که در انتهای این مجموعه مقالات ارائه می شوند، مورد استفاده قرار دهید. به این منظور، با فرمی که «معرفی رویداد» نام دارد آغاز کنید. سپس کار خود را با سایر فرم های مرتبط ادامه دهید. همانطور که فرم ها را تکمیل می کنید، به خاطر داشته باشید که یادداشت های شما می توانند به عنوان مدرک در دادگاه مورد استفاده قرار گیرند. در مورد پاسخ های خود به چهار سوال «چه کسی»، «چه چیزی»، «چه زمانی» و «کجا» اطمینان حاصل کنید. همچنین بهتر است که به سوالات «چگونه» و «چرا» نیز توجه کنید.

 

گام سوم: به افراد مناسب اطلاع داده و از آنها کمک بخواهید. این کار را با اطلاع رسانی به هماهنگ کننده امنیتی و مدیر خود آغاز کنید. بخواهید که یکی از همکاران برای کمک به هماهنگ کردن روال مدیریت رخداد اختصاص داده شود. یک کپی از دفتر تلفن شرکت گرفته و با خود همراه داشته باشید. از همکار خود بخواهید که یادداشت های دقیقی از صحبت های تمامی افراد بنویسد. خود شما نیز همین کار را انجام دهید.

 

گام چهارم: جزئیات رخداد را به کمترین تعداد افراد ممکن منتقل کنید. به آنها تاکید کنید که افراد قابل اعتمادی هستند و سازمان شما روی احتیاط آنها حساب می کند.

 

گام پنجم: اگر کامپیوترهای شما مورد سوء استفاده قرار گرفته اند، از آنها برای بحث های مدیریت رخداد استفاده نکنید. به جای این کار از تلفن و فاکس استفاده نمایید. اطلاعات مربوط به رخداد را با ایمیل و چت منتقل نکنید. ممکن است این اطلاعات توسط مهاجمان مورد شنود قرار گیرند و وضعیت بدتر گردد. زمانی که از کامپیوتر برای انتقال اطلاعات استفاده می کنید، تمامی ایمیل های مربوط به مدیریت رخداد را رمزگذاری نمایید.

 

گام ششم: مشکل را محدود کنید. گام های لازم برای جلوگیری از بدتر شدن مشکل را به کار ببندید. این مساله اغلب به معنای حذف سیستم آسیب دیده از شبکه است. البته ممکن است مدیریت تصمیم بگیرد به منظور به دام انداختن فرد مهاجم، ارتباطات این سیستم را باز بگذارد.

 

گام هفتم: هر چه سریع تر یک نسخه پشتیبان از سیستم های آسیب دیده تهیه کنید. برای این کار از ابزار ذخیره سازی جدید و استفاده نشده ای استفاده کنید. در صورت امکان، یک نسخه پشتیبان دودویی یا بیت به بیت تهیه نمایید. ابزارهایی مانند SafeBack، یا Norton Ghost می توانند پشتیبان های دودویی اجرایی بر روی پلت فورم های اینتل تهیه کنند. اگر فرصت کافی برای یادگیری ابزار «dd» را پیش از وقوع رخداد داشته باشید، می توانید این ابزار را برای هر دو سیستم عامل ویندوز و یونیکس مورد استفاده قرار دهید. البته این کار نیاز به تمرین دارد.

 

گام هشتم: از شر مشکل خلاص شوید. اگر می توانید مشخص کنید که چه چیزی باعث ایجاد مشکل شده است. گام هایی را برای تصحیح نواقصی که باعث رخ دادن مشکل شده بودند به کار ببندید.

 

گام نهم: به کار خود برگردید. پس از چک کردن نسخه های پشتیبان و حصول اطمینان از اینکه مورد سوء استفاده قرار نگرفته اند، سیستم خود را از طریق این نسخه های پشتیبان بازیابی کنید. سپس سیستم را به دقت کنترل کنید تا مطمئن شوید که می تواند وظایف خود را انجام دهد. چند هفته همچنان سیستم را تحت نظارت داشته باشید تا اطمینان حاصل کنید که مجددا مورد سوء استفاده قرار نگرفته باشد.

 

گام دهم: از این تجربه درس بگیرید. بنابراین در هنگام روی دادن رخداد بعدی آماده خواهید بود. این مجموعه مقالات به شما کمک خواهد کرد تا یک روش سیستماتیک برای مدیریت رخدادها در اختیار داشته باشید.

 

افراد بسیار کمی وجود دارند که تجربه کافی مدیریت رخداد برای راهنمایی دادن در مورد تمامی انواع رخدادها و برای تمامی انواع سازمان ها را دارا باشند. این مجموعه مقالات، تجربه مدیریت رخداد بیش از 50 سازمان مختلف تجاری، دولتی و آموزشی را یک جا گرد آورده است. اگر سازمان مطبوع شما یک سازمان بسیار کوچک است، فقط قسمت هایی از این راهنما را که می توانید پیاده سازی نمایید. در قسمت های آینده این مجموعه مقالات، شش مرحله اصلی مدیریت رخدادهای امنیت کامپیوتری را به تفصیل شرح خواهیم داد.