بیاموزید که چطور با کمک برنامه­ واکنش 6 مرحله‌­ای هنگام رخ دادن یک حادثه، بتوانید آن را مدیریت کنید. این برنامه­ واکنشی، یک برنامه­ مستند و مکتوب با 6 مرحله­ متمایز و مجزا است که به متخصصان و کارمندان فناوری اطلاعات کمک می­‌کند تا یک حادثه­ سایبری مثل نقض داده­‌ها یا یک حمله­ سایبری را تشخیص و با آن برخورد کنند. ساخت یک برنامه و مدیریت یک برنامه­ واکنش به حادثه دارای آموزش و بروزرسانی­‌های منظم است.

آیا یک برنامه­ واکنش به حادثه از الزامات  PCI DSS است؟

بله،  الزامات 12PCI DSS   گام‌هایی که باید یک کسب و کار بردارد را به برنامه­ واکنش به حادثه باید مرتبط می‌داند. در زیر بند 12 الزامات PCI DSS را آورده‌ایم:

12.10.2 – تست سالانه­ برنامه­ واکنش به حادثه

12.10.3 – تعیین تعداد کارمندانی که باید 7 روز هفته و 24 ساعته برای مقابله با حوادث در دسترس باشند.

12.10.4 – آموزش صحیح و منظم کارمندان با مسئولیت­‌های واکنش به حوادث

12.10.5 – تنظیم هشدار سیستم­‌های تشخیص نفوذ، پیشگیری از نفوذ و سیستم­‌های پایش سلامت فایل

12.10.6 – پیاده­‌سازی یک فرآیند برای مدیریت و بروزرسانی برنامه­  واکنش به حادثه

چگونه یک برنامه­ واکنش به حادثه را ایجاد کنیم؟

برنامه­  واکنش به حادثه باید به نقض داده‌ها در یک سری از مراحل رسیدگی کند. در هر مرحله نیاز­های مختلفی وجود دارد که باید آن‌ها را در نظر گرفت.

مراحل واکنش به حادثه هستند:

  1. آماده سازی
  2. شناسایی
  3. بازدارنده (جلوگیری کننده)
  4. ریشه کن کردن
  5. بازیابی
  6. آموخته‌­ها

بگذارید به هر مرحله عمیق­تر بپردازیم و مواردی که باید به آن‌ها رسیدگی شود را مشخص کنیم.

  1. آماده سازی

این مرحله بخش اصلی در برنامه­‌ریزی واکنش به حادثه است و در پایان به مهم‌ترین مرحله برای حفاظت از کسب ‌و کار شما تبدیل می­‌شود. بخش‌­های این مرحله شامل موارد زیر است:

  • حصول اطمینان از این موضوع که در صورت نقض داده­­ها کارمندان به درستی برای نقش و مسئولیت خود آموزش دیده‌­اند.
  • توسعه­ سناریوهای تمرینی برای واکنش به حادثه و ارزیابی مرتب نقض داده­‌ها در برنامه­ واکنش به حادثه
  • اطمینان از تصویب و تامین همه جانبه­ برنامه­ واکنش به حادثه (آموزش، اجرا، منابع سخت افزاری و نرم افزاری و غیره)

برنامه­ واکنشی شما باید کاملاً مستند باشد و نقش‌ها و مسئولیت‌های همه­ اعضا را بطور کامل توضیح دهد. سپس برای اینکه مطمئن شویم همه­ کارمندان نقش­های خود را به همان صورتی که آموزش دیده‌­اند انجام می­‌دهند یا نه باید طرح را مورد تست و ارزیابی قرار داد. هرچه سطح آمادگی کارمندان بیشتر باشد، احتمال اینکه مرتکب خطا شوند کمتر می­‌شود.

سوالاتی برای رسیدگی

  • آیا همه­ افراد برای سیاست‌های امنیتی آموزش دیده‌اند؟
  • آیا سیاست‌های امنیتی و برنامه­ واکنش به حادثه توسط مدیریت مناسب تایید شده‌اند؟
  • آیا تیم واکنش به حادثه از نقش خود و اطلاعیه‌های لازم برای ساختن خبر دارد؟
  • آیا تمام اعضای تیم واکنش به حادثه در تمرینات شرکت کرده‌اند؟
  1. شناسایی

این فرآیند تعیین می­‌کند که آیا شما مرتکب تخلف شده‌­اید یا خیر. نقض داده‌­ها یا یک حادثه می­‌تواند ناشی از زیاد بودن حوزه‌های مختلف باشد.

سوالاتی برای رسیدگی:

  • چه زمانی این رویداد اتفاق افتاد؟
  • چگونه کشف شد؟
  • چه کسی آن را کشف کرد؟
  • آیا مناطق دیگر تحت تأثیر قرار گرفته‌اند؟
  • حوزه و وسعت توافق چیست؟
  • آیا این عملیات را تحت تأثیر قرار می‌دهد؟
  • آیا منبع (نقطه­ی ورود) این رویداد کشف شده است؟
  1. بازدارنده (جلوگیری کننده)

هنگامی که یک نقض داده کشف می­شود، معمولا اولین واکنش پاک کردن همه چیز است تا بتوانید از شر آن خلاص شوید. انجام چنین کاری در دراز مدت باعث آسیب می­شود، چون به احتمال زیاد شواهد مهمی را از بین می­برید که این شواهد مشخص کننده­ی این هستند که این نقض داده­ها از کجا شروع شده که باعث شود شما طرحی را ایجاد کنید که از وقوع دوباره­ این اتفاق جلوگیری کند. در عوض، شما باید این نقض و قانون‌شکنی را کنترل کنید تا آسیب بیشتری به کسب ‌و کار شما وارد نشود. اگر می‌‌توانید، دسترسی دستگاه‌هایی که تحت تاثیر این قانون­شکنی بوده­اند را از اینترنت قطع کنید. استراتژی‌های بازدارنده­ کوتاه مدت و بلند مدت را آماده کنید. همچنین داشتن یک سیستم پشتیبان­گیری اضافی برای کمک به بازیابی عملیات کسب ‌و کار مفید است.

همچنین زمان مناسبی برای بروزرسانی و وصل کردن سیستم‌­ها، بررسی پروتکل‌­های دسترسی از راه دور، تغییر دسترسی­‌های کاربر و پیچیده سازی پسوردهاست.

سوالاتی برای رسیدگی:

  • برای جلوگیری از نقض­های کوتاه مدت چه کاری انجام شده است؟
  • برای جلوگیری از نقض­های بلند مدت چه کاری انجام شده است؟
  • آیا بدافزارها از بقیه­ سیستم جدا شده‌اند؟
  • چه نوع پشتیبان تهیه شده است؟
  • آیا دسترسی از راه دور شما نیاز به تأیید هویت چند عاملی واقعی دارد؟
  • آیا تمام اعتبارات دسترسی برای درستی، مقاوم بودن و ایمن شدن و تغییر یافتن مورد بررسی قرار گرفته‌اند؟
  • آیا تمام وصله­‌های امنیتی و به روزرسانی‌های جدید را اعمال کرده‌اید؟
  1. ریشه کن کردن

زمانی که این مساله مطرح شد، باید دلایل ریشه‌ای این قانون ‌شکنی تعیین و حذف شود. به این معنی که تمام بدافزارها با اطمینان باید از بین بروند و سیستم‌­ها مجددا وصل و ایمن شوند و همچنین بروزرسانی­‌ها هم اعمال شود. باید بطور دقیق تعیین کنید که آیا این کار را خودتان انجام می‌دهید، یا شخص ثالثی را برای انجام این کار استخدام می‌کنید. اگر هرگونه ردی از بدافزارها یا مشکلات امنیتی در سیستم‌های شما باقی بماند، احتمال از دست دادن داده‌­های با ارزش وجود دارد، به همین دلیل مسئولیت شما افزایش پیدا می­‌کند.

سوالاتی برای رسیدگی:

  • آیا بدافزارها با اطمینان از بین رفته‌اند؟
  • آیا سیستم ایمن، وصل و بروز شده است؟
  • آیا می‌توان دوباره از سیستم استفاده کرد؟
  1. بازیابی

این فرآیند شامل ترمیم و بازگردانی سیستم‌­ها و دستگاه‌­ها به محیط کسب و کار است. در این زمان، مهم است که سیستم­‌ها و کسب و کارها خود را بدون ترس از یک نقض دیگر مجددا فعال کنید.

سوالاتی برای رسیدگی:

  • چه زمان می‌توان سیستم‌ها را به تولید بازگرداند؟
  • آیا سیستم­‌ها وصل، ایمن و تست شده­‌اند؟
  • آیا سیستم توسط یک نسخه­ پشتیبان مطمئن قابل بازیابی است؟
  • سیستم‌های آسیب دیده تا چه مدت تحت کنترل هستند و هنگام نظارت دنبال چه چیزی هستید؟
  • توسط چه ابرازی می­توان مطمئن بود که حملات مشابه مجددا رخ نمی­‌دهند؟ (نظارت بر درستی فایل، شناسایی و محافظت در برابر نفوذ و غیره)
  1. آموخته­‌ها

هنگامی که تحقیقات کامل شد، جلسه­‌ای را با همه اعضای تیم واکنش به حادثه برگزار کنید و در مورد آنچه از نقض داده‌ها یاد گرفته‌اید بحث و تبادل نظر کنید. اینجاست که همه چیز آنالیز و مستند سازی می‌­شود. همچنین تعیین کنید که در برنامه­ واکنش به حادثه در کدام بخش عملکرد خوبی داشته‌اید و در کدام بخش طرح شکاف و رخنه وجود دارد.  درس‌هایی که از هر دو رویداد ساختگی و واقعی می­آموزید به تقویت سیستم‌های شما در برابر حملات آتی کمک خواهند کرد.

سوالاتی برای رسیدگی:

  • چه تغییراتی لازم است برای امنیت ایجاد شود؟
  • چگونه باید متفاوت آموزش داده شود؟
  • چه ضعفی باعث کشف این قانون ‌شکنی شد؟
  • چگونه اطمینان حاصل کنید که یک نقض مشابه دیگر تکرار نخواهد شد؟

هیچکس نمی­خواهد نقض داده­‌ها را انجام دهد، اما برنامه‌ریزی برای جلوگیری از آن ضروری است. برای نقض داده آماده شوید، بدانید چه باید بکنید و پس از نقض داده هرآنچه می­‌توانید را بیاموزید.