آمادگی، کلیدی برای پاسخگویی به حوادث امنیت سایبری

کلید موفقیت در دفاع یا بازیابی از یک حادثه امنیت سایبری، آمادگی است.
یکی از بهترین راهها برای این کار، ایجاد یک برنامه پاسخ به حوادث است: یک سیاست نوشتاری که به سازمان در مدیریت حوادث امنیت سایبری کمک میکند. فرآیند ایجاد و تست یک برنامه پاسخ به حوادث و سپس آموزش شرکتکنندگان برای اجرای این برنامه، به سازمان کمک میکند تا به تشخیص، پاسخگویی و بازیابی سریع از یک حادثه سایبری آماده شود. یک برنامه پاسخ به حوادث موثر، محدود کردن اختلال در خدمات و شهروندان را کاهش میدهد و همچنین از دست دادن داده و آسیب به اعتبار جلوگیری میکند.
یک رویکرد گام به گام به برنامههای پاسخ به حوادث
یک راه ساده برای ایجاد یک برنامه پاسخ به حوادث این است که هر بخش را به عنوان یک مرحله جداگانه در نظر بگیرید. رویکرد پایهای شامل چهار بخش است: سازماندهی، حفاظت، شناسایی و بازیابی.
1. سازماندهی:
– تعیین کنید که کدام فرد یا گروه به صورت کلی مسئولیت برنامه را دارد، سپس به افق دوراندیشی که تیم گستردهتری را ایجاد کنید فکر کنید – به عنوان مثال تیم فناوری اطلاعات، حقوقی، مالی و منابع انسانی. نقشها و مسئولیتهای هر عضو تیم پاسخ به حوادث را مشخص کنید. باید اطلاعات تماس هر عضو تیم در برنامه قرار داده شود.
2. آمادگی/حفاظت:
– اولویتبندی کنید که کدام سیستمها باید به صورت آنلاین نگهداشته شوند یا اولین بار به صورت آنلاین بازگردانده شوند و سیاستها را برای حفاظت از آنها تنظیم کنید. اطمینان حاصل کنید که ابزارهای امنیت مرتبط – مانند دیواره آتش، آنتیویروس، اسکن آسیبپذیری و سیستمهای پچینگ – نصب و بهروزرسانی شده باشند. نقاط ضعف امنیتی را شناسایی کنید و یک برنامه اصلاح ایجاد کنید. اطمینان حاصل کنید که پشتیبانها آفلاین ذخیره شده و بازیابی به صورت دورهای آزمایش شود. به کارمندان، مدیران و حتی شهروندان اگر امکان دارد، آموزش افزایش آگاهی امنیتی دهید. یک لیست دقیق از دستورالعملهای برخورد با حوادث ایجاد کنید و همه چیز را دورهای با تیم پاسخ به حوادث آزمایش کنید.
3. شناسایی و تجزیه و تحلیل:
– هنگام شناسایی یک حادثه، درخت فرآیند باید فعال شود تا اعضای تیم بتوانند به سرعت اقدام کنند. این مرحله شامل تعیین علت و تأثیر حادثه است. اگر حادثه شدید باشد (اگر توانایی دسترسی را محدود کند یا خدمات را مختل کند) یا وخیم باشد (اگر قطع کلی یا اطلاعات دزدیده شود)، اطلاعات جهت تجزیه و تحلیل بیشتر جمعآوری شده و به مقامات مربوط گزارش داده میشود.
4. محدود کردن و بازیابی:
– این مرحله شامل اقداماتی برای کنترل حمله و محدود کردن آسیب و تأثیر است. ممکن است شامل از بین بردن مخرب، کاهش اشتباهات پیکربندی یا شناسایی سایر سرورهایی باشد که ممکن است آلوده شده باشند، بنابراین اطلاعات در مورد چگونگی پاسخ به هر نوع حادثه در اینجا گنجانده میشود. این بخش از برنامه همچنین مراحل لازم برای بازگرداندن سیستمهای تحت تأثیر به عملکرد عادی را شامل میشود، که ممکن است شامل بازیابی از پشتیبان، بازسازی از یک سطح پایه امن، جایگزینی فایلهای آلوده با نسخههای سالم، پچینگ یا تغییر رمز عبور باشد. پس از حل حادثه، برنامه شامل یک مرحله برای ارزیابی تجربیات گذشته و ادغام آن اطلاعات در یک برنامه پاسخ به حوادث بازنگریشده است.