1. استثناها را جدا کنید

فناوری به تنهایی نمی تواند نقض های امنیتی را با موفقیت شناسایی کند. شما همچنین باید بر بینش انسانی تکیه کنید. در زیر چند شرط برای بررسی روزانه وجود دارد:
– ناهنجاری‌های ترافیک
اتصالات حساس و سرورهایی که به صورت داخلی استفاده می‌شوند معمولاً حجم ترافیک پایداری دارند. اگر متوجه افزایش ناگهانی ترافیک شدید، توجه کنید.
– دسترسی به حساب‌ها بدون مجوز
حساب‌های دارای امتیاز نسبت به حساب های عادی به اطلاعات و سیستم‌های بیشتری دسترسی دارند. با این حال، کارمندان معمولاً ساده ترین نقطه ورود برای جرایم سایبری هستند. حساب های دارای امتیاز را به دقت زیر نظر داشته باشید و مراقب افزایش امتیازات در حساب های کاربری عادی باشید.
– مصرف بیش از حد و فایل های مشکوک
اگر شاهد افزایش عملکرد حافظه یا هارد دیسک های شرکت خود هستید، ممکن است شخصی به طور غیرقانونی به آن ها دسترسی داشته باشد یا داده ها درز کرده باشد.
ابزارهای امنیتی مدرن مانند User and Entity Behavior Analytics (UEBA) این فرآیندها را خودکار می کنند و می توانند ناهنجاری ها را در رفتار کاربر یا دسترسی به فایل به طور خودکار شناسایی کنند. این امر پوشش بسیار بهتری از حوادث امنیتی احتمالی را فراهم می کند و باعث صرفه جویی در وقت تیم های امنیتی می شود.

2. از رویکرد متمرکز استفاده کنید

اطلاعات را از ابزارهای امنیتی و سیستم های فناوری اطلاعات جمع آوری کنید و آن را در یک مکان مرکزی مانند سیستم SIEM نگهداری کنید. از این اطلاعات برای ایجاد جدول زمانی رخداد استفاده کنید و تحقیقی درباره حادثه با تمام نقاط داده مربوطه در یک مکان انجام دهید. همچنین می توانید از یک رویکرد متمرکز استفاده کنید تا امکان پاسخ خودکار سریع را فراهم کنید. از داده‌های ابزارهای امنیتی استفاده کنید، تجزیه و تحلیل‌های پیشرفته را اعمال کنید و پاسخ‌های خودکار را روی سیستم‌هایی مانند فایروال و سرورهای ایمیل با استفاده از فناوری‌هایی مانند سازمان‌دهی امنیتی، اتوماسیون و پاسخ (SOAR) هماهنگ کنید.

3. بر روی واقعیات تمرکز کنید، فرض نکنید

بر اساس این فرض که یک رویداد یا حادثه وجود دارد، تحقیقی را انجام ندهید. به جای فرضیات، بر اساس سؤالی که می توانید آن را ارزیابی و تأیید کنید، اظهار نظر کنید. به عنوان مثال “اگر هشدار X را در سیستم Y یادداشت کرده باشم، باید رویداد Z را نیز در نزدیکی مشاهده کنم.” ادعاهای خود را بر اساس تجربه خود در مدیریت سیستم ها، نوشتن نرم افزار، پیکربندی شبکه ها، ساختن سیستم ها و غیره، تصور سیستم ها و فرآیندها از چشم مهاجم ایجاد کنید.

4. رویدادهای غیرممکن را حذف کنید

ممکن است دقیقاً ندانید به دنبال چه هستید. در این مواقع، اتفاقاتی را که می توان به طور منطقی توضیح داد حذف کنید. پس از آن شما با رویدادهایی که هیچ توضیح روشنی ندارند، باقی خواهید ماند.مثلا:
– ناهماهنگی‌ها یا افزونگی‌های غیرقابل توضیح در کد شما
– مشکلات دسترسی به توابع مدیریت یا ورود به سیستم اداری
– تغییرات غیرقابل توضیح در حجم ترافیک (به عنوان مثال، کاهش شدید)
– تغییرات غیر قابل توضیح در محتوا، چیدمان یا طراحی سایت شما
– مشکلات عملکردی که بر دسترسی و در دسترس بودن وب سایت شما تأثیر می گذارد

5. اقدامات پس از حادثه را انجام دهید

به نظارت بر سیستم های خود برای هرگونه رفتار غیرعادی ادامه دهید تا مطمئن شوید که مزاحم برنگشته است. مراقب حوادث جدید باشید و یک بازبینی پس از حادثه انجام دهید تا هرگونه مشکلی که در اجرای طرح واکنش به حادثه رخ داده است را جدا کنید.