مرکز پاسخگویی به رویدادهای امنیتی یا CSIRT وظیفه مدیریت و پاسخ به وقوع حوادث امنیتی را در یک سازمان دارد. هدف اصلی CSIRT، بهبود قابلیتهای امنیتی سازمان، مدیریت و کنترل حوادث امنیتی، پیشگیری از وقوع تهدیدها و به حداقل رساندن تأثیرات منفی حوادث امنیتی بر سازمان است.
چارچوب CSIRT
دو چارچوب عمده برای فرآیندهای مدیریت پاسخ به رویدادهای امنیتی وجود دارد که توسط NIST و SANS طراحی شده است و درادامه معرفی میشود. چارچوب NIST دارای 4 گام است که در شکل زیر نمایش داده شده است.
چارچوب SANS دارای 6 گام زیر است.
زمانی که چارچوبهای NIST و SANS را کنار هم قرار میدهیم، میبینیم که اجزای آن ها تقریباً یکسان هستند، اما در عبارتها و گروهبندی، تفاوتهای کوچکی وجود دارد. بزرگترین تفاوت در مرحله 3 وجود دارد، جایی که NIST باور دارد که مراحل مهار، حذف و بازیابی با هم همپوشانی دارند، به این معنی که نباید منتظر مهار همه تهدیدات بود تا بتوان مراحل حذف و بازیابی را شروع کرد، بلکه امکان اجرای همزمان آنها وجود دارد.
نظرات گوناگون پیرامون مقایسه این دو چارچوب وجود دارد اما در حقیقت این مسئله، به اولویت و منابع سازمان بستگی دارد.
امنگستران فرزان ایرانیان همانند بسیاری از شرکتهای بزرگ از چارچوب NIST به عنوان مرجع استفاده میکند.
فرآیندهای CSIRT
گامهای CSIRT در چارچوب NIST قبلا نام برده شد. در ادامه هر یک از این گامها شرح داده میشود. ✔ آمادهسازی: اولین مرحله پاسخ به رویداد است به این معنی که سازمانها باید از امنیت سیستمها، شبکهها و برنامههای خود اطمینان داشته و همچنین آمادگی پاسخ به رویداد سایبری را داشته باشند. ✔ تشخیص و تحلیل: هدف اصلی این مرحله تعیین این است که آیا رخدادی واقعا اتفاق افتاده است یا خیر و ماهیت آن مورد بررسی و تحلیل قرار گیرد. ✔ مهار، حذف و بازیابی: هدف مرحله مهار حادثه، متوقف کردن تأثیرات حادثه است قبل از اینکه بیشترین خسارت را برجای بگذارد. سپس هرگونه اقدامات لازم جهت برطرف کردن دلیل اصلی حادثه و بازگرداندن سیستمها به عملکرد طبیعی باشد. ✔ فعالیتهای پس از حادثه: فعالیتهای پس از حادثه، به محض اینکه سیستم به حالت عادی باز میگردد، به تیم پاسخگویی به حادثه کمک میکند تا به طور موثر به راهکار مناسب در مورد هر گونه حوادث مشابه در آینده دست یابند.
مزایا
مزایای بهرهگیری از خدمات CSIRT به شرح زیر است: ✔ افزایش کارآمدی در پاسخگویی به حوادث امنیتی ✔ تشخیص زودهنگام تهدیدات امنیتی و پیشگیری از وقوع حوادث ✔ ارتقاء اطلاعات و آگاهی امنیتی در سازمان ✔ کاهش آسیب احتمالی از تهدیدات امنیتی ✔ ایجاد یک فرهنگ امنیتی قوی در سازمان
خدمات
گام
خدمات
آمادهسازی
شناسایی و تعریف نقش و وظایف اعضای تیم CSIRT
تهیه دستورالعملها و راهنماهایی که برای پاسخ به انواع حوادث امنیتی مختلف استفاده میشوند.
شناسایی منابع و ابزارهایی که در اختیار تیم CSIRT قرار دارند.
تهیه و نگهداری اطلاعات تماس و راههای ارتباطی در صورت بروز رویداد امنیتی.
تشخیص و تحلیل
شناسایی حوادث امنیتی با استفاده از ابزارها و روشهای مختلف.
جمعآوری اطلاعات مرتبط با حوادث، از جمله ترافیک شبکه، لاگها و دادههای سیستم.
تجزیه و تحلیل دقیق حوادث امنیتی به منظور تعیین منشأ، طبقهبندی و شدت آنها.
مهار، حذف و بازیابی
محدود کردن گستردگی رویداد امنیت تا جلوگیری از گسترش آن با استفاده از Isolation و جدا کردن یا خاموش کردن سیستمهای تحت تأثیر، تغییر مسیر ترافیک داده شده به آنها.
از بین بردن اثرات مانند حذف بدافزار و غیرفعال کردن حسابهای کاربری نقضشده.
بازیابی سیستمها از نسخههای پشتیبان، جایگزینی فایلهای در معرض خطر با نسخههایی که قبل از آلوده شدن سیستمها تهیه شده، نصب Patchها، تغییر پسوردها، تشدید امنیت محیطی شبکه
فعالیتهای پس از رویداد امنیتی
برگزاری جلسه با حضور تمامی افراد مرتبط بسته به اهمیت حادثه امنیتی
تدوین گزارش حادثه و Root Cause Analysis
برآورد هزینهها و خسارات
ارائه راهکارهای دفاعی به منظور جلوگیری از تکرار حادثه که اصلاح یا Remediate نامیده میشود
فازهای اجرایی CSIRT
بهرهگیری از خدمات CSIRT ارائه شده توسط امن گستران فرزان ایرانیان برای یک سازمان شامل مراحل زیر است: ✔ شناسایی نیازمندیهای سازمان در بحث ارائه خدمات CSIRT ✔ تعریف برنامه یا پلن CSIRT ✔ طراحی و راهاندازی زیرساخت ها و ابزارهای مناسب ✔ برنامهریزی برای بهبود مهارتها و آموزش ✔ بهرهبرداری از ابزارهای به روز Threat Intelligence
مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS) دو مفهوم متمایز اما به هم پیوسته در حوزه امنیت سایبری و حفاظت از دادهها هستند. مدیریت حساب به فرآیند نظارت و کنترل حسابهای کاربری در زیرساخت فناوری اطلاعات (IT) یک سازمان اشاره دارد که شامل فعالیتهایی مانند ایجاد حسابهای کاربری، اعطا یا لغو امتیازات دسترسی، اجرای […]
هوش مصنوعی در امنیت سایبری در گذر زمان – قسمت اول امروزه در زندگی ما، هوش مصنوعی (AI) تاثیرات مهمی ایجاد کرده است. هوش مصنوعی با داشتن قابلیت یادگیری و پیشبینی تهدیدات با سرعت و دقت بیشتر، به یک ابزار ضروری در حفاظت از دولتها و سازمانها تبدیل شده است. اما آینده AI در امنیت […]
مرکز عملیات امنیت (SOC) معرفی مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را تحلیل کرده و به آنها پاسخ میدهد. برای داشتن یک SOC کامل و کارآمد، باید […]
انواع SOAR در مقاله قبلی به معرفی SOAR و مزایای آن پرداخته شد، در این مقاله اطلاعات بیشتری در مورد SOAR ارائه میشود. سه دسته اصلی برای SOAR میتوان در نظر گرفت که عبارتند از: SOAR محصول محور SOAR گسترده Next-Gen SOAR SOAR محصول محور: گارتنر SOAR را راهحلی تعریف میکند که توان پاسخ به […]
امنیت عامل انسانی – قسمت اول ارزیابی ظرفیت امنیت سایبری نیروی کار صنعتی مقدمه امنیت سایبری در محیطهای سیستم کنترل صنعتی (ICS) به یک موضوع رو به رشد در سطح ملی و جهانی تبدیل شده است. امنیت در حال حاضر با همگرایی فناوری اطلاعات و فناوری عملیات (IT-OT) در حال تکامل است و به این […]
مدیریت ریسک مدیریت ریسک مستمر برای دستیابی به اهداف تجاری در سازمانها امری غیر قابل اجتناب است. ریسکهای موجود میتواند شامل ریسک مالی، خطر خرابی تجهیزات و خطر ایمنی پرسنل و … باشد. سازمانها باید فرآیندهایی را برای ارزیابی ریسکهای مرتبط با کسبوکار خود توسعه دهند و در خصوص چگونگی مواجهه با این خطرات، بر […]