حادثه امنیتی همیشه با آژیر و داشبورد قرمز شروع نمی‌شود. گاهی یک لاگ عجیب است، یک اکانت که از جای نامعمول لاگین کرده، یک فایل که رمز شده، یا کاربری که می‌گوید سیستمش رفتار عجیبی دارد. اگر از قبل برنامه نداشته باشیم، همان ساعت‌های اول با آزمون و خطا از دست می‌رود.

مبنای این مطلب: SANS Critical Security Control 19: Incident Response and Management، یعنی «مدیریت پاسخ به رخداد» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.

کنترل شماره ۱۹ درباره مدیریت پاسخ به رخداد است. یعنی قبل از حادثه بدانیم چه چیزی رخداد حساب می‌شود، چه کسی تصمیم می‌گیرد، چه کسی سیستم را بررسی می‌کند و چه زمانی باید سرویس را قطع یا محدود کرد.

تعریف رخداد باید روشن باشد

هر هشدار کوچکی حادثه بزرگ نیست، ولی بعضی نشانه‌ها باید سریع جدی گرفته شوند: ورود موفق مشکوک، اجرای بدافزار، تغییر غیرعادی دسترسی‌ها، خروج حجم زیاد داده، رمز شدن فایل‌ها، تغییر تنظیمات فایروال یا خاموش شدن لاگ.

نقش‌ها را همان روز حادثه تعیین نکنیم

در زمان حادثه، ابهام خطرناک است. باید مشخص باشد چه کسی مسئول هماهنگی است، چه کسی لاگ‌ها را جمع می‌کند، چه کسی با مدیران ارتباط دارد، چه کسی تصمیم فنی می‌گیرد و چه کسی با کاربر یا پیمانکار صحبت می‌کند.

  • لیست تماس افراد کلیدی آماده باشد.
  • دسترسی اضطراری کنترل‌شده وجود داشته باشد.
  • روش جمع‌آوری شواهد مشخص باشد.
  • تصمیم قطع سرویس یا ایزوله کردن سیستم چارچوب داشته باشد.

اول مهار، بعد پاکسازی

اشتباه رایج این است که در لحظه اول همه چیز را پاک کنیم یا سیستم را سریع فرمت کنیم. شاید سرویس زودتر برگردد، ولی شواهد از بین می‌رود و ریشه مشکل معلوم نمی‌شود. در پاسخ به رخداد باید اول مهار کنیم، بعد شواهد لازم را حفظ کنیم، سپس پاکسازی و بازیابی انجام شود.

لاگ بدون زمان درست دردسر است

برای بررسی رخداد، زمان درست حیاتی است. اگر ساعت سرورها، فایروال و سیستم‌ها هماهنگ نباشد، ساختن خط زمانی حادثه سخت می‌شود. لاگ‌ها باید نگهداری شوند و قابل جستجو باشند. این بخش به کنترل لاگ و مانیتورینگ وابسته است.

بعد از حادثه یاد بگیریم

بعد از کنترل حادثه نباید فقط خوشحال شویم که تمام شد. باید بررسی شود چه چیزی باعث رخداد شد، کدام هشدار دیده نشد، کدام دسترسی اضافه بود، کدام بکاپ کمک کرد یا نکرد و چه تغییری باید در فرآیندها انجام شود.

برای تصمیم بهتر درباره کنترل امنیت شماره ۱۹

پاسخ به رخداد یعنی داشتن برنامه کوتاه، نقش‌های مشخص، لاگ قابل اعتماد، روش مهار و تمرین دوره‌ای. روز حادثه وقت نوشتن برنامه نیست؛ وقت اجرای چیزی است که قبلا تمرین شده است.

تمرین پاسخ به رخداد باید کوچک و واقعی باشد

خیلی از سازمان‌ها برنامه پاسخ به رخداد را به یک فایل طولانی تبدیل می‌کنند که روز حادثه کسی آن را باز نمی‌کند. تمرین بهتر می‌تواند کوچک‌تر باشد: یک سناریوی ورود مشکوک VPN، یک Rule تغییر کرده روی فایروال، یک سرور با ترافیک خروجی غیرعادی یا یک هشدار WAF که احتمالاً false positive نیست. مهم این است که تیم در همان تمرین بفهمد لاگ کجاست، چه کسی تصمیم می‌گیرد، چه کسی با مالک سرویس صحبت می‌کند و چه چیزی نباید قبل از جمع‌آوری شواهد پاک شود.

برای چارچوب رسمی، NIST SP 800-61 Rev.2 درباره Computer Security Incident Handling مرجع شناخته‌شده‌ای است و CIS Controls v8 هم روی Incident Response Management تأکید دارد. در اجرا، این منابع باید به یک playbook کوتاه و قابل تمرین تبدیل شوند؛ نه سندی که فقط برای audit نوشته شده باشد.

چند نشانه که برنامه هنوز خام است

  • هیچ‌کس نمی‌داند در تعطیلات با چه شماره‌ای باید تماس بگیرد.
  • لاگ فایروال، VPN، WAF و سرورها ساعت هماهنگ ندارند.
  • دسترسی اضطراری وجود دارد، اما مالک و زمان استفاده از آن مشخص نیست.
  • بعد از حادثه، جلسه کوتاه درس‌آموخته‌ها برگزار نمی‌شود.

اگر این موارد حل نشده باشند، حتی ابزارهای خوب هم در ساعت اول حادثه بهره کامل نمی‌دهند. ارتباط این کنترل با مانیتورینگ و پشتیبانی امنیت شبکه مستقیم است.

علیرضا عربیان

مشاور و مدرس امنیت شبکه، متخصص FortiGate، FortiWeb و F5 BIG-IP در زیرساخت‌های سازمانی.

مشاهده همه مقالات ←

دیدگاه بگذارید