امروز: شنبه 24 آذر 1397 برابر با 15 دسامبر 2018

هشدار امنیتی : مشروح در اخبار حوزه مدیریت || حضور پروفسور بهشتی در همایش امروز اتحادیه اروپا- بروکسل، و گفتگو با مقامات مسئول مالی و سرمایه‌گذاری اتحادیه اروپا، جهت سرمایه گذاری ایران و الجزایر || دیداری موفقیت آمیز، با حضور مقامات عالی رتبه جهانی بویژه اتحادیه اروپا برای تحکیم روابط اقتصادی و سرمایه‌گذاری، و انزاوی آمریکا || همچنین دیدار ایشان با Ugo Bassi، رئیس بازار مالی کمیسیون اروپا || تشکیل جلسه نمایندگان BPN با شرکت WESTAS در جهت امضاء قرارداد همکاری برای سرمایه گذاری و احداث کارخانه تولید توربین های بادی بدون گیربکس در هلند و اعلام آمادگی WESTASجهت حضور در ایران ||

حراست (16)

به گزارش روابط عمومی BPN در پی اقدام برخی از عناصر و افراد فرصت طلب و مجهول الهویه در جهت سوء استفاده از نام و برند این شرکت BPN در زمینه انجام معاملات غیرقانونی طلا، ارز و سایر زمینه های غیرمرتبط با فعالیت های شرکت سهامی عام بادران پارس نیرو؛ مدیرعامل و رئیس هیات مدیره شرکت BPN ضمن اعلام این مطلب به کلیه اعضاء و شرکتهای عضو کنسرسیوم BPN و همچنین سرمایه گذاران و گروه های علاقمند به همکاریهای مالی و طرح های زیربنایی کشور؛ هشدار دادن تا در صورت دریافت پیشنهاد همکاری و یا انجام هرگونه معامله با نام بادران و کنسرسیوم وابسته به آن ابتدا صحت و سقم موضوع را مستقیما و بدون واسطه از شخص اینجانب دریافت نموده و سپس نسبت به سایر مراحل اقدام نمایند.

از سوی دیگر نیز طبق آخرین نشست مجمع عمومی شرکت بادران پارس نیرو؛ اعضاء هیات مدیره فعلی شرکت در سمت خود ابقاء گردیده و هیچ گونه تغییر و یا تحولی در ترکیب آنها به وجود نیامده که در صورت ایجاد تغییرات و جایگزینی این افراد؛ مراتب رسماً و با معرفی اعضاء جدید با درج سوابق و رزومه کاری ایشان در سایت رسمی شرکت به آدرس WWW.BPN-IR.COM به اطلاع کلیه سهامداران و شرکت های عضو کنسرسیوم بادران پارس نیرو BPN خواهد رسید.

لکن؛حوزه مدیریت و نظارت راهبردی شرکت سهامی عام و کنسرسیوم BPN از کلیه علاقمندان و همراهان خود تقاضا دارد با عنایت به حساسیت فعالیتهای حرفه ای و تخصصی BPN و اهمیت دوره زمانی موجود که شرایط سرمایه گذاری قانونی و جذب منابع ارزی و ریالی از سوی شرکتهای سرمایه گذاری داخلی و بین المللی برای پروژه های نیروگاهی و کارخانجات تولید توربین بادی ۲.۵مگاوات و ساخت سلول های خورشیدی و احداث پالایشگاه فراهم گردیده ؛حتماً هرگونه اخبار و اطلاعات مرتبط با شرکت و همچنین ادعاها و گفته های افراد حقیقی و حقوقی که پیرامون شرکت سهامی عام و کنسرسیوم صنایع مادر بادران پارس نیرو؛ مطرح می گردد را با شماره تلفن های ۰۹۰۲۴۴۴۳۰۰۲ و ۰۹۱۵۴۴۴۳۰۰۲ مستقیما در میان گذاشته و ما را در مسیر توسعه فعالیتهای مشترک وگروهی مجموعه خود؛با دلی صادق و آگاه همراهی نمایند.

صدبار بدی  کردی و دیدی ثمرش را     نیکی چه بدی داشت که یکبار نکردی؟!

خردجمعی ؛وفاداری و کارگروهی نیاز امروز کشور است.

"دکتر عارف خجسته" 

یکشنبه, 21 ارديبهشت 1393 20:06

مبارزه با پولشويی

نوشته شده توسط
چهارشنبه, 25 ارديبهشت 1392 10:49

مدیریت رخداد در شش مرحله- مرحله آمادگی: قسمت پنجم

نوشته شده توسط

گام 8: توجه ویژه ای به ارتباط با مدیران سیستم­ها داشته باشید

مدیران سیستم­ها افرادی هستند كه اغلب، در مورد امنیت كاربردی برای گروهی از سیستم­ها مسئول هستند. نبض سیستم­های كامپیوتری در دستان این افراد است. بارها مدیران سیستم آگاه بسیاری از رخدادها را با اخطار دادن در مورد اتفاقی كه به نظر عجیب می آید و با بازبینی فایل­های لاگ سیستم كشف كرده اند. از طرف دیگر، مدیران سیستم­ها پتانسیل ایجاد ضربه های سنگین در یك رخداد را دارا هستند. این افراد با حساب­های كاربری با اولویت بالا می­توانند به افراد نفوذگر هشدار دهند كه فعالیت آنها كشف شده است، شواهد را از بین ببرند یا حتی فایل­های سیستم را در اثر اشتباه پاك كنند.

 

فعالیت 8-1: مدیران سیستم­ها را درگیر كنید

مدیران سیستم­های بخش­های مختلف را برای مشاوره در مورد پروسه مدیریت رخداد دعوت كنید. این مجموعه، پرسپكتیو مورد نیاز برای حل مشكلات را به روش موثرتری فراهم می­كند.

 

فعالیت 8-2: آموزش پیش­گیرانه را هدایت كنید

كارگاه هایی را برای مدیران سیستم­ها در مورد بسته های نرم افزاری موجود برای تشخیص حملات و نظارت موثر بر سیستم­ها فراهم كنید. موثرترین اساتید معمولا كسانی هستند كه می­توانند تجارب دست اول در مدیریت رخدادها و در استفاده از ابزارها را شرح دهند. برای دریافت گواهی نامه امنیتی GIAC برای مدیران سیستم­ها و شبكه خود برنامه ریزی نمایید.

 

فعالیت 8-3: توانایی افراد در خواندن فایل­های لاگ را شناسایی كنید

نشانه های بسیاری از رخدادهای هرگز كشف نشده در داخل فایل­های لاگ قرار دارند. جمع آوری لاگ­های سیستم به تنهایی كافی نیست، بلكه مهم این است كه این لاگ­ها را بخوانید. ابزارهایی برای تحلیل آسانتر فایل­های لاگ و خودكار كردن این پروسه به كار بگیرید. اطمینان حاصل كنید كه سیاست شما برای نگهداری از لاگ­ها در موارد تحقیقات عمیقی كه در آن، لاگ­هایی از هفته ها و ماه­ها قبل مورد نیاز است مناسب است. آن دسته از مدیران سیستم­ها كه رخدادها را تشخیص می­دهند باید شناسایی شده و مورد تقدیر قرار گیرند.

 

فعالیت 8-4: پشتیبان گیری منظم از سیستم را ترویج كنید

نسخه های پشتیبان ناكافی علت بسیاری از فاجعه ها در بازیابی سیستم­ها پس از رخدادهای امنیتی هستند. پشتیبان­های به روز و پاك یا خارج از محل بسیار مهم هستند. مدیران سیستم­ها را تشویق كنید تا نسخه های پشتیبان خود را به روز نگه دارند و اطمینان حاصل كنند كه tape drive های آنها به درستی كار می­كنند. از سیستم­های حیاتی حداقل باید روزی یك بار نسخه پشتیبان تهیه شود. اطمینان حاصل كنید كه پشتیبان­های خارج از محل به موقع قابل بازیابی هستند. هر عضو از گروه مدیریت رخداد باید با نرم افزار پشتیبان گیری تجاری سازمان و نیز ابزارهای رایگانی مانند dd برای سیستم­های یونیكس و ntbackup برای سیستم­های ویندوز آشنا باشد.

 

فعالیت 8-5: اطمینان حاصل كنید كه عملیات رسیدگی (auditing) و لاگ گیری به خوبی انجام می­شود

اطمینان حاصل كنید كه رسیدگی و لاگ گیری پیش از وقوع یك رخداد به خوبی انجام می­شود. بعلاوه، اطمینان حاصل كنید كه ساعت­های سیستم­ها از یك منبع زمانی قابل اعتماد همزمان شده اند. این نكته این اطمینان را ایجاد می­كند كه فایل­های لاگ، زمان دقیق وقوع یك رخداد را نشان می­دهند. در هر زمان ممكن لاگ­ها را به سرورهای رزرو ارسال نمایید.

 

فعالیت 8-6: اطمینان حاصل كنید كه سیستم­ها دارای نرم افزار آنتی ویروس به روز هستند

نرم افزار آنتی ویروس می­تواند برای محافظت یك سیستم در برابر ویروس­ها، تروجان­ها، كرم­ها و سایر كدهای خرابكار مورد استفاده قرار گیرد. نرم افزار آنتی ویروس تنها زمانی موثر است كه توصیفات ویروس­ها در آن به طور مرتب به روز گردد. اغلب سایت­ها هر روز به روز می­شوند. بهتر است هر از گاهی آنتی ویروس خود را چك كنید تا اطمینان حاصل كنید كه درست كار می­كند. چرا كه كدهای خرابكار جدید سعی می­كنند آنتی ویروس و فایروال شخصی را از كار بیندازند.

 

فعالیت 8-7: با پیكربندی­های سرور و سیستم عامل­ها آشنا باشید

شما باید با پروسه های متعارف سیستم عامل مانند lsass.exe بر روی ویندوز NT/2000 و syslog بر روی یونیكس آشنا باشید. برای سیستم­های متصل به اینترنت، پروسه هایی را كه باید بر روی سیستم­ها اجرا گردند مستند نمایید. اگر قادر باشید پروسه های سیستمی عادی را تشخیص دهید، قادر خواهید بود به سرعت برنامه های غیرعادی را نیز شناسایی نمایید. این برنامه ها می­توانند تروجان یا درهای پشتی باشند كه توسط مهاجمان بر روی سیستم شما قرار می­گیرند. الگوریتم­های درهم سازی رمزنگاری مانند MD5 یا SHA-1 را اجرا كنید یا نرم افزارهایی مانند Tripwire را نصب نمایید تا تمامیت فایل­های سیستمی حیاتی را كنترل كنید.

 

فعالیت 8-8: تست نفوذ انجام دهید

یكی از بهترین راه­ها برای جلوگیری از رخدادها این است كه اطمینان حاصل كنید كه سیستم­های شما آسیب پذیر نیستند. تست­های نفوذ را مرتب انجام دهید تا مطمئن شوید كه سیستم­های شما به طور امن پیكربندی شده اند و اصلاحیه های آنها اعمال شده است. یك روش این است كه این تست را در سه مرحله انجام دهید: 1- شناسایی مودم­های بدون مجوز یا با مجوزی كه ضعیف پیكربندی شده اند. 2- تست خارجی برای اینكه یك فرد خارجی می­تواند چه چیزهایی در مورد سیستم شما كشف كرده و مورد سوء استفاده قرار دهد. 3- تست داخلی برای اینكه یك فرد داخلی می­تواند چه چیزهایی در مورد سیستم شما كشف كرده و مورد سوء استفاده قرار دهد. اگر منابع لازم برای انجام یك تست نفوذ خوب را در اختیار ندارید، حداقل یك اسكن كننده آسیب پذیری مانند nessus را اجرا كنید.

 

 

گام 9: ارتباطاتی را با آژانس­های حقوقی و سایر گروه­های پاسخگویی به رخدادهای كامپیوتری ایجاد كنید

اگر ارتباطات خود را از قبل سازماندهی نمایید، زمانی كه در وضعیت بحرانی به كمك احتیاج دارید این كار راحتتر انجام می­گیرد. ممكن است آژانس­های حقوقی متعددی مسئولیت­هایی برای مدیریت رخدادهای كامپیوتری داشته باشند كه با یكدیگر همپوشانی داشته باشند. مساله این است كه چگونه افرادی را پیدا كرده و با آنها تماس بگیریم كه در مورد رخدادهای كامپیوتری اطلاعات لازم را دارا هستند.

 

فعالیت 9-1: با قوانین كاربردی آشنا باشید

خود را با قوانین محلی مرتبط با جرایم كامپیوتری شامل قوانین مدیریت شواهد و تعقیب قانونی آشنا كنید. اگر قصد شما این است كه مجرم را مورد تعقیب قانونی قرار دهید، باید مفاهیم قانونی را درك نمایید.

 

فعالیت 9-2: انواع شرایطی را كه نهادهای اجرایی قانون درگیر خواهند شد شناسایی كنید

نهادهای اجرایی قانون پیش از هرچیز بر توقیف كردن و تعقیب كردن مجرمان تمركز دارند. آژانس­های حقوقی در این موارد كار می­كنند: خلافكاری، سرقت، جاسوسی، هرزنگاری كودكان و تهدیدات كامپیوتری. از طرف دیگر در شرایطی ممكن است كه این آژانس­ها قادر نباشند در پاسخگویی كمك نمایند. در صورتی كه شواهد حفظ نشوند یا اینكه مورد پیش آمده چندان ارزشمند به نظر نیاید، ممكن است آنها صرفا یك تحقیق سرسری انجام دهند.

 

فعالیت 9-3: پیش از وقوع یك رخداد با نهادهای محلی اجرایی قانون تماس بگیرید

اكنون زمان آن است كه ماموران جرایم كامپیوتری محلی خود را شناسایی كنید. آنها اغلب مایلند آموزش­هایی در مورد جرایم كامپیوتری به سازمان شما ارائه دهند و مدیریت شما را ملاقات نمایند. آنها همچنین می­توانند به شما برای تعیین ملزومات محلی و ملی برای مدیریت شواهد كمك كنند. تمامی اطلاعات تماس مربوط به این نهادها و اعضای آن شامل شماره های تلفن، آدرس­های ایمیل و سایر موارد مشابه را جمع آوری كنید. این اطلاعات تماس را در راهبردهای مدیریت رخداد سازمان خود یادداشت نمایید. ارتباطات از هر نوعی كه باشند، یك سرمایه به حساب می آیند. در یك رخداد این افراد می­توانند خود را به عنوان بهترین دوست سازمان شما به اثبات برسانند. برخی سایت­ها قویا پیشنهاد می­دهند كه یك فرد خاص به عنوان رابط حقوقی گروه انتخاب شود.

 

فعالیت 9-4: با یك گروه CIRT یا FIRST متصل شده یا چنین گروهی ایجاد كنید

اگر یك گروه پاسخگویی به رخدادهای كامپیوتری یا نهاد هماهنگ كننده برای سازمان­هایی مانند شما وجود دارد، اعضای آن را شناسایی كرده و مكانیزم­هایی برای كمك گرفتن از آنها در هنگام نیاز ایجاد كنید.

چهارشنبه, 25 ارديبهشت 1392 10:48

مدیریت رخداد در شش مرحله- مرحله آمادگی: قسمت چهارم

نوشته شده توسط

گام 5: امكانات گزارش دهی ساده فراهم كنید

زمانی كه كاربران نمی­دانند در صورت مشاهده یك رخداد امنیتی با چه كسی تماس گرفته یا چه بگویند، گزارش اطلاعات در مورد رخدادهای احتمالی را به تاخیر می اندازند. گزارش رخدادهای امنیتی كامپیوتری باید به اندازه گزارش یك واقعه آتش سوزی ساده باشد.

 

فعالیت 5-1: به كاربران آموزش دهید

زمانی كه كارمند جدیدی وارد سازمان می­شود، فرصت ایده آلی برای آگاهی دادن و راهنمایی وی در مورد روال­های مدیریت رخداد و پروسه گزارش دهی در سازمان است. البته حافظه افراد در طول زمان كمرنگ می­شود و به همین دلیل شما نباید روی معارفه اولیه كارمندان حساب چندانی باز كنید. اطلاع رسانی در مورد پاسخگویی رخداد در سازمان شما باید بخشی از آگاهی­ها و هشدارهای امنیتی سالانه شما باشد.

 

فعالیت 5-2: فهرستی از نشانه های یك رخداد را منتشر كنید

فهرستی از نشانه ها می­تواند به گروه شما و سایرین كمك كند كه یك رخداد را شناسایی نمایند. مثال­هایی از نشانه ها عبارتند از: فعالیت در حساب­های كاربری كه پیش از این بلا استفاده بوده اند، دسترسی­های غیر معمول خارج از محل، اسكریپت­های ریشه تخصیص id جدید، انتقال كلمات عبور در لاگ­های ftp و وب، از كار افتادن سیستم، پر شدن غیر عادی فایل سیستم­ها، نام­های فایل جدید یا نا آشنا و موارد غیر عادی مشابه. با مدیران سیستم­های سازمان خود برای تهیه فهرستی از نشانه هایی كه متناسب با سیستم عامل­های مورد استفاده در سازمان شما هستند همكاری نمایید.

 

فعالیت 5-3: از وب استفاده كنید

یك صفحه وب رخداد اینترانتی ایجاد كرده و به كاربران كمك كنید كه گروه مدیریت رخداد كامپیوتری شما را پیدا كنند. هر دپارتمانی باید یك كپی از این اطلاعات را در صورتی كه شبكه یا وب سرور از كار افتاده باشد در اختیار داشته باشد. شما همچنین می­توانید از صفحه وب برای آگاه نگاه داشتن سازمان خود از تغییرات استفاده نمایید.

 

فعالیت 5-4: گزارش دهی از طریق ایمیل یا تلفن را تبلیغ كنید

یك ایمیل ساده مانند incident@(yourorganization).org ایجاد كنید تا كاربران از طریق آن اقدام به گزارش كردن رخدادها نمایند. همچنین تخصیص خطوط تلفنی برای گزارش كردن رخدادهای امنیتی به صورت ناشناس و رایگان بسیار كمك كننده است.

 

فعالیت 5-5: به گزارش دهندگان پاداش بدهید

یك سازمان كارمندانی را كه رخدادها یا وقایع مشكوك را شناسایی كرده اند با یك جایزه مورد تقدیر قرار می­دهد. سازمان دیگری تصویر كارمندان هوشیار را با توضیح كوتاهی در مورد نحوه شناسایی رخداد توسط آنها و كمكی كه به سازمان كرده اند منتشر می­كند. به هر حال كارمندانی كه رخدادها را گزارش می­كنند باید مورد قدردانی قرار گیرند.

 

فعالیت 5-6: اطلاعات مدیریت را به صورت مداوم به روز نمایید

مدیریت را در مورد تهدیدات، هزینه رخدادها، ملزومات امنیتی و اطلاعات مشابه دیگر مطلع و آگاه نگاه دارید.

 

فعالیت 5-7: پارامترها و ملزومات رخداد را مشخص كنید

ملزوماتی را كه پیش از اعلام وقوع رخداد به مدیریت ارشد یا آژانس­های قانونی خارج از سازمان مورد نیاز است مشخص كنید. اطمینان حاصل كنید كه هر تماسی از این نوع مورد قبول مدیریت و اداره روابط عمومی قرار خواهد گرفت.

 

فعالیت 5-8: فرم­های گزارش دهی برای رخدادها را ایجاد و نگهداری نمایید

فرم­هایی برای ثبت اطلاعات رخدادها آماده كنید. استفاده از فرم­های از پیش آماده شده این اطمینان را ایجاد می­كند كه رخدادها به طور كامل و با اطلاعات دقیق ثبت شده اند.

 

گام 6: به اعضای گروه آموزش دهید

كارمندان ناآگاه و آموزش ندیده می­توانند در هنگام وقوع یك رخداد، دردسرهای بزرگی ایجاد كنند. پاسخگویی به یك رخداد می­تواند فشار زیادی بر روی گروه پاسخگویی وارد آورد. یك گروه آموزش دیده می­تواند كمك كند كه جریانات بسیار آرامتر پیش بروند.

 

فعالیت 6-1: نشستی برای برنامه ریزی و آموزش سناریوها تنظیم كنید

نشستی برای گروه مدیریت رخداد فراهم كنید تا در مورد چگونگی مدیریت سناریوهای اساسی بحث كنند. مثال­ها می­تواند شامل یك اپیدمی ویروسی، تلاش­های ناموفق برای نفوذ به كامپیوتر، نفوذهای موفق به كامپیوترها یا كشف حجم قابل توجهی از تصاویر غیر اخلاقی كودكان بر روی یك كامپیوتر شركت باشد. در مورد نحوه مدیریت این رخدادها تصمیم گیری كنید. مشخص كنید كه آیا منابع خارج از سازمان باید درگیر موضوع گردند یا خیر. سناریوهای ساختگی را با درس­هایی كه از آنها می­توان گرفت پی­گیری نمایید. سناریوهای مثالی و پاسخ آنها را در برنامه رسمی پاسخگویی رخداد سازمان خود درج كنید.

 

فعالیت 6-2: ابزارها و تكنیك­های آموزش را فراهم كنید

آموزش­هایی برای اعضای گروه پاسخگویی به رخداد در مورد استفاده از ابزارها و تكنیك­ها برای تهیه پشتیبان، جمع آوری شواهد و تحلیل فراهم كنید. یك CD یا فلاپی با ابزارهای جرم شناسی ایجاد نمایید. در صورتی كه قصد دارید از نتایج این ابزارها به عنوان شاهد قانونی استفاده كنید، بهتر است گروه حقوقی نیز این ابزارها را بازبینی نمایند. اطمینان حاصل كنید كه اعضای گروه به خوبی توجیه شده اند كه هرگز برنامه ها را مستقیما بر روی یك میزبان كه مورد سوء استفاده قرار گرفته است اجرا نكنند. اطمینان حاصل كنید كه ابزارهای انتخابی شما برای تحلیل جرم شناسی مورد قبول هستند و شواهد موجود بر روی سیستم هدف را تغییر نمی­دهند.

 

فعالیت 6-3: درایوهای پرظرفیت تهیه كنید

از آنجاییكه تهیه و نگهداری نسخه های پشتیبان یكی از مهمترین وظایف شماست، خود را با دیسك­های پر ظرفیت، دفترچه راهنمای نحوه استفاده از آنها، و انواع كابل­ها و ترمیناتورها مجهز كنید. استفاده از این ابزارها را پیش از اینكه در شرایط بحران به آنها نیاز پیدا كنید تمرین نمایید.

 

فعالیت 6-4: بازی­های جنگی ایجاد كنید

نشست­هایی برای شبیه سازی یك رخداد برای مدیران سیستم و اعضای گروه مدیریت رخداد اجرا كنید كه در آنها، برخی از اعضا به عنوان مهاجم و سایرین به عنوان مدافعان اعمال نقش نمایند. این بازی­های جنگی را صرفا به پرسنل ارشد محدود نكنید. برنامه پاسخگویی رخداد خود را طوری به روز نمایید كه شامل تمامی مسائل مطرح شده در آموزش­ها و تمرینات باشد.

 

گام 7: راهكارهایی را برای همكاری­های درون سازمانی ایجاد نمایید

زمانی كه یك رخداد اتفاق می افتد، معمولا كمبودی به لحاظ تعداد افرادی كه تمایل به كمك كردن دارند مشاهده نمی­شود. اما اگر نقش­های سازمانی و تعامل میان آنها به خوبی تعریف نشده باشند، برخی از این افراد می­توانند باعث وخیم­تر شدن اوضاع گردند.

 

فعالیت 7-1: مدیریت محلی در مورد رخدادهای كوچك را تقویت كنید

كاربران و مدیران سیستم­های محلی باید قادر باشند رخدادهای كوچك مانند آلودگی­های ویروسی را مدیریت نمایند. سیاست رخداد سازمان باید تعیین كند كه كاربران و مدیران سیستم­ها كدام رخدادها را به تنهایی می­توانند مدیریت نمایند و كدام رخدادها را باید گزارش كنند.

 

فعالیت 7-2: همكاری نزدیكی با help desk ها داشته باشید

نخستین نشانه وقوع یك مشكل می­تواند كاربری باشد كه به یك help desk (واحد پشتیبانی) گزارش می­دهد. help desk ها می­توانند اولین خط دفاعی برای رخدادهای كوچكی مانند آلودگی­های ویروسی كه چند سیستم را درگیر كرده است باشند. بسیاری از help desk ها ساعت سرویس دهی طولانی داشته و برخی حتی شبانه روزی هستند. Help desk را به بخشی از گروه مدیریت رخداد تبدیل كنید و به عنوان نقطه تماس برای گزارش رخدادها از آن استفاده نمایید.

Help desk ها همچنین یك هدف اولیه برای حملات مهندسی اجتماعی هستند. یك حمله بسیار ساده مهندسی اجتماعی تلفنی است كه می­گوید: «من برای تحویل یك گزارش مهم به مدیر عجله دارم و متاسفانه كلمه عبور خود را فراموش كرده ام. ممكن است یك كلمه عبور جدید به من بدهید؟» اگر كارمندان help desk بخشی از پروسه مدیریت رخداد شما باشند، از انواع حملاتی كه بر علیه سازمان شما انجام می­شود آگاه هستند و احتمال آسیب پذیری آنها در برابر حملات مهندسی اجتماعی كمتر خواهد بود. بعلاوه در بسیاری از سازمان­ها كارمندان help desk بر مدیریت شبكه و كنسول­های نفوذ نظارت می­كنند و در نتیجه در مورد مشاهده، گزارش دادن و احتمالا پاسخگویی به رخدادها آموزش­های اولیه دیده اند. در نهایت اگر كاربر یكی از سیستم­ها مشكلی را مشاهده كند و تشخیص ندهد كه مربوط به یك سوء استفاده امنیتی است یا خیر، احتمالا مشكل را به help desk گزارش خواهد داد.

چهارشنبه, 25 ارديبهشت 1392 10:46

مدیریت رخداد در شش مرحله- مرحله آمادگی: قسمت سوم

نوشته شده توسط

گام 4: یك طرح ارتباطی اورژانس ایجاد كنید

نگهداری ارتباطات و آگاه نگاه داشتن افراد مرتبط، كارهای بسیار مهمی هستند كه پیش از این به خوبی توضیح داده شده اند. اما در هنگام مواجهه با رویدادهای جدید و غیر منتظره ای كه در طول رخدادها ممكن است رخ دهند، ممكن است كانال­های ارتباطی طبیعی قطع گردند.

 

فعالیت 4-1: یك لیست تماس تهیه كرده و روش­هایی برای اطلاع رسانی سریع به افراد ایجاد كنید

از فرم­های ارتباطی برای ثبت شماره تلفن­ها و تماس­ها استفاده كنید. یك فرد جایگزین برای هریك از مدیران سیستم­ها تعیین كرده و اطلاعات تماس هر مدیر سیستم و افراد شبكه را در اختیار داشته باشید. شماره محل كار، تلفن موبایل و منزل كارمندان و تلفن­های جایگزین برای زمانی كه این افراد ممكن است در دسترس نباشند را برای مواقع ضروری ثبت كنید. شماره پیجر و ایمیل افراد را نیز ثبت نمایید.

 

فعالیت 4-2: یك درخت تماس برای هشدار در مورد رخداد تهیه كنید

پس از اینكه یك رخداد شناسایی شده و گروه مدیریت رخداد در محل، به محل وقوع رخداد اعزام شد، یك درخت تماس می­تواند برای برای تماس گرفتن با بسیاری از افراد در سازمان شما مورد استفاده قرار گیرد. یك درخت تماس به شما اجازه می­دهد كه با یك بخش از سازمان تماس گرفته و از این طریق تماس­هایی را با سایر افراد كلیدی آن بخش برقرار كنید. شما همچنین می­توانید این درخت را در برنامه خروج از بحران سازمان خود تعریف كنید. چارت سازمانی شما بهترین نقطه شروع برای ایجاد این درخت است. درخت تماس و لیست تماس را حداقل هر سال یك بار تست كنید.

نكته: راهنمایی برای استفاده از درخت تماس باید از طرف گروه تصمیم و دستور ارائه گردد.

 

فعالیت 4-3: نسخه پشتیبان لیست تماس و درخت تماس را خارج از محل نگهداری كنید

كپی­هایی از لیست تماس و درخت تماس را خارج از محل نگهداری كنید و اطمینان حاصل كنید كه اعضای گروه پاسخگویی به رخداد محل این اطلاعات را می­دانند. بعلاوه متخصصین باتجربه پاسخگویی به رخداد باید اطلاعات تماس را همه جا همراه خود داشته باشند.

 

فعالیت 4-4: اطمینان حاصل كنید كه كلمات عبور و كلیدهای رمزنگاری به روز و در دسترس هستند

هر چقدر لیست تماس شما مناسب باشد، باز هم ممكن است برخی مدیران سیستم­ها در هنگام یك رخداد حیاتی در دسترس نباشند. اطمینان حاصل كنید كه كلمات عبور مورد استفاده برای دسترسی به root یا دسترسی مدیریتی به هر سیستم و نیز LAN داخل سازمان، بر روی یك كاغذ ثبت شده و در پاكت­های مهر و موم شده و امضا شده كوچك و برچسب گذاری شده، قرار گرفته است. این پاكت­ها باید طوری مهر و موم و امضا شوند كه در صورت باز شدن توسط دیگران، كاملا مشخص باشد. همچنین این پاكت­ها باید در محلی امن نگهداری شوند كه توسط گروه مدیریت قابل دسترسی باشند. روال­هایی ایجاد كنید تا اطمینان حاصل نمایید كه این كلمات عبور به روز هستند. همین پروسه برای ذخیره كلیدهای رمزگذاری برای اطلاعات حساس نیز مفید است. اطمینان حاصل كنید كه روال­های شما شامل تمهیداتی برای تشخیص افرادی كه در طول یك وضعیت اورژانسی نیاز به یك كلمه عبور یا كلید رمزنگاری دارند، می­باشد. زمانی كه این دسترسی دیگر لازم نیست، مطمئن شوید كه كلمات عبور تغییر كرده اند و كلیدهای جدید جایگزین شده اند.

 

فعالیت 4-5: یك نقطه تماس اولیه و یك مركز ارتباطی ایجاد كنید

هماهنگی موثر نیاز به یك نقطه تماس واحد (POC) دارد. در غیر اینصورت كسی نمی­داند كه چه كسی مسئول است. برای رخدادهای بزرگتر، این فرد باید مدیر یك گروه Command Post باشد كه یك مركز ارتباط و پاسخگویی ایجاد می­كند. این مركز باید محلی با تعداد زیادی خط تلفن، صندوق­های پست صوتی و فكس باشد. برخی از این خطوط تلفن و فكس باید خطوط خارجی باشند و از طریق سوئیچ تلفن سازمان شما مسیریابی نگردند. ژنراتورهای قابل حمل، تلفن­های سلولی و باتری­های یدكی نیز بهتر است در این محل وجود داشته باشند. در این محل همچنین باید كپی­هایی از تمامی روال­های رخدادها و اطلاعات تماس نگهداری شود.

 

فعالیت 4-6: (در محل­های بسیار حیاتی) ارتباطات امن ایجاد كنید

در رخدادهای بزرگ، ممكن است كه هم سیستم­های كامپیوتری و هم مركز تلفن سازمان شما مورد نفوذ قرار گیرند. در حقیقت در تعداد زیادی از رخدادها، فرد مجرم یك كارمند یا پیمانكار سازمان شماست و در موقعیتی قرار گرفته است كه می­تواند به خوبی ارتباطات شما را كنترل نماید. در چنین وضعیتی تلفن­ها و سیستم­های فكس رمزگذاری شده، ممكن است تنها راه برای نگهداری ارتباطات گروه بدون اطلاع مهاجم باشد. ابزارهای در دسترس شامل PGP، صفحات وب امن و گروه­های خبری امن برای تمامی ارتباطات گروه به گروه هستند.

 

فعالیت 4-7: برنامه هایی برای تخصیص منابع لازم برای گروه­ها ایجاد كنید

هر دو گروه باید روال­هایی برای سفارش غذا، محل استقرار، نرم افزارها و سایر منابع مورد نیاز در طول یك رخداد داشته باشند. گروه پاسخگویی در محل باید به نرم افزار و سخت افزار پشتیبان، دیسكت­های راه اندازی برای سیستم عامل­های معمول، فلاپی­های خالی و پرینترهای قابل جابجایی دسترسی داشته باشند.

چهارشنبه, 25 ارديبهشت 1392 10:46

مدیریت رخداد در شش مرحله- مرحله آمادگی: قسمت سوم

نوشته شده توسط

گام 4: یك طرح ارتباطی اورژانس ایجاد كنید

نگهداری ارتباطات و آگاه نگاه داشتن افراد مرتبط، كارهای بسیار مهمی هستند كه پیش از این به خوبی توضیح داده شده اند. اما در هنگام مواجهه با رویدادهای جدید و غیر منتظره ای كه در طول رخدادها ممكن است رخ دهند، ممكن است كانال­های ارتباطی طبیعی قطع گردند.

 

فعالیت 4-1: یك لیست تماس تهیه كرده و روش­هایی برای اطلاع رسانی سریع به افراد ایجاد كنید

از فرم­های ارتباطی برای ثبت شماره تلفن­ها و تماس­ها استفاده كنید. یك فرد جایگزین برای هریك از مدیران سیستم­ها تعیین كرده و اطلاعات تماس هر مدیر سیستم و افراد شبكه را در اختیار داشته باشید. شماره محل كار، تلفن موبایل و منزل كارمندان و تلفن­های جایگزین برای زمانی كه این افراد ممكن است در دسترس نباشند را برای مواقع ضروری ثبت كنید. شماره پیجر و ایمیل افراد را نیز ثبت نمایید.

 

فعالیت 4-2: یك درخت تماس برای هشدار در مورد رخداد تهیه كنید

پس از اینكه یك رخداد شناسایی شده و گروه مدیریت رخداد در محل، به محل وقوع رخداد اعزام شد، یك درخت تماس می­تواند برای برای تماس گرفتن با بسیاری از افراد در سازمان شما مورد استفاده قرار گیرد. یك درخت تماس به شما اجازه می­دهد كه با یك بخش از سازمان تماس گرفته و از این طریق تماس­هایی را با سایر افراد كلیدی آن بخش برقرار كنید. شما همچنین می­توانید این درخت را در برنامه خروج از بحران سازمان خود تعریف كنید. چارت سازمانی شما بهترین نقطه شروع برای ایجاد این درخت است. درخت تماس و لیست تماس را حداقل هر سال یك بار تست كنید.

نكته: راهنمایی برای استفاده از درخت تماس باید از طرف گروه تصمیم و دستور ارائه گردد.

 

فعالیت 4-3: نسخه پشتیبان لیست تماس و درخت تماس را خارج از محل نگهداری كنید

كپی­هایی از لیست تماس و درخت تماس را خارج از محل نگهداری كنید و اطمینان حاصل كنید كه اعضای گروه پاسخگویی به رخداد محل این اطلاعات را می­دانند. بعلاوه متخصصین باتجربه پاسخگویی به رخداد باید اطلاعات تماس را همه جا همراه خود داشته باشند.

 

فعالیت 4-4: اطمینان حاصل كنید كه كلمات عبور و كلیدهای رمزنگاری به روز و در دسترس هستند

هر چقدر لیست تماس شما مناسب باشد، باز هم ممكن است برخی مدیران سیستم­ها در هنگام یك رخداد حیاتی در دسترس نباشند. اطمینان حاصل كنید كه كلمات عبور مورد استفاده برای دسترسی به root یا دسترسی مدیریتی به هر سیستم و نیز LAN داخل سازمان، بر روی یك كاغذ ثبت شده و در پاكت­های مهر و موم شده و امضا شده كوچك و برچسب گذاری شده، قرار گرفته است. این پاكت­ها باید طوری مهر و موم و امضا شوند كه در صورت باز شدن توسط دیگران، كاملا مشخص باشد. همچنین این پاكت­ها باید در محلی امن نگهداری شوند كه توسط گروه مدیریت قابل دسترسی باشند. روال­هایی ایجاد كنید تا اطمینان حاصل نمایید كه این كلمات عبور به روز هستند. همین پروسه برای ذخیره كلیدهای رمزگذاری برای اطلاعات حساس نیز مفید است. اطمینان حاصل كنید كه روال­های شما شامل تمهیداتی برای تشخیص افرادی كه در طول یك وضعیت اورژانسی نیاز به یك كلمه عبور یا كلید رمزنگاری دارند، می­باشد. زمانی كه این دسترسی دیگر لازم نیست، مطمئن شوید كه كلمات عبور تغییر كرده اند و كلیدهای جدید جایگزین شده اند.

 

فعالیت 4-5: یك نقطه تماس اولیه و یك مركز ارتباطی ایجاد كنید

هماهنگی موثر نیاز به یك نقطه تماس واحد (POC) دارد. در غیر اینصورت كسی نمی­داند كه چه كسی مسئول است. برای رخدادهای بزرگتر، این فرد باید مدیر یك گروه Command Post باشد كه یك مركز ارتباط و پاسخگویی ایجاد می­كند. این مركز باید محلی با تعداد زیادی خط تلفن، صندوق­های پست صوتی و فكس باشد. برخی از این خطوط تلفن و فكس باید خطوط خارجی باشند و از طریق سوئیچ تلفن سازمان شما مسیریابی نگردند. ژنراتورهای قابل حمل، تلفن­های سلولی و باتری­های یدكی نیز بهتر است در این محل وجود داشته باشند. در این محل همچنین باید كپی­هایی از تمامی روال­های رخدادها و اطلاعات تماس نگهداری شود.

 

فعالیت 4-6: (در محل­های بسیار حیاتی) ارتباطات امن ایجاد كنید

در رخدادهای بزرگ، ممكن است كه هم سیستم­های كامپیوتری و هم مركز تلفن سازمان شما مورد نفوذ قرار گیرند. در حقیقت در تعداد زیادی از رخدادها، فرد مجرم یك كارمند یا پیمانكار سازمان شماست و در موقعیتی قرار گرفته است كه می­تواند به خوبی ارتباطات شما را كنترل نماید. در چنین وضعیتی تلفن­ها و سیستم­های فكس رمزگذاری شده، ممكن است تنها راه برای نگهداری ارتباطات گروه بدون اطلاع مهاجم باشد. ابزارهای در دسترس شامل PGP، صفحات وب امن و گروه­های خبری امن برای تمامی ارتباطات گروه به گروه هستند.

 

فعالیت 4-7: برنامه هایی برای تخصیص منابع لازم برای گروه­ها ایجاد كنید

هر دو گروه باید روال­هایی برای سفارش غذا، محل استقرار، نرم افزارها و سایر منابع مورد نیاز در طول یك رخداد داشته باشند. گروه پاسخگویی در محل باید به نرم افزار و سخت افزار پشتیبان، دیسكت­های راه اندازی برای سیستم عامل­های معمول، فلاپی­های خالی و پرینترهای قابل جابجایی دسترسی داشته باشند.

چهارشنبه, 25 ارديبهشت 1392 10:46

مدیریت رخداد در شش مرحله- مرحله آمادگی: قسمت دوم

نوشته شده توسط

گام 2: پشتیبانی مدیریت را برای مدیریت رخداد جلب كنید

توجه داشته باشید كه تا زمانی كه پشتیبانی مدیریت سازمان را به همراه نداشته باشید، به دست آوردن زمان، پول و پشتیبانی سیاسی برای فعالیت­های مدیریت رخداد بسیار سخت و حتی غیر ممكن خواهد بود.

 

فعالیت 2-1: یك برنامه پاسخگویی به رخداد امنیتی به طور مدون و رسمی بنویسید

ایجاد یك برنامه رسمی مدیریت رخداد این اطمینان را ایجاد می­كند كه تمامی افراد درك می­كنند كه رخدادهای امنیتی چگونه مدیریت خواهند شد. این برنامه باید به طور منظم به روز رسانی شده و شامل سناریوهای رخدادهای معمول و راه حل­های آنها، به همراه یك لیست تماس باشد.

برنامه پاسخگویی به رخداد را با نیازهای تجاری سازمان خود متناسب كنید. مقاله های مرتبط را در یك پوشه قرار دهید. كپی­های پرینت شده از نفوذ به وب سرورهای معروف را به آن اضافه كنید و درس­هایی را كه می­شود از این نفوذها گرفت، مشخص كنید.

مقالات و كتابچه ها می­توانند به شما برای جلب توجه مدیریت سازمان كمك كنند. هر زمان كه جلسه ای مرتبط با گروه مدیریت رخداد دارید، این پوشه را با خود به همراه ببرید. بدترین سناریوهای ممكن برای نفوذ به سیستم­های حیاتی سازمان خود را شرح داده و نشان دهید كه این نفوذها چه تاثیری بر وضعیت مالی و نیز شهرت سازمان می­گذارند.

 

فعالیت 2-2: یك رخداد را به صورت گرافیكی شرح دهید

برای نمایش یك یا دو رخداد در پوشه خود زمان صرف كنید. یك نمودار ایجاد كنید كه نشان دهد مهاجمان از كجا آمده اند، آسیب پذیری­های مورد استفاده آنها چه بوده است و به چه چیزهایی دسترسی پیدا كرده اند. به عوامل تصمیم گیرنده در سازمان خود كمك كنید كه درك درستی از نتایج عدم كشف یك رخدا پیدا كنند. این فعالیت به مدیریت شما قدرت بیشتری می­دهد. چرا كه زمانی كه آنها یك رخداد را درك كنند و بتوانند آن را برای همتایان خود توضیح دهند، به یك فرد آگاه در این زمینه تبدیل می­شوند.

 

فعالیت 2-3: تاریخچه ای از رخدادهای پیشین ارائه دهید

خلاصه هایی از رخدادهای پیشین را در پوشه خود نگهداری كنید. اطلاعات مربوط به هزینه رخدادهای محتلف را نیز مشخص كنید. این هزینه شامل ضربه وارد شده به نام و شهرت شركت، ضرر مالی ایجاد شده در مدت زمان از كار افتادن سیستم و زمان صرف شده برای تحقیق بر روی رخداد است. شما همچنین باید به هزینه های صرفه جویی شده در هنگام پاسخگویی سریع و حرفه ای نیز اشاره كنید.

 

فعالیت 2-4: اختیارات لازم را برای گروه پاسخگویی به رخداد به دست آورید

داشتن اختیارات لازم برای تصمیم گیری­های سخت در میانه یك بحران، می­تواند شما را از شكست به پیروزی برساند. سطح اختیارات گروه مدیریت رخداد برای اخذ تصمیمات حیاتی را مشخص كنید. این اختیارات شامل قطع كردن سرورها و شبكه نیز می­شود. اطمینان حاصل كنید كه مدیریت سطح اختیارات گروه مدیریت رخداد را درك كرده و در صورت وقوع یك رخداد از آن پشتیبانی می­كند. این اختیارات را در برنامه مدیریت رخداد رسمی سازمان خود مستند نمایید.

 

گام 3: اعضای گروه مدیریت رخداد را انتخاب و سازماندهی نمایید

مدیریت رخداد یك كار تك نفره نیست. انتخاب افراد صحیح در مكان­های صحیح و با آمادگی كافی می­تواند بسیاری شرایط را به نفع گروه تغییر دهد.

 

فعالیت 3-1: افراد مجرب را برای پیوستن به گروه شناسایی كنید

نام و اطلاعات تماس افرادی را كه به نظرتان می­رسد یادداشت نمایید. با همكاران و مدیریت سازمان خود در مورد شكل دادن یك گروه مدیریت رخداد محلی صحبت كنید. گروهی انتخاب كنید كه صرفا شامل مدیران سیستم­ها با مسئولیت­های امنیتی نباشد. این گروه باید شامل مدیریت آموزش دیده و نمایندگانی از امنیت اطلاعات، مدیریت بحران، منابع انسانی و بخش حقوقی سازمان باشد تا بتوانند در مورد خاموش كردن یا نكردن سیستم­های تجاری مركزی برای نجات دادن سازمان از خطرهای بزرگتر و ضررهای بیشتر تصمیم گیری نمایند. متخصصان این زمینه ها را شناسایی كرده و اطلاعات تماس آنها را در یك فایل نگهداری كنید.

 

فعالیت 3-2: گروه­های محلی، مركزی یا تركیبی ایجاد كنید

گروه شما از دو بخش تشكیل خواهد شد: یك گروه تصمیم دستور برای هماهنگی فعالیت­ها و یك گروه مدیریت رخداد در محل. در برخی شرایط، افراد این دو گروه ممكن است یكسان باشند، اما در سایر موارد این افراد متفاوت هستند.

گروه مدیریت رخداد در محل، به محل وقوع رخداد می­رود. اعضای گروه محل را امن كرده، وضعیت را بررسی كرده، خطر را محدود نموده، تخفیف داده و در نهایت وضعیت را به حالت عادی برمی­گردانند.

گروه تصمیم دستور، ارزیابی­های فنی گروه مدیریت در محل را به گام­های بازیابی و بهبود كه مدیریت به سازمان ارائه می­كند، ترجمه می­كنند. در صورتی كه نیاز به ارائه اطلاعاتی به سازمان­های دیگر یا عموم مردم باشد، آنها با روابط عمومی سازمان و كارمندان بخش حقوقی ارتباط برقرار كرده و كار می­كنند. این افراد همچنین مسئول آگاه كردن مدیریت ارشد نسبت به وضعیت فعلی رخداد هستند.

عكس العمل سریع نیازمند این است كه شما تصمیم گیری كنید كه چه سازمان­ها و مقاماتی باید در هر دوی این گروه­ها نماینده داشته باشند. پروسه برنامه ریزی را با در نظر گرفتن این نكته كه در صورتی كه سازمان شما نیاز به مدیریت چندین رخداد همزمان داشته باشد چه رخ خواهد داد، آغاز نمایید.

در وضعیت وقوع چندین رخداد، مدیران با تجربه باید وضعیت را بررسی كرده و افراد كم تجربه تر را به برخی رخدادها تخصیص دهند. در چنین وضعیتی، اعتماد به پشتیبانی محلی بسیار مورد نیاز است. برای سازمان­هایی با چندین بخش در محل­های فیزیكی مختلف، این گروه می­تواند از نمایندگان هر محل تشكیل شده باشد. در سازمان­های بسیار بزرگ كه سعی در مدیریت تمامی رخدادها با تنها یك گروه مركزی دارند، گاهی كمبود زمان برای رفتن از یك محل به محل دیگر، باعث كاهش قابلیت آنها در پاسخگویی سریع می­شود.

 

فعالیت 3-3: افراد مناسب را در روابط عمومی سازمان خود شناسایی نمایید

گروه روابط عمومی مسئول پاسخگویی به سوالات عمومی در مورد فعالیت­های سازمانی است. زمانی كه یك رخداد امنیتی رخ می­دهد، این مسئولیت روابط عمومی نیز هست كه اطلاعات مناسب را برای همگان منتشر نماید. گروه روابط عمومی شما همچنین می­تواند یك پشتیبان ارزشمند برای مدیریت رخداد باشد. آنها معمولا دسترسی بسیار خوبی به مدیریت ارشد دارند و می­توانند در هماهنگی ارتباطات بین گروه و مدیران ارشد كمك كننده باشند.

توجه: برقراری ارتباط مستقیم با نشریات می­تواند برای شما خطرناك باشد. تمامی ارتباطات با نشریات باید از طریق روابط عمومی و با كمك مدیریت سازمان و گروه پاسخگویی به رخداد باشد.

 

فعالیت 3-4: برنامه مقابله با بحران سازمان خود را طوری به روز رسانی كنید كه مدیریت رخدادهای كامپیوتری را نیز شامل شود

سیستم­های تجاری حیاتی خاص ممكن است به سایت­های پشتیبان یا سیستم­های جایگزین نیاز داشته باشند. این سیستم­ها و شبكه های جایگزین به شما اجازه می­دهند كه سیستمی را كه مورد سوء استفاده قرار گرفته است بدون تاثیر بر پروسه تجاری سازمان از حالت فعال خارج نمایید. اطمینان حاصل كنید كه برنامه خروج از بحران سازمان شما شامل اطلاعات تماس 24 ساعته با افراد كلیدی است. روال­های خروج از بحران را هر از گاهی آزمایش كنید.

 

فعالیت 3-5: یك برنامه پاداش دهی برای گروه در نظر بگیرید

مدیران رخداد و مدیران سیستم­ها به ازای تلاش فوق العاده ای كه برای پاسخگویی به یك رخداد می­كنند، بر روی پشتیبانی­ها حساب می­كنند. این افراد را به مدیریت شناسانده و در مورد پاداش آنها با مدیریت مذاكره كنید. اطمینان حاصل كنید كه اضافه كاری­ها پرداخت خواهد شد و در ازای زمان طولانی كه برای پاسخگویی به رخدادهای امنیتی صرف می­شود، مرخصی­هایی برای آنها در نظر گرفته خواهد شد.

 

فعالیت 3-6: چك لیست­ها و نمودارهای شبكه را تهیه كنید

چك لیست­هایی برای روال­های مدیریت رخداد به تمامی اعضای گروه كمك می­كنند كه از خطاها دوری كرده و گام­های صحیح را برای حل رخداد بردارند. در محیط­های پیچیده، نمودارها و اسناد پیكربندی كه همبندی (توپولوژی) شبكه را مشخص می­كنند، شامل ACL های مسیریاب و مجموعه قوانین فایروال باید به اعضا ارائه گردند. این اسناد را بخشی از برنامه مدیریت رخداد امنیتی رسمی خود قرار دهید.

چهارشنبه, 25 ارديبهشت 1392 10:45

مدیریت رخداد در شش مرحله- مرحله آمادگی: قسمت اول

نوشته شده توسط

زمانی كه یك رخداد كشف می­شود، تصمیم گیری عجولانه در مورد آن موثر و كارآ نخواهد بود. با مدون كردن سیاست­ها، روال­ها و توافق­های مناسب، احتمال انجام اشتباهات فاجعه آمیز به حداقل خواهد رسید. علاوه بر این با در نظر گرفتن معیارهای پیشگیرانه، قادر خواهید بود تعداد رخدادها را نیز كم كنید.

 

گام 1: از تكنیك­های پیشگیرانه برای جلوگیری از رخدادها استفاده كنید.

بهترین راه برای مدیریت یك رخداد این است كه در گام اول از روی دادن آن جلوگیری نماییم. برای انجام این كار، نیاز به تدوین سیاست­ها، كنترل و تحلیل ترافیك شبكه، به كارگیری یك برنامه اصلاح آسیب پذیری­ها، تشخیص آسیب پذیری­ها، ارتقای مهارت­های امنیتی فنی كارمندان، پیكربندی آگاهانه سیستم­ها و ایجاد برنامه های آموزش مدیریت رخداد است. تركیب این اعمال، كار نفوذگران را برای دسترسی به سیستم­های شما و ضربه زدن به آنها سخت­تر می­كند. به این منظور فعالیت­های زیر را انجام دهید.

 

فعالیت 1-1: آسیب پذیری­های شناخته شده سیستم را اصلاح كنید

حجم گسترده ای از نفوذهای كامپیوتری از طریق آسیب پذیری­های شناخته شده اتفاق می افتند. برای جلوگیری از نفوذ به سیستم، هیچ كاری مهمتر از پیكربندی امن سیستم­های جدید و اصلاح آسیب پذیری­های شناخته شده وجود ندارد.

یك پروسه رسمی برای بازبینی هشدارهای امنیتی و تست و اعمال اصلاحیه ها ایجاد نمایید. با مدیران سیستم­های خود كار كرده و اطمینان حاصل كنید كه اصلاحیه های مهم در كوتاهترین زمان ممكن اعمال می­شوند. اصلاحیه ها را پیش از اتصال سیستم­های جدید به اینترنت، بر روی آنها نصب كنید.

نكته: یكی از درس­های كرم Code Red در جولای 2001 این بود كه بسیاری از سیستم­هایی كه پشت فایروال قرار داشتند نیز آلوده شده بودند. بنابراین به اصلاح آسیب پذیری­های تمام سیستم­ها اهمیت دهید.

 

فعالیت 1-2: مهارت­های امنیتی فنی را توسعه دهید

در مقیاس بزرگ معمولا آسیب پذیری­ها حذف نمی­شوند، چرا كه مدیران سیستم­ها و شبكه ها و حتی متخصصین امنیتی از این آسیب پذیری­ها آگاه نبوده یا نمی­دانند با آنها چه كنند. عاقلانه است كه از تك تك مدیران سیستم و مدیران شبكه و تك تك افرادی كه مسوولیت مستقیم امنیت و عملكرد سیستم را بر عهده دارند بخواهید كه مهارت­های خود را افزایش دهند و این مساله را از طریق دریافت گواهی­های معتبر ثابت كنند.

 

فعالیت 1-3: سیاستی در مورد محرمانگی ایجاد كنید

سازمان شما باید سیاستی در مورد محرمانگی تدوین كرده و رعایت آن را اجباری كند. این سیاست باید به سوالاتی مانند این پاسخ دهد: "آیا ایمیل­های ذخیره شده بر روی فایل سرور شما جزو دارایی­های سازمان به حساب می آید یا جزو دارایی­های هر یك از كاربران سیستم­ها؟". این سیاست همچنین باید مشخص كند كه رمزگذاری در چه زمانی مجاز بوده و تحت چه شرایطی مورد نیاز است. بخش رمزگذاری باید افرادی را كه كلیدها را نگهداری می­كنند نیز مشخص كرده باشد.

 

فعالیت 1-4: پیغام­های هشدار دهنده نمایش دهید

از دید حقوقی، نمایش پیغام­های هشدار دهنده یكی از مهمترین گام­هایی است كه می­توانید برای ایجاد آمادگی برای یك رخداد انجام دهید. هر سیستمی باید یك پیغام هشدار دهنده قابل مشاهده برای كاربرانی كه سعی می­كنند به آن وارد شوند، نمایش دهد. این پیغام باید بیان كننده این نكات باشد كه این سیستم جزو دارایی­های سازمان شماست، در معرض كنترل قرار دارد و استفاده بدون مجوز از آن ممنوع است. مشاور حقوقی شما باید پیغام هشدار دهنده شما را بازبینی نماید. این پیغام نباید سیستم عامل یا هدف این كامپیوتر را مشخص كند.

 

فعالیت 1-5: یك راهكار سازمانی برای مدیریت رخداد ایجاد كنید

زمانی كه یك رخداد كشف می­شود، شما بین دو روش مدیریت رخداد باید تصمیم گیری كنید. اولین و ساده ترین روش «منع، حذف و رد دسترسی» است. تمركز این روش بر ریشه كن كردن مشكل با سرعت هرچه تمامتر و بازگشت به كار عادی است. روش دیگر كه به مهارت فنی و برنامه ریزی بیشتری نیاز دارد، عبارتست از «كنترل و جمع آوری اطلاعات». در اینجا شما به فرد نفوذگر اجازه می­دهید كه به حمله خود ادامه دهد. البته ممكن است این كار را با محدودیت­های زیركانه كه خرابی را به حداقل می­رسانند انجام دهید. اغلب، تصمیم گیری بین این دو روش به این بستگی دارد كه شما مایلید فرد نفوذگر را تعقیب كنید یا خیر. روش اول شواهد لازم برای شناسایی و تعقیب مجرم را در اختیار شما نمی­گذارد.

زمانی كه روش اول انتخاب می­شود، یك سازمان از مجموعه ای از تكنیك­ها مانند رد كردن دسترسی به «آدرس­های IP بد»، ایجاد محدودیت برای سرویس­ها با استفاده از یك فایروال یا مسیریاب برای فیلتر كردن ترافیك، یا فقط قطع كردن سیستم­های هدف از شبكه را مورد استفاده قرار می­دهد.

هر دو روش مزایا و معایبی دارند. بهتر است كه سیاست خود را با توجه به یك رخداد جدی تعیین كنید. مدیریت سازمان را وارد این تصمیم گیری نمایید. هر سیستم یا برنامه ای بسته به حساسیت آن، می­تواند یك روش مدیریت رخداد مخصوص به خود داشته باشد. این تصمیم به مدیریت رده بالا وابسته است، اما باید پیش از وقوع یك رخداد این تصمیم گیری انجام شود و در روال­های مدیریت رخداد رسمی سازی گردد.

 

فعالیت 1-6: تشخیص نفوذ خودكار ایجاد كنید

یك سیستم تشخیص نفوذ (IDS) می­تواند یك مكانیزم هشدار دهی اولیه در هنگام وقوع نفوذ به یك سیستم ارائه دهد. محصولات تجاری و ابزارهای رایگان مانند Snort می­توانند طوری تنظیم گردند تا بخش­های حیاتی شبكه را در مورد حملات نظارت كنند. بعلاوه، از عامل­های مبتنی بر میزبان بر روی سرورهای حیاتی استفاده كنید تا در هنگام احتمال وقوع حمله به سیستم­های شخصی، هشدار دهند. هشدارها را اولویت بندی نموده و IDS را تنظیم كنید تا تعداد «گزارش­های خطای نادرست» را كاهش دهید و هشدارهای با كیفیت تولید نمایید. در صورتی كه یك رخداد كار سازمان شما را به دادگاه بكشاند، یك IDS به عنوان منبعی از داده ها مورد استناد قرار می­گیرد تا نشان دهد كه لاگ­های سیستم­ها دستكاری یا جعل نشده اند.

نكته: برخی محصولات IDS می­توانند طوری پیكربندی گردند كه به طور خودكار به یك رخداد پاسخ دهند. برای مثال می­توانند این كار را با قطع ارتباط فرد مهاجم یا تنظیم مجدد لیست كنترل دسترسی فایروال انجام دهند. در هنگام پیكربندی یك IDS به این روش باید احتیاط لازم مد نظر قرار داده شود، چرا كه مهاجمان هوشمند قادر خواهند بود با استفاده از پاسخ خودكار، IDS شما را فریب دهند تا فعالیت­های ناخواسته ای را انجام دهد.

 

فعالیت 1-7: سیاستی برای ارتباط با سازمان­ها و افراد خارج از سازمان ایجاد كنید

یك گروه از رخدادهای كامپیوتری كه به شدت در حال گسترش هستند، حملات انكار سرویس مبتنی بر شبكه هستند كه از كلاهبرداری استفاده می­كنند. در این حالت یك فرد در بیرون از سازمان شما می­تواند كاری كند كه كامپیوترهای شما به یك سازمان دیگر حمله كنند. سازمان شما باید سیاستی را تدوین كند كه مشخص نماید با چه كسی، در چه زمانی و چگونه در سازمان­های بیرونی تماس گرفته شده و در این باره اطلاع رسانی شود. بسیار مهم است كه درست مانند زمانی كه سازمان شما هدف قرار می­گیرد، در زمانی كه سازمان شما به منبع مشكلات تبدیل می­شود نیز پاسخگو و مسوولیت پذیر باشید. در این رخدادهای مدرن، سازمان شما می­تواند منبع حملاتی به نظر بیاید كه در حقیقت نیست. روال­هایی بنویسید كه ارتباطات با سایت­های منبع و سایت­های هدف را تعریف كنند.

سیاستی برای برخورد با رخدادهایی كه كامپیوترهای راه دور شما و رخدادهایی كه كامپیوترهای پیمان­كاران و سایر كارمندان غیر تمام وقت را درگیر می­كنند، تدوین كنید. هر چه تعداد بیشتری از كارمندان از راه دور كار كنند، رخدادهای امنیتی بیشتری سیستم­های راه دور را تحت تاثیر قرار داده یا توسط این سیستم­های ایجاد می­شود. سیاستی تدوین كنید كه كار جستجو و ضبط این سیستم­ها را انجام دهد. سیستم­های مشاوران، كارمندان موقتی و زیر پیمانكاران در دسته این سیستم­ها قرار می­گیرند. اطمینان حاصل كنید كه «سیاست­های استفاده قابل قبول» سازمان شما، شامل كامپیوترهای خانگی و كامپیوترهای قابل حمل نیز می­شود. سیستمی را ایجاد كنید كه از طریق آن به طور روتین هر فرد خارجی كه به سیستم­ها و اطلاعات دسترسی دارد مانند مشاور را ثبت نمایید. این ركوردها باید جزئیات دسترسی مورد قبول را مشخص كند. به عنوان بخشی از این سیاست، راهكارها و مكانیزم­هایی را تعریف كنید كه دسترسی آنها را پس از اتمام كار با سازمان شما یا انتقال به جای دیگر یا در صورت عدم نیاز، قطع كند.

 

فعالیت 1-8: توافق نامه هایی با سازمان­های بیرونی ایجاد كنید

توافق نامه هایی را با تمامی سازمان­های بیرونی مرتبط با شبكه خود ایجاد كنید كه به سازمان شما این حق را بدهد كه در صورت نیاز ارتباط آنها را قطع كرده و یا كنترل نمایید. برخی سازمان­ها ترجیح می­دهند از زبان پیمانكاران خود استفاده كنند كه نیاز دارد تمامی طرف­ها در صورت وقوع یك رخداد، به سایرین اطلاع رسانی كنند. اطمینان حاصل كنید كه ملزومات امنیتی در توافق نامه های سطح سرویس در نظر گرفته شده باشند.

 

فعالیت 1-9: دارایی­ها و سرورهای حساس را مشخص كنید

یك ارزیابی امنیتی برای شناسایی دارایی­های محاسباتی حساس شركت خود انجام دهید. مشخص كنید كه در صورتی كه یك سیستم از دسترس خارج شود یا اینكه داده های محرمانه آن افشا گردد، چه تاثیری بر سازمان می­گذارد. یك تكنیك، استفاده از مقیاس عددی احتمال وقوع (از 1 تا 5) و میزان تاثیر گذاری آن (از 1 تا 5) است كه 1 نشان دهنده كمترین خطر/هزینه و 5 نشان دهنده بیشترین خطر/هزینه است. این دو را با هم جمع زده و خطرها را به شكل عددی و از زیاد به كم منظم كنید. زمان بیشتری برای محافظت از سیستم­هایی كه حساستر هستند صرف كنید و گام­های اضافی برای امن كردن این سیستم­ها در نظر بگیرید. در صورت امكان، صاحبان سیستم­ها نیز باید در تعیین حساسیت دخیل باشند.

 

فعالیت 1-10: از سیاست­های قوی برای حساب­های كاربری استفاده كنید

حساب­های كاربری بدون استفاده یا حساب­هایی با كلمه عبور ضعیف، پتانسیل ویژه ای برای وقوع رخدادهای امنیتی دارند. سیاست­های تعیین كلمات عبور قوی را تعریف و اجرای آن را اجباری نمایید. این سیاست­ها شامل انقضای یك كلمه عبور، قوانین پیچیدگی كلمه عبور (مانند كاراكترهای حروف كوچك و بزرگ) و تاریخچه كلمات عبور است كه از یك كلمه عبور دو بار استفاده نشود. ابزارهایی مانند John the Ripper می­توانند برای تخصیص كلمه عبور مورد استفاده قرار گیرند. همچنین ابزارهایی نیز برای یونیكس و ویندوز برای قوی كردن كلمات عبور وجود دارند.

 

فعالیت 1-11: یك بازبینی حقوقی بر سیاست­ها و روال­های خود انجام دهید

اگر شركت شما قصد دارد (یا ممكن است قصد داشته باشد) كه كارهای قانونی در برابر یك رخداد انجام دهد، سیاست­ها و روال­های شما باید توسط متخصصین حقوقی بازبینی شود.

چهارشنبه, 25 ارديبهشت 1392 10:44

مدیریت رخداد در شش مرحله- مقدمه

نوشته شده توسط

مدیریت رخداد بسیار شبیه به اورژانس پزشكی است. در این وضعیت، فرد كمك رسان تحت فشار قرار داشته و اشتباهات وی می­توانند بسیار گران تمام شوند. در اختیار داشتن یك روال ساده و از پیش تعریف شده، در این موارد بهترین راهكار است. به همین دلیل بزرگترین و با تجربه ترین متخصصین مدیریت رخدادهای امنیتی نیز از روال­های از پیش تعریف شده و سیستماتیك برای پاسخگویی به رخدادهای مرتبط با امنیت استفاده می­كنند. این افراد، شش مرحله ثابت و مشخص را همواره در ذهن خود دارند، از فرم­های از پیش طراحی شده استفاده می­كنند و در صورت نیاز، از دیگران كمك می­گیرند. این شش مرحله به طور مختصر به شرح زیرند:

 

1. آمادگی: داشتن سیاست­ها، روال­ها و توافق­هایی كه باعث می­شوند در زمان وقوع یك رخداد امنیتی، شما بر اساس یك سیاست مدون رفتار كرده و از تصمیمات شتابزده خودداری نمایید.

2. شناسایی: تشخیص این موضوع كه اولا آیا یك رخداد امنیتی رخ داده است یا خیر و ثانیا در صورت وقوع، طبیعت این رخداد چیست.

3. كنترل و محدود سازی: محدود كردن دامنه رخداد و جلوگیری از بدتر شدن آن است.

4. پاكسازی: حذف یا كاهش عواملی كه باعث وقوع این رخداد امنیتی شده اند.

5. بازیابی: بازگرداندن سیستم به وضعیت عادی و كاربردی.

6. پیگیری: یادگیری از این تجربه و استفاده از آن در هنگام وقوع رخدادهای آتی.

 

هریك از این مراحل، از چندین گام تشكیل شده اند كه در قسمت­های آینده این مقالات، به تفصیل بیان خواهند شد.

 

ده گام اولیه برای برخورد با یك رخداد امنیتی كامپیوتری

زمانی كه یك رخداد امنیتی كامپیوتری رخ می­دهد و شما برای آن آمادگی ندارید، این ده گام را دنبال كنید:

 

گام اول: خونسردی خود را حفظ كنید. حتی یك رخداد بسیار ساده نیز به شما فشار و استرس تحمیل می­كند. در این حالت برقراری ارتباط با دیگران و هماهنگی با آنها سخت می­شود. آرامش شما می­تواند از ارتكاب خطاهای جدی توسط دیگران جلوگیری نمایند.

 

گام دوم: از یادداشت­های مناسب استفاده كنید. فرم­هایی را كه در انتهای این مجموعه مقالات ارائه می­شوند، مورد استفاده قرار دهید. به این منظور، با فرمی كه «معرفی رویداد» نام دارد آغاز كنید. سپس كار خود را با سایر فرم­های مرتبط ادامه دهید. همانطور كه فرم­ها را تكمیل می­كنید، به خاطر داشته باشید كه یادداشت­های شما می­توانند به عنوان مدرك در دادگاه مورد استفاده قرار گیرند. در مورد پاسخ­های خود به چهار سوال «چه كسی»، «چه چیزی»، «چه زمانی» و «كجا» اطمینان حاصل كنید. همچنین بهتر است كه به سوالات «چگونه» و «چرا» نیز توجه كنید.

 

گام سوم: به افراد مناسب اطلاع داده و از آنها كمك بخواهید. این كار را با اطلاع رسانی به هماهنگ كننده امنیتی و مدیر خود آغاز كنید. بخواهید كه یكی از همكاران برای كمك به هماهنگ كردن روال مدیریت رخداد اختصاص داده شود. یك كپی از دفتر تلفن شركت گرفته و با خود همراه داشته باشید. از همكار خود بخواهید كه یادداشت­های دقیقی از صحبت­های تمامی افراد بنویسد. خود شما نیز همین كار را انجام دهید.

 

گام چهارم: جزئیات رخداد را به كمترین تعداد افراد ممكن منتقل كنید. به آنها تاكید كنید كه افراد قابل اعتمادی هستند و سازمان شما روی احتیاط آنها حساب می­كند.

 

گام پنجم: اگر كامپیوترهای شما مورد سوء استفاده قرار گرفته اند، از آنها برای بحث­های مدیریت رخداد استفاده نكنید. به جای این كار از تلفن و فاكس استفاده نمایید. اطلاعات مربوط به رخداد را با ایمیل و چت منتقل نكنید. ممكن است این اطلاعات توسط مهاجمان مورد شنود قرار گیرند و وضعیت بدتر گردد. زمانی كه از كامپیوتر برای انتقال اطلاعات استفاده می­كنید، تمامی ایمیل­های مربوط به مدیریت رخداد را رمزگذاری نمایید.

 

گام ششم: مشكل را محدود كنید. گام­های لازم برای جلوگیری از بدتر شدن مشكل را به كار ببندید. این مساله اغلب به معنای حذف سیستم آسیب دیده از شبكه است. البته ممكن است مدیریت تصمیم بگیرد به منظور به دام انداختن فرد مهاجم، ارتباطات این سیستم را باز بگذارد.

 

گام هفتم: هر چه سریع­تر یك نسخه پشتیبان از سیستم­های آسیب دیده تهیه كنید. برای این كار از ابزار ذخیره سازی جدید و استفاده نشده ای استفاده كنید. در صورت امكان، یك نسخه پشتیبان دودویی یا بیت به بیت تهیه نمایید. ابزارهایی مانند SafeBack، یا Norton Ghost می­توانند پشتیبان­های دودویی اجرایی بر روی پلت­فورم­های اینتل تهیه كنند. اگر فرصت كافی برای یادگیری ابزار «dd» را پیش از وقوع رخداد داشته باشید، می­توانید این ابزار را برای هر دو سیستم عامل ویندوز و یونیكس مورد استفاده قرار دهید. البته این كار نیاز به تمرین دارد.

 

گام هشتم: از شر مشكل خلاص شوید. اگر می­توانید مشخص كنید كه چه چیزی باعث ایجاد مشكل شده است. گام­هایی را برای تصحیح نواقصی كه باعث رخ دادن مشكل شده بودند به كار ببندید.

 

گام نهم: به كار خود برگردید. پس از چك كردن نسخه های پشتیبان و حصول اطمینان از اینكه مورد سوء استفاده قرار نگرفته اند، سیستم خود را از طریق این نسخه های پشتیبان بازیابی كنید. سپس سیستم را به دقت كنترل كنید تا مطمئن شوید كه می­تواند وظایف خود را انجام دهد. چند هفته همچنان سیستم را تحت نظارت داشته باشید تا اطمینان حاصل كنید كه مجددا مورد سوء استفاده قرار نگرفته باشد.

 

گام دهم: از این تجربه درس بگیرید. بنابراین در هنگام روی دادن رخداد بعدی آماده خواهید بود. این مجموعه مقالات به شما كمك خواهد كرد تا یك روش سیستماتیك برای مدیریت رخدادها در اختیار داشته باشید.

 

افراد بسیار كمی وجود دارند كه تجربه كافی مدیریت رخداد برای راهنمایی دادن در مورد تمامی انواع رخدادها و برای تمامی انواع سازمان­ها را دارا باشند. این مجموعه مقالات، تجربه مدیریت رخداد بیش از 50 سازمان مختلف تجاری، دولتی و آموزشی را یك جا گرد آورده است. اگر سازمان مطبوع شما یك سازمان بسیار كوچك است، فقط قسمت­هایی از این راهنما را كه می­توانید پیاده سازی نمایید. در قسمت­های آینده این مجموعه مقالات، شش مرحله اصلی مدیریت رخدادهای امنیت كامپیوتری را به تفصیل شرح خواهیم داد.

چهارشنبه, 25 ارديبهشت 1392 10:43

سخن بزرگان

نوشته شده توسط
  • آن که تو را هشدار داد چون کسی است که تو را مژده داد. حضرت علی (ع)

  • سخن در بند توست، تا آن را نگفته باشی، و چون گفتی تو در بند آنی، پس زبانت را نگهدار چنانکه طلا و نقره خود را نگه می داری، زیرا چه بسا سخنی که نعمتی را طرد کند یا نعمتی را جلب کند. حضرت علی (ع)

  • ای بسا کلمه ای که از تو نعمتی را بگیرد و ای بسا لفظی که خونی را بریزد. حضرت علی (ع)

  • نشانه انسان عاقل این است که هر چه می داند نگوید. حضرت علی (ع)

  • بسا سخنی که از حمله مسلحانه کارگرتر است. حضرت علی (ع)

  • آن خاموشی که برای تو سلامت باشد بهتر است از گفتاری که به دنبالش برای تو ملامت داشته باشد. حضرت علی (ع)

  • شیعیان ما کم گوی و گزیده گویند. امام صادق(ع)

  • در اداره حکومت تنها شناخت و پذیرفتن آن کافی نیست بلکه باید اسرار را از دسترس دشمن و افراد غیر مجاز خودی محفوظ نگهدارد. امام صادق(ع)

  • آنچه نمی دانی مگو، بلکه همه آنچه را می دانی نیز مگو، زیرا خداوند بزرگ بر اعضای بدنت چیزهایی را واجب کرده که از آنها در روز قیامت بر تو حجت آورد. حضرت علی (ع)

  • به مجرد احراز خطا و اشتباه از آن برگردید و اقرار به خطا کنید که آن کمال انسانی است. امام خمینی(ره)

  • کوچکترین کوتاهی در مراعات اصول امنیتی گناه بزرگ شناخته می شود. امام خمینی(ره)

  • یک دستورالعمل سخت و محکم ابلاغ شود که هیچ کس حق ندارد از طریق این وسایل مطلب دارای طبقه بندی را منتقل نماید. مقام معظم رهبری

  • حکیمی به فرزندش گفت دو چیز را از من بگیر، اینکه بدون فکر(اندیشیدن) مگوی و بدون تعبیر کاری نکن. شیخ بهایی

صفحه1 از2

با ما در تماس باشید