گام 2: پشتیبانی مدیریت را برای مدیریت رخداد جلب كنید

توجه داشته باشید كه تا زمانی كه پشتیبانی مدیریت سازمان را به همراه نداشته باشید، به دست آوردن زمان، پول و پشتیبانی سیاسی برای فعالیت­های مدیریت رخداد بسیار سخت و حتی غیر ممكن خواهد بود.

فعالیت 2-1: یك برنامه پاسخگویی به رخداد امنیتی به طور مدون و رسمی بنویسید

ایجاد یك برنامه رسمی مدیریت رخداد این اطمینان را ایجاد می­كند كه تمامی افراد درك می­كنند كه رخدادهای امنیتی چگونه مدیریت خواهند شد. این برنامه باید به طور منظم به روز رسانی شده و شامل سناریوهای رخدادهای معمول و راه حل­های آنها، به همراه یك لیست تماس باشد.

برنامه پاسخگویی به رخداد را با نیازهای تجاری سازمان خود متناسب كنید. مقاله های مرتبط را در یك پوشه قرار دهید. كپی­های پرینت شده از نفوذ به وب سرورهای معروف را به آن اضافه كنید و درس­هایی را كه می­شود از این نفوذها گرفت، مشخص كنید.

مقالات و كتابچه ها می­توانند به شما برای جلب توجه مدیریت سازمان كمك كنند. هر زمان كه جلسه ای مرتبط با گروه مدیریت رخداد دارید، این پوشه را با خود به همراه ببرید. بدترین سناریوهای ممكن برای نفوذ به سیستم­های حیاتی سازمان خود را شرح داده و نشان دهید كه این نفوذها چه تاثیری بر وضعیت مالی و نیز شهرت سازمان می­گذارند.

فعالیت 2-2: یك رخداد را به صورت گرافیكی شرح دهید

برای نمایش یك یا دو رخداد در پوشه خود زمان صرف كنید. یك نمودار ایجاد كنید كه نشان دهد مهاجمان از كجا آمده اند، آسیب پذیری­های مورد استفاده آنها چه بوده است و به چه چیزهایی دسترسی پیدا كرده اند. به عوامل تصمیم گیرنده در سازمان خود كمك كنید كه درك درستی از نتایج عدم كشف یك رخدا پیدا كنند. این فعالیت به مدیریت شما قدرت بیشتری می­دهد. چرا كه زمانی كه آنها یك رخداد را درك كنند و بتوانند آن را برای همتایان خود توضیح دهند، به یك فرد آگاه در این زمینه تبدیل می­شوند.

فعالیت 2-3: تاریخچه ای از رخدادهای پیشین ارائه دهید

خلاصه هایی از رخدادهای پیشین را در پوشه خود نگهداری كنید. اطلاعات مربوط به هزینه رخدادهای محتلف را نیز مشخص كنید. این هزینه شامل ضربه وارد شده به نام و شهرت شركت، ضرر مالی ایجاد شده در مدت زمان از كار افتادن سیستم و زمان صرف شده برای تحقیق بر روی رخداد است. شما همچنین باید به هزینه های صرفه جویی شده در هنگام پاسخگویی سریع و حرفه ای نیز اشاره كنید.

فعالیت 2-4: اختیارات لازم را برای گروه پاسخگویی به رخداد به دست آورید

داشتن اختیارات لازم برای تصمیم گیری­های سخت در میانه یك بحران، می­تواند شما را از شكست به پیروزی برساند. سطح اختیارات گروه مدیریت رخداد برای اخذ تصمیمات حیاتی را مشخص كنید. این اختیارات شامل قطع كردن سرورها و شبكه نیز می­شود. اطمینان حاصل كنید كه مدیریت سطح اختیارات گروه مدیریت رخداد را درك كرده و در صورت وقوع یك رخداد از آن پشتیبانی می­كند. این اختیارات را در برنامه مدیریت رخداد رسمی سازمان خود مستند نمایید.

گام 3: اعضای گروه مدیریت رخداد را انتخاب و سازماندهی نمایید

مدیریت رخداد یك كار تك نفره نیست. انتخاب افراد صحیح در مكان­های صحیح و با آمادگی كافی می­تواند بسیاری شرایط را به نفع گروه تغییر دهد.

فعالیت 3-1: افراد مجرب را برای پیوستن به گروه شناسایی كنید

نام و اطلاعات تماس افرادی را كه به نظرتان می­رسد یادداشت نمایید. با همكاران و مدیریت سازمان خود در مورد شكل دادن یك گروه مدیریت رخداد محلی صحبت كنید. گروهی انتخاب كنید كه صرفا شامل مدیران سیستم­ها با مسئولیت­های امنیتی نباشد. این گروه باید شامل مدیریت آموزش دیده و نمایندگانی از امنیت اطلاعات، مدیریت بحران، منابع انسانی و بخش حقوقی سازمان باشد تا بتوانند در مورد خاموش كردن یا نكردن سیستم­های تجاری مركزی برای نجات دادن سازمان از خطرهای بزرگتر و ضررهای بیشتر تصمیم گیری نمایند. متخصصان این زمینه ها را شناسایی كرده و اطلاعات تماس آنها را در یك فایل نگهداری كنید.

فعالیت 3-2: گروه­های محلی، مركزی یا تركیبی ایجاد كنید

گروه شما از دو بخش تشكیل خواهد شد: یك گروه تصمیم دستور برای هماهنگی فعالیت­ها و یك گروه مدیریت رخداد در محل. در برخی شرایط، افراد این دو گروه ممكن است یكسان باشند، اما در سایر موارد این افراد متفاوت هستند.

گروه مدیریت رخداد در محل، به محل وقوع رخداد می­رود. اعضای گروه محل را امن كرده، وضعیت را بررسی كرده، خطر را محدود نموده، تخفیف داده و در نهایت وضعیت را به حالت عادی برمی­گردانند.

گروه تصمیم دستور، ارزیابی­های فنی گروه مدیریت در محل را به گام­های بازیابی و بهبود كه مدیریت به سازمان ارائه می­كند، ترجمه می­كنند. در صورتی كه نیاز به ارائه اطلاعاتی به سازمان­های دیگر یا عموم مردم باشد، آنها با روابط عمومی سازمان و كارمندان بخش حقوقی ارتباط برقرار كرده و كار می­كنند. این افراد همچنین مسئول آگاه كردن مدیریت ارشد نسبت به وضعیت فعلی رخداد هستند.

عكس العمل سریع نیازمند این است كه شما تصمیم گیری كنید كه چه سازمان­ها و مقاماتی باید در هر دوی این گروه­ها نماینده داشته باشند. پروسه برنامه ریزی را با در نظر گرفتن این نكته كه در صورتی كه سازمان شما نیاز به مدیریت چندین رخداد همزمان داشته باشد چه رخ خواهد داد، آغاز نمایید.

در وضعیت وقوع چندین رخداد، مدیران با تجربه باید وضعیت را بررسی كرده و افراد كم تجربه تر را به برخی رخدادها تخصیص دهند. در چنین وضعیتی، اعتماد به پشتیبانی محلی بسیار مورد نیاز است. برای سازمان­هایی با چندین بخش در محل­های فیزیكی مختلف، این گروه می­تواند از نمایندگان هر محل تشكیل شده باشد. در سازمان­های بسیار بزرگ كه سعی در مدیریت تمامی رخدادها با تنها یك گروه مركزی دارند، گاهی كمبود زمان برای رفتن از یك محل به محل دیگر، باعث كاهش قابلیت آنها در پاسخگویی سریع می­شود.

فعالیت 3-3: افراد مناسب را در روابط عمومی سازمان خود شناسایی نمایید

گروه روابط عمومی مسئول پاسخگویی به سوالات عمومی در مورد فعالیت­های سازمانی است. زمانی كه یك رخداد امنیتی رخ می­دهد، این مسئولیت روابط عمومی نیز هست كه اطلاعات مناسب را برای همگان منتشر نماید. گروه روابط عمومی شما همچنین می­تواند یك پشتیبان ارزشمند برای مدیریت رخداد باشد. آنها معمولا دسترسی بسیار خوبی به مدیریت ارشد دارند و می­توانند در هماهنگی ارتباطات بین گروه و مدیران ارشد كمك كننده باشند.

توجه: برقراری ارتباط مستقیم با نشریات می­تواند برای شما خطرناك باشد. تمامی ارتباطات با نشریات باید از طریق روابط عمومی و با كمك مدیریت سازمان و گروه پاسخگویی به رخداد باشد.

فعالیت 3-4: برنامه مقابله با بحران سازمان خود را طوری به روز رسانی كنید كه مدیریت رخدادهای كامپیوتری را نیز شامل شود

سیستم­های تجاری حیاتی خاص ممكن است به سایت­های پشتیبان یا سیستم­های جایگزین نیاز داشته باشند. این سیستم­ها و شبكه های جایگزین به شما اجازه می­دهند كه سیستمی را كه مورد سوء استفاده قرار گرفته است بدون تاثیر بر پروسه تجاری سازمان از حالت فعال خارج نمایید. اطمینان حاصل كنید كه برنامه خروج از بحران سازمان شما شامل اطلاعات تماس 24 ساعته با افراد كلیدی است. روال­های خروج از بحران را هر از گاهی آزمایش كنید.

فعالیت 3-5: یك برنامه پاداش دهی برای گروه در نظر بگیرید

مدیران رخداد و مدیران سیستم­ها به ازای تلاش فوق العاده ای كه برای پاسخگویی به یك رخداد می­كنند، بر روی پشتیبانی­ها حساب می­كنند. این افراد را به مدیریت شناسانده و در مورد پاداش آنها با مدیریت مذاكره كنید. اطمینان حاصل كنید كه اضافه كاری­ها پرداخت خواهد شد و در ازای زمان طولانی كه برای پاسخگویی به رخدادهای امنیتی صرف می­شود، مرخصی­هایی برای آنها در نظر گرفته خواهد شد.

فعالیت 3-6: چك لیست­ها و نمودارهای شبكه را تهیه كنید

چك لیست­هایی برای روال­های مدیریت رخداد به تمامی اعضای گروه كمك می­كنند كه از خطاها دوری كرده و گام­های صحیح را برای حل رخداد بردارند. در محیط­های پیچیده، نمودارها و اسناد پیكربندی كه همبندی (توپولوژی) شبكه را مشخص می­كنند، شامل ACL های مسیریاب و مجموعه قوانین فایروال باید به اعضا ارائه گردند. این اسناد را بخشی از برنامه مدیریت رخداد امنیتی رسمی خود قرار دهید.

زمانی كه یك رخداد كشف می­شود، تصمیم گیری عجولانه در مورد آن موثر و كارآ نخواهد بود. با مدون كردن سیاست­ها، روال­ها و توافق­های مناسب، احتمال انجام اشتباهات فاجعه آمیز به حداقل خواهد رسید. علاوه بر این با در نظر گرفتن معیارهای پیشگیرانه، قادر خواهید بود تعداد رخدادها را نیز كم كنید.

گام 1: از تكنیك­های پیشگیرانه برای جلوگیری از رخدادها استفاده كنید.

بهترین راه برای مدیریت یك رخداد این است كه در گام اول از روی دادن آن جلوگیری نماییم. برای انجام این كار، نیاز به تدوین سیاست­ها، كنترل و تحلیل ترافیك شبكه، به كارگیری یك برنامه اصلاح آسیب پذیری­ها، تشخیص آسیب پذیری­ها، ارتقای مهارت­های امنیتی فنی كارمندان، پیكربندی آگاهانه سیستم­ها و ایجاد برنامه های آموزش مدیریت رخداد است. تركیب این اعمال، كار نفوذگران را برای دسترسی به سیستم­های شما و ضربه زدن به آنها سخت­تر می­كند. به این منظور فعالیت­های زیر را انجام دهید.

فعالیت 1-1: آسیب پذیری­های شناخته شده سیستم را اصلاح كنید

حجم گسترده ای از نفوذهای كامپیوتری از طریق آسیب پذیری­های شناخته شده اتفاق می افتند. برای جلوگیری از نفوذ به سیستم، هیچ كاری مهمتر از پیكربندی امن سیستم­های جدید و اصلاح آسیب پذیری­های شناخته شده وجود ندارد.

یك پروسه رسمی برای بازبینی هشدارهای امنیتی و تست و اعمال اصلاحیه ها ایجاد نمایید. با مدیران سیستم­های خود كار كرده و اطمینان حاصل كنید كه اصلاحیه های مهم در كوتاهترین زمان ممكن اعمال می­شوند. اصلاحیه ها را پیش از اتصال سیستم­های جدید به اینترنت، بر روی آنها نصب كنید.

نكته: یكی از درس­های كرم Code Red در جولای 2001 این بود كه بسیاری از سیستم­هایی كه پشت فایروال قرار داشتند نیز آلوده شده بودند. بنابراین به اصلاح آسیب پذیری­های تمام سیستم­ها اهمیت دهید.

فعالیت 1-2: مهارت­های امنیتی فنی را توسعه دهید

در مقیاس بزرگ معمولا آسیب پذیری­ها حذف نمی­شوند، چرا كه مدیران سیستم­ها و شبكه ها و حتی متخصصین امنیتی از این آسیب پذیری­ها آگاه نبوده یا نمی­دانند با آنها چه كنند. عاقلانه است كه از تك تك مدیران سیستم و مدیران شبكه و تك تك افرادی كه مسوولیت مستقیم امنیت و عملكرد سیستم را بر عهده دارند بخواهید كه مهارت­های خود را افزایش دهند و این مساله را از طریق دریافت گواهی­های معتبر ثابت كنند.

فعالیت 1-3: سیاستی در مورد محرمانگی ایجاد كنید

سازمان شما باید سیاستی در مورد محرمانگی تدوین كرده و رعایت آن را اجباری كند. این سیاست باید به سوالاتی مانند این پاسخ دهد: "آیا ایمیل­های ذخیره شده بر روی فایل سرور شما جزو دارایی­های سازمان به حساب می آید یا جزو دارایی­های هر یك از كاربران سیستم­ها؟". این سیاست همچنین باید مشخص كند كه رمزگذاری در چه زمانی مجاز بوده و تحت چه شرایطی مورد نیاز است. بخش رمزگذاری باید افرادی را كه كلیدها را نگهداری می­كنند نیز مشخص كرده باشد.

فعالیت 1-4: پیغام­های هشدار دهنده نمایش دهید

از دید حقوقی، نمایش پیغام­های هشدار دهنده یكی از مهمترین گام­هایی است كه می­توانید برای ایجاد آمادگی برای یك رخداد انجام دهید. هر سیستمی باید یك پیغام هشدار دهنده قابل مشاهده برای كاربرانی كه سعی می­كنند به آن وارد شوند، نمایش دهد. این پیغام باید بیان كننده این نكات باشد كه این سیستم جزو دارایی­های سازمان شماست، در معرض كنترل قرار دارد و استفاده بدون مجوز از آن ممنوع است. مشاور حقوقی شما باید پیغام هشدار دهنده شما را بازبینی نماید. این پیغام نباید سیستم عامل یا هدف این كامپیوتر را مشخص كند.

فعالیت 1-5: یك راهكار سازمانی برای مدیریت رخداد ایجاد كنید

زمانی كه یك رخداد كشف می­شود، شما بین دو روش مدیریت رخداد باید تصمیم گیری كنید. اولین و ساده ترین روش «منع، حذف و رد دسترسی» است. تمركز این روش بر ریشه كن كردن مشكل با سرعت هرچه تمامتر و بازگشت به كار عادی است. روش دیگر كه به مهارت فنی و برنامه ریزی بیشتری نیاز دارد، عبارتست از «كنترل و جمع آوری اطلاعات». در اینجا شما به فرد نفوذگر اجازه می­دهید كه به حمله خود ادامه دهد. البته ممكن است این كار را با محدودیت­های زیركانه كه خرابی را به حداقل می­رسانند انجام دهید. اغلب، تصمیم گیری بین این دو روش به این بستگی دارد كه شما مایلید فرد نفوذگر را تعقیب كنید یا خیر. روش اول شواهد لازم برای شناسایی و تعقیب مجرم را در اختیار شما نمی­گذارد.

زمانی كه روش اول انتخاب می­شود، یك سازمان از مجموعه ای از تكنیك­ها مانند رد كردن دسترسی به «آدرس­های IP بد»، ایجاد محدودیت برای سرویس­ها با استفاده از یك فایروال یا مسیریاب برای فیلتر كردن ترافیك، یا فقط قطع كردن سیستم­های هدف از شبكه را مورد استفاده قرار می­دهد.

هر دو روش مزایا و معایبی دارند. بهتر است كه سیاست خود را با توجه به یك رخداد جدی تعیین كنید. مدیریت سازمان را وارد این تصمیم گیری نمایید. هر سیستم یا برنامه ای بسته به حساسیت آن، می­تواند یك روش مدیریت رخداد مخصوص به خود داشته باشد. این تصمیم به مدیریت رده بالا وابسته است، اما باید پیش از وقوع یك رخداد این تصمیم گیری انجام شود و در روال­های مدیریت رخداد رسمی سازی گردد.

فعالیت 1-6: تشخیص نفوذ خودكار ایجاد كنید

یك سیستم تشخیص نفوذ (IDS) می­تواند یك مكانیزم هشدار دهی اولیه در هنگام وقوع نفوذ به یك سیستم ارائه دهد. محصولات تجاری و ابزارهای رایگان مانند Snort می­توانند طوری تنظیم گردند تا بخش­های حیاتی شبكه را در مورد حملات نظارت كنند. بعلاوه، از عامل­های مبتنی بر میزبان بر روی سرورهای حیاتی استفاده كنید تا در هنگام احتمال وقوع حمله به سیستم­های شخصی، هشدار دهند. هشدارها را اولویت بندی نموده و IDS را تنظیم كنید تا تعداد «گزارش­های خطای نادرست» را كاهش دهید و هشدارهای با كیفیت تولید نمایید. در صورتی كه یك رخداد كار سازمان شما را به دادگاه بكشاند، یك IDS به عنوان منبعی از داده ها مورد استناد قرار می­گیرد تا نشان دهد كه لاگ­های سیستم­ها دستكاری یا جعل نشده اند.

نكته: برخی محصولات IDS می­توانند طوری پیكربندی گردند كه به طور خودكار به یك رخداد پاسخ دهند. برای مثال می­توانند این كار را با قطع ارتباط فرد مهاجم یا تنظیم مجدد لیست كنترل دسترسی فایروال انجام دهند. در هنگام پیكربندی یك IDS به این روش باید احتیاط لازم مد نظر قرار داده شود، چرا كه مهاجمان هوشمند قادر خواهند بود با استفاده از پاسخ خودكار، IDS شما را فریب دهند تا فعالیت­های ناخواسته ای را انجام دهد.

فعالیت 1-7: سیاستی برای ارتباط با سازمان­ها و افراد خارج از سازمان ایجاد كنید

یك گروه از رخدادهای كامپیوتری كه به شدت در حال گسترش هستند، حملات انكار سرویس مبتنی بر شبكه هستند كه از كلاهبرداری استفاده می­كنند. در این حالت یك فرد در بیرون از سازمان شما می­تواند كاری كند كه كامپیوترهای شما به یك سازمان دیگر حمله كنند. سازمان شما باید سیاستی را تدوین كند كه مشخص نماید با چه كسی، در چه زمانی و چگونه در سازمان­های بیرونی تماس گرفته شده و در این باره اطلاع رسانی شود. بسیار مهم است كه درست مانند زمانی كه سازمان شما هدف قرار می­گیرد، در زمانی كه سازمان شما به منبع مشكلات تبدیل می­شود نیز پاسخگو و مسوولیت پذیر باشید. در این رخدادهای مدرن، سازمان شما می­تواند منبع حملاتی به نظر بیاید كه در حقیقت نیست. روال­هایی بنویسید كه ارتباطات با سایت­های منبع و سایت­های هدف را تعریف كنند.

سیاستی برای برخورد با رخدادهایی كه كامپیوترهای راه دور شما و رخدادهایی كه كامپیوترهای پیمان­كاران و سایر كارمندان غیر تمام وقت را درگیر می­كنند، تدوین كنید. هر چه تعداد بیشتری از كارمندان از راه دور كار كنند، رخدادهای امنیتی بیشتری سیستم­های راه دور را تحت تاثیر قرار داده یا توسط این سیستم­های ایجاد می­شود. سیاستی تدوین كنید كه كار جستجو و ضبط این سیستم­ها را انجام دهد. سیستم­های مشاوران، كارمندان موقتی و زیر پیمانكاران در دسته این سیستم­ها قرار می­گیرند. اطمینان حاصل كنید كه «سیاست­های استفاده قابل قبول» سازمان شما، شامل كامپیوترهای خانگی و كامپیوترهای قابل حمل نیز می­شود. سیستمی را ایجاد كنید كه از طریق آن به طور روتین هر فرد خارجی كه به سیستم­ها و اطلاعات دسترسی دارد مانند مشاور را ثبت نمایید. این ركوردها باید جزئیات دسترسی مورد قبول را مشخص كند. به عنوان بخشی از این سیاست، راهكارها و مكانیزم­هایی را تعریف كنید كه دسترسی آنها را پس از اتمام كار با سازمان شما یا انتقال به جای دیگر یا در صورت عدم نیاز، قطع كند.

فعالیت 1-8: توافق نامه هایی با سازمان­های بیرونی ایجاد كنید

توافق نامه هایی را با تمامی سازمان­های بیرونی مرتبط با شبكه خود ایجاد كنید كه به سازمان شما این حق را بدهد كه در صورت نیاز ارتباط آنها را قطع كرده و یا كنترل نمایید. برخی سازمان­ها ترجیح می­دهند از زبان پیمانكاران خود استفاده كنند كه نیاز دارد تمامی طرف­ها در صورت وقوع یك رخداد، به سایرین اطلاع رسانی كنند. اطمینان حاصل كنید كه ملزومات امنیتی در توافق نامه های سطح سرویس در نظر گرفته شده باشند.

فعالیت 1-9: دارایی­ها و سرورهای حساس را مشخص كنید

یك ارزیابی امنیتی برای شناسایی دارایی­های محاسباتی حساس شركت خود انجام دهید. مشخص كنید كه در صورتی كه یك سیستم از دسترس خارج شود یا اینكه داده های محرمانه آن افشا گردد، چه تاثیری بر سازمان می­گذارد. یك تكنیك، استفاده از مقیاس عددی احتمال وقوع (از 1 تا 5) و میزان تاثیر گذاری آن (از 1 تا 5) است كه 1 نشان دهنده كمترین خطر/هزینه و 5 نشان دهنده بیشترین خطر/هزینه است. این دو را با هم جمع زده و خطرها را به شكل عددی و از زیاد به كم منظم كنید. زمان بیشتری برای محافظت از سیستم­هایی كه حساستر هستند صرف كنید و گام­های اضافی برای امن كردن این سیستم­ها در نظر بگیرید. در صورت امكان، صاحبان سیستم­ها نیز باید در تعیین حساسیت دخیل باشند.

فعالیت 1-10: از سیاست­های قوی برای حساب­های كاربری استفاده كنید

حساب­های كاربری بدون استفاده یا حساب­هایی با كلمه عبور ضعیف، پتانسیل ویژه ای برای وقوع رخدادهای امنیتی دارند. سیاست­های تعیین كلمات عبور قوی را تعریف و اجرای آن را اجباری نمایید. این سیاست­ها شامل انقضای یك كلمه عبور، قوانین پیچیدگی كلمه عبور (مانند كاراكترهای حروف كوچك و بزرگ) و تاریخچه كلمات عبور است كه از یك كلمه عبور دو بار استفاده نشود. ابزارهایی مانند John the Ripper می­توانند برای تخصیص كلمه عبور مورد استفاده قرار گیرند. همچنین ابزارهایی نیز برای یونیكس و ویندوز برای قوی كردن كلمات عبور وجود دارند.

فعالیت 1-11: یك بازبینی حقوقی بر سیاست­ها و روال­های خود انجام دهید

اگر شركت شما قصد دارد (یا ممكن است قصد داشته باشد) كه كارهای قانونی در برابر یك رخداد انجام دهد، سیاست­ها و روال­های شما باید توسط متخصصین حقوقی بازبینی شود.

مدیریت رخداد بسیار شبیه به اورژانس پزشكی است. در این وضعیت، فرد كمك رسان تحت فشار قرار داشته و اشتباهات وی می­توانند بسیار گران تمام شوند. در اختیار داشتن یك روال ساده و از پیش تعریف شده، در این موارد بهترین راهكار است. به همین دلیل بزرگترین و با تجربه ترین متخصصین مدیریت رخدادهای امنیتی نیز از روال­های از پیش تعریف شده و سیستماتیك برای پاسخگویی به رخدادهای مرتبط با امنیت استفاده می­كنند. این افراد، شش مرحله ثابت و مشخص را همواره در ذهن خود دارند، از فرم­های از پیش طراحی شده استفاده می­كنند و در صورت نیاز، از دیگران كمك می­گیرند. این شش مرحله به طور مختصر به شرح زیرند:

1. آمادگی: داشتن سیاست­ها، روال­ها و توافق­هایی كه باعث می­شوند در زمان وقوع یك رخداد امنیتی، شما بر اساس یك سیاست مدون رفتار كرده و از تصمیمات شتابزده خودداری نمایید.

2. شناسایی: تشخیص این موضوع كه اولا آیا یك رخداد امنیتی رخ داده است یا خیر و ثانیا در صورت وقوع، طبیعت این رخداد چیست.

3. كنترل و محدود سازی: محدود كردن دامنه رخداد و جلوگیری از بدتر شدن آن است.

4. پاكسازی: حذف یا كاهش عواملی كه باعث وقوع این رخداد امنیتی شده اند.

5. بازیابی: بازگرداندن سیستم به وضعیت عادی و كاربردی.

6. پیگیری: یادگیری از این تجربه و استفاده از آن در هنگام وقوع رخدادهای آتی.

هریك از این مراحل، از چندین گام تشكیل شده اند كه در قسمت­های آینده این مقالات، به تفصیل بیان خواهند شد.

ده گام اولیه برای برخورد با یك رخداد امنیتی كامپیوتری

زمانی كه یك رخداد امنیتی كامپیوتری رخ می­دهد و شما برای آن آمادگی ندارید، این ده گام را دنبال كنید:

گام اول: خونسردی خود را حفظ كنید. حتی یك رخداد بسیار ساده نیز به شما فشار و استرس تحمیل می­كند. در این حالت برقراری ارتباط با دیگران و هماهنگی با آنها سخت می­شود. آرامش شما می­تواند از ارتكاب خطاهای جدی توسط دیگران جلوگیری نمایند.

گام دوم: از یادداشت­های مناسب استفاده كنید. فرم­هایی را كه در انتهای این مجموعه مقالات ارائه می­شوند، مورد استفاده قرار دهید. به این منظور، با فرمی كه «معرفی رویداد» نام دارد آغاز كنید. سپس كار خود را با سایر فرم­های مرتبط ادامه دهید. همانطور كه فرم­ها را تكمیل می­كنید، به خاطر داشته باشید كه یادداشت­های شما می­توانند به عنوان مدرك در دادگاه مورد استفاده قرار گیرند. در مورد پاسخ­های خود به چهار سوال «چه كسی»، «چه چیزی»، «چه زمانی» و «كجا» اطمینان حاصل كنید. همچنین بهتر است كه به سوالات «چگونه» و «چرا» نیز توجه كنید.

گام سوم: به افراد مناسب اطلاع داده و از آنها كمك بخواهید. این كار را با اطلاع رسانی به هماهنگ كننده امنیتی و مدیر خود آغاز كنید. بخواهید كه یكی از همكاران برای كمك به هماهنگ كردن روال مدیریت رخداد اختصاص داده شود. یك كپی از دفتر تلفن شركت گرفته و با خود همراه داشته باشید. از همكار خود بخواهید كه یادداشت­های دقیقی از صحبت­های تمامی افراد بنویسد. خود شما نیز همین كار را انجام دهید.

گام چهارم: جزئیات رخداد را به كمترین تعداد افراد ممكن منتقل كنید. به آنها تاكید كنید كه افراد قابل اعتمادی هستند و سازمان شما روی احتیاط آنها حساب می­كند.

گام پنجم: اگر كامپیوترهای شما مورد سوء استفاده قرار گرفته اند، از آنها برای بحث­های مدیریت رخداد استفاده نكنید. به جای این كار از تلفن و فاكس استفاده نمایید. اطلاعات مربوط به رخداد را با ایمیل و چت منتقل نكنید. ممكن است این اطلاعات توسط مهاجمان مورد شنود قرار گیرند و وضعیت بدتر گردد. زمانی كه از كامپیوتر برای انتقال اطلاعات استفاده می­كنید، تمامی ایمیل­های مربوط به مدیریت رخداد را رمزگذاری نمایید.

گام ششم: مشكل را محدود كنید. گام­های لازم برای جلوگیری از بدتر شدن مشكل را به كار ببندید. این مساله اغلب به معنای حذف سیستم آسیب دیده از شبكه است. البته ممكن است مدیریت تصمیم بگیرد به منظور به دام انداختن فرد مهاجم، ارتباطات این سیستم را باز بگذارد.

گام هفتم: هر چه سریع­تر یك نسخه پشتیبان از سیستم­های آسیب دیده تهیه كنید. برای این كار از ابزار ذخیره سازی جدید و استفاده نشده ای استفاده كنید. در صورت امكان، یك نسخه پشتیبان دودویی یا بیت به بیت تهیه نمایید. ابزارهایی مانند SafeBack، یا Norton Ghost می­توانند پشتیبان­های دودویی اجرایی بر روی پلت­فورم­های اینتل تهیه كنند. اگر فرصت كافی برای یادگیری ابزار «dd» را پیش از وقوع رخداد داشته باشید، می­توانید این ابزار را برای هر دو سیستم عامل ویندوز و یونیكس مورد استفاده قرار دهید. البته این كار نیاز به تمرین دارد.

گام هشتم: از شر مشكل خلاص شوید. اگر می­توانید مشخص كنید كه چه چیزی باعث ایجاد مشكل شده است. گام­هایی را برای تصحیح نواقصی كه باعث رخ دادن مشكل شده بودند به كار ببندید.

گام نهم: به كار خود برگردید. پس از چك كردن نسخه های پشتیبان و حصول اطمینان از اینكه مورد سوء استفاده قرار نگرفته اند، سیستم خود را از طریق این نسخه های پشتیبان بازیابی كنید. سپس سیستم را به دقت كنترل كنید تا مطمئن شوید كه می­تواند وظایف خود را انجام دهد. چند هفته همچنان سیستم را تحت نظارت داشته باشید تا اطمینان حاصل كنید كه مجددا مورد سوء استفاده قرار نگرفته باشد.

گام دهم: از این تجربه درس بگیرید. بنابراین در هنگام روی دادن رخداد بعدی آماده خواهید بود. این مجموعه مقالات به شما كمك خواهد كرد تا یك روش سیستماتیك برای مدیریت رخدادها در اختیار داشته باشید.

افراد بسیار كمی وجود دارند كه تجربه كافی مدیریت رخداد برای راهنمایی دادن در مورد تمامی انواع رخدادها و برای تمامی انواع سازمان­ها را دارا باشند. این مجموعه مقالات، تجربه مدیریت رخداد بیش از 50 سازمان مختلف تجاری، دولتی و آموزشی را یك جا گرد آورده است. اگر سازمان مطبوع شما یك سازمان بسیار كوچك است، فقط قسمت­هایی از این راهنما را كه می­توانید پیاده سازی نمایید. در قسمت­های آینده این مجموعه مقالات، شش مرحله اصلی مدیریت رخدادهای امنیت كامپیوتری را به تفصیل شرح خواهیم داد.

• آن که تو را هشدار داد چون کسی است که تو را مژده داد. حضرت علی (ع)

• سخن در بند توست، تا آن را نگفته باشی، و چون گفتی تو در بند آنی، پس زبانت را نگهدار چنانکه طلا و نقره خود را نگه می داری، زیرا چه بسا سخنی که نعمتی را طرد کند یا نعمتی را جلب کند. حضرت علی (ع)

• ای بسا کلمه ای که از تو نعمتی را بگیرد و ای بسا لفظی که خونی را بریزد. حضرت علی (ع)

• نشانه انسان عاقل این است که هر چه می داند نگوید. حضرت علی (ع)

• بسا سخنی که از حمله مسلحانه کارگرتر است. حضرت علی (ع)

• آن خاموشی که برای تو سلامت باشد بهتر است از گفتاری که به دنبالش برای تو ملامت داشته باشد. حضرت علی (ع)

• شیعیان ما کم گوی و گزیده گویند. امام صادق(ع)
  

• در اداره حکومت تنها شناخت و پذیرفتن آن کافی نیست بلکه باید اسرار را از دسترس دشمن و افراد غیر مجاز خودی محفوظ نگهدارد. امام صادق(ع)

• آنچه نمی دانی مگو، بلکه همه آنچه را می دانی نیز مگو، زیرا خداوند بزرگ بر اعضای بدنت چیزهایی را واجب کرده که از آنها در روز قیامت بر تو حجت آورد. حضرت علی (ع)

• به مجرد احراز خطا و اشتباه از آن برگردید و اقرار به خطا کنید که آن کمال انسانی است. امام خمینی(ره)

• کوچکترین کوتاهی در مراعات اصول امنیتی گناه بزرگ شناخته می شود. امام خمینی(ره)

• یک دستورالعمل سخت و محکم ابلاغ شود که هیچ کس حق ندارد از طریق این وسایل مطلب دارای طبقه بندی را منتقل نماید. مقام معظم رهبری

• حکیمی به فرزندش گفت دو چیز را از من بگیر، اینکه بدون فکر(اندیشیدن) مگوی و بدون تعبیر کاری نکن. شیخ بهایی