مدیریت رخداد بسیار شبیه به اورژانس پزشكی است. در این وضعیت، فرد كمك رسان تحت فشار قرار داشته و اشتباهات وی میتوانند بسیار گران تمام شوند. در اختیار داشتن یك روال ساده و از پیش تعریف شده، در این موارد بهترین راهكار است. به همین دلیل بزرگترین و با تجربه ترین متخصصین مدیریت رخدادهای امنیتی نیز از روالهای از پیش تعریف شده و سیستماتیك برای پاسخگویی به رخدادهای مرتبط با امنیت استفاده میكنند. این افراد، شش مرحله ثابت و مشخص را همواره در ذهن خود دارند، از فرمهای از پیش طراحی شده استفاده میكنند و در صورت نیاز، از دیگران كمك میگیرند. این شش مرحله به طور مختصر به شرح زیرند:
1. آمادگی: داشتن سیاستها، روالها و توافقهایی كه باعث میشوند در زمان وقوع یك رخداد امنیتی، شما بر اساس یك سیاست مدون رفتار كرده و از تصمیمات شتابزده خودداری نمایید.
2. شناسایی: تشخیص این موضوع كه اولا آیا یك رخداد امنیتی رخ داده است یا خیر و ثانیا در صورت وقوع، طبیعت این رخداد چیست.
3. كنترل و محدود سازی: محدود كردن دامنه رخداد و جلوگیری از بدتر شدن آن است.
4. پاكسازی: حذف یا كاهش عواملی كه باعث وقوع این رخداد امنیتی شده اند.
5. بازیابی: بازگرداندن سیستم به وضعیت عادی و كاربردی.
6. پیگیری: یادگیری از این تجربه و استفاده از آن در هنگام وقوع رخدادهای آتی.
هریك از این مراحل، از چندین گام تشكیل شده اند كه در قسمتهای آینده این مقالات، به تفصیل بیان خواهند شد.
ده گام اولیه برای برخورد با یك رخداد امنیتی كامپیوتری
زمانی كه یك رخداد امنیتی كامپیوتری رخ میدهد و شما برای آن آمادگی ندارید، این ده گام را دنبال كنید:
گام اول: خونسردی خود را حفظ كنید. حتی یك رخداد بسیار ساده نیز به شما فشار و استرس تحمیل میكند. در این حالت برقراری ارتباط با دیگران و هماهنگی با آنها سخت میشود. آرامش شما میتواند از ارتكاب خطاهای جدی توسط دیگران جلوگیری نمایند.
گام دوم: از یادداشتهای مناسب استفاده كنید. فرمهایی را كه در انتهای این مجموعه مقالات ارائه میشوند، مورد استفاده قرار دهید. به این منظور، با فرمی كه «معرفی رویداد» نام دارد آغاز كنید. سپس كار خود را با سایر فرمهای مرتبط ادامه دهید. همانطور كه فرمها را تكمیل میكنید، به خاطر داشته باشید كه یادداشتهای شما میتوانند به عنوان مدرك در دادگاه مورد استفاده قرار گیرند. در مورد پاسخهای خود به چهار سوال «چه كسی»، «چه چیزی»، «چه زمانی» و «كجا» اطمینان حاصل كنید. همچنین بهتر است كه به سوالات «چگونه» و «چرا» نیز توجه كنید.
گام سوم: به افراد مناسب اطلاع داده و از آنها كمك بخواهید. این كار را با اطلاع رسانی به هماهنگ كننده امنیتی و مدیر خود آغاز كنید. بخواهید كه یكی از همكاران برای كمك به هماهنگ كردن روال مدیریت رخداد اختصاص داده شود. یك كپی از دفتر تلفن شركت گرفته و با خود همراه داشته باشید. از همكار خود بخواهید كه یادداشتهای دقیقی از صحبتهای تمامی افراد بنویسد. خود شما نیز همین كار را انجام دهید.
گام چهارم: جزئیات رخداد را به كمترین تعداد افراد ممكن منتقل كنید. به آنها تاكید كنید كه افراد قابل اعتمادی هستند و سازمان شما روی احتیاط آنها حساب میكند.
گام پنجم: اگر كامپیوترهای شما مورد سوء استفاده قرار گرفته اند، از آنها برای بحثهای مدیریت رخداد استفاده نكنید. به جای این كار از تلفن و فاكس استفاده نمایید. اطلاعات مربوط به رخداد را با ایمیل و چت منتقل نكنید. ممكن است این اطلاعات توسط مهاجمان مورد شنود قرار گیرند و وضعیت بدتر گردد. زمانی كه از كامپیوتر برای انتقال اطلاعات استفاده میكنید، تمامی ایمیلهای مربوط به مدیریت رخداد را رمزگذاری نمایید.
گام ششم: مشكل را محدود كنید. گامهای لازم برای جلوگیری از بدتر شدن مشكل را به كار ببندید. این مساله اغلب به معنای حذف سیستم آسیب دیده از شبكه است. البته ممكن است مدیریت تصمیم بگیرد به منظور به دام انداختن فرد مهاجم، ارتباطات این سیستم را باز بگذارد.
گام هفتم: هر چه سریعتر یك نسخه پشتیبان از سیستمهای آسیب دیده تهیه كنید. برای این كار از ابزار ذخیره سازی جدید و استفاده نشده ای استفاده كنید. در صورت امكان، یك نسخه پشتیبان دودویی یا بیت به بیت تهیه نمایید. ابزارهایی مانند SafeBack، یا Norton Ghost میتوانند پشتیبانهای دودویی اجرایی بر روی پلتفورمهای اینتل تهیه كنند. اگر فرصت كافی برای یادگیری ابزار «dd» را پیش از وقوع رخداد داشته باشید، میتوانید این ابزار را برای هر دو سیستم عامل ویندوز و یونیكس مورد استفاده قرار دهید. البته این كار نیاز به تمرین دارد.
گام هشتم: از شر مشكل خلاص شوید. اگر میتوانید مشخص كنید كه چه چیزی باعث ایجاد مشكل شده است. گامهایی را برای تصحیح نواقصی كه باعث رخ دادن مشكل شده بودند به كار ببندید.
گام نهم: به كار خود برگردید. پس از چك كردن نسخه های پشتیبان و حصول اطمینان از اینكه مورد سوء استفاده قرار نگرفته اند، سیستم خود را از طریق این نسخه های پشتیبان بازیابی كنید. سپس سیستم را به دقت كنترل كنید تا مطمئن شوید كه میتواند وظایف خود را انجام دهد. چند هفته همچنان سیستم را تحت نظارت داشته باشید تا اطمینان حاصل كنید كه مجددا مورد سوء استفاده قرار نگرفته باشد.
گام دهم: از این تجربه درس بگیرید. بنابراین در هنگام روی دادن رخداد بعدی آماده خواهید بود. این مجموعه مقالات به شما كمك خواهد كرد تا یك روش سیستماتیك برای مدیریت رخدادها در اختیار داشته باشید.
افراد بسیار كمی وجود دارند كه تجربه كافی مدیریت رخداد برای راهنمایی دادن در مورد تمامی انواع رخدادها و برای تمامی انواع سازمانها را دارا باشند. این مجموعه مقالات، تجربه مدیریت رخداد بیش از 50 سازمان مختلف تجاری، دولتی و آموزشی را یك جا گرد آورده است. اگر سازمان مطبوع شما یك سازمان بسیار كوچك است، فقط قسمتهایی از این راهنما را كه میتوانید پیاده سازی نمایید. در قسمتهای آینده این مجموعه مقالات، شش مرحله اصلی مدیریت رخدادهای امنیت كامپیوتری را به تفصیل شرح خواهیم داد.
افزایش اندازه قلم
