زمانی كه یك رخداد كشف می­شود، تصمیم گیری عجولانه در مورد آن موثر و كارآ نخواهد بود. با مدون كردن سیاست­ها، روال­ها و توافق­های مناسب، احتمال انجام اشتباهات فاجعه آمیز به حداقل خواهد رسید. علاوه بر این با در نظر گرفتن معیارهای پیشگیرانه، قادر خواهید بود تعداد رخدادها را نیز كم كنید.

گام 1: از تكنیك­های پیشگیرانه برای جلوگیری از رخدادها استفاده كنید.

بهترین راه برای مدیریت یك رخداد این است كه در گام اول از روی دادن آن جلوگیری نماییم. برای انجام این كار، نیاز به تدوین سیاست­ها، كنترل و تحلیل ترافیك شبكه، به كارگیری یك برنامه اصلاح آسیب پذیری­ها، تشخیص آسیب پذیری­ها، ارتقای مهارت­های امنیتی فنی كارمندان، پیكربندی آگاهانه سیستم­ها و ایجاد برنامه های آموزش مدیریت رخداد است. تركیب این اعمال، كار نفوذگران را برای دسترسی به سیستم­های شما و ضربه زدن به آنها سخت­تر می­كند. به این منظور فعالیت­های زیر را انجام دهید.

فعالیت 1-1: آسیب پذیری­های شناخته شده سیستم را اصلاح كنید

حجم گسترده ای از نفوذهای كامپیوتری از طریق آسیب پذیری­های شناخته شده اتفاق می افتند. برای جلوگیری از نفوذ به سیستم، هیچ كاری مهمتر از پیكربندی امن سیستم­های جدید و اصلاح آسیب پذیری­های شناخته شده وجود ندارد.

یك پروسه رسمی برای بازبینی هشدارهای امنیتی و تست و اعمال اصلاحیه ها ایجاد نمایید. با مدیران سیستم­های خود كار كرده و اطمینان حاصل كنید كه اصلاحیه های مهم در كوتاهترین زمان ممكن اعمال می­شوند. اصلاحیه ها را پیش از اتصال سیستم­های جدید به اینترنت، بر روی آنها نصب كنید.

نكته: یكی از درس­های كرم Code Red در جولای 2001 این بود كه بسیاری از سیستم­هایی كه پشت فایروال قرار داشتند نیز آلوده شده بودند. بنابراین به اصلاح آسیب پذیری­های تمام سیستم­ها اهمیت دهید.

فعالیت 1-2: مهارت­های امنیتی فنی را توسعه دهید

در مقیاس بزرگ معمولا آسیب پذیری­ها حذف نمی­شوند، چرا كه مدیران سیستم­ها و شبكه ها و حتی متخصصین امنیتی از این آسیب پذیری­ها آگاه نبوده یا نمی­دانند با آنها چه كنند. عاقلانه است كه از تك تك مدیران سیستم و مدیران شبكه و تك تك افرادی كه مسوولیت مستقیم امنیت و عملكرد سیستم را بر عهده دارند بخواهید كه مهارت­های خود را افزایش دهند و این مساله را از طریق دریافت گواهی­های معتبر ثابت كنند.

فعالیت 1-3: سیاستی در مورد محرمانگی ایجاد كنید

سازمان شما باید سیاستی در مورد محرمانگی تدوین كرده و رعایت آن را اجباری كند. این سیاست باید به سوالاتی مانند این پاسخ دهد: "آیا ایمیل­های ذخیره شده بر روی فایل سرور شما جزو دارایی­های سازمان به حساب می آید یا جزو دارایی­های هر یك از كاربران سیستم­ها؟". این سیاست همچنین باید مشخص كند كه رمزگذاری در چه زمانی مجاز بوده و تحت چه شرایطی مورد نیاز است. بخش رمزگذاری باید افرادی را كه كلیدها را نگهداری می­كنند نیز مشخص كرده باشد.

فعالیت 1-4: پیغام­های هشدار دهنده نمایش دهید

از دید حقوقی، نمایش پیغام­های هشدار دهنده یكی از مهمترین گام­هایی است كه می­توانید برای ایجاد آمادگی برای یك رخداد انجام دهید. هر سیستمی باید یك پیغام هشدار دهنده قابل مشاهده برای كاربرانی كه سعی می­كنند به آن وارد شوند، نمایش دهد. این پیغام باید بیان كننده این نكات باشد كه این سیستم جزو دارایی­های سازمان شماست، در معرض كنترل قرار دارد و استفاده بدون مجوز از آن ممنوع است. مشاور حقوقی شما باید پیغام هشدار دهنده شما را بازبینی نماید. این پیغام نباید سیستم عامل یا هدف این كامپیوتر را مشخص كند.

فعالیت 1-5: یك راهكار سازمانی برای مدیریت رخداد ایجاد كنید

زمانی كه یك رخداد كشف می­شود، شما بین دو روش مدیریت رخداد باید تصمیم گیری كنید. اولین و ساده ترین روش «منع، حذف و رد دسترسی» است. تمركز این روش بر ریشه كن كردن مشكل با سرعت هرچه تمامتر و بازگشت به كار عادی است. روش دیگر كه به مهارت فنی و برنامه ریزی بیشتری نیاز دارد، عبارتست از «كنترل و جمع آوری اطلاعات». در اینجا شما به فرد نفوذگر اجازه می­دهید كه به حمله خود ادامه دهد. البته ممكن است این كار را با محدودیت­های زیركانه كه خرابی را به حداقل می­رسانند انجام دهید. اغلب، تصمیم گیری بین این دو روش به این بستگی دارد كه شما مایلید فرد نفوذگر را تعقیب كنید یا خیر. روش اول شواهد لازم برای شناسایی و تعقیب مجرم را در اختیار شما نمی­گذارد.

زمانی كه روش اول انتخاب می­شود، یك سازمان از مجموعه ای از تكنیك­ها مانند رد كردن دسترسی به «آدرس­های IP بد»، ایجاد محدودیت برای سرویس­ها با استفاده از یك فایروال یا مسیریاب برای فیلتر كردن ترافیك، یا فقط قطع كردن سیستم­های هدف از شبكه را مورد استفاده قرار می­دهد.

هر دو روش مزایا و معایبی دارند. بهتر است كه سیاست خود را با توجه به یك رخداد جدی تعیین كنید. مدیریت سازمان را وارد این تصمیم گیری نمایید. هر سیستم یا برنامه ای بسته به حساسیت آن، می­تواند یك روش مدیریت رخداد مخصوص به خود داشته باشد. این تصمیم به مدیریت رده بالا وابسته است، اما باید پیش از وقوع یك رخداد این تصمیم گیری انجام شود و در روال­های مدیریت رخداد رسمی سازی گردد.

فعالیت 1-6: تشخیص نفوذ خودكار ایجاد كنید

یك سیستم تشخیص نفوذ (IDS) می­تواند یك مكانیزم هشدار دهی اولیه در هنگام وقوع نفوذ به یك سیستم ارائه دهد. محصولات تجاری و ابزارهای رایگان مانند Snort می­توانند طوری تنظیم گردند تا بخش­های حیاتی شبكه را در مورد حملات نظارت كنند. بعلاوه، از عامل­های مبتنی بر میزبان بر روی سرورهای حیاتی استفاده كنید تا در هنگام احتمال وقوع حمله به سیستم­های شخصی، هشدار دهند. هشدارها را اولویت بندی نموده و IDS را تنظیم كنید تا تعداد «گزارش­های خطای نادرست» را كاهش دهید و هشدارهای با كیفیت تولید نمایید. در صورتی كه یك رخداد كار سازمان شما را به دادگاه بكشاند، یك IDS به عنوان منبعی از داده ها مورد استناد قرار می­گیرد تا نشان دهد كه لاگ­های سیستم­ها دستكاری یا جعل نشده اند.

نكته: برخی محصولات IDS می­توانند طوری پیكربندی گردند كه به طور خودكار به یك رخداد پاسخ دهند. برای مثال می­توانند این كار را با قطع ارتباط فرد مهاجم یا تنظیم مجدد لیست كنترل دسترسی فایروال انجام دهند. در هنگام پیكربندی یك IDS به این روش باید احتیاط لازم مد نظر قرار داده شود، چرا كه مهاجمان هوشمند قادر خواهند بود با استفاده از پاسخ خودكار، IDS شما را فریب دهند تا فعالیت­های ناخواسته ای را انجام دهد.

فعالیت 1-7: سیاستی برای ارتباط با سازمان­ها و افراد خارج از سازمان ایجاد كنید

یك گروه از رخدادهای كامپیوتری كه به شدت در حال گسترش هستند، حملات انكار سرویس مبتنی بر شبكه هستند كه از كلاهبرداری استفاده می­كنند. در این حالت یك فرد در بیرون از سازمان شما می­تواند كاری كند كه كامپیوترهای شما به یك سازمان دیگر حمله كنند. سازمان شما باید سیاستی را تدوین كند كه مشخص نماید با چه كسی، در چه زمانی و چگونه در سازمان­های بیرونی تماس گرفته شده و در این باره اطلاع رسانی شود. بسیار مهم است كه درست مانند زمانی كه سازمان شما هدف قرار می­گیرد، در زمانی كه سازمان شما به منبع مشكلات تبدیل می­شود نیز پاسخگو و مسوولیت پذیر باشید. در این رخدادهای مدرن، سازمان شما می­تواند منبع حملاتی به نظر بیاید كه در حقیقت نیست. روال­هایی بنویسید كه ارتباطات با سایت­های منبع و سایت­های هدف را تعریف كنند.

سیاستی برای برخورد با رخدادهایی كه كامپیوترهای راه دور شما و رخدادهایی كه كامپیوترهای پیمان­كاران و سایر كارمندان غیر تمام وقت را درگیر می­كنند، تدوین كنید. هر چه تعداد بیشتری از كارمندان از راه دور كار كنند، رخدادهای امنیتی بیشتری سیستم­های راه دور را تحت تاثیر قرار داده یا توسط این سیستم­های ایجاد می­شود. سیاستی تدوین كنید كه كار جستجو و ضبط این سیستم­ها را انجام دهد. سیستم­های مشاوران، كارمندان موقتی و زیر پیمانكاران در دسته این سیستم­ها قرار می­گیرند. اطمینان حاصل كنید كه «سیاست­های استفاده قابل قبول» سازمان شما، شامل كامپیوترهای خانگی و كامپیوترهای قابل حمل نیز می­شود. سیستمی را ایجاد كنید كه از طریق آن به طور روتین هر فرد خارجی كه به سیستم­ها و اطلاعات دسترسی دارد مانند مشاور را ثبت نمایید. این ركوردها باید جزئیات دسترسی مورد قبول را مشخص كند. به عنوان بخشی از این سیاست، راهكارها و مكانیزم­هایی را تعریف كنید كه دسترسی آنها را پس از اتمام كار با سازمان شما یا انتقال به جای دیگر یا در صورت عدم نیاز، قطع كند.

فعالیت 1-8: توافق نامه هایی با سازمان­های بیرونی ایجاد كنید

توافق نامه هایی را با تمامی سازمان­های بیرونی مرتبط با شبكه خود ایجاد كنید كه به سازمان شما این حق را بدهد كه در صورت نیاز ارتباط آنها را قطع كرده و یا كنترل نمایید. برخی سازمان­ها ترجیح می­دهند از زبان پیمانكاران خود استفاده كنند كه نیاز دارد تمامی طرف­ها در صورت وقوع یك رخداد، به سایرین اطلاع رسانی كنند. اطمینان حاصل كنید كه ملزومات امنیتی در توافق نامه های سطح سرویس در نظر گرفته شده باشند.

فعالیت 1-9: دارایی­ها و سرورهای حساس را مشخص كنید

یك ارزیابی امنیتی برای شناسایی دارایی­های محاسباتی حساس شركت خود انجام دهید. مشخص كنید كه در صورتی كه یك سیستم از دسترس خارج شود یا اینكه داده های محرمانه آن افشا گردد، چه تاثیری بر سازمان می­گذارد. یك تكنیك، استفاده از مقیاس عددی احتمال وقوع (از 1 تا 5) و میزان تاثیر گذاری آن (از 1 تا 5) است كه 1 نشان دهنده كمترین خطر/هزینه و 5 نشان دهنده بیشترین خطر/هزینه است. این دو را با هم جمع زده و خطرها را به شكل عددی و از زیاد به كم منظم كنید. زمان بیشتری برای محافظت از سیستم­هایی كه حساستر هستند صرف كنید و گام­های اضافی برای امن كردن این سیستم­ها در نظر بگیرید. در صورت امكان، صاحبان سیستم­ها نیز باید در تعیین حساسیت دخیل باشند.

فعالیت 1-10: از سیاست­های قوی برای حساب­های كاربری استفاده كنید

حساب­های كاربری بدون استفاده یا حساب­هایی با كلمه عبور ضعیف، پتانسیل ویژه ای برای وقوع رخدادهای امنیتی دارند. سیاست­های تعیین كلمات عبور قوی را تعریف و اجرای آن را اجباری نمایید. این سیاست­ها شامل انقضای یك كلمه عبور، قوانین پیچیدگی كلمه عبور (مانند كاراكترهای حروف كوچك و بزرگ) و تاریخچه كلمات عبور است كه از یك كلمه عبور دو بار استفاده نشود. ابزارهایی مانند John the Ripper می­توانند برای تخصیص كلمه عبور مورد استفاده قرار گیرند. همچنین ابزارهایی نیز برای یونیكس و ویندوز برای قوی كردن كلمات عبور وجود دارند.

فعالیت 1-11: یك بازبینی حقوقی بر سیاست­ها و روال­های خود انجام دهید

اگر شركت شما قصد دارد (یا ممكن است قصد داشته باشد) كه كارهای قانونی در برابر یك رخداد انجام دهد، سیاست­ها و روال­های شما باید توسط متخصصین حقوقی بازبینی شود.