گام 8: توجه ویژه ای به ارتباط با مدیران سیستم­ها داشته باشید

مدیران سیستم­ها افرادی هستند كه اغلب، در مورد امنیت كاربردی برای گروهی از سیستم­ها مسئول هستند. نبض سیستم­های كامپیوتری در دستان این افراد است. بارها مدیران سیستم آگاه بسیاری از رخدادها را با اخطار دادن در مورد اتفاقی كه به نظر عجیب می آید و با بازبینی فایل­های لاگ سیستم كشف كرده اند. از طرف دیگر، مدیران سیستم­ها پتانسیل ایجاد ضربه های سنگین در یك رخداد را دارا هستند. این افراد با حساب­های كاربری با اولویت بالا می­توانند به افراد نفوذگر هشدار دهند كه فعالیت آنها كشف شده است، شواهد را از بین ببرند یا حتی فایل­های سیستم را در اثر اشتباه پاك كنند.

فعالیت 8-1: مدیران سیستم­ها را درگیر كنید

مدیران سیستم­های بخش­های مختلف را برای مشاوره در مورد پروسه مدیریت رخداد دعوت كنید. این مجموعه، پرسپكتیو مورد نیاز برای حل مشكلات را به روش موثرتری فراهم می­كند.

فعالیت 8-2: آموزش پیش­گیرانه را هدایت كنید

كارگاه هایی را برای مدیران سیستم­ها در مورد بسته های نرم افزاری موجود برای تشخیص حملات و نظارت موثر بر سیستم­ها فراهم كنید. موثرترین اساتید معمولا كسانی هستند كه می­توانند تجارب دست اول در مدیریت رخدادها و در استفاده از ابزارها را شرح دهند. برای دریافت گواهی نامه امنیتی GIAC برای مدیران سیستم­ها و شبكه خود برنامه ریزی نمایید.

فعالیت 8-3: توانایی افراد در خواندن فایل­های لاگ را شناسایی كنید

نشانه های بسیاری از رخدادهای هرگز كشف نشده در داخل فایل­های لاگ قرار دارند. جمع آوری لاگ­های سیستم به تنهایی كافی نیست، بلكه مهم این است كه این لاگ­ها را بخوانید. ابزارهایی برای تحلیل آسانتر فایل­های لاگ و خودكار كردن این پروسه به كار بگیرید. اطمینان حاصل كنید كه سیاست شما برای نگهداری از لاگ­ها در موارد تحقیقات عمیقی كه در آن، لاگ­هایی از هفته ها و ماه­ها قبل مورد نیاز است مناسب است. آن دسته از مدیران سیستم­ها كه رخدادها را تشخیص می­دهند باید شناسایی شده و مورد تقدیر قرار گیرند.

فعالیت 8-4: پشتیبان گیری منظم از سیستم را ترویج كنید

نسخه های پشتیبان ناكافی علت بسیاری از فاجعه ها در بازیابی سیستم­ها پس از رخدادهای امنیتی هستند. پشتیبان­های به روز و پاك یا خارج از محل بسیار مهم هستند. مدیران سیستم­ها را تشویق كنید تا نسخه های پشتیبان خود را به روز نگه دارند و اطمینان حاصل كنند كه tape drive های آنها به درستی كار می­كنند. از سیستم­های حیاتی حداقل باید روزی یك بار نسخه پشتیبان تهیه شود. اطمینان حاصل كنید كه پشتیبان­های خارج از محل به موقع قابل بازیابی هستند. هر عضو از گروه مدیریت رخداد باید با نرم افزار پشتیبان گیری تجاری سازمان و نیز ابزارهای رایگانی مانند dd برای سیستم­های یونیكس و ntbackup برای سیستم­های ویندوز آشنا باشد.

فعالیت 8-5: اطمینان حاصل كنید كه عملیات رسیدگی (auditing) و لاگ گیری به خوبی انجام می­شود

اطمینان حاصل كنید كه رسیدگی و لاگ گیری پیش از وقوع یك رخداد به خوبی انجام می­شود. بعلاوه، اطمینان حاصل كنید كه ساعت­های سیستم­ها از یك منبع زمانی قابل اعتماد همزمان شده اند. این نكته این اطمینان را ایجاد می­كند كه فایل­های لاگ، زمان دقیق وقوع یك رخداد را نشان می­دهند. در هر زمان ممكن لاگ­ها را به سرورهای رزرو ارسال نمایید.

فعالیت 8-6: اطمینان حاصل كنید كه سیستم­ها دارای نرم افزار آنتی ویروس به روز هستند

نرم افزار آنتی ویروس می­تواند برای محافظت یك سیستم در برابر ویروس­ها، تروجان­ها، كرم­ها و سایر كدهای خرابكار مورد استفاده قرار گیرد. نرم افزار آنتی ویروس تنها زمانی موثر است كه توصیفات ویروس­ها در آن به طور مرتب به روز گردد. اغلب سایت­ها هر روز به روز می­شوند. بهتر است هر از گاهی آنتی ویروس خود را چك كنید تا اطمینان حاصل كنید كه درست كار می­كند. چرا كه كدهای خرابكار جدید سعی می­كنند آنتی ویروس و فایروال شخصی را از كار بیندازند.

فعالیت 8-7: با پیكربندی­های سرور و سیستم عامل­ها آشنا باشید

شما باید با پروسه های متعارف سیستم عامل مانند lsass.exe بر روی ویندوز NT/2000 و syslog بر روی یونیكس آشنا باشید. برای سیستم­های متصل به اینترنت، پروسه هایی را كه باید بر روی سیستم­ها اجرا گردند مستند نمایید. اگر قادر باشید پروسه های سیستمی عادی را تشخیص دهید، قادر خواهید بود به سرعت برنامه های غیرعادی را نیز شناسایی نمایید. این برنامه ها می­توانند تروجان یا درهای پشتی باشند كه توسط مهاجمان بر روی سیستم شما قرار می­گیرند. الگوریتم­های درهم سازی رمزنگاری مانند MD5 یا SHA-1 را اجرا كنید یا نرم افزارهایی مانند Tripwire را نصب نمایید تا تمامیت فایل­های سیستمی حیاتی را كنترل كنید.

فعالیت 8-8: تست نفوذ انجام دهید

یكی از بهترین راه­ها برای جلوگیری از رخدادها این است كه اطمینان حاصل كنید كه سیستم­های شما آسیب پذیر نیستند. تست­های نفوذ را مرتب انجام دهید تا مطمئن شوید كه سیستم­های شما به طور امن پیكربندی شده اند و اصلاحیه های آنها اعمال شده است. یك روش این است كه این تست را در سه مرحله انجام دهید: 1- شناسایی مودم­های بدون مجوز یا با مجوزی كه ضعیف پیكربندی شده اند. 2- تست خارجی برای اینكه یك فرد خارجی می­تواند چه چیزهایی در مورد سیستم شما كشف كرده و مورد سوء استفاده قرار دهد. 3- تست داخلی برای اینكه یك فرد داخلی می­تواند چه چیزهایی در مورد سیستم شما كشف كرده و مورد سوء استفاده قرار دهد. اگر منابع لازم برای انجام یك تست نفوذ خوب را در اختیار ندارید، حداقل یك اسكن كننده آسیب پذیری مانند nessus را اجرا كنید.

گام 9: ارتباطاتی را با آژانس­های حقوقی و سایر گروه­های پاسخگویی به رخدادهای كامپیوتری ایجاد كنید

اگر ارتباطات خود را از قبل سازماندهی نمایید، زمانی كه در وضعیت بحرانی به كمك احتیاج دارید این كار راحتتر انجام می­گیرد. ممكن است آژانس­های حقوقی متعددی مسئولیت­هایی برای مدیریت رخدادهای كامپیوتری داشته باشند كه با یكدیگر همپوشانی داشته باشند. مساله این است كه چگونه افرادی را پیدا كرده و با آنها تماس بگیریم كه در مورد رخدادهای كامپیوتری اطلاعات لازم را دارا هستند.

فعالیت 9-1: با قوانین كاربردی آشنا باشید

خود را با قوانین محلی مرتبط با جرایم كامپیوتری شامل قوانین مدیریت شواهد و تعقیب قانونی آشنا كنید. اگر قصد شما این است كه مجرم را مورد تعقیب قانونی قرار دهید، باید مفاهیم قانونی را درك نمایید.

فعالیت 9-2: انواع شرایطی را كه نهادهای اجرایی قانون درگیر خواهند شد شناسایی كنید

نهادهای اجرایی قانون پیش از هرچیز بر توقیف كردن و تعقیب كردن مجرمان تمركز دارند. آژانس­های حقوقی در این موارد كار می­كنند: خلافكاری، سرقت، جاسوسی، هرزنگاری كودكان و تهدیدات كامپیوتری. از طرف دیگر در شرایطی ممكن است كه این آژانس­ها قادر نباشند در پاسخگویی كمك نمایند. در صورتی كه شواهد حفظ نشوند یا اینكه مورد پیش آمده چندان ارزشمند به نظر نیاید، ممكن است آنها صرفا یك تحقیق سرسری انجام دهند.

فعالیت 9-3: پیش از وقوع یك رخداد با نهادهای محلی اجرایی قانون تماس بگیرید

اكنون زمان آن است كه ماموران جرایم كامپیوتری محلی خود را شناسایی كنید. آنها اغلب مایلند آموزش­هایی در مورد جرایم كامپیوتری به سازمان شما ارائه دهند و مدیریت شما را ملاقات نمایند. آنها همچنین می­توانند به شما برای تعیین ملزومات محلی و ملی برای مدیریت شواهد كمك كنند. تمامی اطلاعات تماس مربوط به این نهادها و اعضای آن شامل شماره های تلفن، آدرس­های ایمیل و سایر موارد مشابه را جمع آوری كنید. این اطلاعات تماس را در راهبردهای مدیریت رخداد سازمان خود یادداشت نمایید. ارتباطات از هر نوعی كه باشند، یك سرمایه به حساب می آیند. در یك رخداد این افراد می­توانند خود را به عنوان بهترین دوست سازمان شما به اثبات برسانند. برخی سایت­ها قویا پیشنهاد می­دهند كه یك فرد خاص به عنوان رابط حقوقی گروه انتخاب شود.

فعالیت 9-4: با یك گروه CIRT یا FIRST متصل شده یا چنین گروهی ایجاد كنید

اگر یك گروه پاسخگویی به رخدادهای كامپیوتری یا نهاد هماهنگ كننده برای سازمان­هایی مانند شما وجود دارد، اعضای آن را شناسایی كرده و مكانیزم­هایی برای كمك گرفتن از آنها در هنگام نیاز ایجاد كنید.