گام 5: امكانات گزارش دهی ساده فراهم كنید

زمانی كه كاربران نمی­دانند در صورت مشاهده یك رخداد امنیتی با چه كسی تماس گرفته یا چه بگویند، گزارش اطلاعات در مورد رخدادهای احتمالی را به تاخیر می اندازند. گزارش رخدادهای امنیتی كامپیوتری باید به اندازه گزارش یك واقعه آتش سوزی ساده باشد.

فعالیت 5-1: به كاربران آموزش دهید

زمانی كه كارمند جدیدی وارد سازمان می­شود، فرصت ایده آلی برای آگاهی دادن و راهنمایی وی در مورد روال­های مدیریت رخداد و پروسه گزارش دهی در سازمان است. البته حافظه افراد در طول زمان كمرنگ می­شود و به همین دلیل شما نباید روی معارفه اولیه كارمندان حساب چندانی باز كنید. اطلاع رسانی در مورد پاسخگویی رخداد در سازمان شما باید بخشی از آگاهی­ها و هشدارهای امنیتی سالانه شما باشد.

فعالیت 5-2: فهرستی از نشانه های یك رخداد را منتشر كنید

فهرستی از نشانه ها می­تواند به گروه شما و سایرین كمك كند كه یك رخداد را شناسایی نمایند. مثال­هایی از نشانه ها عبارتند از: فعالیت در حساب­های كاربری كه پیش از این بلا استفاده بوده اند، دسترسی­های غیر معمول خارج از محل، اسكریپت­های ریشه تخصیص id جدید، انتقال كلمات عبور در لاگ­های ftp و وب، از كار افتادن سیستم، پر شدن غیر عادی فایل سیستم­ها، نام­های فایل جدید یا نا آشنا و موارد غیر عادی مشابه. با مدیران سیستم­های سازمان خود برای تهیه فهرستی از نشانه هایی كه متناسب با سیستم عامل­های مورد استفاده در سازمان شما هستند همكاری نمایید.

فعالیت 5-3: از وب استفاده كنید

یك صفحه وب رخداد اینترانتی ایجاد كرده و به كاربران كمك كنید كه گروه مدیریت رخداد كامپیوتری شما را پیدا كنند. هر دپارتمانی باید یك كپی از این اطلاعات را در صورتی كه شبكه یا وب سرور از كار افتاده باشد در اختیار داشته باشد. شما همچنین می­توانید از صفحه وب برای آگاه نگاه داشتن سازمان خود از تغییرات استفاده نمایید.

فعالیت 5-4: گزارش دهی از طریق ایمیل یا تلفن را تبلیغ كنید

یك ایمیل ساده مانند incident@(yourorganization).org ایجاد كنید تا كاربران از طریق آن اقدام به گزارش كردن رخدادها نمایند. همچنین تخصیص خطوط تلفنی برای گزارش كردن رخدادهای امنیتی به صورت ناشناس و رایگان بسیار كمك كننده است.

فعالیت 5-5: به گزارش دهندگان پاداش بدهید

یك سازمان كارمندانی را كه رخدادها یا وقایع مشكوك را شناسایی كرده اند با یك جایزه مورد تقدیر قرار می­دهد. سازمان دیگری تصویر كارمندان هوشیار را با توضیح كوتاهی در مورد نحوه شناسایی رخداد توسط آنها و كمكی كه به سازمان كرده اند منتشر می­كند. به هر حال كارمندانی كه رخدادها را گزارش می­كنند باید مورد قدردانی قرار گیرند.

فعالیت 5-6: اطلاعات مدیریت را به صورت مداوم به روز نمایید

مدیریت را در مورد تهدیدات، هزینه رخدادها، ملزومات امنیتی و اطلاعات مشابه دیگر مطلع و آگاه نگاه دارید.

فعالیت 5-7: پارامترها و ملزومات رخداد را مشخص كنید

ملزوماتی را كه پیش از اعلام وقوع رخداد به مدیریت ارشد یا آژانس­های قانونی خارج از سازمان مورد نیاز است مشخص كنید. اطمینان حاصل كنید كه هر تماسی از این نوع مورد قبول مدیریت و اداره روابط عمومی قرار خواهد گرفت.

فعالیت 5-8: فرم­های گزارش دهی برای رخدادها را ایجاد و نگهداری نمایید

فرم­هایی برای ثبت اطلاعات رخدادها آماده كنید. استفاده از فرم­های از پیش آماده شده این اطمینان را ایجاد می­كند كه رخدادها به طور كامل و با اطلاعات دقیق ثبت شده اند.

گام 6: به اعضای گروه آموزش دهید

كارمندان ناآگاه و آموزش ندیده می­توانند در هنگام وقوع یك رخداد، دردسرهای بزرگی ایجاد كنند. پاسخگویی به یك رخداد می­تواند فشار زیادی بر روی گروه پاسخگویی وارد آورد. یك گروه آموزش دیده می­تواند كمك كند كه جریانات بسیار آرامتر پیش بروند.

فعالیت 6-1: نشستی برای برنامه ریزی و آموزش سناریوها تنظیم كنید

نشستی برای گروه مدیریت رخداد فراهم كنید تا در مورد چگونگی مدیریت سناریوهای اساسی بحث كنند. مثال­ها می­تواند شامل یك اپیدمی ویروسی، تلاش­های ناموفق برای نفوذ به كامپیوتر، نفوذهای موفق به كامپیوترها یا كشف حجم قابل توجهی از تصاویر غیر اخلاقی كودكان بر روی یك كامپیوتر شركت باشد. در مورد نحوه مدیریت این رخدادها تصمیم گیری كنید. مشخص كنید كه آیا منابع خارج از سازمان باید درگیر موضوع گردند یا خیر. سناریوهای ساختگی را با درس­هایی كه از آنها می­توان گرفت پی­گیری نمایید. سناریوهای مثالی و پاسخ آنها را در برنامه رسمی پاسخگویی رخداد سازمان خود درج كنید.

فعالیت 6-2: ابزارها و تكنیك­های آموزش را فراهم كنید

آموزش­هایی برای اعضای گروه پاسخگویی به رخداد در مورد استفاده از ابزارها و تكنیك­ها برای تهیه پشتیبان، جمع آوری شواهد و تحلیل فراهم كنید. یك CD یا فلاپی با ابزارهای جرم شناسی ایجاد نمایید. در صورتی كه قصد دارید از نتایج این ابزارها به عنوان شاهد قانونی استفاده كنید، بهتر است گروه حقوقی نیز این ابزارها را بازبینی نمایند. اطمینان حاصل كنید كه اعضای گروه به خوبی توجیه شده اند كه هرگز برنامه ها را مستقیما بر روی یك میزبان كه مورد سوء استفاده قرار گرفته است اجرا نكنند. اطمینان حاصل كنید كه ابزارهای انتخابی شما برای تحلیل جرم شناسی مورد قبول هستند و شواهد موجود بر روی سیستم هدف را تغییر نمی­دهند.

فعالیت 6-3: درایوهای پرظرفیت تهیه كنید

از آنجاییكه تهیه و نگهداری نسخه های پشتیبان یكی از مهمترین وظایف شماست، خود را با دیسك­های پر ظرفیت، دفترچه راهنمای نحوه استفاده از آنها، و انواع كابل­ها و ترمیناتورها مجهز كنید. استفاده از این ابزارها را پیش از اینكه در شرایط بحران به آنها نیاز پیدا كنید تمرین نمایید.

فعالیت 6-4: بازی­های جنگی ایجاد كنید

نشست­هایی برای شبیه سازی یك رخداد برای مدیران سیستم و اعضای گروه مدیریت رخداد اجرا كنید كه در آنها، برخی از اعضا به عنوان مهاجم و سایرین به عنوان مدافعان اعمال نقش نمایند. این بازی­های جنگی را صرفا به پرسنل ارشد محدود نكنید. برنامه پاسخگویی رخداد خود را طوری به روز نمایید كه شامل تمامی مسائل مطرح شده در آموزش­ها و تمرینات باشد.

گام 7: راهكارهایی را برای همكاری­های درون سازمانی ایجاد نمایید

زمانی كه یك رخداد اتفاق می افتد، معمولا كمبودی به لحاظ تعداد افرادی كه تمایل به كمك كردن دارند مشاهده نمی­شود. اما اگر نقش­های سازمانی و تعامل میان آنها به خوبی تعریف نشده باشند، برخی از این افراد می­توانند باعث وخیم­تر شدن اوضاع گردند.

فعالیت 7-1: مدیریت محلی در مورد رخدادهای كوچك را تقویت كنید

كاربران و مدیران سیستم­های محلی باید قادر باشند رخدادهای كوچك مانند آلودگی­های ویروسی را مدیریت نمایند. سیاست رخداد سازمان باید تعیین كند كه كاربران و مدیران سیستم­ها كدام رخدادها را به تنهایی می­توانند مدیریت نمایند و كدام رخدادها را باید گزارش كنند.

فعالیت 7-2: همكاری نزدیكی با help desk ها داشته باشید

نخستین نشانه وقوع یك مشكل می­تواند كاربری باشد كه به یك help desk (واحد پشتیبانی) گزارش می­دهد. help desk ها می­توانند اولین خط دفاعی برای رخدادهای كوچكی مانند آلودگی­های ویروسی كه چند سیستم را درگیر كرده است باشند. بسیاری از help desk ها ساعت سرویس دهی طولانی داشته و برخی حتی شبانه روزی هستند. Help desk را به بخشی از گروه مدیریت رخداد تبدیل كنید و به عنوان نقطه تماس برای گزارش رخدادها از آن استفاده نمایید.

Help desk ها همچنین یك هدف اولیه برای حملات مهندسی اجتماعی هستند. یك حمله بسیار ساده مهندسی اجتماعی تلفنی است كه می­گوید: «من برای تحویل یك گزارش مهم به مدیر عجله دارم و متاسفانه كلمه عبور خود را فراموش كرده ام. ممكن است یك كلمه عبور جدید به من بدهید؟» اگر كارمندان help desk بخشی از پروسه مدیریت رخداد شما باشند، از انواع حملاتی كه بر علیه سازمان شما انجام می­شود آگاه هستند و احتمال آسیب پذیری آنها در برابر حملات مهندسی اجتماعی كمتر خواهد بود. بعلاوه در بسیاری از سازمان­ها كارمندان help desk بر مدیریت شبكه و كنسول­های نفوذ نظارت می­كنند و در نتیجه در مورد مشاهده، گزارش دادن و احتمالا پاسخگویی به رخدادها آموزش­های اولیه دیده اند. در نهایت اگر كاربر یكی از سیستم­ها مشكلی را مشاهده كند و تشخیص ندهد كه مربوط به یك سوء استفاده امنیتی است یا خیر، احتمالا مشكل را به help desk گزارش خواهد داد.