یک ارزیابی امنیتی برای شناسایی داراییهای محاسباتی حساس شرکت خود انجام دهید. مشخص کنید که در صورتی که یک سیستم از دسترس خارج شود یا اینکه داده های محرمانه آن افشا گردد، چه تاثیری بر سازمان میگذارد. یک تکنیک، استفاده از مقیاس عددی احتمال وقوع (از ۱ تا ۵) و میزان تاثیر گذاری آن (از ۱ تا ۵) است که ۱ نشان دهنده کمترین خطر/هزینه و ۵ نشان دهنده بیشترین خطر/هزینه است. این دو را با هم جمع زده و خطرها را به شکل عددی و از زیاد به کم منظم کنید. زمان بیشتری برای محافظت از سیستمهایی که حساستر هستند صرف کنید و گامهای اضافی برای امن کردن این سیستمها در نظر بگیرید. در صورت امکان، صاحبان سیستمها نیز باید در تعیین حساسیت دخیل باشند.
استفاده از سیاستهای قوی برای حسابهای کاربری
حسابهای کاربری بدون استفاده یا حسابهایی با کلمه عبور ضعیف، پتانسیل ویژه ای برای وقوع رخدادهای امنیتی دارند. سیاستهای تعیین کلمات عبور قوی را تعریف و اجرای آن را اجباری نمایید. این سیاستها شامل انقضای یک کلمه عبور، قوانین پیچیدگی کلمه عبور و تاریخچه کلمات عبور است که از یک کلمه عبور دو بار استفاده نشود.
انجام یک بازبینی حقوقی بر سیاستها و روالها
اگر تیم پاسخگویی به رخدادهای امنیتی در نظر دارد که کارهای قانونی در برابر یک رخداد انجام دهد، سیاستها و روالهای شما باید توسط متخصصین حقوقی بازبینی شود.
جلب نظر و پشتیبانی مدیریت
توجه داشته باشید که تا زمانی که پشتیبانی مدیریت سازمان را به همراه نداشته باشید، به دست آوردن زمان، پول و پشتیبانی سیاسی برای فعالیتهای مدیریت رخداد بسیار سخت و حتی غیر ممکن خواهد بود.
تهیه یک برنامه پاسخگویی به رخداد امنیتی به طور مدون و رسمی
ایجاد یک برنامه رسمی مدیریت رخداد این اطمینان را ایجاد میکند که تمامی افراد درک میکنند که رخدادهای امنیتی چگونه مدیریت خواهند شد. این برنامه باید به طور منظم به روز رسانی شده و شامل سناریوهای رخدادهای معمول و راه حلهای آنها، به همراه یک لیست تماس باشد.
تشریح یک رخداد به صورت گرافیکی
برای نمایش یک یا دو رخداد در پوشه خود زمان صرف کنید. یک نمودار ایجاد کنید که نشان دهد مهاجمان از کجا آمده اند، آسیب پذیریهای مورد استفاده آنها چه بوده است و به چه چیزهایی دسترسی پیدا کرده اند. به عوامل تصمیم گیرنده در سازمان خود کمک کنید که درک درستی از نتایج عدم کشف یک رخدا پیدا کنند. این فعالیت به مدیریت شما قدرت بیشتری میدهد. چرا که زمانی که آنها یک رخداد را درک کنند و بتوانند آن را برای همتایان خود توضیح دهند، به یک فرد آگاه در این زمینه تبدیل میشوند.
ایجاد اختیارات لازم برای گروه پاسخگویی به رخداد های امنیتی
داشتن اختیارات لازم برای تصمیم گیریهای سخت در میانه یک بحران، میتواند شما را از شکست به پیروزی برساند. سطح اختیارات گروه مدیریت رخداد برای اخذ تصمیمات حیاتی را مشخص کنید. این اختیارات شامل قطع کردن سرورها و شبکه نیز میشود. اطمینان حاصل کنید که مدیریت سطح اختیارات گروه مدیریت رخداد را درک کرده و در صورت وقوع یک رخداد از آن پشتیبانی میکند. این اختیارات را در برنامه مدیریت رخداد رسمی سازمان خود مستند نمایید.
انتخاب و ساماندهی اعضای گروه تیم پاسخگویی به رخدادهای امنیتی
مدیریت رخداد یک کار تک نفره نیست. انتخاب افراد صحیح در مکانهای صحیح و با آمادگی کافی می تواند بسیاری شرایط را به نفع گروه تغییر دهد.
شناسایی افراد مجرب برای پیوستن به گروه
نام و اطلاعات تماس افرادی را که به نظرتان میرسد یادداشت نمایید. با همکاران و مدیریت سازمان خود در مورد شکل دادن یک گروه مدیریت رخداد محلی صحبت کنید. گروهی انتخاب کنید که صرفا شامل مدیران سیستمها با مسئولیتهای امنیتی نباشد. این گروه باید شامل مدیریت آموزش دیده و نمایندگانی از امنیت اطلاعات، مدیریت بحران، منابع انسانی و بخش حقوقی سازمان باشد تا بتوانند در مورد خاموش کردن یا نکردن سیستمهای تجاری مرکزی برای نجات دادن سازمان از خطرهای بزرگتر و ضررهای بیشتر تصمیم گیری نمایند. متخصصان این زمینه ها را شناسایی کرده و اطلاعات تماس آنها را در یک فایل نگهداری کنید.
شناسایی افراد مناسب درروابط عمومی
گروه روابط عمومی مسئول پاسخگویی به سوالات عمومی در مورد فعالیتهای سازمانی است. زمانی که یک رخداد امنیتی رخ میدهد، این مسئولیت روابط عمومی نیز هست که اطلاعات مناسب را برای همگان منتشر نماید. گروه روابط عمومی شما همچنین میتواند یک پشتیبان ارزشمند برای مدیریت رخداد باشد. آنها معمولا دسترسی بسیار خوبی به مدیریت ارشد دارند و میتوانند در هماهنگی ارتباطات بین گروه و مدیران ارشد کمک کننده باشند.
ایجاد یک طرح ارتباطی اورژانس
نگهداری ارتباطات و آگاه نگاه داشتن افراد مرتبط، کارهای بسیار مهمی هستند که پیش از این به خوبی توضیح داده شده اند. اما در هنگام مواجهه با رویدادهای جدید و غیر منتظره ای که در طول رخدادها ممکن است رخ دهند، ممکن است کانالهای ارتباطی طبیعی قطع گردند.
ایجاد یک لیست تماس تهیه کرده و روشهایی برای اطلاع رسانی سریع
از فرمهای ارتباطی برای ثبت شماره تلفنها و تماسها استفاده کنید. یک فرد جایگزین برای هریک از مدیران سیستمها تعیین کرده و اطلاعات تماس هر مدیر سیستم و افراد شبکه را در اختیار داشته باشید. شماره محل کار، تلفن موبایل و منزل کارمندان و تلفنهای جایگزین برای زمانی که این افراد ممکن است در دسترس نباشند را برای مواقع ضروری ثبت کنید. شماره پیجر و ایمیل افراد را نیز ثبت نمایید.
نگهداری نسخه پشتیبان لیست تماس و درخت تماس خارج از محل
نسخه هایی از لیست تماس و درخت تماس را خارج از محل نگهداری کنید و اطمینان حاصل کنید که اعضای گروه پاسخگویی به رخداد محل این اطلاعات را میدانند. بعلاوه متخصصین باتجربه پاسخگویی به رخداد باید اطلاعات تماس را همه جا همراه خود داشته باشند.
ایجادیک نقطه تماس اولیه و یک مرکز ارتباطی
هماهنگی موثر نیاز به یک نقطه تماس واحد دارد. در غیر اینصورت کسی نمیداند که چه کسی مسئول است. این مرکز باید محلی با تعداد زیادی خط تلفن، صندوقهای پست صوتی و فکس باشد. برخی از این خطوط تلفن و فکس باید خطوط خارجی باشند و از طریق سوئیچ تلفن سازمان شما مسیریابی نگردند. ژنراتورهای قابل حمل، تلفنهای سلولی و باتریهای یدکی نیز بهتر است در این محل وجود داشته باشند. در این محل همچنین باید کپیهایی از تمامی روالهای رخدادها و اطلاعات تماس نگهداری شود.
شناسایی رخداد
شناسایی یعنی تصمیم گیری در مورد اینکه آیا واقعا یک رخداد امنیتی اتفاق افتاده است یا خیر، و اینکه اگر رخدادی اتفاق افتاده است، طبیعت آن رخداد چیست. به طور طبیعی مرحله شناسایی پس از اینکه یک نفر متوجه یک وقوع امر غیر عادی در یک سیستم یا یک شبکه میشود آغاز میگردد. این مرحله همچینن شامل اطلاع رسانی و درخواست کمک از افرادی که میتوانند مساله را درک کرده و آن را حل نمایند نیز میگردد. تشخیص این مساله که هر امر غیر عادی در شبکه یا سیستم یک رخداد امنیتی محسوب نمیشود مهم است. در اغلب موارد مردم سریعا نتیجه گیری میکنند که پشت هر مشکلی یک دشمن قرار گرفته است.[۱۱]
خلاصه فصل دوم
دراین فصل با مروری بر انواع تیمهای پاسخگویی به رخدادهای امنیتی و ساختار سازمانی و نقاط ضعف و قوت آنها به تشریح نحوه ارائه خدمات تیمهای پاسخگویی به رخدادهای امنیتی پرداخته شده و نیازمندیهای استقرار یک تیم پاسخگویی به رخدادهای امنیتی در جدولی گرداوری و به نمایش در آمده است.
فصل سوم: بررسی کارهای پیشین
در اواخر دهه ۱۹۸۰ میلادی ، زمانی که آژانس پروژه های تحقیقاتی پیشرفته دفاعی کشور ایلات متحده امریکا مرکز هماهنگی گروه پاسخگویی به رایانه را در موسسه مهندسی نرم افزا ر( SEI) دانشگاه Carnegie Mellon ایجاد نمود،نیاز برای ایجاد انجمنی از گروه های پاسخگویی به رخدادهای امنیتی رایانه ای (CSIRT) کاملا احساس گردید. با انتشار گستردهی کرم موریس در سال ۱۹۸۸، انگیزه اصلی برای ایجاد اولین گروه واکنش رخداد امنیت ایجاد شد. نحوه مقابله با این کرم نشان داد که مراکز دانشگاهی به شکل بهتری قادر به تحلیل موفقیتآمیز رخدادهای رایانه ای هستند. به دنبال آن طراحی برای توسعه یک مرکز مقابله با رخدادهای دنیای اینترنت تحت عنوان ” گروه واکنش گویی به رخدادهای اضطراری رایانه ای” (CERT) ارائه شد و انستیتوی مهندسی نرمافزار دانشگاه Carnegie Mellon به عنوان میزبان این مرکز جدید انتخاب شد. پس از مدتی CERT به یک سرویس تجاری این دانشگاه تبدیل شد و نام آن به مرکز هماهنگی واکنشگویی به رخدادهای غیرمترقبه رایانه ای (CERT/CC) تغییر یافت. از آن سال تاکنون، متناسب با نیازمندیهای مختلف، مراکز واکنش رخداد زیادی در نقاط مختلف دنیا راهاندازی شدهاند و به تدریج دامنه فعالیت و محدوده خدماترسانی آنها افزایش یافته است. [۳]
۳-۱-بررسی کارهای مربوط به تشکیل گروه های پاسخ به رخدادهای امنیتی مالی
در حال حاضر تعدادگروههای پاسخگویی به رخدادهای امنیتی رو به افزایش می باشد و نیاز به پاسخگویی به رخدادهای امنتی در امور مالی و بانکداری از حساس ترین و مهمترین زمینه های فعالیت این گروه ها است. بر این اساس بسیاری از بانک ها و موسسات مالی اقدام به تشکیل و ره اندازی مرکز پاسخگویی به رخدادهای امنیتی مالی جهت حفظ ایمین و امنیت فعالیتهای خود نموده اند. که از این جمله می توان به تیم پاسخگویی به حوادث مالی برزیل (CSIRT Banco Real) و یا تیم پاسخگویی به رخدادهای آلمان (COMCERT-commerzbank) و یا بانک ملی استرالیا (NABITSAR) اشاره نمود.
در ادامه جهت آشنایی وبررسی کارهای پیشین انجام شده در زمینه تیم های پاسخگویی به رخدادهای امنیتی مالی به بررسی تعدادی از این تیمها پرداخته می شود:
آژانس امنیت مالی کشور کره KFCERT
این موسسه به طور عمده حفظ ایمنی تراکنش های مالی انجام شده توسط مشتریان و موسسات مالی کره ای را مهتمرین ماموریت و هدف خود می داند. این آژانس در راستای برنامه های جامع دولت در حوزه مالی تاسیس گردیده و در تقویت تراکنش های الکترونیکی مالی به فعالیت می پردازد. ساختار این موسسه به طور کلی پس از هیات مدیره و مدیرعامل شامل چهر گروه کلی مدیریت احراز هویت و گروه فناوری اطلاعات و گروه روابط عمومی و گروه مدیریت تجاری می باشد. از مهترین اقدامات این موسسه می توان به ایجاد یک پروسه برای انجام اصولی عملیات رشد و توسعه و همچنین ایجاد سیستمهاو مقیاسهایی برای بررسی تخلفات موجود در تراکنشهای الکترونیکی مالی به شرح ذیل را نام برد.
طراحی و پیاده سازی مقیاس های اولیه برای بررسی تخلفات موجود در تراکنشهای مالی
ارائه قابلیت تست برای بررسی تناسب میان محصولات امنیت اطلاعات و عملکرد موسسات مالی
تحقیق و توسعه در زمینه حفظ و نگهداری سیستمهای مالی مبتنی بر فناوری اطلاعات
ایجاد یک کانال هماهنگ سازی میان سازمانهای مرتبط با امنیت اطلاعات در داخل و خارج از کشور
پشتیبانی از آموزش، کمک های فنی و مشاوره در زمینه حفظ اطلاعات مالی
این تیم گزارشات حوادث را از دو طریق پست الکترونیکی و خط تلفن در یافت می کند و برای گزارش های حوادث ورودی دو دسته بندی کلی در نظر می گیرد که شامل گزارش های نفوذ و گزارشهای توراندازی می باشند. این گروه تمامی گزارش های ورودی را با دقت بررسی کرده و از انتشار آنها بدون توافق با ارائه کننده مطالب پرهیز می کند.این گروه با در یافت حوادث از طرق مختلف در هر ساعت از روز و در همه ایام هفته پاسخو می باشد.
اداره فناوری اطلاعات وابسته به وزات ارتباطات دولت هند (INFICERT)