IRCERT - مقالات - (Incident Handling)رويدادهاي امنيتي و اقدامات لازم در برخورد با آنها

صفحه اول > مقالات

رويدادهاي امنيتي و اقدامات لازم در برخورد با آنها (Incident Handling)

مقدمه

حتماً در مقوله هاي مرتبط با امنيت كامپيوتر و شبكه با عبارت Incident Handling مواجه شده ايد. ابتدا ببينيم يك رويداد امنيتي ( (Security Incident چيست. هر سازمان بايد رويداد امنيتي را براي تشكيلاتش كند. تعاريف زير نمونه هايي از اين دست هستند:

هر رويداد مضر مشخص يا مشكوكي كه به امنيت سيستم ها يا شبكه هاي كامپيوتري مربوط باشد.

يا

عمل نقض كردن آشكار يا ضمني سياست امنيتي.

فعاليت هايي زير مثال هايي از يك رويداد امنيتي هستند:

· تلاشهايي (چه موفق و چه ناموفق) براي حصول دسترسي غيرمجاز به يك سيستم يا ديتاي آن

· ازكار افتادن ناخواسته يا عدم پذيرش سرويس

· استفاده غيرمجاز از يك سيستم به هدف پردازش يا ذخيره سازي ديتا

· تغييراتي در مشخصات سخت افزار يا نرم افزار بدون آگاهي يا اجازه يا دخالت صاحب آن.

فعاليت شبكه يا ميزبان كه بالقوه امنيت كامپيوتر را تهديد مي كند نيز مي تواند بعنوان رويداد امنيتي كامپيوتري تعريف گردد.

برخورد با رويداد

منظور از اين عبارت نحوه مقابله و اقداماتي است كه در هنگام وقوع يك مسأله امنيتي انجام مي گيرد. در حقيقت اين اقدامات به سه بخش تقسيم مي شود. گزارش رويداد، تحليل رويداد و واكنش به رويداد.

اهميت واكنش به رويدادهاي امنيتي سيستم ها، كمتر از تشخيص آنها نيست. اقداماتي كه شما بدنبال تشخيص يك رويداد انجام مي دهيد، نه تنها عمليات سازمان را تحت تأثير قرار مي دهد، بلكه ممكن است باعث تغييرات بسياري در آينده چنين روندهايي و وضعيت امنيتي خودتان گردد.

در اين مقاله به برخورد با رويدادهاي امنيتي نه از ديدگاه تكنيكي بلكه از ديدگاه عواملي مانند عوامل انساني، سياست برخورد و زمان پرداخته مي شود. براي اينكه بتوان بيشتر با نحوه برخورد يك سازمان به يك رويداد امنيتي آشنا شد، به مثالي در اين باره مي پردازيم.

مثالي از واكنش به يك رويداد در يك سازمان بزرگ

اين مثال فقط براي نشان دادن تلاش هاي ممكن براي واكنش ارائه شده است و يك مدل كلي نيست.

هنگام مشاهده ثبت وقايع مربوط به نفوذ در ساعت ۲ بامداد، پرسنل ۲۴ ساعته مراقبت از شبكه كشف مي كنند كه حمله اي با موفقيت انجام شده است.

براي بسياري از سازمان ها، واكنش فوري، قطع شبكه براي تأخير يا قطع افشاي اطلاعات بيشتر خواهد بود، اما ما سعي داريم كه از چنين واكنشي پرهيز كنيم و پرسنل بخش مراقبت نيز از اين قضيه مطلع هستند. درعوض، چك ليست هايي را كه در اختيار دارند براي برخورد با اين نوع رويداد به اجرا مي گذارند.

قدم اول خبركردن و ارائه گزارشي مختصر به رئيس بخش امنيت سيستمها (يا نماينده اش) است. تا اين فرد از خواب بيدار گردد و از حمله مطلع گردد، چهار دقيقه از اطلاع دهي اوليه سپري شده است.

با اطلاعاتي كه موجود است، نماينده امنيت shutdown كامل سيستم را نمي پذيرد، اما اجازه فراخواني يك گروه امداد را مي دهد. در حاليكه نماينده بخش امنيت به سمت محل حركت مي كند، پرسنل بخش مراقبت شروع به اين فراخواني مي كند. نمايندگاني از بخشهايي چون عمليات شبكه، قانوني، مهندسي، اجرايي و مديريت آگاه شده اند و به محل فراخوانده شده اند. مجري قانون محلي نيز خبر شده است و ثبت رويدادها به ترتيب وقوع آغاز مي شود.

حالا از اخطار اوليه ۲۸ دقيقه گذشته است.

نماينده بخش امنيت كه اولين فرد باخبر شده است، اولين كسي است كه مي رسد. اين شخص تنظيم و آماده سازي مركز امداد را آغاز مي كند. كيف امداد باز است كه در آن يك لپ تاپ، باتري اضافه، لامپ، ابزار، چك ليست ها و صفحات يادداشت براي تمام اعضاي تيم امداد، و ابزار گوناگون ديگر وجود دارد. كپي هايي از اطلاعات موجود نيز براي توزيع بين اعضاي تيم و مديريت ارشد آن آماده شده است. ۵۷ دقيقه از زمان اخطار اوليه گذشته است.

ساير اعضاي گروه به صورت پراكنده در طول اين زمان وارد شده اند و پرسنل بخش مراقبت نيز تحقيق بيشتري در مورد نفوذ انجام داده است. بررسي اوليه آشكار مي كند كه نفوذگر به سيستم يك كاربر وارد شده است، اما هنوز به نقاط ديگر شبكه پيشروي نكرده است. حمله از طريق استفاده يك كاربر از يك اتصال dial-up كه مورد تأييد نبوده صورت گرفته است. نفوذ واقعي هشت ساعت قبل از كشف اوليه صورت گرفته است.

كل گروه ۹۲ دقيقه بعد از اولين اخطار گرد هم مي آيند. تمام اعضاء با سرعت در محل حاضر و شروع به فكر كردن و نقشه كشيدن و ارائه راه حل شده اند. مناظرات به موافقت هايي منجر مي شود. سيستم مورد نفوذ از شبكه جدا خواهد شد و عمليات تعيين و تشخيص آغاز خواهد شد. خلاصه اي براي مدير ارشد تهيه و مراحل اوليه كامل مي شوند. ۱۰۸ دقيقه گذشته است.

نماينده عمليات شبكه، مسؤول قطع كردن سيستم مذكور مي شود. نماينده اجرايي ثبت وقايع را روي لپ تاپ به روز و بررسي مجدد مي كند. اين فرد با ثبت لحظه به لحظه از تمام رويدادها، بعنوان نقطه مركزي تمام فعاليت ها و ارتباطات گروه عمل مي كند. نماينده قانوني با آگاه شدن از وضعيت موجود و راهنمايي هايي داده شده به وي، به خانه برمي گردد تا ابتداي صبح به محل برگردد. پرسنل بخش مهندسي و امنيت، اطلاعاتي را كه تا كنون جمع آوري شده و شامل ديتاي حاصل از سيستم تحت نفوذ قرار گرفته است، بررسي مي كنند. اين اطلاعات روي بستر يك شبكه مجزا بررسي و تحليل مي شود تا نفوذگر، ابزار حمله و روش هايي ممكن براي بستن آسيب پذيري در كل سازمان مشخص شود.

با سپري شدن ۱۴۱ دقيقه از آغاز، گروه براي مرور و به روز رساني پيشرفت كار دوباره دور هم جمع مي شوند. مشخص شده است كه نفوذگر از يك IP بيگانه جعلي از طريق اتصال dial-up استفاده كرده است و فقط قادر به دستيابي به همان سيستم بوده است. بررسي كامل شبكه احتياج به اين دارد كه سرورها از شبكه جدا شوند و اين عمليات ۶ ساعت زمان نياز دارد. گروه با مشورت و تصويب مديريت ارشد، تصميم به اين بررسي مي گيرد اما بعد از بسته شدن سازمان در انتهاي روز كاري بعد.

هنگامي كه روز كاري آغاز مي شود، فعاليت ها به بيرون فاش مي شود و فردي كه سيستمش مورد نفوذ قرار گرفته مورد مصاحبه قرار مي گيرد و سيستم مورد نفوذ پاكسازي مي گردد و به افراد ارشد گزارشها بصورت خلاصه ارائه مي شود. بهرحال، عمليات امداد به اوج خود مي رسد و مرتفع سازي آغاز مي شود. تا ساعت ۲۳ رويداد برطرف شده است و گزارش نهايي روز بعد آماده خواهد شد.

كساني هستند كه به فوريت مستندسازي تهديد بوجود آمده و عمليات آني اصرار مي ورزند كه بايد ۲ ساعت اضافه نيز براي آنها ديد. براي سازمان شما، ممكن است چنين موردي رخ دهد، و شما بخواهيد اولين گام بعد از تعيين رويداد، جداسازي يكطرفه و ناگهاني از شبكه و سيستم ها باشد. اما در اين حالت خاص، مزيت انتخاب يك روند سيستماتيك، حفظ عمليات عادي براي يك روز كامل كاري بود، (بجاي خاموش كردن كل سيستم سازمان براي يك روز كاري) كه نتيجه آن نيم دوجين افراد خسته، چند ساعت كار جبراني و اضافه كاري و خاموش بودن تنها يك سيستم در طول يك روز كاري بود. از نظر افراد درگير اين عمليات، هزينه اي كه توسط اين روش صرفه جويي شد، ارزش ريسك را داشت.