پنج گام لازم پس از آلوده شدن سازمان

شرکت های امروزی به طور فزاینده ای تمایل به مدیریت کسب و کارشان بر مبنای داراییهای دیجیتال دارند. از آن جایی که مدیریت اطلاعات از مهمترین دارایی سازمانها که همان اطلاعات میباشد محافظت میکند مدیریت اطلاعات به ضروری ترین جزء مدل های کسب و کاری بدل شده است.

در واقع امنیت هدف نیست بلکه یک فرایند می باشد. بنابراین پیشگیری و مقاوم سازی لایه های بیرونی سیستم های سازمان از عناصر ضروری برای دفاع از داراییهای سازمان در فضای سایبری می باشد.

اما با این وجود، احتمالات رخ میدهد و خطر ابتلای سیستم امنیتی همیشه وجود دارد. بیایید نگاهی داشته باشیم به اقدامات لازم برای مقابله با چنین شرایطی، زمانی که منابع سازمانی ممکن است به خطر بیفتند.

•  اولین گام : مشخص کردن حوزه ی ابتلا

بارها و بارها، سازمانهایی که قربانیان حملات سایبری بودند برای ارزیابی تاثیرات این حملات به جای برسی تحلیلی مشکل حسی عمل کرده اند. مشخصا پس از تشخیص ابتلای سیستم سرعت واکنش بسیار مهم میباشد. اگر چه شتابزدگی در ارزیابی های بی اساس میتواند شما را در انتخاب اقدام صحیح گمراه کند.

اگر اقدامات پیشگیرانه ی ضروری انجام شده است، و متعاقبا سرمایه گذاری در بخش توسعه سیستم های مدیریتی موجود میباشد، ممکن است به سرعت شواهد مورد نیاز برای پاسخ به اولین سوال کلیدی جمع آوری شود.

در این روش برای شروع لازم است مشخص کنیم کدام سیستم ها از کدام طریق در معرض خطر قرار دارند که از طریق گزارشگیری در کنسول مدیریتی به راحتی این امر امکان پذیر است. آیا خطر ابتلا به جز واحدی از تجهیزات محدود شده یا امکان گسترش آن وجود دارد؟ آیا اطلاعات مهمی به بیرون درز کرده است؟ آیا اطلاعات مربوط به سازمان مطرح می باشد یا اطلاعات مرتبط با کارمندان یا مشتریان؟

• دومین گام : هشدار حمله احتمالی در صورت نیاز

در وضعیتی که نشر اطلاعات به بیرون تهدیدی برای کارمندان یا مشتریان میباشد، مرحله دوم اعلام هشدار حمله ی احتمالی و توصیه به آگاه بودن ذینفعان نسبت به هر حرکت غیر معمول مبنی بر دسترسی به اطلاعات ذخیره شده میباشد.

اگرتجهیزات فیزیکی یا اطلاعات به طور جدی در خطر باشد، باید بلافاصله برای فعال کردن قابلیت تهیه ی نسخه ی پشتیبان هر اقدامی انجام دهید. به همین علت، برنامه ریزی قبلی برای مقابله با حملات و پیش بینی افزونه هایی از تجهیزات و ارتباطات بسیار مهم میباشد.

این موارد، همراه با یک طرح عملی مناسب در سطوح سازمانی ، مدیران مرتبط را قادر خواهد کرد که در برابر هر نوع محاصره ی امنیتی به سرعت واکنش نشان دهند.

• سومین گام : محدود کردن حمله

محدود ساختن تهاجم با ایزوله ساختن تجهیزاتی که تصور میکنید در خطر هستند آغاز می شود. قطع اتصال سیستم آلوده از شبکه ، از پخش آلودگی به اجزای دیگر سیستم جلوگیری میکند و هرارتباطی در شبکه که احتمال میرود موجب سرقت اطلاعات توسط مهاجمین شود بایستی جدا شود.

اگر مشخص شود که ترافیک تولید عامل مخرب رمز گذاری شده است، تحلیلگران سیستم بایستی با استفاده از مهندسی معکوس کلیدهای رمزنگاری را به دست آورند. اما اگر ارتباطات جایگزین پروتکل های غیر محرمانه ای مثلHTTP  شود، ردیابی دستورات استفاده شده توسط مهاجمان راحت تر خواهد بود.

در هر صورت مطالعه ی این دستورات میتواند تحقیقات را به کشف تجهیزات آلوده ی جدید هدایت کند و در نتیجه به متخصصین برای تغییر و اصلاح قوانین و دستورات فایروال ها به منظور ایجاد اولین خط حمله کمک نماید.

برای رسیدن به این هدف و سرعت بخشیدن به این فرایند لازم است ترتیب و توالی عملیات رعایت گردد.

یک بار دیگر آشکار و بدیهی است که فعالیت پیشگیرانه و تشخیص تهدیدات سنگ بنای امنیت اطلاعات و تعریف ظرفیت یک سازمان برای واکنش در زمان بحران می باشد.

توجه به اینکه بسیاری از روش های ذکر شده درگیر تجزیه و تحلیل غیر خودکار اطلاعات میباشد، این مسئله که هر کدام جهت پیشبرد راه حل های امنیتی سازمان در جای مناسب خود قرار گیرد ضروری می باشد. این اقدام ممکن است انجام اقدامات فوری برای جلوگیری از هرگونه آسیب عامل مخرب پس از محاصره توسط شما را فراهم کند.

آخرین نسل ESET corporate solutions   به یک عامل کلیدی در فرایند بازدارندگی مجهز شده است که به وسیله آن از گسترش اجزای آلوده از طریق تراکنش سیستم های مختلف سازمان جلوگیری می شود.

• چهارمین گام : کاهش آلودگی و از بین بردن خطر حمله مجدد

حذف اجزای مخرب زمانیکه درگیر تجزیه و تحلیل دقیق کدها به منظور کشف چگونگی کارکرد آنها می شویم،یک فرایند پیچیده است. آنتی ویروس ها از این اقدامات با توانایی حذف خودکار عوامل مخرب و همچنین ذخیره ی زمان ارزشمند فرایند واکنش به آنها پشتیبانی میکنند.

لازم است بدانیم که اگر مهاجمان کاملا از شبکه حذف نشوند، می توانند اقدامات جاسوسانه ی خود را در شبکه از روش های دیگر ادامه دهند.به همین خاطر از بین بردن کامل آلودگی هایی که اجازه میدهد آنها دوباره به نقطه اول باز گردند بسیار ضروری میباشد.

حتی پس از اینکه تجهیزات شناسایی شده ی در معرض خطر از آلودگی پاک شدند، خطر آلودگی دیگر تجهیزات بررسی نشده هنوز باقی است. برای ممانعت از چنین اتفاقی به مقاوم سازی بسته های انتقالی شبکه نیاز داریم، با توجه به اینکه حالا ما به لطف تجزیه تحلیل های تهدید ،از پروتکل های ارتباطی و دستورات استفاده شده مطلعیم.

همراه با بررسی قوانین فایروال، تغییر کلمه های عبور بر روی شبکه یکی دیگر از ابزارهای بازدارنده برای شناسایی منابع در معرض خطر میباشد.

در این مرحله لازم است مشخص شود که آیا این آلودگی در اثر یک بی دقتی ساده ی online  رخ داده یا اینکه یک لینک موفق در زنجیره ای از حملات مداوم هدف گذاری شده این عمل را مرتکب شده است؟

اگر ثابت شود که این تهدید مشخصا خود سازمان را هدف قرار داده است، پرسشی که باید پاسخ داده شود این است که چه کسی پشت این حوادث پنهان شده ، با در نظر داشتن این مطلب که حمله ی دوباره قریب الوقوع می باشد.

• پنجمین گام : درس گرفتن از هر اشتباه

انجام تحقیقات عمیق در ارتباط با آنچه اتفاق افتاده باعث بهبود فرایندهای درون سازمانی خواهد شد. حذف هرگونه آسیب پذیری ناشناخته که قبلا وجود داشت فرصتی برای مقاوم سازی محیط شبکه ی سازمانی با شناسایی نقاط بالقوه در دسترس سیستم که قبلا مورد هجوم تهدید قرار گرفته بود، فراهم می آورد.

آسیب ها و تهدیدات همیشه برای سازمانها از اتفاقات منفی هستند، اگرچه فرصت هایی برای یادگیری فراهم می آورند.این موارد نشان میدهند که کدام قسمت از طراحی سیستم نیازمند تقویت میباشد و اجازه میدهند نسبت به رفع نقص سیستم دفاعی فعلی آگاهی کسب کنیم.

برای حفظ امنیت پایدار در سازمان پیش بینی و تجهیز بهترین راهکار است.