3 مورد لازم در طول یک حمله سایبری

3 مورد لازم در طول یک حمله سایبری چه مواردی می تواند باشند؟ لحظه‌ای که یک حمله سایبری رخ می‌دهد، زمان شروع به حرکت می‌کند. فایل‌ها قفل می‌شوند، سیستم‌ها از کار می‌افتند، تلفن‌ها زنگ می خورند و فشار به شدت افزایش می‌یابد. هر ثانیه مهم است. آنچه در زمان وقوع حمله و ادامه آن اتفاق می‌افتد، می‌تواند تفاوت بین بازیابی و فاجعه را رقم بزند.

در آن لحظه، شما بیش از هر چه به سه چیز نیاز دارید: شفافیت، کنترل و یک طناب نجات. بدون آنها، حتی باتجربه‌ترین تیم فناوری اطلاعات یا ارائه‌دهنده خدمات مدیریت‌شده نیز ممکن است با افزایش آسیب، دچار سردرگمی شده و فلج شوند. اما با وضوح و شفافیت، کنترل و یک طناب نجات، می‌توانید قاطعانه عمل کنید، از مشتریان خود محافظت کنید و عواقب حمله را به حداقل برسانید.

اکنون بررسی میکنیم که چگونه این سه عنصر حیاتی را که هر تیم فناوری اطلاعات باید قبل از وقوع یک نفوذ آماده داشته باشد، توسعه داد. زیرا وقتی حمله ای رخ می‌دهد، آمادگی می‌تواند تفاوت بین یک رویداد قابل کنترل و یک فاجعه مطلق را رقم بزند.

۱. وضوح و شفافیت: دانستن سریع آنچه اتفاق می‌افتد

اولین موج وحشت ناشی از حمله سایبری از عدم قطعیت ناشی می‌شود. آیا باج‌افزار است؟ یک کمپین فیشینگ؟ سوءاستفاده داخلی؟ کدام سیستم‌ها به خطر افتاده‌اند؟ کدام‌ها هنوز ایمن هستند؟

بدون شفافیت، فقط می توان حدس زد و در امنیت سایبری، حدس زدن می‌تواند زمان را هدر داده یا وضعیت را بدتر کند.

به همین دلیل است که دید در لحظه اولین چیزی است که هنگام حمله می‌خواهید. شما به راه‌حل‌ها و فرآیندهایی نیاز دارید که بتوانند شما را قادر سازند:

ناهنجاری‌ها و رفتارهای مشکوک را فوراً تشخیص دهید، چه رفتار غیرمعمول ورود به سیستم، رمزگذاری غیرمنتظره فایل یا ترافیک غیرعادی شبکه.

به جای هشدارهای پراکنده در داشبوردهای مختلف، یک تصویر واحد و دقیق، یک نمای یکپارچه از رویدادها ارائه دهید.

شعاع انفجار را شناسایی کنید تا مشخص شود کدام داده‌ها، کاربران و سیستم‌ها تحت تأثیر قرار گرفته‌اند، و همچنین اینکه حمله تا چه حد گسترش یافته است.

شفافیت، هرج و مرج را به یک وضعیت قابل مدیریت تبدیل می‌کند. با درک و اگاهی درست، می‌توانید به سرعت تصمیم بگیرید: چه چیزی را ایزوله کنیم؟ چه چیزی را حفظ کنیم؟ چه چیزی را همین الان خاموش کنیم؟

تیم‌های فناوری اطلاعات که به بهترین شکل از پس حملات برمی‌آیند، کسانی هستند که می‌توانند بدون تأخیر به این سؤالات پاسخ دهند. راهکارهای حفاظت از اندپوینت ها با داشتن کنسول مدیریتی یکپارچه شما را قادر می سازد تا دیدی کامل از شبکه و سیستم های خود داشته باشید.

۲. کنترل: متوقف کردن گسترش

هنگامی که از اتفاقات مطلع شدید، نیاز حیاتی بعدی کنترل است. حملات سایبری به گونه‌ای طراحی شده‌اند که از طریق حرکت جانبی، افزایش امتیاز و خروج داده‌ها گسترش یابند. اگر نتوانید به سرعت یک حمله را مهار کنید، هزینه چند برابر می‌شود.

کنترل به معنای داشتن توانایی برای موارد زیر است:

با قطع ارتباط نقاط انتهایی آسیب‌دیده از شبکه، آنها را فوراً ایزوله کنید تا از گسترش بیشتر باج‌افزار یا بدافزار جلوگیری شود.

در صورت نیاز، حق دسترسی ها را لغو کنید تا اعتبارنامه‌ها را در صورت سوءاستفاده مهاجمان، غیرفعال کنید.

سیاست‌ها را به طور خودکار اجرا کنید، از مسدود کردن فرآیندهای مشکوک گرفته تا توقف انتقال فایل‌های غیرمجاز.

این اقدامات را مانند آتش‌نشانی در نظر بگیرید: وضوح به شما می‌گوید شعله‌ها کجا هستند، اما کنترل به شما این امکان را می‌دهد که از سوختن کل ساختمان توسط آتش جلوگیری کنید

اینجاست که برنامه‌های مؤثر واکنش به حادثه اهمیت پیدا می‌کنند. داشتن ابزار کافی نیست؛ شما به نقش‌ها، دستورالعمل‌ها و مسیرهای افزایش امتیاز از پیش تعریف شده نیاز دارید تا تیم شما دقیقاً بداند چگونه تحت فشار، کنترل را اعمال کند.

یکی دیگر از موارد ضروری در این سناریو، داشتن یک پشته فناوری با راه‌حل‌های یکپارچه است که مدیریت آنها آسان باشد. اجرا از یک سیستم به سیستم دیگر در طول حمله نه تنها خطرناک است، بلکه بسیار ناکارآمد نیز می‌باشد.

هرچه قابلیت‌های بازیابی بیشتری را بتوانید توسط یک رابط واحد کنترل کنید، بهتر است. وقتی همه چیز در یک مکان باشد، بازیابی هم سریع‌تر و هم ساده‌تر است. تشخیص و پاسخ اندپوینت (EDR) و تشخیص و پاسخ گسترده (XDR) به ویژه حیاتی هستند.

۳. یک خط نجات: بازیابی تضمین‌شده

حتی با وجود قابلیت مشاهده و کنترل، حملات سایبری می‌توانند آسیب‌هایی را به جا بگذارند. آن‌ها می‌توانند داده‌ها را رمزگذاری کرده و سیستم‌ها را آفلاین کنند. مشتریان وحشت‌زده درخواست پاسخ دارند. در این مرحله، چیزی که بیش از همه می‌خواهید، یک خط نجات است که بتوانید به آن اعتماد کنید تا همه چیز را بازیابی کرده و سازمان را دوباره راه‌اندازی کند.

این خط نجات، راه‌حل پشتیبان‌گیری و بازیابی شماست. اما باید فوریت یک حمله را با موارد زیر برآورده کند:

• پشتیبان‌گیری‌های تغییرناپذیر تا باج‌افزار نتواند داده‌های بازیابی شما را دستکاری کند.
• گزینه‌های بازیابی جزئی برای بازگرداندن نه تنها کل سیستم‌ها، بلکه فایل‌ها و برنامه‌های حیاتی در عرض چند دقیقه.
• بازیابی هماهنگ‌شده از فاجعه برای راه‌اندازی مجدد کل حجم کار در یک محیط امن در حین انجام اقدامات اصلاحی.

بهترین دفاع این است که بدانید، مهم نیست حمله چقدر بد باشد، می‌توانید عملیات را به سرعت راه‌اندازی و اجرا کنید. این اطمینان، هم سیستم‌ها و هم اعتماد را بازیابی می‌کند.

آمادگی همه چیز است

حملات سایبری رویدادهایی هستند که «وقتی» رخ می‌دهند، نه «اگر». و وقتی اتفاق می‌افتند، فرصت آن نیست که بداهه عمل کنیم. در این موقعیت به شفافیت، کنترل و یک طناب نجات از قبل آماده و در دسترس نیاز است.

این به معنای سرمایه‌گذاری در قابلیت‌های پیشرفته نظارت و تشخیص، ایجاد دستورالعمل‌های اثبات‌شده برای واکنش به حوادث و استقرار یک پلتفرم پشتیبان‌گیری و بازیابی است که به طور خاص برای انعطاف‌پذیری ساخته شده است.

حقیقت این است که هیچ سازمانی نمی‌تواند از هر حمله‌ای جلوگیری کند، اما هر سازمانی می‌تواند برای آن آماده شود. در مواجهه با تهدیدات سایبری، آمادگی بزرگترین عامل تمایز بین بازیابی و فاجعه است.

 

منبع:

bleepingcomputer