۱۰ راهبرد حیاتی (incident response) در برابر تهدیدات امنیتی

ده راهبرد حیاتی جهت افزایش آمادگی در برابر تهدیدات سایبری

در دنیای امروز، تهدیدات سایبری چالشی همیشگی هستند که همگام با پیشرفت فناوری، پیچیده‌تر می‌گردند.

گزارش اخیر Statista پیش‌بینی می‌کند هزینه جهانی جرایم سایبری می‌تواند تا سال ۲۰۲۹ به ۱۵.۶۳ تریلیون دلار برسد.

به گفته‌ی موسسه‌ی National Institute of Standards and Technology (NIST) چرخه‌ی مهار تهدیدات سایبری، به چهار دسته‌ی اساسی تقسیم شده که اولین و مهم‌ترین آن‌ها داشتن آمادگی است.

سازمان‌ها می‌توانند با برداشتن گام‌های پیشگیرانه، به آمادگی مورد نیاز در برابر حوادث امنیتی (incident response) و یا به اختصار IR دست یابند. آن‌ها با سرمایه‌گذاری در برنامه‌های آموزشی و تمرین‌های شبیه‌سازی، قابلیت IR خود را افزایش داده و گام مهمی در خنثی‌سازی سریع تهدیدات امنیتی برمی‌دارند.

اقدامات مذکور شامل ارزیابی و بررسی تهدیدات به صورت دوره‌ای، پیاده‌سازی پالیسی‌های امنیتی، مانیتورینگ دائمی و همچنین جمع‌آوری اطلاعات مربوط به تهدیدات می‌گردد.

• ارزیابی میزان آمادگی مواجهه با تهدیدات امنیتی (IR Readiness)

سازمان‌ها تنها در صورتی به نواقص و ضعف‌های خود، آگاه خواهند شد که به طور کامل، مورد ارزیابی قرار گیرند. ارزیابی میزان آمادگی مواجهه با تهدیدات امنیتی توسط یک نهاد دیگر، دیدگاهی انتقادی در مورد وضعیت فعلی آن‌ها ارائه می‌دهد.

بهتر است این ارزیابی‌ها شامل بررسی فرایند، روش، پرسنل، اسناد و فناوری‌های مختلف باشد تا میزان آمادگی کلی سازمان برای IR مورد سنجش قرار گیرد. برخلاف ممیزی، این ارزیابی‌ها برای مشخص کردن نقاط ضعف احتمالی‌ای طراحی شده‌اند که ممکن است توانایی سازمان را در مهار موثر تهدیدات، تضعیف کنند.

سازمان‌ها می‌توانند با هدف اتخاذ رویکرد پیشگیرانه، به شناسایی نقاط ضعف در افراد (کمبود ظرفیت و مهارت)، جریان کاری و فناوری بپردازند. این رویکرد پیشگیرانه فرصت‌هایی را برای تقویت تاب‌آوری در برابر تهدیدات سایبری و افزایش آمادگی ایجاد می‌کند.

این سطح از ارزیابی به سازمان‌ها کمک می‌کند تا سد دفاعی خود را مستحکم‌تر ساخته و در محیط‌های پرچالش تهدیدات سایبری، محافظت خود را ارتقا بخشند.

• تدوین یک برنامه غنی برای مهار تهدیدات (IR)

یک برنامه‌ی IR، شامل دستورالعمل‌های جامع برای مدیریت تهدیدات سایبری بوده و به طور دقیق استراتژی‌های واکنش به تهدیدات را در مراحل قبل، حین و بعد از وقوع حوادث امنیتی؛ فارغ از نوع و شدت آن‌ها مشخص می‌کند. این برنامه همچنین به تشریح ساختار تیم IR پرداخته و با تعیین دقیق نقش‌ و مسئولیت‌ها؛ شفافیت و کارامدی مورد نیاز را در زمان وقوع حوادث امنیتی فراهم می‌کند.

یک برنامه‌ی غنی می‌بایست شامل مراحل زیر باشد:

• آماده‌سازی
• شناسایی و آنالیز
• کنترل و محدود کردن دامنه‌ی یک حادثه‌ی امنیتی
• حذف کامل تهدید
• بازگرداندن سیستم‌ها و داده‌ها به وضعیت عادی
• فعالیت‌های مورد نیاز برای مرحله‌ی پس از حادثه که با هدف تقویت آمادگی و توانایی سازمان برای مقابله با حوادث آینده انجام می‌شود.

هر مرحله‌ی این برنامه به گونه‌ای طراحی شده که به مقابله با حوادث امنیتی و کاهش تاثیر آن‌ها پرداخته و رویکردی ساختارمند برای فرایند IR ارائه دهد. علاوه‌براین یک برنامه‌ی مناسب باید شامل اهداف و مقاصد، سطوح شدت تهدیدات امنیتی و سایر عناصر کلیدی باشد که به تقویت چارچوب خنثی‌سازی تهدیدات کمک می‌کند.

مهم‌تر از همه، یک IR plan به منظور حفظ اثربخشی باید به طور مداوم، به‌روزرسانی شود. طبق توصیه‌ی فورتی‌نت، این برنامه باید هر شش ماه یک‌بار مورد بازبینی قرار گرفته و پس از هر تهدید امنیتی‌ای، ارزیابی گردد.

این فرایند بازبینی اطمینان می‌دهد که تجربیات حاصل‌شده از تهدیدات، به برنامه‌ اضافه شده و تغییرات سازمانی به درستی در آن منعکس گردد.

سازمان‌ها بدون چنین برنامه‌ای قادر به اتخاذ تصمیمات صحیح و استراتژیک در زمان بحران نبوده و این امر آن‌ها را با نتایج پرهزینه و غیرموثر مواجه می‌سازد.

برنامه‌ای که به طور منظم به‌روزرسانی شود، قادر است نقشه‌ای شفاف و دقیق برای هدایت سازمان به هنگام بروز تهدیدات امنیتی فراهم نموده و توانایی سازمان را برای مهار این تهدیدات به طور چشمگیری افزایش دهد.

• ارائه راهنمایی از طریق IR Playbookها

Incident response playbookها بخشی ضروری از IR Plan محسوب می‌شوند که روش‌های استانداردی را برای مقابله با حوادث مختلف امنیتی ارائه می‌دهند. این Playbookها با فراهم آوردن چارچوبی شفاف و عملیاتی، گام‌هایی دقیق و موثر جهت آمادگی، خنثی‌سازی تهدیدات و بازگرداندن سیستم‌ها به حالت عادی مشخص می‌کنند و با تمرکز بر روی سناریوهای خاص، اطمینان می‌دهند که واکنش سازمان در برابر وقوع تهدیدات، سریع، موثر و پیوسته خواهد بود. ضمن این‌که تضمین می‌کنند تمامی مراحل به صورت دقیق و هماهنگ اجرا خواهند شد.

هر یک از IR Playbookها قادر به فراهم آوردن جزییات دقیقی از تمام مراحل IR از جمله آماده‌سازی، شناسایی و آنالیز، مهار تهدیدات، محدودکردن تهدیدات و مانع از گسترش آن‌ها، حذف کامل و انجام فعالیت‌های مربوط به پس از حادثه‌ی امنیتی می‌باشند. این اطلاعات باید جامع و شامل اقدامات گام‌ به گام باشد. بی‌تردید ارائه اطلاعات با جزییات کامل، اطمینان می‌دهد تمامی وظایف، با دقت کامل در نظر گرفته شده و همه‌ی اهداف در طول فرایند مربوطه، محقق گردند.

Playbookهای رایج شامل اطلاعات مربوط به حملات باج‌افزار (ransomware)، بدافزار (malware)، محروم‌سازی از سرویس (denial-of-service)، از دست رفتن داده‌ها (data loss)، سرقت و یا گم شدن تجهیزات (lost or stolen devices)، حملات داخلی (insider threat) و آسیب‌پذیری‌های zero-day می‌باشد. هر Playbook باید اقدامات و مسئولیت‌های دقیقی را برای سناریوهای مختلف تعیین کند تا این اطمینان حاصل شود که تیم IR از آمادگی کامل برخوردار می‌باشد.

• ارزیابی IR Plan با استفاده از تمرین‌های شبیه‌ساز (Tabletop Exercises)

پس از تهیه‌ی IR Plan و Playbook، مرحله‌ی بعدی آزمایش آن‌ها از طریق تمرین‌های شبیه‌ساز (tabletop exercise) است. طبق تعریف NIST، تمرین شبیه‌سازی، یک تمرین discuss-base یا مبتنی بر تبادل نظر میان اعضا تیم در شرایط اضطراری است.  در این تمرین، وضعیت‌های مختلف به صورت نظری بررسی می‌گردد.

تمرین شبیه‌سازی مانند یک بازی role-play است. رهبر گروه در این تمرین، یک حادثه‌ی امنیتی فرضی را برای شرکت‌کنندگان مطرح می‌کند. سپس شرکت‌کنندگان به بحث و تبادل نظر پرداخته که چگونه باید بر اساس IR plan و Playbook اقدام کنند. این واکنش می‌تواند شامل تحلیل، تصمیم‌گیری و انجام اقدامات مناسب بر اساس اطلاعات ارائه‌شده باشد.

تمرین‌های Tabletop باید حداقل سالی یک‌بار و در حالت ایده‌آل هر سه ماه یک‌ بار انجام شوند تا تیم‌های امنیت همیشه آماده رویارویی با تهدیدات باشند.

• تهیه‌ی لیستی جامع از سخت‌افزار و نرم‌افزارهای سازمان و نقشه‌های زیرساخت شبکه

عدم آگاهی از منابع سازمان و نحوه‌ی دسترسی به آن‌ها موجب می‌شود تیم‌های امنیت نتوانند طور موثر عمق و گستره‌ی یک حادثه‌ی امنیتی را شناسایی نمایند. این امر منجر به هدر رفتن زمان طلایی و کند شدن فرایند مهار تهدیدات می‌گردد.

لیست موجودی سیستم‌های سخت‌افزاری و نرم‌افزاری باید شامل اطلاعاتی مانند صاحب کسب‌و‌کار، عملیات خاصی که یک سیستم برای انجام آن طراحی شده، نام هاست و IPها، طبقه‌بندی داده‌ها، اهمیت اطلاعات، دیتای مربوط به ممیزی یا مقررات و سایر اطلاعات مفید برای تیم IR باشد.

این اطلاعات به شناسایی و واکنش موثر به تهدیدات امنیتی کمک می‌کند. به طور خلاصه درک فرایندهای تجاری مرتبط با این سیستم‌ها به منظور اتخاذ تصمیمات آگاهانه ضروری است.

تهیه‌ی لیست موجودی سیستم‌ها‌ و نقشه‌ی شبکه (network diagram) به تیم‌های IR کمک می‌کند تا موقعیت سیستم‌ها، نحوه‌ی segment شدن شبکه و نقاط کلیدی یا ایزوله‌ای که می‌توانند برای مهار و حذف تهدیدات استفاده شوند را شناسایی نموده و تاثیر سازمانی یک سیستم را در صورت بروز تهدیدات به طور موثرتری، ارزیابی کنند.

• پیاده‌سازی فرایند مدیریت به‌روزرسانی

به طور معمول مهاجمان سایبری از آسیب‌پذیری‌های موجود در سیستم‌هایpublic-facing  برای دسترسی به شبکه استفاده می‌کنند. بر اساس اطلاعات ارائه‌شده از سوی تیم FortiGuard IR، در نیمه‌ی دوم ۲۰۲۳ و نیمه‌ی اول ۲۰۲۴، ۴۶ درصد از حواث امنیتی، ناشی از آسیب‌پذیری‌های موجود در اپلیکیشن‌هایی بوده که در اختیار عموم قرار گرفته‌اند.

غالبا نسخه‌ها‌ی اصلاح‌شده‌ پیش از اکسپلویت توسط مهاجمان، از سوی وندور مربوطه ارائه می‌گردند. می‌توان این طور استدلال کرد که پچ‌گذاری به دلیل آسیب‌پذیری‌های zero-day، نمی‌تواند بدون خطا باشد، اما اصلاح آسیب‌پذیری‌های شناخته‌شده نیز، تهدیدات سازمان را به طور چشمگیری کاهش داده و باگ‌هایی ساده‌تری که ممکن است مورد توجه مهاجمان سایبری قرار گیرد را از بین می‌برد.

• اجرای منظم vulnerability assessment و penetration Test

Vulnerability assessmentها برای بهبود عملکرد فرایند patch management ضروری هستند. به طور معمول این ارزیابی‌ها با هدف بررسی IPها یا سیستم‌های داخلی و خارجی انجام شده و از ابزارهای خودکار و و تکنیک‌های دستی برای شناسایی آسیب‌پذیری‌های موجود استفاده می‌کنند.

آن‌چه در این ارزیابی‌ها حائز اهمیت است، بررسی دقیق نتایج به منظور حذف false positiveها و ارزیابی تاثیر احتمالی آسیب‌پذیری‌ها بر روی سازمان است.

Penetration test بر خلاف vulnerability assessment که بر روی آسیب‌پذیری‌های شناخته‌شده تمرکز دارد، به شناسایی نقطه ضعف‌های ناشناخته‌ای می‌پردازد که ممکن است شبکه یا اپلیکیشن‎‌ها را در معرض خطر قرار دهند.

تست‌های نفوذ (penetration test) را می‌توان متناسب با محیط خاص مانند شبکه‌های داخلی یا خارجی یا حتی با تمرکز بر روی یک بخش خاص انجام داد.

به طور کلیvulnerability assessmentها با هدف شناسایی نقاط احتمالی نفوذ به شبکه طراحی شده‌اند، در حالی‌که penetration testها با هدف بررسی‌ خاص و دقیق‌تر انجام می‌گردد و به شناسایی آسیب‌پذیری‌های احتمالی کمک می‌کند.

• بررسی و بهینه‌سازی تنظیمات Active Director

به طور معمول زیرساخت‌های Active Directory (AD) با رشد سازمان‌ها توسعه می‌یابند. در حالی که این سیستم‌ها برای برنامه‌های Identity and Access Management (IAM) بسیار حیاتی هستند، اما معمولا در حوزه‌ی مدیریت و امنیت به طور کامل مورد توجه قرار نمی‌گیرند.

بررسی کامل محیط Active Directory از این جهت اهمیت دارد که اطمینان حاصل شود با توصیه‌های مهم مایکروسافت و استانداردهایی مانند NIST هم‌راستا است. این تطابق به بهبود وضعیت امنیتی پیکربندی AD کمک نموده و مدیریت لاگ‌ها را بهینه می‌سازد. این امر به نوبه‌ی خود جمع‌آوری دیتا و همچنین شناسایی و بررسی های حوادث امنیتی را کارامدتر می‌سازد.

در ارزیابی محیط Active Directory باید به پیکربندی آن بر اساس استانداردها و روش‌های توصیه‌شده توجه شود. هدف از این فرایند شناسایی و رفع نقاط ضعف امنیتی، پیکربندی‌های نادرست، یا آسیب‌پذیری‌هایی است که ممکن است توسط مهاجمان استفاده شود.

سازمان‌ها با پیاده‌سازی پروتکل‌های پیشنهادی، می‌توانند به‌طور قابل‌توجهی دامنه تهدیدات را کاهش دهند و قدرت دفاعی خود را در برابر دسترسی غیرمجاز و نقض‌های احتمالی تقویت کنند.

بازبینی و بهینه‌سازی لاگ‌های AD، برای خنثی‌سازی سریع تهدیدات امنیتی، امری حیاتی است. لاگ‌هایی که به درستی پیکربندی شده‌اند، اطلاعات ارزشمندی در مورد فعالیت کاربران، تلاش‌های احراز هویت و تغییرات سیستم را ارائه داده و به این ترتیب به تیم‌های امنیت کمک می‌کنند تا تهدیدات را به موقع شناسایی و مهار کنند.

این رویکرد پیشگیرانه، نقش مهمی در کاهش خطرات احتمالی داشته و تضمین می‌کند که سازمان‌ها با الزامات قانونی و استانداردهای صنعتی، سازگار هستند.

• نظارت دائمی و بررسی لاگ‌ها به صورت متمرکز

با توجه به اینکه باگ‌‌های امنیتی می‌توانند برای مدت طولانی پنهان بمانند، استفاده صحیح و موثر از لاگ‌ها در شناسایی و تحلیل این مشکلات از اهمیت حیاتی برخوردار است.

برای مدیریت موثر لاگ‌ها و انجام تحلیل‌های دقیق باید به نکات زیر توجه شود:

• اولویت‌بندی: تعیین اینکه کدام لاگ‌ها باید ثبت شوند.
• تعیین زمان نگهداری: مشخص کردن مدت زمانی که لاگ‌ها باید نگهداری شوند.
• تعیین جزییات: تعیین سطح جزییات مورد نیاز برای تحلیل دقیق

سازمان‌ها می‌توانند با تجمیع لاگ‌های ایجاد شده توسط تجهیزات، شبکه و راهکارهای امنیتی، داده‌ها را به هم مرتبط ساخته و الگوهای غیرعادی را شناسایی کنند.

مدیریت متمرکز لاگ‌ها، زیربنای یک استراتژی موثر برای شناسایی تهدیدات است، اما نظارت بر این اطلاعات جمع‌آوری‌شده نیز به همان اندازه حیاتی است. سازمان‌ها بدون سیستم نظارتی کافی، ممکن است هشدارهای مهم امنیتی را از دست داده و با مشکلات جدی روبرو گردند. بنابراین کسب‌و‌کارها باید به طور فعال به موارد مشکوک و هشدارهای امنیتی، واکنش مناسب نشان دهند.

سازمان‌ها با تلفیق مدیریت متمرکز لاگ‌ها و سیستم نظارتی دقیق، قادر خواهند بود از طریق رویکرد پیشگیرانه با حوادث امنیتی روبرو شوند. به این ترتیب سد دفاعی شبکه، تقویت شده و در برابر تهدیدات احتمالی محافظت می‌شوند. Top of Form

• توجه به نیازهای کاربران

تیم FortiGuard IR در سال گذشته، شاهد افزایش قابل توجهی در استفاده از اطلاعات ورود به سیستم به عنوان یکی از روش‌های اصلی دسترسی بوده که حدود ۵۴ درصد از موارد را شامل می‌شود. این روند نشان دهنده‌ی پیچیدگی فزاینده در سطح جهانی است که از اطلاعات ورود به سیستم برای دسترسی غیرمجاز استفاده می‌کنند و معمولا قادر به عبور از تدابیر امنیتی سنتی هستند.  Top of Form

سازمان‌ها به منظور مقابله‌ی موثر با این چالش، باید تصویر واضحی از نحوه‌ی فعالیت روزمره‌ی کاربران داشته باشند تا بتوانند به سرعت انحرافات و موارد مشکوک را شناسایی کنند. یکی از روش‌های برتر در این زمینه، پیاده‌سازی User and Entity Behavior Analytics (UEBA) است. این فناوری با به‌کارگیری الگوریتم‌های پیشرفته و یادگیری ماشین، فعالیت کاربران را تحت نظر گرفته، الگوهای عادی رفتاری را تعریف می‌کند و به شناسایی موارد مشکوک می‌پردازد.

چنانچه سازمانی از FortiSIEM استفاده می‌کند، می‌تواند با فعال‌سازی قابلیت UEBA به جمع‌آوری دیتای دقیق از فعالیت کاربران بپردازد و رفتارهای غیرعادی و مخرب را شناسایی کند.

اگر سازمان‌ها بتوانند به طور دقیق و کامل فعالیت‌های کاربران را ثبت کنند، حتی بدون نیاز به ابزارهای پیشرفته و پیچیده نیز قادر خواهند بود رفتار آن‌ها را تحلیل کنند.

سازمان‌ها می‌توانند با سیستماتیک کردن لاگ‌های فعالیت‌ مختلف کاربران، مانند زمان‌ ورود، تجهیزات استفاده‌شده برای احراز هویت، سیستم‌های دسترسی یافته و اپلیکیشن مورد استفاده، مبنای رفتاری جامعی ایجاد کنند.

این الگوها کمک می‌کنند تا موارد مشکوک و خطرات احتمالی شناسایی شوند. تعریف الگوی رفتاری نرمال و تعیین حد و مرز برای فعالیت‌های غیرعادی نیز از مراحل حیاتی به شمار می‌روند.

شناسایی موارد مشکوک ممکن است به اکانت‌های در معرض خطر داخلی اشاره داشته باشند که باید فورا مورد بررسی قرار گیرند. صرف نظر از نحوه تحلیل رفتار کاربران، قرار گرفتن یک playbook در اختیار تیم امنیت، اهمیت فراوانی داشته و به آن‌ها کمک می‌کند تا به طور منظم و هماهنگ به مهار تهدیدات امنیتی بپردازند.

سازمان‌ها برای مقابله با تهدیدات فزاینده‌ی استفاده از اطلاعات ورود به سیستم، باید نحوه‌ی رفتار کاربران را تحلیل نموده و این تحلیل‌ها را در استراتژی‌های امنیتی خود ادغام کنند. کسب‌و‌کارها می‌توانند با استفاده از UEBA (یا حتی مدیریت لاگ‌ها و مانیتورینگ) به یک وضعیت امنیتی پویا دست یابند که قابلیت شناسایی و کاهش سریع تهدیدات را دارد.

این رویکرد پیشگیرانه به شناسایی زودهنگام فعالیت‌های مخرب، تقویت قابلیت‌های IR و بهبود چارچوب امنیتی سازمان کمک می‌کند.

هرچند این لیست، جامع نبوده و سازمان‌های دیگر نیز باید اقدامات بیشتری را نیز در نظر بگیرند؛ اما رایج‌ترین نقاط ضعف مشاهده‌شده در سازمان‌هایی که Fortinet با آن‌ها همکاری داشته است را پوشش می‌دهد.

توصیه می‌شود سازمان‌ها با تمرکز بر اجرای چهار مورد اول به ترتیب شروع کنند، به‌ویژه اگر هنوز این اقدامات انجام نشده یا به طور کامل پیاده‌سازی نشده‌اند. سایر موارد می‌توانند بر اساس اهداف و اولویت‌های کسب‌و‌کار، سازماند‌هی و اجرا شوند.