Get best of the week

أنظمة فئة منصة الاستجابة للحوادث: التطبيق والوظائف الرئيسية

الأصدقاء، في السابق نشر قمنا بتحليل الوثائق الدولية المتعلقة بإدارة المخاطر وأمن المعلومات، وفي المواد السابقة درسنا أساسيات أمن المعلومات، وناقشت التشريعات في مجال البيانات الشخصية حماية و البنية التحتية للمعلومات الحرجة . في هذه المقالة ، ننتقل إلى المستوى العملي ونتحدث عن أنظمة IRP المصممة لتبسيط وأتمتة إجراءات الاستجابة لحوادث أمن المعلومات. هيا بنا نبدأ!

صورة

المقدمة


كما نعلم ، في الوقت الحالي عدد حوادث داعش ، خاصة في الشركات الكبيرة ، كبير جدًا ، وعندما ترد عليها ، فإن النتيجة تذهب حرفياً لدقائق. علاوة على ذلك ، لا يستطيع الجميع تحمل تكاليف توظيف عدد كبير من المتخصصين المؤهلين تأهيلاً عالياً.

السؤال الذي يطرح نفسه: كيفية مساعدة محللي IS (في المقام الأول على L1 و L2) في الاستجابة للحوادث وإزالة العبء الروتيني لأداء عمليات مماثلة؟

تخيل موقفًا يظهر فيه نظام SIEM أن هناك هجومًا محتملاً على النظام المالي للخدمات المصرفية عن بُعد. يمكن للمهاجمين سرقة الأموال من حسابات الشركة في أي دقيقة ، وبعد ذلك سيكون من الصعب إعادة الأموال. بعد رؤية مثل هذا الحادث ، يجب على محلل SOC جمع كمية كبيرة من المعلومات الداعمة ، مثل اسم الخادم الذي تمت مهاجمته ، واسم النظام المالي ، وتوضيح اسم الشخص المسؤول وتفاصيل الاتصال به ، والحصول على معلومات إضافية منه. إذا لم يكن هناك شك في أن هذا الحادث هو "قتال" وليس إيجابيًا كاذبًا ، فإن المحلل يحتاج إلى عزل الخادم المهاجم من شبكة الشركة في أقرب وقت ممكن ، وحظر الحساب المخترق ،قم بإبلاغ المدير وغيرهم عن الحادث وفقًا لمصفوفة الاتصال.

كما ترى ، هناك الكثير من المهام ، ويجب إكمالها جميعًا خلال الوقت المخصص للمعايير ومؤشرات الأداء الرئيسية ، على سبيل المثال ، في 10 دقائق. وحينئذٍ فقط ، يمكن لمنصة الاستجابة للحوادث (IRP) ، وهي نظام لأتمتة الاستجابة لحوادث أمن المعلومات ، مساعدة محللنا. يساعد نظام IRP في تنفيذ عدد من العمليات الروتينية لجمع معلومات إضافية ، واتخاذ إجراءات عاجلة لاحتواء (احتواء اللغة الإنجليزية) والقضاء على (القضاء على اللغة الإنجليزية) ، واستعادة (استرداد اللغة الإنجليزية) النظام المهاجم ، وإبلاغ الأطراف المعنية ، وكذلك جمع البيانات وتنظيمها التحقيق في حوادث أمن المعلومات. بالإضافة إلى ذلك ، يتيح لك IRP روبوت وأتمتة نفس النوع من الإجراءات التي يقوم بها أخصائي تشغيل IS ، والتي يقوم بها استجابة لحوادث أمن المعلومات ،مما يساعد على تقليل عبء عمل الموظف من حيث أداء العمليات الروتينية. دعنا نتناول المزيد من التفاصيل حول مهام الاستجابة لحوادث أمن المعلومات التي تقوم بها أنظمة IRP.

عمليات الاستجابة للحوادث


من أجل فهم كيفية ومكان تطبيق وتنفيذ أنظمة IRP بشكل صحيح ، يجب أن نرى عملية الاستجابة لحوادث أمن المعلومات بشكل عام والتفكير في كيفية أتمتة ذلك. للقيام بذلك ، ننتقل إلى NIST SP 800-61 ، دليل التعامل مع حوادث أمن الكمبيوتر . ووفقًا لذلك ، تتكون الاستجابة لحوادث داعش من عدة عمليات مترابطة:

  1. تدريب
  2. كشف
  3. تحليل
  4. الاحتواء / التعريب
  5. إزالة
  6. التعافي
  7. إجراءات ما بعد الحادث

خذ بعين الاعتبار هذه العمليات بمزيد من التفصيل في سياق استخدام أنظمة IRP لأتمتها.

1. التحضير


مرحلة التحضير هي واحدة من المفتاح. في هذه المرحلة ، يجب القيام بجميع الأعمال التنظيمية بحيث يتم توثيق إجراءات فريق الاستجابة لحادث IS والاتفاق عليها. يجب أن تكون سياسات وإجراءات الاستجابة وتعليماتها واضحة ومفصلة وملائمة قدر الإمكان حتى في حالة وقوع حالة ذات أولوية عالية ، يكون لدى محللي فريق الاستجابة فهم دقيق لما يجب القيام به في حالة معينة. يجب عليك إجراء تدريبات بشكل منتظم للتوصل إلى الخطوات المحددة في المستندات المكتوبة ، بالإضافة إلى تدريب موظفي الشركة وفريق الاستجابة على الإجراءات الفنية والتنظيمية الصحيحة أثناء الحادث.

في مرحلة التحضير ، يتم أيضًا إنشاء وتكوين كتب التشغيل أو كتب التشغيل - نصوص الاستجابة ، والتي بموجبها سيقوم فريق الاستجابة ونظام IRP باتخاذ إجراءات محددة مسبقًا اعتمادًا على تفاصيل الحادث. على سبيل المثال ، في حالة وقوع حادث IS ذو أولوية عالية على نظام حرج بشكل خاص وفقًا لكتيب التشغيل ، يجب على عضو فريق الاستجابة الاتصال بالقائد والشخص المسؤول عن النظام ، ويجب أن يأمر النظام الأساسي IRP بعزل هذا النظام عن شبكة الشركة لمزيد من الإجراءات.

بالإضافة إلى ذلك ، في المرحلة التحضيرية ، يجب عليك تزويد فريق الاستجابة للحوادث بجميع البرامج والأجهزة اللازمة (أي إعطاء أجهزة الكمبيوتر المحمولة والهواتف الذكية وتثبيت الأدوات اللازمة عليها) ، بالإضافة إلى اتخاذ إجراءات وقائية لمنع الحوادث (حماية شبكة وأجهزة الشركة لإنشاء أدوات أمن المعلومات ، لتدريب الموظفين على أساسيات أمن المعلومات). في هذا الوقت ، يتم ضبط منصة IRP للاستخدام الفعال: أنظمة تكنولوجيا المعلومات وأدوات الأمان متصلة بها ، والتي سوف تتفاعل معها في الاستجابة للحوادث. كقاعدة ، توفر هذه الأنظمة اتصال تلك الأنظمة القادرة على تزويد الأخصائي بمعلومات إضافية في سياق الحادث ، على سبيل المثال ، معلومات حول المستخدمين المتأثرين بالحادث (تفاصيل الاتصال ، الموقع ، الوحدة الهيكلية ،السلطة) والأجهزة (نوع نظام التشغيل والبرامج المثبتة والوظيفة المنجزة). بالإضافة إلى ذلك ، يتم توصيل أدوات الأمان ، كجزء من الاستجابة للحوادث ، ستقوم بمهام لاحتواء التهديدات والقضاء عليها ، على سبيل المثال ، أدوات حماية نقطة النهاية ، والجدران النارية وأنظمة إدارة الشبكة.

وبالتالي ، عند وقوع حادث أمن المعلومات ، يجب أن تكون الشركة مسلحة بالكامل: يجب أن يكون متخصصو الاستجابة ونظام IRP في حالة استعداد تام للقتال. هذا ضمان أنه حتى في حالة وقوع حادث ، يمكن توطينه بسرعة ولن تكون عواقبه مدمرة بشكل مفرط.

2. الكشف


في مرحلة الكشف ، يجب على المرء تحديد قائمة الأنواع المحتملة لحوادث داعش وصياغة قائمة بعلامات الحوادث المحتملة. يمكن تقسيم العلامات إلى مؤشرات ومؤشرات حوادث أمن المعلومات:

  • السلائف هي علامة على أن حادثة أمن المعلومات قد تحدث في المستقبل ؛
  • المؤشر هو علامة على وقوع حادثة بالفعل أو أنها تحدث الآن.

يمكن أن تكون الأمثلة على حوادث حوادث أمن المعلومات مسحًا ثابتًا للإنترنت لمنافذ خادم الويب المفتوحة للشركة أو اكتشاف الثغرات الأمنية في بعض أنظمة تكنولوجيا المعلومات. يمكن أن تشمل أمثلة مؤشرات حوادث أمن المعلومات ظهور رسائل من أدوات الحماية (مكافحة الفيروسات ، وجدار الحماية ، وما إلى ذلك) حول هجوم محتمل ، أو حذف أو تعديل غير مصرح به للبيانات ، وظهور أخطاء وأعطال في تشغيل أنظمة تكنولوجيا المعلومات. يجب الانتباه إلى الحالات الشاذة في حركة مرور الشبكة: قد تشير الاندفاعات غير المتوقعة لنوع معين من حركة المرور (على سبيل المثال ، DNS) إلى نشاط ضار. يجب أيضًا تحليل سلوك المستخدم غير النمطي: يمكن أن يكون الاتصال عن بعد بعد ساعات من موقع غير معتاد علامة على اختراق حساب. إلى عن على،من أجل زيادة استخدام نظام IRP في مرحلة الكشف إلى أقصى حد ، يجب عليك دمج منصة IRP مع نظام SIEM: ستوفر هذه الحزمة نقلًا "سلسًا" للسلائف ومؤشرات الحوادث من أنظمة تكنولوجيا المعلومات ومعدات أمن الشركة عبر SIEM مباشرة إلى نظام IRP ، مما يسمح لها كشف الحوادث بسرعة واتخاذ التدابير المناسبة للاستجابة لها في المستقبل.

3. التحليل


خلال مرحلة تحليل الحوادث ، يقع العبء الرئيسي على عاتق خبرة المحلل وخبرته - سيتعين عليه أن يقرر ما إذا كان الحادث المسجل "قتاليًا" أم أنه إيجابي كاذب. يجب إجراء التعريف والمعالجة الأولية (الفرز): لتحديد نوع الحادث وتصنيفه. بعد ذلك ، يتم تحديد مؤشرات الحل الوسط ، ويتم تحليل النطاق المحتمل للحادث ومكونات البنية التحتية المتأثرة ، ويتم إجراء مسح محدود للطب الشرعي لتوضيح نوع الحادث وخطوات الاستجابة المحتملة المحتملة.

في هذه المرحلة ، ستقدم منصة IRP مساعدة لا تقدر بثمن لأنها يمكن أن توفر معلومات سياقية مهمة تتعلق بالحادث. في ما يلي مثال: يفيد نظام SIEM بأن خادم الويب للشركة قد تعرض للهجوم ، وأن الثغرة المستخدمة لا تنطبق إلا على Windows. المحلل ، بالنظر إلى وحدة تحكم IRP ، سيرى على الفور أن خادم الويب المهاجم يعمل على Linux ، وبالتالي ، لم يكن الهجوم ناجحًا. مثال آخر: أبلغ نظام مضاد للفيروسات في أحد أجهزة الكمبيوتر المحمولة عن إصابة بفيروس والوصول اللاحق إلى عناوين IP معينة. سيرى المحلل ، باستخدام بيانات نظام IRP ، أن نشاطًا شبكيًا مشابهًا تمت ملاحظته أيضًا على العديد من الأجهزة الأخرى في شبكة الشركة ، وهو ما لا يعني فيروسًا واحدًا ، ولكنه عدوى كبيرة.سيتم منح الحادث أولوية أعلى ، وسيتم تصعيده وفقًا لمصفوفة التصعيد ، وسيتم توجيه موارد إضافية للقضاء عليه. ستساعد منصة IRP على تسجيل جميع الإجراءات التي يتم تنفيذها كجزء من الاستجابة ، وكذلك أتمتة الاتصالات وتصعيد الحادث.

4. الاحتواء / التوطين


في مرحلة احتواء (أو توطين) الحادث ، تتمثل المهمة الرئيسية في التقليل بسرعة من الضرر المحتمل من حادثة IS وتوفير نافذة زمنية لاتخاذ قرار بشأن القضاء على التهديد. يمكن تحقيق ذلك ، على سبيل المثال ، عن طريق تشغيل القواعد المحظورة الأكثر صرامة بسرعة على جدار الحماية لجهاز مصاب ، وعزل المضيف المصاب من الشبكة المحلية للشركة ، وقطع بعض الخدمات والوظائف ، أو ، في النهاية ، إغلاق الجهاز المصاب تمامًا.

في هذه المرحلة ، يتم استخدام معلومات حول الحادث الذي تم الحصول عليه في مرحلة التحليل ، بالإضافة إلى معلومات حول الوظيفة التي تؤديها أصول تكنولوجيا المعلومات التي تأثرت بالحادث ، لأنه ، على سبيل المثال ، يمكن أن يؤدي إغلاق خادم مهم إلى عواقب سلبية أكثر أهمية للشركة من مجرد إعادة تشغيل خادم غير مهم الخدمة عليه. في هذه الحالة ، سيخبرك النظام الأساسي لـ IRP مرة أخرى عن الوظائف التي يؤديها الخادم ، وكيف ومتى يمكن إيقاف تشغيله أو عزله (شريطة إدخال هذه المعلومات في IRP في مرحلة الإعداد). بالإضافة إلى ذلك ، في كتب التشغيل الخاصة بنظام IRP ، يجب أيضًا تضمين سيناريوهات الاحتواء المطبقة لكل نوع معين من الحوادث في مرحلة الإعداد. على سبيل المثال ، في حالة هجوم DDoS ، قد لا يكون من المنطقي إيقاف تشغيل الخوادم التي تعرضت للهجوم ،وفي حالة الإصابة بالفيروسات داخل جزء واحد من الشبكة ، لا يمكنك عزل الأجهزة في جزء آخر. في مرحلة الاحتواء ، يتم أيضًا تحليل تفاصيل الهجوم: أي النظام تم مهاجمته لأول مرة ، وما هي التكتيكات والتقنيات والإجراءات التي استخدمها المهاجمون ، وأي خوادم الفريق المستخدمة في هذا الهجوم ، وما إلى ذلك. سيتم جمع المعلومات المشار إليها بواسطة نظام IRP: التكامل مع مصادر الاستخبارات السيبرانية (خلاصات ذكاء التهديدات) ومحركات البحث المتخصصة (على سبيل المثال ،التكامل مع مصادر المخابرات السيبرانية (يغذي المهندس Threat Intelligence) ومحركات البحث المتخصصة (مثلالتكامل مع مصادر المخابرات السيبرانية (يغذي المهندس Threat Intelligence) ومحركات البحث المتخصصة (مثلفايروس توتال ، الحزام الأسود ، Censys و، الخ) تعطي صورة أكثر وضوحا وأكثر المخصب من الحادث الذي سوف يساعد على التعامل معها بشكل أكثر فعالية. في بعض الحالات ، قد يكون من الضروري أيضًا الحصول على بيانات الطب الشرعي للطب الشرعي الحاسوبي اللاحق ، وستساعد منصة IRP على جمع هذه المعلومات من الأجهزة التي تمت مهاجمتها.

5. الانتصاف


في مرحلة التخلص من الحادث ، يتم بالفعل اتخاذ خطوات نشطة لإزالة التهديد من الشبكة ومنع إعادة الهجوم: تتم إزالة البرامج الضارة ، أو تغيير الحسابات المخترقة (يمكن حظرها مؤقتًا ، أو تغيير كلمة المرور أو ، على سبيل المثال ، إعادة تسميتها) ، يتم تثبيت التحديثات وتصحيحات الثغرات الأمنية المستغلة وتغييرها إعدادات الأمان (على سبيل المثال ، لحظر عنوان IP للبسكويت). يتم تنفيذ الإجراءات المشار إليها لجميع الكيانات المتضررة من الحادث - سواء بالنسبة للأجهزة والحسابات والبرامج.

من المهم للغاية إزالة نقاط الضعف التي استخدمها مجرمو الإنترنت بعناية ، حيث أنه في معظم الأحيان ، بعد اختراق الشركة بنجاح ، يعود المتسللون على أمل استغلال نفس أوجه القصور في حمايتها. خلال هذه العملية ، ستعطي منصة IRP الأوامر اللازمة لوسائل الحماية وجمع البيانات المفقودة حول جميع الأجهزة المتأثرة بالحادث. وبالتالي ، فإن سرعة الاستجابة لحادث أمن المعلومات من حيث القضاء على التهديد نفسه تزداد بشكل كبير عند استخدام نظام IRP ، والذي سيكون أداة ممتازة لمحللي أمن المعلومات.

6. الانتعاش


في مرحلة الاسترداد ، يجب عليك التحقق من موثوقية تدابير الحماية المتخذة ، وإعادة الأنظمة إلى التشغيل العادي (العمل كالمعتاد) ، وربما استعادة بعض الأنظمة من النسخ الاحتياطية أو تثبيتها وإعادة تكوينها. في هذه المرحلة ، ستساعد أنظمة IRP على تذكر جميع الأجهزة المشاركة في الحادث والتسلسل الزمني للأحداث ، حيث يتم تخزين هذه البيانات وتجميعها في IRP طوال دورة التحقيق في الحادث بالكامل.

7. أنشطة ما بعد الحادث


في مرحلة الأنشطة اللاحقة للحادث (تحليل ما بعد الجذر) ، يجب تحليل تحليل السبب الجذري لتقليل احتمالية وقوع حادث مماثل في المستقبل مرة أخرى ، وكذلك لتقييم صحة وتوقيت إجراءات الأفراد والمعدات الوقائية وربما لتحسين بعض إجراءات الاستجابة وسياسات نظم المعلومات. في حالة وقوع حادث خطير ، يجب إجراء فحص استثنائي للبنية التحتية لنقاط الضعف و / اختبار القلم و / أو المراجعة غير المجدولة لأمن المعلومات.

سيكون من المنطقي استخدام قاعدة المعرفة المجمعة للحفاظ على تجربة الاستجابة المتراكمة ، والتي يمكن القيام بها أيضًا في منصة IRP ، التي تخزن بالفعل معلومات تفصيلية حول حوادث أمن المعلومات وحول تدابير الاستجابة المتخذة. في بعض الحالات ، يلزم تقديم تقرير رسمي عن الحوادث ، خاصة إذا كان خطيرًا أو تأثر ببيانات مهمة: على سبيل المثال ، يجب إرسال المعلومات المتعلقة بحوادث الكمبيوتر في البنية التحتية الحيوية للمعلومات إلى نظام الدولة SSSOPKA. لهذه الأغراض ، تحتوي بعض أنظمة IRP المحلية على واجهة برمجة تطبيقات للعمل مع State SOPKA والقدرة على إنشاء تقارير الحوادث تلقائيًا بناءً على قوالب تم إنشاؤها مسبقًا. كما ترىIRP هو أيضًا مستودع عالمي للمعلومات حول حوادث أمن المعلومات مع القدرة على روبوت روتين أخصائي أمن المعلومات.


لخص. أنظمة IRP عبارة عن أدوات آلية للاستجابة لحوادث أمن المعلومات تقوم بتنفيذ إجراءات مضادة لمواجهة تهديدات أمن المعلومات وفقًا لسيناريوهات الاستجابة المحددة مسبقًا. تسمى سيناريوهات الاستجابة كتب التشغيل أو كتب التشغيل وتمثل مجموعة من المهام الآلية للكشف عن التهديدات والشذوذ في البنية التحتية المحمية والاستجابة واحتواء التهديدات في الوقت الحقيقي. تعمل سيناريوهات الاستجابة على أساس القواعد وأنواع الحوادث القابلة للتخصيص ، وتقوم ببعض الإجراءات اعتمادًا على البيانات الواردة من المعدات الأمنية أو أنظمة المعلومات. تساعدك منصات IRP على إجراء استجابة منظمة ودفترية لحوادث أمن المعلومات بناءً على القواعد والسياسات.عند الانتهاء من الاستجابة للحادث ، ستساعد منصة IRP في إنشاء تقرير عن الحادث والإجراءات المتخذة للقضاء عليه.

تلخيصًا لما سبق ، يمكننا أن نستنتج أن نظام IRP عبارة عن منصة للاستجابة لحوادث الأمن السيبراني مصممة لحماية المعلومات عن طريق تنظيم البيانات المتعلقة بحوادث أمن المعلومات وروبوتة إجراءات محلل أمن المعلومات. بفضل منصات IRP ، يمكن لفرق الاستجابة لحوادث أمن المعلومات توفير الوقت والجهد بشكل كبير في التحقيق في حوادث أمن المعلومات ، مما يزيد بشكل مباشر من الكفاءة التشغيلية لأقسام أمن المعلومات ومراكز SOC.

More articles:


All Articles