• QuGRm5VH37
  • دسامبر 06, 2021
  • بدون دیدگاه

نحوه مدیریت پیامدهای حمله سایبری

(راهنمای گام به گام)

در چند دقیقه اول حمله سایبری چه باید کرد ؟

  1. کارمندی که با تهدید مواجه می شود ابتدا باید به تیم های فناوری اطلاعات و مدیریت هشدار دهد.

هنگامی که یک کارمند با کامپیوتر خود با چیزی نامنظم روبرو می شود، باید فوراً به تیم فناوری اطلاعات اطلاع دهد. مهم نیست که هشدار اشتباه باشد، اما اگر چیزی غیرعادی است، فن‌آوران باید بدانند. مواقعی وجود دارد که هکرها و عوامل تهدید حملات خود را زیر رادار نگه می دارند تا بتوانند بدون مشکل داده ها را سرقت کنند. هیچ کس نباید هر گونه بی نظمی را مسلم بداند.

  1. کارکنان فناوری اطلاعات باید کامپیوتر را از شبکه جدا کرده و مستندسازی عفونت را شروع کنند.

وقتی تیم فنی، رایانه در معرض خطر را شناسایی کرد، باید فوراً آن را از شبکه حذف کند. آنها باید شروع به جدا کردن کابل های LAN کنند و برای مهار تهدید داخل واحد حرکت کنند. به غیر از مهار تهدید، آنها باید واحدهای مجاور را برای عفونت بررسی کنند.

  1. شرکت باید نسخه پشتیبان خود را در فضای ابری بررسی کند.

یکی از اعضای تیم فناوری اطلاعات باید به سراغ نسخه های پشتیبان موجود خود رفته و مطمئن شود که به هیچ وجه در معرض خطر قرار نمی گیرند. یکپارچگی پشتیبان‌ها تداوم عملیات تجاری را پس از پایان حمله و تیم شامل بازیگران بد تضمین می‌کند.

  1. تیم فناوری اطلاعات در محل باید اجرای پروتکل های امنیت سایبری را آغاز کند.

اگر یک شرکت یک طرح پاسخگویی به امنیت سایبری ایجاد کند، باید قوانین و رویه‌هایی برای نحوه برخورد با دقایق اولیه کشف یک حمله سایبری وجود داشته باشد. اگر تیم واکنش به حادثه هنوز در محل حضور نداشته باشد، اولین پاسخ دهندگان باید اجرای آنچه در طرح آمده است را آغاز کنند. اگر این طرح خواستار محاصره صحنه جنایت سایبری باشد، تیم فناوری اطلاعات باید یکپارچگی آن بخش خاص از شبکه را حفظ کند.

  1. تیم فناوری اطلاعات باید توجه کارکنان را جلب کرده و آنها را در مورد حمله یا عفونت آموزش دهد.

شرکت ها باید بلافاصله کارکنان آسیب دیده خود را در مورد حمله سایبری مطلع کند. خطای انسانی می تواند به عنوان دلیل اصلی نقض عمل کند و همچنین قطعاً می تواند یک بحران را بدتر کند. کارکنان باید یاد بگیرند که در چنین شرایطی چگونه عمل کنند تا از آسیب بیشتر جلوگیری کنند. به عنوان مثال، اگر منبع تهدید یک ایمیل فیشینگ باشد، کارکنان فناوری اطلاعات باید فوراً به کارمندان اطلاع دهند که روی یک پیام خاص کلیک یا باز نکنند تا از ریختن بدافزار به رایانه های بیشتری جلوگیری شود.

  1. از سیستم های امنیتی برای ردیابی دارایی های مخرب احتمالی استفاده کنید.

شرکت‌هایی که دارای مراکز عملیات امنیتی یا راه‌حل‌های ترکیبی مانند Comodo Endpoint Security هستند، قطعاً باید از منابع خود برای اطمینان از کنترل تهدید استفاده کنند. همانطور که قبلاً ذکر کردیم، عفونت مجدد همچنان ممکن است اتفاق بیفتد و بهتر است به محض تثبیت مشکل، تمام رد بدافزار یا آسیب ‌پذیری امنیتی کنترل شود.

  • چگونه می توان عواقب حمله سایبری را مدیریت کرد

هنگامی که یک یا چند حمله رخ می دهد، شرکت باید سعی کند مشکل را در 30 روز یا کمتر حل کند. در طول آن زمان، تیم باید این مراحل را برای کاهش هر گونه آسیب دنبال کند:

  • تیم واکنش به حادثه را تشکیل دهید تیم واکنش به

حادثه باید متشکل از یک مدیر واکنش به حادثه باشد، که ممکن است CISO شما باشد یا نباشد، چندین تحلیلگر امنیت سایبری و محققان تهدید.

آنها در مرکز تحقیقات و همچنین هماهنگ کننده با نمایندگان سهامداران مختلف شرکت خواهند بود. این نمایندگان باید از مدیریت، منابع انسانی، ارزیاب ریسک، وکلا و کارشناسان روابط عمومی باشند.

تیم فناوری داخلی این حمله سایبری را بررسی خواهد کرد در حالی که سایر نمایندگان برای حمایت از کار و کاهش انواع آسیب‌ هایی که شرکت با آن مواجه خواهد شد، در آنجا حضور خواهند داشت.

  • محاصره دارایی ها و اطمینان از یکپارچگی امنیت سایبری

تیم باید فوراً صحنه را کنترل کرده و بخشی از شبکه را که در معرض خطر قرار گرفته است را قطع کند. آنها همچنین باید مطمئن شوند که علت یا علل اصلی حمله یا نقض هنوز در سیستم باقی نمانده است.

هنگامی که آنها مطمئن شدند که همه چیز ایمن است و اولین پاسخ دهندگان یا خودشان حادثه را به درستی مستند کرده اند، باید تمام دارایی های شرکت را بررسی کنند و آسیب را بررسی کنند. آنها باید شروع به مشورت با فناوری های تشخیص خود کنند تا مطمئن شوند که هیچ تهدید اضافی در شبکه وجود ندارد.

پس از ایمن شدن شبکه، تیم باید کمک کند تا اطمینان حاصل شود که سیستم‌های حیاتی برای عملیات تجاری می‌توانند فوراً بازیابی شوند. این مرحله بسیار مهم است زیرا توقف عملیات تنها به شرکت آسیب بیشتری می رساند.

  • مستندسازی و تحقیق

گروه تحقیق برای اثبات حقایق باید از طریق حادثه بازگردد. آنها باید بررسی کنند که در هنگام کشف حمله چه اتفاقی افتاده است و بعداً چگونه حمله رخ داده است. این محققان همچنین باید نوع حمله و علل اصلی آن را مشخص کنند. جدا از بازسازی روایت جنایات سایبری، تیم باید هر مرحله از تحقیقات را نیز مستند کند.

تحقیقات همیشه باید مراحلی را دنبال کند که در طرح امنیت سایبری تعیین شده است و در هر مرحله از راه مطابق با سیاست های موجود شرکت کار کند. این مهم است زیرا حسابرسان و بازرسان دولت میزان اقدامات شرکت را برای بررسی و اصلاح موضوع بررسی و بررسی می کنند.

گروه همچنین باید در مورد افرادی که اطلاعات را با آنها به اشتراک می گذارد حساس باشد. حملات و نفوذها ممکن است به دلیل افراد مخرب درون شرکت رخ دهد.

هنگامی که تیم شناسایی کرد که چه کسی مقصر پشت حمله است و چه کسانی همدستان آن هستند، تیم باید با منابع انسانی کار کند تا اطمینان حاصل شود که افراد مطابق با خط مشی شرکت و قانون پاسخگو هستند.

  • مجریان قانون و مقامات را مطلع کنید

زمانی که یک حمله سایبری رخ می دهد، مجریان قانون باید در اسرع وقت وارد تصویر شوند. مشکل تاخیر در این مرحله خاص این است که می تواند به عنوان نشانه ای از مقصر بودن در حمله تلقی شود. شرکت ها پس از حمله به قانون گزارش نمی دهند زیرا فکر می کنند تحقیقات می تواند عملیات را متوقف کند. آژانس هایی مانند FBI به روشی غیر مخرب کار خواهند کرد و با قربانیان حمله همکاری خواهند کرد.

  •  حمله را با تعامل رسانه به اطلاع عموم برسانید

برخی از نقض ها وجود دارد که شرکت شما می تواند به موقع آنها را برطرف کند، قبل از اینکه منفجر شوند و هیچ مصرف کننده ای تحت تأثیر قرار نگیرد. در این صورت، این نقض‌ها و حملات می‌توانند بدون اطلاع عموم برطرف شوند. با این حال، هنگامی که مشتریان تحت تأثیر یک نقض قرار می گیرند، مانند مشاغل خدماتی که فعالانه با مشتریان خود درگیر هستند، شرکت باید افشا کند.

وقتی این اتفاق می افتد، شرکت باید روایت را در اختیار داشته باشد و آن را کنترل کند. تیم واکنش به حادثه به همراه مدیران و افراد منابع انسانی باید قبل از افشای جلسه ای تشکیل دهند تا در مورد هر زوایای حادثه صحبت کنند. این تیم همچنین باید با یک کارشناس روابط عمومی که به آنها در مدیریت نحوه نمایش شرکت در رسانه کمک می کند، در تماس باشد.

  • الزامات انطباق را دنبال کنید

 پس از یک حمله، دولت ها و ایالت ها نسبت به موارد نقض و حملات حساس تر شده اند. قانونگذاران شروع به ایجاد قوانین و سیاست هایی کرده اند که شرکت ها را در قبال هرگونه عدم آمادگی برای حملاتی که علیه سیستم هایشان انجام می شود، مسئول می سازد.

با توجه به این مقررات، شرکت ها باید مطمئن شوند که با تمام حروف این الزامات مطابقت دارند تا از مجازات های گسترده جلوگیری کنند.

بخش عمده ای از این مقررات الزامات اطلاع رسانی است. برخی از قوانین مانند مقررات عمومی حفاظت از داده های اتحادیه اروپا، شرکت ها را ملزم می کند تا در عرض 72 ساعت موارد نقض را به مشتریان خود گزارش دهند.

  • آمادگی برای عواقب قانونی

 واقعیت سرد و سخت در مورد یک حمله سایبری این است که یک شرکت هرگز برای یک حمله کاملاً آماده نخواهد بود و تنها کاری که یک سازمان می تواند در عواقب یک حمله انجام دهد کنترل آسیب است.

پس از اینکه تیم واکنش به حادثه شما تحقیقات خود را به پایان رساند، داستان را مدیریت کرد و آسیب‌های وارد شده به سازه‌های داخل شرکت را تعمیر کرد، باید با تیم حقوقی شرکت همکاری کند. دولت یا یک فرد شرکت را مسئول می داند و عواقب قانونی برای آنچه رخ داده است وجود خواهد داشت.

مراحل بالا باید به شما و شرکتتان کمک کند تا بلافاصله پس از حمله سایبری و در عرض یک ماه از طوفان عبور کنید. این جدول زمانی 30 روزه در واقع کوتاهتر از دوره واقعی است که یک تهدید از نظر آماری در سیستمی که حدود 180 روز است، نهفته است. این نیم سالی است که شرکت‌ها واقعاً می‌توانستند برای ایجاد دفاعی معتبر و فعال در برابر این تهدیدات صرف کنند.

نکاتی برای به حداکثر رساندن تلاش‌های مدیریت بحران سایبری

  • سرمایه‌گذاری در ابزارهای تشخیص و اصلاح پیشرفته

تحقیقات موسسه Ponemon نشان داد که هرچه سریع‌تر یک نقض شناسایی و مهار شود، هزینه‌های شرکت کمتر می‌شود. شرکتی که نقض داده را شناسایی می کند، در صورت مشاهده مشکل در عرض 100 روز، 1 میلیون دلار صرفه جویی می کند. درج علت نقض موضوع دیگری است.

سازمانی که در عرض 30 روز دارای یک نقض است، موفق می شود 1 میلیون دلار بیشتر از هزینه های آن صرفه جویی کند. به منظور رعایت این جدول‌های زمانی یا حتی اجتناب از مواجهه با یک نقض، شرکت‌ها باید روی امنیت شبکه پیشرفته و نقطه پایانی سرمایه‌گذاری کنند. ابزارهای اسکن پیشرفته که در چنین محلول‌های ترکیبی یافت می‌شوند، شانس بسیار بیشتری برای کشف علت اصلی نقض‌ها دارند.

  • تشکیل یک تیم واکنش به حادثه

موسسه Ponemon شاهد کاهش 14 دلاری هزینه به ازای هر رکورد در طی یک تخلف برای شرکت‌هایی بود که تیم‌های واکنش به حادثه را در طول بحران داشتند.

طبق این مطالعه، میانگین هزینه ای که یک شرکت به ازای هر سابقه عضو به خطر افتاده می پردازد 148 دلار است. اگر به نقض Equifax فکر کنید که حداقل 145.5 میلیون کاربر را در ایالات متحده تحت تأثیر قرار داده است، این موضوع بسیار مهم است.

بر اساس هزینه 148 دلاری برای هر رقم به خطر افتاده، Equifax باید حدود 21 میلیارد دلار هزینه کند. اگر Equifax در طول زمان رخنه یک تیم ponse حادثه داشت، 2.3 میلیارد دلار پس انداز می کرد.

  • از رمزگذاری قوی برای دارایی‌ها استفاده کنید

استفاده گسترده از رمزگذاری باعث می‌شود شرکت‌ها 13 دلار به ازای هر رکورد عضو و احتمالاً حتی بیشتر از آن صرفه‌ جویی کنند.

یک حمله سایبری منفرد همچنین می تواند به حمله دیگری منجر شود زیرا عوامل تهدید می توانند دارایی های خود را در سیستم جابجا کنند. این دارایی‌ها، مانند بدافزار، می‌توانند سیستم را دوباره آلوده کرده و درهای پشتی را برای حمله دیگری علیه شبکه باز کنند.

منبع: Hackercombat.