اگر طراح یا مالک یک وبسایت هستید، باید برای چالش هایی مانند هک، نفوذ و سایر مشکلات، برنامهای داشته باشید. هرگونه اختلال میتواند منجر به کاهش قابل توجه درآمد و تأثیر منفی بر برند شود، بهویژه اگر وبسایت نقش مهمی در کسبوکار شما دارد. خوشبختانه، یک راه حل ساده برای مقابله با مشکلات وجود دارد و آن هم تدوین برنامه ای جهت پاسخ به حوادث است.
برنامهریزی پاسخگویی به حادثه (Incident Response) برای امنیت هر وبسایتی حیاتی می باشد. این برنامه به شما کمک میکند قبل از وقوع یک رویداد یا حادثه امنیتی، ریسکها را مدیریت کنید تا از کسبوکارتان همواره محافظت کرده و اگر اتفاقی افتاد، بتوانید سریعاً به وضعیت قبل از وقوع حادثه برگردید.
تصویر(1)
برنامه پاسخگویی به حادثه چیست؟
قبل از درک برنامه پاسخگویی به حادثه، مهم است که اصطلاحات اصلی تعریف شوند. هر وبسایت یا برنامه ای برای حفظ تمامیت، محرمانگی و در دسترس بودن، نیاز به محافظت دارد. این سه اصل برای یک وبسایت امن و سالم، کلیدی هستند و توصیف میکنند که یک برنامه پاسخگویی به حادثه از چه چیزی محافظت میکند.
در ادامه معنای این اصطلاحات (و برخی دیگر) ذکر شده است:
تمامیت |
سیستم هیچ مشکل یا خطایی ندارد. |
محرمانگی |
این سیستم حاوی داده های کاربر بوده و از آن محافظت می کند. |
دسترس پذیری |
این سیستم در دسترس کاربرانی است که نیاز دارند به طور مداوم از آن استفاده کنند. |
رویداد |
مشاهده مشکل امنیتی در یک سیستم یا شبکه، مانند حملات بروت فورس |
حادثه |
رویدادی امنیتی که یکپارچگی، محرمانگی یا دسترس پذیری یک دارایی اطلاعاتی را به خطر می اندازد. |
شکاف |
حادثه ای که موجب دسترسی غیرمجاز یک شخص به داده ها می شود. |
رویدادها و حوادث امنیتی نیاز به توجه ویژه دارند
رویدادها و حوادث امنیتی نیاز به توجه ویژه دارند تا بتوانید تمامیت، محرمانگی و در دسترس بودن وبسایت خود را حفظ کنید. این همان چیزی می باشد که یک برنامه برای آن طراحی شده است. با برنامه پاسخگویی به حادثه، شما سند رسمی با دستورالعملهای واضح در مورد اقدامات قبل، حین و بعد از حادثه امنیتی خواهید داشت.
یک برنامه پاسخگویی به حادثه نه تنها اجازه میدهد تا اقدامات ضروری را در هنگام وقوع حادثه مشخص کنید بلکه کمک میکند تا تعاریف دقیق از انواع حوادث، عوامل تشدیدکننده و سایر موارد مهم را ثبت نمایید. با این کار در برابر هرگونه تغییر و تحول احتمالی آمادگی لازم را خواهید داشت.
چرا یک برنامه پاسخگویی به حادثه نیاز دارید؟
شاید از اقداماتی که باید انجام دهید آگاه باشید اما وقتی یک حادثه رخ میدهد، ممکن است در یافتن تمام اطلاعات مورد نیاز خود با مشکل مواجه شوید. یک برنامه پاسخگویی به حادثه دقیقاً مشخص میکند که در صورت وقوع حادثه امنیتی چه کاری باید انجام دهید.
در ادامه دلایل بیشتری برای اهمیت تهیه یک برنامه پاسخگویی به حادثه آورده شده است:
- شناسایی نقاط ضعف امنیتی: با بررسی و مستندسازی اقدامات امنیتی فعلی، میتوانید نقاط ضعف بالقوهای را که نیاز به بهبود دارند، شناسایی نمایید.
- کاهش ریسکها: با فراگیری کارهایی که باید قبل، حین و بعد از یک حادثه انجام دهید، میتوانید ریسکهای امنیتی را کاهش داده و از آنها جلوگیری کنید.
- محافظت از داراییهای خود: اگر یک حادثه درست مدیریت نشود، میتواند به ضررهای مالی و معنوی جبران ناپذیری تبدیل شود و وبسایت شما را با خطر مواجه کند.
- کاهش زمان خرابی: برنامههای پاسخگویی به حادثه (Incident Response) برای راهاندازی مجدد و سریع یک سایت یا سیستم طراحی شدهاند. کاهش زمان خرابی بسیار مهم است، به خصوص اگر وبسایت درآمد یا ترافیک قابل توجهی داشته باشد.
- ایجاد اعتماد: با اولویت قرار دادن امنیت، به مشتریان و شرکای خود این اطمینان را میدهید که هنگام استفاده از وبسایت یا انجام تجارت با شما، اطلاعات و داراییهایشان در امنیت کامل قرار دارند.
- تأمین امنیت کسب و کار شما: حوادث امنیتی میتوانند پرهزینه باشند و یک مشکل ممکن است باعث تعطیلی کسبوکارتان شود.
ایجاد یک برنامه پاسخگویی به حادثه سایبری
برنامه پاسخگویی به حادثه صرفا برنامهریزی برای بازیابی یک نسخه پشتیبان از سایت نیست. هر برنامه پاسخگویی به حادثه روند متفاوتی خواهد داشت اما در ادامه یک مرور کلی از اقداماتی که می بایست انجام شود ذکر شده است:
- آمادگی: ارزیابی ریسک
- تشخیص: توقف فعالیتهای عادی و شناسایی رویدادها
- مهار: تهدید را مهار کنید.
- ریشهکن کردن: ریشهکن کردن تهدید و شناسایی علت اصلی
- بازیابی: بازگرداندن سیستمها به حالت عادی
- کسب تجربه: برای آمادگی بهتر در مواجهه با چالش های آینده
مرحله ۱: آمادگی
اولین قدم در برنامهریزی پاسخگویی به حادثه، آمادهسازی است. شما باید تمام اطلاعات ضروری را جمعآوری کنید. در ادامه موارد بیشتری بیان می شود:
- اطلاعات تماس اعضای اصلی تیم
- سیستمهای درگیر و نحوه دسترسی به آنها
- ابزارهای گزارشدهی و تحلیل
- ارزیابی ریسک تمام آسیبپذیریها
همچنین باید به نسخههای پشتیبان خود توجه کنید. چه کسی نسخههای پشتیبان شما را مدیریت میکند؟ آخرین بار چه زمانی نسخههای پشتیبان خود را آزمایش کردید؟
تمام این اطلاعات را ارزیابی کنید و مستندسازی نمایید. سپس، شروع به تنظیم آموزش برای همه اعضای تیم درگیر کنید. میتوانید این کار را از طریق یک حادثه ساختگی یا تست نفوذ انجام دهید.
مرحله ۲: تشخیص
مرحله بعدی تشخیص می باشد. یکی از مهمترین موارد این مرحله، رفتار «عادی» است. برای مثال شاید متوجه فعالیت غیرعادی در فایلهای لاگ خود یا افزایش ایمیلهای فیشینگ هدفمند شوید.
سپس، به دنبال نشانههای خطر باشید. این نشانه ها میتواند شامل موارد زیر باشد:
- ورود به سیستم غیرعادی
- تشخیص بدافزار
- استفاده بیش از حد منابع
- تغییر فایلها
- گزارشهای کاربران
- ایمیلهای برگشتی
تصویر(2)
مرحله 3: مهار
هم اکنون باید به چگونگی مهار اوضاع فکر کنید. در ادامه اقداماتی که باید انجام دهید ذکر شده است:
- تحت حمله بودن سایت را بررسی نمایید. اگر حمله وجود دارد، آیا نیاز است سایت را غیرفعال کنید؟ برای چه مدت؟ میتوانید به راحتی تهدید را حذف نمایید؟
- درباره حمله اطلاعات کسب کنید. آیا این یک حمله هدفمند بوده که میتواند بر کسبوکار شما تاثیر بگذارد؟ آیا حمله عمومی از سوی رباتها بوده که یک آسیبپذیری را پیدا کردهاند؟
- شواهد ارائه اطلاعات را آماده کنید. ممکن است رسانهها یا ذینفعان نیاز به اطلاعات درباره وضعیت پیش آمده داشته باشند. شواهدی مانند فایلهای لاگ، آدرسهای IP، اطلاعات مربوط به بدافزار، تغییرات فایل و موارد دیگر را حفظ و مستند کنید. به خاطر داشته باشید که این اطلاعات کجا یافت میشوند و چه کسی مسئول تایید اطلاعات است.
مرحله 4: ریشهکنی
باید از شر مشکل خلاص شوید. در این مرحله به موارد زیر توجه کنید:
- عامل نفوذ را شناسایی نمایید. آنها چگونه وارد شده اند؟ به خاطر داشته باشید تا زمانی که پاکسازی کامل انجام نشود، هیچ چیز امن نیست.
- به نسخههای پشتیبان توجه کنید. نسخه های پشتیبان آلوده را حذف نمایید و برنامهای برای بررسی آلودگی آنها داشته باشید.
- فرض کنید رمزهای عبور در معرض خطر هستند. همانطور که گفته شد، فرض کنید همه چیز در معرض خطر است و رمزهای عبور خود را تغییر دهید.
مرحله 5: بازیابی
حالا وقت احیای سایت است. آیا یک نسخه پشتیبان تمیز، آزمایششده و جدید دارید که بتوانید از آن استفاده کنید؟ اگر نه، برای احیای سایت خود باید کارهای زیر را انجام دهید:
- از سایت آلوده پشتیبان تهیه کنید.
- نسخه پشتیبان (فایلها و پایگاه داده) را در یک مکان ایزوله پاکسازی نمایید.
- مطمئن شوید که پاکسازی به صورت کامل انجام شده است.
- اطلاعات پاکسازی شده را جایگزین فایل های آلوده نمایید.
- سایت پاکسازی شده را آزمایش کنید.
- بلافاصله تمام رمزهای عبور را تغییر دهید.
مرحله 6: کسب تجربه
در نهایت، وقت آن است که از این حادثه درس بگیرید. در پایان برنامه پاسخگویی به حادثه خود، بخشی با سوالات زیر اضافه کنید:
- چه اتفاقی، چه زمانی و چگونه اتفاق افتاد؟
- تیم به خوبی واکنش نشان داد؟
- آیا برنامه پاسخگویی به حادثه مفید بود؟ چه نواقصی داشت؟
- چه اطلاعاتی دارای اولویت بالاتری بودند؟
با بررسی این اطلاعات، میتوانید به درک عمیقتری از شرایط برسید، بخش های قابل بهبود را شناسایی کرده و برای مدیریت بهتر حوادث در آینده برنامهریزی کنید.
تصویر(3)
سخن پایانی
برنامههای پاسخگویی به حادثه برای هر وبسایت بهویژه در سیستم های مدیریت محتوا محبوب مانند وردپرس، ضروری هستند. در دنیای امروز، هیچ وب سایتی مصون از حملات سایبری نیست. این حملات میتوانند در هر زمان و به هر شکلی رخ دهند و خطرات قابل توجهی برای امنیت اطلاعات، حریم خصوصی و اعتبار شما به همراه داشته باشند.
به جای اینکه منتظر وقوع حمله بمانید، باید برای مقابله با آن آماده باشید. داشتن یک برنامه پاسخگویی به حادثه کمک میکند تا در صورت وقوع حمله، سریعا و کارآمد واکنش نشان دهید و تأثیر آن را به حداقل برسانید.