Kiberxavfsizlik: Hodisa Javob Berish
Hodisa Nima?
Hodisa kompyuter tizimlarimiz yoki tarmoqlarimizga zarar yetkazadigan yoki zarar yetkazishga harakat qiladigan biror narsa sifatida tasniflanishi mumkin. Bu zarar yoki tashkilotga zarar yetkazishga harakat qilayotgan shaxsni anglatadi. Barcha hodisalar IRT ("Hodisa Javob Berish Jamoasi") tomonidan hal qilinmaydi, chunki ular har doim ta'sir ko‘rsatmaydi, ammo ta'sir ko‘rsatganlarida IRT yordam so‘raladi va hodisani oldindan belgilangan va yuqori sifatli tarzda hal qilish uchun yordam beradi.
IRT tashkilotning biznes maqsadlari va maqsadlari bilan yaqindan mos bo‘lishi va hodisalar natijasini eng yaxshi tarzda ta'minlashga harakat qilishi kerak. Bu odatda moliyaviy yo‘qotishlarni kamaytirishni, tahdidchilarning yon tomonlarga harakat qilishlarini oldini olishni va ular maqsadlariga yetishishidan oldin to‘xtatishni o‘z ichiga oladi.
IRT - Hodisa Javob Berish Jamoasi
IRT kiberxavfsizlik hodisalarini hal qilish uchun maxsus jamoa hisoblanadi. Jamoa faqat kiberxavfsizlik mutaxassislaridan iborat bo‘lishi mumkin, ammo boshqa guruhlarning resurslari qo‘shilganda katta sinergiya yaratishi mumkin. Qanday qilib quyidagi birliklar jamoaning ma'lum vaziyatlarda qanday ishlashiga katta ta'sir ko‘rsatishi haqida o‘ylang:
- Kiberxavfsizlik mutaxassislari - Bu jamoada bo‘lishi kerakligini barchamiz bilamiz.
- Xavfsizlik Operatsiyalari - Ular rivojlanayotgan masalalar haqida fikr bildirishlari va vaziyatni yuqoridan kuzatish bilan yordam berishlari mumkin.
- IT-Operatsiyalar
- Tarmoq Operatsiyalari
- Rivojlantirish
- Yuridik
- HR
PICERL - Usul
PICERL Usuli rasmiy ravishda NIST-SP 800-61 deb ataladi (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) va hodisalar javob berish uchun qo‘llaniladigan metodologiyani ko‘rsatadi.
Bu metodologiyani suv toshqinlari modeli sifatida ko‘rmaslik kerak, balki oldinga va orqaga harakat qilinadigan jarayon sifatida qarash kerak. Bu hodisalarni to‘liq hal qilishni ta'minlash uchun muhimdir.
Hodisa Javob Berishning 6 bosqichi:
-
Tayyorlash
Ushbu bosqich hodisalar javob berishga tayyorlanish uchun mo‘ljallangan. IRT tayyorligini ta'minlash uchun ko‘plab narsalarni hisobga olishi kerak.
Tayyorlash o‘yin kitoblari va jarayonlarning ishlab chiqilishini o‘z ichiga olishi kerak, bu tashkilot qanday hodisalarga qanday javob berishi kerakligini belgilaydi. Jalb qilish qoidalari ham oldindan aniqlanishi kerak: jamoa qanday javob berishi kerak? Jamoa tahdidlarni faol ravishda bartaraf etishga harakat qilishi kerakmi yoki ba'zida tahdidni atrof-muhitda kuzatish va qanday qilib kirganini, kimligini va nimani maqsad qilganini bilib olish uchun qabul qilinishi mumkinmi?
Jamoa zarur bo‘lgan loglar, ma'lumotlar va tizimlarga kirish imkoniyatlariga ega ekanligiga ishonch hosil qilishi kerak. Agar jamoa tizimlarga kira olmasa yoki tizimlar hodisani aniq tasvirlay olmasa, jamoa muvaffaqiyatsizlikka uchraydi.
Asboblar va hujjatlar yangilangan va xavfsiz aloqa kanallari allaqachon muzokara qilingan bo‘lishi kerak. Jamoa zarur biznes bo‘limlari va boshqaruvchilarga hodisalar rivojlanishi haqida doimiy yangilanishlarni olish imkoniyatiga ega ekanligini ta'minlashi kerak.
Jamoa va tashkilotning qo‘llab-quvvatlovchi qismlari uchun trening ham jamoaning muvaffaqiyati uchun muhimdir. Hodisa Javob Beruvchilar trening va sertifikatlarni olishlari mumkin va jamoa tashkilotning qolgan qismini tahdidlar qurboni bo‘lmaslikka targ‘ib qilishga harakat qilishi mumkin.
-
Aniqlash
Ma'lumotlar va hodisalarni ko‘rib chiqish, nimanidir hodisa sifatida tasniflash uchun belgilash. Ushbu vazifa ko‘pincha SOC ga beriladi, ammo IRT bu faoliyatda ishtirok etishi va o‘z bilimlari bilan aniqlashni yaxshilashga yordam berishi mumkin.
Hodisalar odatda xavfsizlik bilan bog‘liq asboblardan, masalan, EDR ("Endpoint Detection and Response"), IDS/IPS ("Intrusion Detection/Prevention Systems") yoki SIEM ("Security Information Event Management System") ogohlantirishlari asosida yaratiladi. Hodisalar shuningdek, biror kishi jamoaga muammo haqida xabar berishi orqali yuzaga kelishi mumkin, masalan, foydalanuvchi jamoaga telefon qilsa, IRT ning elektron pochta qutisiga xat yuborsa yoki hodisa boshqaruvi tizimida chiptani yuborsa.
Aniqlash bosqichining maqsadi hodisalarni aniqlash va ularning ta'sirini va qamrovini aniqlashdir. Jamoa o‘zlariga quyidagi muhim savollarni berishi kerak:
- Qanday muhimlik va sezgirlik platforma buzilgan?
- Platforma boshqa joylarda ishlatiladimi, demak, vaqtida hech narsa qilmaslik xavfi mavjudmi?
- Necha foydalanuvchi va tizimlar ishtirok etmoqda?
- Tahdidchilar qanday credentiallarga ega va ular qayerda qayta ishlatilishi mumkin?
Agar hodisaga javob berish kerak bo‘lsa, jamoa keyingi bosqichga o‘tadi - saqlash.
-
Saqlash
Saqlash tahdidchilarni to‘xtatishga va qo‘shimcha zararlarning oldini olishga harakat qilishi kerak. Ushbu bosqich tashkilotga qo‘shimcha zarar yetkazilishining oldini olishni va tahdidchilarning maqsadlariga erishishiga yo‘l qo‘ymasligini ta'minlashi kerak.
IRT imkon qadar tezroq zaxira nusxasi va tasvir yaratishni o‘ylashi kerak. Zaxira nusxasi va tasvirlar keyinroq dalillarni saqlash uchun foydalidir. Bu jarayon quyidagilarni himoya qilishni maqsad qiladi:
- Fayl forensikasi uchun ishtirok etgan qattiq disklarning nusxasi
- Xotira forensikasi uchun ishtirok etgan tizimlarning xotira nusxasi
IRT tahdidchilarni to‘xtatish uchun ko‘plab harakatlarni amalga oshirishi mumkin, bu hodisaga bog‘liq bo‘ladi:
- Tahdidchilarni Firewallda bloklash
- Kompromatlangan tizimlarga tarmoq ulanishini uzish
- Tizimlarni offline holatga keltirish
- Parollarni o‘zgartirish
- ISP ("Internet Service Provider") yoki boshqa hamkorlardan tahdidchilarni to‘xtatishda yordam so‘rash
Saqlash bosqichida amalga oshirilgan harakatlar tahdidchini tezda to‘xtatishga va IRTni eradikatsiya bosqichiga o‘tishga imkon beradi.
-
Eradikatsiya
Agar saqlash yaxshi bajarilgan bo‘lsa, IRT eradikatsiya bosqichiga o‘tishi mumkin, ba'zida bu bartaraf etish bosqichi deb ataladi. Ushbu bosqichda maqsad tahdidchilarning artefaktlarini olib tashlashdir.
Eradikatsiyani ta'minlash uchun tezkor variantlar mavjud, masalan:
- Tanilgan yaxshi zaxiradan tiklash
- Xizmatni qayta qurish
Agar saqlash jarayonida o‘zgarishlar va konfiguratsiyalar amalga oshirilgan bo‘lsa, tiklash yoki qayta qurish ushbu o‘zgarishlarni bekor qilishi mumkin va ular qayta qo‘llanilishi kerak. Ba'zida IRT tahdidchilarning qoldirgan artefaktlarini qo‘l bilan olib tashlashga harakat qilishi kerak.
-
Qayta tiklash
Oddiy operatsiyalarga qaytish IRTning maqsad holati hisoblanadi. Bu biznes bo‘limlardan qabul qilish testlarini o‘z ichiga olishi mumkin. Ideal holda biz hodisalar haqida ma'lumotlar bilan monitoring echimlarini qo‘shamiz. Agar tahdidchilar to‘satdan qaytsa, masalan, eradikatsiya jarayonida olib tashlanmagan artefaktlar tufayli aniqlashni xohlaymiz.
-
Olingan Sabaklar
Yakuniy bosqichda hodisadan sabaklar olishni o‘z ichiga oladi. Hodisadan ko‘plab sabaklar mavjud bo‘ladi, masalan:
- IRT zarur bilim, asboblar va kirish huquqlariga ega bo‘lganmi va ularning ish samaradorligini yuqori darajada ta'minlashi mumkinmi?
- IRT ishlarini osonroq va tezroq bajarish uchun yo‘qolgan loglar bormi?
- Kelajakda shunga o‘xshash hodisalarni oldini olish uchun qanday jarayonlarni yaxshilash mumkin?
Olingan sabaklar bosqichi odatda hodisa davomida sodir bo‘lgan barcha narsalarni batafsil ko‘rsatadigan ijrochi xulosa va sharhni o‘z ichiga oladi.