600 likes | 789 Views
آشنایی با پیادهسازی مدیریت حوادث در سازمان. ارائه دهنده: بهادر نظری فرد. مقدمه. اهمیت گروه رسیدگی به حادثه. رشد حوادث گزارششده به CERT/CC. رشد آسیبپذیریهای گزارششده به CERT/CC. رشد گروههای امداد و رسیدگی به حوادث ( CSIRTs). گروههای امداد امنیت در سراسر دنیا.
E N D
آشنایی با پیادهسازی مدیریت حوادث در سازمان ارائه دهنده: بهادر نظری فرد
مقدمه • اهمیت گروه رسیدگی به حادثه
رشد آسیبپذیریهای گزارششده به CERT/CC
رشد گروههای امداد و رسیدگی به حوادث(CSIRTs)
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای
CERT Coordination Center (CERT/CC) http://www.cert.org/ Forum of Incident Response and Security Teams (FIRST) http://www.first.org/ Federal Computer Incident Response Center (FedCIRC) http://www.fedcirc.gov/ Australian Computer Emergency Response Team (AusCERT) http://www.auscert.org.au/ Department of Defense CERT (DOD-CERT) http://www.cert.mil/ German Research Network CERT (DFN-CERT) http://www.cert.dfn.de/ Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) http://www.jpcert.or.jp/ IBM Business Continuity and Recovery Services (IBM-ERS) http://www.ers.ibm.com/ http://www-1.ibm.com/services/continuity/recover1.nsf/mss/incident+management مثالهایی از سازمانهای مختلف کهCSIRT دارند
پیشرفته مبتدی آموزش برنامه پیادهسازی عملیات همکاری مراحل راه اندازی • 1. سازماندهی و آموزش • 2. تهیه برنامه (Plan) • 3. پیادهسازی • 4. فاز عملیاتی • 5. همکاری و هماهنگی با سایر گروهها
Alerts and Announcements Vulnerability Analysis and Response Artifact Analysis Education and Training Incident Tracing Intrusion Detection Auditing and Penetration Testing Security Consulting Risk Analysis Security Product Development Collaboration Coordination خدمات گروه امداد (CSIRT) • خدمات اجباری: • Incident Handling • خدمات عمومی متداول:
چرخه عمر رسیدگی به حادثه سایر ایمیل تشخیص نفوذ Triage درخواست اطلاعات گزارش حادثه تلفن تحلیل گزارش آسیبپذیری اطلاعات تماس هماهنگی و پاسخ به حادثه درخواست کمک فنی
تعریف گروه امداد CSIRT • An organizational capability or team that provides services and support, to a defined constituency, for preventing, handling and responding to computer security incidents
از کجا شروع کنیم؟ • تشخیص توانمندیهای موجود • چه مهارتهایی الان وجود دارد؟ • چه ابزارهایی الان در اختیار داریم؟ • تشکیل جلسات و بحث در مورد طراحی گردش کارها • پیاده سازی فرآیندها • برنامه کوتاه مدت • برنامه بلند مدت
منابع مورد نیاز CSIRT • مهارتهای کارمندان • مهارتهای فردی و شخصیتی (تحلیلگر) • مهارتهای فنی • تجربه های امنیتی و رسیدگی به حادثه • لوازم اداری • دفتر کار • آزمایشگاه مجهز • ارتباطات امن راه دور
مأموریت گروه امداد • تعریف دقیق مأموریت گروه • تعریف اهداف اصلی و مهم • تعریف راهبردهای کلان برای دستیابی به اهداف
تعریف چشم انداز مأموریت منابع درآمد (مالی) vision مدل سازمانی خدمات
تعیین جایگاه گروه امداد در سازمان • جایگاه گروه امداد امنیت در سازمان کدام است؟ • گروه باید به چه کسانی گزارش بدهد؟ • گروه در مقابل چه کسانی پاسخگوست؟
تعیین سطح اختیارات گروه امداد امنیت • گروه چه اختیارات و مجوزهایی دارد؟ • کامل • مشترک • بدون مجوز مجوز غیرمستقیم • بر حسب حادثه
میزان بزرگی گروه امداد • بسته به مأموریت، اهداف و خدمات متفاوت است • نباید این تیم محل گلوگاه شود ( خیلی کوچک نباشد)
تدوین سیاستها و روالها • تمامی خدمات باید تدوین شوند • شیوه انجام خدمات معلوم باشد • سیاستهای رسیدگی به حادثه معلوم شود • روالهای دورهای مختلف تدوین شود
مثالهایی از سیاستهای مورد نیاز • security policy • incident reporting policy • incident handling policy • external communications policy • information distribution policy • human error policy • training and education policy
مثالهایی از روالهای مورد نیاز • accepting and tracking incident reports • answering the hotline • incident and vulnerability handling • gathering, securing, and preserving evidence • configuration of CSIRT networks and systems • system and network monitoring and intrusion detection • backing up and storing incident data • notification processes (how information is packaged, distributed, archived, etc.)
تست و بازنگری در سیاستها و روالها • تمامی سیاستها و روالهای تدوین شده در سازمان باید تست و آزمایش شوند و بر حسب کارآمدی آنها در صورت لزوم اصلاح شوند.
مروری بر رسیدگی به حادثه به عنوان وظیفه اصلی
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای رسیدگی به حادثه • آژانس امنیت شبکه و اطلاعات اروپا: • مجموعه فعالیت هایی شامل دریافت گزارش حادثه امنیتی و درخواست کمک، تحلیل حادثه وپاسخ گویی به آن • سازمان ملی استاندارد فناوری آمریکا: • عملیاتی که طی چهار مرحلة : پیشگیری از حادثه، تشخیص و تحلیل حادثه ، ترمیم حادثه و فعالیت های پس از حادثه انجام می شود . روالی که طی آن دریافت، اولویت بندی و تحلیل حوادث صورت می گیرد و تیم برای پاسخگویی به حادثه اقدام می کند.
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای جایگاه سرویس رسیدگی به حادثه • مدیریت حادثه • رسیدگی به حادثه • پاسخ گویی به حادثه
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای • گام های رسیدگی به حوادث • گام اول: آمادگی و جلوگیری • گام دوم: تشخیص و تحلیل • گام سوم: محدود سازی، ریشه کنی، ترمیم • گام چهارم: فعالیت های پس از حادثه
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای • تشخیص و تحلیل حادثه • هدف • Triage • علائم موجود برای تشخیص حادثه • انواع حوادث و حملات • روال تشخیص حادثه • شرایط نمونه برای تشخیص بهینه • نقش اولویت بندی در روال تشخیص حادثه • مستند سازی روال تشخیص حادثه • اطلاع رسانی تشخیص حادثه
گام های رسیدگی به حوادث آمادگی و جلوگیری تشخیص و تحلیل حادثه محدودسازی ریشه کنی ترمیم فعالیت های پس از حادثه اقدامات لازم برای پیشگیری ازیک حادثه امنیتی و اعمالی است که گروه باید در راستای آمادگی برای مقابله با حادثه انجام دهد گروه جلسه ای برای بررسی اقدامات انجام شده و به اشترک گذاشتن تجربیات کسب شده در طول انجام عملیات توسط اعضای گروه، برگزار می کند. پس از انتخاب روش مناسب برای محدود سازی، گروه به مقابله با حادثه، از بین بردن و ترمیم منابع آسیب دیده می پردازد. گروه علامت و یا گزارشی از حادثه دریافت می کند و دلیل وقوع و نوع آن را جستجو می کند. 37
آمادگی برای رسیدگی به حادثه • جمع آوری ابزار ها و منابع رسیدگی به حادثه • ابزار ها و امکانات ارتباطی رسیدگی کنندگان به حادثه • این ابزار ها وسایل و لوازم برقراری ارتباط با گروه • لیستی از شماره های تماس • آماده سازی روش ها و لوازم گزارش دهی • تهیه یک "اتاق جنگ" • تهیه امکانات لازم برای ذخیره اطلاعات حساس به صورت امن در طول وقوع حادثه
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای آمادگی برای رسیدگی به حادثه • نرم افزار ها و سخت افزار های تحلیل حادثه • نرم افزار های تهیه نسخه پشتیبان و تصویر از دیسک • Packet Sniffer ها و تحلیل کننده های پروتکل • سیستم های کامپیوتری قابل حمل مانند Laptop • چاپگر قابل حمل برای چاپ log ها • رسانه های خام مانند CD و DVD برای تهیه نسخه پشتیبان و ذخیره اطلاعات جمع آوری شده از سیستم های حادثه دیده • تجهیزات شبکه بندی برای تامین در دسترس بودن سرویس در طول پاسخگویی
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای آمادگی برای رسیدگی به حادثه • منابع تحلیل حادثه • لیست پورت های فعال در هر سیستم و پورت های مورد استفادة اسب های تروای معروف • مستند سازی مشخصات سیستم ها از جمله : سیستم عامل، پروتکل ها، برنامه های کاربردی و سیستم تشخیص نفوذ (IDS) • نمودار های ترافیکی شبکه روی تمام نقاط حساس • خروجی حاصل از اجرای یک تابع درهم ساز روی تمامی فایل های حساس برای تشخیص در صورت دستکاری شدن فایل ها
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای جلوگیری از حادثه • پایین نگه داشتن تعداد حوادث مزیت برای گروه امداد • در حالت کلی جلوگیری از حادثه از وظائف گروه امداد نیست • مدیریت ریسک
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای جلوگیری از حادثه • مثال هایی ازاقدامات جلوگیری از حوادث: • نصب patch های نرم افزاری و بروز سازی مرتب سیستم های عامل • اطمینان از امنیت هر یک از میزبان های شبکه و فعال بودن نرم افزار های تشخیص نفوذ بر روی آنها • اطمینان ار تأمین امنیت کلی شبکه و فعال بودن نرم افزار تشخیص نفوذ شبکه • نصب نرم افزار های جلوگیری از انتشار بد افزار ها
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای تشخیص و تحلیل حادثه • تشخیص و تحلیل: • مهمترین گام در رسیدگی به یک حادثه امنیتی • اگر نوع و دلیل حادثه ای درست تشخیص داده نشود، پاسخ گویی به آن نیز با اشکال مواجه است • تعداد نشانه ها بسیار زیاد است • تعداد حوادث واقعی محدود است • هدف: پیدا کردن تعداد محدودی حادثه واقعی از میان تعداد زیادی نشانه و گزارش .
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای تشخیص و تحلیل حادثه • روند: آمادگی و جلوگیری م س ت ن د س ا ز ی گزارش یا نشانة حادثه Triage تشخیص و تحلیل اولویت بندی اطلاع رسانی محدود سازی،ریشه کنی و ترمیم
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای تشخیص و تحلیل حادثه • Triage • لغت فرانسوی • در علم پزشکی: • فرآیند اولویت بندی بیماران بر اساس میزان وخامت وضعیت آنها • هدف: درمان تعداد بیشتری بیمار (در شرایط محدودیت منابع درمانی) • در توسعه و طراحی سیستم ها: • به جای بیماران روی منابع و ملزومات هر طرح انجام می شود • هدف: جلوگیری از تلف کردن نیروی انسانی و مالی برای ایده هایی که احتمال به نتیجه رسیدن آنها کم است
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای تشخیص و تحلیل حادثه • Triage • RFC2350 : فرآیندTriage شامل: 1) ارزیابی گزارش ها: تفسیر و اولویت بندی گزارش های دریافتی و مربوط کردن هریک از آنها به حوادث ای که فعلاً در جریان است. 2) وارسی : کمک به تشخیص این که "آیا واقعا حادثه ای اتفاق افتاده است؟" و در صورت اتقاق افتادن "مقیاس آن چگونه است ؟"
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای تشخیص و تحلیل حادثه • انواع علائم دریافتی از یک حادثه • 1) پیش علامت ها(Precursors): علائمی که احتمال وقوع حادثه امنیتی در آینده نزدیک را نشان می دهند. • 2) نشانه ها(Indications): علائمی که نشان دهنده حادثه ای در حال وقوع اند. • منابع دریافت علامت های وقوع حادثه • هشدار های نرم افزار های امنیتی نصب شده بر روی سیستم ها • Log های ثبت شده از وقایع روی هر سیستم • اطلاعاتی که به صورت عمومی در دسترس است • افراد ناظر بر شبکه
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای تشخیص و تحلیل حادثه • تعداد حوادث ای که ممکن است اتفاق بیفتد زیاد است • نحوه پاسخ گویی به این حوادث متفاوت است. • گروه امداد برای پاسخ گویی بهینه نیاز به دستور العمل تدوین شده و قابل انعطاف دارد. دسته بندی حوادث
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای 2: تشخیص و تحلیل حادثه • انواع حوادث: 1- حملات جلوگیری از سرویس(DoS) 2- گسترش بد افزار ها(Malicious Code) 3- دسترسی غیر مجاز به شبکه(Unauthorized Access) 4- استفاده بی جا از شبکه توسط کاربران مجاز(Inappropriate Usage) 5- حملات ترکیبی (Multiple Component)
رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای تشخیص و تحلیل حادثه • مستند سازی روال تشخیص حادثه • چرا؟ • انتقال سریع و دقیق اطلاعات به گروه پاسخگویی به حادثه • کاهش میزان خطا • در مسائل قانونی به عنوان شاهد در دادگاه • چه مواردی ؟ • ثبت وضعیت عملیات در هر زمان • اقدامات انجام شده ودر حال انجام • تغییرات صورت گرفته در فایل ها • مکالمات تلفنی • ...