کارشناسانی که بارها تجربه حضور در اتاقهای بحران بعد از حملات سایبری داشتهاند تجربیاتی اندوختهاند که آشنایی با این تجربیات در این روزها با توجه به شدت گرفتن حملات سایبری، میتواند منجر به بهبود امنیت سازمانها شود.
کارشناسانی که بارها تجربه حضور در اتاقهای بحران بعد از حملات سایبری داشتهاند تجربیاتی اندوختهاند که آشنایی با این تجربیات در این روزها با توجه به شدت گرفتن حملات سایبری، میتواند منجر به بهبود امنیت سازمانها شود.
بایدها و نبایدهایی شاید ساده به نظر برسند اما در عمل، آنقدر نادیده گرفته میشوند که دردسرهای بزرگ سایبری به بار میآورند. در اینجا به برخی از آنها اشاره شده است.
سرورها را خاموش نکنید
اگر اثرات نفوذ را در شبکه و سرورهای خودتان مشاهده کردید و اگر خیالتان بابت بکآپهای آفلاین راحت است هرگز سرورها را خاموش نکنید. خاموش کردن سرورها شواهد حمله را از بین میبرد و کار فارنزیک را سخت میکند. ابتدا ارتباطات شبکهای سرورها را قطع کنید و سپس با متخصصان این حوزه اعم از مشاور، مدیر، حراست، افتا، مرکز ماهر و... تماس بگیرید و موضوع را گزارش کنید.
از دوربینها غافل نشوید
اگر اثرات هک را مشاهده کردید حتما با هماهنگی حراست نسبت به قطع ارتباط دوربینهای مشرف به اتاق بحران اقدام کنید. فرض را بر این بگذارید که هکرها دوربینها را نیز در اختیار گرفتهاند و شما را تماشا میکنند. اگر امکانش را دارید اینترنت سازمان را تا پایان بررسیهای اولیه بهصورت فیزیکی قطع کنید.
پسوردهایتان را در اکسل نگه ندارید
هرگز اطلاعات Assetهای سازمانی خودتان در فایل اکسل نگهداری نکنید. هکرها با در اختیار گرفتن سیستم شما و دسترسی به این فایل می توانند به سایر تجهیزات هم نفوذ کنند. بهتر است اطلاعات Assetهای سازمانی خود را همراه با Passwordهای آنها در نرم افزارهای معتبری که برای این منظور طراحی شده اند و از امنیت لازم برخوردار هستند نگهداری کنید.
برایاقدامات جدیتر آماده باشید
اگر دیدید هکرها آشکارا حضور خودشان را علنی کرده و سایت را deface کردند یا برایتان پیام فرستادند و یا از طریق سرویس پیامکی شما پیامهای انبوه فرستادند و ... مطمئن باشید که آنها تا آن لحظه هرکاری که میخواسته و می توانسته اند انجام دادهاند و این اقدام آخر آنهاست. بنابراین در این لحظه به این فکر نباشید که جلوی نفوذ بیشتر هکرها را بگیرید. تمرکز خودتان را روی سایر اقدامات مورد نیاز در لحظه بحران و برنامههای DRP و فارنزیک بگذارید.
برایپاسخگویی آماده باشید
از طرفی وقتی که حمله هکرها آشکار میشود بلافاصله تماسهای متعددی با تیم کارشناسی گرفته میشود و نمایندگان نهادهای مختلف وارد صحنه میشوند و شما با انبوهی از سؤالات مختلف از سمت مدیریت، حراست، همکاران، روابط عمومی، دستگاههای بالاسری، رسانهها و خبرگزاریها و افکار عمومی مواجه میشوید. لازم است تیم فنی در فضایی آرام بر کارهای خود تمرکز کند و فقط یک نفر مسئول پاسخگویی به دیگران باشد. روابط عمومی سازمانها هم برای پاسخگویی مناسب در شرایط حمله سایبری باید آموزشهای لازم را دیده باشند و حتی متنهای پیشنویس برای صدور اطلاعیه در شرایط بحرانی، آماده داشته باشند. تکذیب یک حمله سایبری آشکار نتیجهای جز تضعیف جایگاه سازمان در پی ندارد.
مخفیکاری نکنید
اگر رفتار مشکوکی در شبکه مشاهده کردید و متوجه نفوذ هکرها شدید هرگز این موضوع را مخفی نکرده و آن را گزارش کنید. گاهی مشاهده میشود که ادمینها برای حفظ موقعیت خود و احیانا زیر سؤال نرفتن صلاحیتشان توسط دیگران، مدارک نفوذ هکرها را کتمان میکنند. توجه داشته باشید کتمان این اسناد کمک بزرگی به هکرها برای ادامه نفوذشان است و این اقدام شما میتواند به عنوان یک اقدام مجرمانه مورد پیگرد قرار بگیرد.
اختلافات شخصی را نادیده بگیرید
تسویهحسابهای شخصی را در زمان بحران فراموش کنید. بعد از حمله، زمان مناسبی برای تسویه حسابهای شخصی و گروهی و پیدا کردن مقصر نیست. باید همه توانمندیهای نیروهای خود، حتی نیروهای مقصر را به کار بگیرید تا بتوانید بهترین خروجی را داشته باشید.
مدیرانباید مانع برخوردهای امنیتی بشوند
به عنوان مدیر مجموعه، باید فضا را آرام نگه دارید تا کارشناسان بتوانند بدون ترس و دغدغه روی کار خود تمرکز کنند. متاسفانه به کرات شاهد هستیم که در لحظه حادثه و در اتاق بحران، افرادی به ماجرا ورود میکنند و با برخوردهای امنیتی و قضایی باعث میشوند تمرکز تیم برهم بریزد.
کامپیوتر سازمان جایاطلاعات شخصی ادمین نیست
خیلی از ادمینها تصور میکنندکامپیوتر آنها در سازمان حریم شخصی آنهاست، چون بهجز خودشان کسی نمیتواند وارد آن بشود و لاگین کند. برای همین هم اطلاعات شخصی زیادی روی سیستمشان نگهداری میکنند. کاری که یک ادمین نباید انجام بدهد؛ چون اگر حمله سایبری پیش بیاید و تیمهای فارنزیک و نهادهای نظارتی ورود کنند برای تکمیل فارنزیک احتمالا لازم می شود که سیستم ادمین شبکه هم مورد بازرسی دقیق قرار بگیرد.
Sync نبودنساعتها در فارنزیک مشکلساز میشود
برایاینکه بتوانیدتحلیل درستی از چگونگی رخ دادن حمله داشته باشید لازم است لاگ تمام تجهیزات را به یک Log Analyzer ساده که در یک Zone مجزا و حفاظت شده قرار گرفته ارسال کرده و نگهداری کنید. همچنین بسیار مهم است که ساعت تمام تجهیزات همیشه با هم Sync باشد. سینک نبودن ساعتها باعث ایجاد مشکلات زیادی در فارنزیک خواهدشد. توصیه میشود یک NTP Server مجزا از شبکه خود داشته باشید. NTP Server های مجزا میتوانند به طور موثرتری از حملات امنیتی محافظت شوند، زیرا NTP Server های مجزا میتوانند به طور مستقل پیکربندی و مدیریت شوند و اختلالات شبکه شما روی آنها بیاثر است.
طرحهای BCP و DRP را پیاده کنید
سازمانها باید سیاستهای امنیتی خود را بهگونهای پیادهسازی کنند که شانس موفقیت هکرها را بهشدت کاهش دهند. اما فرض محال، محال نیست و با همه سختگیریها باز هم ممکن است هک اتفاق بیفتد. قتی یک فاجعه، چه بر اثر حمله سایبری و چه در پی یک حادثه طبیعی، اتفاق میافتد فرصت فکر کردن ندارید. سازمانها باید برای مواجهه با هر رخدادی برنامهریزی قبلی داشته و آن را بهصورت آزمایشی تمرین کرده باشند.
سازمان شما باید طرح BCP و DRP داشته باشد و پس از مواجهه با هر رخدادی بر اساس برنامهریزیهای قبلی و مانورهای عملی برگزار شده مطابق با این طرحها، گامهای اجرایی را بردارد. هنگام بروز حادثه فرصت چندانی برای فکر کردن ندارید. پس فکرهایتان را قبلا بکنید و مستندات BCP را با کمک یک مشاور مجرب آماده کنید. پس از حادثه، گامهای تمرینشده را اجرا کنید.