سیستم مدیریت رخدادها و ردیابی (digital forensics and incident response)
مدیریت رخدادها و ردیابی (DFIR) رویهای است که توسط تیمهای واکنش به حادثه (همچنین به عنوان تیمهای پاسخ به حادثه امنیت رایانه یا CSIRT شناخته میشود) برای شناسایی، بررسی و پاسخ به تهدیدات سایبری که یک سازمان با آن مواجه است، استفاده میکند.
بخش اصلی DFIR، Digital forensic است – جمع آوری داده ها از سیستم های IT، از جمله سیستم عامل ها، سیستم های فایل، و سخت افزار، تجزیه و تحلیل آن، و بازسازی آن برای استفاده به عنوان مدرک در فرآیند پاسخ به حادثه است. به طور فزایندهای، DFIR فراتر از تیمهای CSIRT مورد استفاده قرار میگیرد، و روشهای تحقیقات forensic برای فعالیتهای اضافی مانند بررسی از راه دور نقاط پایانی(endpoint) و شکار پیشگیرانه تهدید اتخاذ میشوند.
اهمیت مدیریت رخدادها و ردیابی (DFIR) در امنیت سایبری
هنگامی که یک حمله سایبری رخ می دهد، اولویت اول بهبودی از حادثه است. اما بازیابی کافی نیست، زیرا برای از بین بردن کامل تهدید و جلوگیری از تکرار آن، سازمان ها باید بفهمند چه اتفاقی افتاده و چه کسی پشت این حمله بوده است.
DFIR درک عمیقی از حوادث امنیت سایبری از طریق یک فرآیند جامع forensic ارائه می دهد. کارشناسان DFIR حجم وسیعی از دادهها را جمعآوری و بررسی میکنند تا شکافهای اطلاعاتی درباره حملات سایبری را پر کنند، از جمله اینکه مهاجمان چه کسانی بودند، چگونه نفوذ کردند و اقدامات دقیقی که برای قرار دادن سیستمها در معرض خطر انجام دادند. در صورت نقض موفقیت آمیز، DFIR همچنین می تواند به شناسایی داده های از دست رفته یا آسیب دقیق ایجاد شده کمک کند.
اطلاعات Digital forensic جمع آوری شده توسط کارشناسان DFIR اغلب برای طرح شکایت علیه مهاجمان شناسایی شده استفاده می شود. همچنین معمولاً توسط مجریان قانون استفاده می شود و می تواند به عنوان مدرک در دادگاه علیه مجرمان سایبری استفاده شود.
چگونگی استفاده از مدیریت رخدادها و ردیابی (DFIR) در واکنش به حوادث
برخی از سازمان ها از DFIR به عنوان یک سرویس برون سپاری استفاده می کنند، در حالی که برخی دیگر یک قابلیت DFIR را در داخل ایجاد می کنند. در هر دو مورد، تیم DFIR مسئول شناسایی حملات سایبری، آزمایش آنها برای تعیین ماهیت و وسعت آنها، و جمع آوری داده های عملی برای کمک به پاسخ است. تابع DFIR چندین مرحله حیاتی را به عنوان بخشی از فرآیند واکنش به حادثه سازمان انجام می دهد.
قابلیتهای DFIR معمولاً عبارتند از:
جمعآوری forensic: جمعآوری، بررسی و تجزیه و تحلیل دادهها از شبکهها، برنامهها و نقاط پایانی(endpoint)، هم در محل و هم در فضای ابری
تریاژ و بررسی : تعیین اینکه آیا سازمان نقض شده است یا خیر و شناسایی علت اصلی، دامنه، جدول زمانی و تأثیر حادثه
اطلاعرسانی و گزارشدهی : بسته به تعهدات مربوط به انطباق سازمان، ممکن است نیاز به اطلاعرسانی و گزارش تخلفات به ارگانهای مربوطه وجود داشته باشد.
پیگیری رویداد : بسته به ماهیت حادثه، ممکن است نیاز به مذاکره با مهاجمان، اطلاع رسانی وضعیت حادثه به مشتریان و مطبوعات و ایجاد تغییراتی در سیستم ها و فرآیندها برای رفع آسیب پذیری ها وجود داشته باشد.
گروه تکتاکام یکی از معدود شرکت هایی است که خدمات سیستم مدیریت رخدادها و ردیابی (digital forensics and incident response) را ارائه می نماید و تمامی مراحل کار را به صورت مستند شده در اختیار کار فرما قرار می دهد.