پاورپوینت رسیدگی به حوادث امنیتی در گروه های امداد امنیت رایانه ای

بخشی از پاورپوینت

اسلاید 1 :

آشنایی با مبانی مدیریت حوادث

به نام خدا

اسلاید 2 :

فهرست مطالب:
معرفی گروه های امداد و جایگاه رسیدگی به حوادث در آنها
تعریف گروه امداد امنیت CSIRT
مفهوم حادثه و رسیدگی به حادثه
جایگاه سرویس رسیدگی به حادثه
گام های رسیدگی به حوادث
گام اول: آمادگی و جلوگیری
گام دوم: تشخیص و تحلیل
گام سوم: محدود سازی، ریشه کنی، ترمیم
گام چهارم: فعالیت های پس از حادثه

اسلاید 3 :

فهرست مطالب:
تشخیص و تحلیل حادثه
هدف
Triage
علائم موجود برای تشخیص حادثه
انواع حوادث و حملات
روال تشخیص حادثه
شرایط نمونه برای تشخیص بهینه
نقش اولویت بندی در روال تشخیص حادثه
مستند سازی روال تشخیص حادثه
اطلاع رسانی تشخیص حادثه

اسلاید 4 :

فهرست مطالب:
فرآیند های مدیریت حادثه

مدل فرآیند ی مدیریت حادثه
توصیف جریان کاری در فرآیند تشخیص
انتقالات از و به فرآیند تشخیص

اسلاید 5 :

تعریف گروه امداد امنیت CSIRT
گروه امداد امنیت(CSIRT) به تیم یا سازمانی می گویند که خدمات جلوگیری، رسیدگی و مقابله با حادثه را برای یک سازمان فناوری اطلاعات بر طبق ضوابط و قرارداد خاصی ارائه می دهد

اسلاید 6 :

مفهوم حادثه
در واژه نامه وب :

" نفوذ یا تلاش برای نفوذ به یک سیستم اطلاعاتی”
رخداد هایی در یک سیستم یا شبکه کامپیوتری است که باعث مختل شدن حداقل یکی از مؤلفه های امنیتی آن سیستم شود. این مؤلفه می تواند یکی از مؤلفه های اصلی مانند محرمانگی یا در دسترس بودن، یا یک سیاست اتخاذ شده توسط مدیر سازمان برای استفاده کاربران باشد.

اسلاید 7 :

رسیدگی به حادثه
آژانس امنیت شبکه و اطلاعات اروپا:
مجموعه فعالیت هایی شامل دریافت گزارش حادثه امنیتی و درخواست کمک، تحلیل حادثه وپاسخ گویی به آن
سازمان ملی استاندارد فناوری آمریکا:
عملیاتی که طی چهار مرحلة : پیشگیری از حادثه، تشخیص و تحلیل حادثه ، ترمیم حادثه و فعالیت های پس از حادثه انجام می شود .

اسلاید 8 :

جایگاه سرویس رسیدگی به حادثه
مدیریت حادثه
رسیدگی به حادثه
پاسخ گویی به حادثه

اسلاید 10 :

گام های رسیدگی به حوادث
اقدامات لازم برای پیشگیری ازیک حادثه امنیتی و اعمالی است که گروه باید در راستای آمادگی برای مقابله با حادثه انجام دهد
گروه علامت و یا گزارشی از حادثه دریافت می کند و دلیل وقوع و نوع آن را جستجو می کند.
پس از انتخاب روش مناسب برای محدود سازی، گروه به مقابله با حادثه، از بین بردن و ترمیم منابع آسیب دیده می پردازد.
گروه جلسه ای برای بررسی اقدامات انجام شده و به اشترک گذاشتن تجربیات کسب شده در طول انجام عملیات توسط اعضای گروه، برگزار می کند.

اسلاید 11 :

1-1: آمادگی برای رسیدگی به حادثه
جمع آوری ابزار ها و منابع رسیدگی به حادثه
ابزار ها و امکانات ارتباطی رسیدگی کنندگان به حادثه
این ابزار ها وسایل و لوازم برقراری ارتباط با گروه
لیستی از شماره های تماس
آماده سازی روش ها و لوازم گزارش دهی
تهیه یک "اتاق جنگ"
تهیه امکانات لازم برای ذخیره اطلاعات حساس به صورت امن در طول وقوع حادثه

اسلاید 12 :

1-1: آمادگی برای رسیدگی به حادثه
نرم افزار ها و سخت افزار های تحلیل حادثه
نرم افزار های تهیه نسخه پشتیبان و تصویر از دیسک
Packet Sniffer ها و تحلیل کننده های پروتکل
سیستم های کامپیوتری قابل حمل مانند Laptop
چاپگر قابل حمل برای چاپ log ها
رسانه های خام مانند CD و DVD برای تهیه نسخه پشتیبان و ذخیره اطلاعات جمع آوری شده از سیستم های حادثه دیده
تجهیزات شبکه بندی برای تامین در دسترس بودن سرویس در طول پاسخگویی

اسلاید 13 :

1-1: آمادگی برای رسیدگی به حادثه
منابع تحلیل حادثه
لیست پورت های فعال در هر سیستم و پورت های مورد استفادة اسب های تروای معروف
مستند سازی مشخصات سیستم ها از جمله : سیستم عامل، پروتکل ها،
برنامه های کاربردی و سیستم تشخیص نفوذ (IDS)
نمودار های ترافیکی شبکه روی تمام نقاط حساس
خروجی حاصل از اجرای یک تابع درهم ساز روی تمامی فایل های حساس برای تشخیص در صورت دستکاری شدن فایل ها

اسلاید 14 :

1-1: آمادگی برای رسیدگی به حادثه
منابع تحلیل حادثه(ادامه)

تجهیزات بازیابی سیستم پس از حادثه
برای بازگرداندن سیستم پس از وقوع حادثه به حالت اولیه

اسلاید 15 :

1-2: جلوگیری از حادثه
پایین نگه داشتن تعداد حوادث مزیت برای گروه امداد
در حالت کلی جلوگیری از حادثه از وظائف گروه امداد نیست
مدیریت ریسک

اسلاید 16 :

1-2: جلوگیری از حادثه
مثال هایی ازاقدامات جلوگیری از حوادث:
نصب patch های نرم افزاری و بروز سازی مرتب سیستم های عامل
اطمینان از امنیت هر یک از میزبان های شبکه و فعال بودن نرم افزار های تشخیص نفوذ بر روی آنها
اطمینان ار تأمین امنیت کلی شبکه و فعال بودن نرم افزار تشخیص نفوذ شبکه
نصب نرم افزار های جلوگیری از انتشار بد افزار ها

اسلاید 17 :

2: تشخیص و تحلیل حادثه
تشخیص و تحلیل:
مهمترین گام در رسیدگی به یک حادثه امنیتی
اگر نوع و دلیل حادثه ای درست تشخیص داده نشود، پاسخ گویی به آن نیز با اشکال مواجه است
تعداد نشانه ها بسیار زیاد است
تعداد حوادث واقعی محدود است
هدف: پیدا کردن تعداد محدودی حادثه واقعی از میان تعداد زیادی نشانه و گزارش .

اسلاید 18 :

2: تشخیص و تحلیل حادثه
روند:
تشخیص و تحلیل
اولویت بندی
گزارش یا نشانة حادثه
اطلاع رسانی

اسلاید 19 :

2: تشخیص و تحلیل حادثه
Triage
لغت فرانسوی
در علم پزشکی:
فرآیند اولویت بندی بیماران بر اساس میزان وخامت وضعیت آنها
هدف: درمان تعداد بیشتری بیمار (در شرایط محدودیت منابع درمانی)
در توسعه و طراحی سیستم ها:
به جای بیماران روی منابع و ملزومات هر طرح انجام می شود
هدف: جلوگیری از تلف کردن نیروی انسانی و مالی برای ایده هایی که احتمال به نتیجه رسیدن آنها کم است

اسلاید 20 :

2: تشخیص و تحلیل حادثه
Triage
RFC2350 :
فرآیندTriage شامل:
1) ارزیابی گزارش ها: تفسیر و اولویت بندی گزارش های دریافتی و مربوط کردن هریک از آنها به حوادث ای که فعلاً در جریان است.
2) وارسی : کمک به تشخیص این که "آیا واقعا حادثه ای اتفاق افتاده است؟" و در صورت اتقاق افتادن "مقیاس آن چگونه است ؟"