اگر سازمان ما مورد حمله سایبری قرار گرفت چه اقداماتی انجام دهیم

به گزارش کارگروه امنیت سایبربان به نقل از افتانا؛ کارشناسانی که بارها تجربه حضور در اتاق‌های بحران بعد از حملات سایبری داشته‌اند تجربیاتی اندوخته‌اند که آشنایی با این تجربیات در این روزها با توجه به شدت گرفتن حملات سایبری، می‌تواند منجر به بهبود امنیت سازمانها شود.

بایدها و نباید‌هایی شاید ساده به نظر برسند اما در عمل، آن‌قدر نادیده گرفته می‌شوند که دردسرهای بزرگ سایبری به بار می‌آورند. در اینجا به برخی از آنها اشاره شده است.

سرورها را خاموش نکنید

اگر اثرات نفوذ را در شبکه و سرورهای خودتان مشاهده کردید و اگر خیال‌تان بابت بک‌آپ‌های آفلاین راحت است هرگز سرورها را خاموش نکنید. خاموش کردن سرورها شواهد حمله را از بین می‌برد و کار فارنزیک را سخت می‌کند. ابتدا ارتباطات شبکه‌ای سرورها را قطع کنید و سپس با متخصصان این حوزه اعم از مشاور، مدیر، حراست، افتا، مرکز ماهر و... تماس بگیرید و موضوع را گزارش کنید.
 

از دوربین‌ها غافل نشوید

اگر اثرات هک را مشاهده کردید حتما با هماهنگی حراست نسبت به قطع ارتباط دوربین‌های مشرف به اتاق بحران اقدام کنید. فرض را بر این بگذارید که هکرها دوربین‌ها را نیز در اختیار گرفته‌اند و شما را تماشا میکنند. اگر امکانش را دارید اینترنت سازمان را تا پایان بررسی‌های اولیه به‌صورت فیزیکی قطع کنید.

پسوردهایتان را در اکسل نگه ندارید

هرگز اطلاعات Assetهای سازمانی خودتان در فایل اکسل نگهداری نکنید. هکرها با در اختیار گرفتن سیستم شما و دسترسی به این فایل می توانند به سایر تجهیزات هم نفوذ کنند. بهتر است اطلاعات Assetهای سازمانی خود را همراه با Passwordهای آنها در نرم افزارهای معتبری که برای این منظور طراحی شده اند و از امنیت لازم برخوردار هستند نگهداری کنید.
 

برای اقدامات جدی‌تر آماده باشید

اگر دیدید هکرها آشکارا حضور خودشان را علنی کرده‌ و سایت را deface کردند یا برایتان پیام فرستادند و یا از طریق سرویس پیامکی شما پیام‌های انبوه فرستادند و ... مطمئن باشید که آنها تا آن لحظه هرکاری که می‌خواسته و می توانسته اند انجام داده‌اند و این اقدام آخر آنهاست. بنابراین در این لحظه به این فکر نباشید که جلوی نفوذ بیشتر هکرها را بگیرید. تمرکز خودتان را روی سایر اقدامات مورد نیاز در لحظه بحران و برنامه‌های DRP و فارنزیک بگذارید.
 

برای پاسخگویی آماده باشید

از طرفی وقتی که حمله هکرها آشکار می‌شود بلافاصله تماس‌های متعددی با تیم کارشناسی گرفته می‌شود و نمایندگان نهادهای مختلف وارد صحنه می‌شوند و شما با انبوهی از سؤالات مختلف از سمت مدیریت، حراست، همکاران، روابط عمومی، دستگاه‌های بالاسری، رسانه‌ها و خبرگزاری‌ها و افکار عمومی مواجه می‌شوید. لازم است تیم فنی در فضایی آرام بر کارهای خود تمرکز کند و فقط یک نفر مسئول پاسخگویی به دیگران باشد. روابط عمومی سازمان‌ها هم برای پاسخگویی مناسب در شرایط حمله سایبری باید آموزش‌های لازم را دیده باشند و حتی متن‌های پیش‌نویس برای صدور اطلاعیه در شرایط بحرانی، آماده داشته باشند. تکذیب یک حمله سایبری آشکار نتیجه‌ای جز تضعیف جایگاه سازمان در پی ندارد.
 

مخفی‌کاری نکنید

اگر رفتار مشکوکی در شبکه مشاهده کردید و متوجه نفوذ هکرها شدید هرگز این موضوع را مخفی نکرده و آن را گزارش کنید. گاهی مشاهده می‌شود که ادمین‌ها برای حفظ موقعیت خود و احیانا زیر سؤال نرفتن صلاحیت‌شان توسط دیگران، مدارک نفوذ هکرها را کتمان می‌کنند. توجه داشته باشید کتمان این اسناد کمک بزرگی به هکرها برای ادامه نفوذشان است و این اقدام شما می‌تواند به عنوان یک اقدام مجرمانه مورد پیگرد قرار بگیرد.
 

اختلافات شخصی را نادیده بگیرید

تسویه‌حساب‌های شخصی را در زمان بحران فراموش کنید. بعد از حمله، زمان مناسبی برای تسویه حساب‌های شخصی و گروهی و پیدا کردن مقصر نیست. باید همه توانمندی‌های نیروهای خود، حتی نیروهای مقصر را به کار بگیرید تا بتوانید بهترین خروجی را داشته باشید.
 

مدیران باید مانع برخوردهای امنیتی بشوند

به عنوان مدیر مجموعه، باید فضا را آرام نگه دارید تا کارشناسان بتوانند بدون ترس و دغدغه روی کار خود تمرکز کنند. متاسفانه به کرات شاهد هستیم که در لحظه حادثه و در اتاق بحران، افرادی به ماجرا ورود می‌کنند و با برخوردهای امنیتی و قضایی باعث می‌شوند تمرکز تیم برهم بریزد.
 

کامپیوتر سازمان جای اطلاعات شخصی ادمین نیست

 خیلی از ادمین‌ها تصور می‌کنند کامپیوتر آنها در سازمان حریم شخصی آنهاست، چون به‌جز خودشان کسی نمی‌تواند وارد آن بشود و لاگین کند. برای همین هم اطلاعات شخصی زیادی روی سیستم‌شان نگهداری می‌کنند. کاری که یک ادمین نباید انجام بدهد؛ چون اگر حمله سایبری پیش بیاید و تیم‌های فارنزیک و نهادهای نظارتی ورود کنند برای تکمیل فارنزیک احتمالا لازم می شود که سیستم ادمین شبکه هم مورد بازرسی دقیق قرار بگیرد.
 

Sync نبودن ساعت‌ها در فارنزیک مشکل‌ساز می‌شود

برای اینکه بتوانید تحلیل درستی از چگونگی رخ دادن حمله داشته باشید لازم است لاگ تمام تجهیزات را به یک Log Analyzer ساده که در یک Zone مجزا و حفاظت شده قرار گرفته ارسال کرده و نگهداری کنید. همچنین بسیار مهم است که ساعت تمام تجهیزات همیشه با هم Sync باشد. سینک نبودن ساعت‌ها باعث ایجاد مشکلات زیادی در فارنزیک خواهدشد. توصیه می‌شود یک NTP Server مجزا از شبکه خود داشته باشید. NTP Server های مجزا می‌توانند به طور موثرتری از حملات امنیتی محافظت شوند، زیرا NTP Server های مجزا می‌توانند به طور مستقل پیکربندی و مدیریت شوند و اختلالات شبکه شما روی آنها بی‌اثر است.
 

طرح‌های BCP و DRP را پیاده کنید

سازمان‌ها باید سیاست‌های امنیتی خود را به‌گونه‌ای پیاده‌سازی کنند که شانس موفقیت هکرها را به‌شدت کاهش دهند. اما فرض محال، محال نیست و با همه سخت‌گیری‌ها باز هم ممکن است هک اتفاق بیفتد. قتی یک فاجعه، چه بر اثر حمله سایبری و چه در پی یک حادثه طبیعی، اتفاق می‌افتد فرصت فکر کردن ندارید. سازمان‌ها باید برای مواجهه با هر رخدادی برنامه‌ریزی قبلی داشته و آن را به‌صورت آزمایشی تمرین کرده باشند.

سازمان شما باید طرح BCP و DRP داشته باشد و پس از مواجهه با هر رخدادی بر اساس برنامه‌ریزی‌های قبلی و مانورهای عملی برگزار شده مطابق با این طرح‌ها، گام‌های اجرایی را بردارد. هنگام بروز حادثه فرصت چندانی برای فکر کردن ندارید. پس فکرهایتان را قبلا بکنید و مستندات BCP را با کمک یک مشاور مجرب آماده کنید. پس از حادثه، گام‌های تمرین‌شده را اجرا کنید.