1. صفحه نخست
  2. وبلاگ
  3. دفتر اقدام پاسخ دهی به رخداد بدافزار
آخرین مطالب وبلاگ

دفتر اقدام پاسخ دهی به رخداد بدافزار

شنبه, 13 اردیبهشت,1399

1.1  منابع این سند

 

این سند برگرفته از Incident Response Consortium و پروسه پاسخ دهی به رخداد NIST  می باشد

 

1.2  هدف و حوزه

این سند به سازمان ها در کاهش ریسک رخداد های امنیتی خود توسط بدافزار، از طریق راهنمای کاربردی و موثر پاسخ دهی به رخداد کمک خواهد نمود. تمرکزاصلی این سند بر روی مراحل شناسایی، تحلیل، اولویت بندی و رسیدگی به رخداد است. به سازمان ها توصیه می شود که  این دفتر اقدام را طبق الزامات و نیازمندی های خود تغییر دهند.

 

1.3 مخاطبین

این سند مناسب برای تیمهای پاسخ دهی به خداد امنیت رایانه ای ( CSIRTs(، مدیران شبکه و سیستم، مدیر ارشد امنیت اطلاعات، مدیر ارشد اطلاعات، و کارشناسان امنیتی که طراحی برنامه و آمادگی پاسخ دهی به رخداد را  بر عهده دارند می باشد.

آمادگی

در مرحله آمادگی می بایست ساختار تیم پاسخ دهی مشخص شده، نقش ها، وظایف و سلسله مراتب تعیین شود. برای ایجاد ساختار تیم پاسخ دهی می توان از مدل های مختلفی مانند: تیم مرکزی پاسخ دهی به رخداد، تیم های توزیع یافته پاسخ دهی به رخداد، تیم هماهنگی ( تیم پاسخ دهی به رخدادی که به تیم های دیگر مشاوره داده و اما اختیاراتی بر روی آن تیم ها ندارند)، برون سپاری جزئی و یا کلی استفاده کرد. تمامی مراحل باید مستند باشند.

شناسایی

برای شناسایی تهدید باید ابتدا جهت و ناشنه های حمله از منابع مختلف مشخص گردد. سپس عامل مورد خطر مشخص و هزینه آسیب ریسک محاسبه گردد.

تحلیل

اگر تمامی اطلاعات جمع آوری شده دقیق و درست باشند تحلیل رخداد بسیار ساده است، اما در واقعیت اینطور نیست. بدین منظور باید طبق عوامل مورد خطر تحلیل و جمع آوری داده انجام شود.

 

محدود سازی

انتخاب یک استراتژی محدود سازی بسیار مهم است. شناسایی میزبان های مورد حمله قرار گرفته جمع آوری ادله و رسیدگی به رخداد در این مرحله صورت می گیرد.

ریشه کنی

بعد از آنکه یک رخداد تحت کنترل قرار گرفت، شاید نیاز به ریشه کنی رخداد باشد. مانند حذف، قرنطینه و یا پاکسازی بدافزار، اما مسئله مهم شناسایی تمامی میزبان های آلوده است.

بازیابی

در این مرحله مدیر سیستم، سیستم های مورد حمله را به حالت عادی و با کارکرد قبلی خود باز می گرداند، و اگر امکان آن باشد برای جلوگیری از تکرار مجدد رخداد ضعف امنیتی را از بین می برد.

پس از رخداد

در فعالیت های پس از رخداد یکی از مهمترین مراحل پاسخ دهی به رخداد معمولا نادیده گرفته می شود. یاد گیری از رخداد پیش آماده و بهبود سیستم.

در این مرحله باید به سوالاتی مانند دقیقا چه اتفاقی رخ داده و در چه زمان هایی؟ و یا چه اطلاعاتی زودتر نیاز بود؟ و غیره پاسخ داد.

 

  • تهران، میرداماد، برج آرین،
    ساختمان اداری شرقی، طبقه اول، واحد 4

  • تلفن:
    22256228-29 021

درباره ما

رادسکیور در سال 1392 با ماموریتی مشخص تاسیس شده است. ماموریت ما توانمند کردن کانال نمایندگان فروش جهت ارائه راهکارهای امنیت سایبری با هدف کسب درآمد پایدار، تقویت حاشیه سود و ایجاد تمایز آشکار در بازاری آشفته می باشد.
ما با چابک ترین تولید کنندگان حوزه امنیت سایبری همکاری می کنیم؛ از پیشتازان بازار مانند کسپرسکی و بیت دیفندر تا نقش آفرین های جدید، مانند اینفوواچ و سرچ اینفورم.

تماس با ما

آدرس : تهران، میرداماد، برج آرین، ساختمان اداری شرقی، طبقه اول، واحد 4

تلفن :22256228-021 ، 22256229-021
فکس :22264096 -021
ایمیل : info [at] radsecure.ir

برچسب ها

Ransomwareامنیتthreatintelligenceکسپرسکیlinuxبیت دیفندرویروسsocedrکلمه عبورGoldenEyeبدافزارآنتی ویروسkea

تمامی حقوق این سایت متعلق به شرکت رادسکیور می باشد