آلوده شدن به بدافزار و درگیر شدن با عواقب آن، یکی از مهمترین ریسک هایی است که در سازمان ها وجود دارد و مقابله با آن بسیار سخت می باشد.اینطوری فرض کنید ، یک Malware سعی دارد که با سرور C2C در ارتباط باشد. این ارتباط در بسیاری از موارد از طریق HTTP و HTTPS است. تا زمانی که 3way TCP handshake برقرار نشود ، HTTP GET یا HTTP POST و یا SSL Handshake برقرار نمی شود و شما نمی توانید ماهیت بسته HTTP و یا جزئیات SSL مثل Certificate مورد استفاده را مشاهده کنید.خوب به نظر شما راه کار چیست ؟ برای جواب به این سوال بخاطر داشته باشید:
در SOC دو راه Incident Response برای مقابله با رخداد ها وجود دارد:
در نهایت تصمیمی که میتوان در این شرایط گرفت این است که ترافیک سرور مربوط را برای مدت محدودی بازکنیم تا بتوان با عملیات Sniffing تحلیل بهتری بر روی ترافیک شبکه آن داشته باشید. و متاسفانه این ها جز مواردی است بدلیل اینکه Response Plan آن نوشته نشده است در حال حاضر نمی توان تصمیمی در مورد آن گرفت. برای همین همواره در پیاده سازی SOC ، تاکید خاصی بر تعریف Incident Category ها و روش برخورد با آنها وجود دارد.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود