معرفی ابزارهای پاسخگویی به حوادث ( Incident Responce ) متن باز
فرآيند پاسخگویی به حوادث امری مهم میباشد و انجام دقیق و اصولی آن امری مهم تر پس از این بابت این فرآيند مانند دیگر فرآيند های حوزه امنیت دارای ابزارهای خاص و منحصر به فرد خود میباشد که فرآيند پاسخگويی به حوادث را ساده تر و سریع تر میکنند. در این مقاله قصد داریم بپردازیم به معرفی فرآيند پاسخگویی به حوادث و معرفی 5 تا از بهترین ابزارهای پاسخگویی به حوادث که به صورت رایگان و Open Source ارائه شده اند.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
پاسخگویی به حوادث ( Incident Response ) چیست؟
درواقع فرآيند پاسخگویی به حوادث به سازمان ها و تیم های امنیتی این امکان را میدهد که از وقایع امنیتی درون محیط و سازمان خودشان مطلع شوند و توانایی مدیریت و رفع آن و جلوگیری از حملات مشابه آن را داشته باشند.
به زبان ساده تر پاسخگویی به حوادث یعنی جلوگیری از رخدادن حوادث متنوع اعم از حملات سایبری و حوادث طبیعی مانند طوفان و سیل که علاوه بر جلوگیری امکان این را میدهد که از حملات مشابه ایی که رخ داده اند در آینده جلوگیری کنیم.
فاز های پاسخگويی به حوادث ( Incident Response ) کدامند؟
فاز های پاسخگویی به حوادث از دیدگاه و نگاه موسسه SANS به 6 فاز متنوع تقسیم میشود که به شرح زیر میباشند:
- فاز 1: Prepare: در این فاز ما شروع به ایجاد تیم پاسخگویی به حوادث، آماده سازی محيط، آگاهی رسانی سازمانی در رابطه با حملات سایبری برای کارمندان سازمان، بررسی دارایی ها و خطرات آنها ( به نوعی Threat Modeling )، ایجاد سیاست های امنیتی و ارزیابی خطرات و ریسک های محیط سازمان میپردازیم
- فاز 2: Identity: در این فاز که با عنوان شناسایی شناخته میشود هدف ما بررسی سیستم ها و داشتن نظارت و Monitoring بر روی آنها میباشد که رفتارهای مخرب و Threat های متنوع کشف و شناسایی کنیم، در این فاز ما به صورت Real Time باید Threat هارا شناسایی و آنهارا طبقه بندی و میزان شدت آنهارا بررسی کنیم
- فاز 3: Contain: در این مرحله ما از روش های استفاده میکنیم که به صورت موقت و کوتاه مدت سیستم های آلوده به خطرات و حملات را از دیگر سیستم های آلوده نشده جدا سازی میکنیم تا با خیال راحت تری بتوانیم فرآيند های امنیتی و رفع مشکلات و اعمال Patch هارا به انجام برسانیم و بعد دوباره آن را وارد شبکه اصلی کنیم
- فاز 4: Eradicate: در این مرحله باید ریشه اصلی حمله و حادثه را شناسایی کنیم و مشکلات و بد افزارهای موجود را حذف کنیم و اقدامات تدافعی متنوعی را برای جلوگیری از رخدادن دوباره این نوع حملات درنظر بگیریم
- فاز 5: Recover: در این فاز سیستم هارا بازیابی کنید و برای جلوگیری از حملات بعدی پیکربندی های امنیتی و اقدامات تدافعی درنظر گرفته شده را اعمال کنید.
- فاز 6: Learn: در این فاز باید گزارشات و مستندات کاملی از شرح حادثه و جزئیات آن تهیه شود و بررسی شود که برای جلوگیری از رخدادن دوباره حملات این چنینی باید چه فرآیندی را صورت داد که روند پاسخگویی به حوادث را بهبود ببخشد.
ابزارهای پاسخگویی به حوادث ( Incident Response ) کدامند؟
در شرایطی که قصد داشته باشیم از ابزارهای پاسخگویی به حوادث استفاده کنیم ابزارهای زیادی در پیش روی ما وجود دارد که میتوانیم از آنها استفاده کنیم که این ابزارها اغلب هم به صورت پولی هستند و هم به صورت Open Source اما در شرایطی که قصد داشته باشید میان دو دسته ابزارهای پولی و Open Source یکی را انتخاب کنید بهتر است Open Source را انتخاب کنید زیرا رایگان هستند و در بعضی شرایط این ابزارها از ابزارهای مشابه پولی خود بهتر هستند یا هم سطح هستند یا مکمل بقیه ابزارها میباشند. در این مقاله ما قرار است به معرفی 5 تا از بهترین ابزار های Open Source پاسخگویی به حوادث را معرفی و بررسی کنیم.
Cyber 360
از Cynet 360 نمیتوان صرفا در فرآيند پاسخگويی به حوادث استفاده کرد زیرا این ابزار مجموعه ایی کامل از ویژگی های امنیتی و اقدامات اصلاحی میباشد که برای رسیدگی به میزبان های آسیب دیده و آلوده شده میباشد. این پلتفروم توانایی رسیدگی به فایل های مخرب، ترافیک های نامعلوم و غیر عادی از سمت C&C Server ها و حساب های کاربری آسیب دیده را دارد.
در شرایطی که تیم های IR یا همان Incident Response از Cynet 360 استفاده میکنند میتوانند در کمتر از یک ساعت به بررسی و رصد محیط خود بپردازند و برای جبران حملات فقط درحد یک کلیک زمان بر خواهد بود.
برای استفاده از Cynet 360 به صورت رایگان شما ابتدا باید از Partner های Cynet شوید و علاوه بر این موضوع شرکت Cynet تیم های 24 ساعته و 7 ساعته را نیز برای پاسخگویی به حوادث و سازمان های مورد حمله قرار گرفته نیز در اختیار سازمان ها قرار میدهد.
AlienVault OSSIM
AlienVault OSSIM درواقع یک SIEM متن باز و پرکاربرد میباشد که به تحليلگران این امکان را میدهد دید بسیار خوبی را بر روی سیستم ها و فرآيند های آنها داشته باشند. این ابزار با ارائه گزارشات مختلف و اطلاعات سایر ابزارهای امنیتی میتواند این فرآيند را برای ما به انجام برساند.
Volatility Memory Forensic Tools
در واقع Volatility یک ابزار متن باز و رایگان برای انجام فرآيند های جرم شناسي دیجیتال و کالبدشکافی بستر Memory میباشد که جزوه بهترین ابزارهای این حوزه شناخته میشود.
برای تسلط و آشنایی بر Volatility به این ویدیو مراجعه کنید: دوره SANS SEC 504 قسمت 8 : آموزش Memory Forensics
برای تسلط از پایه تا پیشرفته بر روی حوزه جرم شناسي دیجیتال و پزشکی قانونی دیجیتال به این دوره مراجعه کنید: کاملترین دوره آموزش کشف جرایم رایانه ای
SANS SIFT Workstation
درواقع SIFT یک سیستم عامل ارائه شده توسط موسسه SANS میباشد که عمده فعالیت و کارای آن بر روی حوزه Forensic است و به واسطه آن ما توانایی این را داریم که از طیف گسترده ایی از ابزار های حوزه Forensic استفاده کنیم
این سیستم عامل رایگان است و برپایه Ubuntu تولید شده است و ما به راحتی میتوانیم آن را به عنوان یک VMware Appliance دانلود و اجرا سازی کنیم
Cyphon
Cyphon ابزارهای را برای جمع آوری، پردازش و آزمایش حوادث در اختیار تحلیلگران قرار میدهد که داده هارا از منابع های مختلفی از جمله Log ها و API ها و ایمیل ها جمع آوری میکنند و تحلیل آنهارا به شکل ساده تری تبدیل میکنند.