عملکرد پس از تشخیص نفوذ به سرور (لبه اینترنت)

عملکرد پس از تشخیص نفوذ به سرور (لبه اینترنت)

عملکرد پس از تشخیص نفوذ به سرور – اقدامات پیشگیرانه و بازدارنده پیش از نفوذ و دسترسی غیرمجاز – تشخیص حمله در حال اجرا و اقدامات دفاعی – تشخیص نفوذ…
عملکرد پس از تشخیص نفوذ به سرور

– اقدامات پیشگیرانه و بازدارنده پیش از نفوذ و دسترسی غیرمجاز

– تشخیص حمله در حال اجرا و اقدامات دفاعی

– تشخیص نفوذ و اقدامات پس از آن

پس از تشخیص نفوذ

  • – اولین قدم ها چیست؟
  • – زمانی که به سرور دسترسی پیدا می کنیم آیا می بایست سرور را قطع کرد؟
  • – شواهد و مدارک باید حفظ شود؟
  • – اقدامات ابتدایی دیگر چیست؟
  • – چگونه سروریس ها را دوباره آنلاین کنیم؟
  • – چگونه از از بروز دوباره همین اتفاق را بگیریم؟
  • – چه درس هایی باید از این حادثه گرفت

پس از تشخیص نفوذ

آرامش خود را حفظ کنید

هیچ راهکار سریعی برای برگرداندن سریع سیستم بجزء بازیابی سیستم از یک Backup که قبل از نفوذ اتفاق افتاده وجود ندارد و این مسئله وجود ندارد و این حداقل دو مشکل دارد:

1- شناسایی زمان نفوذ بسیار مشکل است.

2- بازیابی سیستم به شما در بستن نقطه ضعف امنیتی که نفوذگر از آن استفاده کرده و یا عواقب از دست دادن اطلاعاتکمکی نمی کند

ابتدا متوجه باشید که نفوذ انجام گرفته است. وقت برای رد این موضوع نیست، باید آنچه اتفاق افتاده را قبول و واقگرایانه با موضوع برخورد کرد و قدمهایی برای مدیریت این اتفاق گرفت.

بعضی اقدامات خوشایند نیستند و بعضی از این اقدامات ممکن است نادیده گرفته شود ولی می تواند عواقب خود را داشته باشد.

جلوی مشکلات را قبل از بدتر شدن بگیرید.

پس از تشخیص نفوذ

1-اولین اقدام قطع کردن سیستم نفوذ شده از اینترنت است. قطع کردن سرور ممکن است عواقبی داشته باشد اما متصل ماندن اتصال به اینترنت فقط به نفوذگر اجازه می دهد به کارهایش ادامه دهد. به عبارتی شخصی را مامور کنید با دسترسی فیزیکی به سرور کابل های شبکه آن را جدا کند.

2- پسورد تمامی کاربران برای کلیه سیستم هایی که در شبکه ی سرور نفوذ شده قرار دارد میبایست تغییر کند. دقت شود: تمامی یوزر ها ، تمامی سیستم ها

3- سیستم های دیگر را چک کنید.به سیستم هایی که بروی لبه اینترنت شما هستند و یا اطلاعات حساس و مالی در آنها وجود دارد توجه خاص شود.

4- اگر سیستم نفوذ شده حاوی اطلاعات شخصی کسی می باشد. به سرعت به آن فرد اطلاع دهید.این مشخص است که این اقدام سخت به نظر می رسد. بسیاری از شرکت ها این اقدام را انجام نمی دهند ولی طبق قانون حفظ حریم خصوصی این اقدام ضروری است.

پس از تشخیص نفوذ

مشکل را به صورت کامل متوجه شوید.

سرور هک شده را مورد آزمایش قرار دهید تا متوجه شوید چگونه حملات منجر به نفوذ شده است. تمام تلاش خود را برای مشخص کردن راه نفوذ بکار بگیرید تا بتوانید تصمیم بگیرید چگونه مشکل سیستم را برطرف کنید و سیستم را برای آینده امن کنید.

سیستم های نفوذ شده را دوباره مورد آزمایش قرار دهید.این بار برای اینکه متوجه شوید به چه سیستم های دیگری نفوذ شده است. مراقب باشید که هر سیستم نفوذ شده می تواند منبع خطرناکتری برای نفوذ به سیستم دیگری در آن شبکه باشد.

مطمئن شوید راههای نفوذ به صورت کامل شناسایی شود تا به صورت جامع رفع عیب شود.

برای مثال وقتی نفوذگر با استفاده از تکنیک SQL injection به سرور نفوذ کرده باشد، نه تنها می بایست آن خطی از کد که باعث نفوذ شده اطلاح شود بلکه می بایست تمام کد به صورت دقیق بررسی شود تا اگر جایی دیگر همین اشتباه تکرار نشده باشد.

– توجه داشته باشید یک تفوذ موفق می تواند نتیجه بکارگیری چند تکنیک به صورت همزمان ودر کنار هم باشد. معمولا حملات نه فقط با یافتن یک باگ مهم بلکه با سوء استفاده از نکات امنیتی و قرار گرفتن چند باگ کم اهمیت در کنار هم صورت می گیرند. برای مثال یک نفوذگر با استفاده از حملات SQL injectionو با ارسال دستورات به عنوان مدیر به نقاط دیگری از شبکه دسترسی پیدا می کند.

– در چنین شرایطی شما دیگر کنترلی روی سیستم ندارید. تنها راه کاملا مطمئن برای کنترل دوباره سیستم راه اندازی دوباره سیستم از ابتدا می باشد. با اینکه پیدا کردن ضعف امنیتی و برطرف کردن آن ارزشمند است ولی شما نمی توانید مطمئن باشید که نفوذگر پس از دسترسی به سیستم شما چه عملیاتی انجام داده است.

– در بعضی مواقع خود نفوذگر ضعف امنیتی را برطرف می کند. تا جلوی نفوذگر های دیگر را بگیرد و سیستم را به طور اختصاصی در اختیار خود بگیرد! مطمئن شوید راههای نفوذ به صورت کامل شناسایی شود تا رفع عیببه صورت جامع انجام شود.

– یک برنامه برای بازیابی و راه اندازی آنلاین سرور خود تنظیم کنید و به همان عمل کنید.

– هیچکس مایل به آفلاین بودن بیش از زمان لازم نیست. اگر سرویس روزمره ای بروی ان سرور باشد خود به خود فشار بیشتری برای آنلاین کردن سرور وجود دارد. حتی اگر تنها چیزی که مطرح باشد وجه سازمان یا شرکت باشد باز هم فشارزیادی وجود خواهد داشت.

– با همه این اوصاف، برای آنلاین شدن عجله زیادی نداشته باشید، در عوض به سرعت به دنبال این باشید که مشکل از کجا ناشی شده و به دنبالبرطرف کردن آن باشید قبل از اینکه سرور آنلاین شود در غیر اینصورت شما به احتمال قوی در دسترس نفوذگر خواهید بود.

– با فرض بر اینکه شما همه نکات و آسیب پذیری هاییرا که به هک شدن موفق شما ختم شده است یافته اید:

– وسوسه نشوید که سرور را بدون بازیابی اطلاعات دوباره آنلاین کنید. اینکه شما یک سیستم را از اول راه اندازی کنید بسیار سریعتر از بازرسی دقیق هر گوشه تا اطمینان از عدم آلودگی سیستم است.

– مراقب استفاده از اطلاعاتی که در زمان نفوذ بروی سیستم بوده است باشید. این بدین معنی نیست که از این اطلاعات استفاده نشود ولی عواقب استفاده از اطلاعاتی که صحت آنها تضمین شده نیست را در نظر بگیرید بخصوص اگر این اطلاعات مربوط به شما نیست.

– سیستم را به دقت مانیتور کنید.و این مانیتورینگ را به صورت دوره ای انجام دهید.نفوذگر قطعا دوباره برمی گردد. اگر نفوذگر را در حال نفوذ ردیابی کنید سریعا می توانید متوجه شوید که راه های نفوذ گرفته شده است. علاوه بر آن اگر راهی خودشان برای دسترسی به سیستم راه اندازی کرده اند قابل شناسایی است. این اطلاعات می تواند برای پیگری قضایی موضوع به شما کمک کند.

– با فرض بر اینکه شما همه نکات و آسیب پذیری هاییرا که به هک شدن موفق شما ختم شده است یافته اید:

– وسوسه نشوید که سرور را بدون بازیابی اطلاعات دوباره آنلاین کنید. اینکه شما یک سیستم را از اول راه اندازی کنید بسیار سریعتر از بازرسی دقیق هر گوشه تا اطمینان از عدم آلودگی سیستم است.

– مراقب استفاده از اطلاعاتی که در زمان نفوذ بروی سیستم بوده است باشید. این بدین معنی نیست که از این اطلاعات استفاده نشود ولی عواقب استفاده از اطلاعاتی که صحت آنها تضمین شده نیست را در نظر بگیرید بخصوص اگر این اطلاعات مربوط به شما نیست.

– سیستم را به دقت مانیتور کنیدو این مانیتورینگ را به صورت دوره ای انجام دهید.نفوذگر قطعا برای نفوذ دوباره تلاش می کند . اگر نفوذگر را در حال نفوذ ردیابی کنید سریعا می توانید متوجه شوید که راه های نفوذ گرفته شده است. علاوه بر آن اگر نفوذگر راهی برای دسترسی به سیستم راه اندازی کرده، این راهقابل شناسایی است.

!!!   این اطلاعات می تواند برای پیگری قضایی موضوع به شما کمک کند   !!!

کاهش ریسک در آینده

– امنیت پروسه ایست که در چرخه طراحی، اجرا و نگهداری سیستم هایی که در لبه خارجی شبکه هستند می بایست اعمال شود نه پروسه ای که بعد از انجام کار بخواهد اعمال شود. برای امن بودن برنامه و یا سرویس امنیت می بایست در ابتدای پروژه در نظر گرفته شود.

– شما نمی توانید رسیک را کاملا از بین ببرید. به این سمت و سو نباید بروید. شما باید آگاه باشید که کدام ریسک امنیتی متوجه شما است و به گونه ای مدیریت کنید که هم احتمال و اثرات ریسک کاهش پیدا کند.

چگونه احتمال موفقیت حملات را کاهش دهیم

– آیا نقطه ضعف امنیتی که نفوذگر از آن استفاده کرده است از باگ های عمومی است که برای آن پچ امنیتی موجود است؟ اگر اینگونه باشد شما می بایست رویکرد خود در رابطه با پچ کردن سیستم های موجود بر لبه شبکه را تغییر دهید.

– آیا نقطه ضعف امنیتی در کدیقرار دارد که شما نوشته اید یا برای شما نوشته اند؟ اگر اینگونه است راهکار مناسب تری در تایید کردن امنیت این برنامه یا سرویس ها که به صورت آنلاین قرار می گیرند اتخاذ کنید.

– آیا نقطه ضعف کشف شده مربوط به چگونگی استقرار سرور و یا برنامه است؟ اگر اینگونه است از راهکارهای اتوماتیک استفاده کنید. استفاده از ابزار های اتوماتیک در کمتر کردن ریسک آسیب پذیری های بروز کمک می کند.

– آیا می توانستید نفوذ را زودتر تشخیص دهید؟ قطعا، مانیتورینگ مداوم و یا یک سیستم On Call برای مدیران ارزش هزینه کردن را دارد. اگر این توانایی وجود ندارد از شرکت های فعال در امنیت شبکه بخواهید این مانیتورینگ را انجام دهند.

– از ابزارهای اسکنر امنیتی برای اسکن کردن شبکه و سرورها استفاده کنید. از این ابزارها به صورت حرفه ای استفاده کنید برای یادگیری استفاده از این ابزار ها زمان بگذارید. و چند ابزار که مناسب شبکه شما است استفاده کنید

– از مشاورین امنیت شبکه برای بررسی سرور های خود به صورت دوره ای استفاده کنید.

چگونه از عواقب حمله موفق بکاهیم؟

– از به کار بردن سرویس غیر ضروری بر روی لبه اینترنت شبکه خود جلوگیری کنید. با بکار بردن فایروال دوم شبکه داخلی خود را از شبکه متصل به اینترنت جدا کنید.

– از آرشیو کردن اطلاعات که نیاز به آن نیست در سرور هایی که به اینترنتمتصل است خودداری کنید.

– برای دسترسی ها از مجوز دسترسی حداقل ((least access استفاده کنید.

– سناریوی بازیابی از بحران را از قبل آماده داشته باشید.

دسته: آموزش امنیت سایبری
سرور

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up