فرآیند رسیدگی به حوادث امنیت سایبری
شناسایی
کارمندان ما نقش کلیدی در شناسایی تهدیدات امنیتی دارند و میتوانند به کشف و تشخیص حوادث سایبری کمک کنند. هر عضو سازمان میداند که چگونه تیم امنیت را در صورت مشاهده رفتار غیرعادی در دستگاههای خود مطلع کند.
ما همچنین یک برنامه Bug Bounty داریم که کارکنان را برای شناسایی و گزارش آسیبپذیریهای امنیتی تشویق و پاداش میدهد. گزارش حوادث امنیتی از طریق:
- پرتال سلفسرویس
- شماره تلفن رایگان
- اپلیکیشن Bug Bounty
- رسانههای اجتماعی
- ایمیل
ارزیابی
پس از وقوع یک هشدار امنیتی، تیم مدیریت حوادث (SIRT) شامل مدیر حادثه، تیم امنیتی فناوری اطلاعات و تیم حفاظت از دادهها (DPO) جلسهای تشکیل داده و کانالی برای پیگیری ایجاد میکنند. این تیم بررسی میکند:
- چه کسی و چه زمانی حادثه را گزارش داده است؟
- محل وقوع حادثه کجاست؟
- تأثیر حادثه بر عملیات کسبوکار چیست؟
- آیا اطلاعات حساس به خطر افتاده است؟
- آیا حمله موفقیتآمیز بوده است؟
- چه آسیبپذیریهایی شناسایی شده است؟
- بهترین روش واکنش به حمله چیست؟
مهار
حوادث امنیتی مانند آتشسوزی در جنگل هستند و باید سریع مهار شوند. تیم امنیتی:
- دستگاههای آلوده را قرنطینه کرده و بهروزرسانیهای امنیتی را اعمال میکند.
- ویژگیهای آسیبپذیر را غیرفعال کرده و قوانین امنیتی جدید را اعمال میکند.
- IPهای مهاجم را مسدود میکند.
- ارتباطات لازم برای کنترل بحران را آغاز میکند.
ارتباطات خارجی
مدیریت صحیح ارتباطات در زمان حادثه حیاتی است. بسته به نوع حادثه، اطلاعات باید به مشتریان، رسانهها یا پلیس گزارش شود.
- مشتریان: جزئیات حادثه و اقدامات انجامشده برای رفع مشکل اطلاعرسانی میشود.
- رسانهها: در صورت لزوم، سخنگوی شرکت بیانیهای صادر میکند.
- پلیس: در موارد تخلف یا سرقت داده، حادثه به مراجع قانونی گزارش میشود.
تفویض وظایف
پس از کنترل حادثه، تیم SIRT مسئولیت رفع آسیبپذیریها را به مهندسان نرمافزار واگذار میکند تا کدهای برنامه را اصلاح کرده و مشکل را برطرف کنند.
حل مسئله
در این مرحله، اقدامات دائمی برای حذف تهدید انجام میشود. تیم امنیتی بررسی میکند:
- آیا تمام سیستمهای آلوده پاکسازی شدهاند؟
- آیا آسیبپذیریهای شناختهشده برطرف شدهاند؟
- آیا نقاط ورود مجدد مهاجمان مسدود شدهاند؟
بازبینی
پس از رفع مشکل، تیمهای امنیتی و مهندسی بررسی نهایی را انجام داده و تأیید میکنند که حادثه بهطور کامل حل شده و از تکرار آن جلوگیری شده است.
بسته شدن حادثه
مدیر حادثه، پس از اطمینان از حل کامل مشکل، حادثه را میبندد. این مرحله شامل اطلاعرسانی به ذینفعان، مشتریان، رسانهها و مراجع قانونی است.
بهترین شیوهها برای مدیریت حوادث امنیتی
✅ فرآیند مشخصی برای رسیدگی به حوادث داشته باشید
✅ نقشها و مسئولیتها را بهوضوح تعیین کنید
✅ از دادههای سازمانی خود محافظت کنید
✅ برنامه ارتباطی مشخصی داشته باشید
✅ شواهد را حفظ کنید تا در صورت نیاز، قانونی قابل استناد باشند
✅ در زمان بحران آرامش خود را حفظ کنید
✅ تحلیل علت اصلی (RCA) را انجام دهید تا از تکرار حادثه جلوگیری شود
