شما هک شده‌اید، حالا باید چه کار کنید؟

0
65

مقاله‌ها و مطالب بسیاری در ارتباط با مبحث امنیت و به‌ویژه هک تاکنون منتشر شده‌اند. حتی هم‌اکنون که در حال خواندن این مطلب هستید، شرکت‌های گوناگونی در نقاط مختلف جهان در معرض تهدیدات هکری قرار دارند یا سیستم‌های آن‌ها قربانی حملات هکری شده‌اند. اما موضوع امنیت همیشه در ارتباط با حملات انجام گرفته یا راه‌کارهای دفاعی نیست. بعد از آن‌که یک حمله هکری با موفقیت به ‌انجام رسید، چه کاری باید انجام دهیم؟ آیا تاکنون به این موضوع اندیشیده‌اید که سازمان‌های بزرگ چگونه بعد از یک حمله هکری دوباره به ‌حیات خود ادامه می‌دهند؟ چگونه این شرکت‌ها دوباره اعتماد از دست رفته مشتریان را به ‌دست می‌آورند؟ حتی پرسش بدیهی‌تری نیز وجود دارد. چرا یک شرکت آسیب‌دیده از یک نفوذ هکری به‌سرعت آماده سرویس‌دهی به مشتریان خود نمی‌شود؟ این‌ها پرسش‌های مهمی هستند که در این مقاله قصد داریم به آن‌ها پاسخ دهیم.

یک شرکت بعد از آن‌که مورد حمله هکری قرار گرفت، چه کاری باید انجام دهد؟ این پرسشی است که شرکت‌های بزرگی همچون سونی، تارگت و هوم دپت و دیگران در سال‌های گذشته آن ‌را مطرح کرده‌اند و احتمالاً شرکت‌های دیگری نیز همان را در ماه‌های آینده خواهند پرسید. هک شدن به هیچ عنوان موضوع جالبی نیست، به‌ویژه زمانی‌ که نتیجه آن سرقت یا افشای داده‌های شخصی باشد. چگونه یک شرکت بزرگ به یک حمله هکری که در درازمدت می‌تواند همه چیز را تغییر دهد، واکنش نشان می‌دهد؟ واکنشی سریع و مؤثر می‌تواند آسیب را به‌ حداقل برساند و نشانه‌ای از علائم مثبت را به مشتریان، شرکای تجاری و در مقیاس وسیع‌تر به جامعه القا کند و تا حدودی اعتبار از دست رفته را بازگرداند. یک واکنش ضعیف یا سهل‌انگارانه موقعیت‌های به مراتب بدتری را به‌ وجود می‌آورد و ارزش و اعتبار یک شرکت را برای سال‌های متمادی مخدوش می‌کند. در این بخش، به ‌بیان شش نکته طلایی می‌پردازیم که یک شرکت بعد از آن‌که مورد حمله هکری قرار گرفت، بهتر است به آن عمل کند. 

۱- حفظ خونسردی
خونسردی خود را حفظ و یک برنامه واکنش مناسب تهیه کنید. نخستین نکته‌ای که بعد از حمله هکری باید آن ‌را پیاده‌سازی کنید، اجرای یک طرح واکنش مناسب به اتفاق رخ داده است. با فرض این‌که شما یک نفر هستید، اگر نه به‌سرعت دیگر اعضای گروه را گرد هم آورید. طرح واکنش لازم است در بر گیرنده چند عامل باشد:
ـ چه کسی مسئولیت پاسخ‌گویی مؤثر به حمله را بر عهده‌ دارد؟
ـ چه کسی درگیر مشکل به‌ وجود آمده است؟
ـ چه اقداماتی باید انجام شود و این اقدامات توسط چه گروه‌هایی صورت می‌پذیرد؟
ـ کدام ابزارهای فناوری برای شناسایی به‌موقع و واکنش سریع مورد نیاز است؟
اریک کول، عضو هیئت علمی و مدیر برنامه دفاع سایبری در مؤسسه SANS، می‌گوید: «ترس و اضطراب را به‌آسانی در هر شرکتی می‌توان اعمال کرد و در ادامه به‌آسانی به کنترل نقاط آسیب‌دیده پرداخت. اغلب اوقات نبود یک برنامه مناسب باعث می‌شود تا شواهد موجود از بین بروند که همین موضوع اوضاع را وخیم‌تر می‌کند.»
طرحی که آماده می‌شود باید شامل تعیین شدت نقص‌، شناسایی داده‌‌هایی که به خطر افتاده‌اند و ارزیابی خسارت‌های به ‌وجود آمده باشد. لازم است با دپارتمان حقوقی درباره افشای اتفاق‌های رخ داده و اطلاع‌سانی به مقامات مشورت شود. همچنین، لازم است به مقامات دولتی اطلاع داده شود که چگونه حمله انجام شده و کل سازمان را تحت تأثیر قرار داده است. زمانی ‌که یک طرح مناسب آماده شد، تمرکز باید روی پیاده‌سازی قرار گیرد. در مدت زمانی که طرح ساخته شده باید پیاده‌سازی ‌شود، سازمان باید همواره به چند موضوع کلیدی توجه کند و تمرکز خود را روی این موضوعات قرار دهد:
ـ قبل از آن‌که هر گونه طرحی آغاز به ‌کار کند، ابتدا اطمینان حاصل شود هکرها برای مدت زمان طولانی درون شبکه قرار نداشته باشند. هکرهایی که به یک سازمان حمله می‌کنند، ممکن است بسیار تهاجمی باشند و اگر آگاه شوند شما سعی می‌کنید، سیستم خود را پاک‌سازی کنید، اگر هنوز به شبکه دسترسی داشته با‌شند، آسیب‌های قابل توجهی را به سیستم وارد می‌کنند. به‌طور معمول، سازمان‌ها بهتر است به ایزوله کردن یا کنترل جریان ترافیک در شبکه بپردازند. این تکنیک باعث به‌ حداقل رساندن هر گونه آسیب‌پذیری جدید می‌شود.
ـ ریشه‌کن کردن عامل وقوع حمله بسیار حایز اهمیت است، در حالی ‌که در مدت زمان وقوع یک حمله هکری، ترمیم مشکل برای پیشگیری از بروز حمله مجدد گزینه‌ ایده‌آلی نیست، اما باید انجام شود. سازمان‌ها در اغلب موارد در مدت زمان یک حمله سعی می‌کنند با شتاب و عجله و در سریع‌ترین زمان ممکن به حالت قبل بازگردند، اما به‌طور دقیق همه نقاط در معرض تهاجم را که هکرها از آن‌ها برای نفوذ استفاده کرده‌اند، ترمیم نکرده‌اند. اگر هکری دری را شکسته باشد و آن در ترمیم نشده‌ باشد، آن‌ها بار دوم نیز این ‌کار را انجام خواهند داد. 
ـ سومین عامل کلیدی که باید مورد توجه قرار گیرد، اجرای ریکاوری است. زمانی‌ که از به‌ سرقت رفتن داده‌ها اطلاع یافتید و سیستم را ترمیم کردید، اکنون باید روی احیای داده‌ها و بازگرداندن سیستم و اجرای آن متمرکز شوید. همواره به این نکته توجه داشته باشید، قبل از آن‌که سیستم را مجدد به‌صورت آنلاین درآورید، ابتدا آن‌ را به ‌دقت بررسی کنید. بسیار اتفاق افتاده است که در مدت زمان ریکاوری، یک سیستم به‌طور تصادفی آلوده شود. هنگامی که سیستم مورد تأیید نهایی قرار گرفت، آن ‌را مورد بازرسی و نظارت قرار دهید تا مطمئن شوید هکرها مجدد باز نمی‌گردند. تأکید می‌شود نظارت مستمر و فعالانه مورد نیاز نیست، اما به‌طور نامحسوس بر فعالیت‌ها نظارت داشته باشید و اطمینان حاصل کنید آن‌ها نمی‌توانند چیزی را شکسته و دوباره سیستم را آلوده کنند.

۲- گروه پاسخ‌دهی را آماده کنید
تیم فرانس، مدیر بخش بیمه سایبری در شرکت تراولز، می‌گوید: «زمانی‌ که یک نقص امنیتی دسترسی به داده‌ها را امکان‌‌پذیر می‌سازد، گروه واکنش به حادثه باید آن را مورد ارزیابی قرار دهند. این سیستم باید متشکل از یک کارشناس فناوری اطلاعات، مدیر تجاری، منابع انسانی، روابط عمومی‌، حقوقی و عملیاتی باشد. شما ممکن است در نظر داشته باشید یک کارشناس شناسایی نقص‌ها، یک وکیل مجرب در ارتباط با مباحث امنیت و رعایت حریم خصوصی را برای دفاع از خود و تفسیر مقررات و قوانین مختلف که ممکن است پس از یک حمله هکری به‌ وجود ‌آید، آماده کنید.»

۳- همکاری با سازندگان و کارشناسان امنیتی در صورت لزوم
در بیش‌تر زمان‌ها شرکت‌ها نیاز دارند از سازندگان اصلی و شرکت‌های امنیتی مشاور برای شناسایی علت نقص و اطمینان یافتن از این‌که احتمال وقوع حملات دیگر متوقف شده است، کمک بگیرند. این مشاوره برای پیشگیری از آسیب‌های جدیدی است که ممکن است به سازمان وارد شود. در اوایل سال ۲۰۱۴، زیرساخت‌های ماشین مجازی مؤسسه فناوری ایلی‌نوی با هدف دسترسی و بهره‌برداری از دانشگاه‌ها مورد حمله سرویس DoS قرار گرفت. لوییس مک هوگ، مدیر سیستم‌های کامپیوتری و استاد فناوری اطلاعات و مدیر مؤسسه ایلی‌نوی، در رابطه با این حمله گفت: «ما کشف کردیم یک آسیب‌پذیری وصله نشده در پلتفرم‌های VMWare که از آن‌ها استفاده می‌کنیم، وجود دارد. این کشف توسط گروه تحقیقاتی ما انجام شد که به‌طور مستقیم با گروه پشتیبانی VMWare در ارتباط بود. رایزنی‌های گسترده نشان داد یک حمله انعکاسی ساده که از پروتکل NTP برای تقویت حمله DoS استفاده کرده بود، روی سیستم‌های ما به‌ وقوع پیوسته است. وصله ارائه شده در آن زمان مشکلی را حل نکرد؛ زیرا مؤسسه از بهترین الگوها و طرح‌های مورد نیاز در این باره استفاده نکرده بود. با توجه به توصیه‌های VMWare تغییراتی روی سرورها به ‌وجود آوردیم. همچنین، از وصله‌های سخت‌گیرانه‌تر برای پیشگیری از وقوع حملاتی که در آینده ممکن است رخ دهد، استفاده کردیم. مراحل سخت‌گیرانه‌تری را روی سرورها و در محیط کاری خود به ‌وجود آوردیم. سرویس‌هایی که به آن‌ها نیاز نداشتیم را خاموش کردیم. چرخه به‌روزرسانی منظم از وصله‌های ارائه شده برای لینوکس و ویندوز را مورد استفاده قرار دادیم و شبکه خود را به یک دیوار آتش قدرتمند تجهیز کردیم.»

۴- برخورد مؤثر با مسائل حقوقی
وقتی یک حمله هکری رخ می‌دهد، مدیر امنیت، مدیر فناوی ‌اطلاعات و مدیران ارشد بهتر است با گروه‌های حقوقی بزرگ درباره پیامدهای بالقوه‌ای که از بابت این حمله به ‌وجود خواهد آمد گفت‌وگو کنند. وکلا درباره مسائل به‌ وجود آمده راه‌کارهایی را ارائه خواهند کرد، اما همچنان الزامات بالقوه‌ای در ارتباط با قرارداد‌های فروشندگان که شامل فرآیندهای مربوط به مبادلات تجاری است وجود دارد. لری کونین که بر کرسی امنیت داده‌ها و نقص‌های به‌ وجود آمده در شرکت‌ها در مؤسسه موریس و ماریت منینگ تکیه کرده است، در این رابطه می‌گوید: «اصلاح مشکل ممکن است کمی زمان‌بر باشد، به دلیل این‌که همیشه به‌درستی مشخص نیست چرا یک سازمان مورد حمله هکری قرار گرفته است. شرکت‌ها لازم است مراقب حفظ شواهد باشند.»
اسکات ورنیک، مدیر حریم خصوصی و امنیت اطلاعات در شرکت حقوقی فاکس روچیلد، می‌گوید: «باید همواره مراقب باشید تحقیقات باعث از بین رفتن شواهد نشوند. حفظ شواهد به این معنا نیست که شبیه‌سازی سرورها، لپ‌تاپ‌ها یا دسکتاپ‌ها را محدود کنید، بلکه می‌توانید تصویری از مستندات را تهیه کنید که مورد بررسی قرار گیرند. تصاویری که انعکاس‌دهنده مبدأ خود هستند.»

۵- مسائل مربوط به بیمه را با جدیت دنبال کنید
پس از اطلاع از وجود نقص مأمور بیمه را آگاه کنید و نماینده را در اسرع وقت در جریان اوضاع قرار دهید. باید اطمینان حاصل کنید کارمندان آی‌تی شما به‌ اندازه کافی حقایق و اسنادی را در ارتباط با این حادثه جمع‌آوری کرده باشند. فرانسیس در این رابطه می‌گوید: «فایل‌های ثبت گزارش امنیت شبکه در بررسی تاریخ حمله کمک‌کننده هستند. این فایل‌ها در شناسایی زمان و ماشین‌هایی که درگیر این حادثه بوده‌اند کمک می‌کنند. داده‌ها باید دسته‌بندی و مرتب شده باشند. این دسته‌بندی به درک اطلاعاتی کمک می‌کنند که در ارتباط با شناسایی اشخاص و اطلاعات مرتبط به آن‌ها همچون شماره تأمین اجتماعی یا سوابق پزشکی، اطلاعات مالی یا دیگر اطلاعات محرمانه به خطر افتاده هستند. این تکنیکی است که سازمان‌ها با استفاده از آن می‌توانند برای محافظت و ایمن‌سازی داده‌‌های ارزشمند مشتریان خود از آن کمک بگیرند.» مستندسازی زمان و مدت زمانی که در برخورد با هک انجام گرفته ‌همراه مستندسازی هزینه بازسازی از مهم‌ترین نکاتی است که سازمان‌ها باید آن‌ را در مستندات خود قید کنند. 

۶- خطوط ارتباطی را باز نگه دارید
مهم است کارمندان، مشتریان و شرکای تجاری و دیگر گرو‌ه‌های درگیر با حمله هکری به جدیدترین اطلاعات دسترسی داشته باشند و درباره آن‌چه با حمله هکری رخ داده و پاسخی که سازمان به آن داده است، اطلاع داشته باشند. سکوت می‌تواند به بی‌کفایتی، سردرگمی یا حتی استدلال‌های بدتری منجر شود. دارن هیز، استادیار سیستم‌های اطلاعاتی و مدیر سایبری دانشگاه سیدن برگ، می‌گوید: «شرکت‌هایی نظیر تارگت ممکن است هنوز اطمینان نداشته باشند چگونه سوابق بسیاری از مشتریان آن‌ها به سرقت رفت. بنابراین، اطلاع‌رسانی به همه مشتریان را ضروری ‌دانستند.» هرگز نباید به‌صورت محتاطانه و در قالب تخمین درباره تأثیر حملات اظهار نظر کرد. توسعه‌دهنده نرم‌افزار Evernate نمونه خوبی از شرکتی‌ است که نقص داشت، اما اطلاع‌رسانی درباره خطر به‌ وجود آمده را محتاطانه انجام داد و مردم را درباره این خطر آگاه ساخت. آن‌ها تمام کاربران خود را مجبور کردند گذرواژه‌های خود را مجدد تنظیم کنند. حتی کسانی که در معرض خطر قرار نداشتند. آن‌ها مشتریان را از طریق کانال‌های ارتباطی متعدد درباره آن‌چه به ‌سرقت رفته و نرفته است، آگاه ساختند. 
بهره‌گیری از ابزارهای تجزیه و تحلیل احساسی و دریافت واکنش مشتریان در قالب ضبط صدای آن‌ها از طریق رسانه‌های اجتماعی راه‌کاری بسیار مثبت است. هیز در این باره می‌گوید: «ما اغلب از تجزیه و تحلیل احساسی پیام‌ها در ارتباط با تبلیغات بهره می‌بریم، اما آن‌ها می‌توانند به‌طور مؤثر در کم کردن عواقب یک حمله هکری راه‌گشا باشند. شرکت‌ها نیاز دارند تا تأثیرات روانی حمله هکری را در کارکنان و مشتریان خود مورد بررسی قرار دهند، به‌ویژه اگر این حمله در بر گیرنده ایمیل یا اطلاعات شخصی کاربران باشد.» تام کینان، استادیار علوم کامپیوتر و عوامل محیطی در دانشگاه کلگری و نویسنده کتاب «تکنوکریپ»، در این باره می‌گوید: «اگر یک فرد غیرمجاز به شرکت ما نفوذ کند، احساس عمیقی از نقص فضای شخصی در ما به‌ وجود می‌آید. درست یا غلط بیش‌تر مردم تصور می‌کنند ایمیل‌ها خصوصی هستند، اما این‌ گونه نیست. شرکت‌ها بهتر است به ‌دنبال متخصصان حرفه‌ای مناسب در این زمینه باشند؛ کسانی که این توانایی را دارند تا مردم را در مواجهه با خبر افشای اطلاعات خصوصی آن‌ها به‌صورت عمومی دل‌داری دهند و کمک کنند.»

منبع: شبکه

افزودن دیدگاه