Cyber Security, جزوه آموزش امنیت سایبری

فصل ۴: عملیات امنیتی (Security Operations)

Posted on by SSO Plus
فصل ۴: عملیات امنیتی (Security Operations) جزوه آموزشی امنیت سایبری security+ تدوین و انتشار sso پلاس
30
آگوست

فصول جزوه آموزشی آمادگی آزمون +CompTIA Security

 

مطالعه فصل ۱: مفاهیم کلی امنیت (General Security Concepts)
مطالعه فصل ۲: تهدیدها، آسیب‌پذیری‌ها و مقابله (Threats, Vulnerabilities, and Mitigations)
مطالعه فصل ۳: معماری امنیتی (Security Architecture)
مطالعه فصل ۴: عملیات امنیتی (Security Operations)
مطالعه فصل ۵: مدیریت برنامه امنیتی و نظارت (Security Program Management and Oversight)

فصل ۴: عملیات امنیتی (Security Operations)

حوزه‌ی عملیات امنیتی بزرگ‌ترین بخش آزمون (حدود ۲۸٪) و شامل مباحثی پیرامون نظارت مداوم، واکنش به حوادث، مدیریت امنیت روزمره و ابزارهای عملیاتی می‌شود. در این فصل این موضوعات را بررسی می‌کنیم.

پایش امنیتی و مدیریت لاگ‌ها (Security Monitoring & Logging)

Visibility یا دید کافی بر رویدادهای شبکه و سیستم، اساس عملیات امنیتی موفق است. این دید از طریق جمع‌آوری، لاگبرداری و پایش لحظهای به‌دست می‌آید:

منابع لاگ (Logging Sources):

تقریبا هر مولفه‌ی IT می‌تواند رخدادهای خود را ثبت کند. از مهم‌ترین منابع: لاگهای سیستمعامل (مانند Windows Event Log یا syslog در لینوکس) که اتفاقات سیستمی و امنیتی را شامل می‌شود؛ لاگهای اپلیکیشنها (مثل لاگ وب‌سرور IIS/Apache که جزئیات درخواست‌های HTTP را ضبط می‌کند، یا لاگ کوئری‌های یک دیتابیس)؛ لاگهای امنیتی اختصاصی (خروجی‌های آنتی‌ویروس، IDS/IPS، فایروال که تصمیمات بلوکه/اجازه را نشان می‌دهد)؛ لاگهای احراز هویت (سرویس‌های LDAP/Radius/VPN که ورود و خروج کاربران را ثبت می‌کنند)؛ و در محیط‌های ابری لاگ فعالیتخدمات ابری (مثلاً در AWS CloudTrail که هر API call انجام‌شده توسط کاربران را ثبت می‌کند). یک مدیر امنیتی باید بداند هر رویداد مهم را در کدام لاگ می‌تواند بیابد. مثلا تلاش‌های لاگین ناموفق پی‌در‌پی در Windows در شاخه Security Events با ID مشخص ثبت می‌شود.

بهترین رویههای لاگبرداری:

صرف تولید لاگ کافی نیست؛ باید آن‌ها را به شکل متمرکز جمع‌آوری و نگهداری کرد. استفاده از یک سرور SIEM یا سرور مرکزی لاگ (مثلاً Splunk، Elastic Stack یا IBM QRadar) رایج است. مزیت این کار، محافظت از یکپارچگی لاگ‌ها (اگر مهاجمی سیستم قربانی را پاک‌سازی کند، کپی لاگ روی سرور امن دیگری موجود است) و امکان تحلیل هم‌بسته‌ی رویدادها است. از نکات مهم دیگر: زمانهمگامسازی (Time Synchronization) بین تمام سیستم‌ها (از طریق NTP) که ترتیب زمانی دقیق رخدادها را تضمین می‌کند؛ ذخیره و نگهداری لاگها برای مدت کافی (بنا به الزامات یا قوانین – مثلاً طبق PCI DSS باید لاگ‌های امنیتی حداقل ۳ ماه آنلاین و ۱ سال بایگانی شوند)؛ و محافظت از محرمانگی لاگها (زیرا ممکن است شامل اطلاعات حساس باشند). همچنین بسیاری سازمان‌ها هشکردن یا امضای دیجیتال لاگها را برای جلوگیری از دستکاری به‌کار می‌گیرند.

پایش بلادرنگ (Real-Time Monitoring): 

معمولاً توسط داشبوردها و آلارم‌های SIEM/SOC انجام می‌شود. برای مثال، می‌توان تنظیم کرد اگر تعداد معینی خطای لاگین برای یک کاربر در ۵ دقیقه رخ داد، هشدار «احتمال حمله Brute Force» ایجاد شود. یا اگر یک سرور معمولاً روزانه ۱۰۰ مگابایت ترافیک خروجی دارد ولی امروز ۱۰ گیگابایت ارسال کرده، آلارم نشت داده فعال شود. مدیریت رویداد (Event Management) یعنی تعریف این‌گونه سناریوها و پاسخ مناسب به هرکدام.

تشخیص نفوذ و پاسخ به رخداد (Detection & Incident Response)

عملیات امنیتی پس از جمع‌آوری اطلاعات، باید قابلیت تشخیص فعالیت‌های غیرعادی یا مخرب و سپس واکنش سریع را داشته باشد:

انواع تشخیصها:

تشخیص می‌تواند امضامحور (Signature-Based) باشد – یعنی الگوهای از پیش تعریف‌شده‌ی حملات شناخته‌شده را جستجو کند (مثلاً IDS شبکه رشته باینری بدافزار معروفی را در پکت‌ها شناسایی کند). یا رفتارمحور/ابتکاری (Behavioral/Heuristic) باشد – یعنی به جای تکیه بر الگوی ثابت، رفتار را نسبت به خط مبنای عادی می‌سنجد و موارد انحراف قابل توجه را آلارم می‌دهد. مثلاً یک سیستم UEBA (تحلیل رفتار کاربران و موجودیت‌ها) اگر ببیند کاربری که همیشه ۹ صبح تا ۵ عصر کار می‌کرده، نیمه‌شب ۱۰۰۰ فایل را از سرور کپی کرده، هشدار صادر می‌کند. تشخیص مبتنی بر هوش مصنوعی/یادگیری ماشین نیز شکل پیشرفته‌ای از رفتارمحور است که الگوهای پیچیده را می‌آموزد و موارد غیرعادی را با درصد اطمینان گزارش می‌کند. در آزمون ممکن است از شما بپرسند تفاوت Signature و Anomaly-Based IDS چیست یا کدام‌یک می‌تواند حملات جدید را (که امضا ندارند) بهتر شناسایی کند.

ابزارهای تشخیص و پاسخ:

همان‌طور که قبلاً اشاره شد، SIEMها هسته‌ی مرکزی تشخیص هستند. اما ابزارهای دیگری نیز نقش دارند: EDR (Endpoint Detection & Response) بر روی میزبان‌ها (سرورها/کلاینت‌ها) رفتار پردازه‌ها را پایش کرده و علاوه بر شناسایی بدافزار یا رفتار مشکوک، توانایی قرنطینه یا توقف فعالیت مخرب روی سیستم را دارد. EDRهای پیشرفته می‌توانند در کل شبکه توزیع شوند و با هم رخدادها را همگرا کنند (این معماری را XDR می‌نامند – Extended Detection & Response – که لاگ‌های شبکه، کلود و اندپوینت را یکجا تحلیل می‌کند). ابزار دیگر، SOAR (Security Orchestration, Automation, and Response) است که سناریوهای واکنش خودکار را اجرا می‌کند؛ مثلاً به محض شناسایی آلارم «باج‌افزار در یک PC»، یک Playbook اجرا شده و کارهای خودکاری مانند جداسازی سیستم از شبکه، ایجاد تیکت برای تیم امنیت، جمع‌آوری حافظه RAM برای شواهد جرم‌شناسی و حتی آغاز فرآیند پاکسازی انجام می‌شود. این سرعت واکنش را بالاتر می‌برد و خطای انسانی را کمتر می‌کند.

فرآیند واکنش به حادثه (Incident Response Process):

معمولاً به شش مرحلهی کلاسیک تقسیم می‌شود:

1. آمادگی (Preparation):

قبل از وقوع هر حادثه باید تیم و رویه‌های IR آماده باشند – شامل آموزش تیم، تهیه‌ی طرح واکنش به حادثه (IR Plan)، فراهم کردن ابزارهای لازم (مثلاً دیسک تمیز برای جمع‌آوری شواهد، لیست افراد تماس‌ اضطراری، محیط ایزوله برای تحلیل بدافزار).

2. تشخیص و شناسایی (Identification):

تشخیص این‌که حادثه‌ای رخ داده یا در حال رخ دادن است. در این مرحله با استفاده از لاگ‌ها، IDS، گزارش کاربران یا هر منبع دیگر متوجه می‌شویم یک رویداد غیرعادی امنیتی اتفاق افتاده. باید نوع حادثه (بدافزار، نفوذ انسانی، نشت داده…) و گستره‌ی اثر آن برآورد شود.

3. مهار (Containment):

اقدامات فوری برای جلوگیری از گسترش یا ادامه‌ی آسیب. بسته به حادثه، ممکن است شامل جدا کردن سیستم‌های آلوده از شبکه، تغییر کلمه‌عبورهای درزکرده، بستن پورت/سرویس آسیب‌دیده، یا حتی خاموش کردن بخش‌هایی از شبکه باشد. تصمیمات مهار باید با دقت باشد – مثلا خاموش کردن عجولانه‌ی سیستم ممکن است شواهد مفیدی را از بین ببرد، لذا گاهی جدا کردن کابل شبکه یا پورت سوییچ راه مهار بهتری است.

4. پاکسازی (Eradication):

در این مرحله، بدافزار یا عامل مخرب از سیستم‌ها پاکسازی می‌شود (مثل حذف بدافزار، پاک کردن بک‌دورها و patch کردن آسیب‌پذیری‌ها).

5. بازیابی (Recovery):

در مرحله بازیابی، سیستم‌ها به حالت عملیاتی برمی‌گردند – مانند بازیابی فایل‌های خراب‌شده از بک‌آپ Backup)) ، اطمینان از سالم بودن سیستم قبل از reconnect به شبکه، و نظارت بیشتر در مدت کوتاه پس از حادثه برای اطمینان از عدم وقوع مجدد.

6. مستندسازی و درسآموختهها (Lessons Learned):

پس از خاتمه‌ی فنی حادثه، تیم IR باید گزارشی کامل تهیه کند که چه اتفاقی افتاد، چگونه پاسخ داده شد، چه نقاط قوت/ضعفی مشاهده شد و چگونه می‌توان در آینده پیشگیری یا بهبود انجام داد. این مرحله اغلب در عمل نادیده گرفته می‌شود ولی در آزمون و دنیای واقعی بسیار مهم است؛ چرا که موجب بهبود روندها و جلوگیری از تکرار اشتباهات می‌شود. مثلا اگر حادثه ناشی از غفلت در patch کردن بود، فرآیند مدیریت پچ اصلاح گردد.

توجه کنید که ممکن است برخی منابع مرحله‌ی Eradication و Recovery را جدا کرده یا ادغام کنند، یا یک مرحله‌ی Post-Incident مجزا برای Lessons Learned بگذارند. اما در آزمون Security+ معمولاً همین ترتیب شش‌مرحله‌ای مورد انتظار است. دانستن ترتیب مراحل نیز حیاتی است (سوالات مرتب‌سازی). مثلاً ابتدا مهار کنیم یا ابتدا شناسایی؟ قطعاً شناسایی باید قبل از مهار باشد و بدون تشخیص دقیق نباید دست به اقدامات عجولانه زد.

جرمشناسی دیجیتال (Digital Forensics):

بخشی از عملیات امنیت پس از وقوع حوادث، مخصوصاً در مواردی که نیاز به پیگیری حقوقی/قضایی دارد، انجام تحلیل‌های جرم‌یابی دیجیتال است. در آزمون لازم است با اصول پایه‌ی Forensics آشنا باشید: حفظ صحنه (Preservation) یعنی پس از حادثه، ابتدا سیستم‌ها را در حالت خاموش یا پایدار نگه دارید تا شواهد از بین نرود؛ تهیهی Image از دیسک‌ها و حافظه (RAM) برای تحلیل – همیشه از اصل داده‌ها یک کپی گرفته می‌شود و روی کپی کار می‌شود؛ زنجیرهی حفاظت از مدرک (Chain of Custody) که لیست می‌کند چه کسی، چه زمانی، چه مدرکی را دست زده تا در دادگاه قابل استناد باشد. همچنین آشنایی با مفهوم Order of Volatility (ترتیب اولویت جمع‌آوری شواهد از فرّارترین به پایدارترین: ابتدا ثبت حافظه‌ی RAM و ترافیک شبکه که زود از دست می‌روند، بعد snapshot ماشین مجازی، سپس اطلاعات دیسک، و نهایتاً backupهای آفلاین) مورد نظر آزمون است. در نهایت ابزارهای جرم‌شناسی مانند EnCase، FTK Imager، Volatility (برای تحلیل RAM) و قوانین کلی مثل قابل قبول بودن مدرک و استانداردهای مربوط (مانند ISO/IEC 27037 برای اصول evidence) ممکن است به صورت تئوری مطرح شوند.

عملیات هویت و مدیریت دسترسی (Identity Operations)

اگرچه مفاهیم احراز هویت/مجوزدهی در فصل ۱ مطرح شدند، اما در عملیات روزمره امنیتی نیز نقش پررنگی دارند:

پرویژن و دیپرویژن کاربر  ( User Provisioning & Deprovisioning ):

فرآیند Onboarding کاربران جدید باید با ایجاد حساب‌های کاربری لازم با حداقل دسترسی، تخصیص توکن‌های احراز هویت (مانند کارت هوشمند یا دستگاه OTP) و آموزش خط‌مشی‌های امنیتی همراه باشد. همچنین Offboarding (حذف دسترسی‌های کارمند جداشده) باید بلافاصله هنگام ترک سازمان انجام شود – غیرفعال‌سازی حساب‌های کاربری در سیستم‌های مختلف، پس گرفتن وسایل شرکتی، ابطال گواهی‌های دیجیتال شخص و … . هرگونه تأخیر در این امر یک ریسک جدی است (حساب رهاشده ممکن است سوءاستفاده شود). خودکارسازی این فرایندها از طریق یک سیستم IAM یا اسکریپت‌های مدیریتی، دقت و سرعت را بالا می‌برد.

کنترل دسترسی مداوم:

نقش‌ها و مجوزهای کاربران باید بهصورت دورهای بازبینی شود (خصوصاً در سازمان‌های بزرگ). مثلاً هر شش ماه یک بار، مدیر هر بخش لیست دسترسی‌های کارمندانش را تأیید یا اصلاح کند. این کار جلوی انباشت دسترسی‌های قدیمی (Access Creep) را می‌گیرد. در عملیات، اصول مدیریت رمزعبور نیز اجرایی می‌شود: اجبار به تغییر دوره‌ای رمزهای عبور قدیمی (هر 60 یا 90 روز، البته استانداردهای جدید NIST این را کمی تعدیل کرده‌اند)، پیچیدگی رمز، جلوگیری از استفاده از رمزهای قبلی (password history) و استفاده از مدیر رمزعبور برای حساب‌های مشترک (تا از یادداشت متن رمز در اسناد یا روی کاغذ جلوگیری شود).

SSO و Federation:

بهره‌گیری از راهکارهای Single Sign-On برای کاهش تعداد دفعات ورود کاربران و بهبود تجربه، در عین حفظ امنیت. SSOها ممکن است مبتنی بر سِرویسدهندههای SAML یا OAuth/OIDC باشند که یک Identity Provider مرکزی (مثل Azure AD یا سرویس ADFS) اعتبار کاربران را تأیید کرده و به سرویس‌های دیگر توکن دسترسی می‌دهد. Federation به اشتراک‌گذاری هویت بین سازمان‌های مختلف اشاره دارد – مثلا کاربر شرکت A بتواند با همان هویت به سرویس شرکت B دسترسی مجاز داشته باشد (با قرارداد اعتماد میان A و B از طریق پروتکل‌هایی چون SAML).

مدیریت دسترسیهای ویژه:

حساب‌های ادمین و پرامتیاز نیازمند توجه خاص هستند. معمولاً سازمان‌ها از راهکار PIM (مدیریت هویت ممتاز) یا PAM (مدیریت دسترسی ممتاز) استفاده می‌کنند. این راهکارها دسترسی به حساب‌های ادمین را کنترل و مانیتور می‌کنند – مثلاً برای استفاده از حساب ادمین دامنه، یک فرد باید از طریق Vault رمز عبور یک‌بار‌مصرف دریافت کند که پس از چند ساعت منقضی می‌شود؛ یا سیستم به صورت Just-In-Time دسترسی ادمین را فقط در زمان نیاز فراهم می‌کند و سپس خودبه‌خود لغو می‌کند. همچنین جلسات ادمین ممکن است ضبط لاگ و ویدیو شوند. این اقدامات احتمال سوءاستفاده از حساب‌های قدرتمند را کاهش می‌دهد.

امنیت تجهیزات و عملیات فیزیکی

هرچند تمرکز آزمون بر امنیت سایبری است، اما بخش عملیات شامل مدیریت امنیت فیزیکی نیز می‌شود. مدیر عملیات باید با تیم‌های فیزیکی همکاری کند تا کنترل‌هایی نظیر دوربینهای مدار بسته، سیستمهای کنترل دسترسی دربها (کارتخوان یا بیومتریک)، گارد امنیتی، قفسههای سرور قفلشونده، حسگرهای محیطی (دود، آب) برقرار باشد. همچنین موضوعاتی مثل حفاظت از رسانههای پشتیبان (نگهداری نوارهای بک‌آپ در گاوصندوق ضدحریق یا انتقال آن‌ها به محل دیگری) و امحاء امن تجهیزات (پاک‌سازی دیسک‌ها با روش‌های NIST 800-88 مثل degaussing یا خرد کردن) در این حوزه‌اند.

ابزارهای کلیدی عملیات امنیتی

جمع‌بندی برخی ابزارها و فناوری‌هایی که یک مهندس عملیات با آنها سر و کار دارد:

  • SIEM: موتور مرکزی دریافت لاگ و تولید هشدار. نمونه‌ها: Splunk، QRadar، ArcSight، Elastic Security. SIEMها معمولاً زبان‌های پرس‌و‌جوی خاص دارند (مثلاً SPL در Splunk) که برای جستجوی الگوهای خاص به کار می‌رود. در آزمون شاید نیازی به جزئیات نباشد جز اینکه بدانید SIEM چه می‌کند و چه مزایایی دارد.
  • SOAR: پلتفرم‌های Orchestration مثل Palo Alto Cortex XSOAR یا Splunk Phantom. ایده این است که Playbookهای قابل برنامه‌ریزی (در حد if-then) داشته باشید تا کارهای روتین IR و پاسخ را خودکار انجام دهد.
  • EDR/AV: محصولات امنیت اندپوینت که در لحظه روی سیستم فعالیت می‌کنند. Windows Defender ATP، CrowdStrike Falcon، Carbon Black و… . آن‌ها با ترکیب امضا و رفتار و هوش ابری، بدافزارها و رفتارهای مشکوک (مانند تلاش برای تزریق کد به پروسه دیگری) را متوقف می‌کنند.
  • آنالیز ترافیک و بسته: ابزارهایی مانند Wireshark (GUI) یا tcpdump (خط فرمان) برای دیدن جزئیات بسته‌های شبکه. در عملیات روزمره، گاهی برای رفع اشکال یا بررسی یک رخداد نفوذ نیاز است Traffic Capture بگیریم و تحلیل کنیم. آزمون ممکن است یک خروجی Wireshark نشان دهد و بپرسد مثلاً کدام پروتکل دیده می‌شود یا آیا رمزگذاری شده است یا نه.
  • Backup/DR Systems: راهکارهای بک‌آپ‌گیری خودکار (مانند نرم‌افزارهای Symantec Backup Exec، Veeam) و سایت‌های بازیابی بحران (Disaster Recovery) نیز بخشی از عملیات‌اند. تیم امنیت باید اطمینان حاصل کند که بک‌آپ‌ها امن (مثلاً رمزنگاری‌شده) و تست‌شده هستند و طرح تداوم کسب‌و‌کار (BCP) و DR به‌روز است.

سوالات نمونه فصل ۴ (به همراه پاسخ تشریحی)

سوال 1: طی بررسی لاگ‌ها، تحلیل‌گر امنیت متوجه می‌شود یک کاربر عادی در نیمه‌شب تلاش به اجرای فرمان‌های سیستم‌عامل روی یک سرور پایگاه‌داده کرده است. این رفتار کاملاً غیرمعمول بوده و ممکن است نشان‌دهنده‌ی نفوذ مهاجم با حساب کاربر باشد. کدام ابزار به بهترین نحو می‌تواند چنین رفتارهای غیرعادی کاربران را شناسایی کند؟

A. سیستم تشخیص نفوذ امضامحور (Signature-based IDS)

B. فایروال لایه ۷ با قابلیت URL Filtering

C. سامانه تحلیل رفتار کاربر و موجودیت‌ها (UEBA)

D. اسکنر آسیب‌پذیری خودکار در سرورها

پاسخ: گزینه C صحیح است. UEBA (User and Entity Behavior Analytics) با پایش الگوی معمول فعالیت کاربران، موارد خارج از عادت را تشخیص می‌دهد. در این سناریو، کاربری که نیمه‌شب فرمان‌های سیستم‌عامل اجرا می‌کند رفتاری است که UEBA می‌تواند با مقایسه با فعالیت معمول آن کاربر یا کاربران مشابه، به عنوان anomaly پرچم‌گذاری کند. گزینه A (IDS امضامحور) فقط الگوهای ثابت شناخته‌شده را می‌شناسد و احتمالاً چنین رویدادی که لزوماً یک امضای حمله شناخته‌شده ندارد از دید IDS پنهان می‌ماند. گزینه B (فایروال لایه ۷) برای کنترل ترافیک وب و URL به کار می‌رود و ربطی به رفتار داخلی کاربر روی یک سرور ندارد. گزینه D (اسکنر آسیب‌پذیری) نقاط ضعف را شناسایی می‌کند نه رفتار کاربران را. بنابراین UEBA بهترین پاسخ است.

سوال 2: اولین گام پس از مشکوک شدن به وقوع یک حادثه امنیتی چیست؟ فرض کنید سیستم مانیتورینگ شما هشدار داده که ترافیک غیرعادی زیادی از یکی از سرورها به یک IP خارجی در حال ارسال است.

A. بلافاصله سرور را خاموش کنید تا از انتشار احتمالی بدافزار جلوگیری شود.

B. ارتباط سرور را از شبکه قطع کنید (Isolation) و سپس شروع به جمع‌آوری شواهد و لاگ‌ها کنید.

C. بررسی و تایید وقوع حادثه از طریق جمع‌آوری اطلاعات (شناسایی) قبل از انجام هر اقدام مهاری.

D. اطلاع‌رسانی به مدیریت ارشد و مقامات قانونی پیش از هر کاری.

پاسخ: گزینه C صحیح است. اولین مرحله در واکنش به حادثه، شناسایی و تشخیص (Identification) است. باید تایید کنیم که آیا واقعاً حادثه‌ای رخ داده، ماهیت آن چیست و چه دامنه‌ای دارد. پس از تشخیص دقیق، وارد مرحله مهار می‌شویم. بنابراین قبل از قطع ارتباط یا خاموش کردن، باید مطمئن شویم که این یک False Positive نیست و چه نوع حمله‌ای در جریان است. گزینه B (قطع ارتباط فوری) گاهی لازم است اما طبق فرآیند استاندارد، یک مرحله بعد از شناسایی قرار می‌گیرد (مهار). گزینه A (خاموش کردن سرور) می‌تواند منجر به از دست رفتن اطلاعات ارزشمند در حافظه شود و جز در موارد بحرانی توصیه نمی‌شود؛ در ضمن این هم اقدامی مهاریست و نباید بدون شناسایی انجام شود. گزینه D (اطلاع‌رسانی مدیریت/قانون) نیز جزو مراحل واکنش است اما پس از شناسایی اولیه و شاید پس از مهار اولیه انجام شود (بسته به سیاست سازمان، معمولاً اطلاع‌رسانی بیرونی نیازمند ارزیابی اولیه حادثه است). در مجموع، درست است که در برخی موارد باید خیلی سریع مهار را انجام داد، اما به طور کلی طبق اصول Incident Response ابتدا Identify سپس Contain.

نکات مهم فصل ۴ (High-Yield Points)

  • چرخه Incident Response: حتماً مراحل واکنش به حادثه و ترتیبشان را حفظ کنید. سوالات زیادی در آزمون مستقیم یا غیرمستقیم روی این موضوع مانور می‌دهند. به خاطر داشته باشید: Preparation -> Identification -> Containment -> Eradication -> Recovery -> Lessons Learned.
  • SIEM و تحلیل لاگ: بدانید SIEM چیست و چه مسایلی را حل می‌کند (تجمیع لاگ، هم‌بستگی رویدادها، کشف الگوهای حمله). همچنین مفاهیم مربوط به Correlation Rule، False Positive/False Negative در تشخیص حمله را متوجه باشید. ممکن است از شما پرسیده شود برای کاهش آلارم‌های غلط چه باید کرد (پاسخ: تنظیم دقیق‌تر امضاها/پارامترها یا استفاده از threshold مناسب و context بیشتر).
  • شاخصهای حمله (IOA) و شاخصهای نفوذ (IOC): شاید این اصطلاحات مطرح شوند. IOCها سرنخ‌های فنی هستند که نشان می‌دهند سیستمی ممکن است compromise شده باشد – مثل هش شناخته‌شده یک فایل بدافزار، آدرس IP یک سرور فرمان‌دهی و کنترل، یا تغییرات در رجیستری ویندوز. IOAها روی مراحل و رفتار حمله تمرکز دارند – مثلا «کاربری ابزار اسکنی اجرا کرده» یا «پردازه‌ای سعی در غیرفعال کردن آنتی‌ویروس داشت». IOA بیشتر قصد/تاکتیک مهاجم را نشان می‌دهد و در تشخیص زودهنگام ارزشمند است.
  • مرکز عملیات امنیت (SOC): در سازمان‌های بزرگ، یک تیم 24×7 پایش را برعهده دارد. آزمون ممکن است بپرسد مزیت داشتن SOC داخلی چیست یا مثلاً تفاوت SOC با CERT یا CSIRT (تیم واکنش به رخداد) در چیست. به زبان ساده، SOC پایش + واکنش اولیه می‌کند، CSIRT تیم واکنش تخصصی (اغلب در فازهای بعدی حادثه) است.
  • حفظ شواهد و Chain of Custody: در هر اقدام واکنش به حادثه‌ای که به جمع‌آوری لاگ و ایمیج منجر می‌شود، رعایت اصول جرم‌شناسی مهم است. اگر سوال سناریویی درباره تحقیق درایو یک کارمند متخلف یا تحلیل یک بدافزار باشد، یادتان باشد که اول تصویر بگیرید، نه روی دیسک اصلی کار کنید؛ و حتماً زنجیره حفاظت مدرک را حفظ کنید. حتی ممکن است راجع به ترتیب جمع‌آوری (حافظه قبل از هارد، هارد قبل از بکاپ‌های آف‌سایت) پرسیده شود.
  • BCP و DRP: عملیات امنیتی شامل طرح‌های تداوم کسب‌وکار (Business Continuity) و بازیابی فاجعه نیز هست. اطمینان از اینکه سازمان می‌تواند علی‌رغم یک حادثه (سایبری یا طبیعی) به کار حیاتی خود ادامه دهد، وظیفه مدیریت ارشد است اما تیم امنیت نقش پشتیبان دارد. باید تفاوت BCP (ادامه عملیات حیاتی در حین بحران) و DRP (بازیابی زیرساخت IT پس از بحران) را بدانید. همچنین اصطلاحاتی چون RPO (نقطه بازیابی مجاز – حداکثر داده‌ای که می‌توان از دست داد)، RTO (زمان بازیابی هدف – حداکثر زمان قطعی مجاز) و اهمیت تست‌های دوره‌ای برنامه DR در منابع آزمون ذکر شده‌اند که مرور کنید.
SSO Plus

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *