منابع ورودی تیم رسیدگی به رخدادهای رایانه ای

مهم ترین نیاز یک مرکز/تیم رسیدگی به رخدادهای رایانه ای

پیشتر گفته شد منابع ورودی به دو دسته ی بزرگ اطلاعات استخراجی (Active) و خبری (Passive) تقسیم می شوند. این دسته بندی نوع فعالیت تیم “رصد رخدادها رایانه ای” را برای گرفت اطلاعات و شناسایی رخداد ها مشخص می کند. در پست های بعدی به مدل مرکز رسیدگی به رخدادهای رایانه ای (CSIRT) و جایگاه کار گروه ها در این مجموعه پرداخته خواهد شد.

منابع ورودی استخراجی:

  • انجمن ها و گروه های امنیتی و هکینگ
  • شبکه های اجتماعی
  • رسانه ها
  • وب سایت های اشتراک گذاری (مانند pastebin، exploit-db و …)
  • سنسور های امنیتی، سیستم های تشخیص نفوذ و سیستم های تحلیل/اسکن اتوماتیک (مانند Honeypotها، IDPSها، Sandbox، Multi-AV)
  • شرکت های امنیتی خارجی/داخلی (وبلاگ)

دلیل آنکه این منابع در دسته ی منابع استخراجی معرفی شده اند چیست؟

این منابع نیاز به سیستم های مانیتورینگ (Monitoring) و همچنین یک یا چند اپراطور (Operator) جهت بررسی روزانه/ساعتی دارند.اپراطور ها بر میزان اهمیت و پتانسیل ریسک امنیتی هر اتفاق (Event) تصمیم گیری می کنند، اگر یک اتفاق رخداد امنتی شناخته  شود یا به تحلیل فنی بیشتر نیاز داشته باشد، با توجه به چرخه رسیدگی به رخدادهای رایانه ای، با آن برخورد خواهد شد. بررسی ها می بایست بصورت صف(خطی) صورت گیرد تا از خطا فردی کاهش یابد. پس از بررسی هر اتفاق/رخداد فرد یا افرادی نیز می بایست تصمیم گرفته شده را بر اساس اطلاعات جمع آوری شده و مشاوره افراد فنی تیم، تایید کنند.

منابع ورودی خبری:

  • دیگر مراکز رسیدگی به رخدادهای رایانه ای (OTX)
  • شرکت ها و وندورهای امنیتی داخلی/خارجی (Security Vendors)
  • مراکز/ارگان های مجری قانون کشور (Law Enforcement)
  • شرکت های ارایه دهنده اینترنت (ISPs) و نرم افزاری/شبکه ای
  • کاربران و مشتریان

این دسته منابع و مراکزی را شامل می شود که اخبار و حوادث امنیتی را بصورت مستقیم در اختیار تیم قرار می دهند.

بسته به سیاست های یک مجموعه تیم رسیدگی به رخدادهای رایانه ای می بایست فردی را مسؤل برقراری ارتباط (POC, Point of Contact) با هر یک از منابعی که در بالا ذکر شد تعیین کنند. بطور مثال یک تیم رسیدگی به رخدادهای رایانه ای فردی را POC “منابع مجری قانونی کشور” می کند که با روند گزارش/پاسخ  و نحوه رسیدگی و پیگیری منبع مورد نظر آشنا باشد.

About mahyar

OrcID: 0000-0001-8875-3362 PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS MCITP: Enterprise AdministratorCCNA, CCNP (R&S , Security)ISO/IEC 27001 Lead Auditor

Check Also

آشنایی با Windows Azure Active Directory

Windows Azure Active Directory سرویسی است که خدمات Identity and access یا به اختصار IDA …

Leave a Reply

Your email address will not be published. Required fields are marked *