साइबर सुरक्षा घटना प्रतिक्रिया प्रबंधन और सर्वोत्तम प्रथाओं का एक परिचय

जैसे-जैसे अधिक विघटनकारी और नुकसानदायक होने के साथ-साथ साइबर हमले मात्रा, विविधता और परिष्कार में बढ़ते रहते हैं, संगठनों को प्रभावी ढंग से संभालने के लिए तैयार रहना चाहिए.


प्रभावी सुरक्षा समाधान और प्रथाओं को लागू करने के अलावा, उन्हें हमलों को जल्दी से पहचानने और संबोधित करने की क्षमता की आवश्यकता होती है, इसलिए न्यूनतम क्षति, व्यवधान और लागत सुनिश्चित करें.

प्रत्येक आईटी प्रणाली एक साइबर हमले का संभावित लक्ष्य है, और ज्यादातर लोग इस बात से सहमत हैं कि यह कोई बात नहीं है, लेकिन जब यह होगा। हालाँकि, प्रभाव इस बात पर निर्भर करता है कि आप समस्या को कितनी जल्दी और प्रभावी ढंग से संबोधित करते हैं, इसलिए घटना की प्रतिक्रिया की तैयारी की आवश्यकता है.

एक साइबर सुरक्षा घटना की प्रतिक्रिया (IR) प्रक्रियाओं की एक श्रृंखला को संदर्भित करती है जो एक संगठन अपने आईटी सिस्टम पर एक हमले को संबोधित करता है। इसके लिए सही हार्डवेयर और सॉफ्टवेयर टूल के संयोजन के साथ-साथ उचित नियोजन, प्रक्रियाएं, प्रशिक्षण और संगठन में सभी के समर्थन जैसी प्रथाओं की आवश्यकता होती है।.

सुरक्षा घटनाओं के दौरान और बाद में सर्वोत्तम अभ्यास

जब साइबर हमला होता है, तो एक साथ कई गतिविधियां हो सकती हैं, और जब कोई समन्वय या उचित घटना की प्रगति नहीं होती है, तो यह व्यस्त हो सकता है.

हालांकि, अग्रिम में तैयारी करना और घटना प्रतिक्रिया योजना और नीतियों को समझने के लिए एक स्पष्ट और आसान स्थापित करना सुरक्षा टीमों को सद्भाव में काम करने की अनुमति देता है। यह उन महत्वपूर्ण कार्यों पर ध्यान केंद्रित करने में सक्षम बनाता है जो अनावश्यक व्यावसायिक रुकावटों से बचने के अलावा अपने आईटी सिस्टम, डेटा और प्रतिष्ठा को संभावित नुकसान को सीमित करते हैं.

घटना प्रतिक्रिया योजना तैयार करना

एक घटना प्रतिक्रिया योजना एक हमले या किसी अन्य सुरक्षा मुद्दे की स्थिति में पालन करने के लिए कदम दस्तावेजों। हालाँकि वास्तविक चरण पर्यावरण के अनुसार अलग-अलग हो सकते हैं, SANS (SysAdmin, Audit, Network, and Security) ढांचे पर आधारित एक विशिष्ट प्रक्रिया में तैयारी, पहचान, रोकथाम, उन्मूलन, पुनर्प्राप्ति, घटना की सूचना और एक पोस्ट शामिल होंगे। घटना की समीक्षा.

घटना की प्रतिक्रियाघटना प्रतिक्रिया प्रक्रिया प्रवाह (NIST टेम्पलेट पर आधारित) छवि NIST

तैयारी में प्रासंगिक जानकारी के साथ एक योजना विकसित करना और वास्तविक प्रक्रियाएं शामिल हैं जो कंप्यूटर घटना प्रतिक्रिया टीम (सीआईआरटी) घटना को संबोधित करने के लिए पालन करेगी।.

इसमें शामिल है:

  • विशिष्ट टीम और व्यक्ति जो घटना प्रतिक्रिया प्रक्रिया के प्रत्येक चरण के लिए जिम्मेदार हैं.
  • परिभाषित करता है कि क्या एक घटना का गठन होता है, जिसमें वारंट शामिल है कि किस प्रकार की प्रतिक्रिया.
  • महत्वपूर्ण डेटा और सिस्टम जिन्हें अधिक सुरक्षा और सुरक्षा की आवश्यकता होती है.
  • फोरेंसिक प्रयोजनों के लिए प्रभावित प्रणालियों के प्रभावित राज्यों को संरक्षित करने का एक तरीका.
  • यह निर्धारित करने की प्रक्रिया कि सुरक्षा के मुद्दे पर कब और किसे सूचित किया जाए। जब कोई घटना होती है, तो प्रभावित उपयोगकर्ताओं, ग्राहकों, कर्मचारियों के कानून लागू करने वालों, आदि को सूचित करना आवश्यक हो सकता है, लेकिन यह एक उद्योग और दूसरे मामले में भिन्न होगा.

एक घटना प्रतिक्रिया योजना को समझना और लागू करना आसान होना चाहिए और साथ ही अन्य योजनाओं और संगठन नीतियों के साथ संरेखित करना चाहिए। हालाँकि, रणनीति और दृष्टिकोण अलग-अलग उद्योगों, टीमों, खतरों और संभावित नुकसान के लिए भिन्न हो सकते हैं। नियमित परीक्षण और अपडेट सुनिश्चित करते हैं कि योजना वैध और प्रभावी है.

जब साइबर हमला होता है तो दुर्घटना की प्रतिक्रिया होती है

एक बार जब कोई सुरक्षा घटना होती है, तो टीमों को इसे नियंत्रित करने और इसे साफ व्यवस्था में फैलने से रोकने के लिए तेजी से और कुशलता से काम करना चाहिए। सुरक्षा मुद्दों को संबोधित करते समय निम्नलिखित सर्वोत्तम अभ्यास हैं। हालाँकि, ये किसी संगठन के वातावरण और संरचना के अनुसार भिन्न हो सकते हैं.

कंप्यूटर घटना प्रतिक्रिया टीम को इकट्ठा या संलग्न करें

सुनिश्चित करें कि मल्टी-इन-हाउस या आउटसोर्स CIRT टीम के पास सही कौशल और अनुभव दोनों के साथ सही लोग हैं। इनमें से, एक टीम लीडर का चयन करें, जो निर्देश देने के लिए फोकल व्यक्ति होगा और योजना और समय के अनुसार प्रतिक्रिया सुनिश्चित करेगा। नेता प्रबंधन के साथ हाथ से काम करेगा और विशेष रूप से जब संचालन के संबंध में महत्वपूर्ण निर्णय लेने होंगे.

घटना की पहचान करें और हमले के प्रकार और स्रोत को स्थापित करें

किसी भी खतरे के संकेत पर, आईआर टीम को यह सत्यापित करने के लिए तेजी से कार्य करना चाहिए कि क्या यह वास्तव में एक सुरक्षा मुद्दा है, चाहे आंतरिक या बाहरी यह सुनिश्चित करते हुए कि वे इसे जितनी जल्दी हो सके। जब कोई समस्या होती है, तो यह निर्धारित करने के विशिष्ट तरीके शामिल हैं लेकिन सीमित नहीं;

  • सुरक्षा निगरानी उपकरण, सिस्टम में खराबी, असामान्य व्यवहार, अप्रत्याशित या असामान्य फ़ाइल संशोधन, नकल या डाउनलोड आदि से अलर्ट
  • उपयोगकर्ताओं, नेटवर्क या सिस्टम व्यवस्थापक, सुरक्षा कर्मियों, या बाहरी तृतीय-पक्ष भागीदारों या ग्राहकों द्वारा रिपोर्टिंग.
  • असामान्य उपयोगकर्ता या सिस्टम व्यवहार के संकेतों के साथ ऑडिट लॉग, जैसे कई विफल लॉगिन प्रयास, बड़ी फ़ाइल डाउनलोड, उच्च मेमोरी उपयोग और अन्य विसंगतियाँ.

Varonis सुरक्षा घटना स्वचालित चेतावनीVaronis सुरक्षा घटना स्वचालित चेतावनी – छवि Varonis 

हमले के प्रभाव का आकलन और विश्लेषण करें

हमले का कारण बनता है, इसके प्रकार, सुरक्षा समाधान की प्रभावशीलता और टीम द्वारा प्रतिक्रिया करने की गति के आधार पर भिन्न होता है। सबसे अधिक बार, इस मुद्दे को पूरी तरह से हल करने के बाद तक नुकसान की सीमा को देखना संभव नहीं है। विश्लेषण से हमले के प्रकार, उसके प्रभाव और उससे प्रभावित सेवाओं का पता लगाना चाहिए.

किसी भी निशान को देखने के लिए भी अच्छा अभ्यास है जो हमलावर को छोड़ सकता है और उन सूचनाओं को इकट्ठा कर सकता है जो गतिविधियों की समय-सीमा निर्धारित करने में मदद करेंगे। इसमें प्रभावित सिस्टम के सभी घटकों का विश्लेषण करना, फोरेंसिक के लिए प्रासंगिक पर कब्जा करना और यह निर्धारित करना कि प्रत्येक चरण में क्या हो सकता है.

हमले और निष्कर्षों की सीमा के आधार पर, प्रासंगिक टीम को घटना को आगे बढ़ाने के लिए आवश्यक हो सकता है.

कन्टेनमेंट, धमकी उन्मूलन, और रिकवरी

रोकथाम चरण में हमले को फैलने से रोकने के साथ-साथ शुरुआती ऑपरेशन की स्थिति के लिए सिस्टम को पुनर्स्थापित करना शामिल है। आदर्श रूप से, CIRT टीम को खतरे और मूल कारणों की पहचान करनी चाहिए, समझौता किए गए सिस्टम को अवरुद्ध या डिस्कनेक्ट करके सभी खतरों को दूर करना चाहिए, मैलवेयर या वायरस को साफ करना, दुर्भावनापूर्ण उपयोगकर्ताओं को ब्लॉक करना, और सेवाओं को पुनर्स्थापित करना.

उन्हें उन कमजोरियों को भी स्थापित और संबोधित करना चाहिए जो हमलावरों ने उसी की भविष्य की घटनाओं को रोकने के लिए शोषण किया। एक विशिष्ट नियंत्रण में अल्पावधि और दीर्घकालिक उपायों के साथ-साथ वर्तमान स्थिति का बैकअप भी शामिल होता है.

क्लीन बैकअप को बहाल करने या सिस्टम को साफ करने से पहले, प्रभावित सिस्टम की स्थिति की एक प्रति रखना महत्वपूर्ण है। वर्तमान स्थिति को संरक्षित करने के लिए यह आवश्यक है, जो फोरेंसिक की बात आने पर उपयोगी हो सकता है। एक बार बैकअप लेने के बाद, अगला चरण बाधित सेवाओं की बहाली है। टीमें इसे दो चरणों में हासिल कर सकती हैं:

  • सिस्टम और नेटवर्क घटक की जाँच करें कि सभी ठीक से काम कर रहे हैं
  • संक्रमित या समझौता किए गए सभी घटकों की फिर से जाँच करें और सुनिश्चित करें कि वे अब सुरक्षित, स्वच्छ और परिचालन हैं.

सूचित करना और रिपोर्ट करना

घटना प्रतिक्रिया टीम विश्लेषण, प्रतिक्रिया और रिपोर्टिंग करती है। उन्हें घटना के मूल कारण का पता लगाने, प्रभाव के अपने निष्कर्षों का दस्तावेजीकरण करने की आवश्यकता है, उन्होंने प्रबंधन, अन्य टीमों, उपयोगकर्ताओं और तीसरे पक्ष के प्रदाताओं के लिए प्रासंगिक जानकारी पारित करते हुए समस्या, वसूली की रणनीति को कैसे हल किया।.

बाहरी एजेंसियों और प्रदाताओं के साथ संचारबाहरी एजेंसियों और प्रदाताओं के साथ संचार छवि NIST

यदि उल्लंघन संवेदनशील डेटा पर होता है जिसे कानूनी प्रवर्तन अधिकारियों को सूचित करने की आवश्यकता होती है, तो टीम को इसे शुरू करना चाहिए और अपनी नीति में निर्धारित प्रक्रियाओं का पालन करना चाहिए.

आमतौर पर, हमले के परिणामस्वरूप गोपनीय, व्यक्तिगत, निजी और व्यावसायिक जानकारी जैसे संवेदनशील डेटा पर चोरी, दुरुपयोग, भ्रष्टाचार या अन्य अनधिकृत गतिविधि होती है। इस कारण से, प्रभावित लोगों को सूचित करना आवश्यक है ताकि वे सावधानी बरत सकें और अपने महत्वपूर्ण डेटा जैसे कि वित्तीय, व्यक्तिगत और गोपनीय जानकारी की रक्षा कर सकें.

उदाहरण के लिए, यदि कोई हमलावर उपयोगकर्ता खातों का उपयोग करने का प्रबंधन करता है, तो सुरक्षा टीमों को उन्हें सूचित करना चाहिए और उन्हें अपने पासवर्ड बदलने के लिए कहना चाहिए.

घटना के बाद की समीक्षा का संचालन करें

एक घटना को हल करने से सीखे गए सबक भी मिलते हैं, और टीमें अपने सुरक्षा समाधान का विश्लेषण कर सकती हैं और कमजोर लिंक को संबोधित कर सकती हैं भविष्य में इसी तरह की घटना को रोकने के लिएकुछ सुधारों में आंतरिक और बाहरी दोनों खतरों के लिए बेहतर सुरक्षा और निगरानी समाधान तैनात करना शामिल है, स्टाफ और उपयोगकर्ताओं को सुरक्षा खतरों जैसे कि फ़िशिंग, स्पैम, मैलवेयर, और अन्य से ज्ञान प्राप्त करना, जिनसे उन्हें बचना चाहिए.

अन्य सुरक्षात्मक उपाय नवीनतम और प्रभावी सुरक्षा उपकरण चला रहे हैं, सर्वर को पैच कर रहे हैं, क्लाइंट और सर्वर कंप्यूटर पर सभी कमजोरियों को संबोधित करते हैं, आदि.

नेपाल का एनआईसी एशिया बैंक घटना प्रतिक्रिया केस अध्ययन

अपर्याप्त पहचान क्षमता या प्रतिक्रिया से अत्यधिक नुकसान और नुकसान हो सकता है। एक उदाहरण नेपाल के एनआईसी एशिया बैंक का मामला है, जिसने 2017 में एक व्यावसायिक प्रक्रिया से समझौता करने के बाद कुछ पैसे खो दिए और बरामद कर लिया। हमलावरों ने स्विफ्ट और धोखाधड़ी से बैंक से यूके, जापान, सिंगापुर और यूएसए में विभिन्न खातों में धन हस्तांतरित किया।.

सौभाग्य से, अधिकारियों ने अवैध लेनदेन का पता लगाया लेकिन केवल चुराए गए धन का एक हिस्सा पुनर्प्राप्त करने में कामयाब रहे। क्या एक बेहतर अलर्टिंग सिस्टम हो सकता था, सुरक्षा टीमों ने पहले चरण में घटना का पता लगाया होगा, हो सकता है इससे पहले कि हमलावर कारोबारी प्रक्रिया में सफल हो जाएं.

क्योंकि यह एक जटिल सुरक्षा मुद्दा था जिसमें अन्य देश शामिल थे, बैंक को कानून प्रवर्तन और जांच अधिकारियों को सूचित करना था। इसके अलावा, गुंजाइश बैंक की आंतरिक घटना प्रतिक्रिया टीम से परे थी और इसलिए केपीएमजी, केंद्रीय बैंक, और अन्य से बाहरी टीमों की उपस्थिति.

उनके केंद्रीय बैंक से बाहरी टीमों द्वारा एक फोरेंसिक जांच ने स्थापित किया कि घटना अंदरूनी विवाद से हो सकती है जिसने महत्वपूर्ण प्रणालियों को उजागर किया.

एक रिपोर्ट के अनुसार, तत्कालीन छह ऑपरेटरों ने अन्य असंबंधित कार्यों के लिए समर्पित स्विफ्ट सिस्टम कंप्यूटर का उपयोग किया था। इसने स्विफ्ट प्रणाली को उजागर किया हो सकता है, इसलिए हमलावरों को इससे समझौता करने की अनुमति देता है। घटना के बाद, बैंक ने छह कर्मचारियों को अन्य कम संवेदनशील विभागों में स्थानांतरित कर दिया.

सीख सीखी: बैंक को कर्मचारियों के बीच उचित सुरक्षा जागरूकता पैदा करने और सख्त नीतियों को लागू करने के अलावा एक प्रभावी निगरानी और चेतावनी प्रणाली की तैनाती करनी चाहिए.

निष्कर्ष

एक सुनियोजित घटना प्रतिक्रिया, अच्छी टीम और प्रासंगिक सुरक्षा उपकरण और अभ्यास आपके संगठन को तेज़ी से कार्य करने और सुरक्षा मुद्दों की एक विस्तृत श्रृंखला को संबोधित करने की क्षमता प्रदान करते हैं। यह क्षति, सेवा व्यवधान, डेटा चोरी, प्रतिष्ठा की हानि और संभावित देनदारियों को कम करता है.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map