با توجه به حساسیت دستگاه‌ها‌ی زیرساختی و تاثیرات گسترده و با سرعت بالای آن بر جامعه و با توجه به شرایط خاص کشور در برهه زمانی فعلی و افزایش حملات سایبری بر علیه این زیرساخت‌ها، آکادمی هیوا شبکه با توجه به مستندی که مرکز مدیریت راهبردی افتا، در راستای افزایش میزان آمادگی دستگاه‌های مربوطه در این بخش‌ها در مقابل این حملات و افزایش پاسخ‌دهی موثر‌تر به این حوادث محتمل، ارائه کرده است  اقدام به تهیه  این مقاله نموده است. لازم است متولیان امنیت فناوری اطلاعات سازمان به رعایت دقیق و کامل این الزامات و اقدامات امنیتی جهت پیشگیری و پاسخ به حوادث سایبری در شبکه‌های فناوری اطلاعات و صنعتی خود بپردازند. همچنین لازم است گزارش وضعیت اجرای این الزامات در سازمان مورد بررسی قرار گیرد. در این مقاله الزامات امنیتی عملیاتی پایه، در دسته‌های ذیل آورده شده است:

• اقدامات پیشگیرانه
• اقدامات زمان بحران
• اقدامات مدیریتی

اقدامات پیشگیرانه

این دسته از اقدامات به منظور پیشگیری  از بروز حوادث سایبری در سطح دستگاه‌های زیر ساختی انجام شود. این اقدامات در ۸ دسته طبقه بندی می‌شوند که عبارتند از:

شناسایی و اهداف بر دارایی‌های اطلاعاتی

• تمامی سرویس‌ها و سامانه‌های حیاتی سازمان به همراه مولفه‌های سخت افزاری و نرم‌افزاری، شناسایی و اولویت‌بندی شوند.
• مستندات کامل و به‌روز از نیازمندی‌ها و معماری سامانه‌های حیاتی سازمان و همچنین توپولوژی منطقی فیزیکی شبکه‌های ارتباطی مورد استفاده در آن‌ها تهیه گردد.
• لیست به‌روز از پروتکل‌ها و سامانه‌های سخت‌افزاری و نرم‌افزاری مجاز به استفاده در سازمان شناسایی و تدوین گردد.
• مراکز حساس سازمان (شامل مرکز داده، محل قرارگیری تجهیزات حساس و…) مرتبط با سامانه‌های حیاتی شناسایی شوند.
• پیمانکاران و شرکت‌های ارائه کننده خدمات و محصولات مرتبط با سامانه‌های حیاتی شناسایی شوند، به همراه روش‌های ارتباط با سازمان از جمله ابزار‌های دسترسی از راه دور و VPN‌هایی که توسط این شرکت‌ها مورد استفاده قرار می‌گیرد.
• لیست به‌روز شده از آدرس IPهای معتبر سازمان بر بستر اینترنت و مشخص نمودن سرویس‌های فعال بر روی آن‌ها تهیه شود.
• مسئولین و متولیان دارایی‌های اطلاعاتی حساس نظیر سامانه‌ها و سرویس‌های حیاتی، سرور‌ها، تجهیزات امنیتی و … شناسایی شوند. در این لیست باید راه‌های ارتباطی با فرد مذکور در مواقع بحران مشخص شده باشد. 

مدیریت آسیب‌پذیری‌ها و مخاطرات سایبری

• سامانه‌های حیاتی خاص سازمان، باید مورد ارزیابی امنیتی قرار گیرند.
• کلیه سامانه‌های حیاتی به طور منظم، مورد پویش آسیب پذیری واقع شده و موارد شناسای شده رفع گردد.
• مستندات کامل و به‌روز از مخاطرات سرویس‌ها و سامانه‌های حیاتی سازمان تهیه و تدوین گردد.
• پیوست امنیتی و راهکار رفع مخاطرات و تامین امنیت سایبری سرویس‌ها و سامانه‌های حیاتی سازمان تدوین شود.
• ارائه هر سرویس در بستر اینترنت منوط به انجام آزمون نفوذ و رفع آسیب پذیری‌های احتمالی گردد. 

مدیریت دسترسی به منابع سازمان

• دسترسی فیزیکی افراد غیرمجاز به اماکن حساس مرتبط با سامانه‌های حیاتی محدود گردیده و فهرستی از افراد مجاز برای دسترسی به اماکن حساس تهیه گردد.
• دسترسی کاربران به سامانه‌های حیاتی و سامانه‌های مرتبط با آن‌ها بر اساس اصل حداقل دسترسی(شامل ایجاد،فعال سازی و غیر فعال سازی، حذف و تغییر سطح دسترسی) محدود و مدیریت شود.
• دسترسی مشاوران، پیمانکاران و کارکنان موقت به شبکه و سیستم‌های اطلاعاتی سامانه‌های حیاتی محدود و مدیریت شود.
• مدیریت دسترسی از راه دور به سامانه‌های حیاتی باید با در نظرگیری محدودیت‌های زمان‌بندی و مکانی و پس از کسب مجوز‌های لازم انجام شده و دسترسی از خارج کشور به این سامانه‌ها مسدود شود.
• کلمات عبور انتخابی از پیچیدگی و طول مناسب برخوردار بوده و در بازه‌های زمانی مناسب کاربران مجبور به تغییر آن‌ها شوند و سازوکار مناسبی برای نگهداری آن‌ها در نظر گرفته شود.
• احراز هویت چندعامله با قابلیت عدم انکار در تمامی سرویس‌ها و سامانه‌های حیاتی به منظور تصدیق هویت کلیه کاربران فعال شود.
• از دسترسی غیرمجاز و دست‌کاری لاگ‌های ذخیره شده و نسخه‌های پشتیبان جلوگیری شود و نسخه‌های پشتیبان سامانه‌ها و سرویس‌های حیاتی در محیط ایزوله نگهداری شود.
• دسترسی IP‌های خارجی به سرویس‌ها و سامانه‌هایی که برای سرویس گیرندگان داخلی هستند محدود شوند.
• تمامی حساب‌های کاربری مرتبط با سامانه‌های حیاتی شناسایی شده و حساب‌های کاربری غیر ضروری حذف شوند.
• فهرست IP‌های آلوده شناسایی شده و ارتباط سامانه های حیاتی سازمان با آن‌ها مسدود شود.

پیکربندی تجهیزات و سامانه‌ها

• پیکربندی تمامی دارایی‌های مرتبط با سامانه‌های حیاتی(نظیر سوییچ،روتر، تجهیزات امنیتی، سیستم عامل،پایگاه داده، سرویس دهنده،وب و …) بازبینی شده و مطابق با آخرین راهنماهای امنیتی مربوطه مقاوم سازی شود.
• پیکربندی پیش فرض تمامی تجهیزات و نرم‌افزار‌های مرتبط با سامانه‌های حیاتی تغییر یابد.
• مستندات مربوط به پیکربندی تجهیزات، سرویس‌ها، و سامانه‌های حیاتی بروز شده و در اختیار افراد مجاز قرار گیرد.
• اعمال هرگونه تغییر در پیکربندی تجهیزات مرتبط با سامانه‌های حیاتی محدود و منوط به کسب مجوز‌های لازم و متناسب با سیاست‌های امنیتی سازمان باشد.
• برای سامانه‌های آسیب پذیر مرتبط با سرویس‌های حیاتی، از سیستم‌های خودکار مدیریت وصله‌های امنیتی و یا روش‌های دستی با زمان‌بندی کوتاه استفاده شود و روال کاری مناسبی برای این امر ایجاد شود.
• تمامی سیستم عامل ها، سرویس‌ها و سامانه‌های حیاتی به صورت مستمر و در بازه‌های زمانی مشخص مطابق با آخرین وصله‌های امنیتی منتشر شده – با احتساب جوانب امنیتی این به روزرسانی‌ها – به‌روز شوند.

امنیت شبکه و سامانه‌ها

• از دیواره‌های آتش و سامانه مدیریت تهدیدات یکپارچه دارای مجوز در لبه شبکه و سامانه DLP برای کنترل دسترسی، کنترل ترافیک ورودی و خروجی، جلوگیری از نفوذ و جلوگیری از نشت اطلاعات استفاده شود.
• هر سرویس و خدمتی که در بستر اینترنت ارائه می‌شود باید توسط تجهیزات امنیتی نظیر دیواره آتش، سامانه تشخیص  جلوگیری از نفوذ، دیواره آتش برنامه‌های کاربردی، سامانه ضدبدافزار، ابزار‌های کنترل صحت و یکپارچگی فایل‌ها و… محافظت شود.
• سازمان باید از فعال و به‌روز بودن تمامی سامانه‌های ضدبدافزار، ضد باج‌افزار و سامانه تشخیص و جلوگیری از نفوذ در سرور سامانه‌های حیاتی سازمان اطمینان یابد.
• انتشار سرویس‌های غیر ضروری در اینترنت محدود شود.
• سرویس‌ها و تجهیزات بدون استفاده و غیرضروری مرتبط با سامانه‌های حیاتی در سازمان شناسایی و غیرفعال شوند.
• همگام‌سازی زمان در تمامی تجهیزات، سامانه‌ها و لاگ‌های مرتبط با سامانه‌های حیاتی رعایت شود.
• در معماری شبکه باید تفکیک منطقی و ناحیه بندی به صورت دقیق و مناسب انجام شود و ارتباط ناحیه DMZ با شبکه داخلی توسط دیواره آتش کنترل شود.
• شبکه متصل به اینترنت از شبکه ارائه سرویس‌های حیاتی سازمانی به صورت فیزیکی و یا منطقی (در صورت امکان) جداسازی شود.
• استفاده از تجهیزات قابل حمل شامل رسانه‌های ذخیره‌ساز، تجهیزات سیار سازمانی و شخصی (نظیر لپ‌تاپ،تبلت و…) مدیریت و کنترل شود.
• محیط‌های تست، توسعه و عملیاتی سامانه‌های حیاتی از یکدیگر جدا شوند.
• سرور پایگاه داده از سرور برنامه کاربردی سامانه‌های حیاتی جدا شده و دسترسی به آن کنترل شود.
• استفاده از سرویس میزبانی خارج از کشور برای تمامی سرویس‌ها و سامانه‌های حیاتی غیرمجاز است.
• از پروتکل‌های امن و ابزار‌های رمزنگاری برای حفظ محرمانگی و یکپارچگی داده‌ها و اطلاعات حساس سامانه‌های حیاتی در حین انتقال، پردازش و ذخیره‌سازی استفاده شود.
• حتی‌الامکان از شبکه بی‌سیم در سازمان استفاده نشود در غیر این صورت تمهیدات امنیتی مناسب برای امن‌سازی و مدیریت دسترسی این شبکه‌ها در نظر گرفته شود.

پایش و مدیریت لاگ

• رویداد‌های امنیتی سامانه‌ها و سرویس‌های حیاتی به طور منظم پایش شده و لاگ مرتبط با این سامانه‌ها مدیریت شود(جمع آوری،نگهداری،ذخیره‌سازی و اطمینان از صحت عملکرد آن‌ها).
• لاگ‌های جمع‌آوری شده از تمامی سامانه‌ها، به منظور کشف ناهنجاری‌ها و حملات سایبری مورد تحلیل قرار گیرند.
• لاگ‌های ثبت شده حداقل برای بازه زمانی یک سال در سازمان نگهداری شود و به طور متمرکز در دسترس باشد.
• لاگ‌های ثبت شده در مکان‌های امن و محافظت شده نگهداری شوند و در مقابل دسترسی غیرمجاز محافظت شوند.
• پروتکل‌ها و برنامه‌های کاربردی مرتبط با سامانه‌های حیاتی به طور منظم مورد پایش قرار گیرد تا از مطابقت آن‌ها با سیاست‌های امنیتی سازمان (لیست نرم‌افزار‌ها و پروتکل‌های مجاز تهیه شده) اطمینان حاصل شود.

تداوم و پایداری سرویس‌ها

• برای تمامی سرویس‌ها و سامانه‌های حیاتی طرح‌های تداوم و بازیابی از فاجعه تدوین و به‌روز‌رسانی شود.
• برای تمامی سامانه‌های حیاتی و سامانه‌های درگیر، داده‌های عملیاتی و حساس یابد(مطابق با سازوکار پشتیبان‌گیری که از قبل ایجاد شده) نسخه های پشتیبان تهیه شود که به صورت امن نگهداری می‌شود و از بازیابی آن‌ها در زمان بحران اطمینان حاصل شود.
• نسخه‌های پشتیبان باید بعد از امن سازی سامانه‌ها و از آخرین وضعیت آن‌ها(آخرین نسخه پیکربندی شده) تهیه شود.
• از وجود تمامی سامانه‌های حیاتی در سایت پشتیبان با عملکرد صحیح، آخرین پیکربندی‌ها و داده‌های اطلاعاتی اطمینان حاصل شود.
• نسخه‌های پشتیبان باید بعد از امن سازی سامانه‌ها و از آخرین وضعیت آن‌ها (آخرین نسخه پیکربندی شده) تهیه شود.
• دسترس پذیری سامانه‌ها و سرویس‌های حیاتی از طریق راهکار ‌های توزیع بار، HA و … افزایش یابد.
• فهرستی از نهادهای ذیصلاح و افراد کلیدی که باید در زمان بحران در دسترس باشند به همراه اطلاعات تماس آن‌ها، تهیه و به‌روز شده و در اختیار افراد مجاز قرار گیرد.

امنیت در زنجیره تامین

• SLA مناسب با فراهم کننده زیر ساخت در زمینه دسترس پذیری و تامین امنیت سرویس وجود داشته باشد.
• تنها از شرکت‌های دارای مجوز‌های امنیتی لازم برای دریافت خدمات امن سازی و مشاوره استفاده شود.
• در خرید تجهیزات تنها از محصولاتی که دارای مجوز‌های امنیتی لازم هستند استفاده شود.
• استفاده از افراد دو تابعیتی در امورات مرتبط با امنیت و مشاغل حساس مجاز نیست.
• اسامی و سمت افراد دو تابعیتی در جایگاه مدیریتی و کارشناسی به حراست سازمان ارسال شود.

اقدامات زمان بحران

به منظور مدیریت صحیح حوادث امنیتی، اقدامات تنها محدود به زمان وقوع حادثه و پس از آن نمی‌شود. بلکه مجموعه‌ای از تمهیدات پیش از وقوع حادثه باید در نظر گرفته شوند تا آمادگی اولیه در سطح سازمان وجود داشته باشد. در ادامه تشریح اقدامات ارائه شده است.

اقدامات قبل از حادثه (آمادگی)

اقدامات قبل از وقوع حادثه سایبری، از نوع اقدامات آماده سازی محیط و تیم است که بسترهای مناسب برای مواقع بحرانی را فراهم می‌کند. این اقدامات شامل:

• انجام اقدامات پیشگیرانه که قبل‌تر ارائه شد.
• آموزش کارکنان در راستای فرهنگ سازی امنیت
• تشکیل و آماده سازی تیم پاسخ به حادثه (به همراه آموزش و تعریف مأموریت)
• آماده‌ سازی و به‌روزرسانی نرم‌افزارها و سخت‌افزارهای موردنیاز در فرآیند پاسخ به حادثه
• ایجاد بستر در سازمان هدف برای پاسخ به حادثه و وجود روال‌های اداری و سازمانی هماهنگ و تعریف شده در برخورد با حوادث

اقدامات زمان حادثه (شناسایی، مهار، پاک‌سازی، بازیابی)

در این زمان حادثه سایبری صورت گرفته و تیم پاسخگویی به حوادث سایبری باید واکنش سریع و مناسب نشان دهد. مجموعه اقدامات مربوط به قبل از اعزام، حضور در محل حادثه، پاسخ به حمله و ترک محل حمله در این دسته قرار می‌گیرند. اصول زیر در زمان حادثه باید رعایت شود:

• در صورت مشاهده رخدادهای امنیتی بلافاصله مورد بررسی قرار گیرد.
• در صورت نیاز به هرگونه قطعی در هر یک از سرویس‌های حیاتی، هماهنگی‌های لازم صورت گیرد.
• محدوده حادثه و بحران را مشخص شود.
• دیاگرام شبکه و توپولوژی ارتباطات بین سیستم‌ها توسط مسئولین مشخص شود.
• براساس دیاگرام شبکه، نوع و اهمیت سرویس‌ها و همچنین نوع حادثه، ارتباطات شبکه‌ای محدود شود. ممکن است براساس وسعت و نوع حادثه ناچار به قطع اینترنت کل سازمان هدف باشید.
• سیستم‌های حساس از نظر داده و سرویس را با کمک مسئولان سازمان اولویت بندی شود.
• سیستم‌های آلوده و آسیب پذیر را قرنطینه کرده و از شبکه جداسازی شود.
• عملیات اکتساب داده انجام شده و بعد از اکتساب داده عملیات بازیابی شروع شود.
• عملیات فورنزیکی و بازیابی از سیستم‌های با اولویت بالا شروع شود.
• هرگونه لاگ در مسیر ارتباطی بین سیستم تا اینترنت از قبیل لاگ دیواره آتش، IDS و … جمع آوری شود.
• اگر سیستم به اینترنت وصل باشد در این صورت کابل شبکه از سیستم جدا شود.
• هر چیز غیرعادی حین بررسی مستند شود.
• از ابزارها و افراد نامطمئن برای مهار استفاده نشود.
• با افراد حاضر در صحنه حادثه (مخصوصاً مدیر سیستم) مصاحبه بعمل آید.
• هیچ‌گونه اطلاعات فنی تا زمان پایان پاسخ به حادثه در اختیار افراد فاقد صلاحیت قرار داده نشود.
• همه نکات یادداشت شده و هیچ چیزی تغییر داده نشود.
• وضعیت سیستم قبل از جمع آوری شواهد تغییر داده نشود (اجتناب از به‌روزرسانی، ترمیم و بازیابی و خاموش نمودن سیستم).
• مطمئن شوید که فرد غیرمجاز و مظنون نمی‌تواند به داده‌ها به‌صورت فیزیکی یا از طریق شبکه دسترسی داشته باشد.
• تجهیزات ذخیره‌سازی داده‌ها از میدان‌های مغناطیسی، گردوخاک و شوک الکتریکی محافظت شوند.
• داده‌های حساس، شکننده و فرار بدون آسیب زدن به حافظه‌های غیرفرار منتقل شوند.
• از هارد دیسک قربانی برای ذخیره‌سازی شواهد استفاده نشود.
• محل ذخیره داده‌های اکتساب شده به‌صورت فیزیکی امن باشند.
• به شواهد جمع آوری شده برچسب زده شود.
• زنجیره نگهداری و انتقال شواهد مستند سازی شده و شواهد در اختیار افراد فاقد صالحیت قرار داده نشود.

رویه نگهداری و امحاء شواهد جمع آوری شده از سازمان باید تعیین شود و اصول زیر رعایت شود:

• مشخصات فرد و زمان و اهداف دسترسی به شواهد یادداشت شوند.
• روی رسانه اصلی چیزی نوشته نشود.
• هیچ پردازه‌ای را از بین نبرید.
• به زمان سیستم دست نزنید.
• از شواهد محافظت کنید (هیچ مدرکی نباید در فرآیند انتقال و بررسی از بین برود).
• شواهد را آلوده نکنید (هیچ بدافزاری نباید در حین آنالیز وارد سیستم شود).
• در بررسی شواهد، نکات اخلاقی رعایت شوند.
• با ابزارهای نرم افزاری و سخت افزاری مناسبی image تهیه شود.
• hash image بدست آمده با hash اطلاعات اصلی مقایسه شده تا نسبت به صحت داده‌ها اطمینان حاصل شود.
• روی داده اصلی کار نشود.
• در استفاده از رسانه اصلی، عملیات جلوگیری از نوشتن به صورت سخت‌افزاری یا نرم‌افزاری اجرا شود.
• رسانه‌ای که قرار است image مبدأ روی آن قرار گیرد باید کاملا خالی باشد.
• حداقل دو کپی از شواهد تهیه شده باشد.

بازیابی سیستم

پس از بروز رخدادهای امنیتی بلافاصله طرح‌های تداوم فعالیت و بازیابی از فاجعه از نظر کارایی مورد بررسی قرار گرفته و در صورت نیاز اقدامات مربوطه به عمل آید. عملیات بازیابی اقداماتی را شامل می‌شود که باعث می‌شود که سیستم به حالت نرمال بازگردد و بتواند سرویس‌دهی کند.

• عامل حادثه (بدافزاری، نرم‌افزاری، سخت‌افزاری،انسانی) شناسایی شود.
• عامل حادثه را از سیستم‌های پشتیبان و سیستم‌های جاری و در حال کار حذف کنید.
• سیستم عامل و برنامه‌های کاربردی را به‌روزرسانی کنید.
• ضعف‌های امنیتی شناسایی شده روی شبکه از قبیل عدم وجود دیواره آتش، سرویس‌های غیرضروری موجود، عدم وجود آنتی ویروس و … را برطرف کنید.
• سیستم پشتیبان را به‌روزرسانی کرده و ابتدا به صورت آزمایشی در مقابل عامل حادثه تست و ارزیابی کنید.
• درصورتی که سیستم پشتیبان درست کار کرد، آن را راه‌اندازی کنید.
• رفتار سیستم و رفتار عامل حادثه را تا زمان پایداری سیستم و رفع بحران به صورت مناسب و شبانه‌روزی رصد کنید.
• اگر سیستم‌هایی در سایر قسمت‌های شبکه نسبت به عامل حادثه یا عوامل مشابه دیگر آسیب‌پذیر هستند اقدامات رفع آسیب‌پذیری روی آن‌ها انجام دهید.

اقدامات بعد از حادثه (یادگیری)

• رویه‌های مناسب یادگیری از حوادث امنیت اطلاعات تدوین و عملیاتی شود تا از تکرار حوادث امنیتی مرتبط جلوگیری شود.
• ایجاد گزارش حادثه و مستندسازی مناسب آن
• ارائه راهکار مناسب جهت جلوگیری از تکرار مجدد چنین حوادثی
• انتقال دانش و تجربیات به سازمان‌ها
• حفظ و نگهداری شواهد
• امحای شواهد بعد از زمان مقرر

اقدامات مدیریتی

• در نظر گرفتن تمهیدات لازم در خصوص مدیریت صحیح منابع انسانی به منظور جلوگیری از نارضایتی نیروهای مؤثر
• حتی‌المقدور ممنوعیت مرخصی‌ها در بازه بحران و یا مرخصی با برنامه‌ریزی متناسب با شرایط
• وجود فرایندهای تعاملی بین واحدهای امداد سایبری با متولیان سرویس‌ها و سامانه‌ها
• ایجاد تیم مدیریت بحران، تعیین نقش‌ها و مسئولیت‌ها و شرح وظایف مشخص و مکتوب
• آموزش افراد کلیدی و اعضای تیم مدیریت بحران به‌منظور مقابله و برخورد مناسب با حوادث سایبری
• معرفی نماینده تیم مدیریت بحران به‌عنوان مدیر پاسخگویی به رخداد سایبری به‌منظور تعامل و اطلاع رسانی حوادث سایبری 
• تدوین و اجرای برنامه‌های فرهنگ‌سازی و آگاه‌سازی کلیه کارکنان در حوزه امنیت سایبری
• آموزش و آگاهی‌ رسانی پرسنل در حوزه سیاست‌های امنیتی سازمان و مقابله با مهندسی اجتماعی