۶ مرحله برای واکنش به رخداد طبق توصیه SANS

مؤسسه SANS برای کمک به سازمان‌ها در زمینه واکنش به رخدادها، چارچوبی شش مرحله‌ای ایجاد کرده است که از کشف اولیه نفوذ تا تحقیقات پس از رخداد را در برمی‌گیرد.

۱٫ آماده‌سازی
تثبیت و استقرار سیاست‌های امنیتی، تعریف یک استراتژی واکنش با تمام جزئیات، تعیین کسانی که در CIRT فعالیت می‌کنند و تهیه ابزارهای لازم را پوشش می‌دهد.

۱٫ شناسایی و تعیین محدوده
شناسایی و تعیین محدوده رخدادها در آن تشخیص داده می‌شود. کشف سریع رخدادها، کنترل خسارت و هزینه‌های ناشی از نفوذ را آسان‌تر خواهد کرد. این معمولا توسط کارکنان بخش IT انجام می‌گیرد که از فایل‌های لاگ، پیام‌های خطا و ابزارهای پایش برای تعیین چگونگی، مکان و زمان وقوع رخداد استفاده می‌کنند. زمان توقف- یعنی بازه زمانی بین کشف رخداد و برطرف کردن آن- می‌تواند برای سازمان‌هایی که در موقعیت‌های مکانی مختلف قرار دارند، متفاوت باشد. از آنجایی که شناسایی فوری برای به دست آوردن نتیجه مثبت ضروری است، شرکت‌هایی که در مناطق مختلف جهان واقع شده‌اند باید در زمان طراحی برنامه‌های واکنش، این موضوع را در نظر داشته باشند.

۳٫ محدودسازی نفوذ/ جمع‌آوری اطلاعات
بر متوقف کردن تهدید به منظور جلوگیری از خسارت‌های آینده و حفظ هرگونه شواهدی تمرکز دارد که ممکن است در جریان پیگیری‌های حقوقی احتمالی مفید واقع شوند. به علاوه، این مرحله تهیه نسخه پشتیبان از سیستم‌ها و اقدامات کوتاه و بلند مدت محدودسازی نفوذ که در مرحله آماده‌سازی پیش‌بینی شده را نیز شامل می‌شود.

۴٫ ریشه‌کن‌سازی/ برطرف‌سازی
که عمده آن بر حذف تهدید موجود از شبکه و بازگرداندن سیستم‌ها به وضعیت پیش از رخداد تمرکز دارد. این کار می‌تواند فوق‌العاده چالش‌برانگیز باشد، زیرا ممکن است داده‌ها در طی رخداد از دست رفته باشد. در این مرحله، همه اطلاعات محرمانه‌ای که دچار آسیب شده باشند، باید بازنشانی شوند. برای اطمینان از بازنشانی مؤثر و اطلاع‌رسانی آن به طرف‌های متأثر از تهدید، باید دقت کافی مبذول شود. پس از مرحله ریشه‌کن‌سازی، سیستم‌ها باید ضمن عاری شدن از هر گونه تهدید، از فایل‌هایی که جدیدا ایجاد شده یا اصلاحات کدها نیز پاکسازی شوند.

۵٫ بازیابی
سیستم‌ها مجددا به عملیات خود بازگشته و سپس برای اطمینان از عملکرد درست، پایش می‌شوند. همچنین این مرحله وابستگی‌ها در سیستم را حل‌وفصل کرده و با استفاده از ابزارهای اعتبارسنجی، داده‌های خروجی را نیز مورد تأیید قرار می‌دهد.

۶٫ تجربیات کسب شده
تجربه‌های کسب‌شده را می‌توان مهم‌ترین مرحله به شمار آورد. CIRT باید همه مراحل قبلی را مجددا مورد بررسی قرار دهد تا اجرای درست آنها را مورد تائید قرار داده و وظایف را برای رخداد بعدی تشریح کند. بینش و تجربه‌ای که از بازبینی کامل آنچه در طی فرآیند واکنش به رخدادها اتفاق افتاده، می‌تواند به عنوان مطالب آموزشی برای آموزش CIRT و معیار مقایسه در آینده مورد استفاده قرار گیرد.