التحقيقات في الحوادث الأمنية داخل البنوك الجزء الثاني
الخطوات التقليدية للاستجابة للحوادث الأمنية إشراك وظيفة التحقيق في الحوادث الأمنية
يتطلب التحضير: عمليات وإجراءات البنية التحتية المعمول بها للحفاظ على الأدلة مع التداخل قدر الإمكان مع مهام الاستجابة الأخرى للحوادث. كذلك ، يجب أن تكون المعلومات والإجراءات في مكانها الصحيح لتسريع التحقيق.
يوفر: التغذية الراجعة لتحسين مهام الاستجابة (والأمن) الأخرى للحوادث.
يتطلب تحديد الهوية: الإشارة إلى حادث محتمل والمكان الذي يبدأ فيه التحقيق.
يوفر: تأكيدًا للحادث ، ومعلومات عن التأثير / المدى ، وتفاصيل أخرى.
الاحتواء
استئصال
يتطلب الاسترداد: معلومات تتعلق بأي أنشطة قد تؤثر على الأدلة أو عملية التحقيق (ماذا ومتى وكيف ومن ولماذا).
يوفر: نتائج التحقيق. بمعنى آخر. المعلومات التي يمكن أن تكون مفيدة أيضًا لأداء مهام احتواء واستئصال واسترداد أكثر فعالية.
تتطلب الدروس المستفادة: معلومات حول أي مشاكل أثناء الاستجابة للحادث حيث تم إشراك وظيفة التحقيق في الحادث (على سبيل المثال ، المدخلات المتوقعة من التحقيق التي لم تكن متاحة أو غير مفيدة).
يوفر: استخبارات أمنية (أي ارتباط الأدلة الذي يساعد على تحسين الاستجابة للحوادث وغيرها من الممارسات الأمنية).
من خلال ما ناقشناه حول التعارضات بين التحقيقات في الحوادث الأمنية ومهام الاستجابة الأخرى للحوادث ، يمكننا أن نستنتج أن البنوك تتطلب تحقيقات أمنية هي:
“سريع” وظائف الأمان الأخرى التي أعتمد عليها (مثل خطوة تحديد الهوية)
“موثوقة ودقيقة” يجب أن تمتثل للمتطلبات التنظيمية وأفضل الممارسات المقبولة.
“غير تدخلي” – يجب ألا تؤثر على المهام الأمنية الأخرى (على وجه الخصوص ، مهام الاحتواء والقضاء والاسترداد أثناء الاستجابة للحوادث). ومن ثم قد لا يكون من الممكن فصل الأنظمة عن الخط لإجراء التحقيق.
“كاملة” التحقيقات يجب أن تشمل الإجابة على الأسئلة التالية بشأن الحادث: ماذا ، ماذا ، متى ، أين ، كيف ، من ولماذا.
التحضير للتحقيقات الأمنية
التحضير هو أهم مرحلة في التحقيقات في الحوادث الأمنية حيث أن معظم المتطلبات التي نوقشت سابقًا لا يمكن معالجتها في وقت إجراء التحقيق.
لذلك يجب أن تتناول الاستعدادات هذه المتطلبات (ما يجب أن يوفره التحقيق) وكذلك احتياجات عملية التحقيق نفسها (أي كل ما تتطلبه عملية التحقيق من مصادر أخرى).
لزيادة السرعة ، نحتاج إلى أداء أكبر عدد ممكن من المهام قبل بدء أي تحقيق. تشمل هذه المهام:
• جمع معلومات الاتصال
• إعداد واختبار موارد التحقيق
â € ¢ أتمتة أنشطة التحقيق (البرامج / الأجهزة)
- إعداد جميع الأعمال الإدارية (نماذج مع بعض الحقول المعبأة مسبقًا ، والتفاوض على أذونات الوصول ، وإنشاء قنوات اتصال ومعلومات الاتصال)
• ضمان توفر المعلومات المطلوبة (مثل خرائط البنية التحتية وتخصيص الموارد / معلومات الموقع)
مما سبق ، قد يكون الوصول إلى معلومات الموارد أحد أكثر المتطلبات أهمية وصعوبة للوفاء بها. أثناء التحقيق في الحادث ، سيتعين على أفراد الأمن معرفة أشياء مثل: الموقع المادي لجهاز الكمبيوتر ، ومعلومات الشبكة المقابلة ، والتطبيقات المستخدمة ووظائفها ، والعلاقة بين التطبيقات والأنظمة الأخرى ومعلومات الاتصال للموظفين المسؤولين عن هذه الموارد. قد تكون معلومات التطبيق معقدة بشكل خاص للتوثيق والتحليل. تقوم البنوك عادة بتطوير تطبيقات محلية الصنع لدعم الخدمات المخصصة ؛ الحفاظ على توثيق مفصل لكل تطبيق وعلاقاتهم مع الموارد الأخرى ليست مهمة سهلة أو رخيصة.
ومع ذلك ، من الضروري أن تكون هذه الوثائق دقيقة ومتاحة بسهولة للمحققين. قد يستغرق البحث في موقع جهاز كمبيوتر استنادًا إلى عنوان IP الخاص به ما يصل إلى بضع ساعات إذا لم تكن هناك معلومات أو وجود مخطط تخصيص منطقي ؛ أيضًا ، فإن إضاعة المحققين للوقت لمعرفة العلاقات مع الأنظمة والتطبيقات الأخرى أثناء التحقيق ليس هو الأمثل ، خاصة عندما تنتظر بقية فرق الاستجابة للحوادث معلومات من هذا التحقيق لبدء العمل.
تعتبر اللوائح أيضًا مشكلة بالنسبة للبنوك لأنها يمكن أن تؤثر على نطاق وطريقة إجراء التحقيقات. تتطلب بعض اللوائح مستويات معينة من التسلسل الهرمي ليتم إخطارها على الفور ببعض الحوادث (الخطيرة). أيضًا ، قد يحتاج العملاء والأطراف الثالثة (مثل معيار أمان بيانات PCI) وإنفاذ القانون (مثل لوائح FTC / OCC) إلى الإخطار ، في ظل بعض الظروف ، في إطار زمني محدود. تتطلب المعايير واللوائح الأخرى الحفاظ على الأدلة للحوادث الأمنية والتدريب المناسب للأفراد الذين يجرون التحقيقات في الحوادث الأمنية (مثل ISO 17799 ، اتفاقية بازل الثانية). وبالتالي ، يجب أن يشارك المحامون من البنوك بعمق في هذه المرحلة.
يمكن تحقيق بقية المتطلبات والموثوقية والدقة وعدم الاقتحام والاكتمال من خلال إجراءات استبدال النظام المناسبة (على سبيل المثال ، توصيل أنظمة النسخ الاحتياطي البديلة أثناء إيقاف النظام المتأثر للتحقيق) وتنفيذ مسارات تدقيق مناسبة في المواقع الرئيسية. يمكن أن توفر أنظمة اكتشاف التسلل معلومات مفيدة إلى حد ما ، ولكن على مستوى التطبيق (وقد ذكرنا بالفعل انتشار التطبيقات المخصصة داخل البنوك) يجب دمج أنظمة تتبع التدقيق الآمن في الأماكن الصحيحة.
فيما يتعلق بمرحلة تحديد الهوية في عملية الاستجابة للحادث ، نعلم أن التحقيق يحتاج على الأقل إلى الحد الأدنى من المعلومات المتعلقة بالحادثة (أي أنه من المحتمل أن يكون موجودًا ونقطة انطلاق للتحقيق). نظرًا لأن المهام الأخرى ضمن عملية الاستجابة للحوادث قد تتطلب في الواقع نتائج التحقيق في الحادث للمضي قدمًا ، فنحن نعلم بالفعل أن المصادر التقليدية للمعلومات لهذه المهام (مثل أنظمة الكشف عن التسلل ومسارات التدقيق) لن تكون كافية.
من أهم مصادر المعلومات للتحقيقات التغذية المرتدة من البشر. نظرًا للطبيعة المستهدفة لبعض أنواع الهجمات التي تستهدف البنوك ، فقد يمر العديد منها دون أن يلاحظها أحد بالنسبة لضوابط الأمان التقليدية (مثل هجمات التصيد الخارجية ضد العملاء ، وهجمات الهندسة الاجتماعية التي تستهدف موظفين معينين). لذلك يعد دمج هؤلاء الأفراد في شبكة أجهزة الاستشعار أمرًا ضروريًا للحصول على طرق كشف فعالة لجميع أنواع الحوادث الأمنية.