1 - آمادگی در برابر حملات
●همواره از بروزترین نرمافزارهای دارای مجوز به همراه آخرین نسخههای Patchهای آنان استفاده کنید.
● تمام سیستمهای موجود در شبکه را اسکن کنید تا از عدم وجود هر نوع ویروس، تروجان یا جاسوسافزار مطمئن شوید. مطمئن شوید نرمافزار امنیتی شما کلیه راههای ورود و خروج شبکه را حفاظت میکند. همچنین همیشه مطمئن باشید که نرمافزار امنیتی شما از آخرین فایلهای شناسایی کدهای مخرب، بهرهمند است.
● با استفاده از یک زمانبندی مناسب، همواره از اطلاعات سیستم خود (هفتگی، روزانه و ...) پشتیبانگیری کنید.
●در سایتهای مربوط به فروشندگان نرمافزارهای امنیتی عضو شوید تا بولتنهای مربوط به آخرین پچها و سایر امور و موارد لازم برای شما ارسال شود.
● یک تیم 24 ساعته آماده، شامل افراد فعال در زمینهِ مسائل مدیریتی - فنی برای مقابله با مسائل امنیتی و بدافزارها تشکیل دهید.
●فهرستی از شماره تلفن یا وسیله تماس افرادی که در مواقع بروز مشکل به آنان نیاز دارید، جمعآوری نمایید.
● از تمام اطلاعات و سیستمهای مهم خود کپیبرداری کنید تا در مواقع ضروری و مورد نیاز بتوانید به عنوان پشتیبان از آنها استفاده کنید و آنها را در محیط اصلی بازیابی نمایید. برای این کار باید مطمئنشوید که به اندازه کافی فضای مورد نیاز برای نگهداری اطلاعات کامپیوترهای آلوده را در دسترس دارید. در این صورت باید کل هارددیسک را به صورت Image کپی بگیرید.
● بیشتر بدافزارها به دلیل عدم آگاهی کاربران داخلی و از طریق آنها به سیستم راه مییابند. بنابراین تا میتوانید کاربرانتان را با این مسائل آشنا نمایید.
2 - شناسایی حمله
به برخی علایم شایع و غیرعادی در زمان حمله بدافزارها توجه کنید:
● خاموش یا خاموش و روشن شدن سیستم
●ترافیک زیاد شبکه
● کند شدن سیستمهای ورود و خروج شبکه
● فعالیت بیدلیل هارددیسک، درایوها یا برخی فایلها
● غیرقابل دسترس شدن ناگهانی برخی سایتها یا کامپیوترهای راه دور (البته ممکن است آن سایتها موردحمله قرار گرفته باشند).
3 - پاسخ به حمله
●سیستمهای آلوده را از شبکه جدا کنید. البته این کار را باید با دقت بیشتری انجام دهید؛ چرا که برخی بدافزارها متوجه جدا شدن یک کامپیوتر آلوده شده از شبکه میشوند و آن گاه فعالیت اصلی خود را آغاز میکنند.
● سیستمهای آلوده را با استفاده از نرمافزارهای امنیتی ضد بدافزارها پاکسازی نمایید. مطمئن باشید که فایلهای شناسایی نرمافزار مورد استفاده شما بروز است؛ چرا که ممکن است خطرناکترین نوع بدافزارها همین چند ساعت پیش بروز شده باشند.
●هدف نهایی مورد نظر بدافزار را شناسایی نمایید و از صحت آن اطمینان حاصل کنید. اگر آلوده نیست، از آن نسخه پشتیبان تهیه کنید. کدهای مخرب درون بدافزار ممکن است هنوز فعال نشده باشند. بنابراین قبل از فعال شدن، آنها را پاک کنید.
● محل ورود بدافزار را شناسایی کنید. این مسئله به شما کمک میکند از شبکه، سرورها و سایر سیستمهایی که میتوانند راه ورود بدافزار باشند، حفاظت بیشتری کنید.
● فرض کنید بدافزار، بیش از صرفاً چند فایل معمولی را هدف قرار داده است. حتی تصور کنید شاید در حین پاکسازی، برخی اطلاعات کاری خود را از دست بدهید. بنابراین قبل از اسکن کردن مطمئن شوید که سیستم از روی یک سیدی سالم یا فلاپی دیسک غیر قابل نوشتن بوت شده است تا عمل اسکن با اطمینان بیشتری انجام شود.
اینکه سیستم به بدافزار آلوده شده، مسئلهای شایع است. بنابراین از بروز چنین مسئلهای ناامید و سرگشته نشوید و سعی کنید مشکل را با کمک افراد خبرهِ تیم خود حل نمایید.
افراد متخصص درمسائل امنیتی میتوانند در پارهای موارد به ویروس، کرم یا هر بدافزار دیگری عمداً اجازه دهند در سیستم پراکنده شود و خود را بیشتر آشکار کند تا عملکرد و نحوه مقابله با آن سریعتر کشف شود.
4 - بازیابی سرویسها و سیستمها
● رمز عبورهای کلیه سیستمها و سرورها را عوض کنید.
● مطمئن شوید برای عمل بازیابی، فایلهای پشتیبان را از سیستمهای غیرآلوده برداشتهاید.
● اگر سیستم شما مورد حملات مستمری قرار میگیرد، لاگفایلتان را چک کنید تا شاید آدرسIP حملهکننده را پیدا کنید.
● فعالیت شبکه را بهطور منظم و با دقت کنترل کنید تا مطمئن شوید هیچ بدافزاری در سیستم پنهان نشده یا هیچ کد مخرب جدیدی در سیستم ایجاد نشده است.
5 - بازسازی صحنه حادثه
● تیم مقابله با بدافزار را دور هم جمع کنید تا معلوم شود همگی از این مقابله، چه تجربیاتی کسب نمودهاند.
● مشخص کنید نحوه مقابله این تیم با بدافزار تا چه اندازه مؤثر بوده است و آیا میتوان این مقابله را در آینده مؤثرتر نمود؟ در واقع مدیر تیم باید بتواند تغییر و تحولات لازم در این زمینه را انجام دهد.
کلیه وقایع پیش آمده را برای مدیران رده بالاتر توضیح دهید تا آنها را برای اتفاقات آینده آماده نمایید.