M.A.H.S.A
08-22-2011, 11:48 AM
چند راهكار ساده ميتواند شما را از صدمات ناشي از حمله بدافزارها دور نگه دارد. در اين مقاله با تعدادي از آنها آشنا ميشود.
1 - آمادگي در برابر حملات
●همواره از بروزترين نرمافزارهاي داراي مجوز به همراه آخرين نسخههاي Patchهاي آنان استفاده كنيد.
● تمام سيستمهاي موجود در شبكه را اسكن كنيد تا از عدم وجود هر نوع ويروس، تروجان يا جاسوسافزار مطمئن شويد. مطمئن شويد نرمافزار امنيتي شما كليه راههاي ورود و خروج شبكه را حفاظت ميكند. همچنين هميشه مطمئن باشيد كه نرمافزار امنيتي شما از آخرين فايلهاي شناسايي كدهاي مخرب، بهرهمند است.
● با استفاده از يك زمانبندي مناسب، همواره از اطلاعات سيستم خود (هفتگي، روزانه و ...) پشتيبانگيري كنيد.
●در سايتهاي مربوط به فروشندگان نرمافزارهاي امنيتي عضو شويد تا بولتنهاي مربوط به آخرين پچها و ساير امور و موارد لازم براي شما ارسال شود.
● يك تيم 24 ساعته آماده، شامل افراد فعال در زمينهِ مسائل مديريتي - فني براي مقابله با مسائل امنيتي و بدافزارها تشكيل دهيد.
●فهرستي از شماره تلفن يا وسيله تماس افرادي كه در مواقع بروز مشكل به آنان نياز داريد، جمعآوري نماييد.
● از تمام اطلاعات و سيستمهاي مهم خود كپيبرداري كنيد تا در مواقع ضروري و مورد نياز بتوانيد به عنوان پشتيبان از آنها استفاده كنيد و آنها را در محيط اصلي بازيابي نماييد. براي اين كار بايد مطمئنشويد كه به اندازه كافي فضاي مورد نياز براي نگهداري اطلاعات كامپيوترهاي آلوده را در دسترس داريد. در اين صورت بايد كل هاردديسك را به صورت Image كپي بگيريد.
● بيشتر بدافزارها به دليل عدم آگاهي كاربران داخلي و از طريق آنها به سيستم راه مييابند. بنابراين تا ميتوانيد كاربرانتان را با اين مسائل آشنا نماييد.
2 - شناسايي حمله
به برخي علايم شايع و غيرعادي در زمان حمله بدافزارها توجه كنيد:
● خاموش يا خاموش و روشن شدن سيستم
●ترافيك زياد شبكه
● كند شدن سيستمهاي ورود و خروج شبكه
● فعاليت بيدليل هاردديسك، درايوها يا برخي فايلها
● غيرقابل دسترس شدن ناگهاني برخي سايتها يا كامپيوترهاي راه دور (البته ممكن است آن سايتها موردحمله قرار گرفته باشند).
3 - پاسخ به حمله
●سيستمهاي آلوده را از شبكه جدا كنيد. البته اين كار را بايد با دقت بيشتري انجام دهيد؛ چرا كه برخي بدافزارها متوجه جدا شدن يك كامپيوتر آلوده شده از شبكه ميشوند و آن گاه فعاليت اصلي خود را آغاز ميكنند.
● سيستمهاي آلوده را با استفاده از نرمافزارهاي امنيتي ضد بدافزارها پاكسازي نماييد. مطمئن باشيد كه فايلهاي شناسايي نرمافزار مورد استفاده شما بروز است؛ چرا كه ممكن است خطرناكترين نوع بدافزارها همين چند ساعت پيش بروز شده باشند.
●هدف نهايي مورد نظر بدافزار را شناسايي نماييد و از صحت آن اطمينان حاصل كنيد. اگر آلوده نيست، از آن نسخه پشتيبان تهيه كنيد. كدهاي مخرب درون بدافزار ممكن است هنوز فعال نشده باشند. بنابراين قبل از فعال شدن، آنها را پاك كنيد.
● محل ورود بدافزار را شناسايي كنيد. اين مسئله به شما كمك ميكند از شبكه، سرورها و ساير سيستمهايي كه ميتوانند راه ورود بدافزار باشند، حفاظت بيشتري كنيد.
● فرض كنيد بدافزار، بيش از صرفاً چند فايل معمولي را هدف قرار داده است. حتي تصور كنيد شايد در حين پاكسازي، برخي اطلاعات كاري خود را از دست بدهيد. بنابراين قبل از اسكن كردن مطمئن شويد كه سيستم از روي يك سيدي سالم يا فلاپي ديسك غير قابل نوشتن بوت شده است تا عمل اسكن با اطمينان بيشتري انجام شود.
اينكه سيستم به بدافزار آلوده شده، مسئلهاي شايع است. بنابراين از بروز چنين مسئلهاي نااميد و سرگشته نشويد و سعي كنيد مشكل را با كمك افراد خبرهِ تيم خود حل نماييد.
افراد متخصص درمسائل امنيتي ميتوانند در پارهاي موارد به ويروس، كرم يا هر بدافزار ديگري عمداً اجازه دهند در سيستم پراكنده شود و خود را بيشتر آشكار كند تا عملكرد و نحوه مقابله با آن سريعتر كشف شود.
4 - بازيابي سرويسها و سيستمها
● رمز عبورهاي كليه سيستمها و سرورها را عوض كنيد.
● مطمئن شويد براي عمل بازيابي، فايلهاي پشتيبان را از سيستمهاي غيرآلوده برداشتهايد.
● اگر سيستم شما مورد حملات مستمري قرار ميگيرد، لاگفايلتان را چك كنيد تا شايد آدرسIP حملهكننده را پيدا كنيد.
● فعاليت شبكه را بهطور منظم و با دقت كنترل كنيد تا مطمئن شويد هيچ بدافزاري در سيستم پنهان نشده يا هيچ كد مخرب جديدي در سيستم ايجاد نشده است.
5 - بازسازي صحنه حادثه
● تيم مقابله با بدافزار را دور هم جمع كنيد تا معلوم شود همگي از اين مقابله، چه تجربياتي كسب نمودهاند.
● مشخص كنيد نحوه مقابله اين تيم با بدافزار تا چه اندازه مؤثر بوده است و آيا ميتوان اين مقابله را در آينده مؤثرتر نمود؟ در واقع مدير تيم بايد بتواند تغيير و تحولات لازم در اين زمينه را انجام دهد.
كليه وقايع پيش آمده را براي مديران رده بالاتر توضيح دهيد تا آنها را براي اتفاقات آينده آماده نماييد.
1 - آمادگي در برابر حملات
●همواره از بروزترين نرمافزارهاي داراي مجوز به همراه آخرين نسخههاي Patchهاي آنان استفاده كنيد.
● تمام سيستمهاي موجود در شبكه را اسكن كنيد تا از عدم وجود هر نوع ويروس، تروجان يا جاسوسافزار مطمئن شويد. مطمئن شويد نرمافزار امنيتي شما كليه راههاي ورود و خروج شبكه را حفاظت ميكند. همچنين هميشه مطمئن باشيد كه نرمافزار امنيتي شما از آخرين فايلهاي شناسايي كدهاي مخرب، بهرهمند است.
● با استفاده از يك زمانبندي مناسب، همواره از اطلاعات سيستم خود (هفتگي، روزانه و ...) پشتيبانگيري كنيد.
●در سايتهاي مربوط به فروشندگان نرمافزارهاي امنيتي عضو شويد تا بولتنهاي مربوط به آخرين پچها و ساير امور و موارد لازم براي شما ارسال شود.
● يك تيم 24 ساعته آماده، شامل افراد فعال در زمينهِ مسائل مديريتي - فني براي مقابله با مسائل امنيتي و بدافزارها تشكيل دهيد.
●فهرستي از شماره تلفن يا وسيله تماس افرادي كه در مواقع بروز مشكل به آنان نياز داريد، جمعآوري نماييد.
● از تمام اطلاعات و سيستمهاي مهم خود كپيبرداري كنيد تا در مواقع ضروري و مورد نياز بتوانيد به عنوان پشتيبان از آنها استفاده كنيد و آنها را در محيط اصلي بازيابي نماييد. براي اين كار بايد مطمئنشويد كه به اندازه كافي فضاي مورد نياز براي نگهداري اطلاعات كامپيوترهاي آلوده را در دسترس داريد. در اين صورت بايد كل هاردديسك را به صورت Image كپي بگيريد.
● بيشتر بدافزارها به دليل عدم آگاهي كاربران داخلي و از طريق آنها به سيستم راه مييابند. بنابراين تا ميتوانيد كاربرانتان را با اين مسائل آشنا نماييد.
2 - شناسايي حمله
به برخي علايم شايع و غيرعادي در زمان حمله بدافزارها توجه كنيد:
● خاموش يا خاموش و روشن شدن سيستم
●ترافيك زياد شبكه
● كند شدن سيستمهاي ورود و خروج شبكه
● فعاليت بيدليل هاردديسك، درايوها يا برخي فايلها
● غيرقابل دسترس شدن ناگهاني برخي سايتها يا كامپيوترهاي راه دور (البته ممكن است آن سايتها موردحمله قرار گرفته باشند).
3 - پاسخ به حمله
●سيستمهاي آلوده را از شبكه جدا كنيد. البته اين كار را بايد با دقت بيشتري انجام دهيد؛ چرا كه برخي بدافزارها متوجه جدا شدن يك كامپيوتر آلوده شده از شبكه ميشوند و آن گاه فعاليت اصلي خود را آغاز ميكنند.
● سيستمهاي آلوده را با استفاده از نرمافزارهاي امنيتي ضد بدافزارها پاكسازي نماييد. مطمئن باشيد كه فايلهاي شناسايي نرمافزار مورد استفاده شما بروز است؛ چرا كه ممكن است خطرناكترين نوع بدافزارها همين چند ساعت پيش بروز شده باشند.
●هدف نهايي مورد نظر بدافزار را شناسايي نماييد و از صحت آن اطمينان حاصل كنيد. اگر آلوده نيست، از آن نسخه پشتيبان تهيه كنيد. كدهاي مخرب درون بدافزار ممكن است هنوز فعال نشده باشند. بنابراين قبل از فعال شدن، آنها را پاك كنيد.
● محل ورود بدافزار را شناسايي كنيد. اين مسئله به شما كمك ميكند از شبكه، سرورها و ساير سيستمهايي كه ميتوانند راه ورود بدافزار باشند، حفاظت بيشتري كنيد.
● فرض كنيد بدافزار، بيش از صرفاً چند فايل معمولي را هدف قرار داده است. حتي تصور كنيد شايد در حين پاكسازي، برخي اطلاعات كاري خود را از دست بدهيد. بنابراين قبل از اسكن كردن مطمئن شويد كه سيستم از روي يك سيدي سالم يا فلاپي ديسك غير قابل نوشتن بوت شده است تا عمل اسكن با اطمينان بيشتري انجام شود.
اينكه سيستم به بدافزار آلوده شده، مسئلهاي شايع است. بنابراين از بروز چنين مسئلهاي نااميد و سرگشته نشويد و سعي كنيد مشكل را با كمك افراد خبرهِ تيم خود حل نماييد.
افراد متخصص درمسائل امنيتي ميتوانند در پارهاي موارد به ويروس، كرم يا هر بدافزار ديگري عمداً اجازه دهند در سيستم پراكنده شود و خود را بيشتر آشكار كند تا عملكرد و نحوه مقابله با آن سريعتر كشف شود.
4 - بازيابي سرويسها و سيستمها
● رمز عبورهاي كليه سيستمها و سرورها را عوض كنيد.
● مطمئن شويد براي عمل بازيابي، فايلهاي پشتيبان را از سيستمهاي غيرآلوده برداشتهايد.
● اگر سيستم شما مورد حملات مستمري قرار ميگيرد، لاگفايلتان را چك كنيد تا شايد آدرسIP حملهكننده را پيدا كنيد.
● فعاليت شبكه را بهطور منظم و با دقت كنترل كنيد تا مطمئن شويد هيچ بدافزاري در سيستم پنهان نشده يا هيچ كد مخرب جديدي در سيستم ايجاد نشده است.
5 - بازسازي صحنه حادثه
● تيم مقابله با بدافزار را دور هم جمع كنيد تا معلوم شود همگي از اين مقابله، چه تجربياتي كسب نمودهاند.
● مشخص كنيد نحوه مقابله اين تيم با بدافزار تا چه اندازه مؤثر بوده است و آيا ميتوان اين مقابله را در آينده مؤثرتر نمود؟ در واقع مدير تيم بايد بتواند تغيير و تحولات لازم در اين زمينه را انجام دهد.
كليه وقايع پيش آمده را براي مديران رده بالاتر توضيح دهيد تا آنها را براي اتفاقات آينده آماده نماييد.