امنیت سایبری در شرایط بحرانی

AVID_SEC_Security_in_crisis_situations_v3.1.1

فهرست عناوین:

در شرایط بحرانی یا افزایش سطح تهدید سایبری، سازمان‌ها باید به سرعت وضعیت امنیت سایبری خود را بررسی و تقویت کنند. این چک‌لیست امنیتی فوری برای چنین شرایطی طراحی شده و شامل الزامات کلیدی، اقدامات سریع، و اولویت‌ها می‌باشد. این چک‌لیست می‌تواند به‌عنوان یک ابزار بررسی سریع در جلسه‌های بحران یا مرکز عملیات امنیت (SOC) استفاده شود.

چک‌لیست امنیت سایبری در شرایط بحرانی

توضیحات تکمیلی

بررسی پیکربندی فایروال و تجهیزات امنیتی: محدودسازی دسترسی و قطع سرویس‌های داخلی به اینترنت (مثل میل سرور سازمانی)

دسترسی مستقیم سامانه‌های داخلی (مانند میل سرور، سرور پایگاه‌داده و ...) به اینترنت مسدود گردد، مگر در موارد کاملاً ضروری.
ترافیک خروجی فقط از طریق سرورهای مجاز و کنترل‌شده با مکانیزم‌های NAT و فیلترینگ URL مجاز باشد.
سرویس‌هایی که هیچ نیازی به اینترنت ندارند، کلاً از دسترسی به اینترنت محروم شوند.
Ruleهای مربوطه بررسی، مستند و در صورت لزوم حذف یا اصلاح شوند.

غیرفعال‌سازی سرویس‌های غیرضروری: خدمات بلااستفاده روی سرورها و کلاینت‌ها را قطع کنید.

سرویس‌هایی مثل SNMP، Remote Registry، Print Spooler، Telnet، FTP، و SMBv1 را غیرفعال کنید. این کار حملات سطح سرویس را محدود می‌کند.

بررسی و بستن تمام دسترسی‌های ریموت غیرضروری: بستن یا محدود کردن به IPهای مشخص، فعال‌سازی MFA

تمامی پروتکل‌های دسترسی از راه دور مثل RDP، SSH، VNC، VPN فقط باید به IPهای مشخص در لیست سفید مجاز باشند. در سامانه‌های AD یا سامانه‌های VPN، حتماً احراز هویت چندمرحله‌ای مانند Microsoft MFA یا Forti Token فعال شود. پیشنهاد می‌شود اگر امکان دارد از Bastion Host یا Jump Server استفاده شود.

اجرای Backup کامل و آفلاین‌سازی نسخه: ذخیره خارج از دیتاسنتر یا در تجهیزات ایزوله

از اطلاعات حیاتی روی سرورها نسخه Full Backup گرفته شود و حداقل یکی از نسخه‌ها به‌صورت آفلاین در هارد اکسترنال نگهداری شود.
حتماً سیستم پشتیبان‌گیری از شبکه جدا باشد. استفاده از Veeam، Acronis یا Bacula مناسب است.

پایش لحظه‌ای ترافیک مشکوک شبکه: استفاده از IDS/IPS، بررسی لاگ‌های SIEM

با فعال‌سازی سیستم‌های تشخیص نفوذ مانند Suricata یا Snort و اتصال آن به SIEMهایی مانند Wazuh یا ELK Stack، ترافیک‌های مشکوک در لایه شبکه تحلیل شود. از Rule های بروزشده IOC و قوانین مبتنی بر رفتار استفاده شود. بررسی‌های روزانه روی لاگ‌های ارتباطی و هشدارها الزامی است.

اطلاع‌رسانی فوری به کلیه کارکنان درباره الزامات امنیتی: پیامک، ایمیل، اعلان درون‌سازمانی

یک پیام امنیتی عمومی طراحی و از طریق ایمیل، پیامک، اتوماسیون اداری یا ابزارهایی مانند پیام‌رسان داخلی به تمام کارکنان ارسال گردد. محتوا شامل هشدار درباره کلیک روی لینک‌های مشکوک، نصب نرم‌افزارهای ناشناس و تماس‌های احتمالی فیشینگ باشد. تأکید شود که هر فعالیت مشکوک باید گزارش شود.

غیرفعال‌سازی پورت‌های فیزیکی و شبکه‌ای بلااستفاده: شامل USB، RDP، Telnet،FTP و...

در سطح کلاینت‌ها، از طریق Group Policy پورت‌های USB محدود شود. در سرورها، پورت‌ها و پروتکل‌هایی مانند RDP در صورت عدم نیاز، Telnet و FTP غیرفعال گردد.

بازبینی مجدد سطوح دسترسی کاربران و سرویس‌ها: اصل حداقل دسترسی اجرا شود (برای تداوم کسب و کار، در ساعت غیراداری)

با استفاده از ابزارهایی مثل AD Audit یا PowerShell Script، سطوح دسترسی کاربران بررسی و اصلاح شود. اطمینان حاصل گردد که هیچ کاربر غیرمجاز به فایل‌ها یا سرورها دسترسی ندارد. دسترسی‌های غیرضروری در زمان خارج از ساعات کاری باید غیرفعال شوند. حساب‌های Local Admin و Shared Account نیز حذف یا محدود شوند.

محدودسازی ارتباطات اینترنتی غیرضروری: به‌ویژه در سیستم‌های OT یا دارایی‌های حیاتی

در سیستم‌های حیاتی OT مانند PLCها، SCADA، HMI و سرورهای کنترل صنعتی، ارتباط به اینترنت باید کاملاً قطع شود. فقط ترافیک مورد نیاز به‌صورت کنترل‌شده و با مکانیزم فایروال و NAT و Logging انجام گردد. استفاده از DMZ صنعتی و تفکیک VLANی برای جلوگیری از انتقال تهدیدات بین بخش‌های مختلف الزامی است.

مسدودسازی IPها و دامنه‌های مشکوک/ خصمانه: طبق IOC های مرکز افتا یا اطلاعات Threat Intelligence

لیست شاخص‌های نفوذ (Indicators of Compromise - IOC) که توسط مرکز مدیریت راهبردی افتا یا منابع Threat Intelligence بین‌المللی مانند MISP، Abuse IPDB منتشر شده‌اند را دریافت و در فایروال، سامانه IPS یا DNS Filtering بارگذاری و اعمال کنید. ابزارهایی مانند Suricata، pfSense و FortiGate امکان بارگذاری خودکار IOC دارند.

بررسی سلامت تجهیزات UPS و تأمین برق اضطراری: اطمینان از زمان‌بری عملکرد در قطعی برق

وضعیت باتری، ظرفیت زمان پشتیبانی و تست سلامت برق اضطراری را بررسی کنید. اطمینان حاصل شود که سرورهای حیاتی، سوئیچ‌ها و تجهیزاتOT روی UPS وصل هستند. ( بهتر است تست Failover واقعی انجام شود.)

بروزرسانی فوری آنتی‌ویروس‌ها و سامانه‌های امنیتی: اطمینان از به‌روزرسانی تمام امضاهای بدافزار

با استفاده از کنسول مدیریتی آنتی‌ویروس‌ها مانند پادویش بررسی کنید که آخرین Signatureها (پایگاه داده تهدید) روی تمام کلاینت‌ها و سرورها اعمال شده‌اند. حتماً بروزرسانی از منابع داخلی صورت گیرد تا ترافیک اینترنتی کاهش یابد.

اجرای بررسی دستی و خودکار از تغییرات فایل‌های حساس: استفاده از File Integrity Monitoring

روی فایل‌های سیستمی و تنظیمات حیاتی مثل registry، config فایل‌های سرور، فایل‌های حساب کاربری فعال شود. می‌توان از ابزارهایی مثل Tripwire، OSSEC، Wazuh یا سامانه‌های امنیتی بومی استفاده کرد.

فعال‌سازی حالت اضطراری در SOC: افزایش سطح پاسخگویی، تعریف سناریو حمله

در مرکز عملیات امنیت (SOC)، تمام تحلیل‌گران امنیتی باید به حالت آماده‌باش منتقل شوند. گردش‌کارها و سناریوهای احتمالی حملات مانند حمله DDoS، باج‌افزار یا نفوذ داخلی مرور و اجرا شود.

فعال‌سازی کامل و فوری رویدادنگاری امنیتی (Logging): Forward به SIEM، ذخیره امن لاگ‌ها

اطمینان حاصل شود تمام تجهیزات از جمله فایروال، سرور، سیستم‌عامل‌ها، تجهیزات OT و نرم‌افزارها لاگ امنیتی تولید می‌کنند. این لاگ‌ها باید به‌صورت real-time به SIEM ارسال و حداقل به مدت یک سال نگهداری شوند. استفاده از Elastic Stack، Wazuh یا Splunk پیشنهاد می‌شود.

بررسی آخرین نسخه سیستم‌عامل و نصب وصله‌ها: اعمال فوری وصله‌های حیاتی امنیتی

وضعیت بروزرسانی سیستم‌عامل و نرم‌افزارها از طریق WSUS، SCCM یا ابزارهای متن‌باز مانند OpenVAS بررسی شود. وصله‌هایی که CVSS بالا دارند یا از نظر Exploit فعال در لیست CISA یا NVD هستند، در اولویت نصب قرار بگیرند.

بازبینی حالت Fail-Safe سیستم‌های حیاتی: اطمینان از ادامه کارکرد در قطع دسترسی

تست شود که در صورت قطع برق، اینترنت، یا اختلال ارتباط با سرور مرکزی، سیستم‌های حیاتی مانند تجهیزات کنترلی OT، PLCها یا سیستم‌های HMI بتوانند به‌صورت محلی یا آفلاین به کار خود ادامه دهند. تنظیمات Local Control و Redundancy بررسی شود.

تدوین و اطلاع‌رسانی کانال اضطراری ارتباط (تماس داخلی): در صورت قطع اینترنت یا اختلال زیرساختی

در کنار ابزارهای خودکار مثل SIEM یا IDS، مسئولان فنی باید به‌صورت شیفتی لاگ‌ها، ترافیک شبکه، هشدارها و رفتار کاربران را دستی نیز بررسی کنند. این نظارت انسانی می‌تواند مواردی را کشف کند که ابزارها به‌علت نقص Signature از تشخیص آن‌ها ناتوانند.

فعال‌سازی سناریوهای پاسخ به حمله باج‌افزار و تخریبگر:بررسی دسترسی، محدودسازی انتشار فایل

با توجه به سناریوهای حمله باج‌افزار مانند WannaCry، Not Petya، محدودسازی اجرای فایل‌های اجرایی در مسیرهای خاص، غیر فعال سازی SMB، اجرای Application Whitelisting و قطع ارتباط بخش‌های پرخطر با شبکه اصلی توصیه می‌شود. تهیه نسخه Read-Only از بکاپ‌های حساس نیز الزامی است.

خدمات امنیت شبکه و پشتیبانی سایبری شرکت آوید

در این روزهای حساس و با افزایش تهدیدات سایبری، تیم پشتیبانی شرکت رایانش ابری آوید با آمادگی کامل در کنار کارفرمایان گرامی است تا خدمات تخصصی، مشاوره فنی و پشتیبانی امنیتی را به‌صورت مستمر و سریع ارائه دهد. هدف ما حفظ امنیت، پایداری و آرامش خاطر سازمان‌ها در مواجهه با شرایط بحرانی است.

راه‌حل شما اینجاست.

فقط کافیست شروع کنید

کشف کنید

در صفحه دمو با امکانات و راهکارهای ما بیشتر آشنا شوید و انتخابی آگاهانه داشته باشید.

مشاهدهمشاهده

مشاوره بگیرید

در یک جلسه رایگان، کارشناسان ما به شما کمک می‌کنند تا راهکار مناسب را انتخاب کنید.

درخواست جلسهدرخواست جلسه

شروع کنید

با اولین قدم، مسیر موفقیت را هموار کنید. با ما تماس بگیرید تا همراهتان باشیم.

تماس با ماتماس با ما