واقعہ رسپانس پلان ٹیمپلیٹ: تیار کریں، پتہ لگائیں، جواب دیں، بازیافت کریں۔

IBM کی ڈیٹا بریچ کی لاگت کی رپورٹ سے پتہ چلتا ہے کہ واقعات کے ردعمل کے منصوبے اور ٹیمیں خلاف ورزی کے اخراجات کو اوسطاً 2.66 ملین ڈالر کم کرتی ہیں اور خلاف ورزیوں کی نشاندہی 54 دنوں کے مقابلے میں تیزی سے کرتی ہیں۔ اس کے باوجود 77 فیصد تنظیموں کے پاس مسلسل لاگو واقعاتی ردعمل کا منصوبہ نہیں ہے۔

واقعہ کا جواب (IR) منصوبہ کوئی دستاویز نہیں ہے جو شیلف پر بیٹھا ہو۔ یہ ایک پلے بک ہے جسے آپ کی ٹیم جانتی ہے، مشق کر چکی ہے، اور دباؤ میں اس پر عمل کر سکتی ہے۔ یہ گائیڈ NIST فریم ورک کے بعد ایک مکمل، حسب ضرورت IR پلان ٹیمپلیٹ فراہم کرتا ہے۔

---

حصہ 1: منصوبہ کا جائزہ

مقصد

یہ واقعہ رسپانس پلان سائبر سیکیورٹی کے واقعات کا پتہ لگانے، ان کا جواب دینے، ان پر مشتمل ہونے اور ان سے بازیافت کرنے کے طریقہ کار کو قائم کرتا ہے۔ یہ ایک مربوط، موثر ردعمل کو یقینی بناتا ہے جو نقصان اور بحالی کے وقت کو کم کرتا ہے۔

دائرہ کار

یہ منصوبہ تنظیم کے اندر موجود تمام معلوماتی نظام، نیٹ ورکس، ڈیٹا اور صارفین کا احاطہ کرتا ہے، بشمول:

• آن پریمیس اور کلاؤڈ انفراسٹرکچر
• ملازم اور ٹھیکیدار کے آلات
• تھرڈ پارٹی سسٹمز تنظیمی ڈیٹا پر کارروائی کرتے ہیں۔
• IT اثاثوں کو متاثر کرنے والے جسمانی تحفظ کے واقعات

واقعہ کی درجہ بندی

---

حصہ 2: کردار اور ذمہ داریاں

واقعہ رسپانس ٹیم

| کردار | ذمہ داری | بنیادی رابطہ | بیک اپ رابطہ | |------|-------------------------------|---------------| | واقعہ کمانڈر | مجموعی کوآرڈینیشن، فیصلہ کرنے کا اختیار | [نام، فون، ای میل] | [نام، فون، ای میل] | | تکنیکی قیادت | تکنیکی تحقیقات اور روک تھام | [نام، فون، ای میل] | [نام، فون، ای میل] | | کمیونیکیشن لیڈ | اندرونی اور بیرونی مواصلات | [نام، فون، ای میل] | [نام، فون، ای میل] | | قانونی مشیر | ریگولیٹری ذمہ داریاں، قانونی رہنمائی | [نام، فون، ای میل] | [نام، فون، ای میل] | | کاروباری رابطہ | کاروباری اثرات کی تشخیص، اسٹیک ہولڈر اپ ڈیٹس | [نام، فون، ای میل] | [نام، فون، ای میل] | | ایگزیکٹو اسپانسر | ایسکلیشن اتھارٹی، ریسورس ایلوکیشن | [نام، فون، ای میل] | [نام، فون، ای میل] |

RACI میٹرکس

R = ذمہ دار، A = جوابدہ، C = مشاورت، I = باخبر

---

حصہ 3: واقعے کے ردعمل کے چھ مراحل

مرحلہ 1: تیاری

کوئی بھی واقعہ پیش آنے سے پہلے تیاری ہوتی ہے۔

تکنیکی تیاری:

• سیکیورٹی مانیٹرنگ ٹولز تعینات اور کنفیگر کیے گئے (SIEM, EDR, IDS/IPS)
• مرکزی نظام کے تمام اہم نظاموں سے لاگ جمع کرنا
• بیک اپ سسٹمز کا تجربہ کیا گیا (گزشتہ 30 دنوں میں تصدیق شدہ بحال)
• نیٹ ورک ڈایاگرام موجودہ اور قابل رسائی آف لائن
• اثاثوں کی انوینٹری کرنٹ (تمام سسٹمز، ایپلیکیشنز، ڈیٹا اسٹورز)
• فرانزک ٹول کٹ جمع (امیجنگ ٹولز، رائٹ بلاکرز، کسٹڈی فارمز کا سلسلہ)

تنظیمی تیاری:

• IR ٹیم کے اراکین کی شناخت اور تربیت کی گئی۔
• رابطے کی فہرست موجودہ (بشمول اوقات کار اور ویک اینڈ نمبرز)
• مواصلاتی ٹیمپلیٹس تیار کیے گئے (کسٹمر، ریگولیٹر، میڈیا، ملازم)
• قانونی ذمہ داریوں کو دستاویز کیا گیا (دائرہ اختیار کے لحاظ سے اطلاع کے تقاضے)
• پچھلے 6 مہینوں میں ٹیبل ٹاپ ورزش کی گئی۔
• فریق ثالث کا IR برقرار رکھنے والا (فارنزکس فرم، قانونی فرم)
• سائبر انشورنس پالیسی کا جائزہ لیا گیا اور موجودہ

مرحلہ 2: کھوج اور تجزیہ

** کھوج کے ذرائع:**

ابتدائی آزمائشی سوالات:

1. کیا ہوا؟ (کیا پتہ چلا، کس نے، کب؟)
2. کون سے نظام متاثر ہوتے ہیں؟ (دائرہ کار کی تشخیص)
3. کیا واقعہ اب بھی فعال ہے؟ (جاری بمقابلہ تاریخی)
4. کون سا ڈیٹا خطرے میں ہو سکتا ہے؟ (درجہ بندی کی سطح)
5. کاروباری اثر کیا ہے؟ (آپریشن میں خلل)
6. کیا یہ کسی ریگولیٹری نوٹیفکیشن کی ضروریات کو متحرک کرتا ہے؟

دستاویزات پہلے منٹ سے:

Incident ID: INC-[YEAR]-[SEQUENTIAL]
Date/Time Detected: [YYYY-MM-DD HH:MM UTC]
Detected By: [Person/System]
Detection Method: [Alert/Report/Discovery]
Initial Classification: [P1/P2/P3/P4]
Affected Systems: [List]
Initial Description: [What is known]
Assigned To: [Incident Commander]

فیز 3: کنٹینمنٹ

** قلیل مدتی روک تھام (خون بہنا بند کریں):**

طویل مدتی روک تھام (تحقیقات کے دوران):

کنٹینمنٹ فیصلہ میٹرکس:

مرحلہ 4: خاتمہ

واقعے کی اصل وجہ نکال دیں۔

ختم کرنے کی فہرست:

• تمام میلویئر/بیک ڈور کی شناخت کریں اور ہٹا دیں۔
• کمزوری کو جوڑیں جس کا استحصال کیا گیا تھا۔
• تمام سمجھوتہ شدہ اسناد کو دوبارہ ترتیب دیں (پاس ورڈز، API کیز، سرٹیفکیٹس)
• متاثرہ سسٹمز پر کنفیگریشنز کا جائزہ لیں اور سخت کریں۔
• سمجھوتے کے اشارے (IoCs) کے لیے تمام سسٹمز کو اسکین کریں
• تصدیق کریں کہ حملہ آور استقامت کے طریقہ کار کو ہٹا دیا گیا ہے۔
• لاگز کا جائزہ لیں اس بات کی تصدیق کرنے کے لیے کہ کسی دوسرے سسٹم سے سمجھوتہ نہیں کیا گیا ہے۔

مرحلہ 5: بحالی

نظام اور آپریشن کو معمول پر بحال کریں۔

** بازیابی کا عمل:**

1. تصدیق کریں کہ خاتمہ مکمل ہو گیا ہے (دوبارہ اسکین کریں، لاگز کا جائزہ لیں)
2. کلین بیک اپ سے سسٹم کو بحال کریں (اگر ضرورت ہو)
3. پیداوار پر واپس آنے سے پہلے سسٹم کی سالمیت کی توثیق کریں۔
4. 30 دنوں کے لیے ہائیٹنڈ الرٹنگ کے ساتھ بحال شدہ سسٹمز کی نگرانی کریں۔
5. آہستہ آہستہ معمول کی کارروائیوں کو بحال کریں (سب سے پہلے اہم نظام)
6. ڈیٹا کی سالمیت کی تصدیق کریں (بیک اپ سے موازنہ کریں، ترمیم کی جانچ کریں)
7. تصدیق کریں کہ کاروباری سرگرمیاں معمول کے مطابق چل رہی ہیں۔

فیز 6: واقعے کے بعد کا جائزہ

واقعہ کی بندش کے 5 کاروباری دنوں کے اندر عمل کریں۔

** ایجنڈے کا جائزہ لیں:**

1. ٹائم لائن کی تعمیر نو --- کیا ہوا، کب، اور کس ترتیب میں؟
2. ** کھوج کی تاثیر** --- واقعے کا پتہ کیسے چلا؟ کیا اس کا پہلے پتہ چل سکتا تھا؟
3. ردعمل کی تاثیر --- کیا اچھا ہوا؟ کیا نہیں کیا؟
4. جڑ کا تجزیہ --- بنیادی وجہ کیا تھی؟ (صرف تکنیکی کمزوری نہیں، بلکہ عمل/پالیسی کا فرق)
5. سبق سیکھے --- اس کے نتیجے میں ہم کیا بدلیں گے؟
6. ایکشن آئٹمز --- مالکان اور ڈیڈ لائن کے ساتھ مخصوص بہتری

---

حصہ 4: کمیونیکیشن ٹیمپلیٹس

اندرونی مواصلات (ملازمین کی اطلاع)

Subject: Security Incident Update - [Date]

Team,

We have identified a security incident affecting [brief description].

What we know:
- [Factual summary of the situation]
- [Systems/data potentially affected]

What we are doing:
- [Response actions taken]
- [Timeline for resolution]

What you should do:
- [Specific employee actions, e.g., change passwords]
- [Who to contact with questions]

We will provide updates every [frequency].

[Incident Commander Name]

کسٹمر کی اطلاع (اگر ضرورت ہو)

Subject: Important Security Notice from [Company]

Dear [Customer],

We are writing to inform you of a security incident that may have
affected your data. We take the security of your information seriously
and want to be transparent about what occurred.

What happened: [Brief, factual description]
When: [Date range of the incident]
What information was involved: [Specific data types]
What we have done: [Response and remediation actions]
What you can do: [Recommended customer actions]

For questions, contact our dedicated response team at [contact info].

[Executive Name and Title]

---

حصہ 5: پلان کی جانچ کرنا

ٹیبلٹ ٹاپ ورزش کا سانچہ

منظر: "ایک ملازم ایک فشنگ ای میل میں ایک لنک پر کلک کرتا ہے۔ دو گھنٹے بعد، سیکورٹی ٹیم ملازم کے ورک سٹیشن سے کسی نامعلوم بیرونی IP پر خفیہ کردہ ٹریفک کا پتہ لگاتی ہے۔"

ہر مرحلے پر بحث کے سوالات:

1. سب سے پہلے کس کو مطلع کیا جاتا ہے؟ کیسے؟
2. اس کی شدت کو کیا درجہ بندی کیا گیا ہے؟
3. ہم فوری طور پر کنٹینمنٹ کے کیا اقدامات کرتے ہیں؟
4. ہم کیا ثبوت محفوظ رکھتے ہیں؟
5. وسیع تر تنظیم سے کون رابطہ کرتا ہے؟
6. ہم کب قانونی مشیر کو شامل کرتے ہیں؟
7. کیا یہ ریگولیٹری نوٹیفکیشن کو متحرک کرتا ہے؟

ٹیبل ٹاپ مشقیں سہ ماہی کریں۔ مکمل نقلی مشقیں سالانہ۔

---

متعلقہ وسائل

• خلاف ورزی کی اطلاع اور واقعہ کا جواب --- ریگولیٹری اطلاع کے تقاضے
• زیرو ٹرسٹ امپلیمینٹیشن گائیڈ --- واقعات کی روک تھام
• سیکیورٹی آگاہی کی تربیت --- انسانی وجہ سے ہونے والے واقعات کو کم کرنا
• دخول ٹیسٹنگ گائیڈ --- حملہ آوروں سے پہلے کمزوریوں کو تلاش کرنا

---

ایک واقعہ رسپانس پلان ناگزیر کے خلاف آپ کی تنظیم کی انشورنس پالیسی ہے۔ جب خلاف ورزی ہوتی ہے تو، کنٹرول شدہ ردعمل اور افراتفری کے درمیان فرق تیاری ہے۔ ECOSIRE سے رابطہ کریں واقعہ کے ردعمل کی منصوبہ بندی اور سیکورٹی اسسمنٹ سروسز کے لیے۔