GH GambleHub

حادثه و پاسخ نشت

1) هدف، اصول و دامنه

هدف: کاهش آسیب و خطرات قانونی، اطمینان از تداوم عملیات و قابلیت اطمینان از اقدامات در صورت وقوع حوادث امنیتی/انطباق.
اصول: «به سرعت شامل → دقت تایید → شفاف سند → به طور قانونی اطلاع → جلوگیری از تکرار».
پوشش: حوادث سایبری (DDoS، ATO، هک ها، آسیب پذیری ها)، نشت اطلاعات PII/پرداخت، نقض AML/KYC/تحریم ها، شکست های ارائه دهنده (KYC/PSP)، حوادث تبلیغاتی/مسئول بازی (RG)، شرکای به خطر افتاده.

2) طبقه بندی شدت و عوامل

سطح بندیتوضیحات محصولنمونه هایی از عواملاقدامات اجباری
اطلاعات مربوط بهسیگنال/ناهنجاری بدون تایید1-2 هشدار ATO، متوسط CVE تکورود به سیستم، مشاهده
کم استشکست محلی بدون PII/پولتخریب KYC کمی، کوتاه مدت زمان PSPبلیط به مالک، تعمیر در هر تغییر
متوسطخطر بخش/صلاحیتCBR ↑ به آستانه، تایید خوشه ATOتشدید ≤4 ساعت، تنظیم قوانین/پچ
بالاتاثیر قابل توجه کسب و کارنشت PII محدود، شکست فروشنده KYCحادثه پل ≤1 ساعت، مهار
انتقادی استآسیب جرم/تنظیم مقرراتنشت جرم PII، DDoS با عدم دسترسی، بدون. نقض قانوناتاق جنگ ≤15 دقیقه، اطلاعیه ها و طرح های عمومی

3) افزایش SLA و «حادثه پل»

شروع: بالا/بحرانی یک اتاق جنگ (چت/تماس) ایجاد می کند، یک فرمانده حادثه (IC) را اختصاص می دهد.

SLA: اطلاعات - n/a ؛ کم - 24 ساعت ؛ متوسط - 4 ч ؛ بالا - 1 ساعت ؛ بحرانی - 15 دقیقه

نقش پل: IC، سرب امنیتی، SRE/Ops، انطباق (معاون IC برای قانونی بودن)، حقوقی/DPO، پرداخت/FRM، پشتیبانی/VIP، PR/Comms، داده ها/پزشکی قانونی.

4) فرآیند پاسخ (پشته SANS/NIST در سازگاری)

1. آماده سازی: کتابهای اجرا، لیست تماس، ارائه دهندگان پشتیبان، هشدارهای تست، دسترسی «پیش فرض بسته».
2. شناسایی: همبستگی SIEM/SOAR، قوانین ضد تقلب، سیگنال های KRI ؛ تایید واقعیت/حجم.
3. مهار: تقسیم بندی، غیرفعال کردن ویژگی/نقطه پایانی آسیب پذیر، محدودیت های جغرافیایی، پرچم های ویژگی، محدودیت های زمانی/نگه می دارد.
4. حذف (ریشه کن کردن): چرخش پچ/کلید، بلوک حساب ها/دستگاه ها، تمیز کردن مصنوعات مخرب، جمع آوری مجدد تصاویر.
5. بازیابی: اعتبار یکپارچگی، ورود تدریجی ترافیک (استخرهای قناری)، نظارت بر رگرسیون.
6. پس از حادثه: پس از مرگ ≤72 ساعت، طرح CAPA، سیاست های به روز رسانی/آستانه/مدل.

5) اطلاعیه های حقوقی و ارتباطات خارجی

💡 پنجره های زمان و مقصد توسط صلاحیت/مجوز متفاوت است. تمرکز بر الزامات و قراردادهای محلی معیار حفاظت از داده های مکرر این است که ظرف 72 ساعت پس از شناسایی نشت قابل توجه، به مقامات نظارتی اطلاع دهید. اطلاع رسانی به کاربران - «بدون تاخیر غیر ضروری» در معرض خطر حقوق/منافع خود.
ماتریس مقصد و دلایل (مثال):
  • نظارت بر داده ها (DPA): نشت PII تایید شده → اطلاع رسانی (شرح حادثه، دسته بندی داده ها، اقدامات، تماس DPO).
  • تنظیم کننده قمار: نقض گسترده قوانین/شکست های تبلیغاتی RG که بر بازیکنان/گزارش ها تأثیر می گذارد.
  • بانک ها/PSP: فعالیت مشکوک/موارد SAR، بازپرداخت عظیم، سازش جریان پرداخت.
  • کاربران: نشت داده های خود/خطر بالای آسیب ؛ قالب نامه و سوالات متداول.
  • شرکا/فروشندگان: حوادثی با آنها یا با ما که بر جریان/داده های مشترک تاثیر می گذارد.

قوانین Comm: یک سخنران واحد، حقایق بدون حدس و گمان، اقدامات روشن/توصیه ها، ذخیره تمام نسخه های پیام ها و پاسخ ها.

6) پزشکی قانونی و «زنجیره حضانت» (زنجیره حضانت)

ثبت کنید که چه کسی/چه زمانی/چه چیزی جمع آوری شده است ؛ از ذخیره سازی WORM/غیر قابل تغییر استفاده کنید.
عکس های فوری حجم/ورود، صادرات مصنوعات از طریق هش کردن (SHA-256).
دسترسی فقط خواندنی، کار از طریق تکراری.
تمام دستورات/مراحل را مستند کنید جدول زمانی را ذخیره کنید.
موافقت با حقوقی/DPO در شرایط برای انتقال آثار به اشخاص ثالث.

7) ارتباطات کنترل شده (داخلی/خارجی)

انجام: مختصر، واقعی، موافقت با IC/حقوقی ؛ مشخص کردن شکاف به روز رسانی بعدی (به عنوان مثال. هر 60 دقیقه)

انجام ندهید: فرضیه ها به عنوان حقایق، افشای PII، اتهامات، وعده های مهلت های بدون بررسی.

قالب به روز رسانی داخلی (هر 30-60 دقیقه):
  • چه اتفاقی افتاد ؟/شدت/منطقه نفوذ/اقدامات انجام شده/مراحل بعدی/به روز رسانی بعدی در...

8) playbook دامنه معمولی "و

الف) نشت PII (برنامه/باطن/فروشنده)

1. Bridge ≤15 min → فریز کردن نقاط پایانی/کلیدهای مشکوک → امکان افزایش حسابرسی دسترسی به داده ها را فراهم می کند.
2. نرخ: تعیین منبع/حجم/نوع PII، خط زمان.
3. اقدامات: چرخش اسرار، رفع، تجدید نظر در حقوق، جداسازی فروشنده.
4. اطلاعیه ها: DPA/تنظیم کننده/کاربران/شرکای (به عنوان مورد نیاز).
5. پشتیبانی بازیکن: سوالات متداول، کانال پشتیبانی، توصیه (تغییر رمز عبور/تقلب).

6. پس از مرگ و کاپا

ب) سازش حساب های بازیکن (ATO/چاشنی اعتبار)

1. سنبله در سیگنال های ATO → تقویت limit/2FA-enforce/WebAuthn نرخ، بلوک های خروجی موقت.
2. خوشه بندی دستگاه ها/IP، ارسال اطلاعیه ها به کسانی که تحت تاثیر قرار گرفته اند، بازنشانی نشانه ها.
3. بررسی معاملات مالی، SAR در صورت لزوم.

ج) امتناع از ارائه دهنده CUS/تحریم

1. سوئیچ به ارائه دهنده جایگزین، محدود کردن خروجی سریع، جریان دستی برای VIP.
2. برای پشتیبانی و مدیران VIP ؛ در طول سفت شدن - اطلاع رسانی به تنظیم کننده/بانک ها (اگر آن را بر چک).

د) حادثه PSP/پرداخت (بازپرداخت/مصالحه)

1. 3DS/AVS دقیق، محدودیت رها کردن و قوانین سرعت را فعال کنید. گروه های خطر را حفظ کنید.
2. اطلاع PSP/بانک ؛ با علائم پولشویی - EDD/SAR.
3. بازیابی و حسابرسی ترافیک را رد کرد.

E) DDoS/عدم دسترسی

1. فعال کردن WAF/geo-cutting/scrubbing ؛ «یخ» منتشر می کند.
2. شامل قناری مناطق، کنترل SLO ؛ پس از مرگ در مقاومت.

9) ابزار و مصنوعات

SIEM/SOAR، IDS/IPS، WAF، EDR، DLP، مدیر مخفی، چرخش طاق، تشخیص ناهنجاری ضد تقلب، ثبت حادثه، قالب های اطلاع رسانی.
مصنوعات: ثبت حادثه، پروتکل پل (جدول زمانی)، گزارش پزشکی قانونی، بسته اطلاع رسانی (تنظیم کننده/کاربران/بانک ها)، پس از مرگ، ردیاب CAPA.

10) معیارها و اهداف

MTTD (زمان تشخیص)، MTTC (قبل از مهار)، MTTR (قبل از بازیابی).
درصد از حوادث با علت ریشه ای تاسیس ≥ 90٪.
میزان تکمیل CAPA 95٪ ≥.
نسبت حوادث تکراری به همین دلیل 5٪ ≤.
نسبت حوادث بسته شده در SLA: متوسط ≥ 90٪، بالا ≥ 95٪، بحرانی ≥ 99٪.

11) RACI (بزرگ شده)

فرمانده حادثه (Ops/Sec): A برای مدیریت، تصمیم گیری، جدول زمانی.
سرب امنیتی (R): تکنولوژی. تجزیه و تحلیل، پزشکی قانونی، مهار/ریشه کن کردن.
انطباق/DPO (R/A برای قانونی بودن): نشت صلاحیت، اطلاعیه ها، لیست پستی.
حقوقی (C): ارزیابی حقوقی، قراردادها/قراردادها، جمله بندی نامه ها.
SRE/Engineering (R): رفع، بازپرداخت، ثبات.
پرداخت/FRM (R): نگه می دارد، آستانه ضد تقلب، تعامل با PSP/بانک ها.
PR/Comms (R): پیام های خارجی، پرسش و پاسخ برای پشتیبانی.
پشتیبانی/VIP (I/C): جلوی ارتباط با بازیکنان.

12) قالب (حداقل مجموعه)

12. 1 کارت حادثه (ثبت نام)

ID· زمان کشف· کلاس/شدت· تحت تاثیر قرار (سیستم/داده ها/حوزه های قضایی)· IC· صاحب تکنولوژی/کسب و کار· اقدامات اول· حجم/ارزیابی آسیب· اطلاعیه ها (به/زمانی که)· لینک به مصنوعات· وضعیت/CAPA/مهلت.

12. 2 اطلاع رسانی به کاربران (فشار دادن)

چه اتفاقی افتاد ؟ چه اطلاعاتی ممکن است تحت تأثیر قرار گرفته باشد ؛ کاری که ما کردیم ؛ آنچه ما به شما توصیه می کنیم اطلاعات تماس ؛ مرجع سیاست/پرسش و پاسخ.

12. 3 پس از مرگ (ساختار)

آمار/جدول زمانی· تاثیر· ریشه علت (5 چرا)· چه کار می کرد/کار نمی کند· کاپا (مالک/مهلت)· بررسی اثربخشی پس از N هفته.

13) ادغام با عملیات و انطباق

CAB/تغییر: تغییرات خطرناک - تنها از طریق پرچم ویژگی/canaries ؛ هر نسخه دارای یک برنامه بازگشت است.
داده ها و گزارش: مونتاژ خودکار داشبورد حوادث ؛ ارتباط با KRIs (تحریم/PEP، KYC، CBR، ATO).
خطرات: به روز رسانی ماتریس خطر و ثبت، کالیبراسیون آستانه پس از هر حادثه بزرگ.

14) تمرین و آمادگی

Tabletop یک بار در هر سه ماه (نشت PII، شکست KYC، موج ATO، حادثه PSP).
قرمز/آبی/بنفش تیم چک ؛ تمرینات مشترک با فروشندگان و PSP.

KPI آمادگی: درصد کارکنانی که آموزش را تکمیل کرده اند ؛ موفقیت این تمرین ؛ متوسط زمان «آسانسور پل»

15) نقشه راه پیاده سازی

1-2 هفته: به روز رسانی نقش ها/مخاطبین، قالب ها، ارائه دهندگان پشتیبان.
3-4 هفته: playbooks SOAR، کانال های پل، اعلان های تست، بایگانی WORM.
ماه 2 +: تمرینات منظم، گزارش های حسابرسی، اتوماسیون گزارش حادثه.

TL ؛ دکتر متخصص

آمادگی = نقش ها و آستانه های از پیش توافق شده + پل سریع + مهار سخت + اطلاعیه های قانونی و به موقع + پزشکی قانونی با زنجیره ای از شواهد + مرگ و میر اجباری و CAPAs. این آسیب را به حداقل می رساند، خطرات مجازات را کاهش می دهد و اعتماد به نفس بازیکنان و شرکا را تقویت می کند.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.