خطة الاستجابة للحوادث السيبرانية – كل ما تحتاجه في مكان واحد

554 مشاهدة
11 دقائق

لدى أغلب المؤسسات نظام لإدارة الحوادث لمساعدتها في جمع البيانات وفرزها وإيصالها إلى الأشخاص المناسبين وتحليلها وما إلى ذلك. هذا ما يمكن لنظام إدارة الحوادث القيام به. يمكن تسجيل جميع جوانب الحادث والتقاط جميع البيانات والاحتفاظ بها في نظام مركزي يعزز خطة الاستجابة للحوادث. يمكن لاحقاً استخدامه لتحليل الحادث. والحصول على مدخلات من مجموعة واسعة من المصادر بما في ذلك أنظمة كشف التطفل على الشبكة IDS أو إدارة أحداث المعلومات الأمنية أو أنظمة SIEM. يمكن الحصول على البيانات وجمعها في نظام إدارة الحوادث بحيث يكون لدى الفريق مجموعة شاملة من البيانات لتحليلها.

يتضمن تنظيم القدرة على الاستجابة لحوادث أمن المعلومات العديد من التخصصات، القرارات والإجراءات. يجب أن يكون أحد الاعتبارات الأولى هو إنشاء فريق مسؤول عن هذه العملية. يجب كذلك تحديد تعريف محدد لمفهوم “الحادث الأمني” بحيث يكون نطاق المصطلح واضحاً، وأن تحدد المستويات الإدارية المسؤولة ما هي الخدمات التي يجب أن يقدمها فريق الاستجابة للحوادث، والنظر في هيكلية الفريق و قدرته على تقديم الخدمات المتوقعة منه من حيث المعرفة، التدريب و الكفاءة. كما يعد إنشاء السياسات والإجراءات جزءاً مهماً يتمم عملية إنشاء الفريق.

إن هذه السياسات والإجراءات ترفع سوية الاستجابة للحوادث وتسمح أن يتم تنفيذها بفعالية وكفاءة ، بحيث ينجز الفريق ما هو متوقع منه بشكل منهجي. إضافة لما سبق، فإن ذلك يوضح تفاعل فريق الاستجابة مع فرق العمل المختلفة داخل المؤسسة، وكذلك مع الأطراف الخارجية، مثل الجهات القانونية ووسائل الإعلام.

الأحداث والحوادث

الحدث -Event- هو أي حدث يمكن ملاحظته في نظام أو شبكة. تتضمن الأحداث اتصال مستخدم بملف مشاركة، خادم يتلقى طلباً لصفحة ويب، مستخدم يرسل بريداً إلكترونياً، وجدار حماية يحظر محاولة الاتصال. الأحداث السلبية هي أحداث ذات نتائج سلبية، مثل تعطل النظام، والاستخدام غير المصرح به لامتيازات النظام، والوصول غير المصرح به إلى البيانات الحساسة، و تفعيل البرامج الضارة التي تدمر البيانات. بينما يعد حادث أمن المعلومات -Incidnet- انتهاكاً أو تهديداً وشيكاً بانتهاك سياسات أمن المعلومات، سياسات الاستخدام المقبول أو ممارسات أمن المعلومات القياسية. يشمل ذلك ولا يقتصر على الأمثلة التالية:

  • شبكة بوتات مسيطر عليها ترسل كميات كبيرة من طلبات الاتصال إلى خادم الويب، مما يتسبب في توقف خدمات الضحية.
  • يخداع المستخدمين لفتح ملف يتم إرساله عبر البريد الإلكتروني وهو في الواقع برنامج ضار يؤدي تشغيله إلى إصابة الحواسب الخاصة بهم وإنشاء اتصال مع مضيف خارجي C&C
  • حصول المهاجم على بيانات حساسة وتهديده بنشرها في حالة عدم دفع رضوخ المؤسسة للابتزاز بدفع مبلغ محدد من المال.
  • يكشف المستخدم معلومات حساسة أو يكشفها للآخرين من خلال خدمات مشاركة الملفات.

عملية إدارة الحوادث

تحتاج كل مؤسسة لامتلاك خطة لإدارة الأحداث السلبية غير المتوقعة. تتمثل أهداف إدارة الحوادث في تقليل تأثير الحدث على المؤسسة وبياناتها وأنظمتها واستعادة العمليات التجارية العادية في أسرع وقت ممكن. الاستجابة للحوادث هي جزء من عملية إدارة الحوادث، وهي قدرات المؤسسة ومواردها وأفرادها وعملياتها وإجراءاتها، وكل ما يمكنهاأن تقدمه للاستجابة لحدث سلبي والرد عليه. يمكن أن يتضمن الحدث الضار أشياء مثل هجوم إلكتروني، أو تسرب مياه، أو تهديد داخلي، أو حادث داخلي. لكن عادة ما نفرق بين الأحداث الطبيعية والحوادث التي من صنع الإنسان. الحدث الطبيعي هو حادث طبيعي مثل الزلازل. إنها أشياء يصعب التنبؤ بها وفي بعض الأحيان يصعب جداً الوقاية منها أو الحماية منها. ثم هناك حوادث من صنع الإنسان مثل هجمات القرصنة أو الحرائق المتعمدة أو الحوادث التي قد تحدث في مكان العمل. كلها حوادث من صنع الإنسان. ويمكن تصنيف الحادثة بإحدى هاتين الطريقتين أو التصنيفات الأخرى.

كثيراً ما تؤدي الهجمات إلى تعريض البيانات الشخصية والتجارية للخطر، ومن الأهمية بمكان الاستجابة بسرعة وفعالية عند حدوث انتهاكات أمنية لأن امتلاك القدرة على التعامل المتسق مع الحادث يسرع اتخاذ الإجراءات المناسبة لتقليل مخاطر فقدان أو سرقة المعلومات وتعطل الخدمات بسبب الحوادث. كذلك تتضمن خطة الاستجابة آلية لاستخدام المعلومات المكتسبة أثناء التعامل مع الحادث للاستعداد بشكل أفضل للتعامل مع الحوادث المستقبلية وتوفير حماية أقوى للأنظمة والبيانات. كما تساعد مثل هذه الخطة في التعامل بشكل صحيح مع المشكلات القانونية التي قد تنشأ أثناء الحوادث.

أساسيات إدارة الحوادث وخطة الاستجابة

لنناقش بعض الأساسيات التي تحتاج كل مؤسسة لمعرفتها حتى تتمكن من الحصول على برنامج جيد لإدارة الحوادث بنجاح. في البداية، ما هي أهداف إدارة الحوادث؟ إنها التعرف على الحوادث في أسرع وقت ممكن. وتحديد ما نواجه بشكل دقيق والحصول على مزيد من المعلومات حوله حتى نعرف كيفية الرد عليه و كذلك تحديد مدى خطورة الحوادث وتصنيفها. تتيح إدارة الحوادث أن يكون المعنيين قادرين على الاستجابة بسرعة وفعالية حتى نتمكن من احتواء الضرر الناجم عن حادث ما.

الهدف مما سبق هو استمرار العمل، و إعادته إلى حالته الطبيعية، و منع وقوع حوادث مستقبلية إن أمكن. كجزء من إدارة الحوادث، نحتاج إلى القيام ببعض الأشياء قبل وقوع الحادث. وهذا يعني أننا بحاجة إلى تطوير خطة الاستجابة للحوادث والسياسة والإجراءات والاستراتيجية. نحن بحاجة لمعرفة كيف سنقوم بتصنيف الحوادث من حيث التأثير والخطورة. نحتاج أيضاً إلى تعيين أشخاص لفريق الاستجابة للحوادث وتدريبهم جيداً. شيء آخر يتعين علينا القيام به في وقت مبكر هو إنشاء إجراءات الإخطار والتنبيه لأنه يجب أن نكون قادرين على تنبيه وإخطار الأشخاص المناسبين وصولاً لأعلى مستوى إداري عند وقوع حادث.

إدارة المخاطر و خطة الاستجابة للحوادث

إدارة الحوادث هي جزء من إدارة المخاطر. تساعدنا إدارة الحوادث على تقليل المخاطر إلى حد ما لأنها نحتوي بسرعة الضرر الناتج عن حادث ما ونستجيب للحادث لأنه يمثل خطراً على منظمة الأعمال. بمعرفة المخاطر، يمكننا إدراك التهديدات التي تستغل نقاط الضعف واحتمالية التأثير الناتج عن تلك الأشياء. هذا التهديد لنقاط الضعف هو الحدث السلبي، أو الحادث الأمني. هذه هي الطريقة التي ترتبط بها إدارة المخاطر بإدارة الحوادث. إحدى الطرق التي يمكننا من خلالها محاولة اكتشاف الحوادث التي قد تحدث لنا هي القيام بنمذجة التهديدات. وتحليل جميع نقاط الضعف لدينا لمعرفة التهديدات التي يمكن أن تستغلها. سيساعدنا هذا في معرفة الحوادث التي يمكن أن تحدث ومدى خطورتها من حيث تأثيرها على المؤسسة.

و لابد هنا من الإشارة لمفهوم حاطئ وهو اعتقاد الناس أن إدارة الحوادث تشمل فقط إدارة تكنولوجيا المعلومات أو أمن المعلومات. هذه الفرضية خاطئة. تشمل إدارة الحوادث كل قسم في الشركة تقريباً. قسم تكنولوجيا المعلومات، ولكن أيضاً قسم الموارد البشرية، والقسم القانوني، والعلاقات العامة، وما إلى ذلك. تساعد كل هذه الأقسام في إدارة الحوادث لأنها تساهم في جوانب مختلفة مما قد نفعله استجابة لحادث ما.

قد تساهم الموارد البشرية في حالة أن الموظف الداخلي هو الذي يسبب الحادث أو هو الفاعل الضار. يريد القسم القانوني التأكد من أننا نقوم بكل شيء بشكل قانوني، مع بذل العناية الواجبة وتقليل المسؤولية. يريد قسم العلاقات العامة توصيل المعلومات الصحيحة إلى وسائل الإعلام في الوقت المناسب. الجوانب الأخرى للمؤسسة مهمة أيضاً، مثل برامج التأمين والمخاطر لأنها ستساعد في تغطية التكاليف وما إلى ذلك. تعد برامج الامتثال مهمة لأن الكثير من أطر الامتثال تتطلب برنامجاً لإدارة الحوادث. الخصوصية هي جانب آخر قد نتدخل فيه عندما نرد على حادث ما لأن بيانات العميل أو البيانات الشخصية قد تتعرض للخطر، لذلك علينا أن نعرف كيفية الرد على ذلك فيما يتعلق بالخصوصية.

إنشاء سياسة وخطة وإجراءات الاستجابة للحوادث

يجب أن يكون لدى منظمات الأعمال منهج منسق و موثق للاستجابة للحوادث. تحتاج كل منظمة إلى خطة تلبي متطلباتها بما ينسجم مع مهمة المنظمة وحجمها وهيكلها ووظائفها. ويجب أن تتضمن الخطة الموارد اللازمة والدعم من المستويات الإدارية. يجب أن تتضمن خطة الاستجابة للحوادث العناصر التالية بالحد الأدنى:

  •  المهمة، الاستراتيجيات والأهداف.
  •  موافقة الإدارة العليا.
  • هيكلية فريق الاستجابة للحوادث.
  • طريقة تواصل فريق الاستجابة للحوادث داخلياً وخارجياً. 
  • معايير لقياس القدرة على الاستجابة للحوادث وفعاليتها.

بمجرد قيام المؤسسة بتطوير خطة والحصول على موافقة الإدارة، يجب عليها بعد ذلك تنفيذ الخطة ومراجعتها سنوياً على الأقل للتأكد من نضج قدرتها على الاستجابة للحوادث مع مرور الوقت.

بناء فريق الاستجابة

من المهم للمؤسسات اختيار الأشخاص ذوي المهارات المناسبة لفريق الاستجابة للحوادث. ومن هذه المهارات، المصداقية، المهارات الفنية وقدرات التفكير النقدي. وتشمل المهارات التقنية إدارة النظام، وإدارة الشبكة، البرمجة والدعم الفني وكشف التسلل. وكذلك فإن مهارات العمل الجماعي والتواصل مطلوبة أيضاً للتعامل الفعال مع الحوادث. وينبغي توفير التدريب اللازم لجميع الفريق أعضاء. يعتمد فريق استجابة للحوادث على خبرة وقدرات الفرق الأخرى المعنية بالحوادث، بما في ذلك الإدارة و تكنولوجيا المعلومات والشؤون القانونية والتسويق و التواصل و إدارة الأبنية. وعلى الرغم من أن التركيز الرئيسي للفريق هو العمل وفق خطة الاستجابة للحوادث إلا أن معظم الفرق تؤدي وظائف إضافية. ومنها مراقبة أدوات كشف التسلل، وتوفير النصائح الأمنية، وتثقيف المستخدمين حول الأمن السيبراني.

خطة الاستجابة للحوادث – معايير النجاح و الفشل

في إدارة الحوادث، كيف نعرف أننا نقوم بعمل جيد؟ نحن بحاجة إلى أن نكون قادرين على اكتشاف وتحديد الحوادث في أسرع وقت ممكن. يجب أن تتضمن خطة الاستجابة للحوادث توثيقاً للإجراءات التي تم ممارستها وتحديدها. وكذلك فإن اختيار أعضاء فريق الاستجابة بعناية، وتدريبهم يحدث فرقاً في هذا الخصوص. والشيء الآخر المطلوب من إدارة الحوادث هو أن تكون معقولة من حيث التكلفة. وتعزز الاختبارات الدورية للقدرة على الاستجابة للحوادث فرص النجاح. علاوة على ذلك، إذا كان برنامج إدارة الحوادث مصمماً بشكل جيد، فيجب أن يسمح لنا بجمع مؤشرات لقياس مدى جودة أدائنا وتحليل تلك البيانات. كما ينبغي أن يسمح لنا بالنظر إلى الحادث وجميع الدروس المستفادة منه ومعرفة السبب الجذري وكيف يمكننا منع وقوع هذا الحادث مرة أخرى. نحن نستخدم هذه الدروس المستفادة لمنع وقوع المزيد من الحوادث وأيضاً لزيادة مدى استجابتنا للحوادث لأننا سنتعلم الكثير أثناء أي حادث حول ما يجب علينا فعله وما لا ينبغي لنا فعله.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أنظمة كشف التسلل
أنظمة كشف التسلل IDS
أنظمة منع التسلل IPS
أنظمة منع التسلل IPS
DeepFake - التزييف العميق
DeepFake – تطبيق يتلاعب بالوجوه بطريقة مبتكرة و لكن خطيرة
حصان طروادة
حصان طروادة – عندما تحاول التهديدات السيبرانية إظهار نفسها كبرامج مفيدة
حماية البيانات
سرية البيانات و حمايتها من مخاطر أمن المعلومات
أمن الشبكات-تجهيزات شبكة
أمن الشبكات – أنواعه و دوره في الحماية من التهديدات السيبرانية
الهجوم الإلكتروني
الهجوم الإلكتروني “انتحال DNS” وطرق الحماية منه
أولويات الحماية
أهم 10 تحديات للأمن السيبراني يجب الاستعداد لها في عام 2022