الحوادث الأمنية – الاستجابة لها و الحد منها – الجزء الثالث

363 مشاهدة
8 دقائق

أحد الأهداف الأساسية لأي برنامج حماية هو منع الحوادث الأمنية. وعلى الرغم من الجهود التي يبذلها متخصصو تكنولوجيا المعلومات وخبراء الحماية إلا أن الحوادث ما زالت تقع باستمرار. لذا من الضروري أن تكون المؤسسة قادرة على الاستجابة لأي حادث والعمل على احتوائه. الهدف الأساسي من الاستجابة للحوادث هو التقليل أو الحد من تأثير الهجوم او الحادثة الأمنية على المنظمة أو الشركة. يستكمل روبودين في هذا المقال سلسلة الاستجابة للحوادث الأمنية التي تناولت في جزأيها السابقين طرق الاكتشاف،الاستجابة، التخفيف والإبلاغ.

الاستجابة للحوادث الأمنية – التعافي Recovery

بعد أن تتم عملية جمع الأدلة المناسبة من النظام فإن الخطوة التالية هي استعادة النظام أو إعادته إلى حالة التشغيل والعمل الطبيعية. في بعض الحالات من الممكن  أن يكون هذا الأمر بسيطاً جداً. ففي الحوادث الأقل تعقيداً، قد يتطلب الأمر فقط إعادة التشغيل. وبالمقابل ففي الحوادث الكبيرة قد يتطلب الأمر إعادة بناء النظام بالكامل.

و تتضمن عملية إعادة بناء النظام استعادة جميع البيانات من أحدث نسخة احتياطية. وعندما يتم إعادة بناء النظام الذي تم اختراقه من البداية فمن المهم التأكد من إعداده بشكل صحيح وآمن. إذا كان لدى المؤسسة إدارة فعالة لعمليات الإعداد وبرامج إدارة التغيير فسيضمن ذلك الوثائق اللازمة لضمان إعداد الأنظمة المعاد بناؤها بشكل صحيح.

لكن قد يتضمن الأمر بعض الأشياء التي يجب التحقق منها مثل قوائم التحكم في الوصول (ACL). كما يتطلب ذلك التأكد من تعطيل الخدمات والبروتوكولات غير الضرورية أو إزالتها وتثبيت جميع التحديثات الأمنية وتعديل حسابات المستخدمين من الإعدادات الافتراضية. في بعض الحالات قد ينفذ المهاجم  تعليمات برمجية ضارة على النظام أثناء الهجوم. ولذلك ستكون هناك حاجة لفحص عميق للنظام. وتبقى الطريقة الأكثر أماناً لاستعادة النظام بعد وقوع حادثة أمنية كبرى هي إعادة بناء النظام بالكامل من نقطة الصفر . وخاصة في الحالات التي يشتبه المحققون في أن المهاجم قد عدل أو تلاعب بالأكواد البرمجية الخاصة بالنظام. وفي هذه الحالة تكون إعادة بناء النظام هو الخيار الأفضل.

الإصلاح Remediation

في هذه المرحلة يتم النظر إلى الأسباب التي أدت لحدوث هذه الحادثة. وكذلك تنفيذ أمور واجراءات تمنع حدوث هذا الأمر مرة أخرى. ويتطلب ذلك إجراء تحليل للسبب الأصلي للمشكلة. على سبيل المثال إذا نجح المهاجمون في الوصول إلى قاعدة بيانات من خلال موقع ويب فيتوجب على مختص الأمن السيبراني فحص جميع عناصر النظام لتحديد ما الذي سمح للمهاجمين بالنجاح بهذا الهجوم. و إذا حدد تحليل السبب وجود ثغرة أمنية فيجب العمل على التخفيف منها أو إصلاحها.أو قد يكون نجاح الهجوم بسبب عدم إجراء التحديثات الأمنية على السيرفر مما قد يسمح للمهاجمين بالتحكم فيه عن بعد.

وبالتالي، قد تتضمن خطوات الإصلاح استخدام برامج لإدارة عمليات الإصلاح وتطبيق التحديثات. أو ربما يكون السبب هو عدم  تطبيق موقع الويب لتقنيات كافية للتحقق من صحة دخل المستخدم  وهذا الأمر يسمح بهجمات حقن تعليمات قواعد البياناتSQL Injection. وفي هذه الحالة قد يشمل الإصلاح على تحديث التطبيق ليشمل التحقق من صحة دخل المستخدم. أو ربما يكون السبب هو وجود قاعدة البيانات على سيرفر الويب بدلاً من سيرفر خاص بها. وفي هذه الحالة قد يشمل الإصلاح نقل قاعدة البيانات إلى سيرفر منفصل موجود خلف جدار ناري.

الدروس المستفادة من الحوادث الأمنية Lessons learned

خلال مرحلة الدروس المستفادة يراجع المختصون الحادث و طريقة الاستجابة لمعرفة فيما إذا كان هناك أي دروس يمكن تعلمها. كما يتشارك فريق الاستجابة للحوادث في هذه المرحلة مع  الموظفين الآخرين المطلعين على هذا الحادث. أثناء فحص عملية الاستجابة للحادث الأمني يبحث الموظفون عن أي نقاط يمكنهم فيها تحسين استجابتهم. على سبيل المثال إذا استغرق فريق الاستجابة وقتاً طويلاً لاحتواء الحادث فسيتم الفحص بهدف تحديد سبب ذلك. قد يكون السبب هو أن الموظفين ليس لديهم تدريب كافي أو تنقصهم المعرفة والخبرة للاستجابة بفعالية. أو ربما لم يتعرفوا على الحادث عندما تلقوا الإشعار الأول مما سمح للهجوم بالاستمرار لفترة أطول من اللازم.

أحياناً قد يهمل فريق الاستجابة الأول الحاجة إلى حماية الأدلة وبالتالي يفسدها عن غير قصد أثناء الاستجابة.يمكن الاستفادة من نتائج  هذه المرحلة لتطوير مرحلة الكشف في عملية إدارة الحوادث. على سبيل المثال قد يدرك المسؤولون أن الهجمات تمر دون أن يتم اكتشافها . وبالتالي سيزيدون من قدرات الكشف لديهم ويوصون بإجراء تغييرات على أنظمة كشف الاختراق IDS. من الشائع أن ينشىء فريق الاستجابة للحوادث تقريراً عند الانتهاء من مراجعة الدروس المستفادة. و بناءً على النتائج  قد يوصي الفريق بتغييرات على الإجراءات  أو إضافة ضوابط أمنية  أو حتى تغييرات في السياسات الأمنية. و ستقرر الإدارة التوصيات التي سيتم تنفيذها وتكون مسؤولة عن المخاطر المتبقية لأية توصيات يتم رفضها.

الاستجابة للحوادث من قبل المستخدمين

في بعض المؤسسات بتم توسيع مسؤولية الاستجابة لتشمل المستخدمين . بالقرب من كل جهاز توجد قائمة تحدد الأعراض الشائعة للإصابة بالبرامج الضارة. و إذا اشتبه المستخدمون في إصابة الأجهزة الخاصة بهم فإن  هذه القائمة تطلب منهم فصل كرت الشبكة والاتصال بمكتب المساعدة للإبلاغ عن المشكلة. يساعد فصل كرت الشبكة في احتواء البرامج الضارة في نظامهم ومنعه من الانتشار بشكل أكبر ولكن هذا الأمر غير ممكن للتطبيق في جميع المؤسسات.

الإجراءات الوقائية من الحوادث الأمنية

من الناحية المثالية يمكن للمؤسسة تجنب الحوادث تماماً من خلال تنفيذ الإجراءات الوقائية المضادة، التي يمكن أن تمنع العديد من الهجمات.عند وقوع حادثة ما  سترغب المنظمة في اكتشافها في أسرع وقت ممكن. تعد أنظمة كشف الاختراق IDS إحدى الطرق التي تكتشف بها المؤسسات الحوادث. بالإضافة لبعض الإجراءات المحددة التي يمكن للمؤسسات اتخاذها للكشف عن الهجمات الناجحة ومنعها. 

التدابير الوقائية الأساسية

على الرغم من عدم وجود خطوة واحدة يمكنك اتخاذها للحماية من جميع الهجمات إلا أن هناك بعض الخطوات الأساسية التي تعزز فرص الحماية من العديد من أنواع الهجمات السيبرانية، ومنها:

  • الحفاظ على الأنظمة والتطبيقات محدثة بشكل دائم. يصدر البائعون التصحيحات بانتظام لتلافي الأخطاء والعيوب الأمنية (الثغرات). ولكنك لن تستفيد منها إذا لم تطبقها بأسرع وقت.
  • إزالة أو تعطيل الخدمات والبروتوكولات غير الضرورية. إذا كان النظام لا يحتاج لها، لا يمكن للمهاجمين استغلال ثغرة أمنية في خدمة أو بروتوكول لا يعمل على النظام. تخيل أن سيرفر الويب يشغل كل خدمة وبروتوكول متاح. وبالتالي سيزيد سطح التعرض ويكون السيرفر عرضة  للهجمات المحتملة التي تتم من خلال استغلال ثغرات في هذه الخدمات أو البرتوكولات.
  • استخدام أنظمة كشف الاختراق IDS وأنظمة منع الاختراق IPS. والتي تعمل على مراقبة كل النشاطات وتحاول اكتشاف الهجمات وتقديم التنبيهات وكما يمكن لأنظمة منع الاختراق IPS منع وإيقاف الهجمات.
  • برامج مضادة للفيروسات محدثة: والتي تعمل على كشف البرمجيات الخبيثة ومنع انتشارها عبر الشبكة
  • استخدام الجدران النارية. والتي يمكنها أن تمنع العديد من الهجمات وخاصة هجمات منع الخدمة الموزعة DDoS Attack
  • إعداد الأنظمة بشكل آمن: ويتضمن هذا الأمر الإعداد الصحيح للأنظمة للحد من ثغرات الإعداد الخاطئ أو ترك الإعدادات الافتراضية كما هي.

كلمة أخيرة

مهما كانت سياسات الأمن السيبرانية وضوابطه قوية فإنه لا يزال هناك احتمال للتعرض للهجمات. وهنا تأتي أهمية الحوكمة والإدارة الفعالة لعملية الاستجابة للحوادث للحد من آثار الهجوم والعمل على احتوائه ومنع انتشاره بأسرع وقت ممكن.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أنظمة كشف التسلل
أنظمة كشف التسلل IDS
أنظمة منع التسلل IPS
أنظمة منع التسلل IPS
DeepFake - التزييف العميق
DeepFake – تطبيق يتلاعب بالوجوه بطريقة مبتكرة و لكن خطيرة
حصان طروادة
حصان طروادة – عندما تحاول التهديدات السيبرانية إظهار نفسها كبرامج مفيدة
حماية البيانات
سرية البيانات و حمايتها من مخاطر أمن المعلومات
أمن الشبكات-تجهيزات شبكة
أمن الشبكات – أنواعه و دوره في الحماية من التهديدات السيبرانية
الهجوم الإلكتروني
الهجوم الإلكتروني “انتحال DNS” وطرق الحماية منه
أولويات الحماية
أهم 10 تحديات للأمن السيبراني يجب الاستعداد لها في عام 2022