ذات صباح، بدأ فريق الدعم الفني يتلقى سيلاً من الاتصالات من الموظفين. هناك شيء ما يحدث. برامج تتوقف عن العمل بشكل صحيح. المستخدمين لا يمكنهم الوصول إلى ملفاتهم. البريد الإلكتروني لا يعمل كما ينبغي. المخدمات بطيئة، كما لو أنها تتعامل مع عدد مرتفع بشكل غير طبيعي من الطلبات. تتوقف الأجهزة، إما مع ظهور “الشاشات الزرقاء” أو إعادة تشغيل ولكن في بشكل مفاجئ أوقات غير متوقعة. هنا يبدأ فريق الاستجابة لحوادث أمن المعلومات في المؤسسة عمله. إنه فريق مدرب لديه خطط مبتكرة و مختبرة لتوصيف أي حادث واحتوائه وإعادة أنظمتك إلى العمل بشكل طبيعي.
لكن، ماذا لو لم يكن لدى مؤسستك مثل هذا الفريق؟ روبودين يساعدك في هذا المقال عبر اقتراح بعض الخطوات لتحسين وضع أمن المعلومات لديك حتى تتمكن من اكتشاف حوادث أمن المعلومات مستقبلاً وتحديدها واحتوائها و التغلب عليها واستعادة خدماتك بعد ذلك لحالتها الطبيعية.
أحداث events أم حوادث أمنية incidents
يمكن أن يتضمن حدث الأمن السيبراني مجموعة واسعة من العوامل التي تؤثر على المؤسسة. تحدث الأحداث الأمنية طوال الوقت، حيث تحدث المئات والآلاف وحتى الملايين كل يوم. قد يحتاج الحدث إلى الفحص لتحديد ما إذا كان يشكل خطراً أمنياً أو يحتاج إلى توثيق. مع الكم الهائل من الأحداث التي تحدث يومياً، غالباً ما يتم استخدام الأدوات الآلية مثل حلول SIEM لتحديد الأحداث التي تتطلب الاهتمام.
أما الحوادث incidents فتشير إلى الأحداث events الأكثر تحديداً التي تسبب ضرراً لبيئة العمل. عادةً ما تحدث الحوادث الأمنية بشكل أقل تكراراً من أحداث الأمن السيبراني. دائماً ما يكون لأي حادث أمني عواقب على المؤسسة. إذا تسبب حدث ما في انتهاك البيانات أو الخصوصية، فسيتم تصنيفه على الفور على أنه حادث. يجب تحديد الحوادث وتسجيلها ومعالجتها. ولهذا السبب فإن مراقبة الحوادث الأمنية أمر في غاية الأهمية. يجب على المؤسسات اتخاذ نهج استباقي للبحث عن الأحداث التي يمكن أن تسبب مشاكل خطيرة. بالمحصلة، كل الحوادث الأمنية أحداث، لكن ليست كل الأحداث حوادث.
حوادث أمن المعلومات – أمثلة عملية
عند حدث توقف (إطفاء) غير مخطط له لخادم البريد الإلكتروني في المؤسسة. ستحتاج إلى إجراء تحقيق سريع لاستبعاد الأسباب الغير أمنية (مثل خلل كهربائي ناتج عن سوء حالة الطقس) والأسباب العرضية (فني الصيانة تعثر بسلك الكهرباء الممدد بطريقة عشوائية). نعم، من المحتمل أن يكون تقييم نقاط الضعف قد اكتشف هذه العناصر وقدم توصيات بشأن كيفية تقليل احتمالية حدوث خلل فيها. ولكن إذا لم يكن الطقس أو حادث على مستوى الأجهزة هو السبب في إيقاف التشغيل، فربما ما يزال السؤال مفتوحاً: هل كان ما حدث مشكلة في تحديث تم تطبيقه مؤخراً تسبب في العطل، أم ثغرة أمنية تم استغلالها من قبل شخص أو أشخاص غير معروفين؟
كذلك، كيف يمكننا التمييز بين حوادث هجمات التصيد الاحتيالي والطلبات المشروعة للحصول على المعلومات. قد يكون المتصل برقم بالمؤسسة، الذي يبحث عن معلومات الاتصال بفريق تكنولوجيا المعلومات ، صادقاً و ربما يبحث عن وظيفة. ومع ذلك، ماذا لو حاول عدد من المتصلين (الأبرياء) على مدار عدة أيام التعرف على الهيكل التنظيمي لمؤسستك بالكامل، مع حصولهم على الأسماء و أرقام الهواتف وعناوين البريد الإلكتروني لفريقك.
سلسلة الحماية
إن كل حلقة في سلسلة الحماية توفر للمؤسسة فرصة لتحسين موقفها من خلال جودة الاستجابة. إن الفشل في أي خطوة أو حلقة يمثل فرصة لحدوث خطأ ما. قد يتأخر الاتصال لاتخاذ القرار في الوقت الحقيقي، قد لا تكون المعرفة متاحة عندما نحتاج إليها، قد تكون المعلومات المطلوبة لمواجهة الحدث الأمني مفقودة أو غير كاملة أو غير دقيقة.
كيف يعمل المهاجمون؟
- تحديد أنظمة المعلومات المستهدفة المحتملة التي تناسب أهدافهم.
- الوصول إلى تلك الأهداف، والسيطرة على أجزاء من أنظمتها.
- استخدم تلك السيطرة لتنفيذ المزيد من المهام لدعم تحقيق أهدافهم
- حجب أو تدمير الأدلة على أنشطتهم في نظام الهدف
الحظ مقابل الاستعداد – الاستجابة لحوادث أمن المعلومات
يقال في كواليس أمن المعلومات أن المهاجمين يجب أن يكونوا محظوظين مرة واحدة فقط، في حين أن المدافعين يجب أن يكونوا محظوظين في كل لحظة من كل يوم. لكن مع زيادة نطاق و أثر التهديدات السيبرانية التي تسبب ضرراً لأنظمة المعلومات فإن المطلوب ما هو أكثر من الحظ، إنه الاستعداد. يستخدم مجرمو الانترنت تقنيات جديدة باستمرار لاكتشاف أهدافهم واستطلاعها وتوصيفها والتسلل إليها والسيطرة عليها وتحديد طرق الهجوم داخل النظام لتنفيذ خططهم في نسخ أو تدمير البيانات والأنظمة لدى ضحاياهم بالتوازي مع تغطية أثارهم بشكل يسمح لهم بمسح الأدلة.
تزداد الأمور سوءاً بالنسبة للضحايا من منظمات الأعمال أو المؤسسات الحكومية التي لديها معلومات قد تكون موضع اهتمام العديد من المهاجمين المختلفين وغير المرتبطين، كل منهم يتبع منطقه الخاص لتحقيق أهدافه والتي قد تتداخل مع خطط و أهداف مهاجمين آخرين. وبالتالي فالتهديدات لا تنتهي، و مصادر التهديد في ازدياد وكل منها يسعى إلى مكاسبه. إن أنظمة المعلومات في جميع أنحاء العالم هي هدف لمجرمي الانترنت. لقدأصبحت الجرائم السيبرانية تجارة كبيرة لأنها ناجحة كنموذج عمل -لكن من المؤكد أنها فاشلة أخلاقياً-.
ومع ذلك، فإن الخبر السار هو أن بعض استراتيجيات إدارة مخاطر المعلومات والتخفيف من آثارها أثبتت جدواها وبالتالي فالمطلوب اليوم مساعدة الشركات على تبنيها. تم تصميم هذه الأطر، وضوابط تخفيف المخاطر المحددة، بما يتناسب مع احتياجات أمن المعلومات بحيث يمكن ردع الهجمات ومنعها وتجنبها. وبعد ذلك يمكنك اكتشاف تلك الهجمات التي تجاوزت سور القلعة وتمييزها حسب درجة المخاطر ومن ثم اتخاذ خطوات لاحتواء الضرر الذي يمكن أن تسببه، ومساعدة المؤسسة على التعافي من الهجوم واستعادة أعمالها من جديد.
إحباط الهجوم
ربما ما يتمناه أي مدافع سيبراني هو أن يحبط هجوم معين ويمنعه من تحقيق أهدافه بأقل التكاليف. قد يكون ذلك عبر كشف المتسلل من الدخول إلى أنظمتك. أو باكتشاف الثغرة التي سمحت للمستخدم غير المشروع أن يكون جزءاً من نظامك. بعدها ستقوم باحتوائه وعزله وفي النهاية منع محاولاته لتوسيع وجوده داخل شبكتك. المطلوب منك كمدافع أن تساعد فريقك في إيجاد طرق لتشديد الحماية هنا أو تقليل مخاطر الثغرات الأمنية هناك وصولاً لتعزيز وضع أمن المعلومات الخاص بك.
في كل اختراق كبير للبيانات تقريباً كان الهجوم نتيجة لسلسلة من الجهود صغيرة النطاق المصممة بحيث لا تسبب إنذاراً. كل من هذه الجهود سيمكن المهاجم من جمع معلومات أو السيطرة على النظام المستهدف. مع توفر ما سبق يبدأ الهجوم بشكل جدي لسرقة البيانات من الضحية. لكن لو تمكن المدافعون من إحباط أي من الخطوات الصغيرة تلك ، أو إذا تم اكتشاف وإيقاف أي من جهود الاستطلاع المبكرة فمن المحتمل أن المهاجم كان سينتقل حينها إلى هدف آخر أسهل له.
الاستجابة لحوادث أمن المعلومات – كلمة أخيرة
الإعداد والتخطيط هما طوق النجاة في بحر المخاطر السيبرانية. لذلك فمن المهم ترجمة رؤية قادة أمن المعلومات للمخاطر إلى ضوابط مادية وتقنية وإدارية محددة تنصح الإدارة بتنفيذها كجزء من تحسين الوضع الأمني لأنظمة المعلومات في المؤسسة. كما أنه من المهم أيضاً بناء قدرات الكشف و الإنذار المبكر للتنبه عندما يبدو أن هناك نشاطات مريبة أو غير مألوفة. والأهم من ذلك، ضرورة تجميع بيانات التنبيه مع معلومات حالة الأنظمة وحالتها لإنشاء مؤشرات وتحذيرات بشأن حادث محتمل يتعلق بأمن المعلومات و وجود قنوات اتصال و إجراءات فعالة لنقل ما يجري على الفور إلى الإدارة العليا وأصحاب القرار.
