دبي – 
مراقبة جميع الأحداث في شبكة شركتك عبارة عن تعامل مع كم هائل من البيانات. وتشمل أي ظواهر يمكن ملاحظتها (من تسجيلات الدخول إلى التنزيلات والبرامج النصية والتحديثات وتغييرات التكوين وما إلى ذلك) و التي يمكن أن تحدث عبر جميع نقاط النهاية والخوادم وأجهزة التوجيه والمحولات والبنية التحتية الأخرى في شبكتك و التي يمكنها إنشاء سجلات للأحداث التي تتحرك بسرعة لتصل لكم هائل من البيانات لا يمكن تصورها ويجب إدارتها.
هناك حتمًا عدد من الأحداث التي لها نتائج سلبية على أمن شركتك. موظف يقوم بتوصيل ذاكرة USB شخصية في جهاز عمله تحتوى على برامج ضارة، لتحدث الخسائر فجأة. فهل أنظمتك معدة لاكتشاف تلك الأحداث؟ وأن حدث الخلل، ماذا ستفعل؟
لا يستحق الامر تعبئة فريق الاستجابة الكامل للحوادث السيبرانية مع كل حدث سلبي. تلعب الاستجابة التلقائية دورًا كبيرًا في إدارة الموارد والوقت المتاح لأمن تكنولوجيا المعلومات لديك. ويمكن إدارة المخاطر الناتجة بشكل جيد من قبل مسؤول تكنولوجيا المعلومات واحد يستخدم الأدوات الأساسية.
وإذا اكتشف محلل الأمن لديك نمطًا أكثر خبثًا أو حدث فشل في النظام لا يمكن تفسيره، فمن المحتمل أنك تتعرض لحادث أمني سيبراني خطير بما يكفي ليجعلك تتصل بفريق الاستجابة لحوادث أمن جهاز الكمبيوتر الخاص بك (CSIRT). مع وجود خطة استجابة للحوادث مدروسة جيدًا، يمكن لـفريق CSIRT المدرب جيدًا أن يثقل ويتعامل مع أي معتدي يهاجم شبكتك.
أربع مراحل للاستجابة للحادث السيبراني
هناك معيار مهم للتحقق من خطة الاستجابة للحوادث في منشور “المعهد الوطني للمعايير والتكنولوجيا” (NIST) بعنوان “دليل التعامل مع حوادث أمن الكمبيوتر” (SP 800-61). يشرح الدليل أربع مراحل للاستجابة للحوادث: التحضير؛ الكشف والتحليل؛ الاحتواء والقضاء والاستعادة؛ ونشاط ما بعد الحادث.
الشكل 1: دورة الاستجابة للحوادث (NIST )
يمكن المساعدة في التعامل مع الحوادث السيبرانية باتباع هذه الخطوات الأربع وضمان العودة الطبيعية الناجحة إلى العمليات التجارية للأعمال. دعونا نلقي نظرة على كل خطوة.
1. التحضير
قبل الحادث، من المهم وضع ضوابط أمنية مناسبة لتقليل الحوادث السيبرانية التي يمكن حدوثها في المقام الأول. وبعبارة أخرى، يجب بناء شبكة شركتك وصيانتها مع مراعاة عناصر الأمن في المقام الأول.
ويشمل ذلك الحفاظ على تحديث الخوادم وأنظمة التشغيل والتطبيقات، وتكوينها وتحصينها بشكل مناسب مع الحماية من البرامج الضارة. يجب أيضًا تأمين محيط الشبكة الخاص بك بشكل صحيح عبر جدران الحماية و VPN. القليل من التدريب للموظفين يمكن أن يقطع شوطا طويلا للحد من عدد الحوادث الناجمة عن سوء سلوك الموظف.
يعد التأكد من توفر جميع أدوات المراقبة وتسجيل الدخول اللازمة لجمع وتحليل الأحداث في شبكتك. تتراوح الخيارات من أدوات المراقبة والإدارة عن بُعد (RMM) إلى أدوات معلومات الأمن وإدارة الأحداث (SIEM) وأدوات أتمتة وتنسيق الأمان (SOAR) وأنظمة كشف التسلل (IDS) وأنظمة منع التطفل (IPS)، بالإضافة إلى حلول الكشف والاستجابة لنقاط النهاية (EDR).
تستفيد المزيد من المؤسسات مثل البنوك والهيئات الحكومية، من حلول المعلومات الاستخباراتية المتعلقة بالتهديدات السيبرانية مثل حل “خدمات إستخبارات التهديدات من إسيت” ESET Threat Intelligence Service لتوفير مؤشرات للتسوية التي تقدم عملية استجابة فعلية للحوادث.
إن تحديد أدوات المراقبة والتسجيل المناسبة لشبكتك سيكون له تأثير كبير على أنشطة الكشف والتحليل الخاصة بـ CSIRT، بالإضافة إلى خيارات الإصلاح المتاحة لها.
تكوين فريق الاستجابة للحوادث
بعد ذلك، قم بإنشاء فريق الاستجابة للحوادث واستمر في تدريبه. من المرجح أن تتطلب المؤسسات الأصغر حجمًا فريقًا مؤقتًا مؤلفًا من مسؤولي تكنولوجيا المعلومات. ستحصل المؤسسات الأكبر حجمًا على فريق CSIRT دائم يجلب عادةً مسؤولي تكنولوجيا المعلومات الآخرين من الشركة فقط للمساعدة في هجمات محددة؛ على سبيل المثال، مسؤول قاعدة بيانات للمساعدة في تحليل هجوم إدخال SQL.
هناك خيار اًخر للاستجابة للحوادث عبر الإستعانة بمصادر خارجية لمزود خدمة الأمن المُدار (MSSP)، على الرغم من أن الأمر يمكن ان يكون مكلف. قد يحتاج بعض أعضاء فريق الاستجابة للحوادث إلى السفر إلى موقعك، مما سيمنح التهديدات وقتًا أطول للتأثير على شبكتك. والأهم من ذلك، يحتاج أي فريق CSIRT إلى وجود موظفين في العمل يفهمون كيفية بناء شبكتهم بشكل مثالي.
تحتاج الإدارة أيضًا إلى القيام بدور نشط من خلال توفير الموارد والأموال والقيادة اللازمة لفريقCSIRT للقيام بعملهم بفعالية. وهذا يعني توفير الأدوات والأجهزة التي سيحتاجها فريق CSIRT الخاص بك، بالإضافة إلى اتخاذ قرارات العمل الصعبة الناتجة عن الحادث.
لك ان تتخيل مثلاً، إكتشاف CSIRT أن خادم التجارة الإلكترونية للأعمال معرض للخطر ويجب نقله إلى وضع عدم الاتصال. تحتاج الإدارة إلى الإستعداد بسرعة لتقبل التأثير السلبي على العمل بسبب إيقاف تشغيل الخادم أو عزله وترك القرار وإدارة الأمر لـ CSIRT.
كما يوفر الموظفون والفرق الأخرى في جميع أنحاء الشركة دعمًا حاسمًا لـ CSIRT. يمكن لموظفي دعم تكنولوجيا المعلومات المساعدة من خلال إغلاق واستبدال الخوادم، والاستعادة من النسخ الاحتياطية حسب طلب CSIRT. للمستشار القانوني وفرق العلاقات العامة مهمة أيضًا لإدارة أي اتصال حول الحادث مع وسائل الإعلام الخارجية والشركاء والعملاء وممثلي جهات القانون.
- الكشف والتحليل
في هذه المرحلة، يجلب هلى محللين الاستجابة للحوادث إحضار قوة معرفتهم وخبرتهم وتفكيرهم المنطقي للتأثير على الأشكال المتنوعة من البيانات المقدمة لهم من قبل جميع أدوات المراقبة والسجلات لفهم ما يحدث بالضبط في الشبكة وما يمكن القيام به .
تتمثل مهمة المحلل في ربط الأحداث من أجل إعادة إنشاء التسلسل الذي أدى إلى الحادث. وخصوصًا القدرة على تحديد السبب الجذري حتى يمكن التحرك نحو المرحلة الثالثة والمتعلقة بالإحتواء في أسرع وقت ممكن.
وكما هو موضح في الرسم التخطيطي لدورة حياة الاستجابة للحوادث من “المعهد الوطني للمعايير والتكنولوجيا”، تكون المرحلتان 2 و 3 دائرية، مما يعني أن المستجيبين للحادث قد يعودون إلى المرحلة 2 لإجراء مزيد من التحليل للأسباب الجذرية. في هذه الدورة، يمكن العثور على بعض البيانات وتحليلها في المرحلة 2 مما يشير إلى الحاجة إلى اتخاذ خطوة تخفيف معينة في المرحلة 3. ويمكن عندئذٍ أن تكشف هذه الخطوة عن بيانات إضافية تستدعي المزيد من التحليل الذي يؤدي إلى مزيد من خطوات التخفيف، وما إلى ذلك .
حلول الكشف والاستجابة لنقطة النهاية، مثل ESET Enterprise Inspector، التي تقوم تلقائيًا بوضع علامة على الأحداث المشبوهة وحفظ شجرة العمليات بالكامل لمزيد من الفحص من قبل المستجيبين للحوادث بشكل كبير لدعم أنشطة المرحلة 2.
3. الاحتواء والقضاء والاستعادة
في المرحلة الثالثة، يقرر CSIRT الطريقة لوقف انتشار التهديدات المكتشفة. هل يجب إيقاف تشغيل الخادم أو عزل نقاط النهاية أو إيقاف بعض الخدمات؟ يجب أن تأخذ استراتيجية الاحتواء المختارة بعين الاعتبار احتمالية حدوث المزيد من الضرر، والحفاظ على الأدلة والمدة الزمنية للاحتواء. هذا يعني عزل الأنظمة المعرضة للخطر، أو تقسيم أجزاء من الشبكة، أو وضع الآلات المتأثرة في وضع الحماية.
يتمتع وضع الحماية بميزة السماح بمراقبة إضافية للتهديد بالإضافة إلى جمع المزيد من الأدلة. ومع ذلك، هناك خطر أن يصبح المضيف المخترق أكثر تلفًا أثناء وجوده في وضع الحماية. قد يقرر المستشار القانوني أنه يجب على فريق CSIRT جمع وتوثيق أكبر قدر ممكن من الأدلة. في هذه الحالة، يجب تسجيل نقل الأدلة من شخص لآخر بدقة.
بمجرد احتوائها، يجب حذف أي برامج ضارة تم اكتشافها من الأنظمة المخترقة. قد تحتاج حسابات المستخدم إلى التعطيل أو الإغلاق أو إعادة التعيين. يجب تصحيح نقاط الضعف، ويجب استعادة الأنظمة والملفات من النسخ الاحتياطية النظيفة، ويجب تغيير كلمات المرور، ويجب تشديد قواعد جدار الحماية ، إلخ.
العودة الكاملة إلى العمليات التجارية العادية قد تستغرق شهورًا حسب الحادث. على المدى القصير، يجب إنشاء تسجيل ومراقبة أكثر دقة حتى يتمكن مسؤولو تكنولوجيا المعلومات من منع حدوث الأمر ذاته مرة أخرى. قد يشهد المدى الأطول المزيد من التغييرات الشاملة للبنية التحتية للمساعدة في تحويل الشبكة إلى شبكة أكثر أمانًا.
4. نشاط ما بعد الحادث
يجب أن يوثق CSIRT ويوفر إعادة بناء الحدث والجدول الزمني. يساعد ذلك على فهم السبب الجذري للحادث وما يمكن فعله لمنع تكراره أو ما شابه.
هذا هو الوقت المناسب أيضًا لجميع الفرق لمراجعة فعالية العمليات والإجراءات المستخدمة، وتحديد الثغرات في صعوبا الاتصال والتعاون، والبحث عن فرص لإدخال الكفاءات إلى خطة الاستجابة للحوادث الحالية.
وأخيرًا، تحتاج الإدارة إلى اتخاذ قرار بشأن سياسة الاحتفاظ بالأدلة التي تم جمعها أثناء الحادث. لذا، لا تقم فقط بمسح محركات الأقراص الثابتة دون استشارة قسمك القانوني أولاً. معظم المؤسساتتقوم بأرشفة سجلات الحوادث لمدة عامين للبقاء في الامتثال للوائح.
هل تتطلع إلى استكمال مجموعة أدوات الاستجابة للحوادث بقدرات تحقيق قوية؟ احصل على إصدار تجريبي مجاني من ESET Enterprise Inspector.
