ما هي الاستجابة للحوادث؟
اكتشف مدى فعالية الاستجابة للحوادث في مساعدة المؤسسات على اكتشاف الهجمات الإلكترونية ومعالجتها ووقفها.
تعريف الاستجابة للحوادث
قبل تعريف الاستجابة للحوادث، من المهم فهم ما هي الاستجابة للحدث. في تكنولوجيا المعلومات، هناك ثلاثة مصطلحات تُستخدم أحياناً بالتبادل ولكنها تعني أشياء مختلفة:
- الحدث هو إجراء غير ضار يحدث بشكل متكرر مثل إنشاء ملف أو حذف مجلد أو فتح بريد إلكتروني. لا يعتبر الحدث في حد ذاته عادةً مؤشراً على وجود اختراق ولكن عند إقرانه بأحداث أخرى قد يشير إلى وجود تهديد.
- التنبيه هو إشعار يتم إصداره عند وقوع حدث، والذي قد يشير أو لا يشير إلى وجود تهديد.
- الحادث هي مجموعة من التنبيهات المترابطة التي اعتبرها البشر أو أدوات الأتمتة على الأرجح تهديداً حقيقياً. قد لا يبدو أن كل تنبيه بمفرده يمثل تهديداً كبيراً، ولكن عند الجمع بينهم، فإنها تشير إلى وجود اختراق محتمل.
الاستجابة للحوادث هي الإجراءات التي تتخذها المؤسسة عندما تعتقد أن أنظمة تكنولوجيا المعلومات أو البيانات قد تم اختراقها. على سبيل المثال، سيتخذ متخصصو الأمن إجراءات إذا رأوا دليلاً على وجود مستخدم غير معتمد أو برنامج ضار أو فشل في إجراءات الأمان.
تتمثل أهداف الاستجابة في القضاء على هجوم إلكتروني في أسرع وقت ممكن، والتعافي، وإخطار أي عملاء أو جهات حكومية وفقاً لما تتطلبه القوانين الإقليمية، ومعرفة كيفية تقليل مخاطر حدوث اختراق مشابه في المستقبل.
كيف تعمل الاستجابة للحوادث؟
تبدأ الاستجابة للحوادث عادةً عندما يتلقى فريق الأمن تنبيهاً موثوقاً به من نظام إدارة المعلومات والأحداث (SIEM).
يحتاج أعضاء الفريق إلى التحقق من أن هذا الحدث يمثل حادثاً ومن ثم عزل الأنظمة المصابة وإزالة التهديد. إذا كان الحادث خطيراً أو يستغرق وقتاً طويلاً لحله، فقد تحتاج المؤسسات إلى استعادة بيانات النسخ الاحتياطي أو التعامل مع برامج الفدية الضارة أو إخطار العملاء بأن بياناتهم قد تم اختراقها.
لهذا السبب، عادةً ما يشارك أشخاص بخلاف فريق الأمان عبر الإنترنت في الاستجابة. سيساعد خبراء الخصوصية والمحامون وصانعو القرار في مجال الأعمال في تحديد نهج المؤسسة تجاه أي حادث وعواقبه.
أنواع الحوادث الأمنية
هناك العديد من الطرق التي يحاول بها المهاجمون الوصول إلى بيانات الشركة أو تعريض أنظمتها وعملياتها التجارية للخطر. فيما يلي العديد من الطرق الأكثر شيوعاً:
-
التصيد الاحتيالي
التصيد الاحتيالي هو أحد صور هجمات الانتحال بالهندسة الاجتماعية حيث يستخدم المهاجم بريد إلكتروني أو رسالة نصية أو مكالمة هاتفية لانتحال شخصية علامة تجارية أو شخص حسن السمعة. تحاول هجمات التصيد الاحتيالي الشائعة خداع المستلمين لتنزيل برامج ضارة أو كشف كلمة المرور الخاصة بهم. تستغل هذه الهجمات ثقة الناس وتستخدم أساليب نفسية مثل الترهيب لدفع الناس إلى فعل ما يريدون. تتسم معظم هذه الهجمات بأنها غير محددة الهدف، ويتم إرسالها إلى آلاف الأشخاص على أمل أن يستجيب واحد منهم فقط. ومع ذلك، فهناك نسخة أكثر تعقيداً تسمى تصيد احتيالي موجّه تستخدم إمكانات البحث المستفيض لصياغة رسالة مقنعة موجهة لشخص واحد. -
البرامج الضارة
تشير البرامج الضارة إلى أي برنامج مصمم لإلحاق الضرر بنظام الكمبيوتر أو سرقة البيانات. تتخذ أشكال مختلفة مثل الفيروسات وبرامج الفدية الضارة وبرامج التجسس وفيروسات أحصنة طروادة. تثبت الجهات المنفذة للهجمات الإلكترونية البرامج الضارة من خلال استغلال الثغرات الأمنية في الأجهزة والبرامج أو عن طريق إقناع الموظف بالقيام بذلك باستخدام أسلوب الانتحال بالهندسة الاجتماعية.
-
برامج الفدية الضارة
في هجوم برامج الفدية الضارة، تستخدم الجهات الخبيثة البرامج الضارة لتشفير البيانات والأنظمة الهامة ثم تهدد بنشر البيانات على الملأ أو تدميرها إذا لم يدفع الضحية فدية.
-
هجوم موزع لحجب الخدمة
حلال الهجوم الموزع لحجب الخدمة (هجوم DDoS)، يعمد ممثل المخاطر إلى إثقال كاهل الشبكة أو النظام من أجل تثبيط النظام وتعطيل قدرته على العمل. عادةً ما يستهدف المهاجمون الشركات البارزة مثل البنوك أو الحكومات بهدف تكبيدهم لخسائر مالية واستغلال عامل الوقت لإذلالهم، ويمكن أن تقع المؤسسات بجميع أحجامها في براثن هذا النوع من الهجمات.
-
هجمات الدخيل
هناك طريقة أخرى يستخدمها مجرمو الإنترنت لسرقة البيانات الشخصية وهي التسلل إلى محادثة عبر الإنترنت بين شخصين يعتقدان أنهما يتواصلان بشكل خاص. من خلال اعتراض الرسائل ونسخها أو تغييرها قبل إرسالها إلى المستلم المقصود، يحاولون التلاعب بأحد المشاركين لمنحهم بيانات مهمة.
-
التهديدات الداخلية
على الرغم من أن معظم الهجمات يتم إجراؤها من قبل أشخاص من خارج المؤسسة، إلا أن فرق الأمن تحتاج أيضاً إلى التنقيب عن مصادر التهديد الداخلية. قد يقوم الموظفون والأشخاص الآخرون الذين لديهم حق الوصول إلى الموارد المقيدة بدون قصد أو في بعض الحالات عن عمد بتسريب بيانات حساسة.
-
الوصول غير المصرح به
تبدأ الكثير من الانتهاكات الأمنية ببيانات اعتماد حساب مسروقة. سواء حصلت الجهات المنفذة للهجمات الإلكترونية على كلمات مرور من خلال حملة تصيد احتيالي أو تخمين كلمة مرور شائعة، فبمجرد وصولها إلى نظام يمكنهم تثبيت برامج ضارة فيه أو استكشاف الشبكة أو زيادة امتيازاتهم للوصول إلى أنظمة وبيانات أكثر حساسية.
ما هي خطة الاستجابة للحوادث؟
تتطلب الاستجابة لحادثة فريقاً يعمل معاً بكفاءة وفعالية للقضاء على التهديد والامتثال للمتطلبات التنظيمية. من السهل أن تتوتر وترتكب أخطاء في هذه المواقف الصعبة؛ لذلك تضع العديد من الشركات خطة استجابة للحوادث. تحدد الخطة الأدوار والمسؤوليات وتتضمن الخطوات اللازمة لحل وتوثيق الحادث والإبلاغ عنه بشكل مناسب.
أهمية خطة الاستجابة للحوادث
لا يلحق هجوم كبير الضرر بعمليات المؤسسة فحسب، بل يضر أيضاً بسمعة المؤسسة أمام العملاء والمجتمع، ويمكن أن يكون له أيضاً تداعيات قانونية. تتأثر التكلفة الإجمالية بكل شيء، بما في ذلك مدى سرعة استجابة فريق الأمن للهجوم وكيفية إبلاغ المسؤولين التنفيذيين عن الحادث.
الشركات التي تخفي الضرر عن العملاء والحكومات أو الشركات التي لا تأخذ تهديداً بجدية كافية قد تكون بذلك مخالفة للوائح. تشيع هذه الأنواع من الأخطاء عندما لا يتوفر لدى المشاركين خطة. وفي لحظة انفعال، هناك خطر أن يتخذ الأشخاص قرارات متهورة بسب خوفهم وينتهي بهم الأمر إلى إلحاق الضرر بالمؤسسة.
تتيح الخطة المصممة جيداً للأشخاص معرفة ما يجب فعله في جميع مراحل الهجوم حتى لا يضطروا إلى اتخاذ قرارات متسرعة دون التفكير جيداً. بعد التعافي، إذا كان لدى الجمهور أسئلة، فستكون المؤسسة قادرة على الكشف بالضبط عن كيفية استجابتها للهجوم وطمأنة العملاء بأنها تعاملت مع الحادث على محمل الجد ونفذت الخطوات اللازمة لمنع حدوث نتائج سيئة.
خطوات الاستجابة للحوادث
هناك أكثر من نهج واحد للاستجابة للحوادث، وتلجأ العديد من المؤسسات إلى للاسترشاد بمعايير أمان موحدة للمؤسسة في نهجها. SysAdmin Audit Network Security (SANS)هي مؤسسة خاصة تقدم إطار عمل من ست خطوات، كما هو موضح أدناه. تتبنى العديد من المؤسسات أيضاً إطار عمل National Institute of Standards and Technology (NIST) للتعافي من الحوادث.
- التهيؤ - قبل وقوع أي حادث، من المهم تقليل الثغرات الأمنية وتحديد النُهج والإجراءات الأمنية. في مرحلة التهيؤ، تجري المؤسسات تقييماً للمخاطر لتحديد الثغرات الأمنية لديها وتحديد أولويات الأصول. تتضمن هذه المرحلة إعداد الإجراءات الأمنية وتحسينها، وتحديد الأدوار والمسؤوليات، وتحديث الأنظمة لتقليل المخاطر. تعيد معظم المؤسسات النظر في هذه المرحلة بانتظام وتجري التحسينات على النُهج والإجراءات والأنظمة أثناء تعلمها من التجربة أو تغير التقنيات.
- تحديد التهديدات - في أي يوم، قد يتلقى فريق الأمان آلاف التنبيهات التي تشير إلى وجود نشاط مشبوه. تكون بعضاً منها إيجابية خاطئة أو قد لا يرتقى مستواها لتكون حادثة. بمجرد تحديد الحادث، يفحص الفريق طبيعة الاختراق بدقة ويوثق النتائج التي توصل إليها، بما في ذلك مصدر الاختراق ونوع الهجوم وأهداف المهاجم. في هذه المرحلة، يحتاج الفريق أيضاً إلى إحاطة مالكي الأسهم بما حدث وإبلاغهم بالخطوات التالية.
- احتواء التهديد - احتواء التهديد في أسرع وقت ممكن هو الأولوية التالية. كلما طالت مدة السماح للجهات المنفذة للهجمات الإلكترونية بالوصول إلى شبكة المؤسسة، زاد الضرر الذي يمكنها إحداثه. يعمل فريق الأمان على عزل التطبيقات أو الأنظمة التي تتعرض للهجوم بسرعة عن باقي الشبكات. يساعد هذا في منع المهاجمين من الوصول إلى أجزاء أخرى من الشركة.
- إزالة التهديد - بمجرد احتواء التهديدات بالكامل، يطرد الفريق المهاجم ويزيل أي برامج ضارة أثرت على الأنظمة والموارد. وقد يتضمن ذلك إيقاف تشغيل الأنظمة. يواصل الفريق أيضاً إبقاء أصحاب المصلحة على اطلاع بالتقدم المحرز.
- التعافي والاستعادة - قد يستغرق التعافي من حادث عدة ساعات. بمجرد إزالة التهديدات، يستعيد الفريق الأنظمة، ويستعيد البيانات من النسخة الاحتياطية، ويراقب المناطق المتضررة لضمان عدم عودة المهاجم.
- التعليقات والتحسينات - عند حل مشكلة الحادث، سيراجع الفريق ما حدث ويحدد التحسينات التي يمكن إجراؤها على العملية. التعلم من هذه المرحلة يساعد الفريق على تعزيز أساليب دفاع المؤسسة.
ما هو فريق الاستجابة للحوادث؟
يتضمن فريق الاستجابة للحوادث، الذي يُطلق عليه أيضاً فريق الاستجابة لحوادث أمان الكمبيوتر (CSIRT)، أو فريق الاستجابة للطوارئ على الكمبيوتر (CERT)، مجموعة أدوار وظيفية متعددة للأشخاص المسؤولين عن تنفيذ خطة الاستجابة للحوادث في المؤسسة. لا يشمل ذلك الأشخاص الذين يزيلون التهديد فحسب، بل يشمل أيضاً أولئك الذين يتخذون قرارات تجارية أو قانونية تتعلق بحادث ما. يتضمن الفريق عادةً الأعضاء التاليين:
مدير الاستجابة للحوادث أو مدير تكنولوجيا المعلومات غالباً، ويتمثل دور في الإشراف على جميع مراحل الاستجابة وإبقاء أصحاب المصلحة داخل الشركة على اطلاع بالمستجدات.
يحقق المحللون الأمنيون في الحادث لمحاولة فهم ما يحدث. كما يقومون بتوثيق النتائج التي توصلوا إليها وجمع الأدلة الجنائية.
ينقب باحثو التهديدات عن معلومات خارج المؤسسة لجمع المعلومات المهنية التي توفر سياقاً إضافياً.
يقدم شخص من الإدارة، مثل كبير مسؤولي أمان المعلومات أو كبير مسؤولي المعلومات، إرشادات ويعمل كوسيط للمديرين التنفيذيين الآخرين.
يساعد متخصصو الموارد البشرية في إدارة التهديدات الداخلية.
يساعد المستشار العام الفريق على التعامل مع المسائل القانونية ويتأكد من جمع الأدلة الجنائية.
- ينسق أخصائيو العلاقات العامة الاتصالات الخارجية الدقيقة مع وسائل الإعلام والعملاء ومالكي الأسهم الآخرين.
قد يمثل فريق الاستجابة للحوادث مجموعة فرعية من مركز العمليات الأمنية (SOC)، الذي يتعامل مع العمليات الأمنية بخلاف الاستجابة للحوادث.
أتمتة الاستجابة للحوادث
في معظم المؤسسات، تُنشئ الشبكات والحلول الأمنية تنبيهات أمنية أكثر بكثير مما يمكن لفريق الاستجابة للحوادث إدارته بشكل واقعي. للمساعدة في التركيز على التهديدات المشروعة، تنفذ العديد من المؤسسات عملية استجابة للحدث تلقائياً. تستخدم الأتمتة إمكانات الذكاء الاصطناعي والتعلم الآلي لتتبع التنبيهات، وتحديد الحوادث، والقضاء على التهديدات من خلال تطبيق دليل مبادئ يستند إلى نصوص برمجية.
يعد تنسيق الأمان والأتمتة والاستجابة (SOAR) فئة من أدوات الأمان التي تستخدمها الشركات لأتمتة الاستجابة للحوادث. تقدم هذه الحلول الإمكانات التالية:
ربط البيانات عبر نقاط نهاية متعددة وحلول أمنية لتحديد الحوادث التي يمكن للبشر متابعتها.
تشغيل دليل المبادئ المبرمج مسبقاً لعزل أنواع الحوادث المعروفة ومعالجتها.
إنشاء جدول زمني للتحقيق يتضمن الإجراءات والقرارات والأدلة الجنائية التي يمكن استخدامها للتحليل.
جمع المعلومات المهنية ذات الصلة للتحليلات التي يقوم بها البشر.
كيفية تنفيذ خطة الاستجابة للحوادث
قد يبدو وضع خطة للاستجابة للحوادث أمراً شاقاً، ولكنه يمكن أن يقلل بشكل كبير من مخاطر عدم جاهزية شركتك لمواجهة الهجمات عند وقوع حادث كبير. إليك كيفية بدء الاستخدام:
-
تحديد الأصول وترتيبها حسب أولويتها
تتمثل أولى خطوات خطة الاستجابة للحوادث في معرفة ما تقوم بحمايته. قم بتوثيق البيانات الهامة لمؤسستك، بما في ذلك مكان وجودها ومستوى أهميتها بالنسبة للشركات.
-
تحديد المخاطر المحتملة
تتعرض كل مؤسسة لمخاطر مختلفة. تعرف على أخطر الثغرات الأمنية في مؤسستك وقم بتقييم الطرق التي يمكن للمهاجم استغلالها.
-
تطوير إجراءات الاستجابة
أثناء التعرض لحادثة صعبة، من المهم وضع إجراءات واضحة لضمان التعامل مع الحادث بسرعة وفعالية. ابدأ بتحديد ما يمكن اعتباره حادثاً ثم حدد الخطوات التي يجب على فريقك اتخاذها للكشف عن الحادث وعزله والتعافي منه، بما في ذلك إجراءات توثيق القرارات وجمع الأدلة.
-
إنشاء فريق للاستجابة للحوادث
قم بتكوين فريق متعدد الوظائف مسؤول عن فهم إجراءات الاستجابة والتحرك في حالة وقوع حوادث. تأكد من تحديد الأدوار بوضوح والنظر في الأدوار غير الفنية التي يمكن أن تساعد في اتخاذ القرارات المتعلقة بالاتصال والمسؤولية. قم بتعيين شخص في الفريق التنفيذي للتحدث نيابةً عن الفريق وعن احتياجاته أمام الإدارة العليا للشركة.
-
تحديد خطة الاتصال الخاصة بك
تعمل خطة الاتصال على التخلص من الصعوبات المتعلقة بوقت وكيفية إبلاغ الأشخاص داخل وخارج المؤسسة بما يحدث. فكر في سيناريوهات مختلفة لمساعدتك في تحديد الطريقة التي ستبلغ بها المديرين التنفيذيين والمؤسسة بأكملها والعملاء ووسائل الإعلام أو أصحاب المصلحة الآخرين خارج الشركة.
-
تدريب الموظفين
تستهدف الجهات المنفذة للهجمات الإلكترونية الموظفين على جميع مستويات المؤسسة؛ لذلك من المهم أن يفهم الجميع خطة الاستجابة الخاصة بك ويقرر ما يجب فعله إذا شكوا في أنهم وقعوا ضحايا لهجوم. اختبر الموظفين بانتظام للتأكد من أنهم يعرفون كيفية التعرف على رسائل البريد الإلكتروني المخادعة، وتسهيل إخطار فريق الاستجابة للحوادث إذا نقروا عن طريق الخطأ على رابط ضار أو فتحوا مرفقاً به فيروسات.
حلول الاستجابة للحوادث
يعد الاستعداد للتعامل مع حادث كبير جزءاً مهماً لحماية مؤسستك من التهديدات. سيعزز إنشاء فريق داخلي للاستجابة للحوادث ثقتك بنفسك بأنك ستكون جاهزاً إذا وقعت ضحية لجهة منفذة للهجمات الإلكترونية.
استفد من حلول إدارة معلومات الأمان والأحداث (SIEM) وتنسيق الأمان والأتمتة والاستجابة (SOAR)، مثل Microsoft Sentinel، التي تستخدم الأتمتة لمساعدتك على تحديد الحوادث والاستجابة لها تلقائياً. يمكن للمؤسسات ذات الموارد القليلة تعزيز فرقها من خلال الاستعانة بمزود خدمة يمكنه التعامل مع مراحل الاستجابة للحوادث المتعددة. ولكن سواء كان لديك فريق داخل المؤسسة أم خارجها للاستجابة للحوادث، فتأكد من أن لديك خطة.
معرفة المزيد حول الأمان من Microsoft
الحماية من المخاطر مع Microsoft
حدد الحوادث واستجب لها عبر مؤسستك باستخدام أحدث تقنيات الحماية من التهديدات.
Microsoft Sentinel
اكتشف التهديدات المعقدة واستجب لها بطريقة فعالة من خلال حل معلومات الأمان وإدارة الأحداث (SIEM) الفعال المدعوم في السحابة وبإمكانات الذكاء الاصطناعي.
Microsoft Defender XDR
أوقف الهجمات عبر نقاط النهاية والبريد الإلكتروني والهويات والتطبيقات والبيانات.
الأسئلة المتداولة
-
يتم اتخاذ إجراءات الاستجابة للحوادث في جميع الأنشطة التي تقوم بها المؤسسة في حالة الاشتباه بحدوث اختراق أمني. فالهدف هو عزل المهاجمين والقضاء عليهم في أسرع وقت ممكن، والامتثال للوائح خصوصية البيانات والتعافي بأمان مع تقليل الضرر الواقع على المؤسسة إلى أدنى حد.
-
فريق متعدد الوظائف مسؤول عن الاستجابة للحوادث. عادةً ما يكون فريق تكنولوجيا المعلومات مسؤولاً عن تحديد التهديدات وعزلها والتعافي منها ومع ذلك، فإن الاستجابة للحوادث لا تتعلق فقط بالعثور على الجهات المنفذة للهجمات الإلكترونية والتخلص منها. بناءً على نوع الهجوم، قد يضطر شخص إلى اتخاذ قرار تجاري مثل كيفية التعامل مع برامج الفدية الضارة. يساعد المتخصصون في الشؤون القانونية والعلاقات العامة على ضمان امتثال المؤسسة لقوانين خصوصية البيانات، بما في ذلك الإخطارات ذات الصلة للعملاء والإدارات العامة. إذا تم تنفيذ التهديد من قبل موظف، فستقوم فرق الموارد البشرية بتقديم النصيحة بشأن الإجراء المناسب في هذه الحالة.
-
فريق الاستجابة لحوادث أمان الكمبيوتر (CSIRT) هو مسمى آخر لفريق الاستجابة للحوادث. فهو يشمل فريقاً متعدد الوظائف من الأفراد المسؤولين عن إدارة جميع جوانب الاستجابة للحوادث، بما في ذلك الكشف عن التهديدات، وعزلها، والتخلص منها والتعافي منها، والاتصالات الداخلية والخارجية، والتوثيق، وتحليل الأدلة الجنائية.
-
تستخدم معظم المؤسسات حل معلومات الأمان وإدارة الأحداث (SIEM) أو تنسيق الأمان والأتمتة والاستجابة (SOAR) لمساعدتهم على تحديد التهديدات والاستجابة لها. تجمع هذه الحلول عادةً البيانات من أنظمة متعددة وتستخدم التعلم الآلي؛ للمساعدة في تحديد التهديدات الحقيقية. يمكنهما أيضاً أتمتة الاستجابة لأنواع معينة من التهديدات بناءً على دلائل مبادئ مبرمج مسبقاً.
-
تتضمن دورة حياة الاستجابة للحوادث ست مراحل:
- عملية التحضير وتتم قبل تحديد الحادث وتتضمن تعريفاً لما تعتبره المؤسسة حادثاً وجميع النُهج والإجراءات اللازمة لمنع الهجوم واكتشافه والقضاء عليه والتعافي منه.
- تحديد التهديدات وهي عملية تستخدم كلاً من المحللين البشريين والأتمتة لتحديد الأحداث التي تمثل تهديدات حقيقية وتحتاج إلى معالجتها.
- احتواء التهديدات وهي الإجراءات التي يتخذها الفريق لعزل التهديد ومنعه من إصابة جوانب أخرى من الشركة.
- إزالة التهديدات وتتضمن خطوات لإزالة البرامج الضارة والمهاجمين من المؤسسة.
- التعافي واستعادة البيانات وتتضمن إعادة تشغيل الأنظمة والآلات واستعادة أي بيانات تم فقدها.
- التعليقات والتحسين وهي العملية التي يتخذها الفريق لمعرفة الدروس المستفادة من الحادث وتطبيق تلك الدروس المستفادة على النُهج والإجراءات.
متابعة الأمان من Microsoft