ماهو الIncident Response (استجابة الحوادث)؟ ماهي أهم الأدوات المجانية التي تفيد في هذا المجال؟ تابع القراءة في هذا الثريد لتتعرف على أهمية أتمتة الاستجابة للحوادث،واكتشف 5 أدوات شائعة في هذا المجال.
الاستجابة للحوادث هي الممارسة المنظمة للاستجابة لأحداث الأمن السيبراني. يتم تنظيم هذه الممارسات في خطة محكمة تحدد الخطوات والأدوات التي يجب على المنظمة اتباعها خلال وقوع الحدث. يمكن لهذه الخطة أن تختلف بين جهة وأخرى،ولكنها على الأقل يجب أن تغطي 6 خطوات رئيسية :
1) الاعداد
2)الاكتشاف
3)الاحتواء
4)الاستئصال
5) الاستعادة
6) الدروس المستفادة
يجب أن نضع في عين الإعتبار أن كل خطوة من هذه الخطوات تحتاج إلى أتمتة.لذا فإن بعض الأدوات المختصة بالتحقيق الجنائي الرقمي تساعد على جمع البيانات واستيعابها ،بينما تساعدك أدوات أخرى على أهداف أخرى مثل
2)الاكتشاف
3)الاحتواء
4)الاستئصال
5) الاستعادة
6) الدروس المستفادة
يجب أن نضع في عين الإعتبار أن كل خطوة من هذه الخطوات تحتاج إلى أتمتة.لذا فإن بعض الأدوات المختصة بالتحقيق الجنائي الرقمي تساعد على جمع البيانات واستيعابها ،بينما تساعدك أدوات أخرى على أهداف أخرى مثل
إجراءات الاستجابة الفعلية. كما يوجد أدوات أخرى أيضا تساعد في تحقيقات تفصيلية معقدة في الحوادث الأمنية. الجدير بالذكر هنا أن معظم الأدوات المجانية توفر حلاً لجزء فقط من عملية الاستجابة للحوادث ، لذا ربما ستحتاج إلى الجمع بين عدة أدوات للوصول إلى أفضل النتائج وبسرعة مطلوبة.
الأداة الاولى : thehive-project.org
وهي نظام متنامي قابل للتطوير ومفتوح المصدر وقابل للاستجابة لحوادث الأمن،مدمجة بشكل وثيق مع منصة مشاركة معلومات البرامج الضارة. تمتاز بسهولة التعامل لأي ممارس يتعامل مع الحوادث الأمنية التي تحتاج إلى التحقيق والتصرف على وجه السرعة
وهي نظام متنامي قابل للتطوير ومفتوح المصدر وقابل للاستجابة لحوادث الأمن،مدمجة بشكل وثيق مع منصة مشاركة معلومات البرامج الضارة. تمتاز بسهولة التعامل لأي ممارس يتعامل مع الحوادث الأمنية التي تحتاج إلى التحقيق والتصرف على وجه السرعة
الأداة الثانية : AlienVault OSSIM وقد استحوذت عليها شركة AT&T وهي نظام أيضا مفتوح المصدر يجمع ما بين معلومات الأمن السيبراني وإدارة الأحداث،غنية بالمميزات مثل
1- اكتشاف الأصول
2- تقييم نقاط الضعف
3- كشف التسلل
4- مراقبة سلوكيات الشبكة والأحداث
5- ربط الأحداث بمنظومة SIEM
1- اكتشاف الأصول
2- تقييم نقاط الضعف
3- كشف التسلل
4- مراقبة سلوكيات الشبكة والأحداث
5- ربط الأحداث بمنظومة SIEM
الأداة الثالثة : GRR Rapid Response وهي إطار استجابة للحوادث يركز على عمليات التحقيق الجنائي عن بعد. تمتاز بسرعة فرز الهجمات وإجراء عمليات التحليل الرقمي عن بعد. تتميز أيضا بوجود قسمين للمكونات الخاصة بالأداة ( الخادم والمضيف ).
الأداة الرابعة : Cyphon وهي منصة لإدارة الحوادث والاستجابة لها تمتاز بتبسيط العديد من المهام واختصارها في بيئة عمل موحدة. تتلقى هذه المنصة الأحداث وتعالجها وتقوم بفرزها لتقديم حل شامل لسير العمل التحليلي الخاص بك وتساعد أيضا في تجميع البيانات والتنبيهات وتحديد أولوياتها.
الأداة الخامسة : وهي أداة من شركة SANS اسمها SIFT أركز عليها في تدريسي لمادة التحقيق الجنائي الرقمي. تتكون من مجموعة من الأدوات لإجراء التحقيقات الجنائية الرقمية وتوفر إمكانايات مميزة مثل تنقيب الملفات لاستخراج أدلة محددة، وتحليل سلة المحذوفات وإنشاء مخطط زمني من سجلات النظام
جاري تحميل الاقتراحات...