💥تم الاختراق للجهة التي تعمل بها؛ مالذي يجب فعله الآن؟!
قد يتم سؤالك في مقابلة شخصية أو قد تكون أحد العاملين في مجال #الامن_السيبراني أو قد تكون مهتم بمعرفة الاجابة..
سأجيب عن ذلك في هذا الثريد.
قد يتم سؤالك في مقابلة شخصية أو قد تكون أحد العاملين في مجال #الامن_السيبراني أو قد تكون مهتم بمعرفة الاجابة..
سأجيب عن ذلك في هذا الثريد.
ابتداءً يجب معرفة مفهوم الاستجابة للحوادث (Incident Response) IR وهو منهجية يتم العمل عليها من قبل مختصي الأمن السيبراني للتعامل مع الحوادث السيبرانية من خلال بعض الممارسات والأدوات والسياسات المتبعة لتقليل الآثار التي قد تنتج عن أي حادث أمني.
العديد من المنهجيات يمكن الأخذ بها مثل منهجية منظمة NIST والتي لخصت خطوات #الاستجابه_للحوادث في أربعة مراحل وهي: التحضير-الاكتشاف والتحليل-الاحتواء والإنهاء والاستعادة ثم الدروس المستفادة
👈هنا الدليل المرجعي من NIST للاستجابة للحوادث
nvlpubs.nist.gov
👈هنا الدليل المرجعي من NIST للاستجابة للحوادث
nvlpubs.nist.gov
سأتكلم عن ست خطوات يجب اتباعها للاستجابة للحوادث:
1- التحضير للحوادث..
لا استجابة بدون تخطيط وتحضير .. مالم يكن لديك فريق مؤهل وخطة استجابة IRP ناجحة فستكون استجابتك متأخرة جداً.
بعض الجهات لديها فريق #SOC ويكون هو المعني بـ IR لابأس إذا تم تدريبهم جيداً والأفضل بناء فريق CSIRT
1- التحضير للحوادث..
لا استجابة بدون تخطيط وتحضير .. مالم يكن لديك فريق مؤهل وخطة استجابة IRP ناجحة فستكون استجابتك متأخرة جداً.
بعض الجهات لديها فريق #SOC ويكون هو المعني بـ IR لابأس إذا تم تدريبهم جيداً والأفضل بناء فريق CSIRT
2- اكتشاف المصدر:
يجب أن يقوم فريق الاستجابة بمعرفة سبب الانتهاك والتأكد من احتواءه، يتم معرفة عدد من المؤشرات IOCs من خلال :
-السجلات الأمنية للمستخدمين ولمدراء الأنظمة ومسؤولي الشبكة
-تنبيهات نظام SIEM
-برامج التحقق من نزاهة الملفات وسجلات EDR
- الانشطة الغريبة في كل الأصول!
يجب أن يقوم فريق الاستجابة بمعرفة سبب الانتهاك والتأكد من احتواءه، يتم معرفة عدد من المؤشرات IOCs من خلال :
-السجلات الأمنية للمستخدمين ولمدراء الأنظمة ومسؤولي الشبكة
-تنبيهات نظام SIEM
-برامج التحقق من نزاهة الملفات وسجلات EDR
- الانشطة الغريبة في كل الأصول!
3- الاحتواء والاستعادة
قد يتطلب احتواء الضرر أحيانا إلى تعطيل أو تقييد الوصول للشبكة أو للخدمة لحين يتم تصحيح أو تحديث النظام أو اقفال الثغرة.
في حالات معينة سيتم استعادة الملفات من النسخ الاحتياطية واعادة تشغيلها ويجب اختبارها أمنياً واقفال الثغرة قبل اعادة الوصول للشبكة/الخدمة
قد يتطلب احتواء الضرر أحيانا إلى تعطيل أو تقييد الوصول للشبكة أو للخدمة لحين يتم تصحيح أو تحديث النظام أو اقفال الثغرة.
في حالات معينة سيتم استعادة الملفات من النسخ الاحتياطية واعادة تشغيلها ويجب اختبارها أمنياً واقفال الثغرة قبل اعادة الوصول للشبكة/الخدمة
4- تقييم الأضرار:
قد لايتم معرفة الأضرار الناتجة عن الهجوم ابتداءً وقد يكون الهجوم مبطن بهجوم آخر وقد لايكون هدف الهجوم هو ماتم اعلانه أو ماتم مهاجمته لذلك يجب على فريق CSIRT دراسة الهجوم بشكل دقيق وفحص كل مايشتبه باصابته وافتراض أسواء الاحتمالات ليتم تقييم الضرر بشكل أدق.
قد لايتم معرفة الأضرار الناتجة عن الهجوم ابتداءً وقد يكون الهجوم مبطن بهجوم آخر وقد لايكون هدف الهجوم هو ماتم اعلانه أو ماتم مهاجمته لذلك يجب على فريق CSIRT دراسة الهجوم بشكل دقيق وفحص كل مايشتبه باصابته وافتراض أسواء الاحتمالات ليتم تقييم الضرر بشكل أدق.
5- بدء عملية الابلاغ:
عند وقوع حادث أمني يجب أن تكون هناك خطة للاتصال والابلاغ داخل وخارج المنظمة.
مثلاً داخل السعودية يجب ابلاغ @NCA_KSA عن أي حادث أمني.
وذلك لرصد الحوادث ولاتباع الاجراءات القانونية المخصصة في مثل هذه الحالات.
عند وقوع حادث أمني يجب أن تكون هناك خطة للاتصال والابلاغ داخل وخارج المنظمة.
مثلاً داخل السعودية يجب ابلاغ @NCA_KSA عن أي حادث أمني.
وذلك لرصد الحوادث ولاتباع الاجراءات القانونية المخصصة في مثل هذه الحالات.
6- الدروس المستفادة:
يفترض أن يتبع أي حادث أمني دروس يتم الاستفادة منها في منع تكرارها مستقبلاً بما في ذلك توعية الموظفين أو اصلاح العيوب ونقاط الضعف أو تطبيق مؤشرات فعالة في الأنظمة الأمنية الخاصة بالمراقبة والكشف.
وغير ذلك مما يمكن أن يتم تحسينه في الاجراءات والسياسات والمعايير
يفترض أن يتبع أي حادث أمني دروس يتم الاستفادة منها في منع تكرارها مستقبلاً بما في ذلك توعية الموظفين أو اصلاح العيوب ونقاط الضعف أو تطبيق مؤشرات فعالة في الأنظمة الأمنية الخاصة بالمراقبة والكشف.
وغير ذلك مما يمكن أن يتم تحسينه في الاجراءات والسياسات والمعايير
بعض المصادر للاستجابة للحوادث
مقال عن الاستجابة للحوادث السيبرانية
google.com
تحدي الاستجابة للحوادث
incident-response-challenge.com
الاستجابة للحوادث في الـ Cloud
osdfir.blogspot.com
ماهي IRP ؟
crowdstrike.com
مقال عن الاستجابة للحوادث السيبرانية
google.com
تحدي الاستجابة للحوادث
incident-response-challenge.com
الاستجابة للحوادث في الـ Cloud
osdfir.blogspot.com
ماهي IRP ؟
crowdstrike.com
جاري تحميل الاقتراحات...