في مجال أمن المعلومات، تشير الحوادث إلى أي حدث ضار في نظام او شبكة المعلومات بحيث تشكل تهديدًا لأحد اهداف امن المعلومات الثلاث وهي السرية أو السلامة أو التوفر بشكل دائم. ولذلك فإن نجاح المنظمة يعتمد على قدرة فريق الاستجابة للحوادث على تحديد التهديدات المحتملة ووضع وسائل وقائية مناسبة. وللأسف فإن المنظمات لا تدرك أهمية فريق الاستجابة للحوادث حتى تحدث الكارثة. لهذا السبب تعتبر الاستجابة للحوادث من الجوانب المهمة في المنظمة لاكتشاف ومنع ضرر الهجوم.

خلال دورة حياة الهجوم السيبراني ، يمّكن الاكتشاف المبكر للحوادث من تقليل الاثار الناجمة عن الهجمات. كما تساعد عملية الاستجابة للحوادث على تحديد المخاطر والتهديدات ونقاط الضعف التي يجب اصلاحها لضمان سير العمليات بشكل آمن وفعال. وقد تسبب الحوادث الحرجة خسائر مالية كبيرة وعقوبات تشريعية. على سبيل المثال، قد تخضع المؤسسات لعقوبات قانون HIPAA بسبب تسرب معلومات الرعاية الصحية.

و يعتمد تصنيف الحوادث الامنية على مستوى الضرر الناجم عن التهديدات والاختراقات. بشكل عام فإن أفضل الممارسات لتحديد الاستجابة المناسبة للحوادث هي فهم أنواع الهجمات والمخاطر المحتملة التي تواجه المنظمة. و هناك فرق كبير بين الحوادث (Event) والحوادث الامنية (Incident) داخل نظام المعلومات. الحوادث (Event) هو أي حدث او اشعار يمكن ملاحظته في نظام المعلومات مثل إشعارات البريد الإلكتروني، واتصال المستخدم بالخوادم، وجدار الحماية الذي يحظر محاولة الاتصال. بينما الحوادث الامنية (Incident) هي الحادثة الضارة في نظام المعلومات التي تُحدث ضرراً أو محاولة لإحداث الضرر مثل محاولات تسجيل الدخول الخاطئة، البرمجيات الخبيثة، الحرمان من الخدمة، أو الوصول غير المصرح به. غالبًا ما يتم تصنيف الحوادث إلى أربع فئات رئيسية بناءً على مستوى تأثيرها وهي: حوادث حرجة وعالية ومتوسطة ومنخفضة

و خطوات الاستجابة للحوادث تهدف الى استعادة البيئة التشغيلية الطبيعية في المنظمة المتأثرة وذلك عبر عدة خطوات.  تبدأ تلك الخطوات بالإعداد المستمر وتنتهي بالدروس المستفادة. هناك ست خطوات رئيسية للتعامل مع الحوادث وهي: الاعداد، والاكتشاف، والاحتواء، والاستئصال، والاستعادة، ثم الدروس المستفادة.

مرحلة الإعداد: هي عملية مستمرة تهدف إلى جعل الفريق جاهزًا للتعامل مع الحوادث. تتضمن مرحلة الإعداد تطوير السياسات والقوانين واللوائح والتنسيق مع مزودي الخدمات وإعداد نظام تتبع الحوادث. يتضمن فريق هذه المرحلة كلا من اعضاء فريق الاستجابة للحوادث، الاتصالات، البيانات، البرامج، الأجهزة، الوثائق، التقارير. في مرحلة الإعداد، يتم بناء الفريق وتدريبه واعطاءه الصلاحيات المناسبة إلى جميع الأدوات والنظم المطلوبة.

مرحلة الاكتشاف: وتعني الإعلان عن الحادثة وتحديد ما إذا كانت حادثًا أمنيًا أم لا.  خلال هذه الخطوة يجب أن يكون الاكتشاف على جميع المستويات مثل اجهزة المستخدمين والانظمة والشبكة وذلك حسب هيكلة المنظمة. يوجد هناك العديد من الجوانب التي تمكن فريق الاستجابة للحوادث من اكتشاف الأنشطة الضارة مثل العمليات والخدمات والملفات واداء الشبكة والمهام المجدولة والحسابات. ويجب على فريق اﻻﺳﺗﺟﺎﺑﺔ اﻟﺣوادث أن ﯾﮐون ﻋﻟﯽ علم بالأنواع المختلفة للحوادث اﻷﻣﻧﯾﺔ وتحديد اﻟﻣﮐوﻧﺎت اﻟﻣﺗﺄﺛرة ﻟﺑدء ﻣرﺣﻟﺔ اﻻﺣﺗواء. في نهاية مرحلة الاكتشاف، يتم جمع كل الأدلة والحفاظ عليها لبناء سلسلة الادلة (Chain of custody). ومن الضروري ان يتم تحديث سلسلة الادلة وحمايتها من أجل التحقيقات المستقبلية. وقد تتراوح مستويات حوادث أمن المعلومات من المعتدلة إلى الكارثية فيما يتعلق بآثارها على المنظمة المتأثرة.

مرحلة الاحتواء: هي بداية مرحلة العلاج. الهدف منها هو تحديد مقدار المشكلة ووقف نموها من خلال منع المهاجم من التعمق في الأنظمة المتأثرة أو الانتقال إلى أنظمة أخرى. تبدأ مرحلة الاحتواء بالاحتواء قصير الأجل باستخدام أسرع الإجراءات لاحتواء المشكلة مثل إغلاق المنافذ، فصل كيابل الشبكة، سحب كيابل الطاقة، إلخ. بعد عزل المشكلة. آخر مرحلة هي الاحتواء طويل الأجل لضمان منع المهاجم من الوصول. وفيها تحتاج جميع الأنشطة إلى تغييرات كبيرة مثل تصحيح النظام وإزالة الحسابات وتطبيق انظمة التحكم.

 مرحلة الاستئصال: وفيها تتم الإزالة الكاملة للأثار الناجمة عن الحادث الامني. بعد عزل المشكلة، يقوم فريق الاستجابة للحوادث بإزالة البرامج الضارة باستخدام عدة أنشطة وفقًا لنوع الحادث على سبيل المثال تطبيق الانظمة الامنية وتغيير أسماء النطاقات وتهيئة الانظمة المصابة خاصة في حالة هجوم Rootkit. يعتبر تحليل الثغرات أحد أهم الأنشطة في هذه المرحلة من خلال أدوات مجانية أو تجارية لضمان عدم استغلال الثغرات مرة أخرى. بعد التأكد من إزالة جميع الآثار الهجومية، يجهز فريق الاستجابة للحوادث أفضل نسخة احتياطية لبدء مرحلة الاستعادة.

مرحلة الاستعادة: هي مرحلة الانتعاش بعد الحادث الامني. الهدف الرئيسي منها هو استعادة الأنظمة المتأثرة إلى الوضع التشغيلي الاعتيادي بطريقة آمنة. ومن المهم معرفة إن قرار استعادة الأنظمة يقع على عاتق صاحب العمل او مسؤولي الانظمة. ويجب على صاحب العمل اتخاذ قرار بشأن الوقت المحدد لإعادة النظام إلى التشغيل العادي. كما يكمن دور فريق الاستجابة للحوادث في تقديم اي استشاره فنية حول الوضع الحالي. في حالة عودة الأنظمة، يقوم فريق الاستجابة للحوادث بمراقبة الانظمة المتأثرة للتأكد من عدم حدوث الهجوم مرة أخرى.

مرحلة الدروس المستفادة: الهدف الرئيسي للدروس المستفادة هو توثيق ما حدث وتطوير القدرات. هذه المرحلة هي أفضل وقت لتطوير بيئة أمن المعلومات في المنظمة. في هذه المرحلة، يجب أن يلتقي أصحاب المنشأة مع كبار الموظفين والمستشارين الموثوق بهم وفريق الاستجابة للحوادث لمراجعة نقاط الضعف المحتملة ومناقشة استراتيجيات التخفيف الجديدة.

و يلعب فريق الاستجابة للحوادث (IRT) دوراً هاماً في تحديد مدى الأضرار الناجمة عن الحوادث الامنية. كما يعمل فريق الاستجابة للحوادث على مدار الساعة لتحديد الهجمات ذات الأولوية العالية في المنظمة المتأثرة وتقديم حلول وقائية في محاولة لمنع حدوث أضرار واسعة النطاق في الحاضر والمستقبل. يتمثل الدور الرئيسي لـ IRT في تنفيذ التعليمات خطوة بخطوة للرد على الهجمات السيبرانية بينما يقدم أعضاء المنظمة خدمات داعمة فيما يتعلق بالمعلومات والمتطلبات العامة. لا يقتصر فريق الاستجابة للحوادث على فريق الأمن. لإكمال عملية الاستجابة للحوادث، ولكن يجب أن يحتوي فريق الاستجابة للحوادث على اعضاء من قسم امن المعلومات، وفريق الشبكة، ومسؤولي النظام، ومكتب الخدمات، والقسم القانوني، والموارد البشرية والعلاقة العامة.

يستخدم فريق الاستجابة للحوادث بعض الأدوات للتعامل مع مشكلات أمن المعلومات التي تسببها الهجمات. وتضمن هذه الأدوات ما يساعد على الحفاظ على المعلومات ضمن حدود الاستخدام المنصوص عليها. ويجب أن تكون جميع الأدوات المطلوبة سهلة الوصول مثل وضعها في “Jump Bag” للتعامل مع الحوادث في أقرب وقت ممكن. وتحتوي هذه الحقيبة المتنقلة على ادوات نسخ احتياطية، وبرامج التحليل الجنائي الرقمي، وأجهزة التخزين، وادوات مراقبة على الشبكة، والملحقات العامة.

و يعمل IRT على تحسين قدرات الأمان الخاصة بالمؤسسة وحماية سرية ونزاهة وتوافر أنظمة المعلومات الخاصة بها. ومن الواضح أن الاستجابة للحوادث هي الخيار الأفضل للمنظمات التي توفر الحماية ضد الهجمات السيبرانية. وتكمن قوة هذا الفريق على كثرة الممارسة والتطوير لكل اعضاءه. بعد وقوع حادث معين، فإن التركيز الأساسي لأي منظمة يدور حول القدرة على منع أي فقدان للبيانات. بناءَ على ذلك فإن تطوير أنظمة احتياطية فائقة وفعالة يبرز كأحد الركائز الهامة التي يجب القيام بها. غالبًا تفضل الشركات بناء أنظمة النسخ الاحتياطي الخاصة بها بعيدًا عن نقاطها التشغيلية الأساسية. ومن غير المنطقي إنشاء مركز نسخ احتياطي ومركز بيانات يستخدم نفس الشبكة الداخلية للشركة. وقد تستخدم المنظمة شبكات مختلفة او افتراضية خاصه لوضع تلك النسخ الاحتياطية فيها. بالإضافة إلى ذلك، فإن مسألة الشبكات الافتراضية ستساعد هذه الشركة على الاحتفاظ بكافة بياناتها داخل مبانيها ولكن في منطقة منفصلة.

الكاتب: م. رائد العتيبي rff_1122@

المصدر: https://www.sans.org/reading-room/whitepapers/incident