هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

مراحل الأستجابه لحوادث الأختراق

الانظمه الامنية تستخدم للدفاع عن الشركات والموسسات من الجرائم الالكترونية بكافة انواعها واشكالها ولكن حوادث الاختراق لا يمكن ابدا منعها  من الحدوث لذلك يجب على الاقل اذا حدثت هذه الحوادث الامنية  يتم احتوائها وتقليل الخسائر بقدر المستطاع وهذا ما يسمى بالاستجابة للحوادث (Incident response ) .

الاستجابة للحوادث تتم عن طريق تعريف سياسات دقيقه يتم اتباعها في الشركه او الموسسه للحد من اخطار الاختراقات وهذه السياسات كما سوف نعرف في هذه التدوينه لها مراحله قبل حدوث الاختراق وبعده . في العاده يقوم بالتخطيط والتحقيق في الحوادث فريق متخصص يسمى CSIRT اختصار لـ Computer Security Incident Response Team , ايضا يمكن الاستعانه بشركات متخصصه للتحقيق واحتواء الحوادث .
تتكون عملية الاستجابة للحوادث من عدة مراحلة :

هناك سبع مراحلة اساسية للأستجابة لحوادث الاختراق سوف نتعرف عليهم بشكل سريع وسوف اكتب تدوينه منفصلة عن كل مرحله ان شاء الله

ما قبل الحادثه:

وتتلخص في البروتوكولات والسياسات المتبعه في الشركه للتعامل في مثل هذه الحوادث وتحديد فريق الاستجابة قبل حدوث الحادثه والاستعداد بحيث يتم طلبهم في اي لحظه. فريق الاستجابة قد يكون من موظفي الشركة في حالة الشركات الكبيرة او يتم طلبهم من قبل شركات اخرى . بعض الامثلة على سبيل التوضيح ليس الحصر لبعض الممارسات التي يجب ان تكون موجوده للاستعداد لحدوث الاختراقات .

1- تنصيب برامج الحماية على اجهزة الموظفين ومتابعتها بشكل مستمر
2- اعداد انظمه الحماية على مستوى الشبكه مثل IDS
3- تدريب وتاهيل الموظفين ليكون هناك وعي ويساهم كل موظف حماية الشبكه
4- اعداد الشبكة بشكل صحيح من ناحية امنية ويكون هناك Access controls تحدد السياسات والصلاحيات لكل فرد او نظام في الشبكة
5- تنفيذ اختبار اختراق للشبكة بشكل دوري خاصة عند تحديث البنية التحتيه للشركة واضافه متنجات وخدمات جديده
6- اعداد نظام تخزين احتياطي جيد يقوم باخذ نسخه احتياطيه من المعلومات بشكل مستمر

اكتشاف الحادثه :

هذه المرحلة التي يكتشف فيها مهندس امن المعلومات او احد الموظفين بان هناك اختراق . هنا يجب ان يكون هناك سياسة واضحه لكيفية التبليغ والى من يتم التبليغ. اثناء تدريب الموظفين يجب ان يكون للتدريب جانب مختص في كيفية ملاحظة الاختراق والتبليغ عنه للمختصين. الكثير من الحالات يكون هناك اختراق ولا يعرف الموظف ما يجب القيام به .بالاضافة لاجهزة اكتشاف الاختراق المنصبة على الشبكة يجب مراجعتها وتحليل التقارير الناتجه منها بشكل دوري .

في حالة ما تم ملاحظة ان هناك اختراق وتم استدعاء المختص يجب بشكل مبدئي تسجيل المعلومات التاليه في سجل معد مسبقاً

  1. الوقت والتاريخ التي تم ملاحظه الاختراق فيه
  2. الشخص الذي بلغ بالاختراق او اسم البرنامج الذي من خلالة تم اكتشاف الاختراق
  3. نوع الاختراق
  4. الاجهزة والانظمه المتأثره

الأستجابة الاولية :

وهي الخطوات الاولى التي يتم تنفيذها بعد اكتشاف الحادثه والتبليغ عنها وهذه في العاده تكون خطوات معرفة مسبقا من قبل فريق الاستجابة ويمكن القول بأنها الاحتواء الاولي للحادثه قبل اتخاذ القرارات الحاسمة .
يتم مقابلة الموظف الذي اكتشف الاختراق ومناقشته كذلك مدير الشبكة ومعرفة التفاصيل الخاصة بالبنية التحتيه للشركة والحلول المنصبة ومعلومات تقنيه اخرى . حتى هذه المرحلة من المحتمل ان ليس هناك اختراق وانما خلل فني بسيطة في الشبكة ادى الى الظن بانها حادثه اختراق.

صياغة خطة الاستجابة :

وهنا يتم صياغة خطة الاستجابة بحيث تتناسب مع نوع الحادثه وبعض العوامل مثل ان تتم الاستجابة مع عدم التاثير على سير العمل او ان تتم الاستجابة بطريقة لا تخالف القوانين والسياسات او انتهاك لأي حقوق.

خطة الاستجابة يتم صياغتها مع مراعاه العوامل التالي

  1. ما مدى اهمية وخطورة البيانات المسروقة او الانظمه المخترقة
  2. من هم المحتملين بانهم قاموا بالاختراق
  3. هل تم تسريب خبر الاختراق
  4. ماهو مدى عمق الاختراق في الشبكة
  5. ماهي الخسائر المادية التقديريه للاختراق

التحقيق في الحادثة :

هنا يتم جمع وتحليل البيانات من الانظمه وتحليلها بشكل معمق وهنا يأتي التحقيق الجنائي الرقمي لتنفيذ التحقيقات وحفظ الادلة وتطبيق كل سياسات التحقيق الجنائي التقنية والقانونية .

إعداد التقارير :

هنا يأتي التحدي لكتابة تقرير دقيق يصف ما حدث بالضبط , يجب اتباع طرق كتابة التقارير المتعارف عليها في التحقيق الجنائي الرقمي , يجب ان يحتوي التقرير على معلومات كافية  لمتخذي القرار  ليقوموا بالواجب واتخاذ القرارات المناسبة .

أي حادثه اختراق تحصل لأي شركة يجب ان تكون درس مفيد ينعكس على سياسة الشركه ومدى استعداديتها لاحتواء  مثل هذه الحوداث , لا يوجد شركة خالية من الأخطاء ولكن الشركات الجيده التي تتعلم من الاخطاء

2 تعليقان
  1. Taliaديسمبر 23, 2017

    جزيل الشكر ع الشرح الرائع و المعلومات القيمه.

  2. علي الوشليديسمبر 23, 2017

    العفو

اضف تعليق