تشير الاستجابة للحوادث (تسمى أحيانًا الاستجابة للحوادث الأمنية الإلكترونية) إلى الإجراءات والتقنيات التي تتبعها المؤسسة لكشف التهديدات الإلكترونية أو عمليات اختراق الأمن أو الهجمات الإلكترونية والاستجابة لها. تُمكِّن خطة الاستجابة الرسمية للحوادث فرق الأمن الإلكتروني من الحد من الأضرار أو منعها.
يتمثل الهدف من الاستجابة للحوادث في منع الهجمات الإلكترونية قبل حدوثها وتقليل التكلفة والحد من تعطيل الأعمال الناتج عن أي هجمات إلكترونية تحدث. الاستجابة للحوادث هي الجزء التقني من إدارة الحوادث التي تشمل أيضًا الإدارة التنفيذية وإدارة الموارد البشرية والإدارة القانونية لحادث خطير.
يُفضل أن تحدد المؤسسة إجراءات الاستجابة للحوادث وتقنياتها في خطة الاستجابة الرسمية للحوادث (IRP) التي توضح كيفية التعرف على الأنواع المختلفة من الهجمات الإلكترونية واحتوائها وحلها.
يمكن أن تساعد خطة الاستجابة الفعالة للحوادث فرق الاستجابة للحوادث الإلكترونية على كشف التهديدات الإلكترونية واحتوائها واستعادة الأنظمة المتضررة وتقليل الخسائر في الإيرادات والغرامات التنظيمية وغيرها من التكاليف.
أشار تقرير تكلفة خرق البيانات الصادر عن IBM أن وجود فريق للاستجابة للحوادث وخطط استجابة رسمية للحوادث يُتيح للمؤسسات تقليل تكلفة الاختراق بنحو نصف مليون دولار أمريكي (473,706 دولارات أمريكية) في المتوسط.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
الحادث الأمني، أو الحدث الأمني، هو أي اختراق رقمي أو مادي يهدد سرية أو سلامة أو توافر أنظمة المعلومات أو البيانات الحساسة الخاصة بالمؤسسة. تتنوع الحوادث الأمنية بين الهجمات الإلكترونية المتعمدة من قِبل المخترقين أو المستخدمين غير المصرح لهم، والانتهاكات غير المتعمدة لسياسة أمن تكنولوجيا المعلومات من قِبل المستخدمين الشرعيين المصرح لهم.
تتضمن بعض الحوادث الأمنية الأكثر شيوعًا ما يلي:
تُعَد برامج الفدية نوعًا من البرمجيات الخبيثة، أو ما يُعرَف باسم البرامج الضارة، التي تعمل على قفل بيانات الضحية أو جهازه وتُهدد بالإبقاء عليه مغلقًا، أو التسبب في أضرار أكبر، ما لم يتم دفع فدية. يشير أحد تقرير من X-Force Threat Intelligence Index من IBM إلى أن 20% من الهجمات على الشبكات استخدمت برامج الفدية، وأن الهجمات القائمة على الابتزاز تُعَد من أبرز دوافع الجرائم الإلكترونية، ولا يتفوق عليها سوى سرقة البيانات وتسريبها.
تُعَد هجمات التصيّد الاحتيالي رسائل رقمية أو صوتية تهدف إلى خداع المستلمين ودفعهم لمشاركة معلومات حساسة، أو تنزيل برمجيات خبيثة، أو تحويل أموال أو أصول إلى جهات غير مشروعة، أو تنفيذ إجراءات قد تُسبب ضررًا.
يكتب المخترقون رسائل التصيّد الاحتيالي لتبدو أو تُسمع وكأنها صادرة عن مجموعة أو فرد موثوق به أو ذو مصداقية – وأحيانًا حتى من فرد يعرفه المستلم شخصيًا.
التصيّد الاحتيالي وبيانات الاعتماد المسروقة أو المخترَقة هما نوعي متجهات الهجوم الأكثر انتشارًا، وفق تقرير تكلفة اختراق أمن البيانات الصادر عن IBM. يُعَد التصيّد أيضًا أكثر أشكال الهندسة الاجتماعية شيوعًا، وهي فئة من الهجمات تستهدف الطبيعة البشرية بدلً من ثغرات الأمن الرقمي، بهدف الوصول غير المصرّح به إلى بيانات أو أصول شخصية أو مؤسسية حساسة.
في الهجمات الموزعة لحجب الخدمة (DDoS)، يستولي المهاجمون على عدد كبير من أجهزة الحاسوب ويستخدمونها لإغراق شبكة أو خوادم الجهة المستهدفة بطلبات وهمية، ما يؤدي إلى تعطيل تلك الموارد وجعلها غير متاحة للمستخدمين الشرعيين.
هجمات سلسلة التوريد هي هجمات إلكترونية تخترق المؤسسة المستهدفة من خلال مهاجمة بائعيها. على سبيل المثال، يمكن أن يشمل ذلك سرقة بيانات حساسة من أنظمة المورِّد أو استخدام خدمات البائع لتوزيع البرامج الضارة.
هناك نوعان من التهديدات الداخلية. يُقصد الهجمات الداخلية الخبيثة الموظفون أو الشركاء أو المستخدمون المصرّح لهم الذين يتعمّدون الإضرار بأمن معلومات المؤسسة. يُقصد بالعناصر الداخلية المهملة المستخدمون المصرّح لهم الذين يعرّضون الأمن للخطر عن غير قصد نتيجة عدم اتباع أفضل ممارسات الأمان، مثل استخدام كلمات مرور ضعيفة أو تخزين بيانات حساسة في أماكن غير آمنة.
تتضمن هذه الهجمات حصول المهاجم في البداية على امتيازات محدودة في النظام واستخدامها للتحرك بشكل جانبي، ما يُتيح له الحصول على امتيازات أعلى والوصول إلى بيانات أكثر حساسية خلال العملية.
يمكن أن تساعد بيانات الاعتماد المسروقة المهاجم إما على الدخول الأولي أو على تعزيز امتيازاته. وفق تقرير X-Force Threat Intelligence Index، فإن إساءة استخدام الحسابات الصالحة هي الطريقة الأكثر شيوعًا التي يستخدمها المهاجمون لاختراق الأنظمة اليوم.
في هجوم MITM، يعترض عنصر التهديد اتصالًا ما -وغالبًا رسالة بريد إلكتروني تحتوي معلومات حساسة مثل أسماء المستخدمين أو كلمات المرور- ليقوم بسرقتها أو تعديل محتواها. يستخدم المهاجم المعلومات المسروقة مباشرةً، أو يزرع برمجيات ضارة ليتم تمريرها إلى المستلم المستهدف.
عادة ما يتم توجيه جهود التعامل مع الحوادث في المؤسسة من خلال خطة الاستجابة للحوادث. إذ يتم وضع الخطط وتنفيذها عادة من قِبل فريق الاستجابة لحوادث أمن الكمبيوتر (CSIRT) الذي يتكون من أطراف معنية من مختلف أقسام المؤسسة.
قد يضم فريق الاستجابة لحوادث أمن الكمبيوتر المدير التنفيذي لأمن المعلومات (CISO) ومركز العمليات الأمنية (SOC) ومحللي الأمن وموظفي تكنولوجيا المعلومات. وقد يشمل أيضًا ممثلين من القيادة التنفيذية والشؤون القانونية والموارد البشرية والامتثال التنظيمي وإدارة المخاطر وربما خبراء خارجيين من مزودي الخدمات.
يشير تقرير تكلفة اختراق أمن البيانات إلى أنه "من خلال الاستثمار في الاستعداد للاستجابة، يمكن أن تساعد المؤسسات على تقليل الآثار المكلفة والمدمرة الناتجة عن اختراق أمن البيانات، ودعم استمرارية العمليات والحفاظ على علاقاتها مع العملاء والشركاء والأطراف المعنية الرئيسية الأخرى".
عادةً ما تتضمن خطة الاستجابة للحوادث ما يلي:
دليل استجابة للحوادث يتضمن أدوار ومسؤوليات كل عضو من أعضاء فريق الاستجابة لحوادث أمن الكمبيوتر طوال دورة حياة الاستجابة للحوادث.
حلول الأمان، بما في ذلك البرامج والأجهزة والتقنيات الأخرى، المطبَّقة على مستوى المؤسسة.
خطة استمرارية الأعمال التي تحدد إجراءات استعادة الأنظمة والبيانات الحساسة بأسرع وقت ممكن في حال حدوث انقطاع.
منهجية الاستجابة للحوادث التي توضح بالتفصيل الخطوات المحددة التي يجب اتخاذها في كل مرحلة من مراحل عملية الاستجابة للحوادث، والأشخاص المسؤولين عن ذلك.
خطة اتصالات لإبلاغ قادة الشركة والموظفين والعملاء وسلطات إنفاذ القانون بشأن الحوادث.
تعليمات جمع وتوثيق المعلومات عن الحوادث من أجل مراجعتها لتقييم الحوادث و(إذا لزم الأمر) الإجراءات القانونية.
قد يضع فريق الاستجابة لحوادث أمن الكمبيوتر خططًا مختلفة للاستجابة لأنواع مختلفة من الحوادث، حيث قد يتطلب كل نوع استجابة خاصة. تمتلك العديد من المؤسسات خططًا محددة للاستجابة للحوادث تتعلق بكلِّ من الهجمات الموزعة لحجب الخدمة والبرامج الضارة وبرامج الفدية الضارة والتصيد الاحتيالي والتهديدات الداخلية.
يُعَد وجود خطط استجابة للحوادث مصمَّمة خصيصًا لبيئة المؤسسة (أو لبيئاتها المختلفة) عنصرًا أساسيًا لتقليل الوقت اللازم للاستجابة للهجوم واحتوائه والتعافي منه.
تعزز بعض المؤسسات فِرق الاستجابة لحوادث أمن الكمبيوتر بشركاء خارجيين يقدمون خدمات الاستجابة للحوادث. وغالبًا ما يعمل هؤلاء الشركاء بأجر ويساعدون في جوانب مختلفة من عملية إدارة الحوادث بشكل عام، بما في ذلك وضع خطط الاستجابة للحوادث وتنفيذها.
تتبع معظم خطط الاستجابة للحوادث إطار الاستجابة للحوادث العام نفسه القائم على النماذج التي طورها المعهد الوطني الأمريكي للمعايير والتقنية (NIST)1 ومعهد SANS2. تتضمن الخطوات الشائعة للاستجابة للحوادث ما يلي:
تعد هذه المرحلة الأولى من الاستجابة للحوادث مرحلة مستمرة أيضًا. يختار فريق الاستجابة لحوادث أمن الكمبيوتر أفضل الإجراءات والأدوات والأساليب الممكنة للاستجابة للحوادث وتحديدها واحتوائها والتعافي منها بأسرع وقت ممكن وبأقل قدر ممكن من تعطل الأعمال.
من خلال إجراء تقييم منتظم للمخاطر، يحدِّد فريق الاستجابة لحوادث أمن الكمبيوتر بيئة الأعمال التي يجب حمايتها والثغرات المحتملة في الشبكة وأنواع الحوادث الأمنية المختلفة التي تشكِّل خطرًا على الشبكة. يحدِّد الفريق أولويات التعامل مع كل نوع من الحوادث وفقًا لتأثيره المحتمل على المؤسسة.
قد "يحاكي" فريق الاستجابة لحوادث أمن الكمبيوتر عدة إستراتيجيات هجوم مختلفة، ثم ينشئ نماذج لأكثر الاستجابات فعالية من أجل التعامل مع الهجوم الحقيقي بسرعة في حال حدوثه. وقد يتم تتبع وقت الاستجابة لوضع مقاييس للتدريبات المستقبلية والهجمات المحتملة. استنادًا إلى تقييم المخاطر بالكامل، قد يحدِّث فريق الاستجابة لحوادث أمن الكمبيوتر الخطط الحالية للاستجابة للحوادث أو يضع خططًا جديدة.
خلال هذه المرحلة، يراقب أعضاء فريق الأمن الشبكة لرصد أي نشاط مشبوه أو التهديدات المحتملة. يعمل الفريق على تحليل البيانات والإشعارات والتنبيهات المجمَّعة من سجلات الأجهزة ومن مختلف أدوات الأمان مثل برامج مكافحة الفيروسات وجدران الحماية، وذلك لتحديد الحوادث الجارية. يعمل الفريق على استبعاد الإيجابيات الزائفة وتمييزها عن الحوادث الحقيقية، ثم يُصنِّف التنبيهات الفعلية وفقًا لدرجة خطورتها.
في الوقت الحالي، تستخدم معظم المؤسسات حلًا واحدًا أو أكثر من حلول الأمن –مثل إدارة المعلومات والأحداث الأمنية واكتشاف نقطة النهاية والاستجابة لها– لمراقبة الأحداث الأمنية في الوقت الفعلي وأتمتة جهود الاستجابة. (راجع قسم "تقنيات الاستجابة للحوادث" للحصول على المزيد من المعلومات).
يأتي دور خطة الاتصال أيضًا في هذه المرحلة. عندما يحدد فريق الاستجابة لحوادث أمن الكمبيوتر نوع التهديد أو الاختراق الذي يتعاملون معه، سيخطرون الموظفين المناسبين، ثم ينتقلون إلى المرحلة التالية من عملية الاستجابة للحوادث.
يتخذ فريق الاستجابة للحوادث الخطوات اللازمة لمنع الاختراق أو أي نشاط ضار آخر من إلحاق مزيد من الضرر بالشبكة. بعد ذلك، يتم تنفيذ خطط الاستجابة للحوادث الطارئة. ثمة فئتان من أنشطة الاحتواء:
تركز تدابير التخفيف قصيرة الأجل على منع انتشار التهديد الحالي من خلال عزل الأنظمة المتضررة، مثل فصل الأجهزة المصابة عن الشبكة.
تركز تدابير الاحتواء طويلة الأجل على حماية الأنظمة غير المتضررة من خلال وضع ضوابط أمنية أقوى حولها، مثل فصل قواعد البيانات الحساسة عن بقية الشبكة.
في هذه المرحلة، قد يُنشئ فريق الاستجابة لحوادث أمن الكمبيوتر أيضًا نسخًا احتياطية للأنظمة المتضررة وغير المتضررة لمنع فقدان المزيد من البيانات وجمع الأدلة الجنائية للحادث من أجل دراستها في المستقبل.
بعد احتواء التهديد، ينتقل الفريق إلى المعالجة الكاملة وإزالة التهديد من النظام بشكل كامل. قد يشمل ذلك إزالة البرامج الضارة أو إخراج مستخدم غير مصرح له أو مستخدم محتال من الشبكة. يُراجع الفريق الأنظمة المتأثرة وغير المتأثرة على حدٍّ سواء، للمساعدة على التأكد من عدم بقاء أي أثر للاختراق.
عندما يكون فريق الاستجابة للحوادث واثقًا من أن التهديد قد تم القضاء عليه بالكامل، فإنه يعيد الأنظمة المتضررة إلى عملياتها المعتادة. قد تتضمن هذه المعالجة نشر التصحيحات وإعادة بناء الأنظمة من النُّسخ الاحتياطية وإعادة تشغيل الأنظمة والأجهزة. يتم الاحتفاظ بسجل الهجوم وحله بغرض التحليل وتحسين النظام.
خلال كل مرحلة من مراحل عملية الاستجابة للحوادث، يجمع فريق الاستجابة لحوادث أمن الكمبيوتر الأدلة المتعلقة بالاختراق ويوثِّق الخطوات التي يتخذها لاحتواء التهديد والقضاء عليه. في هذه المرحلة، يقيِّم فريق الاستجابة لحوادث أمن الكمبيوتر هذه المعلومات لفهم الحادث بشكل أفضل واستخلاص "الدروس المستفادة". يسعى فريق الاستجابة لحوادث أمن الكمبيوتر إلى تحديد السبب الأساسي للهجوم وتحديد كيفية تمكنه من اختراق الشبكة، وحل الثغرات الأمنية؛ حتى لا يتكرر هذا النوع من الحوادث في المستقبل.
يستعرض فريق الاستجابة لحوادث أمن الكمبيوتر أيضًا ما أجدى نفعًا ويبحث عن فرص لتحسين الأنظمة والأدوات والعمليات لتعزيز مبادرات الاستجابة للحوادث ضد الهجمات المستقبلية. واعتمادًا على ظروف الاختراق، قد تشارك سلطات إنفاذ القانون أيضًا في التحقيق بعد الحادث.
إضافة إلى وصف الخطوات التي يجب أن تتخذها فرق الاستجابة لحوادث أمن الكمبيوتر في أثناء وقوع حادث أمني، عادةً ما تحدد خطط الاستجابة للحوادث الحلول الأمنية التي يجب أن تستخدمها فرق الاستجابة للحوادث لتنفيذ أو أتمتة سير العمل الأساسي، مثل جمع البيانات الأمنية وربطها وكشف الحوادث في الوقت الفعلي والاستجابة للهجمات الجارية.
تتضمن بعض تقنيات الاستجابة للحوادث الأكثر شيوعًا في الاستخدام ما يلي:
تعمل حلول إدارة سطح الهجوم (ASM) على أتمتة عمليات الاكتشاف والتحليل والمعالجة والمراقبة المستمرة للثغرات الأمنية ومسارات الهجوم المحتملة عبر جميع أصول سطح هجوم في المؤسسة. يمكن أن تكشف إدارة سطح الهجوم عن أصول الشبكة التي لم يتم رصدها من قبل وأن تحدِّد العلاقات بين الأصول.
يُعَد اكتشاف نقاط النهاية والاستجابة لها (EDR) برنامجًا مصممًا لحماية مستخدمي المؤسسة وأجهزة نقاط النهاية وأصولها التقنية تلقائيًا من التهديدات الإلكترونية التي تتجاوز قدرات برامج مكافحة الفيروسات وأدوات الأمان التقليدية.
يستمر برنامج كشف نقطة النهاية والاستجابة لها في جمع البيانات من كل نقاط النهاية على الشبكة. إلى جاب ذلك، فإنه يحلل البيانات في الوقت الفعلي بحثًا عن أدلة على وجود تهديدات إلكترونية معروفة أو مشتبه بها، ويمكنه الاستجابة تلقائيًا لمنع الضرر الناجم عن التهديدات التي يكتشفها أو تقليله.
يعمل نظام إدارة المعلومات والأحداث الأمنية (SIEM) على تجميع وربط بيانات أحداث الأمان من أدوات الأمان الداخلية المتنوعة -مثل جدران الحماية، وأدوات فحص الثغرات الأمنية، ومصادر استعلامات التهديدات- بالإضافة إلى الأجهزة المتصلة بالشبكة.
يمكن أن يساعد نظام إدارة المعلومات والأحداث الأمنية فرق الاستجابة للحوادث على مكافحة "إجهاد التنبيهات" من خلال التمييز بين مؤشرات التهديدات الفعلية والكم الهائل للإشعارات التي تصدرها أدوات الأمان.
يُتيح نظام التنسيق الأمني والاستجابة والأتمتة (SOAR) لفرق الأمان وضع الأدلة (Playbooks)، وهي إجراءات منظمة تنسِّق بين مختلف أدوات وعمليات الأمن عند الاستجابة للحوادث الأمنية. يمكن لمنصات التنسيق الأمني والأتمتة والاستجابة أيضًا أتمتة أجزاء من مهام سير العمل هذه حيثما أمكن.
يستخدم نظام تحليلات سلوك المستخدم والكيان (UEBA) التحليلات السلوكية وخوارزميات التعلم الآلي والأتمتة لاكتشاف الأنماط غير المعتادة والسلوكيات التي قد تشكِّل خطرًا من قِبل المستخدمين أو الأجهزة.
يُعَد نظام تحليلات سلوك المستخدم والكيان فعَّالًا في تحديد التهديدات الداخلية –الهجمات الداخلية الخبيثة أو المخترقين الذين يستخدمون بيانات اعتماد داخلية مخترقة– التي يمكنها تجاوز أدوات الأمان الأخرى نظرًا إلى محاكاتها حركة المرور المصرح بها على الشبكة. غالبًا ما يتم تضمين وظائف تحليلات سلوك المستخدمين والكيانات في حلول إدارة المعلومات والأحداث الأمنية واكتشاف نقطة النهاية والاستجابة لها والكشف والاستجابة الموسَّعة.
تُعَد تقنية الكشف والاستجابة الموسَّعة (XDR) حلًا للأمن الإلكتروني يدمج أدوات الأمن ونقاط التحكم ومصادر البيانات والقياسات التحليلية عبر بيئة تكنولوجيا المعلومات الهجينة. يُنشئ نظام الكشف والاستجابة الموسَّعة نظامًا مركزيًا واحدًا للمؤسسة من أجل منع التهديدات وكشفها والاستجابة لها. يمكن أن يساعد نظام الكشف والاستجابة الموسَّعة فرق الأمن ومراكز العمليات الأمنية الموسَعة أكثر من اللازم على إنجاز المزيد بموارد أقل من خلال التخلص من الصومعات بين أدوات الأمان وأتمتة الاستجابات عبر سلسلة قتل التهديدات الإلكترونية بأكملها.
يمكن أن يساعد الذكاء الاصطناعي المؤسسات على بناء دفاع أقوى ضد التهديدات الإلكترونية، تمامًا مثلما يستخدم لصوص البيانات والمخترقون الذكاء الاصطناعي لتعزيز هجماتهم.
قد تكون وفورات التكاليف الناتجة عن استخدام حماية إضافية بالذكاء الاصطناعي كبيرة. وفق تقرير تكلفة اختراق أمن البيانات الصادر عن IBM، فإن المؤسسات التي تستخدم الحلول الأمنية المدعومة بالذكاء الاصطناعي يمكن أن توفر ما يصل إلى 2,2 مليون دولار أمريكي من تكاليف الاختراق.
يمكن للأنظمة الأمنية المدعومة بالذكاء الاصطناعي على مستوى المؤسسة أن تحسِّن قدرات الاستجابة للحوادث من خلال:
يمكن أن تسرِّع الأنظمة المدعومة بالذكاء الاصطناعي كشف التهديدات والتخفيف من حدتها من خلال مراقبة كميات هائلة من البيانات لتسريع البحث عن أنماط حركة المرور أو سلوكيات المستخدمين المشبوهة.
يمكن أن تعزز الأنظمة المدعومة بالذكاء الاصطناعي عمليات الاستجابة للحوادث بشكل استباقي بدرجة أكبر من خلال تقديم رؤى في الوقت الفعلي إلى فريق الأمن الإلكتروني وأتمتة عملية تصنيف الحوادث وتنسيق الدفاعات ضد التهديدات الإلكترونية، بل وحتى عزل الأنظمة التي تتعرض للهجوم.
يمكن أن يوفر تحليل المخاطر المدعوم بالذكاء الاصطناعي ملخصات عن الحوادث لتسريع التحقيقات التنبيهية والمساعدة على إيجاد السبب الأساسي لأي إخفاق. يمكن أن تساعد ملخصات الحوادث هذه على التنبؤ بالتهديدات التي من المرجح أن تحدث في المستقبل؛ حتى يتمكن فريق الاستجابة للحوادث من ضبط خطة أقوى لمواجهة تلك التهديدات بدقة.