مقال : بناء خطة ناجحة للاستجابة للحوادث

إن الحوادث شيء سائد في جميع أنواع المنظمات. سواء من خلال انتهاك السياسات الأمنية للحاسوب وممارسات الأمان القياسية، أو حتى الهجمات الألكترونية ، فإنه ذلك يحتم على المنظمات البقاء على أهبة الاستعداد للحد من مخاطر الحوادث من خلال الاستجابة للحوادث.

الاستجابة للحوادث هي عملية كشف وتحليل الحوادث والتخفيف من أثر الحادث على المنظمة. كما ويجب على كل منظمة تنفيذ وإنشاء خطة للاستجابة للحوادث والتي ينبغي الاطلاع عليها من قبل فريق الاستجابة للحوادث.
هناك حاجة إلى خطة للإستجابة للحوادث (IRP) وذلك بسبب تكرار الهجمات التي تفسد البيانات داخل المنظمات.
وتتضمن أهداف خطة الاستجابة للحوادث ما يلي:
التحقق من امكانية حفظ واستعادة استمرارية الأعمال بعد الحادث، والتقليل من تأثير الحادث، وتحديد عوامل الهجوم ، و تحديد كيفية وقوع الحادث، ومنع الهجمات المستقبلية / تحسين حوادث الوضع الأمني للمنظمات للحفاظ على إدارة واعية واتباع السلسلة المناسبة من الإجراءات القيادية
انه من المهم للمنظمات وضع السياسات والخطط والإجراءات المتعلقة بالاستجابة للحوادث مع الإدارة في الشراء لتوفير الحماية الفعالة للمنظمة ضد الحوادث والهجمات الإلكترونية .

دورة حياة الاستجابة للحوادث:

يجب على المنظمة متابعة دورة حياة الاستجابة للحوادث من أجل التعامل بشكل فعال مع الحوادث والهجمات والتخفيف من المخاطر في المنظمة. ينبغي أن يشمل IRP جميع الخطوات في جميع مراحل عملية دورة الحياة :

الإعداد، الكشف، التحليل، الاحتواء، الاستئصال ، المعالجة، والأنشطة التي تلي الحادث .

الإعداد (preparation) :

ان الإعداد ضروري للتخفيف من خطر وقوع هجوم أو حادث وذلك قبل ظهور المشكلة داخل المنظمة. وهذا يشمل ضمان أمن شبكات المنظمات والأنظمة والتطبيقات . و يجب على فريق الاستجابة للحوادث امتلاك جميع الأدوات والموارد اللازمة لأداء واجبات وظيفتهم عند حدوث أي حادثة .كما يجب تعميم معلومات الاتصال بما في ذلك الطلب والتصعيد على الفريق والإدارة. وينبغي تطبيق افضل الممارسات الأمنية وصقلها باستمرار في كل من مجالات تقييم المخاطر، وأمن محيط الشبكة، ومنع البرامج الضارة، والوعي الأمني للموظفين.

الكشف والتحليل(Detection & Analysis) :

أصبح الكشف عن الحوادث بدقة هو التحدي الأكبر للمنظمات. ويمكن أن يعزى ذلك إلى العديد من العوامل بما في ذلك الكشف من خلال وسائل مختلفة، وحجم حركة مرور الشبكة في جميع أنحاء المنظمة، بالإضافة الى حقيقة أن معظم الهجمات لا يمكن التنبؤ بها . يمكن أن يحدث الكشف من خلال التنبيهات في مختلف أدوات أمن الشبكات (IDS/IPS, AV, WAFs), وسجلات (OS, application, network devices)، إضافة إلى الناس داخل المنظمة، والمعلومات المتاحة للجمهور عن نقاط الضعف، والاستغلال
بشكل عام، يجب على معالجي الحادث افتراض أن حادثا قد حدث حتى يثبت خلاف ذلك.
ينبغي على فريق الاستجابة للحوادث العمل بسرعة للتحليل والتحقق من صحة كل حادث، في حين يجب توثيق جميع الخطوات المتخذة. يجب أن يشمل التحليل الأولي على تحديد نطاق النظم / التطبيقات التي تأثرت ، وكيفية وقوع الحادث، وجميع عوامل الهجوم.

ولفاعلية اكبر، يجب على معالجي الحادث فهم سلوك الشبكة العادي داخل مؤسساتهم، والحفاظ على قاعدة معرفية من المعلومات، والبحث عن آخر نقاط الضعف والاستغلال. كما ينبغي الحفاظ على كل سجلات الحادث لضمان تعقب الحوادث وحلها في الوقت المناسب. وينبغي أن يشمل سجل كل حادث على الوضع الحالي، وملخص الحادثة والمؤشرات وجميع الإجراءات المتخذة، ومعلومات الاتصال للأطراف المعنية، كل الأدلة التي تم جمعها، والخطوة التالية.

بعد التحليل الأولي، يجب التشديد على كل حادث من أجل تحديد أولويات الحوادث وآثارها المحتملة للمنظمة. يجب على الفريق بعد ذلك إخطار جميع الأفراد الذين يجب اشراكهم في القضية، وكذلك تقديم تحديثات للإدارة عن حالة وقوع الحادث أثناء عملية التحليل.

دورة حياة الاحتواء و الازالة و المعالجة للحوادث :

ان عملية لاحتواء ضرورية قبل انتشار الحادث في جميع أنحاء شبكة المنظمة. الجزء المهم من الاحتواء هو عملية صنع القرار في معالجة الحادث. وينبغي وضع استراتيجيات وإجراءات الاحتواء على أساس نوع الحادث المحدد مسبقا لاتخاذ القرارات أسهل. جمع الأدلة وحفظها مهم أيضا في حالة حدوث إجراءات قانونية لوقوع الحادث.

عملية الإزالة أمر ضروري للقضاء على عناصر الحادث، بما في ذلك إزالة البرامج الضارة من النظم وتعطيل حسابات المستخدمين. بعد الانتهاء، على مسؤولي النظام اعادة النظم إلى عملها الاعتيادي وعلاج نقاط الضعف لمنع وقوع هجمات مماثلة مرة أخرى. وقد يشمل ذلك إعادة بناء النظام وتثبيت الرقع، والقيام بتشديد الضوابط الأمنية على محيط الشبكة.

أنشطة ما بعد الحادث (Post-Incident Activity):

بعد أن تمة معالجة الحادث، فمن المهم للفريق تنفيذ “الدروس المستفادة” لتحسين الوضع الأمني للمنظمة. ان إجتماع “الدروس المستفادة” ينبغي أن يشمل جميع الأفراد المعنيين،ويجب ان يتضمن التوجيه وإعطاء الخلاصة الحادث من خلال مراجعة ما حدث، و ما تم إنجازه، وما تم فعله ولم يعمل بشكل جيد، و إنشاء خطة عمل لمنع هجوم مماثل من الحدوث. علاوة على ذلك، ينبغي إنشاء تقرير المتابعة لتوفير المرجعية التي يمكن استخدامها للتعامل مع حوادث مماثلة في المستقبل.

ينبغي أن تجمع بيانات الحادث حيث ان جميع الحوادث يجب جمعها من أجل تقدير التكاليف للمنظمة، والاحتواء، وتحديد الاتجاهات، وتبرير الاحتياجات من الموارد، وتوفير مقاييس الأداء للإدارة العليا للحكم على نجاح كلا من خطة الاستجابة للحوادث والفريق. ان خطة الاستجابة للحوادث مهمة لجميع المنظمات. ونجاح خطة الاستجابة للحوادث يخفف بشكل استباقي الحوادث قبل حدوثها وأيضا يسمح للمنظمة الرد بسرعة وفعالية عندما تحدث الحوادث. ان عدم وضع خطة مناسبة للإستجابة للحوادث من الممكن ان يجعل مؤسستك عرضة للهجمات الإلكترونية  دون تواجد طرق للتخفيف أو الإحتواء اومعالجة الحوادث.

ترجمة للمقال : Building a Successful Incident Response Plan .