شرح الاستجابة للحوادث: مراحل وبرامج مفتوحة المصدر

العصر الحالي لأجهزة الكمبيوتر العملاقة في جيوبنا. ومع ذلك ، على الرغم من استخدام أفضل أدوات الأمان ، يواصل المجرمون مهاجمة الموارد عبر الإنترنت. هذا المنشور لتعريفك بالاستجابة للحوادث (IR)(Incident Response (IR)) ، وشرح المراحل المختلفة لـ IR ، ثم يسرد ثلاثة برامج مجانية مفتوحة المصدر تساعد في IR.

ما هي الاستجابة للحوادث

الاستجابة للحادث

ما هي الحادثة(Incident) ؟ يمكن أن يكون أحد مجرمي الإنترنت أو أي برنامج ضار يستولي على جهاز الكمبيوتر الخاص بك. يجب ألا تتجاهل IR لأنه يمكن أن يحدث لأي شخص. إذا كنت تعتقد أنك لن تتأثر ، فقد تكون على حق. لكن ليس لفترة طويلة لأنه لا يوجد ضمان لأي شيء متصل بالإنترنت(Internet) على هذا النحو. قد تكون أي قطعة أثرية هناك شريرة وتثبيت بعض البرامج الضارة أو تسمح لمجرم الإنترنت بالوصول مباشرة إلى بياناتك.

يجب أن يكون لديك نموذج الاستجابة للحوادث(Incident Response Template) حتى تتمكن من الرد في حالة وقوع هجوم. بعبارة أخرى ، لا يتعلق IR بعلم المعلومات (IR)IF ، ولكنه معني بمتى (WHEN)وكيف(HOW) يتم علم المعلومات.

تنطبق الاستجابة للحوادث(Incident Response) أيضًا على الكوارث الطبيعية. أنت تعلم أن جميع الحكومات والشعوب مستعدة عند حدوث أي كارثة. لا يمكنهم أن يتخيلوا أنهم دائمًا بأمان. في مثل هذا الحادث الطبيعي ، الحكومة والجيش والكثير من المنظمات غير الحكومية ( المنظمات غير الحكومية(NGOs) ). وبالمثل(Likewise) ، لا يمكنك أيضًا التغاضي عن الاستجابة للحوادث(Incident Response) (IR) في مجال تكنولوجيا المعلومات.

في الأساس ، تعني IR الاستعداد لهجوم إلكتروني وإيقافه قبل أن يتسبب في أي ضرر.

الاستجابة للحادث - ست مراحل

يدعي معظم خبراء تكنولوجيا المعلومات(IT Gurus) أن هناك ست مراحل من الاستجابة للحوادث(Incident Response) . البعض الآخر يحتفظ بها في 5. لكن ستة جيدة لأنها أسهل في الشرح. فيما يلي مراحل IR التي يجب التركيز عليها أثناء التخطيط لنموذج الاستجابة للحوادث(Incident Response) .

  1. تحضير
  2. التعرف
  3. الاحتواء
  4. استئصال
  5. الانتعاش و
  6. الدروس المستفادة

1] الاستجابة للحوادث - التحضير(1] Incident Response – Preparation)

يجب أن تكون مستعدًا لاكتشاف أي هجوم إلكتروني والتعامل معه. هذا يعني أنه يجب أن يكون لديك خطة. يجب أن يشمل أيضًا الأشخاص الذين لديهم مهارات معينة. قد يشمل أشخاصًا من مؤسسات خارجية إذا كنت تفتقر إلى المواهب في شركتك. من الأفضل أن يكون لديك نموذج IR يوضح ما يجب القيام به في حالة وقوع هجوم إلكتروني. يمكنك إنشاء واحد بنفسك أو تنزيله من الإنترنت(Internet) . تتوفر العديد من قوالب الاستجابة للحوادث(Incident Response) على الإنترنت(Internet) . لكن من الأفضل إشراك فريق تكنولوجيا المعلومات لديك في النموذج لأنهم يعرفون بشكل أفضل ظروف شبكتك.

2] IR - تحديد الهوية(2] IR – Identification)

يشير هذا إلى تحديد حركة مرور شبكة عملك لأي مخالفات. إذا وجدت أي حالات شاذة ، فابدأ في التصرف وفقًا لخطة IR الخاصة بك. ربما تكون قد وضعت بالفعل معدات وبرامج أمنية في مكانها لإبعاد الهجمات.

3] IR - الاحتواء(3] IR – Containment)

الهدف الرئيسي من العملية الثالثة هو احتواء تأثير الهجوم. هنا ، يعني الاحتواء تقليل التأثير ومنع الهجوم الإلكتروني قبل أن يؤدي إلى إتلاف أي شيء.

يشير احتواء الاستجابة للحوادث(Incident Response) إلى كل من الخطط قصيرة وطويلة المدى (بافتراض أن لديك نموذجًا أو خطة لمواجهة الحوادث).

4] IR - استئصال(4] IR – Eradication)

يعني الاستئصال ، في المراحل الست للاستجابة للحوادث ، استعادة الشبكة التي تأثرت بالهجوم. يمكن أن يكون الأمر بسيطًا مثل صورة الشبكة المخزنة على خادم منفصل غير متصل بأي شبكة أو إنترنت(Internet) . يمكن استخدامه لاستعادة الشبكة.

5] IR - الانتعاش(5] IR – Recovery)

تتمثل المرحلة الخامسة في الاستجابة للحوادث(Incident Response) في تنظيف الشبكة لإزالة أي شيء قد يكون قد تركه وراءه بعد الاستئصال. يشير أيضًا إلى إعادة الشبكة إلى الحياة. في هذه المرحلة ، ما زلت تراقب أي نشاط غير طبيعي على الشبكة.

6] الاستجابة للحوادث - الدروس المستفادة(6] Incident Response – Lessons Learned)

تتعلق المرحلة الأخيرة من المراحل الست للاستجابة للحوادث بالنظر في الحادث وتسجيل الأشياء التي كانت على خطأ. غالبًا ما يفوت الناس هذه المرحلة ، لكن من الضروري معرفة الخطأ الذي حدث وكيف يمكنك تجنبه في المستقبل.

برنامج مفتوح المصدر(Open Source Software) لإدارة الاستجابة للحوادث(Incident Response)

1] CimSweep عبارة عن مجموعة من الأدوات التي لا تحتاج إلى وكيل والتي تساعدك في الاستجابة للحوادث(Incident Response) . يمكنك القيام بذلك عن بُعد أيضًا إذا لم تتمكن من التواجد في المكان الذي حدث فيه ذلك. تحتوي هذه المجموعة على أدوات لتحديد التهديدات والاستجابة عن بُعد. كما يوفر أدوات الطب الشرعي التي تساعدك على التحقق من سجلات الأحداث والخدمات والعمليات النشطة ، وما إلى ذلك. مزيد من التفاصيل هنا(More details here) .

2] أداة الاستجابة السريعة GRR(2] GRR Rapid Response Tool) متاحة على GitHub وتساعدك على إجراء فحوصات مختلفة على شبكتك ( المنزل(Home) أو المكتب(Office) ) لمعرفة ما إذا كانت هناك أية ثغرات أمنية. يحتوي على أدوات لتحليل الذاكرة في الوقت الفعلي ، والبحث في السجل ، وما إلى ذلك. وهو مدمج في Python لذا فهو متوافق مع جميع أنظمة تشغيل Windows - XP(Windows OS – XP) والإصدارات الأحدث ، بما في ذلك Windows 10. تحقق من ذلك على Github(Check it out on Github) .

3] TheHive هو أداة أخرى مجانية مفتوحة المصدر للاستجابة للحوادث(Incident Response) . يسمح بالعمل مع فريق. يسهل العمل الجماعي مواجهة الهجمات الإلكترونية حيث يتم تخفيف العمل (الواجبات) لأشخاص مختلفين وموهوبين. وبالتالي ، فهو يساعد في المراقبة في الوقت الحقيقي للأشعة تحت الحمراء. توفر الأداة واجهة برمجة تطبيقات يمكن لفريق تكنولوجيا المعلومات استخدامها. عند استخدامه مع برامج أخرى ، يمكن لـ TheHive(TheHive) مراقبة ما يصل إلى مائة متغير في المرة الواحدة - بحيث يتم اكتشاف أي هجوم على الفور ، ويبدأ الاستجابة للحوادث بسرعة. (Incident Response)مزيد من المعلومات هنا(More information here) .

يوضح ما ورد أعلاه الاستجابة للحوادث باختصار ، ويتفحص المراحل الست للاستجابة للحوادث ، ويذكر ثلاث أدوات للمساعدة في التعامل مع الحوادث. إذا كان لديك أي شيء تضيفه ، فيرجى القيام بذلك في قسم التعليقات أدناه.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



عبدالقادر السبيعي

About the author

أنا فني كمبيوتر عملت مع Android وبرامج المكتب لسنوات عديدة. لقد قمت أيضًا بتعليم الأشخاص كيفية استخدام أجهزة Mac على مدار السنوات الخمس الماضية أو نحو ذلك. إذا كنت تبحث عن شخص يعرف كيفية إصلاح الأشياء على جهاز الكمبيوتر الخاص بك ، فربما يمكنني مساعدتك!


Related posts