Incident Response Process Arabic
Last updated
Last updated
ايه هو Incident Response ؟ : هو اي حدث او فعل بيسبب فقدان او اضطراب للعمليات او الخدمات او مهام الشركة أو المؤسسة. يعني بصفه عامه أي حاجه سيئة تحصل للنظام
مثلا نزل فيروس أصيب جهازك فأنت بسرعة لازم تتصرف وتحاول تنظف الفيروس . مثال بالواقع : شخص اتصاب بمرض معين ف يجي الفريق الطبي يعالجوه .
طيب ماهي عمليات او خطوات استجابة للحوادث ؟ Preparation Identification Containment Eradication Recovery Lesson Learned وهتكلم عن كل خطوة وبشكل مختصر .
اول خطوة Preparation وهي التجهيز او تحضير الأشخاص والأجهزة والإجراءات والأدوات استعدادا للحوادث. الأشخاص يعني فريق محترف في استجابة للحوادث ووعي المستخدمين الخ. الأجهزة مثل IDS , SIEM , DLP , EDR ,etc.
ولازم طبعا نظبط مزامنة الوقت عن طريق NTP
الإجراءات بيتم تحديدها من قبل الشركة مثلا لو مستخدم سجل دخول في حساب مش مصرح بيه او وصل للبيانات مش مصرح فيها فكدا بقت حادثة في النظام . ف انت لازم يبقا عندك Awarness للموظفين ولازم يبقا عندك decumentaion بالحاجات الل موجوده عندك عشان تعرف ايه الموجود وممكن يسبب ايه ولازم تعمل check من كل فترة للتانيه ع الكلام ده
ثاني خطوة Identification قبل الكشف والتحليل هنا لازم تكون فاهم شبكتك وتعرف أجهزة الكشف مثل Firewall , IDS , SIEM , etc. تكشف الحدث الل وصلك ويجي وقت التحليل وتشوف هو حدث مشبوه او لا وهل هي مخالفة إجراءات المنظمة او الشركة او لا واذا كانت مخالفة تعتبر حادثة. وهنا الشخص بياخد ملاحظات عشان تعرف السبب ايه
ثالث خطوة يكون بعد التحديد انها مخالفة او حادثة وهي Containment الاحتواء وقبل الاحتواء لازم تأخذ نسخة Image من جهاز المصاب عشان تحللها وطبعا ماتحللش ال Image لا تأخذ نسخة ثانية من ال Image وتحللها وتخلي النسخة الأولى دليل اذا كانت حادثة بعد النسخة من Image وتميز الحدث ده طبعا مثلا ddos او تسريب بيانات فتحتويها وتعزلها عن الشبكة كاملة عشان ماتضرش الأجهزة والشبكة الي انت فيها , فبطريقتين يا تفصلها من الانترنت يعني كيبل Ethernet عشان Ram ماتتحذفش البيانات الي فيها وهي تعتبر ذاكرة مؤقتة او اذا كانت حادثة عاجلة وحساسة تفصلها من الطاقة وبتنحذف البيانات الي بالذاكرة المؤقتة
الخطوة الرابعة وهي التطهير او التنظيف Eradication وهي تنظيف الجهاز من التهديدات اللي فيها من الحاجات المضرة وتعمل Backup وتستعيده للنظام القديم زي الل موجود في النسخة الاحتياطية
ولازم تعرف انك ف الخطوة دي ممكن ترجع للخطوة الل قبل كدا عشان تنضف كل حاجه صح
الخطوة الخامسة بعد التنظيف وهي Recovery وهي انك تستعيد الجهاز الل كان مصاب الل الشبكة وطبعا بعد ماترجعه للشبكة تراقبه لو حصل حدث سيء او شي منه وطبعا تتأكد انه كل حاجه شغاله بشكل صحيح ولازم تراقب الاحداث المتكرره فترة عشان ميكونش في نشاط غير عادي تاني وتعيد الخطوات م الاول تاني
الخطوة الأخيرة بعد مارجعته للشبكة وهي بتتسمي القاء اللوم Lesson Learned فهنا تبدأ مثلا تسأل عن الجهاز المصاب وصاحبه دخلت على موقع او الرابط الي ضغطه يعني تحقيق وتكتب تقرير لكل حاجه حصلت وأي حاجه كانت فيها gap تضيفها ف كل خطوة قبل كدا عشان ماتحصلش الحادثة مستقبلا او لو حصلت يكون اقل ضرر .