السلام عليكم بتكلم بموضوع جديد وهي عملية استجابة للحوادث
Incident Response Process
وكالعادة بطريقتي الخاصة وإن شاء الله تكون واضحة ومفهومة يا رب.
#infosec
Incident Response Process
وكالعادة بطريقتي الخاصة وإن شاء الله تكون واضحة ومفهومة يا رب.
#infosec
ماهو Incident Response :
هو فعل للصد أي حادثة سيئة تحصل في النظام وبشكل أوضح
مثال نزل فيروس بجهازك فأنت بسرعة لازم تتصرف وتحاول تنظف الفيروس .
مثال بالواقع :
شخص أصاب بكورونا يجي وقت الفريق الطبي يعالجون المصاب .
هو فعل للصد أي حادثة سيئة تحصل في النظام وبشكل أوضح
مثال نزل فيروس بجهازك فأنت بسرعة لازم تتصرف وتحاول تنظف الفيروس .
مثال بالواقع :
شخص أصاب بكورونا يجي وقت الفريق الطبي يعالجون المصاب .
ماهي عمليات او خطوات استجابة للحوادث ؟
Preparation
Identification
Containment
Eradication
Recovery
Lesson Learned
وبتكلم عنها كل خطوة وبشكل مختصر . . .
Preparation
Identification
Containment
Eradication
Recovery
Lesson Learned
وبتكلم عنها كل خطوة وبشكل مختصر . . .
اول خطوة
Preparation
وهي التجهيز او التحضير الأشخاص والأجهزة والإجراءات استعدادا للحوادث.
الأشخاص يعني فريق محترف في استجابة للحوادث ووعي المستخدمين الخ.
الأجهزة مثل
IDS , SIEM , DLP , EDR ,etc.
Preparation
وهي التجهيز او التحضير الأشخاص والأجهزة والإجراءات استعدادا للحوادث.
الأشخاص يعني فريق محترف في استجابة للحوادث ووعي المستخدمين الخ.
الأجهزة مثل
IDS , SIEM , DLP , EDR ,etc.
الإجراءات يتم تحديدها من قبل الشركة مثلا
اذا مستخدم سجل دخول في حساب مو مصرح فيه او وصل للبيانات مو مصرح فيه
فكذا صارت حادثة في النظام .
اذا مستخدم سجل دخول في حساب مو مصرح فيه او وصل للبيانات مو مصرح فيه
فكذا صارت حادثة في النظام .
ثاني خطوة
Identification
قبل الكشف والتحليل هنا لازم تكون فاهم شبكتك وتعرف وش أجهزة الكشف مثل
Firewall , IDS , SIEM , etc.
تكشف الحدث اللي وصلك ويجي وقت التحليل وتشوف هي حادثة تضر النظام او لا
وهل هي مخالفة إجراءات المنظمة او الشركة او لا واذا كانت مخالفة تعتبر حادثة.
Identification
قبل الكشف والتحليل هنا لازم تكون فاهم شبكتك وتعرف وش أجهزة الكشف مثل
Firewall , IDS , SIEM , etc.
تكشف الحدث اللي وصلك ويجي وقت التحليل وتشوف هي حادثة تضر النظام او لا
وهل هي مخالفة إجراءات المنظمة او الشركة او لا واذا كانت مخالفة تعتبر حادثة.
ثالث خطوة
يكون بعد التحديد اذا كانت مخالفة او حادثة وهي
Containment
الاحتواء وقبل الاحتواء لازم تأخذ نسخة Image من جهاز المصاب عشان تحللها وطبعا ماتحلل Image لا تأخذ نسخة ثانية من Image وتحللها وتخلي النسخة الأولى دليل اذا كانت حادثة بعد النسخة من Image
يكون بعد التحديد اذا كانت مخالفة او حادثة وهي
Containment
الاحتواء وقبل الاحتواء لازم تأخذ نسخة Image من جهاز المصاب عشان تحللها وطبعا ماتحلل Image لا تأخذ نسخة ثانية من Image وتحللها وتخلي النسخة الأولى دليل اذا كانت حادثة بعد النسخة من Image
فتحتويها وتعزلها عن الشبكة كاملة عشان ماتضر الأجهزة والشبكة الي انت فيها , فبطريقتين يا تفصلها من الانترنت يعني كيبل Ethernet عشان Ram ماتنحذف البيانات الي فيها وهي تعتبر ذاكرة مؤقتة او اذا كانت حادثة عاجلة وحساسة تفصلها من الطاقة وبتنحذف البيانات الي بالذاكرة المؤقتة
الخطوة الرابعة
وهي التطهير او التنظيف Eradication
وهي تنظيف الجهاز من التهديدات اللي فيها من الأشياء المضرة وتسوي Backup وتستعيده للنظام القديم مثل ماهو موجود في النسخة الاحتياطية
وهي التطهير او التنظيف Eradication
وهي تنظيف الجهاز من التهديدات اللي فيها من الأشياء المضرة وتسوي Backup وتستعيده للنظام القديم مثل ماهو موجود في النسخة الاحتياطية
الخطوة الخامسة
بعد التنظيف وهي Recovery
وهي انك تستعيد الجهاز الي كان مصاب الى الشبكة وطبعا بعد ماترجعه للشبكة تراقبه لو صار حدث سيء او شي منه.
بعد التنظيف وهي Recovery
وهي انك تستعيد الجهاز الي كان مصاب الى الشبكة وطبعا بعد ماترجعه للشبكة تراقبه لو صار حدث سيء او شي منه.
الخطوة الأخيرة
بعد مارجعته للشبكة وهي يسمونه القاء اللوم
Lesson Learned
فهنا تبدأ تسأل عن الجهاز المصاب وصاحبه وش دخلت على موقع او وش الرابط الي ضغطه يعني تحقيق عشان ماترجع الحادثة مستقبلا ويكون اقل ضرر .
بعد مارجعته للشبكة وهي يسمونه القاء اللوم
Lesson Learned
فهنا تبدأ تسأل عن الجهاز المصاب وصاحبه وش دخلت على موقع او وش الرابط الي ضغطه يعني تحقيق عشان ماترجع الحادثة مستقبلا ويكون اقل ضرر .
وبكذا خلصت الموضوع بإذن الله كان بسيط ومفهوم , شكرا لكم .
جاري تحميل الاقتراحات...