توصيات للاستجابة للحوادث الأمنية
ينطبق على توصية قائمة التحقق من أمان Azure Well-Architected Framework:
| SE:12 | تحديد واختبار إجراءات الاستجابة الفعالة للحوادث التي تغطي مجموعة من الحوادث، بدءا من المشكلات المترجمة إلى التعافي من الكوارث. حدد بوضوح الفريق أو الفرد الذي يقوم بتشغيل إجراء. |
|---|
يصف هذا الدليل توصيات تنفيذ الاستجابة لحوادث الأمان لحمل العمل. إذا كان هناك حل وسط أمني لنظام ما، فإن نهج الاستجابة المنهجية للحوادث يساعد على تقليل الوقت المستغرق لتحديد الحوادث الأمنية وإدارتها والتخفيف من حدتها. يمكن أن تهدد هذه الحوادث سرية أنظمة البرامج والبيانات وسلامتها وتوافرها.
لدى معظم المؤسسات فريق عمليات أمان مركزي (يعرف أيضا باسم مركز عمليات الأمان (SOC)، أو SecOps). تقع على عاتق فريق عمليات الأمان مسؤولية الكشف السريع عن الهجمات المحتملة وتحديد أولوياتها وفرزها. كما يراقب الفريق بيانات تتبع الاستخدام المتعلقة بالأمان ويحقق في الانتهاكات الأمنية.
ومع ذلك، لديك أيضا مسؤولية حماية حمل العمل الخاص بك. من المهم أن تكون أي أنشطة اتصال والتحقيق والتتبع جهدا تعاونيا بين فريق حمل العمل وفريق SecOps.
يوفر هذا الدليل توصيات لك ولفريق حمل العمل لمساعدتك على اكتشاف الهجمات وفرزها والتحقيق فيها بسرعة.
التعريفات
| المصطلح | التعريف |
|---|---|
| التنبيه | إعلام يحتوي على معلومات حول حادث. |
| دقة التنبيه | دقة البيانات التي تحدد تنبيها. تحتوي التنبيهات عالية الدقة على سياق الأمان المطلوب لاتخاذ إجراءات فورية. تفتقر التنبيهات منخفضة الدقة إلى المعلومات أو تحتوي على ضوضاء. |
| إيجابية كاذبة | تنبيه يشير إلى حادث لم يحدث. |
| الحدث | حدث يشير إلى وصول غير مصرح به إلى نظام. |
| الاستجابة للحدث | عملية تكتشف المخاطر المرتبطة بحادث وتستجيب لها وتخفف من حدتها. |
| الفرز | عملية الاستجابة للحوادث التي تحلل مشكلات الأمان وتعطي الأولوية للتخفيف منها. |
استراتيجيات التصميم الرئيسية
تقوم أنت وفريقك بإجراء عمليات الاستجابة للحوادث عند وجود إشارة أو تنبيه للاختراق المحتمل. تحتوي التنبيهات عالية الدقة على سياق أمني وافر يسهل على المحللين اتخاذ القرارات. تؤدي التنبيهات عالية الدقة إلى عدد منخفض من الإيجابيات الخاطئة. يفترض هذا الدليل أن نظام التنبيه يقوم بتصفية إشارات الدقة المنخفضة ويركز على التنبيهات عالية الدقة التي قد تشير إلى حادث حقيقي.
تعيين إعلام بالحادث
تحتاج تنبيهات الأمان إلى الوصول إلى الأشخاص المناسبين في فريقك وفي مؤسستك. قم بإنشاء نقطة اتصال معينة في فريق حمل العمل لتلقي إعلامات الحوادث. يجب أن تتضمن هذه الإعلامات أكبر قدر ممكن من المعلومات حول المورد الذي تم اختراقه والنظام. يجب أن يتضمن التنبيه الخطوات التالية، حتى يتمكن فريقك من تسريع الإجراءات.
نوصي بتسجيل وإدارة إعلامات الأحداث والإجراءات باستخدام أدوات متخصصة تحتفظ بسجل تدقيق. باستخدام الأدوات القياسية، يمكنك الاحتفاظ بالأدلة التي قد تكون مطلوبة للتحقيقات القانونية المحتملة. ابحث عن فرص لتنفيذ الأتمتة التي يمكنها إرسال إعلامات استنادا إلى مسؤوليات الأطراف المسؤولة. احتفظ بسلسلة واضحة من الاتصالات وإعداد التقارير أثناء وقوع حادث.
استفد من حلول إدارة أحداث معلومات الأمان (SIEM) وحلول الاستجابة التلقائية لتنسيق الأمان (SOAR) التي توفرها مؤسستك. بدلا من ذلك، يمكنك شراء أدوات إدارة الحوادث وتشجيع مؤسستك على توحيدها لجميع فرق حمل العمل.
التحقيق مع فريق الفرز
عضو الفريق الذي يتلقى إعلاما بالحادث مسؤول عن إعداد عملية فرز تتضمن الأشخاص المناسبين استنادا إلى البيانات المتوفرة. يجب على فريق الفرز، الذي يسمى غالبا فريق الجسر، الاتفاق على وضع عملية الاتصال وعملية الاتصال. هل يتطلب هذا الحادث مناقشات غير متزامنة أو مكالمات جسر؟ كيف يجب على الفريق تتبع تقدم التحقيقات وإبلاغه؟ أين يمكن للفريق الوصول إلى أصول الحادث؟
تعد الاستجابة للحوادث سببا حاسما للحفاظ على تحديث الوثائق، مثل التخطيط المعماري للنظام والمعلومات على مستوى المكون وتصنيف الخصوصية أو الأمان والمالكين ونقاط الاتصال الرئيسية. إذا كانت المعلومات غير دقيقة أو قديمة، فإن فريق الجسر يضيع وقتا ثمينا في محاولة فهم كيفية عمل النظام، ومن المسؤول عن كل منطقة، وما هو تأثير الحدث.
لمزيد من التحقيقات، إشراك الأشخاص المناسبين. قد تقوم بتضمين مدير حوادث أو ضابط أمان أو عملاء متوقعين يركزون على حمل العمل. للحفاظ على تركيز الفرز، استبعد الأشخاص خارج نطاق المشكلة. في بعض الأحيان تحقق فرق منفصلة في الحادث. قد يكون هناك فريق يقوم في البداية بالتحقيق في المشكلة ويحاول التخفيف من حدة الحادث، وفريق متخصص آخر قد يقوم بإجراء تحقيقات جنائية لإجراء تحقيق عميق للتأكد من وجود مشكلات واسعة النطاق. يمكنك عزل بيئة حمل العمل لتمكين فريق الطب الشرعي من إجراء تحقيقاته. في بعض الحالات، قد يتعامل نفس الفريق مع التحقيق بأكمله.
في المرحلة الأولية، يكون فريق الفرز مسؤولا عن تحديد المتجه المحتمل وتأثيره على سرية النظام وسلامته وتوافره (يسمى أيضا CIA).
ضمن فئات وكالة المخابرات المركزية، قم بتعيين مستوى خطورة أولي يشير إلى عمق الضرر والحاجة الملحة للمعالجة. من المتوقع أن يتغير هذا المستوى بمرور الوقت حيث يتم اكتشاف مزيد من المعلومات في مستويات الفرز.
في مرحلة الاكتشاف، من المهم تحديد مسار فوري لخطط العمل والاتصالات. هل هناك أي تغييرات على حالة تشغيل النظام؟ كيف يمكن احتواء الهجوم لوقف المزيد من الاستغلال؟ هل يحتاج الفريق إلى إرسال اتصال داخلي أو خارجي، مثل الكشف المسؤول؟ ضع في اعتبارك وقت الكشف والاستجابة. قد تكون ملزما قانونا بالإبلاغ عن بعض أنواع الانتهاكات إلى سلطة تنظيمية خلال فترة زمنية محددة، والتي غالبا ما تكون ساعات أو أيام.
إذا قررت إيقاف تشغيل النظام، فإن الخطوات التالية تؤدي إلى عملية الإصلاح بعد كارثة لحمل العمل (DR).
إذا لم تقم بإيقاف تشغيل النظام، فحدد كيفية معالجة الحادث دون التأثير على وظائف النظام.
الاسترداد من حادث
تعامل مع حادث أمني مثل الكارثة. إذا كانت المعالجة تتطلب استردادا كاملا، فاستخدم آليات الإصلاح بعد كارثة المناسبة من منظور أمني. يجب أن تمنع عملية الاسترداد فرص التكرار. وإلا، فإن الاسترداد من نسخة احتياطية تالفة يعيد تقديم المشكلة. تؤدي إعادة توزيع نظام بنفس الثغرة الأمنية إلى نفس الحادث. التحقق من صحة خطوات وعمليات تجاوز الفشل وإرجاع الموارد.
إذا ظل النظام يعمل، فقيم التأثير على الأجزاء قيد التشغيل من النظام. استمر في مراقبة النظام لضمان تحقيق أهداف الموثوقية والأداء الأخرى أو إعادة تعديلها من خلال تنفيذ عمليات التدهور المناسبة. لا تعرض الخصوصية للخطر بسبب التخفيف من المخاطر.
التشخيص هو عملية تفاعلية حتى يتم تحديد المتجه، والإصلاح المحتمل والتراجع. بعد التشخيص، يعمل الفريق على المعالجة، والتي تحدد الإصلاح المطلوب وتطبقه خلال فترة مقبولة.
تقيس مقاييس الاسترداد المدة التي يستغرقها إصلاح مشكلة. في حالة إيقاف التشغيل، قد يكون هناك حاجة ملحة بشأن أوقات المعالجة. لتثبيت النظام، يستغرق تطبيق الإصلاحات والتصحيحات والاختبارات ونشر التحديثات وقتا. تحديد استراتيجيات الاحتواء لمنع المزيد من الأضرار وانتشار الحادث. تطوير إجراءات القضاء لإزالة التهديد تماما من البيئة.
المفاضلة: هناك مفاضلة بين أهداف الموثوقية وأوقات المعالجة. أثناء وقوع حادث، من المحتمل ألا تفي بمتطلبات أخرى غير وظيفية أو وظيفية. على سبيل المثال، قد تحتاج إلى تعطيل أجزاء من النظام الخاص بك أثناء التحقيق في الحادث، أو قد تحتاج حتى إلى أخذ النظام بأكمله دون اتصال حتى تحدد نطاق الحادث. يحتاج صانعو القرار في الأعمال إلى تحديد الأهداف المقبولة بشكل صريح أثناء الحادث. حدد بوضوح الشخص الذي يكون مسؤولا عن هذا القرار.
التعلم من حادث
يكشف الحدث عن فجوات أو نقاط عرضة للخطر في التصميم أو التنفيذ. إنها فرصة تحسين مدفوعة بالدروس في جوانب التصميم التقني والأتمتة وعمليات تطوير المنتجات التي تتضمن الاختبار وفعالية عملية الاستجابة للحوادث. احتفظ بسجلات مفصلة للحوادث، بما في ذلك الإجراءات المتخذة والجداول الزمنية والنتائج.
نوصي بشدة بإجراء مراجعات منظمة بعد الحدث، مثل تحليل السبب الجذري والرجعية. تعقب نتائج هذه المراجعات وتحديد أولوياتها، وفكر في استخدام ما تتعلمه في تصميمات حمل العمل المستقبلية.
يجب أن تتضمن خطط التحسين تحديثات للتدريبات الأمنية والاختبار، مثل استمرارية الأعمال والتعافي من الكوارث (BCDR). استخدم اختراق الأمان كسيناريو لإجراء تدريب BCDR. يمكن أن تتحقق التدريبات من كيفية عمل العمليات الموثقة. لا ينبغي أن تكون هناك أدلة مبادئ متعددة للاستجابة للحوادث. استخدم مصدرا واحدا يمكنك ضبطه استنادا إلى حجم الحادث ومدى انتشار التأثير أو ترجمته. تستند التدريبات إلى مواقف افتراضية. إجراء تدريبات في بيئة منخفضة المخاطر، وتضمين مرحلة التعلم في التدريبات.
إجراء مراجعات ما بعد الحوادث، أو عمليات ما بعد الوفاة، لتحديد نقاط الضعف في عملية الاستجابة ومجالات التحسين. استنادا إلى الدروس التي تتعلمها من الحادث، قم بتحديث خطة الاستجابة للحوادث (IRP) وعناصر التحكم في الأمان.
إرسال الاتصال الضروري
تنفيذ خطة اتصال لإعلام المستخدمين بالتعطل وإعلام المساهمين الداخليين بالمعالجة والتحسينات. يجب إعلام الأشخاص الآخرين في مؤسستك بأي تغييرات على أساس أمان حمل العمل لمنع الحوادث المستقبلية.
إنشاء تقارير الحوادث للاستخدام الداخلي، وإذا لزم الأمر، للامتثال التنظيمي أو الأغراض القانونية. أيضا، اعتماد تقرير تنسيق قياسي (قالب مستند مع أقسام محددة) يستخدمه فريق SOC لجميع الحوادث. تأكد من أن كل حادث لديه تقرير مرتبط به قبل إغلاق التحقيق.
تسهيل Azure
Microsoft Sentinel هو حل SIEM وSOAR. إنه حل واحد للكشف عن التنبيهات، ورؤية التهديدات، والتتبع الاستباقي، والاستجابة للتهديدات. لمزيد من المعلومات، راجع ما هو Microsoft Sentinel؟
تأكد من أن مدخل تسجيل Azure يتضمن معلومات جهة اتصال المسؤول بحيث يمكن إعلام عمليات الأمان مباشرة عبر عملية داخلية. لمزيد من المعلومات، راجع تحديث إعدادات الإعلام.
لمعرفة المزيد حول إنشاء نقطة اتصال معينة تتلقى إعلامات حوادث Azure من Microsoft Defender for Cloud، راجع تكوين إعلامات البريد الإلكتروني لتنبيهات الأمان.
محاذاة تنظيمية
يوفر Cloud Adoption Framework ل Azure إرشادات حول تخطيط الاستجابة للحوادث وعمليات الأمان. لمزيد من المعلومات، راجع عمليات الأمان.
الروابط ذات الصلة
- إنشاء حوادث من تنبيهات Microsoft للأمان تلقائيًا
- إجراء تتبع التهديدات من طرف إلى طرف باستخدام ميزة التتبع
- تكوين إخطارات البريد الإلكتروني لتنبيهات الأمان
- نظرة عامة على الاستجابة للحوادث
- جاهزية حادث Microsoft Azure
- التنقل والتحقيق في الحوادث في Microsoft Sentinel
- التحكم في الأمان: الاستجابة للحوادث
- حلول SOAR في Microsoft Sentinel
- التدريب: مقدمة إلى جاهزية حادث Azure
- تحديث إعدادات إعلام مدخل Microsoft Azure
- ما هو SOC؟
- ما هو Microsoft Sentinel؟
قائمة التحقق من الأمان
راجع المجموعة الكاملة من التوصيات.