?تم الاختراق للجهة التي تعمل بها؛ مالذي يجب فعله الآن؟!

قد يتم سؤالك في مقابلة شخصية أو قد تكون أحد العاملين في مجال #الامن_السيبراني أو قد تكون مهتم بمعرفة الاجابة..

سأجيب عن ذلك في هذا الثريد. https://t.co/uLShOMrvdx

ابتداءً يجب معرفة مفهوم الاستجابة للحوادث (Incident Response) IR وهو منهجية يتم العمل عليها من قبل مختصي الأمن السيبراني للتعامل مع الحوادث السيبرانية من خلال بعض الممارسات والأدوات والسياسات المتبعة لتقليل الآثار التي قد تنتج عن أي حادث أمني.

العديد من المنهجيات يمكن الأخذ بها مثل منهجية منظمة NIST والتي لخصت خطوات #الاستجابه_للحوادث في أربعة مراحل وهي: التحضير-الاكتشاف والتحليل-الاحتواء والإنهاء والاستعادة ثم الدروس المستفادة

?هنا الدليل المرجعي من NIST للاستجابة للحوادث

https://t.co/CrItBzMswd https://t.co/ADZcKlDx8m

سأتكلم عن ست خطوات يجب اتباعها للاستجابة للحوادث:

1- التحضير للحوادث..

لا استجابة بدون تخطيط وتحضير .. مالم يكن لديك فريق مؤهل وخطة استجابة IRP ناجحة فستكون استجابتك متأخرة جداً.

بعض الجهات لديها فريق #SOC ويكون هو المعني بـ IR لابأس إذا تم تدريبهم جيداً والأفضل بناء فريق CSIRT https://t.co/zTu7Utxoj6

2- اكتشاف المصدر:

يجب أن يقوم فريق الاستجابة بمعرفة سبب الانتهاك والتأكد من احتواءه، يتم معرفة عدد من المؤشرات IOCs من خلال :

-السجلات الأمنية للمستخدمين ولمدراء الأنظمة ومسؤولي الشبكة

-تنبيهات نظام SIEM

-برامج التحقق من نزاهة الملفات وسجلات EDR

• الانشطة الغريبة في كل الأصول!