القسم الأول: الاختيار من متعدد (10 نقاط)
اختر الإجابة الأنسب لكل سؤال:
1. ما هو الهدف الرئيسي لـ RPO (Recovery Point Objective)؟
أ. الحد الأقصى للوقت المسموح به لاستعادة الأنظمة.
ب. الحد الأقصى لكمية البيانات المفقودة التي يمكن للمؤسسة تحملها.
ج. تكلفة الاستجابة للحادث.
د. سرعة فريق الاستجابة للحوادث (IR Team).
2. ما هو نوع النسخ الاحتياطي الذي ينسخ التغييرات التي حدثت منذ آخر نسخة احتياطية كاملة فقط؟
أ. النسخ الاحتياطي الكامل (Full Backup).
ب. النسخ الاحتياطي التفاضلي (Differential Backup).
ج. النسخ الاحتياطي التزايدي (Incremental Backup).
د. النسخ الاحتياطي السحابي (Cloud Backup).
3. أي من المواقع البديلة التالية هو الأسرع في الانتقال إليه والعمل منه، ولكنه الأعلى تكلفة؟
أ. الموقع البارد (Cold Site).
ب. الموقع الدافئ (Warm Site).
ج. الموقع الساخن (Hot Site).
د. مركز البيانات الثانوي (Secondary Data Center).
4. في دورة حياة الاستجابة للحوادث (NIST)، أي مرحلة تأتي مباشرة بعد "الكشف والتحليل"؟
أ. التحضير (Preparation).
ب. الاحتواء والاستئصال والتعافي (Containment, Eradication, and Recovery).
ج. الأنشطة ما بعد الحادث (Post-Incident Activity).
د. التوثيق (Documentation).
5. ما هو الفرق الأساسي بين IDS (نظام كشف التسلل) و IPS (نظام منع التسلل)؟
أ. IDS يراقب الشبكة، بينما IPS يراقب الأجهزة الفردية.
ب. IDS يكشف ويرسل تنبيهاً (سلبي)، بينما IPS يكشف ويمنع الهجوم (نشط).
ج. IDS يعتمد على التوقيعات فقط، بينما IPS يعتمد على الشذوذ فقط.
د. لا يوجد فرق، هما مصطلحان مترادفان.
6. ما هو الأداة التي تستخدم لتحويل الإجراءات اليدوية للاستجابة للحوادث إلى مهام سير عمل آلية؟
أ. SIEM.
ب. EDR.
ج. SOAR.
د. Firewall.
7. يُعتبر انقطاع سلسلة التوريد أو تقلبات الأسعار من الأمثلة على مخاطر:
أ. مخاطر الأمن السيبراني.
ب. المخاطر التقنية.
ج. المخاطر المؤسسية.
د. المخاطر البشرية.
8. الإجراء الذي يركز على فصل الجهاز المصاب فوراً لمنع انتشار برامج الفدية يندرج تحت استراتيجية:
أ. التعافي.
ب. الإزالة/الاستئصال.
ج. الاحتواء.
د. التوثيق.
9. أي من المستويات التالية في فريق CSIRT يكون مسؤولاً عن الفرز والتحليل السطحي للتنبيهات (Triage)؟
أ. المستوى الثالث (Tier 3).
ب. المستوى الثاني (Tier 2).
ج. المستوى الأول (Tier 1).
د. فريق الإدارة.
10. ما هو الهدف من إجراء تمارين طاولة (Tabletop Exercises)؟
أ. اختبار قدرة الأجهزة والنسخ الاحتياطي.
ب. قياس RPO و RTO فعلياً.
ج. اختبار فهم الفريق للإجراءات الموثقة في الخطة.
د. التفاوض مع المهاجمين.
القسم الثاني: صح وخطأ (5 نقاط)
ضع علامة (صح) أو (خطأ) أمام العبارات التالية:
11. النسخ الاحتياطي التزايدي (Incremental Backup) هو الأسرع في عملية الاستعادة لأنه يتطلب أحدث ملف نسخ احتياطي فقط.
12. يجب أن تقتصر خطة الاستجابة للحوادث (IR Plan) على الجوانب التقنية فقط، دون الحاجة لدمج الموارد البشرية أو الشؤون القانونية.
13. Playbooks (كتب اللعب) هي وثائق إجرائية مفصلة وموجهة بالسيناريو، تصف كيفية الاستجابة لهجوم محدد مثل هجوم الفدية.
14. الهدف من مرحلة الإزالة/الاستئصال (Eradication) هو فقط إزالة الملفات الضارة، ولا تشمل معالجة الثغرات الأمنية التي استخدمت في الاختراق.
15. التأمين السيبراني (Cyber Insurance) هو أداة لـ تحويل المخاطر وليس لـ تقليلها.
القسم الثالث: أسئلة مقالية قصيرة (5 نقاط)
أجب عن الأسئلة التالية بوضوح وإيجاز:
16. اشرح باختصار الفرق الرئيسي بين Runbook و Playbook في سياق الاستجابة للحوادث.
17. اذكر ثلاثة (3) مصادر مختلفة يمكن لفريق CSIRT الاعتماد عليها للكشف عن الحوادث الأمنية.
18. فيما يتعلق بالتعافي من الكوارث، اشرح كيف يتم تحديد أولوية استعادة الأنظمة بعد وقوع كارثة (على ماذا تعتمد الأولوية)؟
19. في مرحلة التعافي (Recovery)، ما هي الخطوة الحاسمة التي يجب القيام بها قبل إعادة الأنظمة للخدمة لضمان أقصى درجات الأمان؟