الوحدة السادسة: الكشف واتخاذ القرار

🔍 أهمية الكشف واتخاذ القرار

الكشف الفعال واتخاذ القرارات السريعة والدقيقة هما حجر الزاوية في أي استجابة ناجحة للحوادث. هذه الوحدة تركز على الآليات التي تمكن المؤسسات من اكتشاف الحوادث مبكراً واتخاذ القرارات المناسبة لمواجهتها.

1. الكشف عن الحوادث

🔎 مصادر الكشف الرئيسية

🖥️

SIEM (Security Information and Event Management)

العقل المدبر الذي يجمع السجلات والبيانات من جميع الأجهزة والتطبيقات الأمنية في مكان مركزي

تحليل البيانات لاكتشاف الأنماط الشاذة
ربط الأحداث من مصادر متعددة
التنبيه عند اكتشاف تهديدات معروفة
توفير لوحات تحكم شاملة

📊

السجلات (Logs)

تسجيلات زمنية للأحداث في الأنظمة والتطبيقات

سجلات أنظمة التشغيل والخوادم
سجلات جدران الحماية والتطبيقات
تحليل يدوي أو آلي للبحث عن علامات الاختراق
توفير دليل تاريخي للأحداث

🌐

IDS (Intrusion Detection System)

نظام مراقبة حركة مرور الشبكة لاكتشاف الأنشطة الضارة

مراقبة مستمرة لحركة المرور
الكشف عن انتهاكات السياسات
إصدار تنبيهات عند اكتشاف تهديدات
عمل في وضع الاستماع (Off-line)

💻

EDR (Endpoint Detection and Response)

أداة متقدمة لحماية ومراقبة نقاط النهاية

مراقبة كل عملية وملف على الجهاز
الكشف المبكر عن الأنشطة الشاذة
تتبع اتصالات سيرفرات C2
استجابة تلقائية للتهديدات

👥

المستخدمون (Users)

خط الدفاع الأول عبر الإبلاغ عن الأنشطة المشبوهة

الإبلاغ عن رسائل التصيد المشبوهة
ملاحظة بطء غير طبيعي في الأنظمة
الإبلاغ عن ملفات مفقودة أو مشفرة
التوعية والتدريب المستمر

📈 فعالية مصادر الكشف المختلفة

SIEM

85% فعالية

EDR

90% فعالية

IDS/IPS

75% فعالية

المستخدمون

40% فعالية

2. أنظمة كشف التسلل والوقاية منه

🛡️ مقارنة IDS و IPS

المعيار	IDS (نظام كشف التسلل)	IPS (نظام منع التسلل)
الوظيفة الأساسية	يكشف التسلل ويصدر تنبيهاً	يكشف التسلل ويمنعه من الحدوث
طريقة العمل	وضع الاستماع (Off-line)	في الخط (In-line) بين المصدر والهدف
رد الفعل	سلبي - إرسال إشعار للمسؤول	نشط - إسقاط الحزم الضارة
التأثير على الأداء	منخفض (لا يتدخل في حركة المرور)	مرتفع (يفحص كل حزمة بيانات)
مخاطر التنفيذ	منخفضة (لا يمنع الحركة الشرعية)	عالية (قد يمنع حركة شرعية عن طريق الخطأ)

⚙️ طرق الكشف المستخدمة

🔖 الكشف القائم على التوقيعات (Signatures-Based)

الآلية:

يبحث النظام عن أنماط محددة ومعروفة لحركة المرور أو الكود الضار

المثال:

توقيعات مضادات الفيروسات، قواعد هجمات معروفة

المزايا:

دقة عالية ضد التهديدات المعروفة
معدل إيجابيات كاذبة منخفض
سهولة التنفيذ والإدارة

العيوب:

غير فعال ضد التهديدات الجديدة (Zero-day)
يتطلب تحديثات مستمرة للتوقيعات
لا يكتشف الهجمات المخصصة

📊 الكشف القائم على السلوكيات (Anomalies-Based)

الآلية:

ينشئ خط أساس للسلوك الطبيعي ويكتشف الانحرافات عنه

المثال:

زيادة مفاجئة في حركة المرور، أنماط وصول غير عادية

المزايا:

فعال ضد التهديدات الجديدة وغير المعروفة
يكتشف الهجمات الداخلية
يتكيف مع بيئة العمل

العيوب:

معدل إيجابيات كاذبة مرتفع
فترة تعلم أولية مطلوبة
يتأثر بالتغيرات الشرعية في السلوك

🤖 الذكاء الاصطناعي وتعلم الآلة (AI/ML)

الآلية:

يستخدم نماذج معقدة لتحليل البيانات والتنبؤ بالهجمات

المثال:

شبكات عصبية، خوارزميات تصنيف متقدمة

المزايا:

كفاءة عالية في تحليل البيانات الضخمة
تقليل الإيجابيات الكاذبة
تحسين دقة التنبؤ بالهجمات
اكتشاف تهديدات معقدة

العيوب:

يتطلب بيانات تدريب ضخمة
قوة حوسبة عالية مطلوبة
صعوبة تفسير القرارات
تكاليف تنفيذ مرتفعة

3. اتخاذ القرار بشأن الحوادث

🏷️ تصنيف الحوادث وتحديد الأولوية

📋 تصنيف الحوادث:

حادث اختراق: برمجيات الفدية، وصول غير مصرح به
حادث المساس بالبيانات: تسريب بيانات حساسة
حادث عدم توفر الخدمة: هجمات DDoS
حادث سياسة: تثبيت برامج غير مصرح بها

حادث تصيد: محاولات سرقة بيانات الاعتماد
حادث برمجيات ضارة: فيروسات، أحصنة طروادة
حادث تهديد داخلي: إساءة استخدام الصلاحيات
حادث حركة مرور مشبوهة: اتصالات غير عادية

📈 مصفوفة الأولوية:

التأثير / اليقين

منخفض (<40%)

متوسط (40-70%)

مرتفع (>70%)

منخفض

منخفضة

متوسطة

متوسط

متوسطة

مرتفعة

مرتفع

متوسطة

مرتفعة

حرجة

🧮 معادلة الأولوية:

الأولوية ∝ التأثير × اليقين

🎮 محاكاة اتخاذ القرار

🔔 تنبيه جديد:

نوع الحادث:

مستوى التأثير:

درجة اليقين:

50%

⏫ إجراءات التصعيد (Escalation)

📋 المستوى 1: فريق الأمن (Security Team)

التعامل مع التنبيهات العادية
التحقيق الأولي في الحوادث
تنفيذ إجراءات الاحتواء الأساسية

👑 المستوى 2: قائد الاستجابة (IR Manager)

إدارة الحوادث متوسطة الخطورة
تنسيق جهود الفريق
اتخاذ قرارات الاحتواء المتقدمة

🏢 المستوى 3: الإدارة العليا (Senior Management)

الحوادث عالية الخطورة والحرجة
قرارات إيقاف الخدمات الأساسية
التواصل مع الجهات التنظيمية

⚖️ المستوى 4: الجهات الخارجية (External Parties)

الإبلاغ للجهات التنظيمية
التعاون مع السلطات القانونية
التواصل الإعلامي الرسمي

🚨 حالات التصعيد الإلزامي:

تجاوز الحادث للتأثير المتوقع
اقتراب تجاوز RTO أو RPO
الحاجة لإجراءات احتواء جذرية
تضمن الحادث مسؤوليات قانونية
تأثير على سمعة المؤسسة

🎯 أفضل الممارسات والتوصيات

🔍 تحسين الكشف

دمج مصادر كشف متعددة
ضبط قواعد الكشف باستمرار
تنفيذ حلول EDR متقدمة
تدريب المستخدمين على الإبلاغ

🎯 تحسين القرارات

إنشاء مصفوفة أولوية واضحة
توثيق إجراءات التصعيد
إجراء تمارين اتخاذ القرار
مراجعة القرارات السابقة

🔄 التحسين المستمر

تحليل الإيجابيات الكاذبة
قياس وقت الكشف والاستجابة
تحديث أنظمة الكشف باستمرار
التعلم من الحوادث السابقة

🤖 التوجهات المستقبلية

الاعتماد على الذكاء الاصطناعي
التكامل بين أنظمة الكشف
الكشف التوقعي (Predictive)
الأتمتة في الاستجابة

🟤 الجزء السادس: الكشف واتخاذ القرار

تقدمك في المقرر

🔍 أهمية الكشف واتخاذ القرار

1. الكشف عن الحوادث

🔎 مصادر الكشف الرئيسية

SIEM (Security Information and Event Management)

السجلات (Logs)

IDS (Intrusion Detection System)

EDR (Endpoint Detection and Response)

المستخدمون (Users)

📈 فعالية مصادر الكشف المختلفة

SIEM

EDR

IDS/IPS

المستخدمون

2. أنظمة كشف التسلل والوقاية منه

🛡️ مقارنة IDS و IPS

⚙️ طرق الكشف المستخدمة

🔖 الكشف القائم على التوقيعات (Signatures-Based)

📊 الكشف القائم على السلوكيات (Anomalies-Based)

🤖 الذكاء الاصطناعي وتعلم الآلة (AI/ML)

3. اتخاذ القرار بشأن الحوادث

🏷️ تصنيف الحوادث وتحديد الأولوية

📋 تصنيف الحوادث:

📈 مصفوفة الأولوية:

🧮 معادلة الأولوية:

🎮 محاكاة اتخاذ القرار

🔔 تنبيه جديد:

⏫ إجراءات التصعيد (Escalation)

📋 المستوى 1: فريق الأمن (Security Team)

👑 المستوى 2: قائد الاستجابة (IR Manager)

🏢 المستوى 3: الإدارة العليا (Senior Management)

⚖️ المستوى 4: الجهات الخارجية (External Parties)

🚨 حالات التصعيد الإلزامي:

🎯 أفضل الممارسات والتوصيات

🔍 تحسين الكشف

🎯 تحسين القرارات

🔄 التحسين المستمر

🤖 التوجهات المستقبلية