الوحدة السابعة - الاستجابة للحوادث والتوعية

70

مقدمة الوحدة وأهدافها

أهداف الوحدة

تهدف هذه الوحدة إلى تمكين المتدربين من فهم وإدارة الحوادث الأمنية بشكل منهجي، مع التركيز على الجانب البشري كحلقة أساسية في المنظومة الأمنية.

المخرجات المتوقعة

بناء خطة استجابة مبسطة للحوادث الأمنية
تنفيذ محاكاة عملية لحادث أمني
تطوير نموذج اتصال فعال أثناء الأزمات
تصميم برنامج توعية أمنية فعال

ملاحظة المدرب

ابدأ بحالة واقعية قصيرة لجذب الانتباه. مثال: "تخيلوا أن مؤسستكم تعرضت لهجوم برمجية فدية أدى إلى تعطيل جميع الخدمات. كيف ستتعاملون مع هذا الموقف؟" ناقش الإجابات لمدة 5 دقائق.

71

ما هي إدارة الحوادث (Incident Response)؟

التعريف

إدارة الحوادث الأمنية هي مجموعة الإجراءات المنظمة والمنهجية للتعامل مع الحوادث الأمنية، تهدف إلى الحد من الأضرار واستعادة العمليات بأسرع وقت ممكن.

الفرق بين إدارة الحوادث والاستمرارية

إدارة الحوادث (IR)	استمرارية الأعمال (BCP)
تركز على التعامل مع الحوادث الأمنية	تركز على استمرارية العمليات أثناء الكوارث
تهدف إلى احتواء الهجوم وتقليل الضرر	تهدف إلى الحفاظ على العمليات الأساسية
مدة قصيرة إلى متوسطة	مدة متوسطة إلى طويلة

أنواع الحوادث الأمنية

اختراق البيانات

سرقة أو تسريب المعلومات الحساسة

برمجيات الفدية

تشفير البيانات وطلب فدية

التسريب الداخلي

موظفون يسرقون أو يتلاعبون بالبيانات

هجمات DDoS

إغراق الخوادم بحركة مرور زائفة

اختراق التطبيقات

استغلال ثغرات في التطبيقات والمواقع

ملاحظة المدرب

اطلب من الحضور ذكر حادث أمني سمعوا به مؤخراً وتأثيره على المنظمة أو الأفراد. ناقش كيفية تعامل المنظمة مع الحادث وما يمكن تحسينه.

72

نموذج دورة الاستجابة (مراحل NIST/SANS)

دورة حياة إدارة الحوادث

التحضير
Preparation

→

الكشف والتحليل
Detection & Analysis

→

الاحتواء
Containment

→

القضاء
Eradication

→

الاسترداد
Recovery

→

الدروس المستفادة
Lessons Learned

شرح المراحل

المرحلة	الوصف	المخرجات
التحضير	تجهيز السياسات، الأدوات، والفرق	خطط، تدريب، أدوات مراقبة
الكشف والتحليل	اكتشاف الحادث وجمع الأدلة	تقرير أولي، مؤشرات اختراق
الاحتواء	منع انتشار الحادث وتقليل الضرر	أنظمة معزولة، حسابات مجمدة
القضاء	إزالة التهديد بشكل كامل	أنظمة نظيفة، ثغرات مصححة
الاسترداد	إعادة الخدمات والعمليات	أنظمة عاملة، بيانات مستعادة
الدروس المستفادة	تحليل الحادث وتحسين المستقبل	تقرير نهائي، خطط محسنة

ملاحظة المدرب

اعرض مخطط تدفق (flowchart) يوضّح الانتقال بين المراحل وملف الأدلة. استخدم أمثلة واقعية لكل مرحلة من مراحل الدورة.

73

الأدوار والمسؤوليات (Teams & RACI)

فرق الاستجابة للحوادث

فريق الأمن (SOC)

مراقبة التهديدات والكشف المبكر

فريق الاستجابة (CSIRT)

التعامل المباشر مع الحوادث

فريق التحقيق (Forensics)

جمع وتحليل الأدلة الرقمية

الشؤون القانونية

التعامل مع الجوانب القانونية

العلاقات العامة

إدارة الاتصالات الخارجية

الإدارة العليا

اتخاذ القرارات الاستراتيجية

نموذج RACI للمسؤوليات

المهمة	فريق الأمن	فريق الاستجابة	الإدارة	الشؤون القانونية
الكشف عن الحادث	R	I	I
احتواء الحادث	C	R	A	I
جمع الأدلة	I	R	I	C
الاتصال بالجهات	I	C	I	R
إصدار البيانات	I	C	A	R

R = Responsible (منفذ) | A = Accountable (مسؤول) | C = Consulted (مستشار) | I = Informed (مطلع)

ملاحظة المدرب

اعطِ مثالًا عمليًا لتوزيع المسؤوليات في مؤسسة متوسطة الحجم. ناقش كيف يمكن تكييف هذا النموذج مع احتياجات المؤسسات المختلفة.

74

التحضير والوقاية (Preparation)

عناصر التحضير الأساسية

قائمة التحضير الشاملة

السياسات والإجراءات: وثائق واضحة للاستجابة للحوادث
أدوات المراقبة: SIEM، EDR، IDS/IPS
خطط التشغيل (Playbooks): إجراءات مفصلة للسيناريوهات الشائعة
التدريب المستمر: تمارين محاكاة وجلسات tabletop
إدارة التصاريح: نظام صلاحيات مناسب ومحدّث
التحديثات والأمن: أنظمة محدثة وإعدادات أمنية محكمة

أدوات المراقبة والكشف

SIEM

إدارة وتحليل سجلات الأمان

أمثلة: Splunk, ArcSight, QRadar

EDR

كشف واستجابة لنقاط النهاية

أمثلة: CrowdStrike, Carbon Black, SentinelOne

IDS/IPS

كشف ومنع التسلل

أمثلة: Snort, Suricata, Palo Alto

ملاحظة المدرب

قدّم قائمة مرجعية (checklist) للتحضير يمكن توزيعها كملف ورقي. شجع المتدربين على استخدام هذه القائمة في مؤسساتهم.

75

الكشف والتحليل (Detection & Analysis)

مؤشرات الاختراق والسلوك

مؤشرات الاختراق (IOCs)

علامات فنية تشير إلى اختراق

عناوين IP ضارة
نطاقات خبيثة
تواقيع ملفات ضارة
قيم تسجيل مشبوهة

مؤشرات السلوك (IOAs)

أنماط سلوكية تشير إلى تهديد

حركة بيانات غير عادية
أنشطة مستخدم مشبوهة
صلاحيات متغيرة بشكل غير معتاد
اتصالات في أوقات غير اعتيادية

جمع الأدلة وتحليلها

نوع الدليل	طريقة الجمع	أهمية التحليل
سجلات النظام	أدوات SIEM ومركزية السجلات	تتبع الأنشطة وتحديد التسلسل الزمني
لقطات الذاكرة	أدوات forensic متخصصة	كشف البرمجيات الخبيثة المخفية
ملفات الشبكة	أدوات تحليل حزم الشبكة	فهم اتصالات التهديد الخارجية
الملفات المؤقتة	مسح الأنظمة المتأثرة	اكتشاف آثار التنفيذ الخبيث

تصنيف الحوادث وتحديد الأولوية

                            # مثال لتصنيف الحوادث حسب الخطورة:

                            حرج (Critical): تأثير على جميع العمليات، خسائر مالية كبيرة

                            عالي (High): تأثير على عمليات رئيسية، خسائر متوسطة

                            متوسط (Medium): تأثير محدود، خسائر طفيفة

                            منخفض (Low): تأثير ضئيل، لا توجد خسائر مالية

ملاحظة المدرب

عرض مثال Log بسيط وشرح كيفية استخراج مؤشرات الاختراق منه. قدم أمثلة واقعية لتحليل السجلات.

76

الاحتواء والتخفيف (Containment & Mitigation)

استراتيجيات الاحتواء

احتواء قصير المدى

إجراءات فورية لتقليل الضرر

قطع اتصال الشبكة
تعطيل الحسابات المشبوهة
عزل الأنظمة المتأثرة
تغيير كلمات المرور

احتواء طويل المدى

إجراءات مستدامة لمنع التكرار

تصحيح الثغرات الأمنية
تعزيز إعدادات الأمان
تحسين سياسات الوصول
تطوير آليات مراقبة أفضل

قرارات الاحتواء الاستراتيجية

نوع الاحتواء	المميزات	المخاطر	ملاءمة الحالة
احتواء كامل	منع انتشار التهديد تماماً	توقف الخدمات والعمليات	تهديدات خطيرة سريعة الانتشار
احتواء جزئي	استمرارية الخدمات الأساسية	خطر استمرار التهديد	تهديدات محدودة النطاق
احتواء متدرج	مرونة في التعامل مع التهديد	تعقيد في الإدارة	تهديدات متوسطة الخطورة

الحفاظ على الأدلة أثناء الاحتواء

أفضل الممارسات

توثيق جميع الإجراءات المتخذة وتوقيتها
إنشاء نسخ من الأدلة قبل أي تعديل
استخدام أدوات forensic للحفاظ على سلامة الأدلة
التأكد من إمكانية تتبع الإجراءات قانونياً
الحفاظ على سلسلة الحراسة للأدلة

ملاحظة المدرب

ناقش مخاطرة الإغلاق الكامل مقابل الاستمرار الجزئي للخدمة. قدم أمثلة واقعية لاتخاذ هذه القرارات في ظروف مختلفة.

77

الاسترداد وإرجاع الخدمات (Eradication & Recovery)

خطوات الاسترداد الشامل

عملية الاسترداد المنظمة

التأكد من إزالة التهديد: فحص شامل لجميع الأنظمة
استعادة من نسخ احتياطية نظيفة: استخدام نسخ معروفة السلامة
تطبيق التصحيحات الأمنية: معالجة الثغرات المستغلة
تعزيز إعدادات الأمان: تحسين التكوينات لمنع التكرار
إعادة الاتصال التدريجي: تشغيل الخدمات بشكل متدرج
المراقبة المستمرة: متابعة الأداء واكتشاف أي شذوذ

قائمة التحقق قبل إعادة التشغيل

البند	الحالة	مسؤول التنفيذ
فحص خلو النظام من البرمجيات الخبيثة	□ مكتمل	فريق الأمن
تطبيق آخر التحديثات الأمنية	□ مكتمل	مسؤول الأنظمة
مراجعة وإعادة تعيين كلمات المرور	□ مكتمل	مسؤول الهوية
اختبار وظائف النظام الأساسية	□ مكتمل	فريق الجودة
تفعيل أنظمة المراقبة المعززة	□ مكتمل	فريق المراقبة

المراقبة بعد الاسترداد

مراقبة الأداء

تتبع مؤشرات أداء الأنظمة

الكشف عن أي تدهور في الأداء

مراقبة الأمان

اكتشاف أي أنشطة مشبوهة

مراقبة محاولات الوصول غير المعتادة

مراقبة المستخدمين

تتبع سلوكيات المستخدمين

الكشف عن أي انحراف عن الأنماط المعتادة

ملاحظة المدرب

اذكر خطة استرداد مختصرة (Backup restore checklist). ناقش أهمية اختبار النسخ الاحتياطية بشكل دوري قبل الحاجة الفعلية لها.

78

تقرير ما بعد الحادث ودروس مستفادة

مكونات التقرير الشامل

هيكل التقرير النهائي

ملخص تنفيذي: نظرة عامة للحادث والتأثير
الجدول الزمني: تسلسل الأحداث بدقة
التحليل التقني: كيفية حدوث الاختراق وآليته
التأثير: الخسائر المالية والتشغيلية
الإجراءات المتخذة: خطوات الاستجابة والاحتواء
جذور السبب: التحليل الأساسي للحادث
التوصيات: تحسينات لمنع التكرار
الملاحق: الأدلة التفصيلية والمراجع

جلسة الدروس المستفادة

المرحلة	الهدف	المشاركون
الإعداد	تجهيز البيانات وتحليل النتائج	فريق التحليل الأساسي
التنفيذ	مناقشة مفتوحة وبناءة	جميع المعنيين بالحادث
التوثيق	تسجيل النتائج والتوصيات	منسق الجلسة
المتابعة	تنفيذ التحسينات المتفق عليها	أصحاب المهام المحددة

ربط النتائج بخطط التحسين

تحديث السياسات

مراجعة وتعديل السياسات الأمنية

مواءمة الإجراءات مع الدروس المستفادة

تحسين الإجراءات

تطوير خطط الاستجابة

تحسين كفاءة العمليات

تعزيز التدريب

تطوير برامج تدريبية مستهدفة

معالجة الثغرات في المهارات

ملاحظة المدرب

اطلب من الفرق اقتراح 3 تحسينات قابلة للتنفيذ. ناقش كيفية تحويل هذه التوصيات إلى خطط عمل ملموسة.

79

الاتصالات وإدارة الأزمات

خطة الاتصالات أثناء الأزمات

قنوات الاتصال الأساسية

داخلي (فوري): فريق الاستجابة، الإدارة العليا
داخلي (عام): جميع الموظفين، الإدارات المعنية
خارجي (تنظيمي): الجهات الرقابية، الشركاء
خارجي (عام): العملاء، الإعلام، الجمهور

قوالب الرسائل الجاهزة

رسالة للموظفين

                                    الموضوع: تحديث أمني مهم

                                    المحتوى: نود إعلامكم أننا نتعامل مع حادث أمني. نطلب منكم توخي الحذر واتباع إرشادات فريق الأمن. جميع الخدمات الأساسية تعمل، وسنوافيكم بالتحديثات.

رسالة للعملاء

                                    الموضوع: بيان حول حادث أمني

                                    المحتوى: نعمل على حل حادث أمني مؤثر. نعتذر عن أي إزعاج ونتخذ جميع الإجراءات لحماية بياناتكم. للاستفسارات: [معلومات الاتصال].

متطلبات الامتثال والإبلاغ

الجهة	موعد الإبلاغ	المعلومات المطلوبة
هيئة حماية البيانات	72 ساعة من الاكتشاف	نطاق التسرب، عدد المتأثرين، الإجراءات المتخذة
البنك المركزي	24 ساعة للحوادث الحرجة	التأثير المالي، تدابير الحماية
جهات الرقابة	حسب التنظيم	التقرير النهائي، خطط التحسين

ملاحظة المدرب

قدم نموذج رسالة سريعة (template) كنموذج. ناقش أهمية نبرة الاتصال المناسبة أثناء الأزمات.

80

الدور البشري: التوعية والتدريب

أهمية العنصر البشري

الإنسان: خط الدفاع الأول والأخير

خط الدفاع الأول: الاكتشاف المبكر للتهديدات
حلقة الوصل: نقل المعلومات بين الأنظمة
صانع القرار: اتخاذ الإجراءات المناسبة
حلقة الضعف: الاستهداف بالهندسة الاجتماعية

تصميم برنامج توعية فعال

العنصر	التكرار	طريقة القياس	الهدف
التدريب الأساسي	عند التعيين	اختبار المعرفة	90% نجاح
محاكاة التصيد	ربع سنوي	معدل النقر	أقل من 5%
ورش العمل	نصف سنوي	تقييم المشاركين	85% رضا
التحديثات	شهري	معدل القراءة	70% تفاعل

محاكاة هجمات التصيد

التصيد الأساسي

رسائل عامة غير مخصصة

قياس الوعي العام

التصيد المستهدف

رسائل مخصصة للإدارات

قياس الوعي المتخصص

التصيد المتقدم

محاكاة هجمات حقيقية

اختبار الإجراءات الوقائية

ملاحظة المدرب

اعرض نتائج متوقعة من حملة توعية ناجحة (مؤشرات انخفاض تفاعل التصيّد). ناقش استراتيجيات تحفيز الموظفين للمشاركة في برامج التوعية.

81

بناء Playbook: مثال قالب لخطة استجابة

عناصر الـPlaybook الأساسية

هيكل الـPlaybook المتكامل

اسم السيناريو: وصف واضح للحادث
نطاق التطبيق: الأنظمة والإدارات المعنية
شروط البدء: متى يتم تفعيل الخطة
خطوات التشغيل: إجراءات مفصلة خطوة بخطوة
قنوات الاتصال: جهات الاتصال ومسارات التواصل
أصحاب القرار: المسؤولون عن اتخاذ القرارات
المخرجات المتوقعة: النتائج المستهدفة

قالب Playbook جاهز

                            # Playbook: استجابة لهجوم برمجية الفدية

                            السيناريو: اكتشاف نشاط تشفير ملفات على الخوادم

                            النطاق: جميع خوادم المؤسسة وأنظمة التخزين

                            شروط البدء: اكتشاف ملفات مشفرة مع طلب فدية

                            الإجراءات الفورية (0-30 دقيقة):

                            1. عزل الخوادم المتأثرة عن الشبكة

                            2. إبلاغ قائد الحادث وفريق الاستجابة

                            3. بدء جمع الأدلة الأولية

                            4. تشغيل خطة الاتصالات الطارئة

                            الاتصالات:

                            - داخلي: فريق الأمن، الإدارة العليا، مسؤولي الأنظمة

                            - خارجي: [يتم تحديده حسب السياسة]

أمثلة Playbooks إضافية

Playbook لهجوم DDoS Playbook للاختراق الداخلي Playbook لتسرب البيانات Playbook لهجوم التصيد

ملاحظة المدرب

وزّع قالب playbook فارغ لمجموعات النشاط. شجع المتدربين على البدء في ملئه بناءً على سيناريو الحادث المخصص لهم.

82

نشاط عملي: محاكاة حادث مبسّط

تعليمات النشاط

الهدف: تطبيق عملي لخطوات استجابة الحوادث في بيئة آمنة

المدة: 40-60 دقيقة (30-45 عمل + 15 عرض/مراجعة)

المتطلبات: أجهزة حاسوب، اتصال إنترنت، أدوات مراقبة

المخرجات: تقرير فريق (صفحة واحدة)، قائمة إجراءات عاجلة، قائمة تحسينات

تقسيم الفرق والأدوار

فريق القيادة (IR)

اتخاذ القرارات الاستراتيجية

قائد الحادث
منسق الاتصالات
ممثل الإدارة

فريق العمليات (SOC)

التنفيذ التقني والمراقبة

محلل الأمن
مسؤول الأنظمة
مسؤول الشبكة

فريق الدعم

الدعم اللوجستي والتوثيق

مسؤول التوثيق
دعم القانوني
دعم العلاقات العامة

سيناريوهات المحاكاة

هجوم برمجية الفدية هجوم التصيد المتقدم اختراق الخادم تسرب البيانات

سيناريو نموذجي: هجوم برمجية الفدية

الوضع: اكتشف فريق الأمن نشاطاً غير عادي على خوادم الملفات. بدأت تظهر ملاحظات فدية على بعض الشاشات، وتبدأ التقارير بالوصول من المستخدمين حول عدم ability فتح ملفاتهم.

المطلوب: اتبعوا خطة الاستجابة واتخذوا القرارات المناسبة خلال 45 دقيقة.

ملاحظات المدرب

تأكد من وجود بيئة معزولة وآمنة للمحاكاة
جهز السيناريوهات مسبقاً مع تفاصيل واقعية
خصص وقتاً للتغذية الراجعة والمناقشة الجماعية
ركز على عملية اتخاذ القرار وليس فقط النتيجة
شجع التفكير الإبداعي في حل المشكلات

83

قياس الأداء ومؤشرات KPI

مؤشرات أداء عمليات الاستجابة

مؤشرات الأداء الرئيسية (KPIs)

MTTD

متوسط وقت الكشف

أقل من 1 ساعة

MTTR

متوسط وقت الاستجابة

أقل من 4 ساعات

احتواء

نسبة الحوادث المحتواة

أكثر من 95%

تكرار

نسبة الحوادث المتكررة

أقل من 5%

مؤشرات فعالية التوعية

المؤشر	طريقة القياس	الهدف
معدل النقر على التصيد	اختبارات محاكاة التصيد	أقل من 5%
معدل الإبلاغ عن الحوادث	عدد البلاغات الشهرية	زيادة 50% سنوياً
معرفة السياسات الأمنية	اختبارات المعرفة	أكثر من 85%
وقت الاستجابة للحوادث	متوسط وقت الإبلاغ	أقل من 30 دقيقة

ملاحظة المدرب

اشرح كيفية استخدام هذه المقاييس لتحسين البرنامج. ناقش أهمية المراجعة الدورية للمؤشرات وتعديل الأهداف بناءً على الأداء الفعلي.

84

موارد وقوالب جاهزة للتوزيع

قوالب التحميل الفورية

نموذج تقرير حادث (Word) قالب Playbook بسيط (PDF) قوالب رسائل اتصال قوائم تحقق للتحضير نموذج تتبع الحوادث (Excel) قالب لوحة تحكم المقاييس

موارد إضافية

CISA - Incident Response SANS Incident Handler's Handbook NIST Computer Security Incident Handling ENISA - CSIRTs in Europe

أدوات مساعدة

أدوات المراقبة

Wireshark, Splunk, ELK Stack

لتحليل السجلات والشبكات

أدوات التحقيق

Autopsy, FTK, Volatility

لتحليل الأدلة الرقمية

منصات الإدارة

ServiceNow, Jira, TheHive

إدارة تذاكر الحوادث

85

خاتمة وتوصيات تنفيذية

خارطة الطريق التنفيذية

الإجراءات التالية المقترحة

خلال 30 يوم: مراجعة السياسات الحالية، تحديد الفجوات، تشكيل فريق استجابة أولي
خلال 90 يوم: تطوير خطط استجابة أساسية، تدريب الفريق، تنفيذ أول محاكاة
خلال 180 يوم: تطوير نظام متكامل، تكامل الأدوات، برنامج توعية مستدام
خلال سنة: نظام ناضج، تقارير أداء، تحسين مستمر

توزيع مسؤوليات المتابعة

المسؤولية	المسؤول	موعد التسليم
مراجعة السياسات الأمنية	مدير الأمن	30 يوم
تطوير خطة استجابة أولية	فريق الاستجابة	60 يوم
تنفيذ برنامج توعية	مسؤول التدريب	90 يوم
تقييم الأدوات والأنظمة	فريق التقنية	120 يوم

تقييم الوحدة

استبيان تقييم الوحدة اختبار قصير للوحدة طلب الشهادة

ختام الوحدة

تهانينا على إكمال هذه الوحدة الشاملة! لقد أصبحتم الآن مجهزين بفهم عملي لإدارة الحوادث الأمنية والعنصر البشري في الأمن السيبراني. تذكروا أن الاستجابة الفعالة للحوادث ليست مجرد عملية تقنية، بل هي مزيج من الاستعداد الجيد، الفريق المناسب، الاتصالات الفعالة، والتحسين المستمر.

نصيحة أخيرة: ابدأوا صغيراً، ركزوا على الأولويات، وتذكروا أن كل حادث هو فرصة للتعلم والتحسين.