الوحدة الثامنة: إدارة الحوادث الأمنية (Incident Management)

1️⃣ ما هو الحادث الأمني؟

التعريف:

هو أي حدث فعلي أو محتمل يُهدد سرية أو سلامة أو توفر المعلومات أو الأنظمة، أو يخالف السياسات الأمنية للمؤسسة.

📌 أمثلة:

• رسالة تصيّد وصلت لموظف وضغط على الرابط.
• جهاز موظف أُصيب ببرنامج فدية (Ransomware).
• تسجيل دخول غير مصرح به من موقع جغرافي غير معروف.

2️⃣ مراحل إدارة الحوادث الأمنية

🔎 1. الاستعداد (Preparation)

• تشكيل فريق الاستجابة للحوادث (Incident Response Team – IRT).
• تحديد أنواع الحوادث المتوقعة.
• تجهيز الأدوات (مثل أنظمة SIEM، أجهزة عزل الشبكات).
• بناء خطة استجابة رسمية (Incident Response Plan – IRP).

📢 2. الاكتشاف والإبلاغ (Detection & Reporting)

• مراقبة الأنظمة والشبكات لرصد الأنشطة غير الطبيعية.
• استخدام أدوات SIEM، IDS، أو حتى تقارير بشرية.
• التحقق من الحادث وتصنيفه (مثلاً: خرق بيانات، اختراق، رفض خدمة).

🛡️ 3. الاحتواء (Containment)

• منع انتشار الحادث (مثل عزل الجهاز المصاب، إيقاف الخدمة مؤقتًا).
• تقليل الأثر دون إعاقة العمليات الحيوية.

🧹 4. القضاء (Eradication)

• إزالة البرمجيات الخبيثة أو نقاط الضعف المستغلة.
• تطبيق تصحيحات أمنية (Patches).
• التحقق من خلو النظام من آثار الحادث.

🔄 5. الاستعادة (Recovery)

• استعادة الأنظمة إلى العمل الطبيعي بأمان.
• مراقبة إضافية بعد الاستعادة للتأكد من عدم عودة التهديد.

📚 6. الدروس المستفادة (Lessons Learned)

• توثيق شامل للحادث وخطوات الاستجابة.
• عقد اجتماع مراجعة للحادث مع جميع الأطراف المعنية.
• تحديث السياسات أو الإجراءات بناءً على التجربة.

3️⃣ الهيكل التنظيمي لإدارة الحوادث

الفرق المشاركة:

• الفريق الفني (IT/Security): التعامل مع الأنظمة المتأثرة.
• القانوني: تقييم المخاطر القانونية للخرق.
• العلاقات العامة: إصدار بيانات رسمية في حال الحوادث العامة.
• الإدارة: اتخاذ قرارات حاسمة واستراتيجية.

📌 ملاحظة: المؤسسات الكبرى تُنشئ "مركز عمليات أمنية (SOC)" يتعامل مع الحوادث لحظيًا.

4️⃣ أدوات وتقنيات دعم الاستجابة

• SIEM (Security Information and Event Management): مثل Splunk، IBM QRadar - لجمع وتحليل السجلات الأمنية.
• IDS/IPS (Intrusion Detection/Prevention System): مثل Snort، Suricata - للكشف عن التسلل ومنعه.
• Sandbox: لفحص الملفات المشبوهة في بيئة معزولة.
• أدوات الطب الشرعي الرقمي (Digital Forensics Tools): مثل Autopsy، FTK - لتحليل الأدلة الرقمية بعد الحادث.
• أنظمة التذاكر (Ticketing Systems): لتوثيق الخطوات وتتبع تقدم الاستجابة.

5️⃣ معايير وأطر معتمدة

• NIST SP 800-61 Rev.2: دليل شامل لإدارة الحوادث الأمنية الحاسوبية.
• ISO/IEC 27035: إطار لإدارة حوادث أمن المعلومات.
• SANS Incident Handling Process: نموذج تدريبي تطبيقي للاستجابة للحوادث.

6️⃣ دراسة حالة

السيناريو:

تلقّى أحد طلاب الجامعة رابطًا في بريده الإلكتروني، فتحه وأدخل بياناته.

ماذا حدث؟

• تم سرقة بيانات الدخول، واستخدمها المهاجم لتعديل درجات في النظام.

خطوات الاستجابة:

• عزل حساب الطالب مؤقتًا.
• التحقق من تغييرات النظام وربطها بالحساب.
• مراجعة سجلات الدخول والتحقيق في مصدر الهجوم.
• تنبيه جميع الطلاب وتغيير سياسات البريد.
• عقد جلسة توعية حول مخاطر التصيد.

7️⃣ النشاط العملي

المهمة:

صمّم خطة استجابة لحادث في مؤسسة تعليمية.

تشمل:

1. خطوات الاكتشاف والتقييم.
2. الإجراءات أثناء الحادث.
3. نموذج تقرير نهائي يتضمن الدروس المستفادة.

📚 مصادر ومراجع مقترحة

• NIST SP 800-61 Rev.2 – Computer Security Incident Handling Guide
• ISO/IEC 27035 Framework
• SANS Institute – Incident Response Resources
• كتاب: إدارة أمن المعلومات – طارق النعيمي
• دورة على YouTube: "سايبر بالعربي – كيف تتعامل مع حادث أمني؟"

✅ الخلاصة

إدارة الحوادث ليست مجرد "ردة فعل"، بل عملية متكاملة تتطلب استعدادًا دائمًا.

كل مؤسسة، مهما كانت صغيرة، يجب أن تمتلك خطة واضحة للتعامل مع الحوادث، وتقوم بتحديثها دوريًا.

التعلم من الحوادث الماضية هو الطريق نحو تقوية الدفاعات المستقبلية.

❝ ليس المهم إن كنت ستتعرض لهجوم، بل كيف ستتعامل معه عند وقوعه ❞