استجابة للحوادث
يقوم المركز الوطني للأمن السيبراني بالاستجابة للحوادث السيبرانية التي تتعرض لها الوزارات والمؤسسات الحكومية والجهات الوطنية وشركات القطاع الخاص من خلال الفريق الوطني للاستجابة للحوادث (JoCERT) وذلك عن طريق تقديم المساعدة لكل من يتعرض لحادثة أمن سيبراني، حيث يقوم الفريق باكتشاف الحادث الأمني واحتواؤه ومنع انتشاره وتنفيذ اجراءات عمليات التصدي والتعافي للتخفيف من تداعيات الحادثة الأمنية واستعادة سلامة الأنظمة والشبكات، الأنشطة التي تأثرت بالحادثة وإعادة الخدمات المتأثرة إلى حالتها التشغيلية. إليك نظرة عامة موجزة:
الكشف :
تبدأ استجابة الحوادث بالكشف عن الحوادث الأمنية المحتملة. يمكن أن يتضمن ذلك استخدام أدوات المراقبة وأنظمة الكشف عن الاختراق أو التنبيهات التي يتم تنشيطها بواسطة أنشطة غير عادية.
التحليل:
بمجرد اكتشاف الحادثة، يتعين تحليلها لتحديد طبيعتها ونطاقها وتأثيرها المحتمل. ينطوي ذلك على جمع وفحص البيانات ذات الصلة، مثل السجلات وحركة المرور عبر الشبكة ولقطات النظام.
الاحتواء :
بعد تحليل الحادثة، يأتي التركيز التالي على احتوائها لمنع حدوث المزيد من الأضرار أو الوصول غير المصرح به. يمكن أن يشمل ذلك عزل الأنظمة المتأثرة، وتعطيل الحسابات المخترقة، أو حجب حركة المرور الشبكية الخبيثة.
الاستئصال :
بعد احتواء الحادثة، يتحول التركيز إلى استئصال السبب الجذري وإزالة أي وجود ضار من الأنظمة المتأثرة. يمكن أن يشمل ذلك سد الثغرات، وإزالة البرمجيات الخبيثة، أو إعادة تكوين إعدادات الأمان.
الاسترداد :
بعد تجاوز التهديد، يمكن البدء في استعادة الأنظمة والخدمات المتأثرة إلى التشغيل الطبيعي. يمكن أن يشمل ذلك استعادة البيانات من النسخ الاحتياطية، وإعادة تثبيت البرمجيات، أو إعادة بناء الأنظمة المخترقة.
االتحليل بعد الحادثة:
بعد حل الحادثة، يتم إجراء تحليل شامل بعد الحادثة لتحديد الدروس المستفادة والمجالات التي تحتاج إلى تحسين. يمكن أن يساعد ذلك في تعزيز موقف الأمان للمنظمة وتحسين استعدادها للحوادث المستقبلية.
يقوم فريق الاستجابة الوطني بكتابة تقرير يتضمن كافة تفصيلات الحادثة والاضرار الناجمة عنها والإجراءات التي تم اتخاذها بالإضافة لتقديم التوصيات الفنية اللازمة لتلافي وقوع المؤسسة في الحادث مرة أخرى