أساسيات الاستجابة للحوادث الأمنية – أثناء الجائحة وما بعدها
تقدم القوة العاملة عن بُعد سريعة التوسع تحديات جديدة عندما يتعلق الأمر بتحديد نقاط الضعف لديك والاستجابة بسرعة ، ولكنها لا تغير الأساسيات – التحديد والحماية والكشف والاستجابة والتعافي.
أمن المعلومات هو سباق بلا توقف بينك وبين مجرمي الإنترنت – ويعني COVID-19 المزيد من التحديات لمؤسستك والمزيد من الفرص للمهاجمين. تحدثنا مع خبراء الأمن السيبراني حول التحديات التي تخلقها القوى العاملة البعيدة حديثًا للمؤسسات ، وكيفية الاستجابة للتهديد السيبراني ، وكيف تتغير التهديدات نفسها.
يجعل جائحة COVID-19 المستمر من الصعب الاستجابة للتهديد الجاري. أن تكون استباقيًا أمر بالغ الأهمية ، وأفضل وقت لتحديث استراتيجيتك لتعكس قوة عاملة في مكان مأوى هو نفسه لكل شركة ، كبيرة كانت أم صغيرة: بالأمس.
ما هي المخاطر؟
تأتي الخروقات بأحجام ومقاييس مختلفة. يمكن أن تمنعك برامج الفدية من الوصول إلى الموارد والبيانات ، ولكن خطة اللعبة مختلفة تمامًا اعتمادًا على ما تم اختراقه – وما الذي لمسته تلك النقطة المصابة. يمكن أن يكون الحل الخاص بمحطة العمل المشفرة بهجوم برامج الفدية مباشرًا: إعادة بناء الجهاز ، مما يعني التوقف عن العمل ولكن ليس الكثير. ومع ذلك ، إذا تم اختراق مركز البيانات أو الخوادم الهامة ، فقد تكون النتائج كارثية. بالنسبة للعديد من الشركات ، تكون الخسارة المحتملة كبيرة جدًا لدرجة أن إرسال مئات الآلاف من الدولارات في شكل عملة معماة إلى مجرمي الإنترنت أمر منطقي – حتى عند دفع الفدية هو مجرد بداية للصداع.
يقول درو سيمونيس ، نائب كبير مسؤولي أمن المعلومات: “حتى لو تمكنت من إيجاد طريقة للدفع ، وتحمل الدفع ، ولديك مجرم موثوق بما يكفي … لا يزال هذا لا يعني أنك ستنجو من الهجوم”. في HPE. حتى إذا دفعت فدية ، فإن إصلاح الضرر الناجم عن هجوم برامج الفدية باستخدام مفاتيح الأمان التي يوفرها المجرم قد يعني شهورًا من التوقف. ما مقدار الإنتاجية المفقودة التي يمكن أن تستمر مؤسستك بها؟ يقول سيمونيس: “بالنسبة لشركة كبيرة ، قد يكون ذلك مستدامًا”. “بالنسبة لشركة صغيرة؟ يمكن أن يؤدي ذلك إلى خروجهم من العمل.”
الركائز الخمس للأمن السيبراني
من الواضح أن أنواع الهجمات التي تواجهها والموارد المتاحة لك تعتمد على حجم مؤسستك. لكن الإجراءات الحاسمة التي يجب أن تتخذها مستمدة من إطار عمل الأمن السيبراني التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST) ، وهي متشابهة بالنسبة للشركات الكبيرة والصغيرة: التحديد والحماية والكشف والاستجابة والتعافي. إنها عملية خطوة بخطوة لتقييم مدى ضعف نظامك ، وفعل كل ما في وسعك لإزالة الثغرات الأمنية ، وترتيب الضرر بسرعة عند حدوث خرق ، والوقوف والتشغيل مرة أخرى ، والأهم من ذلك ، القضاء على تلك الروابط الضعيفة من أجل المستقبل.
لم يتم إنشاء جميع المنظمات على قدم المساواة. يقول سيمونيس: “تمتلك الشركة الكبيرة كل هذه الموارد داخليًا ؛ سيكون لديهم المحققون ، والقدرة على الطب الشرعي ، والقدرة على تطوير خطة تستند إلى الخرق ووضع تلك الخطة موضع التنفيذ”. تختلف خطط الاستجابة حسب الحجم والميزانية ، والعديد من التحديات التي تواجهها الشركات الصغيرة والمتوسطة الحجم أكثر صعوبة من أي وقت مضى بسبب الوباء المستمر.
“حتى لو تمكنت من إيجاد طريقة للدفع ، وبإمكانك الدفع ، ولديك مجرم موثوق بما فيه الكفاية … لا يزال هذا لا يعني أنك ستنجو من الهجوم”.
درو سيمونيس نائب رئيس مكتب أمن المعلومات في HPE
عامل كوفيد
تجعل القوة العاملة المتنامية عن بُعد كل خطوة من خطوات الاستجابة أكثر صعوبة. لم يغير جائحة COVID-19 الأساسيات ، لكنه خلق فرصًا جديدة لمجرمي الإنترنت: زيادة في الهجمات الموجهة نحو المحتوى التي تستهدف الأشخاص في مؤسستك – خاصةً مع مناشدات عاطفية. في أبريل ، أبلغت منظمة الصحة العالمية عن تعاملها مع هجمات إلكترونية خمس مرات أكثر من المعتاد.
يقول J.J.: “يتعين على فرق الأمن أن تتعلم التدقيق في ما لم يكن عليهم التدقيق فيه من قبل”. طومسون ، مدير أول لإدارة الاستجابة للتهديدات في Sophos.
تحذر مجموعة تحليل التهديدات في Google من أن هجمات التصيد التي تستهدف عامة الناس تتنكر في شكل خدمات حكومية. “في عالم ما بعد الجائحة ، [لا يزال] سيكون البريد الإلكتروني ولوحات الاتصالات ، وهجمات الهندسة الاجتماعية … [لكن] سيكون لديهم معدل استيعاب أفضل بكثير.” تعتبر الهجمات المرتبطة بـ COVID-19 – مثل محاولات التصيد المخفية في صورة نتائج اختبار COVID – خطيرة بشكل خاص. تقول المجموعة: “لدينا جميعًا مرشح هندسة اجتماعية مسامي أكثر مما كان لدينا من قبل”.
قد لا تكون التحديات التي أبرزها الوباء جديدة – وهي بالتأكيد لن تذهب إلى أي مكان. يقول Simonis من HPE: “ما يجب أن تكون قادرًا على التعامل معه هو بيئة لا يمكنك الوثوق فيها بالرسائل التي تنشأ من خارج مؤسستك. في أي وقت يطلب منك شخص من الخارج القيام بشيء ما ، يجب أن تكون مريبًا”. يقترح التحقق من الطلبات غير المعتادة قدر الإمكان – حتى لو كان ذلك يعني إجراء مكالمة هاتفية.
إن القضاء على نقاط الضعف البشرية يعني أيضًا بناء أنظمة معدة لحتمية أن يرتكب الناس أخطاء. يقول طومسون: “افترض أن كل هذه الإجراءات ستفشل”. “بغض النظر عن عدد المرات التي تقوم فيها بتدريب شخص ما على عدم النقر فوق شيء ما ، فإنهم سيقومون بذلك على أي حال.” المفتاح هو وضع الأدوات في المكان الذي يفشل فيه الأشخاص ، مثل تحديد عمليات تسجيل الدخول المجهولة ، حتى إذا تم فحص بيانات اعتماد المستخدم.
ماذا يمكنك ان تفعل اليوم
حتى النسخ الاحتياطية الدقيقة ليست بديلاً عن خطة استجابة متطورة للحوادث. لا يمكن إصلاح بعض الخروقات بمجرد الرجوع إلى نسخة احتياطية. يقول جاري كامبل ، كبير مسؤولي الأمن في HPE: “تنتظر جميع برامج الفدية تقريبًا ثلاثة أيام لتجتاز دورتين أو ثلاث دورات احتياطية قبل أن تطلب المال بالفعل”. وقد لا تكون النُسخ الاحتياطية كافية لمنع حدوث أضرار قاتلة. يقول: “في مركز البيانات ، يستغرق الأمر ستة أيام لإعادة صورة الخادم بشكل نموذجي – بافتراض أن النسخ الاحتياطية جيدة”. إذا كان لديك عشرات الآلاف من الخوادم ، فقد تكون التكلفة ووقت التوقف عن العمل المرتبطين بالتراجع أسوأ من دفع الفدية.
يعد وضع خطة للاستجابة للحوادث أمرًا صعبًا بالنسبة للشركات من أي حجم. يعد التمرين على الطاولة أحد أفضل طرق التحضير ، وهو شيء يمكن لأي عمل القيام به. تحاكي هذه التمارين الاختراق على الورق وتضع تدريب فريقك واتخاذ القرار في الاختبار. يشرح Simonis قائلاً: “تابع العملية وانظر أين توجد فجوات القدرات لديك لأنك ستحتاج إلى استكمال هؤلاء بأطراف ثالثة”.
قد يعني ذلك جلب خدمات الأمن السيبراني المُدارة لنظامك بأكمله أو سد الثغرات حسب الحاجة بحلول البوتيك. يمكن للطرف الثالث المناسب أن يساعد في تقييم الضعف ، ويكتشف صعوبة أكبر للعثور على الثغرات التي قد تمر دون أن يلاحظها أحد أثناء التدريبات النموذجية.
يقول سيمونيس: “يجب أن تكون لديك هذه الحلول مُحددة مسبقًا لأنه لا يوجد شيء أسوأ من الحاجة إلى الاستشارات والانتظار لمدة أسبوعين أو ثلاثة أسابيع”. “حقيقة هذه الخروقات هي أن الدقائق والساعات مهمة. وكلما أسرعت في التحقيق والقضاء عليها ، من المرجح أن تثق في وقت مبكر أنك فعلت ذلك بفعالية.”
الاستجابة والتعافي
وفقًا لسيمونيس ، كل شخص تقريبًا لديه خطة – لكن القدرة على تنفيذها هي قصة أخرى تمامًا. يقول: “لا يحفر الناس خططهم. إنهم لا يمارسون خططهم بطريقة جادة”. “[ما هو] الأكثر شيوعًا من عدم وجود خطة [هو] وجود خطة مليئة بالغبار ولا تعمل في الواقع.”
يضيف سايمون ليش ، كبير مستشاري الأمن وإدارة المخاطر في HPE Pointnext Services ، أنه عندما يتعلق الأمر بالاستجابة للحوادث – سواء كنت قد لجأت إلى طرف ثالث للمساعدة في تطويره أو كنت تقوم بوضعه بنفسك – فإن التفاصيل الصغيرة يمكن أن تحدث فرقًا كبيرًا ، وصولاً إلى معرفة من تتصل بالضبط الساعة 2 صباحًا مع الأخبار السيئة.
إن تحديد سبب الاختراق بشكل صحيح والتأكد من سد الثقب أمر بالغ الأهمية. “إذا لم تكن لديك عملية قائمة للتأكد من احتواء العدوى قبل البدء في تنظيف الأشياء وإعادتها إلى الشبكة ، فستلعب فقط Whac-A-Mole ، وتطارد يقول ليتش: “الخوادم التي تصاب بالعدوى باستمرار”.
يقول سيمونيس ، نقلاً عن اقتباس الملاكم مايك تايسون الشهير ، إن معرفة ما يجب فعله عند اختبار خطتك – ومعرفة ما يجب القيام به عند فشل خطتك – لا يقل أهمية عن امتلاك واحدة في المقام الأول ، “لكل شخص خطة حتى تحصل على لكمات في الفم “.
الاستجابة للحوادث الأمنية: دروس للقادة
• وضع خطة هو الجزء الأول فقط. يعد اختبارها باستخدام التدريبات والتمارين على الطاولة أولوية قصوى. عندما تكتشف ثغرات في القدرات ، املأها بخبرات الجهات الخارجية.
• لا تعتمد على النسخ الاحتياطية – أو وسائل الدفع في حالة حدوث هجوم ببرنامج الفدية. بالنسبة للشركات الصغيرة ، يمكن أن تكون هذه الهجمات قاتلة.
• التمسك بالأساسيات.