يوجد في إطار عمل الخطة السيبرانية أدوار خمسة أساسية متمثلة في (التحديد والحماية والكشف والاستجابة والاسترداد).سوف أتطرق أليها بالتفصل.
الأدوار الخمسة المتمثلة في خطة الأمن السيبراني هي:
أولاً: التحديد (Identification):
يتعلق بتحديد وتوثيق الموارد السيبرانية المهمة وتحديد الضعف في الأمن وتحديد الأصول والمخاطر المحتملة للتهديدات.
تؤكد الوظيفة الأساسية الأولى، تحديد الهوية، على أهمية فهم سياق الأعمال والموارد الداعمة للوظائف الحيوية ومخاطر الأمن السيبراني ذات الصلة. يعد هذا الفهم أمرًا بالغ الأهمية لأنه يوفر نظرة عامة مفصلة عن النظام البيئي الرقمي للمؤسسة، مما يتيح تشكيل استراتيجية مركزة ومصممة خصيصًا لإدارة المخاطر. قد تشمل الأنشطة في هذه المرحلة تحديد الأصول وإدارتها، وتقييم المخاطر الشامل، وتطوير استراتيجية إدارة المخاطر التي تكون بمثابة مخطط لإدارة مخاطر الأمن السيبراني على المدى الطويل.
ويمكن تحقيق ذلك بالنقاط التالية:
- إنشاء جدول موارد البيانات والأنظمة الحيوية وتوثيقها.
- إجراء تقييم الأمن الشامل لتحديد الضعف والثغرات الأمنية.
- تحديد المخاطر المحتملة وتصنيفها حسب الأولويات
بالنسبة لوظيفة التحديد، تحتاج المؤسسات إلى أدوات يمكنها المساعدة في اكتشاف الأصول وتقييم المخاطر.
NMAP:
هذه أداة قوية لرسم خرائط الشبكة يمكنها اكتشاف الأجهزة الموجودة على الشبكة والكشف عن المنافذ والخدمات المفتوحة التي قد تكون عرضة للهجوم.
برامج إدارة المخاطر:
يمكن لأدوات مثل RSA Archer وLogicGate Risk Cloud المساعدة في تحديد وتقييم مخاطر الأمن السيبراني.
ثانياً: الحماية (Protection):
يتضمن تنفيذ تدابير الوقاية والأمان للحماية من التهديدات السيبرانية، مثل تطبيق سياسات الأمان واستخدام تقنيات التشفير وإقامة الجدران النارية والتدقيق الأمني.
أما الوظيفة الثانية، وهي الحماية، فتضع الأساس لتنفيذ الضمانات لضمان استمرار تقديم الخدمات الحيوية. ومن خلال تصميم وتنفيذ الضمانات المناسبة، يمكن للمؤسسات الحد من التأثير السلبي لأحداث الأمن السيبراني المحتملة. قد تشمل هذه المرحلة تنفيذ تقنيات الحماية المتقدمة، وإنشاء آليات فعالة للتحكم في الوصول، وإنشاء عمليات وإجراءات قوية لحماية المعلومات للحماية من التهديدات السيبرانية المحتملة.
ويمكن تحقيق ذلك بالنقاط التالية:
- تطبيق سياسات الأمان القوية وإجراءات الوصول والتحقق.
- تنفيذ تحديثات البرامج والنظم بانتظام لسد الثغرات الأمنية المعروفة.
- توفير تدريب مستمر للموظفين حول ممارسات الأمان والتصرف الآمن عبر الإنترنت.
تشتمل وظيفة الحماية على أدوات يمكن أن تساعد في إنشاء حواجز ضد التهديدات السيبرانية المحتملة.
- جدران الحماية وأنظمة منع التسلل (IPS): توفر أدوات مثل Cisco ASA وجدران الحماية Palo Alto Networks وFortinet FortiGate دفاعات قوية للشبكة.
- برامج مكافحة الفيروسات والبرامج الضارة: يمكن لحلول مثل Norton أو Bitdefender أو Kaspersky أن تساعد في حماية الأنظمة من البرامج الضارة.
- أدوات التحكم في الوصول: يمكن لأدوات مثل Microsoft Active Directory أو Okta المساعدة في إدارة هويات المستخدمين وفرض عناصر التحكم في الوصول.
- عمليات فحص البرامج الضارة قبل التوقيع: يوفر eSigner من SSL.com فحصًا للمستندات بحثًا عن البرامج الضارة قبل السماح بالتوقيعات الإلكترونية، مما يمنع التعليمات البرمجية الضارة من الانتشار عبر المستندات الموقعة رقميًا.
ثالثاً: الكشف (Detection):
يتعلق برصد الأنشطة غير المشروعة أو الاعتداءات السيبرانية واكتشافها في وقت قريب، سواء كانت هجمات أو سلوكيات غير مرغوب فيها.
تشمل وظيفة الكشف الأنشطة التي تسمح للمؤسسات بتحديد وقوع حدث الأمن السيبراني بسرعة ودقة. يعد الاكتشاف السريع أمرًا بالغ الأهمية في المجال السيبراني لأنه يمكن أن يقلل بشكل كبير من الأضرار المحتملة الناجمة عن حادث سيبراني. تشمل الأنشطة النموذجية في هذه المرحلة مراقبة الحالات الشاذة والأحداث غير العادية، وتنفيذ آليات المراقبة الأمنية المستمرة، وتصميم عمليات الكشف الفعالة.
ويمكن تحقيق ذلك بالنقاط التالية:
- استخدام أنظمة الكشف عن التسلل والتحليل المتقدم لتحديد الأنشطة الغير مشروعة.
- تنفيذ نظام مراقبة مستمرة لحركة البيانات والشبكة للكشف عن أي تغييرات مشبوهة.
- تساعد أدوات الكشف في الكشف عن حوادث الأمن السيبراني المحتملة.
- أنظمة كشف التسلل (IDS): يمكن لأدوات مثل Snort أو Suricata اكتشاف النشاط الشاذ الذي قد يشير إلى وقوع هجوم.
- أدوات إدارة المعلومات الأمنية والأحداث (SIEM): يمكن لمنصات مثل Splunk أو LogRhythm تجميع وتحليل بيانات السجل من مصادر مختلفة للكشف عن الحوادث الأمنية المحتملة.
رابعاً: الاستجابة (Response):
تتضمن استجابة فعالة وسريعة للتهديدات والهجمات المكتشفة، بما في ذلك تقييم الأضرار واحتواء الاختراق والاستجابة للأزمات وإعادة تأهيل النظام.
في مرحلة الاستجابة، يتحول التركيز نحو الأنشطة اللازمة للتصرف بمجرد اكتشاف حادث يتعلق بالأمن السيبراني. يمكن للاستجابة السريعة والفعالة في كثير من الأحيان أن تُحدث فرقًا بين اضطراب بسيط وأزمة عمل كبيرة. يمكن أن تشمل الأنشطة في هذه المرحلة التخطيط للاستجابة للحوادث، وإنشاء قنوات اتصال واضحة، وتحليل شامل للحوادث، والتخفيف الفوري للحوادث، والتحسينات اللاحقة لمنع تكرار حوادث مماثلة.
ويمكن تحقيق ذلك بالنقاط التالية:
- إعداد خطة استجابة للحالات الطارئة تتضمن الخطوات المحددة للتعامل مع الانتهاكات الأمنية.
- توفير تدريب مستمر لفريق الاستجابة على كيفية التحقيق والاستجابة السريعة للحوادث الأمنية
- عند وقوع حادث، تساعد أدوات الاستجابة المؤسسات في اتخاذ إجراءات سريعة.
- منصات الاستجابة للحوادث: يمكن لأدوات مثل IBM Resilient Incident Response Platform أو D3 Security تبسيط عملية الاستجابة للحوادث، مما يضمن استجابة سريعة ومنسقة.
خامساً: الاسترداد (Recovery):
يركز على استعادة النظام والبيانات المتضررة إلى حالتها الطبيعية بأقصر وقت ممكن بعد حدوث انتهاك أمني، وإعادة بناء البنية التحتية المتضررة وتحليل الدروس المستفادة لتعزيز التحسين المستقبلي.
أخيرًا، تدور وظيفة الاسترداد حول المرونة والاستعادة. تساعد هذه الوظيفة المؤسسات في الحفاظ على عملياتها في مواجهة أي حادث إلكتروني واستعادة أي خدمات أو قدرات تم تعطيلها. قد تتضمن الأنشطة الرئيسية في هذه المرحلة التخطيط للتعافي، والتحسينات لاستعادة الأنظمة وتعزيزها بعد الحادث، واستراتيجيات الاتصال لإدارة أصحاب المصلحة الداخليين والخارجيين أثناء عملية التعافي.
ويمكن تحقيق ذلك بالنقاط التالية:
- إجراء نسخ احتياطية منتظمة للبيانات واستعادتها بسرعة في حالة الانتهاك.
- تنفيذ عمليات استعادة سريعة لإعادة بناء النظم المتأثرة والعمليات الأساسية.
- إجراء تقييم ما بعد الحادث لتحليل الأسباب وتطبيق التحسينات لمنع حدوث مشكلات مماثلة في المستقبل
- تساعد أدوات الاسترداد المؤسسات على استعادة خدماتها بعد وقوع حادث يتعلق بالأمن السيبراني.
- أدوات النسخ الاحتياطي والاسترداد: يمكن لحلول مثل Veeam أو Veritas تسهيل عملية استعادة البيانات بعد وقوع حادث يتعلق بالأمن السيبراني.
- أدوات التعافي من الكوارث: يمكن للأنظمة الأساسية مثل Zerto أو VMware Site Recovery أن تساعد المؤسسات على استعادة البنية التحتية لتكنولوجيا المعلومات بالكامل بعد وقوع حادث كبير.
- وتذكر أن الأدوات وحدها ليست كافية. ويجب دمجها في استراتيجية شاملة للأمن السيبراني، مثل تلك التي حددها إطار عمل الأمن السيبراني NIST، لتكون فعالة حقًا.
من خلال تنفيذ هذه الإجراءات، يمكن للمؤسسة أو المنظمة تعزيز قدرتها على التعامل مع التهديدات السيبرانية بفعالية والحفاظ على سلامة الأصول السيبرانية واستمرارية العمليات.
هذه الخطة تتضمن مجموعة شاملة من الإجراءات والتدابير التقنية والتنظيمية والتدريبية التي تهدف إلى حماية الأصول السيبرانية وضمان استمرارية العمليات الأساسية للمؤسسة أو المنظمة.
إدارة المخاطر نهج استراتيجي مستمر للأمن السيبراني.
يتم التأكيد على أهمية اعتماد نهج مبني على المخاطر في إدارة الأمن السيبراني، وذلك وفقًا لإطار عمل الأمن السيبراني المقدم من معهد القياسات والمعايير الوطني. عبر التركيز على إدارة المخاطر، تستطيع المؤسسات تنسيق جهودها الأمنية بشكلٍ أكثر فاعلية مع أهداف أعمالها العامة، وتوجيه مواردها بطريقة استراتيجية، واتخاذ قرارات مدروسة. تجدر الإشارة إلى أن إدارة المخاطر ليست مجرد نشاطٍ معزول، بل هي عمليةٌ مستمرة تتضمن تعريف وتقييم ومعالجة المخاطر، تليها رصد وتقييم لتأثير التدابير التصحيحية المتخذة لضمان فاعليتها. يكمن جوهر هذه العملية في الاعتراف بأن كل منظمة لها سياقها الفريد من المخاطر، وبالتالي يجب أن يوجه هذا السياق اختيار وتنفيذ تدابير الأمن السيبراني الخاصة بها.
التحول من الوضع “ما هو عليه” إلى “ما سيكون عليه”
يشكل تحديًا يتطلب عملية منهجية ومتكررة متوافقة مع إطار عمل الأمن السيبراني NIST. تكمن الفعالية في تخصيص هذه العملية وفقًا للسمات الفريدة والظروف لكل منظمة. تشتمل هذه العملية على عدة خطوات رئيسية:
تحديد الأولويات والنطاق
تتضمن الخطوة الأولى تحديد المنظمة لأهداف عملها وأولويات النظام. يتضمن ذلك فهم الأصول الرقمية التي تمتلكها المنظمة، والتي تعتبر الأكثر أهمية لعملياتها، وما هو التأثير المحتمل إذا تعرضت هذه الأصول للخطر. تضع هذه الخطوة الأساس للإجراءات القادمة من خلال مساعدة المنظمة في تحديد جوانب عملياتها التي تحتاج إلى التركيز على الحماية أكثر.
التوجيه
تتضمن هذه الخطوة تحديد الأنظمة ذات الصلة وأصحاب المصلحة والمتطلبات التنظيمية ونهج المخاطر الشامل. ويتضمن أيضًا تحديد التهديدات ونقاط الضعف المحتملة، وإجراء تقييمات المخاطر، وإنشاء استجابات للمخاطر. يتم إنشاء فهم شامل لمشهد المخاطر في المنظمة خلال هذه المرحلة.
إنشاء ملف التعريف الحالي
هذه لمحة سريعة عن أنشطة الأمن السيبراني الحالية للمؤسسة، وتوضح الضوابط والتدابير المعمول بها حاليًا. يعد ملف التعريف هذا بمثابة خط أساس لموقف الأمن السيبراني الحالي للمؤسسة ويساعد في تحديد الفجوات بين الحالة الحالية والحالة المرغوبة.
قم بإجراء تقييم للمخاطر
تتضمن هذه الخطوة تحليلاً مفصلاً للتأثير المحتمل للمخاطر المحددة بناءً على الملف الحالي. يجب أن يعكس التقييم التأثيرات التجارية المحتملة من حدوث المخاطر المحددة. تعتبر هذه الخطوة حاسمة لأنها تساعد المؤسسة على فهم المخاطر الفعلية التي تواجهها والعواقب المحتملة، مما يوفر أساسًا لاتخاذ قرارات مستنيرة بشأن إدارة المخاطر.
قم بإنشاء ملف تعريف مستهدف
يوضح هذا الملف التعريفي نتائج الأمن السيبراني المرغوبة للمؤسسة بناءً على تقييم المخاطر وأهداف العمل والمتطلبات التنظيمية. إنه يحدد بشكل أساسي الشكل الذي يجب أن يبدو عليه وضع الأمن السيبراني للمؤسسة في المستقبل.
تحديد الفجوات وتحليلها وتحديد أولوياتها
هنا، تقوم المؤسسة بمقارنة ملف التعريف الحالي مع ملف التعريف المستهدف لتحديد الفجوات. ويتم تحليل الفجوات التي تم تحديدها على أساس المخاطر، ويتم وضع خطة عمل ذات أولوية. تحدد خطة العمل هذه الخطوات المحددة المطلوبة لرفع وضع الأمن السيبراني للمؤسسة من حالته الحالية إلى حالته المرغوبة.
تنفيذ خطة العمل
في هذه الخطوة الأخيرة، تنفذ المؤسسة خطة العمل، مع المراقبة المستمرة للتأكد من أن الخطة تعمل بشكل فعال على تحسين وضع الأمن السيبراني للمؤسسة. تتضمن هذه الخطوة الحصول على الموارد اللازمة، وتنفيذ التغييرات، ومراقبة التقدم باستمرار.
إن الرحلة من “ما هو عليه” إلى “ما سيكون عليه” ليست عملية خطية، بل هي دورة من التحسين المستمر. مع تطور مشهد الأمن السيبراني، يجب على المؤسسات إعادة النظر ومراجعة ملفات تعريف الأهداف الخاصة بها، وتقييم المخاطر الجديدة، وتعديل خطط عملها حسب الحاجة.
دراسات الحالة: إطار عمل NIST للأمن السيبراني
في حين أن إطار عمل الأمن السيبراني NIST يوفر دليلاً شاملاً لسيناريوهات إدارة المخاطر للأمن السيبراني، فإنه غالبًا ما يكون من المفيد النظر إلى أمثلة من العالم الحقيقي لكيفية تنفيذه. فيما يلي دراستي حالة توضحان كيفية استخدام المؤسسات لإطار العمل لتحسين وضع الأمن السيبراني لديها.
هجمات الاختراق السيبراني:
يشمل ذلك سيناريوهات مثل الاختراقات الساحقة، واختراقات الشبكة، والهجمات على الأنظمة الحيوية، والاختراقات الداخلية.
البرمجيات الخبيثة والبرامج الضارة:
سيناريوهات تتعلق بانتشار البرمجيات الخبيثة والبرامج الضارة، مثل الفيروسات وأحصنة طروادة وبرمجيات التجسس.
هجمات الاحتيال الإلكتروني:
يمكن أن تشمل سيناريوهات مثل رسائل البريد الإلكتروني الاحتيالية، والتصيُّد الاحتيالي، وهجمات الاحتيال الإلكتروني التي تستهدف البيانات الشخصية والمالية.
انتهاكات البيانات والتسريبات:
يشمل ذلك سيناريوهات تسريب البيانات والمعلومات الحساسة، سواء كانت نتيجة لانتهاكات أمنية أو أخطاء بشرية.
الهجمات المستهدفة:
سيناريوهات تتعلق بالهجمات الموجهة نحو أهداف معينة مثل المؤسسات أو الأفراد أو القطاعات الحيوية.
هذه مجرد بعض السيناريوهات التي قد تواجهها المؤسسات، ويمكن أن تُشمل في دراسات الحالة ضمن إطار عمل NIST للأمن السيبراني. تحليل ومعالجة هذه السيناريوهات يساعد في فهم التهديدات وتقييم المخاطر وتطبيق التدابير الأمنية اللازمة لتحقيق الأمان السيبراني.