أمن بيانات
ما هو الخرق الأمني، وكيفية التعافي منه
العدد 153 | حزيران (يونيو)-2020

بقلم بشار خليل
محاضر في الجامعة الافتراضية السورية

بقطع النظر عن مدى قوة الدفاعات الأمنية لشركة ما، سيتمكن شخص ما عاجلًا أم آجلًا من اختراق هذه الدفاعات، إذ لا توجد تركيبة أو خطة دفاعية تستطيع تحصين شركة ما من مهاجم محترف (أو مجموعة من المهاجمين) بنسبة 100٪. الأمر المخيف - وفقًا للبيانات التي اعتمدت عليها لجنة الأوراق المالية والبورصات الأمريكية - هو أن "60% من الشركات الصغيرة ستتوقف عن العمل خلال ستة أشهر من اختراق بياناتها".

ومع ذلك، فإن التعرض لانتهاك أو خرق أمني ليس نهاية العالم (على الرغم من أنه قد يبدو كذلك). إذ إنه من الممكن التعافي من هذا الاختراق والعودة إلى العمل كالمعتاد، إذا توفرت خطة محكمة للتعافي من الخروقات واتُّخذت خطوات استعدادًا لاحتمال.

ما هو الخرق الأمني؟

يحدث الخرق الأمني ببساطة عندما يقوم شخص ما باختراق الإجراءات الأمنية الإلكترونية لنظام ما من دون تصريح أو التحايل عليها للنفاذ إلى المناطق المحمية من هذا النظام. يمكن أن يكون المخترِق شخصًا حقيقيًا أو برنامجًا ذاتي التوجيه، مثل الفيروسات أو أي شكل آخر من البرامج الضارة.

وقد يكون الخرق الأمني نتيجة إجراء متعمَّد أو نتيجة الصدفة. وهناك دافعان – عادة - وراء أي خرق أمني متعمد، فقد يرغب المهاجم في النفاذ إلى معلومات آمنة وتسخير موارد الحاسوب لأغراض خاصة، أو قد يرغب في تعطيل الشبكة نفسها لأسباب شخصية أو سياسية.

ومع أن هذه الهجمات مخيفة حقًّا، إلا أنه من السهل غالبًا تحديدها والتخطيط لها، خلافًا للخروقات التي تحدث بالصدفة؛ إذ إنها تحدث نتيجة الخطأ أو الإهمال.

 

أنواع خروقات البيانات

على الرغم من شيوع مصطلحي "الخرق الأمني" و "خرق البيانات"، إلا أنهما ليسا متطابقين تمامًا. فمع أن "الخرق الأمني" يعدُّ فشلًا في ضوابط الأمن الإلكتروني، فإن هذا لا يعني بالضرورة اختراق البيانات الخاصة أو السرية. أما مصطلح "خرق البيانات" فيعني إمكان النفاذ إلى معلومات آمنة من شخص غير مصرح له أو تحريرها في بيئة غير موثوق بها.

وبوجه عام، يمكن تقسيم خروقات البيانات إلى سبع فئات مختلفة:

1.    اختراقات القرصنة

تتضمن هذه الفئة مجموعة متنوعة من التقنيات التي يلجأ إليها مجرمو الإنترنت للنفاذ إلى البيانات الآمنة؛ مثل: حيل الخداع، ومحاولات الهجوم بطريقة التخمين brute-force attack، وبرامج الفدية، وأشكال مختلفة من الفيروسات أو البرامج الضارة.                                                                                                                                                                                                                                                                       

2.    التهديد من الداخل

وهو نوع خطر من أنواع خروقات البيانات، فالتهديد من الداخل ينشأ عندما يسخِّر موظف ما معرفته بالضوابط الأمنية لنظام ما للنفاذ إلى البيانات والمساومة عليها، وغالبًا ما يكون لتحقيق مكاسب مادية.

3.    البيانات أثناء انتقالها

تعتبر أجهزة التخزين المحمولة – مثل: محركات الأقراص الصُّلبة للحاسوب المحمول، والأشرطة الاحتياطية، والذواكر USB - مفيدةً لنقل البيانات، ولكن هناك احتمال لفقدها أو تلفها أثناء النقل.

4.    السرقة

تحتفظ معظم المؤسسات بشبكاتها الخاصة آمنةً خلف جدران الحماية النارية firewalls وبرمجيات الأمن الإلكتروني. ومع ذلك يجب أن تأخذ هذه المؤسسات في الحسبان إمكان خروج شخص ما من الباب الرئيسي ومعه جهاز حاسوب محمول خاص بالشركة يحتوي على معلومات خاصة وحساسة، أو أن يسخِّر لصٌّ ما تقنيات الهندسة الاجتماعية للنفاذ إلى موقع آمن والحصول على البيانات التي يريدها.

5.    الأخطاء البشرية

في كثير من الأحيان تحدث أخطاء في مجال الأمن الإلكتروني عند معالجة البيانات. ووفقًا لمكتب مفوض المعلومات في المملكة المتحدة (ICO)، فإن قرابة 90٪ من انتهاكات البيانات في البلاد في عام 2019 كانت نتيجة خطأ بشري.

6.    كشف البيانات غير المقصود على الإنترنت

تدرك معظم المنظمات أن الاستفادة من شبكة الإنترنت العامة في نقل البيانات وتداولها يمكن أن يزيد من خطر اعتراضها والنفاذ إليها بطريقة غير مشروعة. وقد كانت هذه القضية بسيطة عندما كانت البيانات تخزَّن في المخدمات الداخلية حيث يتم النفاذ إليها بواسطة روابط الشبكة الداخلية، لكن صعود الحوسبة السحابية Cloud Computing أجبر الشركات على اتخاذ تدابير استباقية لحماية البيانات التي يتم النفاذ إليها بواسطة الإنترنت.

إن كشف البيانات على شبكة الإنترنت العامة يزيد من احتمال تسربها بغير قصد، ومن احتمال هجمات "رجل في المنتصف" الإلكترونية.

7.    النفاذ غير المصرح به

يمكن أن تؤدي ضوابط النفاذ الضعيفة، مثل امتيازات مدير النظام التي لا تجري مراقبتها جيدًا إلى تمكين أشخاص لا صلاحيات لهم من أن يعالجوا ويشاركوا في بيانات لا علاقة لهم بها. لذلك إذا لم تتوفر سياسات ضبط ونفاذ جيدة في المؤسسات فسوف يزداد احتمال حدوث أشكال أخرى من الخروقات الأمنية، تليها خروقات للبيانات، وهي مكلفة بطبيعة الحال.

 

 

التحضير للخرق الأمني

عندما يتعلق الأمر بالتعافي من خرق أمني ما فإن السر يكمن في الاستعداد. فإذا لم تكن لديك الأدوات المناسبة، فقد لا تتمكن حتى من تحديد الخرق الأمني فضلًا عن احتوائه والقضاء عليه.

فيما يلي بعض الاستعدادات الرئيسية للمساعدة في حماية مؤسستك من حادث خرق أمني محتمل، مع التنبيه على أنه كلما زاد الاستعداد للهجوم، كان إصلاحه والتعافي منه أسهل وأسرع، ومن ثَم الحدُّ من آثاره.

·       تحديد جميع أصول تكنولوجيا المعلومات في الشركة

لا يمكنك حماية شبكتك إذا كنت لا تعرف ما فيها من أصول وموارد، لذلك إذا أردت حماية موارد الشبكة أو ربما إجراء نسخ احتياطي لمكوناتها، فمن الضروري إجراء بيان كامل للأصول التكنولوجية في هذه الشبكة باعتباره جزءًا من خطة التعافي والاسترداد.

·       إضافة نظام كشف التطفل Intrusion Detection System (IDS)

تعد القدرة على اكتشاف الانتهاك أمرًا بالغ الأهمية لضمان استجابة سريعة تقلل الأضرار إلى حدودها الدنيا لجعل التعافي وتخفيف المخاطر أسهل. تساعدك أنظمة كشف التطفل (IDS) على تحديد وقت حدوث الخروقات الأمنية حتى تتمكن من الاستجابة الفورية لها.

أما أنظمة منع التطفل (IPSs) فإنها تتقدم على أنظمة كشف التطفل بخطوة إلى الأمام، وذلك بتشغيل إجراء أمني تلقائي استجابةً لخرق الشبكة، مما قد يساعد على احتواء فوري للهجوم.

يمكن أن تساعد أنظمة معلومات الأمان وإدارة الأحداث (SIEM) على جمع معلومات حول محاولة اختراق الشبكة للكشف عن منهجية الهجوم، وهو أمر مفيد لمنع الهجمات المستقبلية.

·       إنشاء خطة استجابة للحوادث Incident Response Plan (IRP)

خطة الاستجابة للحوادث (IRP) هي الوثيقة التي تحدد ما يجب على كل شخص في المؤسسة القيام به استجابة لاختراق الشبكة. يساعد وجود IRP الموظفين على استجابة سريعة وأكثر تناغمًا لاختراق الشبكة حتى التمكن من احتواء الخرق والقضاء عليه بسرعة.

جزء من إعداد خطة الاستجابة للحوادث هو توزيع الخطة على كل موظفي المؤسسة والتحقق من فهمهم لها ومن إمكان تلبية التوقعات المنصوص عليها في وثيقة IRP، وقد يتطلب هذا الأمر جلسات أو اجتماعات تدريب إضافية لاستعراض محتويات الخطة وشرح كيفية استعمال الأدوات المحددة اللازمة لتحديد واحتواء وإزالة خرق الشبكة. يجب أن يكون لكل موظف في المؤسسة دور واضح في IRP ولو كان هذا الدور مجرد الإبلاغ عن الحوادث للمعنيين الرئيسيين في خطة الاستجابة.

·       النسخ الاحتياطي للبيانات

قبل حدوث أي هجوم، من الضروري إنشاء نسخة بيانات احتياطية لأهم المعلومات الخاصة بالمؤسسة بحيث يمكن استعادة الملفات المحلية إذا حصل هذا الهجوم فعلًا وتم اختراق الشبكة. تساعد عملية نسخ البيانات الاحتياطية على منع فقدان البيانات إذا حدثت هذه الخروقات التي قد تتلف أو تشفر الملفات المخزنة، وعملية نسخ البيانات الاحتياطية هي أيضًا جزء مهم من خطة التعافي من الكوارث Disaster Recovery Plan.

بطبيعة الحال، يتطلب إعداد نسخة احتياطية للمؤسسة تصنيفَ جميع بياناتها بحيث يمكن حفظ أهم المعلومات في حالة الطوارئ، علمًا بأن محاولة نسخ كل شيء ستؤدي إلى تضخم النسخ الاحتياطي الذي يبطئ نسخ البيانات ويضيف نفقات غير ضرورية.

·       تكرار اختبار الاختراق

اختبارات الاختراق هي أداة حاسمة للحد من المخاطر، وتحديد نقاط الضعف في الاستعدادات الأمنية الخاصة بك حتى تتمكن من إصلاحها قبل حدوث الاختراق.

يحاول خبراء الأمن الإلكتروني كسر بنيتك الأمنية الإلكترونية عمدًا، لأن ذلك يساعدهم على تحديد الثغرات المحتملة في الشبكة، وخاصة بعد أي تعديل رئيسي على برمجيات المؤسسة أو على الأجهزة التقنية فيها. يمكن بعد ذلك إصلاح هذه الثغرات لمنع المهاجمين من الاستفادة منها عند حصول الهجوم الحقيقي. ويجب تكرار هذه الاختبارات.

·       إنشاء فريق الاستجابة للحوادث Incident Response Team (IRT)

على الرغم من أن وجود خطة استجابة للحوادث أمر مفيد، إلا أن وجود الأشخاص ذوي المهارة والخبرة للتعامل مع تلك الاستجابة هو أمر بنفس الأهمية. يمكن لفريق الاستجابة للحوادث - سواء تم تعيينه من موظفي تكنولوجيا المعلومات الداخليين أو من مزوِّد الأمن الإلكتروني التابع لجهة خارجية - المساعدة على التأكد من تنفيذ خطة الاستجابة للحوادث IRP بسلاسة قدر الإمكان. وسوف يقوم موظفو فريق الاستجابة للحوادث IRT بجمع وتحليل المعلومات المتعلقة بالحوادث الأمنية.

تشير بعض المنظمات إلى أن هذا الفريق مماثل لفريق الاستجابة لحوادث أمن الحاسوب (CSIRT)، لأنه قد يضطر إلى التعامل مع حوادث أخرى غير خرق البيانات أو خرق الشبكة.

كيفية الاستجابة للخرق الأمني

تحتاج المنظمات إلى أن يكون لديها خطة عمل واضحة ومحددة للتصرف عند حدوث خرق أمني، ويجب أن تكون خطة الاستجابة للحوادث بمثابة المسار الموجه في هذه الحالات، وأن يشارك فيها جميع أقسام الشركة لضمان أن الجميع يعرفون أدوارهم ومسؤولياتهم عند حدوث خرق أمني.

·       المرحلة الأولى من إصلاح الخرق: وقف الهجوم

تعتبر معرفة وتحديد وجود خرق أمني تقريبًا الخطوة الأولى على طريق التعافي، وكلما كنت سريعًا في اكتشاف الخروقات عند حدوثها، كان حال شركتك أفضل؛ وذلك لأن أي مهاجم يحتاج إلى بعض الوقت حتى يتمكن من تحطيم الدفاعات الأولى للنظام الذي يهاجمه، والسيطرة عليه قبل أن يسيطر على بقية النظام.

الخطوة الثانية هي احتواء الخرق أي منع المهاجم من النفاذ إلى النظام الذي اخترقه، وذلك بعزل هذا النظام أو إلغاء صلاحيات النفاذ للحساب الذي يستعمله المهاجم.

بعد احتواء التهديد، تأتي الخطوة الثالثة وهي القضاء عليه. وقد تختلف وسائل إنهاء التهديد اعتمادًا على نوع الخرق الذي حدث. على سبيل المثال، قد يتطلب تهديد برامج الفدية إعادة تهيئة جميع وسائط تخزين البيانات المتأثرة بالكامل (أو حتى إزالتها واستبدالها فعليًّا) لإزالة برامج الفدية، ويمكن بعد ذلك استعادة البيانات من جديد من نسخة احتياطية سابقة.

إذا كان بالإمكان تحديد الخرق الأمني واحتواؤه والقضاء عليه قبل خروج المهاجم من النظام الذي اخترقه، فيمكن عندها تقليل الأضرار التي قد يسببها.

يمكن أن تبدأ عملية الاسترداد والتعافي عمليًّا بعد إزالة مصدر الهجوم.

·       المرحلة الثانية من إصلاح الخرق: فحص طريقة الهجوم

إن معرفة كيفية حدوث الهجوم أمر ضروري لمنع المهاجمين من تكرار استراتيجية الهجوم نفسها مرة أخرى. ويجب فحص أي أنظمة متأثرة أخرى بحثًا عن علامات تدل على وجود مزيد من الاختراقات، فلربما ترك المهاجم برامج ضارة أخرى في النظام أثناء النفاذ إليه.

يجب الحفاظ على سجلات نشاط النظام وقت الخرق، وذلك للاستفادة منها في التحاليل القضائية لاحقًا، ويمكن أن تساعد هذه السجلات في تحديد مصدر الهجوم حتى تتمكن من منع المحاولات المستقبلية.

·       المرحلة الثالثة من إصلاح الخرق: تنبيه أولئك الذين ربما تأثروا

أثناء التحقيق في الانتهاك، يجب أن تكون قادرًا على تحديد الأنظمة التي تم اختراقها، وما هي البيانات التي ربما تعرضت لخطر الاختراق، وأن ترسل - في أقرب وقت - إشعارات بذلك إلى جميع الأطراف التي ربما تكون قد تأثرت بالخرق الأمني.

قد تختلف طرق الاتصال الخاصة بالإخطارات، وغالبًا ما يكون من الجيد إرسال إشعارات بطرق متعددة، وذلك لضمان إخطار المتضررين من الخرق. فمثلًا، يمكن إرسال بريد إلكتروني جماعي أو بريد عادي أو مكالمات آلية لتحذير العملاء من احتمال تأثرهم.

في رسالة البريد الإلكتروني/البريد/الهاتف، تأكد من تسجيل تاريخ الانتهاك، وأنواع الملفات التي ربما تم اختراقها، والخطوات التي يجب أن يتخذها مستلم الرسالة لحماية نفسه بناءً على نوع البيانات التي تم اختراقها.

يعد إرسال هذه الأنواع من الإشعارات أمرًا بالغ الأهمية لحماية سمعة الشركة بعد الانتهاك، إذ يدل كونك سريعًا وصادقًا على أنك تأخذ سلامة بيانات عملائك على محمل الجد إضافة إلى جهدك لحمايتهم عند تأثرهم بالخرق الأمني. وهذا بدوره يساعد على تقليل ردود الفعل التي لا مفر منها بعد كل خرق كبير لأمن البيانات.

يجب أيضًا إخطار السلطات في أقرب وقت ممكن حتى تتمكن من إجراء التحقيق في الواقعة.

 

·       المرحلة الرابعة من إصلاح الخرق: استعادة الأصول على الشبكة

يمكن أن تستعاد الأصول التي تمت السيطرة عليها أو اختراقها بعدة طرق، اعتمادًا على كيفية الاستعداد المسبق للخرق الأمني. في بعض الحالات قد يكون من الأفضل مسح أو استبدال محركات أقراص تخزين البيانات المتأثرة، واسترجاع البيانات المفقودة من نسخ احتياطية.

وفي حالات أخرى، قد يكون من الأفضل تنشيط نسخ سحابية سليمة مطابقة لبيئة عمل الشبكة، وذلك لاسترجاع الوضع الطبيعي لبيئة العمل، وأن يبدأ - على التوازي - العمل على التحقيق في الخرق الأمني.

تعتمد كيفية استعادة الأصول على شبكتك في المقام الأول على خطة استمرارية العمل Business Continuity (BC) وخطة التعافي من الكوارث Disaster Recovery (DR) .

إن خطة BC/DR هي الخطة التي يجب إعدادها سلفًا قبل وقت كافٍ، بحيث إذا تم تخريب أحد الأصول، فستكون لديك الوسيلة لإبقاء عملك مستمرًا.

على سبيل المثال، إذا كانت لديك نسخة سحابية مطابقة لبيئة الإنتاج الأساسية بحيث تكون جاهزة للتشغيل بناءً على إشعار آني، فقد ترغب في تنشيطها أثناء إصلاح بيئة الإنتاج الأساسية حيث ستصبح هذه البيئة حكمًا بوضعية عدم اتصال.

عند استعادة الأصول، تأكد أنك صنَّفت الأصول التي تمت إزالتها، وما يفترض أن يكون على شبكتك، وفقًا لأحدث تقرير متوفر. فبهذه الطريقة يمكنك التأكد أنك لم تنس أي شيء وأنه لا توجد مفاجآت إضافية على الشبكة.

·       المرحلة الخامسة من إصلاح الخرق: الاستعداد للهجوم التالي

من المهم الاستعداد للهجوم التالي بعد التعافي من الهجوم السابق وذلك باتباع خطة BC/DR. فإذا تعرضت مرة للهجوم فهناك فرصة جدية لأن تتعرض للهجوم مرة أخرى من المجموعة المهاجمة نفسها أو من آخرين باستراتيجية الهجوم نفسها.

من الفوائد التي تجنيها الشركة من التحقيق في الهجوم معرفة كيفية دخول المهاجم (المهاجمين)؛ فهي تمكِّن من تحديد الثغرات الأمنية للنظام التي استغلها المهاجم في اختراقه، فتقوم الشركة بسدِّ هذه الثغرات، ومن ثَم تمنع حصول انتهاكات في المستقبل.

إن دراسة خطوات تنفيذ خطة BC/DR يمكن أن تساعد على تحسين هذه الخطة استعدادًا لأي هجوم قد يحصل مستقبلًا، ويمكن أن يساعد إجراء هذه التحسينات على تحسين سرعة الاستجابة للهجوم وتقليل وقت التوقف عن العمل والاضطراب الذي يمكن أن يسببه الهجوم.

احْمِ نفسك مع شريك أمن إلكتروني موثوق

العديد من المؤسسات لا تعرف من أين تبدأ بما يخص حماية أنظمتها الأساسية من الخروقات الأمنية أو وضع خطة استجابة للحوادث الأمنية عند حدوثها. لذلك فإن وجود مزود خدمة الأمن السيبراني(MSSP) الخبير إلى جانبك يمكن أن يكون ذا قيمة كبيرة، سواء قبل أو عند حدوث خرق أمني ما.