سوق تقنية المعلومات يثري استخدامتنا يوماً بعد يوم بالجديد سواءً على مستوى الأفراد أو المنظمات. إذا توقعت -عزيزي القارئ- بأن استخدام هذه التقنيات لا تأتي بمساوئها ومخاطرها فعليك توسيع نظرتك لترى الصورة بشكلها الواسع والصحيح.

الحوادث الأمنية قد تقع في أي وقت حتى مع وجود الإجراءات الإحترازية والعقوبات، وحوادث أمن المعلومات ليست مختلفة عن ذلك. هذه المقالة ليست عن مايسبق حادثة أمن المعلومات من استخدام أدوات وتطبيقات الحماية لكن مايجب أن يحدث عند اكتشافها وبعد وقوعها.

الإستجابة للحوادث (أو معالجة الحوادث) [Incidents Response\Handling] هو مصطلح يستخدم في مجال أمن المعلومات لوصف مجموعة الإجراءات والممارسات (المنهجية) التي يجب تطبيقها في حال اكتشاف وجود خرق أمني في شبكات أو نظم المعلومات. تهدف هذه الإجراءات إلى معرفة ماهية المشكلة، تحديد مجال التأثير والتأثر، تقليل الأضرار وتحجيمها، تقليل الزمن والتكلفة اللازمة لإعادة الوضع الطبيعي، حل المشكلة، وأخيراً توثيق النتائج للرجوع إليها لدراسة وتقييم السياسات والخطط الأمنية.

عند وقوع أي حادثة قد تضر عمل المنظمة يجب تحديد ما إذا كانت هذه الحادثة تمثل حادثة أمنية (في أمن المعلومات) ليتم البدء بتحديد وتنفيذ خطة الإستجابة المناسبة لنوع الحادثة. هذه الخطط يتم صياغتها بناءً على سياسات ولوائح تنظيمية معتمدة من الإدارات العليا بحيث تكون إجراءات الخطة وممارساتها عبارة عن منهجية مدروسة تم اختبارها وتقييم مدى مناسبتها لبيئة العمل. تمثل هذه الخطط المعتمدة حجر الأساس الذي يجب وضعه وإعلام وتدريب الفريق المختص به قبل وقوع الحادثة.

توجد منهجيات ونماذج عديدة لإدارة حوادث أمن المعلومات ترتكز معظمها على ثلاث مكونات أساسية: تحديد وتوفير الإمكانيات والقدرات، الإستجابة والمعالجة، ومشاركة المعلومات. من أبرز هذه النماذج هو نموذج المعهد الأمريكي للمعايير والتقنية (NIST) والذي قام بإصدار النسخة الثانية من النموذج الإرشادي لمعالجة حوادث أمن المعلومات (NIST 800-61) في مطلع شهر أغسطس من هذا العام، 2012م.

NIST Incident Handeling Cycle

قام المعهد بتحديد أربع مراحل لمعالجة الحادثة عند ظهورها: الإعداد، الإكتشاف والتحليل، الإحتواء والتطهير والتعافي، وأخيراً ممارسات مابعد الحادثة. خلال المرحلة الثالثة قد يضطر الفريق المختص بمعالجة الحادثة إلى الرجوع للمرحلة الثانية وإعادة إجراء عملياتها للبحث عن مدخلات جديدة. على سبيل المثال، في حالة معالجة حادثة إصابة الشبكة ببرنامج خبيث (مثلاً فايروس) يمكن بعد الإنتهاء من عملية التطهير الرجوع إلى مرحلة التحليل لتحديد ما إذا كانت هناك أجهزة أخرى على الشبكة قد أصيبت بالفايروس ولم يتم اكتشافها في الدورة الأولى. كذلك بعد إنتهاء المرحلة الرابعة على الفريق تقييم الإعدادات المعتمدة (المرحلة الأولى) لتحديد فعاليتها وتحديثها وتحسينها. الرسم التالي يوضح المراحل الأربع.

المرحلة الأولى: الإعداد [Preperation] :

وتشمل عمليتين:

(1)   الإعداد لمعالجة الحوادث: قدم المعهد قائمة أولية من الأدوات والموارد الأساسية التي يجب توفيرها قبل البدء بمعالجة أي حادثة.

قائمة بأدوات الإتصال والمرافق:

– قائمة معلومات الاتصال بفريق معالجة الحوادث وغيرهم ممن يجب الإتصال بهم خلال معالجة الحادثة مثل أرقام البلاغات للجهات المعنية (الشرطة، المركز الوطنية لحوادث الحاسب [CIRT] وغيرهم.

– آليات الإبلاغ عن الحوادث سواءً عبر الهاتف، البريد الالكتروني، صفحة الكترونية أو غيرها على أن تسمح إحدى هذه الطرق من إمكانية التبليغ عن الحادثة بشكل مجهول (أي عدم إجبار المُبلغ عن الحادثة يصرح بهويته).

– نظام لتتبع الحادثة وحالتها.

– وسائل اتصال دائمة

– برامج تشفير لضمان سرية تناقل البيانات والاتصالات بين أعضاء الفريق أو مع الأطراف الخارجية.

– غرفة مخصصة لإجتماع الفريق للتواصل والتنسيق فيما بينهم.

– مرافق آمنة وأدوات للتخزين لحفظ الأدلة الجنائية وغيرها من المواد السرية والحساسة.

برامج وأدوات تحليل الحوادث:

– أجهزة حاسب مخصصة للتحليل الجنائي (workstations) مع البرامج اللازمة. بالإضافة إلى توفير أجهزة مخصصة لتخزين السجلات و الإستحواذ على الأدلة الرقمية لتحليلها.

– خوادم إضافية وأجهزة لابتوب وأدوات شبكة وطابعة متحركة

– برامج لإلتقاط حركة الشبكة وتحليل البروتوكولات

موارد لتحليل الحادثة

– قائمة بالمنافذ (Ports) الشائع استخدامها في شبكات المنظمة وتلك التي تستخدمها البرامج الخبيثة

– نسخ من وثائق مرجعية لنظم التشغيل، التطبيقات، البروتوكولات وأجهزة الحماية.

– رسمة توضيحية لشبكة المنظمة وقائمة بالأصول المعلوماتية ذات القيمة

– الإعدادات الرئيسية المعتمدة للأنظمة والشبكات والتطبيقات المستخدمة في المنظمة.

– قائمة بقيم الإختزال (Hash Values) للملفات المهمة لتسريع عملية التحليل والتطهير.

برامج لتخفيف آضرار الحادثة: توفير نسخ نظيفة وجاهزة من نظم التشغيل والتطبيقات لتنصيبها في عملية الإستعادة والتعافي.

(2)   منع الحوداث: مع أن منع الحوادث ليست من مهام فريق معالجة الحوادث بشكل أساسي إلا أن معرفتهم بممارسات وأدوات تحكم أمن المعلومات ستساعد بالتأكيد في تقليل إمكانية ظهور حوادث أمنية، مثل معرفتهم بإجراءات تقييم المخاطر الأمنية، تأمين النظم والشبكات، مكافحة البرامج الخبيثة، التدريب والتوعية.

المرحلة الثانية: الإكتشاف والتحليل [Detection and Analysis] :

من الصعب جداً بناء خطط لتحليل جميع أنواع الحوادث الأمنية ولاتوجد نماذج يمكن أن تناسب جميع الحالات، لكن معرفة عوامل الإختراق المحتملة (وسائط قابلة للإزالة، مواقع الانترنت، البريد الالكتروني، الاستخدام السيء، سرقة الأجهزة وغيرها)، وعلامات الحوادث الأمنية (سواءً كانت منبهات لحوادث مستقبلية أو مؤشرات لحوادث وقعت أو تقع حالياً)، ومواقع إيجاد هذه العلامات (سجلات [Logs]، تنبيهات برامج الحماية، معلومات عامة عن التهديدات الأمنية، وغيرها) تساعد في إنجاز مرحلة الإكتشاف والتحليل بشكل فعَّال.

عملية تحديد وتقييم الحادثة الأمنية تعتبر عملية صعبة جداً. هذه الصعوبة تكمن في ثلاث عوامل:

– إمكانية اكتشاف الحادثة عبر عدد كبير من الوسائل أو المصادر (بشكل مؤتمت أو بعوامل بشرية).

– كمية العلامات (منبهات أو مؤشرات) الممكنة للدلالة على الحادثة الأمنية.

– المعرفة والخبرة التقنية العالية التي يتطلبها التحليل الفعَّال لبيانات الحادثة الأمنية (مثل تحليل البرامج الخبيثة ومعرفة كيفية عملها).

من أجل ذلك، من الصعب جداً التعامل مع كل علامة تظهر لحادثة ما على أنها أمنية حتى يتم التأكد والتحقق منها. أمثلة على ذلك، عند استلام فريق الإستجابة لبلاغ من أحد الموظفين بأن أحد الشبكات معطلة ولايمكن الوصول إلى الإنترنت أو ملفات المشاركة، لايمكن التعامل مباشرة مع هذا البلاغ على أنه حادثة أمنية فقد تكون بسبب مشاكل فنية في الشبكة أو أحد مكوناتها أو عند مزود الخدمة أو غيرها من الأسباب الغير مرتبطة بأمن المعلومات. كذلك، لا يمكن التعامل مع جميع تنبيهات نظام اكتشاف (/أو منع) الإختراق على أنها تهديدات أمنية إلا أن يتم التأكد منها وقد تكون هذه التهديدات بالآلاف أو بالملايين (على حسب حجم الشبكة) في اليوم الواحد. أيضاً ظهور عطب أو تغييرات مفاجئة في ملفات النظام لا تعني بالتأكيد إصابة النظام بفايروس فقد تكون بسبب عطل في النظام أو أخطاء بشرية غير مقصودة. لك أن تتخيل عدد التنبيهات والمؤشرات الخاطئة false-positives)) التي تظهر لفريق أمن المعلومات بشكل عام يومياً.

في حال تأكد الفريق من وقوع حادثة أمنية عليه مباشرة القيام بتحليل مبدئي لتحديد مجال الحادثة (أيٍ من الشبكات والأجهزة والتطبيقات المتضررة وعددها)، ماهي العوامل المساعدة في الإصابة، كيفية عمل الحادثة (مثل البرامج المستخدمة في الاختراق، نوعية الثغرات التي تم استغلالها). التحليل المبدئي هذا سيساعد الفريق في تحديد ماهية الإجراءات التالية لإحتواء وتطهير الحادثة. هذه بعض الإجراءات المسبقة والتي يمكن الأخذ بها لتسريع عملية  التحليل المبدئي:

– إنشاء ملفات تعريفية (Profiling) للأنظمة والشبكات

– معرفة وفهم السلوك الطبيعي للأنظمة والشبكات والتطبيقات ليكون من السهل تحديد السلوك الغير طبيعي.

– وضع سياسة للحفاظ على السجلات (Logs) لفترة محددة، حيث أن بعض الحوادث الأمنية لا تُكتشف إلا بعد أيام أو أسابيع أو شهور.

– ربط السجلات من مصادر مختلفة وتحليل العلاقات بينها (Events Correlation).

– الحفاظ على التزامن الدقيق بين ساعات الأنظمة المختلفة في الشبكة ليتم الإعتماد عليها في التحليل.

– إنشاء قاعدة معرفة (Knowledge Base) لحفظ المعلومات التي تلزم في حال تحليل حادثة أمنية مثل الحالات السابقة والمراجع التقنية وغيرها من المعلومات المساعدة.

– استخدام برامج لإلتقاط حركة البيانات في الشبكة (sniffer) للحصول على بيانات أو أدلة مساعدة.

– معرفة أساليب تصنيف البيانات والأدلة المناسبة والفعّالة لتسريع عملية التحليل المبدئي.

– معرفة الجهات والخبراء من خارج المنظمة وكيفية التواصل مع في حال عدم قدرة المنظمة على تحديد طبيعة الحادثة أو كيفية معالجتها.

خلال مرحلة الإكتشاف والتحليل على الفريق التأكد من توثيق جميع المعلومات والنتائج والأدلة التي تم الوصول إليها أول بأول والحرص على مشاركة هذه المعلومات مع بقية الفريق ومع الموظفين الآخرين الذين سيلعبوا دور في المراحل القادمة. يمكن أن يتم ذلك عبر تخصيص نظام لمتابعة الحوادث الأمنية.

بعد التوثيق تأتي أهم مهمة في هذه المرحلة والتي سيتم بناء بقية القرارات التالية عليها، وهي عملية ترتيب أولوية الإستجابة للحادثة. ويمكن تحديد الأولوية بناء على تصنيف التأثير كما يلي:

– تصنيف تأثير الحادثة على وظيفة العمل سواءً الحالية أو المستقبلية في حالة عدم إمكانية معالجتها فوراً (مثل: لايوجد، منخفض، متوسط، أو عالي).

– تصنيف تأثير الحادثة على معلومات المنظمة في خصائصها الأمنية (سريتها، سلامتها، توفرها) (مثل: لايوجد، اختراق في الخصوصية، اختراق ملكية خاصة (فكرية أو معلوماتية)، اختراق سلامة المعلومات

– تصنيف إمكانية التعافي من الحادثة بناءً على حجم الضرر والموارد اللازم توفرها (مثل: اعتيادي، تحتاج موارد إضافية، موسعة؛ زمن غير متوقع مع مصادر إضافية، غير قابلة للتعافي؛ مثل سرقة معلومات ونشرها للعموم).

العملية الأخيرة في هذه المرحلة هي الإشعار بالحادثة. بعد التحليل المبدئي وإسناد أولوية للحادثة على الفريق اتباع السياسة المعتمدة للإشعار بالحادثة والتي قد تتضمن الإدارات العليا، مدير أمن المعلومات، مدراء النظم والشبكات المتضررة واشعارهم بأهمية أدوارهم في المرحلة القادمة، الجهات الخارجية المعتمدة، قسم الموارد البشرية في حال ضلوع أحد الموظفين في الحادثة، قسم العلاقات العامة في حال وجوب الإعلان عن الحادثة لجهات خارجية.

المرحلة الثالثة: الإحتواء، التطهير والتعافي[Containment, Eradication and Recovery] :

وتشمل أربع عمليات:

(1) إختيار استراتيجية مناسبة لإحتواء أضرار الحادثة: معظم أنواع الحوادث الأمنية تتطلب عملية إحتواء، لذا من اللازم تحديد استراتيجيات الإحتواء الممكنة لعوامل الاختراق الشائعة مسبقاً قبل وقوع الحادثة. تطبيق استراتيجية الإحتواء المناسبة –عند وقوع الحادثة- سيساعد في توفير الوقت اللازم لتطوير استراتيجية معالجة كاملة ومخصصة لهذه الحالة بالتحديد. إتخاذ القرار بشأن أي الاستراتيجيات هي الأفضل هو قرار مهم وعلى فريق الاستجابة معرفة تبعات هذا القرار، (مثل: إطفاء النظام، فصل الأنظمة المصابة عن الشبكة، تعطيل وظائف معينة في النظام). هذه بعض المقاييس التي تساعد في اختيار الاستراتيجية المناسبة:

– مقدار الضرر الممكن على الموارد واحتمالية سرقة أي من الأصول المعلوماتية

– هل يجب الإستحواذ على الأدلة بطرق محددة لتقديمها للقضاة بطرق مقبولة؟

– الحاجة لإستمرارية الخدمات التي تعمل على الموارد المصابة

– الوقت والموارد اللازمة لتطبيق الاستراتيجية

– فعَّالية الاستراتيجية في إحتواء الحادثة (جزئي أم كلي)

– فترة بقاء عملية الإحتواء قيد التنفيذ حتى يتم التطهير والتعافي بشكل كامل

من النقاط المهمة التي على فريق الإستجابة أخذها في الاعتبار خلال عملية التحليل المبدئي هي احتمالية زيادة الضرر في حالة إحتواء الحادثة. فمثلاً بعض الفايروسات قد تقوم بفحص الأجهزة المجاورة للجهاز المصاب (مثل عبر استخدام أمر ping) فإذا تم عزلها ولم تتمكن من الوصول إلى الشبكة فقد تقوم بتشفير أو تخريب أقراص التخزين.

(2) تجميع الأدلة ومعالجتها بناءً على الإجراءات المعتمدة في المنظمة و/أو الإجراءات المفروضة من الدولة (الشركة، المحاكم، ., ).

(3) تحديد جهة الإختراق، مع أن هذه المعلومات قد تمثل أهمية لدى فريق الإستجابة إلا أن عليهم التركيز على الهدف الأساسي وهو تقليل تأثير الحادثة على عمل المنظمة.

(4) التطهير والتعافي: بعد إحتواء الحادثة تأتي عملية التطهير  لإستئصال المكونات المصابة والضارة الناتجة عن الحادثة مثل: حذف البرامج الخبيثة، تعطيل حسابات المستخدمين التي تم استخدامها في عملية الاختراق، تحديد ومعالجة الثغرات الأمنية التي تم استغلالها خلال الحادثة. تحديد جميع الأجهزة المتضررة من الحادثة وتطهيرها قد تكون مهمة صعبة في بعض الحوادث كبيرة الحجم.

في خطوة التعافي من الحادثة يقوم مدراء النظم والشبكات بإسترجاع الأجهزة إلى وضعها التشغيلي الطبيعي مع حل الإشكاليات والثغرات الأمنية. تشمل هذه العملية عادةً: إستعادة النظام من النسخ الإحتياطية النظيفة، إعادة بناء الأنظمة من جديد، استبدال الملفات المصابة أو المعطوبة بأخرى نظيفة، تنصيب التحديثات، تغيير كلمات المرور، إعادة ترتيب وضبط أدوات الحماية (مثل الجدار الناري، قائمة التحكم بالوصول في الموجهات، إضافة قواعد جديدة في أنظمة اكتشاف (/منع) الاختراق، وغيرها)، رفع مستوى تسجيل السجلات (logs) في الأنظمة ومستوى المراقبة في أجهزة الشبكة.

التطهير والتعافي يجب أن تتم بشكل متتالي ليتمكن الفريق من تحديد أولوية خطوات التعافي النهائية. في الحوادث الكبيرة قد تتطلب عملية التعافي التامة عدة أشهر بحيث يتم في مراحلها الأولى زيادة مستوى الآمان مع خطوات سريعة وفعالة لتقليل نسبة الإصابة مرة أخرى. وفي الخطوات الأخيرة يجب أن تركز على التغييرات الجذرية (مثل التغييرات في البنية التحتية) لضمان بقاء المنظمة في مستوى آمن بقدر المستطاع.

تجدر الإشارة هنا إلى نقطة مهمة جداً وهي أن عملية التطهير في الحوادث الكبيرة وخاصة التي تشمل برامج خبيثة تشابه بشكل كبير عملية إستئصال الأورام السرطانية من جسم المريض (نسأل الله الشفاء لمرضى المسلمين والمسلمات). بعد الإستئصال يقوم المريض بإجراء مراجعات دورية لمراقبة الجزء المصاب من الجسم. (من واقع تجربة) يصعب جداً على طبيب الأورام ضمان إزالة الورم السرطاني بشكل تام 100%. وجه الشبه أن فريق الإستجابة كذلك لايمكن له ضمان تطهير أجهزة الشبكة بشكل كامل من أول دورة. هناك احتمال كبير أن تعود البرامج الخبيثة للعمل لكن من المفترض أن يكون فريق الاستجابة على إستعداد لهذه الحالة واكتشافها حال عودتها وإحتوائها بشكل سريع.

المرحلة الرابعة: مابعد الحادثة [Post-Incident Activity] :

عملية توثيق الدروس المستفادة من الحادثة تعتبر من العمليات التي يتم تجاهلها كثيراً والتي يمكن أن تلعب دور أساسي في مواجهة الحوادث المستقبلية من نفس النوع. بالإضافة إلى إعتبارها مادة دسمة ومفيدة لإعادة تقييم السياسات والإجراءات الخاصة بأمن المعلومات عموماً وإدارة الحوادث الأمنية خصوصاً.

من أبرز أشكال توثيق الدروس المستفادة هي بإقامة اجتماع يضم أعضاء فريق الإستجابة مع الموظفين أصحاب العلاقة في مثل هذه الحوادث بالإضافة إلى ممثلين من الأقسام القانونية والعلاقات العامة. أيضاً ممثلين للجهات الخارجية ذات العلاقة؛ لتسهيل وتحسين تنسيق الإتصالات ومشاركة البيانات في حال ظهور حوادث أخرى في المستقبل.

عملية الإستخدام الأمثل لبيانات الحادثة في إجراء تقييم المخاطر وإدارتها في المنظمة وتحديد كفاءة الفريق ودراسة كيفية تقليل التكاليف وتحسين جودة الاستجابة.

عملية حفظ الأدلة الجنائية الرقمية تعتمد على ثلاث معايير أساسية وهي: الحاجة إلى عرضها للقضاء أو بحسب القوانين المفروضة على المنظمة، سياسة الحفاظ على البيانات المتبعة في المنظمة، وأخيراً تكلفة الحفاظ على الأدلة.

نماذج أخرى تخصص مرحلة لعملية التحقيق الجنائي في الحادثة وهي ماتساعد المنظمة في التعمق في تحليل عوامل الاختراق وأسلوب عملها بهدف تجميع أكبر قدر من البيانات والأدلة الجنائية. وتشمل ارشادات وإجراءات الاستحواذ على الأدلة بشكل صحيح ومقبول، وكيفية الحفاظ على سلامتها والتحقق من صحة استخراجها إلى تقديمها إلى الجهات المعنية.

إحدى الإشكاليات التي قد تواجهها المنظمات السعودية في حالة الاستجابة لحادثة في أمن المعلومات هي عدم وجود نظام أو إجراءات رسمية واضحة للتعامل مع الحوادث من هذا النوع وكيفية تقديم أدلة رقمية تكون مقبولة لدى المحاكم القضائية.

حتى عندما ننظر لهذه الإشكالية من منظور الجريمة المنظمة التي قد تتضمن مشاركة دولية في التحقيق والإدانة فكثير من المنظمات -حول العالم- تعاني من مشكلة تنسيق وتناسق الإجراءات المتبعة للتحقيق ومعالجة الحادثة داخل المنظمة مع المتطلبات الدولية. فالدليل الجنائي المقبول في محكمة دولة (س) قد لا تقبل كدليل في محكمة دولة (ص) وقد تكون حجة عدم قبولها هي الأسلوب أو الإجراء المتبع للإستحواذ على الدليل.

استخدام التقنيات المستحدثة في المنظمات (الهواتف الذكية، الشبكات الإجتماعية، الحوسبة السحابية، وغيرها) تعتبر تحدي لفريق الإستجابة للحوادث ليس على مستوى دولة معينة إنما على مستوى العالم. حتى الآن وبالرغم من وجود بعض النماذج الموصى بها لإدارة الحوادث الأمنية التي تستخدم هذه التقنيات الحديثة إلا أننا لم نسمع -إلى الآن- أي حوادث أمنية جاذبة للانتباه لتكون حالة دراسية يمكن من خلالها تقييم وتطوير نماذج الاستجابة للحوادث. مع توقعات واضحة لظهور هذه النوعية من الحوادث في السوق في المستقبل.

إحدى التحديات التي يعاني منها فريق الاستجابة للحوادث هي كيفية اكتشاف ومعالجة الحوادث التي تستخدم ثغرات أمنية غير معروفة (أو ماتسمى بـ 0day attacks)، مثل هجمات Aurora التي أصابت شركة جوجل في عام 2010م وفايروسي ستاكسنت وفلايم (اللهب). معظم أدوات الحماية المستخدمة حالياً (مكافحات البرامج الخبيثة، نظم اكتشاف (/منع) الاختراقات) تعتمد في عملها على اكتشاف تواقيع الهجمات التي تم اكتشافها مسبقاً (signature-based) من قِبل شركات الحماية. هذه الطريقة لاتتمكن من اكتشاف أساليب الهجمات الجديدة والغير معروفة. بالرغم من وجود بعض المنتجات التي تدعي إمكانية اكتشاف هذه النوعية من الهجمات إلا أن قرار شرائها واعتمادها دائماً ماتجوبها كثير من التساؤلات والشكوك. لأنه نظرياً لاتوجد تقنية تم اختبارها لضمان اكتشافها للهجمات الغير معروفة. بالإضافة إلى غلاء أسعارها، وفي حالة فشل هذا المنتج في اكتشاف الهجوم ستمثل نقطة سقوط واحدة لبقية نظام الحماية!!. (يمكن من خلال أنظمة اكتشاف (/منع) الاختراقات التعرف على الأنشطة المشبوهة في الشبكة بفاعلية حتى وإن كانت تستخدم ثغرات غير معروفة إذا تم مراقبة السجلات بعين خبيرة، وهي عملية ليست سهلة نوعاً ما).

تعليقات على حادثة أرامكو:

أعلنت الشركة في موقعها الرسمي تعرضها لمشاكل تقنية في الشبكة بسبب الإصابة بفايروس في يوم الأربعاء 15-أغسطس وهو يوم العمل الأخير الذي يسبق عيد الفطر. بعد 11 يوم (26-أغسطس) أعلنت الشركة أنها قامت بتطهير الشبكة من الفايروس (والذي صنف بإسم Shamoon) وقد أصاب مايقارب 30,000 جهاز حاسب. ملاحظات في هذه النقطة:

– يجب الإشادة بموقف موظفي الإستجابة في شركة أرامكو لتعاملهم مع الموقف خلال فترة الإجازة وهذا يدل على أن الفريق قام بعملية التواصل بشكل فعال.

– تعتبر فترة (10 أيام) فترة وجيزة ومميزة لتطهير مايقارب 30.000 جهاز حاسب مصاب ممايصنف هذه الحادثة بحادثة كبيرة الحجم (أتمنى أن لاتكون هذه المعلومة هي نتاج تفكير إعلامي!!!). وهذا يؤكد على معرفة موظفي شركة أرامكو للتعامل مع هذه النوعية من الحوادث واتباعهم لمنهجية واضحة ومحددة. وهو ما أكده الرئيس التنفيذي في تعليقه في خبر الموقع بأن هذه ليست المرة الأولى التي تتعرض لها الشركة لهجوم مماثل ولن تكون الأخيرة.

– تميزت الشركة في استخدامها للشبكات الإجتماعية للإعلان عن الخبر لوقف تداول الشائعات وتحجيمها. ونتمنى المزيد من مشاركة المعلومات. بعض المنظمات تتخبط في موضوع التحدث إلى العموم في مثل هذه الحوادث، فقد ترى متحدث يؤكد وآخر ينفي وآخر يحلل دون تأكد ومن ثم ينفي.

– هل توجد بيانات سرية لموظفين تم سرقتها خلال الحادثة؟ هل قامت أرامكو بإبلاغ الموظفين المتضررين؟ سؤالين لا أعرف إجابتهما!! لأن أرامكو لم تصرح بشيء من هذا القبيل في إعلاناتها. مع العلم بأنها غير مجبرة على القيام بذلك في ظل عدم وجود نظام أو سياسات وطنية تطلب منها ذلك.

– عزل الشبكات عن الانترنت في هذه النوعية من الحوادث الأمنية إجراء مؤكد ولا مفر منه وهو من أفضل الممارسات لمعالجتها.

– المفروض أو المتوقع أن تكون أرامكو الآن في مرحلة التحقيق الجنائي إذا أرتأت الإكمال في عملية الإستجابة للحادثة.

– خلال السنوات الماضية تطورت منهجيات الإختراق وخاصةً تطوير البرامج الخبيثة. في السابق كان الفايروس الواحد يستخدم لإصابة مجموعة متنوعة من الأعمال. أما الآن نشهد حالات يتم فيها تطوير الفايروس بصفة موجهة لهدف معين ولنوعية معينة من المنظمات (صناعية، بنوك، تجارية، وغيرها). يمكن القول بأن أول منظمة تصاب بنوعية جديدة من الفايروسات “حظها سيء” لأنها ستتعامل مع الفايروس دون وجود مصادر كافية لتحليله ومعرفة أسلوب عمله.

– لا يمكنني التعليق على ماقبل الحادثة من استخدام الشركة للأدوات أمنية أو أساليبها التشغيلية في أمن المعلومات. لأني لا أملك أي معلومات مؤكدة عنها. بالنسبة لي، أرآء “المصادر الخاصة” تعتبر شخصية قد تفتقر إلى النظرة الشاملة للمنظمة. لكن … علامة استفهام توضع مقابل عدد الأجهزة المصابة (30,000)!!! أين فريق مركز عمليات أمن المعلومات (SOC)؟ لو كان الفايروس أصاب شبكة الإنترنت لكان الرقم هذا منطقي، لكن أن يصيب الفايروس هذا العدد من الأجهزة في شبكة محدودة دون اكتشافها إلا بعد إستلام بلاغات !!؟؟. حتى وإن كانت الشبكة كبيرة !!.

شركة أرامكو تمتلك مجموعة السياسات والإرشادات الخاصة بإدارة الحوادث الأمنية وتم اعتماد نسخة حديثة من الدليل الإرشادي لحماية البيانات في مطلع هذا الشهر وهو مايتضمن هذه السياسات والإجراءات.

على جميع المختصين وغير المختصين في أمن المعلومات معرفة أن الجريمة المعلوماتية بأنواعها (إختراقات، فايروسات، سرقات، تجارة الكترونية ممنوعة، وغيرها) تشابه الجرائم الجنائية الأخرى في احتمالية وقوعها حتى في حالة إتخاذ جميع الإجراءات الإحترازية. فهذه الإجراءات ومع وضع العقوبات وتنفيذها كلها تساعد في مكافحة الجريمة (تقليل احتمالية وقوعها وتقليل تأثيرها الخطر للمستوى الأفضل الممكن الوصول إليه) وليست منعها بتاتاً. (رابط لنظام مكافحة الجرائم المعلوماتية السعودي).

بعيداً عن الإحترافية في الطرح، أرجو من القراء وشركتنا الغالية (أرامكو) مسامحتي على كتابة التالي:

أنا سعيد -نوعاً ما- بأن أحد موظفي أرامكو قام بنشر والتحدث عن الحادثة قبل تأكيدها. لأن هذه الحادثة تمثل معلومة ودافع قوي للمتخصصين السعوديين في أمن المعلومات للبحث عن الجديد وتعلم مهارات جديدة ومعرفة أن مايملكونه من معرفة ومهارة لها قيمتها في السوق. بالإضافة إلى ماتمثله الحادثة من حالة دراسية يمكن للأفراد والمنظمات الأخرى الإستفادة منها في مواجهة تحديات ومستجدات أمن المعلومات. ولاننسى أن هذه الحادثة تمثل نشرة توعوية للمجتمع بمخاطر أمن المعلومات. شخصياً، أعلم بأن بعض الجهات الحكومية والخاصة تم اختارقها وسرقة بيانات حساسة لكن تميل هذه الجهات إلى التكتم عن الموضوع وخاصة أنه لا يوجد مايلزمهم بالتحدث عن الحادثة. مع أن مشاركة هذه الحالات ونتائجها الإيجابية والسلبية ستثري خبرة المتخصصين السعوديين في أمن المعلومات وستساعد الجهات الأخرى على مواجهة مخاطر أمن المعلومات المحتملة وكيفية التعامل معها في حال حدوثها. ولا ننسى أن توثيق ونشر هذه الإخبار تمثل بيانات إحصائية هامة جداً ستساعد متخذي القرار في الدولة على مكافحة هذه النوعية من الجرائم.

كما سبق ذكره، تحديد ما إذا كان وقوع شبكة ما داخل المنظمة هو ناتج لعملية اختراق (حادثة أمنية) ليس سهل وتتطلب تحليل علامات ومؤشرات كثيرة حتى يتم التأكد!!.

يصعب تحليل البنية التحتية التقنية لشركة أرامكو بشكل دقيق خلال ساعات أو أيام.

قد تتبع بعض المنظمات عند اكتشافها لمحاولة اختراق شبكتها تحويل هذه الهجمات إلى منطقة معزولة (sandbox) لمحاولة الإبقاء على الهجوم وتحليله بشكل حي ومباشر وإمكانية تحديد المخترقين بشكل سريع جداً (من الممكن خلال هذه العملية محاولة اختراق المخترق لمعرفة مايمتلكه من بيانات واستخرج أدلة إضافية، لكن هذا يعتمد على السياسة المتبعة في المنظمة والدول التي تتبع قوانينها). يتضح هنا مشكلة تسريب البيانات من الموظفين بصورة غير رسمية وقبل اعتمادها. كذلك في حالة أخرى، إذا علم المخترق بأن الشركة اكتشفت محاولاته قد يقوم بإجراء عمليات تخريبية انتحارية مثل مسح البيانات بشكل عشوائي أو تشفيرها.

المتابع لأخبار أمن المعلومات يعلم بأنه لايمكن التأكد من خبر الإختراق إلا في حالتين (مثل ماحدث في شركة سوني، ماستر كارد، لينكد إن، وغيرها):

– تصريح المنظمة المخترقة (أو جهة معتمدة) بذلك بشكل رسمي. و/أو

– نشر المخترق لبيانات سرية تؤكد نجاحه في الاختراق.

لايمكن الإعتماد على “مصادر خاصة” في نقل هذه الأخبار.

بالرغم من سعادتي الحزينة، سأكون أسعد بكثير إذا قامت أرامكو باكتشاف الموظف المسؤول عن التسريب والتحقيق معه وإتخاذ اللازم من إجراءات متفق عليها بين الطرفين. هذا ماتفرضه علينا الإحترافية في أداء العمل وهو مايجب أن نسعى إليه. وهمسة عتب على إذن بعض من يتبع الشركة وذلك بسبب كتاباتهم في الشبكات الإجتماعية عن تفاصيل ماحدث معهم خلال فترة الحادثة (“ملفاتي أتمسحت بسبب الفايروس”، “ما أقدر أدخل لملفات المشاركة”، “شغلي خلال الأيام الماضية أتمسح”، ….).

بعض الشركات الصناعية في السعودية قامت بعزل بعض الأنظمة عن شبكة الإنترنت بعد حادثة أرامكو مع عدم وجود أي مؤشرات على اختراقها أو تعرضها لفايروس (Shamoon). قابل هذا الفعل نقد من بعض المتابعين في الشبكات الإجتماعية. بالنسبة لي أرى أن حادثة أرامكو هذه خاصة تمثل حالة جديدة وفريدة بالنسبة للجهات الحكومية والخاصة في المملكة وهذا يتطلب رد فعل (/معالجة) غير اعتيادية (مثل العزل) حتى تتأكد من خلو أنظمتها من أي تهديدات أمنية. الأمر يعود إلى إدارة وتقييم المخاطر. لا يمكن لأي متخصص في أمن المعلومات تقييم مدى الخطر من خارج المنظمة دون معرفة التفاصيل ودون توفر بيانات تدعم تقييمه.

ما أصاب شركة أرامكو بالتأكيد سيزيد من قوتها في مواجهة تهديدات أمن المعلومات ومعالجتها في حال تكرارها مرة أخرى –لاقدر الله-.

دمتم في رعاية الله وحفظه.

للإستزادة في الموضوع:

تدوينة: إختراق أرامكو .. ماذا حدث وماذا يحدث؟

مقالة: تجربة فريدة لشركة “لوك هييد” الأمريكية في إدارة حوادث أمن المعلومات. (وهي مثال حي للإستجابة للحوادث).

مدونة شركة GuidanceSoftware للإستجابة لتهديدات أمن المعلومات

مدونة الإستجابة للحوادث وفرق أمن المعلومات

نموذج مايكروسوفت للاستجابة لحوادث أمن تقنية المعلومات

الكاتب: فهد سعيد