كيفية استعادة الأنظمة في حالة حدوث هجوم إلكتروني
مع الدور المحوري الذي تلعبه التكنولوجيا في مشهد الأعمال الحديث، لا تستطيع المؤسسات تحمل تكاليف البقاء غير متصل بالإنترنت لفترات طويلة من الوقت بعد التجربة هجوم سيبراني مدمر.
بالنسبة للشركات التي تقدم منتجات وخدمات رقمية، سيشعر المستخدمون بالإحباط سريعًا ومن المحتمل أن يتدفقوا على المنافسين كلما طالت فترة عدم اتصال منتج أو خدمة عبر الإنترنت.
وبالنظر إلى أن العديد من الموظفين يستخدمون الأجهزة والبرامج المستندة إلى الإنترنت لإكمال عملهم في الوقت الحاضر، فإن العمليات الداخلية للشركة بالكامل يمكن أن تتوقف إذا كانت ضحية لهجوم إلكتروني.
وتشمل الأمثلة الحديثة مجلس هاكني في لندن و المكتبة البريطانية، وكلاهما شهد فترات طويلة من عدم اتصال الأنظمة نتيجة لتعرضها لبرامج الفدية.
من الواضح أنه يجب على الشركات بذل كل ما في وسعها لاحتواء الهجمات السيبرانية ومعالجتها وإعادة تشغيل أنظمة تكنولوجيا المعلومات المعطلة في أسرع وقت ممكن. لسوء الحظ، هذه عملية معقدة – حيث غالبًا ما تتشتت الشركات بين استعادة الأنظمة من نسخة احتياطية نظيفة أو إعادة بنائها بالكامل.
قد تؤدي استعادة الأنظمة المخترقة بعد الهجوم أيضًا إلى ظهور تهديدات إلكترونية جديدة ومشاكل في تكنولوجيا المعلومات للشركات. لكن خبراء الأمن يتفقون على أن اتباع أفضل الممارسات البسيطة يمكن أن يكون بمثابة مساعدة كبيرة.
التعافي من الهجمات السيبرانية ليس بالأمر السهل
إن إعادة أنظمة تكنولوجيا المعلومات الخاصة بالمؤسسة إلى الإنترنت بعد هجوم سيبراني لا يختلف عن التعافي من الإعصار، وفقًا لعظيم عليم، المدير الإداري في المملكة المتحدة وشمال أوروبا في شركة الأمن السيبراني. سيجنيا.
“لقد أجرى فريق تكنولوجيا المعلومات والمديرين التنفيذيين للتو ماراثونًا عقليًا ويحتاجون الآن إلى التفكير في كيفية إعادة تشغيل الأعمال مرة أخرى. يجب أن تكون الإدارة على دراية بهذا لتجنبه متلازمة شلل التحليل،” هو يقول.
يقول عليم إن مفتاح استعادة الأنظمة والبيانات بعد الهجوم السيبراني، فضلاً عن تجنب أي ارتباك أو غموض في العملية، هو توصيل توقعات واضحة عبر المؤسسة وإعداد “بروتوكول بدء عملية الاستعادة”.
وكجزء من هذه العملية، ينصح فرق تكنولوجيا المعلومات بمتابعة جهود الاسترداد والتحقيق على الفور. ويقول: “من خلال الاستفادة من بيئة “الجزيرة الآمنة” التي يتم فيها إعادة إنشاء الخدمات الرئيسية قبل إزالة الطريقة المخترقة، يمكن للمؤسسة العودة إلى العمليات التجارية الكاملة بشكل أسرع بكثير. تحدد جهود الإصلاح الأمان وتغلقه ويتم القضاء على وجود المهاجم في البيئة.
يقترح عليم أيضًا عملية معالجة من خطوتين حيث تتخذ الشركات أولاً خطوات لاستعادة التطبيقات والعمليات المهمة قبل معالجة العناصر الأقل أهمية في عملياتها.
على الرغم من أن إعادة تشغيل أنظمة تكنولوجيا المعلومات التي تعرضت للاختراق بسبب هجوم إلكتروني يعد أمرًا حيويًا، إلا أنه لا ينبغي للشركات إهمال أهمية إبلاغ الموظفين والعملاء وأصحاب المصلحة الآخرين بشأن الانتهاكات الإلكترونية. يوصي عليم أن يتحلى المسؤولون التنفيذيون بالشفافية الكاملة بشأن الهجمات السيبرانية، توصيل “ما حدث والتحذير من أن عملية الاسترداد قد تكون محبطة مع العديد من التطبيقات والعمليات التي تحتاج إلى إعادة بنائها”. إن القيام بذلك سيساعد المؤسسات على “تحويل عقلية موظفيها لتصبح قائمة على الحلول” بينما تمضي قدماً في جهود التعافي.
ويضيف: “في الوقت نفسه، يمكن أن يكون هناك ضغط إضافي حيث يتوقع العملاء والشركاء نفس الخدمة كما كان من قبل. يجب أن يكون الموظفون على دراية بوضع الشركة حتى يتمكنوا من التفكير بشكل مناسب في كيفية تأثير الانتهاك على الأطراف الخارجية ويكونوا قادرين على الإبلاغ عن هذا الانتهاك بما يتماشى مع المتطلبات التنظيمية.
خياران للاسترداد
غالبًا ما تواجه الشركات خيارين بعد تعرضها لهجوم إلكتروني، وفقًا لنادر زافيري، المدير الأول للاستجابة للحوادث ومعالجتها في متخصص في استخبارات التهديدات المدعومة من Google Cloud مانديانت.
الخيار الأول هو استخدام نسخة احتياطية غير تالفة لبدء جهود الاستعادة. أو أن شركات الأمن السيبراني لديها خيار إعادة إنشاء الأنظمة المعطلة من الصفر. وفي كلتا الحالتين، يقول زافيري إن الشركات يجب أن تفعل ذلك إنشاء خطة تعافي شاملة تركز على إدارة الهوية وتجزئة الشبكة والتحقق من نقطة النهاية.
عند إنشاء حسابات مستخدمين جديدة كجزء من جهود إدارة الهوية، يقول زافيري إنه يجب على المؤسسات تعيين كلمات مرور قوية. وإذا كانت حادثة الأمن السيبراني لا تزال مستمرة، فهو يوصي بإعادة تعيين كلمات المرور كل يوم.
يقول زافيري إن تجزئة الشبكة تتطلب ثلاث بيئات مختلفة، بما في ذلك “شبكة حمراء” للبيئات المعرضة للخطر، و”شبكة خضراء” للبيئات النظيفة، و”شبكة صفراء” للتعرف على التنازلات التي تؤثر على الأنظمة التي تم الآن تشغيلها احتياطيًا. ويضيف: “هذه البيئة الصفراء أو المرحلية تقيد الوصول إلى الإنترنت وحركة المرور بين الشبكات، ولا تسمح إلا باستثناءات لتطبيقات أمنية محددة.”
وأخيرا، يقول، يجب على الشركات معالجة التحقق من نقطة النهاية مع النظر في سيناريوهين مهمين. ويوصي بأن تستخدم الشركات “صورة ذهبية نظيفة معتمدة من قبل فريق الاستجابة للحوادث” إذا كانت بحاجة إلى إعادة بناء الأنظمة المخترقة.
ولكن إذا لم تكن هناك حاجة لإعادة بناء النظام، فهو يقول إنه يتعين على الشركات عزله داخل “الشبكة الصفراء” وإعادة تنشيطه هناك. سيسمح هذا لفريق الاستجابة للحوادث باستخدام أدوات الكشف عن نقطة النهاية لضمان عدم تأثر الأنظمة بمؤشرات الاختراق.
استعادة البيانات أمر بالغ الأهمية
يعد التركيز على استعادة البيانات خطوة حاسمة أخرى في استعادة الأنظمة المهمة بعد الهجوم السيبراني، وفقًا لما ذكره مختبرات روبيريك زيرو رئيس ستيف ستون. ويقول: “سيتم توجيه حركات الاسترداد هذه إما من خلال الرؤية وتحديد الأولويات وفهم وصول المهاجم الحالي أو سيتم إجراؤها كأحداث “عمياء”.
ويحذر الشركات من اختيار الاسترداد الأعمى لأنها تخاطر بفقدان كبير للبيانات بسبب الاسترداد “لفترة أطول من اللازم” أو “إعادة تقديم المهاجمين إذا كانت نقطة الاسترداد بعد وصول المهاجمين”.
وجهة نظره هي أن الشركات يجب أن تتخذ بدلاً من ذلك قرارات مستنيرة مبنية على فهم مفاده أن “كل شيء لا يمكن استرداده دفعة واحدة”. لذلك يجب على الشركات أن تهدف إلى ضمان “فقد المهاجمين إمكانية الوصول من خلال التعافي مما كان عليه قبل الاقتحام”، ويمكنهم منع فقدان البيانات على نطاق واسع من خلال بذل جهود الاسترداد “أقرب ما يمكن من الاقتحام”.
ويقول إن الشركات التي تنفذ خطط التعافي قبل الهجوم السيبراني ستعيد تشغيل الأنظمة بشكل أسرع بكثير من تلك التي لا تملك خططًا. الشركات غير المستعدة للتعافي من الهجوم السيبراني ستواجه قيودًا بسبب “انخفاض الرؤية” أثناء قيامها بالاكتشاف ورسم خرائط سير العمل في وقت الحدث. ويضيف الحجر: “ستكون المؤسسات الأكثر نجاحًا قد اختبرت التعافي مسبقًا للتأكد من جدوى خططها وإجراء التعديلات بناءً على الدروس المستفادة.
يلاحظ ستون كيف تجد الشركات في كثير من الأحيان أنه من الأسهل التعامل مع تهديد التشفير الناتج عن هجمات برامج الفدية، مقارنة بعنصر الابتزاز. ويوضح: “يمثل هذا تحديًا خاصًا عندما تكون البيئة مشفرة بشكل نشط و/أو تتعرض لعملية اقتحام. إن القدرة على تقييم ما إذا كانت البيانات قد سُرقت، وما تحتويه تلك البيانات، وكيفية التعامل مع تهديد الابتزاز المحتمل لفقدان البيانات، تثبت أهميتها في عمليات اختراق برامج الفدية الحديثة.
استعادة النظام بنجاح
هناك العديد من العوامل التي تحدد ما إذا كانت عملية استرداد النظام ناجحة أم لا في حالة وقوع هجوم إلكتروني، وفقًا لكريس دينبي وايت، كبير مسؤولي الأمن في منصة منع فقدان البيانات منع فقدان البيانات التالي.
أولاً، يجب على فرق الأمان ألا تهمل أهداف العمل الأساسية أثناء سعيها لاستعادة الأنظمة المخترقة. يقول Denbigh-White إن الأهداف مثل اكتشاف هوية مجرمي الإنترنت والتأكد من عدم قدرتهم على إعادة الوصول إلى الأنظمة في المستقبل يجب أن تتماشى مع أهداف العمل الأساسية. ويضيف: “من وجهة نظر الأعمال، فإن الهدف الأساسي هو تقليل التعطيل والخسائر المالية، حتى لو بدا أن هذا يتعارض مع بعض أهداف تكنولوجيا المعلومات والأمن.”
ثانيًا، يجب على الشركات توخي الحذر الشديد بعد حدوث هجوم إلكتروني. على هذا النحو، قد تكون إعادة بناء البنية التحتية المعرضة للخطر بدلاً من اختيار جهود التنظيف هي الحل الأفضل لاستعادة النظام.
يوضح Denbigh-White: “إن التحدي الذي يواجه أسلوب التنظيف يكمن في تقديم ضمانات بأن النظام خالٍ تمامًا من أي تنازلات. قد يكون إثبات غياب التسوية أمرًا شاقًا ويستغرق وقتًا طويلاً. ومن المفارقة أن إعادة بناء الأنظمة قد تكون أكثر كفاءة وتوفر ضمانًا أكبر.
ثالثًا، يجب على الشركات استخدام قدرات المراقبة لضمان عدم تعرض الأنظمة لمزيد من التنازلات بعد تنظيفها أو إعادة بنائها. توصي Denbigh-White إما بإجراء تجميع السجلات أو استخدام برنامج يلتقط كل الأنشطة التي تحدث داخل شبكات تكنولوجيا المعلومات الخاصة بالشركة.
ويضيف: “بالإضافة إلى ذلك، من المهم تخصيص الموارد التي تتمتع بالقدرة والخبرة اللازمة لفهم بيانات الرصد المتزايدة والتصرف بناءً عليها”. “مجرد ملء السجلات بـ a نظام المعلومات الأمنية وإدارة الأحداث (SIEM). أو مستودع تخزين البيانات لا يعزز الأمان بطبيعته. يجب أن يتم تفسير عملية الرصد بشكل نشط والتصرف بناءً عليها من قبل موظفين مطلعين.
وأخيرًا، يجب على الشركات التأكد من أنها تتعلم من الهجمات السيبرانية وجهود التعافي اللاحقة. وتقول دينبي-وايت إنه لا ينبغي للشركات أن تتجاهل هذا الأمر لأن الهجمات السيبرانية يمكن أن توفر “فرصة ثمينة للنمو التنظيمي والتعلم”.
ويقول: “إذا تم التعامل مع الأمر بشكل بناء، دون إلقاء اللوم أو توجيه أصابع الاتهام، فإنه يمكن أن يعزز بشكل كبير الوضع الأمني للمنظمة والوعي”. “يمكن أن تساعد عملية الدروس المستفادة التي يتم تنفيذها بشكل جيد في التخفيف من بعض الأضرار التي لحقت بالشركة بسبب الحادث، مما يؤدي في النهاية إلى تعزيز قدرتها الشاملة على الصمود.”
يمكن أن يكون التعرض لهجوم إلكتروني ضارًا للغاية للشركات، مما يتسبب في مشكلات تتراوح من تسرب البيانات إلى الخسارة المالية. ولذلك، يجب عليهم بذل كل ما في وسعهم لإعادة الأنظمة إلى وضعها الطبيعي وتشغيلها بسرعة.
على الرغم من أن استعادة الأنظمة في حالة وقوع هجوم إلكتروني ليست عملية سهلة، فإن إنشاء خطة استرداد مدروسة جيدًا تتبع أفضل ممارسات الصناعة وتوافق الأهداف الأمنية مع أهداف العمل سيحدث فرقًا كبيرًا. وعلى الرغم من فظاعة الهجمات السيبرانية، إلا أنها يمكن أن تقدم دروسًا قيمة للأعمال بأكملها.