Incident Response Guide

Twitter:T44T_
 ‫الفهرس‬

‫المقدمة‪5 .................................................................................................... ..............‬‬

‫مدخل‪6 .................................................................................................... ................‬‬

‫السيبانية (‪7 .............................................. )NIST STANDARD‬‬

‫ر‬ ‫منهجية الستجابة للحوادث‬
‫الستعداد‪7 ........................................................................................................................... :‬‬

‫الكتشاف والتحليل‪7 ............................................................................................................... :‬‬

‫الحتواء والزالة والتعاف‪7 ........................................................................................................ :‬‬

‫الدروس المستفادة والتقارير‪8 ..................................................................................................... :‬‬

‫السيبانية الشائعة وطرق التعامل معها ‪8 ......................................................‬‬

‫ر‬ ‫أبرز الحوادث‬
‫اللكبون ‪8 ..................................................................................................................‬‬‫ر‬ ‫البيد‬‫‪ -1‬ر‬
‫البيد التصيدي (‪8 .......................................................................................................... )Phishing‬‬
‫أ‪ .‬ر‬
‫البيد المزعج أو اقتحام (‪9 ................................................................................................. )Spam‬‬ ‫ب‪ .‬ر‬
‫ت‪.‬الحمالت الهجومية (‪10 ............................................................................................... )Campaign‬‬
‫ث‪.‬الستهداف (‪10 .......................................................................................................... )Targeting‬‬

‫‪ -2‬الشبكة ‪11 .........................................................................................................................‬‬

‫أ‪.‬التحكم والسيطرة (‪11 .............................................................................................. )C&C/Callback‬‬
‫ب‪.‬الدودة الرقمية(‪12 .......................................................................................................... )Worms‬‬
‫ت‪.‬فايروس الفدية (‪13 ................................................................................................ )Ransomware‬‬
‫ث‪.‬هجوم كس كلمة المرور (‪14 ............................................................................. )Brute Force Attack‬‬
‫ج‪.‬برمجيات التعدين (‪14 ....................................................................................................... )Minar‬‬
‫ح‪.‬برمجيات المزعجة )‪14 .................................................................................................. )Ads, PUP‬‬

‫‪ -3‬الهندسة الجتماعية ( ‪14 .............................................................................. (Social Engineering‬‬

‫‪ -4‬خدمات الويب‪15 .............................................................................................................. ....‬‬

‫أ‪.‬حجب الخدمة (‪15 ................................................................................................... )DDos Attack‬‬
‫ب‪.‬تشويه مواقع ر‬
‫النبنت (‪16 .............................................................................................. )Defaced‬‬

‫‪ -5‬تسيب البيانات (‪17 .................................................................................. )Information Leakage‬‬

‫السيبانية ‪17 ...............................................‬‬

‫ر‬ ‫اشياء ل يجب عملها اثناء الستجابة للحوادث‬

‫إيقاف سلسلة الهجوم (‪18 ................................................................ )CYBER KILL-CHAIN‬‬

‫تصنيف الثغرات األمنية ‪18 .........................................................................................‬‬

‫‪1‬‬
‫خطوات تخفيف المخاطر (‪20 .................................................................. )MITIGATION‬‬

‫تحديد أولويات الستجابة للحوادث ‪21 ..........................................................................‬‬

‫ر‬
‫المقبحة للتحليل واألكتشاف ‪21 .....................................................‬‬ ‫أبرز األدوات والمواقع‬
‫الخباق(‪21 .......................................................................................... )IOC‬‬ ‫ر‬ ‫مؤشات‬ ‫ادوات لجمع ر‬
‫أ‪22 .......................................................................................................... Sysinternals utilities .‬‬
‫ب‪22 ................................................................................................................................ AVZ .‬‬
‫ت‪23 .............................................................................................................................. YARA .‬‬

‫ادوات لعمل نسخة من النظام والذاكرة ‪23 .......................................................................................‬‬

‫أ‪24 ......................................................................................................... GRR Rapid Response .‬‬
‫ب‪24 ................................................................................................................ Forensic Toolkit .‬‬
‫ت‪25 ............................................................................................................................DumpIt .‬‬
‫ث‪25 ............................................................................................................................... Kape .‬‬

‫والبامج الخبيثة ‪26 .............................................................‬‬ ‫ادوات ومواقع لتحليل التهديدات المحتملة ر‬

‫أ‪26 .................................................................................... Kaspersky Threat Intelligence Portal .‬‬
‫ب‪27 ........................................................................................................................ VirusTotal .‬‬
‫ت‪28 ............................................................................................................................ Anyrun .‬‬
‫ث‪28 .................................................................................................................... HyberAnalsis .‬‬
‫ج‪29 ............................................................................................................................ Cuckco .‬‬

‫ادوات لتحليل الذاكرة العشوائية ‪29 ...............................................................................................‬‬

‫أ‪29 ......................................................................................................................... Volatility .‬‬
‫ب‪30 ..............................................................................................................................Rekall .‬‬

‫ادوات لتحليل القرص الصلب ‪30 ..................................................................................................‬‬

‫• )‪30 ............................................................................................................ The Sleuth Kit(TSK‬‬

‫ادوات للبحث عن النصوص(‪31 ......................................................................................... )Strings‬‬

‫• ‪31 ................................................................................................................... Strings Utility‬‬

‫تقارير معلومات استباقية(‪31 .................................................................. )Threat Intelligence Reports‬‬

‫مصطلحات‪32 .................................................................................................. ........‬‬

‫المصادر‪32 .................................................................................................. .............‬‬

‫‪2‬‬
 ‫ُ‬
‫تركت هذه الصفحة فارغة عمدا‬

‫‪3‬‬
 ‫شكر وتقدير‬

‫ساعدون يف أنجاز هذا الدليل بالتدقيق والمراجعة واالضافة‪.‬‬

‫ي‬ ‫الل‬
‫كل الشكر والتقدير والعرفان لألصدقاء ي‬

‫مالك الدورسي‬
‫‪@Malajab‬‬
‫السحيم‬
‫ي‬ ‫محمد‬
‫‪@Msuhaymi‬‬

‫‪4‬‬
 ‫المقدمة‬

‫الحال حيث ان مع تطور التقنية تزداد الحاجة ال وجود بيئة‬

‫ي‬ ‫ان يف الوقت‬
‫السيب ي‬
‫ر‬ ‫ال يخف عل الجميع أهمية االمن‬
‫لسيبانية ازداد بشكل ملحوظ لذلك وجدت‬ ‫وتشب االحصائيات مؤخرا ان معدل الحوادث ا ر‬
‫ر‬ ‫سيبانية امنة وموثوقة‪،‬‬
‫ر‬
‫الحاجة إليجاد دليل ارشادي لالستجابة للحوادث بالشكل الصحيح‪ ،‬والتأكد من تطبيقها بشكل صحيح وذلك لضمان‬
‫التعاف وعدم عودة المهاجم مره اخرى للبيئة المستهدفة‪.‬‬
‫ي‬

‫‪5‬‬
 ‫مدخل‬
‫السيبانية ويقدمها كخطوات‬ ‫ر‬ ‫ان لالستجابة للحوادث‬ ‫السيب ي‬
‫ر‬ ‫محللي األمن‬
‫ر‬ ‫تمت كتابة هذا الدليل اإلرشادي ليساعد‬
‫تسلسلية مرتبة‪ .‬وال يخف عل الجميع بأن الحوادث تختلف فيما بينها مما يصعب كذلك حرص طرق االستجابة وال يوجد‬
‫ه‬‫طريقة واحدة فقط متبعة ومعتمدة بل ان لكل حادثة طريقة مختلفة ال حد ما‪ ،‬وننوه بأن الطرق المذكورة هنا غالبا ي‬
‫محلل‬ ‫مباكمه من‬‫المستخدمة ف االستجابة‪ ،‬لذا يجب ان نشب بأن االستجابة والتعامل مع الحادثة مبن عل خبات ر‬
‫ي‬ ‫ر‬ ‫ي‬ ‫ر‬ ‫ي‬
‫الخبة والمهارات‬ ‫ر‬
‫االستجابة للحوادث‪ ،‬وقد توجد له رؤية مختلفة يف بعض االحيان والدليل هنا يفبض بأن القارئ لديه ر‬
‫وغبها‪.‬‬
‫السيبانية كالتحليل ر‬
‫ر‬ ‫االساسية لالستجابة للحوادث‬

‫‪6‬‬
 ‫السيبانية (‪)NIST standard‬‬
‫ر‬ ‫منهجية االستجابة للحوادث‬

‫الدروس‬ ‫االحتواء‬
‫االكتشاف‬
‫المستفادة‬ ‫واالزالة‬ ‫االستعداد‬
‫والتحليل‬
‫والتقارير‬ ‫والتعافي‬

‫االستعداد‪:‬‬
‫السيبانية‪ ،‬حرص االصول التقنية يف البنية التحتية لألنظمة والشبكات‬
‫ر‬ ‫وتجهب فريق االستجابة للحوادث‬
‫ر‬ ‫تدريب‬
‫وتجهب برمجيات‬ ‫ان‬ ‫ر‬
‫ر‬ ‫السيب ي‬
‫ر‬ ‫والتطبيقات وباألخص الحساس منها والتأكد من استيفاء الشوط الخاصة بضوابط االمن‬
‫البمجيات والخوادم باإلضافة بناء‬‫السيبانية وكذلك التحقق من وجود سجالت من جميع ر‬
‫ر‬ ‫خاصة باالستجابة للحوادث‬
‫السيبانية عند وقوعها‪.‬‬
‫ر‬ ‫خطة لالستجابة للحوادث‬

‫االكتشاف والتحليل‪:‬‬
‫يتم االكتشاف والتحليل حسب المراحل ادناه‪:‬‬

‫المراقبة‬ ‫●‬
‫الرصد واالكتشاف‬ ‫●‬
‫التحليل‬ ‫●‬
‫االول‬
‫ي‬ ‫التقرير‬ ‫●‬

‫والتعاف‪:‬‬
‫ي‬ ‫االحتواء واالزالة‬

‫حرص االصول التقنية المصابة وتحديدها‪.‬‬ ‫●‬

‫اخذ نسخة رقمية لألجهزة المصابة والبدء بتحليلها‪.‬‬ ‫●‬
‫البمجيات والملفات الضارة‪.‬‬ ‫تحليل ر‬ ‫●‬
‫ر‬ ‫ر‬
‫حرص مؤرسات االخباق‪.‬‬ ‫●‬
‫ر‬
‫االخباق من الشبكة‪.‬‬ ‫حجب ر‬
‫مؤرسات‬ ‫●‬
‫ر‬ ‫التأكد من خلو الشبكة من ر‬
‫مؤرسات االخباق‪.‬‬ ‫●‬
‫عزل األنظمة المصابة‪.‬‬ ‫●‬

‫‪7‬‬
 ‫● إعادة تهيئة االنظمة المصابة‪.‬‬
‫التعاف‬
‫ي‬ ‫● تفعيل خطة‬

‫الدروس المستفادة والتقارير‪:‬‬

‫● عمل تقرير شامل عن الحادثة‪.‬‬

‫ر‬
‫الن تم اكتشافها من الحادثة من خالل مركز السجالت المركزية‪.‬‬
‫● مراقبة جميع األنشطة المشبوهة ي‬
‫● حرص الدروس المستفادة من الحادثة‪.‬‬

‫السيبانية الشائعة وطرق التعامل معها‬

‫ر‬ ‫أبرز الحوادث‬
‫وه‪:‬‬
‫السيبانية ال خمسة اقسام رئيسية ي‬
‫ر‬ ‫تم تقسيم الحوادث‬
‫ون‬ ‫ر‬
‫البيد االلكب ي‬
‫‪ -1‬ر‬
‫‪ -2‬الشبكة‬
‫‪ -3‬الهندسة االجتماعية‬
‫‪ -4‬خدمات الويب‬
‫‪ -5‬تشيب البيانات‬

‫ر‬
‫اللكبون‬ ‫البيد‬
‫‪ -1‬ر‬
‫ر‬
‫الن يجب‬ ‫ر‬
‫تعتب من أهم القنوات ي‬
‫هاجمي للوصول ال الشبكة لذا ر‬
‫ر‬ ‫ون الوسيلة المفضلة لدى الم‬
‫البيد االلكب ي‬
‫يعتب ر‬
‫ر‬
‫زيادة الحماية فيها‪.‬‬

‫ون الضار‪:‬‬ ‫ر‬

‫البيد االلكب ي‬
‫تصنيف ر‬

‫البيد التصيدي (‪)Phishing‬‬ ‫ر‬ ‫•‬

‫اقتحام (‪)Spam‬‬
‫ي‬ ‫البيد المزعج أو‬
‫ر‬ ‫•‬
‫الحمالت الهجومية (‪)Campaign‬‬ ‫•‬
‫االستهداف (‪)Targeting‬‬ ‫•‬

‫البيد التصيدي (‪)Phishing‬‬

‫ر‬ ‫أ‪.‬‬
‫إلكبونية للحصول عل معلومات حساسة مثل أسماء‬ ‫التنكر عل هيئة جهة جديرة بالثقة عن طريق رسائل بريد ر‬
‫مستخدمي وكلمات المرور أو تفاصيل بطاقة االئتمان وذلك ألسباب ونوايا ضارة‪.‬‬
‫ر‬ ‫ال‬

‫‪8‬‬
 ‫السيناريو األول‪:‬‬
‫ون التصيدي بالظغط عل الرابط أو فتح المرفق‪ ،‬عليك‬ ‫ر‬
‫البيد االلكب ي‬
‫يف حال ان المستخدم أستقبل الرسالة وتفاعل مع ر‬
‫اتباع االرشادات ادناه‪:‬‬
‫الجراء‪:‬‬
‫• عزل النظام عن الشبكة‪.‬‬
‫• تغي رب كلمة الش الخاصة بالمستخدم وكذلك اي كلمات رس مستخدمة او محفوظه بالنظام‪.‬‬
‫الفبوسات ومعزول عن الشبكة‬ ‫بالبيد من خالل معمل خاص لفحص ر‬ ‫• فحص الملفات أو الروابط المتضمنة ر‬
‫ر‬
‫مؤرسات االخباق ‪.IOCs‬‬‫الداخلية والعمل عل ستخراج ر‬
‫• التحليل من خالل مركز السجالت المركزية (‪ )SEIM‬من اتصاالت مشبوهة انشئت من قبل نظامه او أجهزة‬
‫أخرى داخل المنظمة‪.‬‬
‫ر‬
‫للمستخدمي االخرين من خالل إدارة بوابة‬
‫ر‬ ‫ون‬ ‫• التأكد من عدم وجود أي حاالت تصيد مشابهة يف ر‬
‫البيد االلكب ي‬
‫أمن بعدم التجاوب واالبالغ‪.‬‬ ‫ر‬
‫مستقبلي اخرين يتم ارسال تنبيه ي‬
‫ر‬ ‫وف حال وجود‬‫ون ي‬ ‫البيد االلكب ي‬
‫ر‬
‫• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل انظمة الحماية‪.‬‬
‫• فحص النظام من خالل برمجيات الحماية والتأكد من خلوها من برمجيات الضارة‪.‬‬
‫• استعادة النظام المصاب للشبكة بعد التأكد من خلوها من األنشطة الضارة‪.‬‬

‫السيناريو الثان‪:‬‬
‫ون عليك اتباع االرشادات ادناه‪:‬‬ ‫ر‬
‫البيد االلكب ي‬
‫يف حال ان المستخدم أستقبل الرسالة ولم يتفاعل مع ر‬
‫الجراء‪:‬‬
‫الفبوسات ومعزول عن الشبكة‬ ‫بالبيد من خالل معمل خاص لفحص ر‬ ‫• فحص الملفات أو الروابط المتضمنة ر‬
‫ر‬
‫االخباق ‪.IOCs‬‬ ‫الداخلية واستخراج ر‬
‫مؤرسات‬
‫• التأكد من ان المستخدم ري لم يقوموا بالتفاعل سواء القيام بفتح الرابط الضار او الملفات المرفقة أو بالرد عل‬
‫ون‬ ‫ر‬
‫المرسل وتستطيع التحقق من ذلك من خالل مركز السجالت المركزية (‪ )SEIM‬او إدارة البوابة االلكب ي‬
‫للبيد‪.‬‬
‫ر‬
‫ر‬
‫للمستخدمي االخرين من خالل إدارة بوابة‬
‫ر‬ ‫ون‬ ‫• التأكد من عدم وجود أي حاالت تصيد مشابهة يف ر‬
‫البيد االلكب ي‬
‫أمن بعدم التجاوب واالبالغ‪.‬‬ ‫ر‬
‫مستقبلي اخرين يتم ارسال تنبيه ي‬
‫ر‬ ‫وف حال وجود‬‫ون ي‬ ‫البيد االلكب ي‬ ‫ر‬
‫• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل انظمة الحماية‪.‬‬

‫السيناريو الثالث‪:‬‬
‫البيد ويتوقع استقباله لذا يتم‬
‫أمن من مستخدم بوجود رسائل بريدية يشتبه بها مع معرفته مصدر ر‬ ‫يف حال وجود بالغ ي‬
‫كاالن‪:‬‬‫التعامل مع البالغ ر‬
‫ي‬
‫الجراء‪:‬‬
‫البيد ( ‪Email‬‬ ‫ر‬
‫حقيف او مزيف من خالل ترويسة ر‬
‫ي‬ ‫● تحليل مصدر الرسالة والتأكد من العنوان المرسل منه‬
‫‪.)Header‬‬
‫● تحليل الملفات او الروابط من خالل معمل لتحليل الفايروسات بنظام خارج الشبكة والتأكد من خلوها من اي‬
‫ملفات ضارة‪.‬‬

‫البيد المزعج أو اقتحام (‪)Spam‬‬ ‫ب‪ .‬ر‬

‫ر‬
‫اإللكبونية إلرسال رسائل ال يرغب المستخدم بتلقيها‪.‬‬ ‫هو استخدام أنظمة اإلرسال‬

‫‪9‬‬
 ‫الجراء‪:‬‬
‫ون من قبل المستخدم وتحويل اي‬ ‫ر‬
‫البيد االلكب ي‬
‫يتم حجب مصدر الرسالة من قبل برامج الحماية أو من خالل تطبيق ر‬
‫البيد المزعج‪.‬‬ ‫ر‬
‫تأن من المرسل لصندوق ر‬
‫رسالة ي‬

‫ت‪ .‬الحمالت الهجومية (‪)Campaign‬‬

‫المستخدمي بهدف الحصول عل معلومات حساسة او رسقة معلومات‬
‫ر‬ ‫ه هجمات منسقة تستهدف عدد من‬
‫ي‬
‫شخصية‪.‬‬

‫الجراء‪:‬‬
‫ون وارسال تنبيه لهم بعدم التعامل‬ ‫ر‬ ‫• تحديد‬
‫البيد االلكب ي‬
‫المستخدمي الذين استقبلوا الرسالة من خالل بوابة ر‬
‫ر‬
‫مع رسائل مجهولة المصدر‪.‬‬
‫الفبوسات ومعزول عن الشبكة‬ ‫بالبيد من خالل معمل خاص لفحص ر‬ ‫• فحص الملفات أو الروابط المتضمنة ر‬
‫ر‬
‫االخباق ‪.IOCs‬‬ ‫الداخلية واستخراج ر‬
‫مؤرسات‬
‫• التحليل من خالل مركز السجالت المركزية (‪ )SEIM‬من اتصاالت مشبوهة انشئت من قبل نظامه او أجهزة‬
‫أخرى داخل المنظمة‪.‬‬
‫• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل برمجيات الحماية‪.‬‬

‫ث‪ .‬الستهداف (‪)Targeting‬‬

‫ون ضار بهدف إيصال برمجية ضارة او رسقة معلومات‬ ‫ر‬
‫هو استهداف شخص او مجموعة اشخاص رببيد االلكب ي‬
‫حساسة‪.‬‬

‫السيناريو األول‪:‬‬
‫ون عليك اتباع االرشادات ادناه‪:‬‬ ‫ر‬
‫البيد االلكب ي‬
‫يف حال ان المستخدم أستقبل الرسالة ولم يتفاعل مع ر‬

‫الجراء‪:‬‬
‫الفبوسات ومعزول عن الشبكة‬ ‫بالبيد من خالل معمل خاص لفحص ر‬ ‫• فحص الملفات أو الروابط المتضمنة ر‬
‫ر‬
‫االخباق ‪.IOCs‬‬ ‫الداخلية واستخراج ر‬
‫مؤرسات‬
‫• التأكد من ان المستخدم ري لم يقوموا بالتفاعل سواء القيام بفتح الرابط الضار او الملفات المرفقة أو بالرد عل‬
‫ون‬ ‫ر‬
‫المرسل وتستطيع التحقق من ذلك من خالل مركز السجالت المركزية (‪ )SEIM‬او إدارة البوابة االلكب ي‬
‫للبيد‪.‬‬
‫ر‬
‫ر‬
‫للمستخدمي االخرين من خالل إدارة بوابة‬
‫ر‬ ‫ون‬ ‫• التأكد من عدم وجود أي حاالت تصيد مشابهة يف ر‬
‫البيد االلكب ي‬
‫أمن بعدم التجاوب واالبالغ‪.‬‬ ‫ر‬
‫مستقبلي اخرين يتم ارسال تنبيه ي‬
‫ر‬ ‫وف حال وجود‬‫ون ي‬ ‫البيد االلكب ي‬‫ر‬
‫• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل انظمة الحماية‪.‬‬

‫السيناريو الثان‪:‬‬
‫ون بالظغط عل الرابط أو فتح المرفق‪ ،‬عليك اتباع‬ ‫ر‬
‫البيد االلكب ي‬
‫يف حال ان المستخدم أستقبل الرسالة وتفاعل مع ر‬
‫االرشادات ادناه‪:‬‬

‫‪10‬‬
 ‫الجراء‪:‬‬
‫• يتم عزل نظام الموظف عن الشبكة‪.‬‬
‫تغيب كلمة الش الخاصة بالمستخدم وكذلك اي كلمات رس مفعلة او محفوظه بالنظام‪.‬‬ ‫ر‬ ‫•‬
‫الفبوسات المعزول عن الشبكة‬ ‫• فحص الملفات أو الروابط المتضمنة بالرسالة من خالل معمل خاص لفحص ر‬
‫ر‬
‫االخباق ‪.IOCs‬‬ ‫الداخلية واستخراج ر‬
‫مؤرسات‬
‫• التحليل من خالل مركز السجالت المركزية (‪ )SEIM‬من اتصاالت مشبوهة انشئت من قبل نظامه او أجهزة‬
‫أخرى‪.‬‬
‫وف حال وجود‬ ‫ر‬ ‫• التأكد من عدم استقبال الرسالة من‬
‫ون ي‬ ‫البيد االلكب ي‬ ‫موظفي آخرين من خالل بوابة ر‬
‫ر‬
‫البيد‪.‬‬
‫أمن لهم بعدم فتح الرسالة وعدم التعامل مع رسائل ر‬ ‫مستقبلي اخرين يتم ارسال تنبيه ي‬
‫ر‬
‫• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل برمجيات الحماية‪.‬‬
‫• اعادة تهيئة النظام يف حال تم التأكد يف وجود اصابة برمجيات خبيثة يف النظام‪.‬‬

‫‪ -2‬الشبكة‬

‫يف حال ظهور أي تنبيهات أمنية من خالل احدى برمجيات الحماية مثل ( ‪AV, EDR, Email & Network‬‬
‫‪.)security‬‬

‫انواع الهجمات‪:‬‬
‫التحكم والسيطرة (‪)Callback‬‬ ‫•‬
‫الدودة الرقمية (‪)Worms‬‬ ‫•‬
‫فايروس الفدية (‪)Ransomware‬‬ ‫•‬
‫هجوم كش كلمة المرور (‪)Brute Force Attack‬‬ ‫•‬
‫برمجيات التعدين (‪)Minar‬‬ ‫•‬
‫برمجيات المزعجة (‪)Ads, PUP‬‬ ‫•‬

‫التحكم والسيطرة (‪)C&C/Callback‬‬ ‫أ‪.‬‬

‫البمجيات الضارة بعد اصابة الجهاز باالتصال مع خادم المهاجم ألرسال واستقبال األوامر‪.‬‬
‫تبدأ ر‬

‫الستعداد‪:‬‬ ‫‪-‬‬
‫ر‬
‫والن تشمل فريق الشبكات‪ ،‬االنظمة‪ ،‬أمن المعلومات وفريق‬ ‫•‬
‫تحديد جهات االتصال ألجل التواصل الشي ع ي‬
‫المطورين‪.‬‬
‫المعرفة الكاملة بتصميم الشبكة الداخلية‪.‬‬ ‫•‬
‫التأكد من تحديث جميع برمجيات األنظمة األمنية‪.‬‬ ‫•‬

‫‪11‬‬
 ‫‪ -‬الكتشاف والتحليل‪:‬‬
‫ر‬
‫تحليل االتصاالت الخارجة والقادمة للنظام لمعرفة حجم األثر الذي تسبب فيه االخباق من خالل مركز سجالت‬
‫المركزية‪.‬‬
‫‪ -‬الحتواء والزالة والتعاف‪:‬‬
‫• فصل النظام عن الشبكة (من خالل ‪ EDR‬أو يدويا)‪.‬‬
‫• حجب العناوين المشبوه الذي تواصل معه نظام المصاب‪.‬‬
‫• تهيئة كلمات الش لجميع الحسابات المفعلة بالنظام وحسابات مدراء األنظمة يف حال رصد استخدامها‪.‬‬
‫• االستحواذ عل نسخة من النظام المصاب ونسخة من الذاكرة العشوائية ‪.RAM‬‬
‫• استخراج ‪ IOCs‬من خالل االدلة الموجودة بالنظام المصاب والشبكة وعمل فحص عل البيئة من خالل‬
‫برمجيات مثل ‪. EDR, YARA Rule،AV‬‬
‫• تهيئة النظام أو استعادة نسخة احتياطية بعد التأكد من سالمة بياناتها‪.‬‬
‫التعاف من الحادثة‪.‬‬
‫ي‬ ‫• تفعيل خطة‬
‫• الدروس المستفادة من الحادثة‪.‬‬
‫• مراقبة الشبكة من اي انشطة مشبوه‪.‬‬

‫ب‪ .‬الدودة الرقمية(‪)Worms‬‬

‫تدمبية أو لغرض رسقة‬
‫غبها صنعت للقيام بأعمال ر‬ ‫غب معتمدة عل ر‬‫صغبة قائمة بذاتها ر‬
‫ر‬ ‫ه برامج‬
‫دودة الحاسوب ي‬
‫بالمتصلي بهم‪ ،‬تمتاز‬ ‫ر‬
‫المستخدمي أثناء تصفحهم لإلنبنت أو إلحاق الرصر بهم أو‬ ‫بعض البيانات الخاصة ببعض‬
‫ر‬ ‫ر‬
‫بشعة االنتشار ويصعب التخلص منها‪.‬‬

‫الستعداد‪:‬‬ ‫‪-‬‬
‫ر‬
‫تحديد جهات االتصال ألجل التواصل الشي ع وال ين تشمل فريق الشبكات‪ ،‬االنظمة‪ ،‬أمن المعلومات وفريق‬ ‫•‬
‫المطورين‪.‬‬
‫المعرفة الكاملة بتصميم الشبكة الداخلية‪.‬‬ ‫•‬
‫التأكد من تحديث جميع برمجيات األنظمة األمنية‪.‬‬ ‫•‬

‫الكتشاف والتحليل‪:‬‬ ‫‪-‬‬

‫ر‬
‫تحليل االتصاالت الخارجة والقادمة للنظام لمعرفة حجم األثر الذي تسبب فيه االخباق من خالل مركز‬ ‫•‬
‫سجالت األحدث‪.‬‬
‫تحديد نوع الفايروس وكيفية انتشاره داخل الشبكة‪.‬‬ ‫•‬

‫الحتواء والزالة والتعاف‪:‬‬ ‫‪-‬‬

‫ر‬
‫عزل الشبكة المصابة (‪ )Zone area‬من الوصول لألنبنت‪.‬‬ ‫•‬
‫فصل النظام عن الشبكة (من خالل ‪ EDR‬أو يدويا)‪.‬‬ ‫•‬
‫عزل الشبكة المصابة (‪ )Zone area‬من الشبكة الداخلية‪.‬‬ ‫•‬
‫الغب مصابة وحجب االتصاالت وايقاف تشغيل‬‫تحييد االنتشار يف الشبكة من خالل عمل تحديث لألنظمة ر‬ ‫•‬
‫االجهزة‪.‬‬
‫حجب العناوين المشبوه الذي تواصل معه نظام المصاب‪.‬‬ ‫•‬
‫االستحواذ عل نسخة من النظام المصاب ونسخة من الذاكرة العشوائية ‪.RAM‬‬ ‫•‬
‫تهيئة كلمات الش لجميع الحسابات المفعلة بالنظام وحسابات مدراء األنظمة يف حال رصد استخدامها‪.‬‬ ‫•‬

‫‪12‬‬
 ‫معرفة طرق االزالة من خالل مراسلة الدعم للمنتجات المستخدمة يف المنظمة "مثل مايكروسوفت" او‬ ‫•‬
‫البحث يف المواقع المتخصصة يف الحماية‪.‬‬
‫استخراج ‪ IOCs‬من خالل االدلة الموجودة بالنظام المصاب والشبكة وعمل فحص عل البيئة من خالل‬ ‫•‬
‫برمجيات أمنية مثل ‪.AV, EDR, YaRa Rule‬‬
‫تهيئة النظام أو استعادة نسخة احتياطية بعد التأكد من سالمة بياناتها‪.‬‬ ‫•‬
‫اسبجاع الشبكة المعزولة للبيئة الحية‪.‬‬‫بعد التأكد من احتواء الفايروس يتم ر‬ ‫•‬
‫سماح الوصول ر‬
‫لألنبنت للشبكة المعزولة‪.‬‬ ‫•‬
‫الدروس المستفادة من الحادثة‪.‬‬ ‫•‬
‫مراقبة الشبكة من اي انشطة مشبوه‪.‬‬ ‫•‬

‫ت‪ .‬فايروس الفدية (‪)Ransomware‬‬

‫مال ‪.‬‬
‫لحي دفعة لمبلغ ي‬
‫غب قابلة لالستخدام ر‬
‫برمجيات ضارة تجعل بيانات وأنظمة الضحية ر‬

‫الستعداد‪:‬‬ ‫‪-‬‬
‫ر‬
‫والن تشمل فريق الشبكات‪ ،‬االنظمة‪ ،‬أمن المعلومات وفريق‬ ‫•‬
‫تحديد جهات االتصال ألجل التواصل الشي ع ي‬
‫المطورين‪.‬‬
‫المعرفة الكاملة بتصميم الشبكة الداخلية‪.‬‬ ‫•‬
‫التأكد من تحديث جميع برمجيات األنظمة األمنية‪.‬‬ ‫•‬

‫الكتشاف والتحليل‪:‬‬ ‫‪-‬‬

‫ر‬
‫تحليل االتصاالت الخارجة والقادمة للنظام لمعرفة حجم األثر الذي تسبب فيه االخباق من خالل مركز‬ ‫•‬
‫سجالت األحدث‪.‬‬
‫تحديد نوع الفايروس وكيفية انتشاره داخل الشبكة‪.‬‬ ‫•‬

‫الحتواء والزالة والتعاف‪:‬‬ ‫‪-‬‬

‫عزل الشبكة المصابة (‪ )Zone area‬من الوصول ر‬
‫لألنبنت‪.‬‬ ‫•‬
‫فصل النظام عن الشبكة (من خالل ‪ EDR‬أو يدويا)‪.‬‬ ‫•‬
‫عزل الشبكة المصابة (‪ )Zone area‬من الشبكة الداخلية‪.‬‬ ‫•‬
‫حجب العناوين المشبوه الذي تواصل معه نظام المصاب‪.‬‬ ‫•‬
‫الغب مصابة وحجب االتصاالت وايقاف تشغيل‬ ‫تحييد االنتشار يف الشبكة من خالل عمل تحديث لألنظمة ر‬ ‫•‬
‫االجهزة‪.‬‬
‫تهيئة كلمات الش لجميع الحسابات المفعلة بالنظام وحسابات مدراء األنظمة يف حال رصد استخدامها‪.‬‬ ‫•‬
‫االستحواذ عل نسخة من النظام المصاب ونسخة من الذاكرة العشوائية ‪.RAM‬‬ ‫•‬
‫استخراج ‪ IOCs‬من خالل االدلة الموجودة بالنظام المصاب والشبكة وعمل فحص عل البيئة من خالل‬ ‫•‬
‫برمجيات أمنية مثل ‪.AV , EDR, YaRa Rule‬‬
‫معرفة طرق االزالة من خالل مراسلة الدعم للمنتجات المستخدمة يف المنظمة "مثل مايكروسوفت" او‬ ‫•‬
‫البحث يف المواقع المتخصصة يف الحماية‪.‬‬

‫‪13‬‬
 ‫استعادة نسخة احتياطية بعد التأكد من سالمة بياناتها‪.‬‬ ‫•‬
‫التشفب‪.‬‬
‫ر‬ ‫يف حال الرغبة ٍباستعادة الملفات المشفرة يتم البحث عن برمجيات فك‬ ‫•‬
‫اسبجاع الشبكة المعزولة للبيئة الحية‪.‬‬‫بعد التأكد من احتواء الفايروس يتم ر‬ ‫•‬
‫سماح الوصول ر‬
‫لإلنبنت للشبكة المعزولة‪.‬‬ ‫•‬
‫الدروس المستفادة من الحادثة‪.‬‬ ‫•‬
‫مراقبة الشبكة من اي انشطة مشبوه‬ ‫•‬

‫ث‪ .‬هجوم كس كلمة المرور (‪)Brute Force Attack‬‬

‫الغب مرصح به للحسابات‪.‬‬‫قيام المهاجم بمحاوالت متعددة ومؤتمته لكش كلمات المرور وذلك لغرض الوصول ر‬
‫الجراء‪:‬‬
‫• حجب عنوان المهاجم‪.‬‬
‫• البحث عن كيفية معرفة المهاجم عن حساب المستخدم يف الهجوم‪(.‬قد يكشف وجود تشيب للبيانات)‬
‫• تحديد عدد المحاوالت الخاطئة ألغالق الحسابات يف حال وجود هجمات كش كلمات المرور‪.‬‬

‫ج‪ .‬برمجيات التعدين (‪)Minar‬‬

‫استغالل موارد الجهاز رببمجيات ضارة بهدف القيام بعمليات تعدين العمالت الرقمية‪.‬‬
‫الجراء‪:‬‬
‫البمجيات الضارة‪.‬‬
‫الفن لفحص النظام ألزالة ر‬
‫أمن للدعم ي‬ ‫• إرسال تنبيه ي‬
‫ر‬
‫ون المصاب الذي يحتوي عل برمجيات التعدين‪.‬‬ ‫• يتم حجب الموقع االلكب ي‬
‫ر‬
‫• يتم مراسلة صاحب الموقع بوجود برمجيات ضارة تم زرعها يف داخل الموقع االلكب ي‬
‫ون‪.‬‬

‫ح‪ .‬برمجيات المزعجة )‪)Ads, PUP‬‬

‫برمجيات مزعجة تقوم بتثبيت نفسها بتدخل أو بدون تدخل المستخدم ‪ ،‬وذلك ألهداف اإلعالنات أو التجسس ‪.‬‬
‫الجراء‪:‬‬
‫الغب مرغوبة‪.‬‬
‫البمجيات ر‬ ‫الفن لفحص النظام والتأكد من سالمته من ر‬
‫أمن للدعم ي‬
‫● إرسال تنبيه ي‬

‫‪ -3‬الهندسة الجتماعية ( ‪(Social Engineering‬‬

‫المستخدمي‪.‬‬
‫ر‬ ‫االجتماع لمحاولة خداع‬
‫ي‬ ‫المهاجمي باستخدام أحدى منصات التواصل‬
‫ر‬ ‫يقوم‬

‫السيناريو األول‪:‬‬
‫ينتم للجهة الخاصة بك‪.‬‬
‫ي‬ ‫المهاجم قام بالتسجيل يف أحدى المواقع االجتماعية وأدع بأنه‬

‫الجراء‪:‬‬
‫ينتم اليهم‬
‫ي‬ ‫الفن للموقع و أبالغهم بأن المستخدم ال‬
‫الرسم مع الدعم ي‬
‫ي‬ ‫• تتواصل الجهة من خالل حسابها‬
‫ويجب اغالق الحساب‪.‬‬

‫‪14‬‬
 ‫السيناريو الثان‪:‬‬
‫وظيف وقام المهاجم‬
‫ي‬ ‫الموظفي لديك ألجل تقديم عرض‬
‫ر‬ ‫ينتم ال جهة ما وقام بالتواصل مع أحدى‬
‫ي‬ ‫يدع بأنه‬
‫ي‬ ‫المهاجم‬
‫بإرسال ملف وورد ضار ألجل الوظيفة الجديدة‪ ،‬واكتشفت احدى برمجيات الحماية الملف الضار وقامت بإيقافه قبل‬
‫أن يتم فتحه واصدرت تنبيه عل ذلك‪.‬‬

‫الجراء‪:‬‬
‫• استخراج ‪ IOCs‬من الملف وعمل فحص عل البيئة من خالل برمجيات أمنية مثل ‪.AV , EDR, YaRa Rule‬‬
‫الموظفي بعدم التعامل مع المهاجم‪.‬‬
‫ر‬ ‫• ارسال تنبيه لجميع‬

‫السيناريو الثالث‪:‬‬
‫وظيف وقام المهاجم‬
‫ي‬ ‫لموظفي لديك ألجل تقديم عرض‬
‫ر‬ ‫ينتم ال جهة ما وقام بالتواصل مع أحدى ا‬
‫ي‬ ‫يدع بأنه‬
‫ي‬ ‫المهاجم‬
‫بإرسال ملف وورد ضار ألجل الوظيفة الجديدة‪ ،‬واكتشفت احدى برمجيات الحماية الملف الضار واصدرت تنبيه عل‬
‫ذلك ولم تقم بأيقافه‪.‬‬

‫الجراء‪:‬‬
‫• االستجابة تعتمد عل نوع الملف الضار الذي قام الموظف بفتحه وبناءا عل ذلك يتم التعامل‬
‫معها‪.)Callback, Worm, Phishing etc.(.‬‬

‫‪ -4‬خدمات الويب‬
‫ر‬
‫الن من خاللها يستطيع المهاجم من الحاق الرصر بالجهة المستهدفة لذا‬ ‫ر‬
‫ه البوابة الخارجية ي‬ ‫تعتب مواقع األنبنت ي‬
‫ر‬
‫الن يجب حمايتها‪.‬‬‫تعتب من أهم البوابات ر‬
‫ر‬
‫ي‬

‫حجب الخدمة (‪)DDos Attack‬‬ ‫أ‪.‬‬

‫محاولة لتعطيل النظام ‪ ،‬وجعل خدماته غب متوافرة عن طريق إرسال طلبات كثبة من ر‬
‫أكب من مصدر يف الوقت نفسه‪.‬‬ ‫ر‬ ‫ر‬

‫الستعداد‪:‬‬ ‫‪-‬‬
‫ماه الخدمات المقدمة لتصدي لهجمات حجب الخدمة‬ ‫ر‬ ‫•‬
‫التواصل مع مقدم مزود خدمة االنبنت لمعرفة ي‬
‫الن يجب اتباعها عند التعرض لهجوم‪.‬‬ ‫ر‬
‫وماه االجراءات ي‬‫ي‬
‫الن يجب تصفيتها عند حدوث اي هجمة‪.‬‬ ‫العنواني البيضاء والمنافذ ر‬
‫ر‬ ‫من‬ ‫قائمة‬ ‫انشاء‬ ‫•‬
‫ي‬
‫تحديد جميع تفاصيل البنية التقنية من أصحاب الخوادم والخدمات وتصميم الشبكة‪.‬‬ ‫•‬
‫الن قد تستهدف للهجوم‪.‬‬ ‫ر‬ ‫•‬
‫تحصي الخوادم واالنظمة والشبكة ي‬ ‫ر‬
‫يشب‬ ‫معرفة حجم تدفق البيانات الطبيع ف الشبكة ألجل اكتشاف اي ارتفاع ر ئ‬
‫مفاج يف حجم التدفق والذي ر‬ ‫ي ي‬ ‫•‬
‫بوجود هجمة قائمة‪.‬‬
‫ر‬ ‫ر‬
‫والن تشمل مزود خدمة االنبنت وفريق الشبكات واالنظمة‬ ‫•‬
‫تحديد جهات االتصال ألجل التواصل الشي ع ي‬
‫وفريق أمن المعلومات‪.‬‬
‫تجهب خطة االستجابة للخدمات يف حال تعرضها للهجوم‪.‬‬ ‫ر‬ ‫•‬

‫‪15‬‬
 ‫الكتشاف والتحليل‪:‬‬ ‫‪-‬‬
‫البوتوكول المستخدمة يف الهجوم‪.‬‬
‫العنواني والمنافذ والروابط وكذلك ر‬
‫ر‬ ‫تحديد‬ ‫•‬

‫الحتواء والزالة والتعاف‪:‬‬ ‫‪-‬‬

‫العنواني أو المنافذ المستخدمة يف الهجوم من خالل برمجيات االنظمة األمنية‪.‬‬
‫ر‬ ‫حجب‬ ‫•‬
‫عنواني بيضاء او جغرافيا‪.‬‬
‫ر‬ ‫تصفية االتصاالت القادمة للحد من أثر هجمات تعطيل الخدمة من خالل قائمة‬ ‫•‬
‫الن تساعد يف صد مثل هذه الهجمات‪.‬‬‫ر‬ ‫•‬
‫تحويل حركة المرور ال خدمات ي‬
‫التواصل مع مزود خدمة ر‬
‫االنبنت للتصدي للهجمة‪.‬‬ ‫•‬
‫اعادة جميع الخدمات المتأثرة ال حالتها السابقة مع التأكد بعدم وجود ئ‬
‫بط يف الشبكة‪.‬‬ ‫•‬
‫الدروس المستفادة من الحادثة‪.‬‬ ‫•‬
‫مراقبة الشبكة من اي انشطة مشبوه‬ ‫•‬

‫ب‪ .‬تشويه مواقع ر‬

‫النبنت (‪)Defaced‬‬
‫وتغب محتوى الصفحة‪.‬‬ ‫ر‬
‫الغب مرصح به لمواقع اإلنبنت ر‬
‫الوصول ر‬

‫الستعداد‪:‬‬ ‫‪-‬‬
‫ون الستخدامها بشكل رسي ع‪.‬‬ ‫ر‬ ‫•‬
‫تجهب نسخة احتياطية محدثة للموقع االلكب ي‬
‫ر‬
‫تحديد اجراءات معتمدة لتحويل الزوار ال النسخة االحتياطية‪.‬‬ ‫•‬
‫ون‪.‬‬ ‫ر‬ ‫•‬
‫استخدام برمجيات تكتشف بشكل عاجل اي تعديل يف المحتوى قد يحدث يف الموقع االلكب ي‬

‫‪ -‬الكتشاف والتحليل‪:‬‬
‫ر‬
‫● مراقبة محتوى صفحات المواقع االلكبونية الكتشاف اي تعديل‪.‬‬
‫● فحص قواعد البيانات من وجود اي ملفات خبيثة‪.‬‬

‫الحتواء والزالة والتعاف‪:‬‬ ‫‪-‬‬

‫عزل خادم الويب المصاب عن الشبكة‪.‬‬ ‫●‬
‫العنواني المرتبطة بالهجوم‪.‬‬
‫ر‬ ‫حجب‬ ‫●‬
‫االستحواذ عل نسخة من النظام المصاب ونسخة من الذاكرة العشوائية ‪.RAM‬‬ ‫●‬
‫استخراج ‪ IOCs‬من خالل االدلة الموجودة بالنظام المصاب والشبكة وعمل فحص عل البيئة من خالل‬ ‫●‬
‫برمجيات أمنية مثل ‪.AV , EDR, YaRa Rule‬‬
‫البحث عن كيفية طريقة دخول المهاجم يف الخادم والبدء يف اصالح المشكلة‪.‬‬ ‫●‬
‫التأكد من أن الثغرة المستخدمة يف الهجوم ليست متواجدة يف مواقع اخرى‪.‬‬ ‫●‬
‫مراجعة جميع الخدمات المرتبطة يف الخادم المصاب‪ ،‬والتأكد من عدم اصابتها‪.‬‬ ‫●‬
‫اعادة تهيئة جميع كلمات المرور للحسابات المرتبطة بالخادم‪.‬‬ ‫●‬
‫ر‬
‫واسبجاع الخدمة‪.‬‬ ‫تفعيل نسخة خادم الويب االحتياطية‬ ‫●‬
‫الدروس المستفادة من الحادثة‪.‬‬ ‫●‬

‫‪16‬‬
 ‫● مراقبة الشبكة من اي انشطة مشبوه‬

‫‪ -5‬تسيب البيانات (‪)Information Leakage‬‬

‫غب مرصح لها االطالع عليها‪.‬‬

‫تشيب البيانات عبارة عن نقل بيانات من المنظمة ال جهة خارجية ر‬

‫الستعداد‪:‬‬ ‫‪-‬‬
‫تصنيف البيانات داخل المنظمة‪.‬‬ ‫•‬
‫تجهب خطة استجابة للبيانات المشبة‪.‬‬‫ر‬ ‫•‬
‫ر‬
‫االشباك يف خدمات استخبارات التهديد (‪ )Threat Intelligence‬لمعرفة اي تشيب بيانات للمنظمة‪.‬‬ ‫•‬
‫تطبيق برمجيات أمنية لمنع حدوث تشب البيانات‪.‬‬ ‫•‬

‫الكتشاف والتحليل‪:‬‬ ‫‪-‬‬

‫تحديد سبب التشب هل حدث من الداخل أو من طرف ثالث‪.‬‬ ‫•‬
‫البحث من خالل محركات البحث او قواعد بيانات خارجية ألي تشب بيانات‪.‬‬ ‫•‬
‫اداة منع تشب البيانات تساعد يف اكتشاف سبب التشب (‪.)DLP‬‬ ‫•‬

‫الحتواء والزالة والتعاف‪:‬‬ ‫‪-‬‬

‫تعليق حساب الموظف بعد التأكد أن التشب حدث من خالله‪.‬‬ ‫•‬
‫عزل الجهاز لعمل تحليالت جنائية رقمية عل النظام‪.‬‬ ‫•‬
‫الن ظهرت يف التشب‪.‬‬ ‫ر‬ ‫•‬
‫اعادة تهيئة كلمات الش للحسابات ي‬
‫الن تم كشف البيانات فيه لحذف البيانات فورا‪.‬‬ ‫ر‬ ‫ر‬ ‫•‬
‫ون ي‬ ‫التواصل مع الموقع االلكب ي‬
‫تحليل البيانات المشبة واتخاذ الالزم لجعلها عديمة الفائدة‪.‬‬ ‫•‬

‫السيبانية‬
‫ر‬ ‫اشياء ل يجب عملها اثناء الستجابة للحوادث‬
‫االول للحادثة‪.‬‬
‫ي‬ ‫عدم ايقاف االنظمة المصابة بل يفضل عزلها عن الشبكة بعد التحليل‬ ‫●‬
‫عند أخذ نسخة كاملة من النظام ال يجب العبث بها وانما يتم اخذ نسخة اضافية ألجل التحليل‪.‬‬ ‫●‬
‫وف حال‬
‫تشفب عل مستوى القرص الصلب ي‬ ‫ر‬ ‫التأكد بعد اخذ نسخة من الذاكرة العشوائية ‪ RAM‬بعدم وجود‬ ‫●‬
‫وجوده يجب عمل نسخة للنظام قبل إيقاف تشغيله‪.‬‬
‫استخدام حسابات مدراء االنظمة لالستجابة للحادثة‪.‬‬ ‫●‬
‫غب مخصصة لالستجابة للحوادث‪.‬‬ ‫تشغيل برمجيات عل االنظمة المصابة ر‬ ‫●‬
‫التعاف‪ ،‬بل يجب‬ ‫اسبجاع نسخة احتياطية من النظام المصاب مما يسبب يف عودة المهاجم بعد عملية‬ ‫ر‬ ‫●‬
‫ي‬
‫فحص والتأكد من سالمة النسخة االحتياطية من وجود اي برمجيات ضارة‪.‬‬

‫‪17‬‬
 ‫إيقاف سلسلة الهجوم (‪)Cyber kill-chain‬‬
‫ر‬
‫الن تم رصد الحادثة‬ ‫ر‬
‫ماه المرحلة الحالية ي‬
‫قي دائما يتبعون سلسلة من المراحل للوصول للهدف وعليك تحديد ي‬ ‫المخب ر‬
‫فيها والبدء يف ايقافها وكذلك معرفة كيف تمت المراحل السابقة لعمل الية دفاعية مستقبال‪.‬‬

‫خطوات السلسلة‪:‬‬
‫‪ .1‬عمليات الفحص (‪:)reconnaissance‬‬
‫أكب قدر من المعلومات عن المنظمة المستهدف‪.‬‬ ‫ر‬
‫والن تهدف لجمع ر‬
‫الغب نشطة ي‬
‫عمليات الفحص النشطة او ر‬

‫البمجيات الضارة (‪:)Weaponization‬‬

‫‪ .2‬اعداد وتجهب ر‬
‫تجهب األدوات والثغرات المناسبة لالستهداف‪.‬‬
‫ر‬

‫البمجيات الضارة (‪:)Delivery‬‬

‫‪ .3‬إيصال ر‬
‫عب أحد الطرق التالية‪:‬‬
‫البمجيات الضارة ر‬‫تحديد طريقة توصيل ر‬
‫ون‬ ‫ر‬
‫البيد االلكب ي‬
‫● ر‬
‫ر‬
‫● االنظمة المتصلة باألنبنت‬
‫● ذواكر التخزين المتنقلة ‪USB‬‬

‫‪ .4‬الستغالل (‪:)Exploitation‬‬
‫ر‬
‫واالخباق وخالفها‪.‬‬ ‫وغبها لتشغيل برمجيات التنصت‬
‫استغالل ثغرة يف نظام التشغيل او الخدمات ر‬

‫‪ .5‬التثبيت (‪:)Installation‬‬
‫تثبيت برمجيات ضارة بالنظام‪.‬‬

‫‪ .6‬التحكم والسيطرة (‪:)COMMAND & CONTROL‬‬

‫فتح قناة للتحكم والسيطرة بالنظام عن بعد‪.‬‬

‫‪ .7‬الهدف (‪:)Objectives‬‬
‫تدمب البنية التحتية او رسقة‬ ‫ر‬ ‫ر‬
‫تشفب الملفات او ر‬
‫ر‬ ‫االخباق اما‬ ‫المخبق اآلن لتحقيق الهدف من‬ ‫بعد الوصول الكامل يسع‬
‫المعلومات‪.‬‬

‫تصنيف الثغرات األمنية‬

‫يوم تكتشف ثغرات أمنية عل برمجيات‪ ،‬أنظمة التشغيل او تطبيقات الويب ومن الممكن الحصول عليها من‬ ‫بشكل ي‬
‫المهتمي يف‬
‫ر‬ ‫جهات خارجية متخصصة او مسؤولة (‪ ،)NCA-NCSC, Threat Intelligence, Vendors‬او من أحد‬
‫ان يقدم تقرير بوجود ثغرة قام بأ كتشافها‪ .‬حيث ان هناك دراسات تمت عام ‪ 2020‬ان عملية ظهور الثغرة‬ ‫السيب ي‬
‫ر‬ ‫األمن‬
‫ر‬
‫وتشب تقارير عالمية مثل تقرير (لشكة ‪ )FireEye‬ان الوقت ما ربي اصدار‬
‫ر‬ ‫وتوافر التحديث تقدر تقريبا ‪ 9‬أيام‪،‬‬
‫ساعتي فقط من ظهور التحديث‪.‬‬
‫ر‬ ‫المهاجمي تصل أحيانا ال‬
‫ر‬ ‫التحديث واستغالل الثغرة من قبل‬

‫‪18‬‬
‫يعتمد ال تعامل مع الحادثة الناشئة من الثغرات بناء عل مدى خطورتها وحساسية النظام المكتشف فيه الثغرة وهنا يتم‬
‫عال‪ ،‬متوسطة‪ ،‬منخفضة)‪.‬‬ ‫التصنيف عل أرب ع فئات (حرج‪ ،‬ي‬
‫أ‪ .‬حرج‪:‬‬
‫ر‬
‫(ف حال‬‫يف حال وجود الخدمة خارجيا يتم فورا حجب الوصول لها من الخارج حن يتم تحديث النظام او حل المشكلة‪ .‬ي‬
‫تقني صالحيات الوصول او حجب األوامر‬‫عدم القدرة عل حجب الخدمة يتم فورا العمل عل تخفيف الخطر من ر‬
‫حن حجب بعض المنافذ المستغلة‪).‬‬ ‫المستخدمة ف الثغرة او ر‬
‫ي‬
‫ف حال وجود الخدمة داخليا يتم العمل عل تحديثها فورا عل اال تزيد ر‬
‫الفبة المتفق عليها داخل المنظمة‪.‬‬ ‫ي‬
‫ب‪ .‬عال‪:‬‬
‫ر‬
‫يف حال وجود الخدمة داخليا‪/‬خارجية يتم العمل عل تحديثها فورا عل اال تزيد الفبة المتفق عليها داخل المنظمة‪.‬‬
‫ت‪ .‬متوسط‪:‬‬
‫ر‬
‫يف حال وجود الخدمة داخليا‪/‬خارجية يتم العمل عل تحديثها فورا عل اال تزيد الفبة المتفق عليها داخل المنظمة‪.‬‬
‫ث‪ .‬منخفض‪:‬‬
‫ر‬
‫يف حال وجود الخدمة داخليا‪/‬خارجية يتم العمل عل تحديثها فورا عل اال تزيد الفبة المتفق عليها داخل المنظمة‪.‬‬

‫‪19‬‬
 ‫خطوات تخفيف المخاطر (‪)Mitigation‬‬
‫يوجد خدمات حساسة ال يمكن إيقافها فورا بسبب احتياج االعمال لذا نلجأ ال تخفيف الخطر وطرد المهاجم‪.‬‬
‫الخطوات‪:‬‬
‫‪ -‬عمل تحديث ألغالق ثغرات النظام يف حال وجود ثغرة قائمة‪.‬‬
‫الن تم اكتشافها من خالل التحليل ويفضل عمل تقييد الوصول للخدمات‬ ‫ر‬
‫العنواني المشبوهة ي‬
‫ر‬ ‫‪ -‬حجب‬
‫اف‪.‬‬
‫واألنظمة عل حسب الموقع الجغر ي‬
‫تغيب جميع كلمات المرور المرتبطة بالخدمة المصابة‪.‬‬
‫ر‬ ‫‪-‬‬
‫‪ -‬مراقبة الخدمة او النظام من خالل مركز السجالت المركزي ‪.SEIM‬‬

‫‪20‬‬
 ‫تحديد أولويات الستجابة للحوادث‬
‫الوقت هو العنرص المهم لالستجابة للحوادث لذا كلما قلت ر‬
‫الفبة الزمنية ربي بداية الهجمة واكتشافها سوف تقل اضار‬
‫الكاف‬ ‫ر‬
‫المبتبة من الهجمة‪ .‬قد يواجه فريق االستجابة العديد من التنبيهات األمنية يف آن واحد‪ ،‬وليس لديهم الوقت‬
‫ي‬
‫ماه التنبيهات األمنية ذات أولوية قصوى حاليا وترتيبها من‬
‫لالستجابة لجميعها‪ ،‬لذا عليك يف هذي الحالة تحديد ي‬
‫األهم ر‬
‫حن األقل أهمية‪.‬‬

‫تحديد األولوية يتم بناءا عل العوامل التالية‪:‬‬

‫مكان الجهاز المصاب يف الشبكة (‪.)DataBase Zone, Users Zone, Webserver zone, etc‬‬ ‫•‬
‫ا‬
‫قيمة البيانات المحفوظة يف الجهاز المصاب‪ (.‬مثل‪ :‬بيانات محفوظة بجهاز موظف عادي ال تقارن يف بيانات‬ ‫•‬
‫مختب لألبحاث الشية)‪.‬‬
‫ر‬ ‫موظف آخر يعمل يف‬
‫الن حدثت عل نفس الجهاز‪.‬‬ ‫ر‬ ‫•‬
‫نوع وعدد الحوادث ي‬
‫ر‬
‫األخباق المرتبطة بالحادثة‪.‬‬ ‫موثوقية ر‬
‫مؤرسات‬ ‫•‬
‫الن تسبب لها ضر بالغ يف حال وقوعها (مثال‪ :‬ررسكة ابحاث وتطوير ر‬
‫تعتب من‬ ‫ر‬
‫وماه الحوادث ي‬ ‫ي‬
‫نشاط ر‬
‫الشكة‬ ‫•‬
‫تعتبها ذات اولوية يف حال وقوعها)‪.‬‬
‫ه فايروسات الفدية وتشيب البيانات لذا ر‬ ‫أكب مخاوفها ي‬
‫ر‬

‫أبرز األدوات والمواقع ال ر‬

‫مقبحة للتحليل واألكتشاف‬
‫ر‬
‫الخباق(‪)IOC‬‬ ‫ادوات لجمع ر‬
‫مؤشات‬
‫ر‬
‫الن من خاللها يتم اكتشاف أنشطة المهاجم وهنا‬ ‫ر‬ ‫ر‬ ‫ر‬
‫الن تساعد يف جمع مؤرسات األخباق ي‬
‫يوجد العديد من االدوات ي‬
‫سوف يتم ذكر بعضا منها‪.‬‬
‫• ‪Sysinternals utilities‬‬
‫• ‪AVZ‬‬
‫• ‪YARA‬‬

‫‪21‬‬
 ‫‪Sysinternals utilities‬‬ ‫أ‪.‬‬
‫الن تعمل عل نظام ويندوز ويوجد ر‬
‫اكب من ‪ 60‬اداة فيها‪ ،‬كما‬ ‫ر‬
‫مجموعة من االدوات لغرض المراقبة واالدارة لألنظمة ي‬
‫ر‬
‫االخباق وتحليل األنظمة المصابة‪.‬‬ ‫تتيح االدوات لمحلل أمن المعلومات عل جمع ر‬
‫مؤرسات‬ ‫ي‬

‫يمكنك تحميلها من هنا ‪https://technet.microsoft.com/en-us/sysinternals/default.aspx‬‬

‫ب‪AVZ .‬‬
‫اداة تساعد يف التحليل واالستعادة‪.‬‬

‫يمكنك تحميلها من هنا ‪http://www.z-oleg.com/secur/avz/download.php‬‬

‫‪22‬‬
 ‫ت‪YARA .‬‬
‫اداة صممت لمساعدة محلل البمجيات ضارة لتحديد وتصنيف الفايروسات الضارة‪.‬تعمل عل ر‬
‫أكب من بيئة تشغيل‬ ‫ي ر‬
‫مثل ويندوز‪ ،‬لينكس ونظام ماك ‪ OS X‬وتستخدم من خالل سطر األوامر أو سكربت بايثون‪.‬‬

‫والن تذكر بأن ف حال تطابق ررسط واحد من ر‬

‫الشوط الثالثة يف أي ملف يجب أن يتم‬ ‫ر‬
‫ي‬ ‫الصورة ادناه تمثل ‪ YARA Rule‬ي‬
‫اعتبار الملف بأنه مصدر تهديد‪.‬‬

‫يمكنك تحميلها من هنا ‪http://virustotal.github.io/yara‬‬

‫ادوات لعمل نسخة من النظام والذاكرة‬

‫ف هذا القسم سوف ر‬
‫نشح عدد من األدوات واستخداماتها النشاء نسخ احتياطية من االنظمة المصابة والذاكرة‬ ‫ي‬
‫العشوائية‪.‬‬
‫• ‪GRR Rapid Response‬‬
‫• ‪Forensic Toolkit‬‬
‫• ‪DumpIt‬‬
‫• ‪Kape‬‬

‫‪23‬‬
 ‫‪GRR Rapid Response‬‬ ‫أ‪.‬‬
‫اداة استجابة للحوادث األمنية تساعد المحلل عل عمل نسخة من األنظمة المصابة عن بعد وكذلك تحليل البيانات‬
‫المستخرجة من النسخ‪.‬‬

‫أبرز الممبات ف الداة‪:‬‬

‫• تحليل الذاكرة وسجالت الويندوز عن بعد‪.‬‬
‫• تحليل القرص الصلب عن بعد‪.‬‬
‫يمكنك تحميلها من هنا ‪https://github.com/google/grr‬‬

‫ب‪Forensic Toolkit .‬‬

‫الرقم "‪ "Digital Forensics‬وتحوي عل مجموعة من االدوات ومنها اداة‬
‫ي‬ ‫اداة متعددة االستخدام خاصة بالتحقيق‬
‫ر‬
‫الن تمكنك من اخذ نسخة من القرص الصلب والذاكرة العشوائية‪.‬‬
‫‪ FTK-Imager‬ي‬

‫يمكنك تحميلها من هنا‬

‫‪http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk?/solutions/digital-‬‬
‫‪forensics/ftk‬‬

‫‪24‬‬
 ‫ت‪DumpIt .‬‬
‫رقم وتستخدم بشكل واسع عل اخذ نسخة من الذاكرة العشوائية وذلك يرجع لسهولة استخدامها‪.‬‬
‫اداة تحقيق ي‬

‫يمكنك تحميلها من هنا‬

‫‪https://github.com/thimbleweed/All-In-USB/tree/master/utilities/DumpIt‬‬

‫ث‪Kape .‬‬
‫رقم تعمل يف أخذ أدلة "‪ "Artifacts‬محددة ذات قيمة عالية للمحلل من األجهزة المصابة وتحلليها وتمتاز‬ ‫اداة تحقيق ي‬
‫بالشعة والكفاءة‪ ،‬وتختلف االداة عن األدوات األخرى بأنها ال تأخذ نسخة كاملة من النظام بل تستخرج األدلة النر‬
‫ي‬
‫يحتاجها المحلل يف التحليل‪.‬‬

‫يمكنك تحميلها من هنا‬

‫‪https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-‬‬
‫‪parser-extractor-kape‬‬

‫‪25‬‬
 ‫والبامج الخبيثة‬
‫ادوات ومواقع لتحليل التهديدات المحتملة ر‬
‫‪Kaspersky Threat Intelligence Portal‬‬ ‫•‬
‫‪VirusTotal‬‬ ‫•‬
‫‪Anyrun‬‬ ‫•‬
‫‪HyberAnalsis‬‬ ‫•‬
‫‪Cuckco‬‬ ‫•‬

‫أ‪Kaspersky Threat Intelligence Portal .‬‬

‫ر‬
‫الن تساعد يف التحليل ومنها‪:‬‬
‫منصة تجمع العديد من االدوات ي‬
‫• ‪Threat Lookup‬‬
‫• ‪Whois Tracking‬‬
‫• ‪APT Reports‬‬
‫• ‪Sandbox‬‬

‫أ‪Threat Lookup .‬‬

‫السيبانية مما تساعد‬ ‫الن تمت من خالل فريق ‪ Kaspersky Lab‬عن التهديدات‬‫ر‬
‫ر‬ ‫تحتوي عل جميع المعلومات ي‬
‫مختص أمن المعلومات من منع الهجمات قبل حدوثها‪.‬‬
‫ي‬

‫ب‪Whois Tracking .‬‬

‫تظهر لك العناوين والنطاقات وبعض المعلومات عن مصدر التهديد مثل (تاري خ أنشاء النطاق ‪ ،‬الجهة المستضيفة‬
‫للنطاق او العنوان)‪.‬‬

‫‪26‬‬
 ‫ت‪APT Reports .‬‬
‫ر‬
‫الن تحدث يف الفضاء‬
‫المختصي عن الهجمات المتقدمة ي‬
‫ر‬ ‫سك يف التوعية وزيادة المعرفة لدى‬
‫كاسب ي‬
‫تساعد تقارير ر‬
‫ان‪.‬‬
‫السيب ي‬
‫ر‬

‫ث‪Sandbox .‬‬
‫نظام تشغيل مخصص لتحليل الروابط والملفات ألكتشاف التهديدات‪ ،‬ويمكن إستخدامه لتحليل الملفات المشبوة‪.‬‬

‫الموقع‪:‬‬
‫‪https://opentip.kaspersky.com‬‬

‫ر‬
‫الن تتيح خدمة الفحص أون الين‪.‬‬
‫تنويه‪ :‬عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي‬

‫ب‪VirusTotal .‬‬
‫منصة متخصصة لتحليل الروابط والملفات ألكتشاف التهديدات‪.‬‬

‫الموقع‪:‬‬
‫‪https://www.virustotal.com/gui‬‬

‫‪27‬‬
 ‫ر‬
‫الن تتيح خدمة الفحص أون الين‪.‬‬
‫تنويه‪ :‬عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي‬

‫ت‪Anyrun .‬‬
‫منصة تفاعلية مخصصة الستعراض وتحليل الروابط والملفات ألكتشاف التهديدات‪.‬‬

‫الموقع‪:‬‬
‫‪https://app.any.run‬‬

‫ر‬
‫الن تتيح خدمة الفحص أون الين‪.‬‬
‫تنويه‪ :‬عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي‬

‫ث‪HyberAnalsis .‬‬
‫منصة مخصصة لتحليل الروابط والملفات ألكتشاف التهديدات‪.‬‬

‫الموقع‪:‬‬
‫‪https://www.hybrid-analysis.com‬‬

‫ر‬
‫الن تتيح خدمة الفحص أون الين‪.‬‬
‫تنويه‪ :‬عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي‬

‫‪28‬‬
 ‫ج‪Cuckco .‬‬
‫غب متصل بشبكة المنظمة‬
‫نظام تشغيل مخصص لتحليل الملفات والروابط المشبوهه حيث يمكن تثبيتها بجهاز ر‬
‫وذلك لعمل التحليالت الالزمة من دون أن يتم االطالع عليها من جهة خارجية‪.‬‬

‫الرسم‪:‬‬
‫ي‬ ‫الموقع‬
‫‪https://cuckoosandbox.org‬‬
‫ررسح طريقة التثبيت‪:‬‬
‫‪https://www.binary-zone.com/2020/03/18/howto-setup-and-use-the-cuckoovm-v2‬‬

‫ادوات لتحليل الذاكرة العشوائية‬

‫‪Volatility‬‬ ‫•‬
‫‪Rekall‬‬ ‫•‬

‫‪Volatility‬‬ ‫أ‪.‬‬
‫ر‬
‫الن تم االستحواذ عليها من الحادثة للذاكرة العشوائية‪.‬‬
‫رقم تستخدم ألستخراج االدلة من النسخة ي‬
‫اداة تحقيق ي‬

‫يمكنك تحميلها من هنا ‪http://www.volatilityfoundation.org‬‬

‫‪29‬‬
 ‫ب‪Rekall .‬‬
‫ر‬
‫الن تم االستحواذ عليها من الحادثة‪ .‬كما تتيح‬
‫رقم تستخدم ألستخراج االدلة من نسخة الذاكرة العشوائية ي‬
‫اداة تحقيق ي‬
‫ر‬
‫االداة عمل تحليل للذاكرة العشوائية مبارسة من دون أخذ نسخة لها‪.‬‬

‫يمكنك تحميلها من هنا ‪http://www.rekall-forensic.com‬‬

‫ادوات لتحليل القرص الصلب‬

‫• )‪The Sleuth Kit(TSK‬‬

‫وه‬ ‫ر‬
‫الن تسمح لك بتحليل القرص الصلب واستعادة الملفات ‪ ،‬ويوجد لها واجهة رسومية ي‬‫مجموعة من سطر األوامر ي‬
‫تعتب الواجهة رسومية ألداة ‪.TSK‬‬
‫اداة ‪ Autopsy‬حيث انها ر‬

‫‪30‬‬
 ‫يمكنك تحمل اداة ‪ The Sleuth Kit‬من هنا ‪http://www.sleuthkit.org/sleuthkit‬‬
‫يمكنك تحميل اداة ‪ Autopsy‬من هنا ‪http://www.sleuthkit.org/autopsy/‬‬

‫ادوات للبحث عن النصوص(‪)Strings‬‬

‫‪Strings Utility‬‬ ‫•‬

‫ر‬
‫والن بدورها تساعد بالبحث داخل‬
‫اداة تستخدم من خالل سطر اوامر وتوجد يف أنظمة تشغيل لينيكس ويونكس ي‬
‫الملفات عن رموز ‪ Unicode‬أو ‪ . ASCI‬كما يمكن البحث عن النصوص من النسخة المستخرجة من االنظمة المصابة‬
‫ون‪ ،‬سجالت الويندوز الخ)‬ ‫ر‬
‫البيد االلكب ي‬
‫العنواني‪ ،‬ر‬
‫ر‬ ‫مثل البحث عن (الروابط‪،‬‬

‫يمكنك تحميلها لنظام الويندوزمن هنا‬

‫‪https://docs.microsoft.com/en-us/sysinternals/downloads/strings‬‬

‫تقارير معلومات استباقية(‪)Threat Intelligence Reports‬‬

‫ان وتعمل تقارير عل‬
‫السيب ي‬
‫ر‬ ‫هناك جهات موثوقة تعمل عل جمع ورصد المعلومات لالنشطة المشبوة يف الفضاء‬
‫ر‬
‫االخباق المكتشفة يف الهجمة‪.‬‬ ‫ر‬
‫ومؤرسات‬ ‫السلوك‬

‫أمثلة عىل بعض المصادر لتقارير المعلومات الستباقية‬

‫‪FireEye‬‬ ‫•‬
‫‪Verizon‬‬ ‫•‬
‫‪TrustWave‬‬ ‫•‬
‫‪Palo Alto Networks‬‬ ‫•‬
‫‪F-Secure‬‬ ‫•‬

‫‪31‬‬
 ‫مصطلحات‬

‫المصطلح‬ ‫المعن‬
IOC (Indicator Of Compromise) ‫ر‬
‫االخباق‬ ‫مؤرسات‬‫ر‬
EndPoints ‫المستخدمي‬
‫ر‬ ‫أجهزة‬
Wipe ‫مسح البيانات والكتابة فوقها عدة مرات‬
Miner ‫برمجيات التعدين‬
EDR (Endpoint Detection and Response) ‫برمجيات االستجابة للحوادث‬
SEIM ‫مركز سجالت المركزية‬
IR (Incident Response) ‫االستجابة للحادثة‬
Data Loss Prevention )DLP) ‫اداة منع تشب البيانات‬
Artifacts ‫االدلة الرقمية‬

‫المصادر‬

https://github.com/certsocietegenerale/IRM/tree/master/EN •
https://media.kasperskycontenthub.com/wp- •
content/uploads/sites/43/2018/03/07171449/Incident_Response_Guide_eng.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf •
https://nca.gov.sa/images/glossary.jpg •
https://www.fireeye.com/blog/threat-research/2020/04/time-between-disclosure-patch- •
release-and-vulnerability-
exploitation.html#:~:text=12%20percent%20of%20vulnerabilities%20were,week%20followi
ng%20the%20patch%20release.&text=15%20percent%20of%20vulnerabilities%20were,one
.%20month%20of%20patch%20release

32