Professional Documents
Culture Documents
دليل الاستجابة للحوادث السيبرانية
دليل الاستجابة للحوادث السيبرانية
Twitter:T44T_
الفهرس
1
خطوات تخفيف المخاطر (20 .................................................................. )MITIGATION
ر
المقبحة للتحليل واألكتشاف 21 ..................................................... أبرز األدوات والمواقع
الخباق(21 .......................................................................................... )IOC ر مؤشات ادوات لجمع ر
أ22 .......................................................................................................... Sysinternals utilities .
ب22 ................................................................................................................................ AVZ .
ت23 .............................................................................................................................. YARA .
2
ُ
تركت هذه الصفحة فارغة عمدا
3
شكر وتقدير
مالك الدورسي
@Malajab
السحيم
ي محمد
@Msuhaymi
4
المقدمة
5
مدخل
السيبانية ويقدمها كخطوات ر ان لالستجابة للحوادث السيب ي
ر محللي األمن
ر تمت كتابة هذا الدليل اإلرشادي ليساعد
تسلسلية مرتبة .وال يخف عل الجميع بأن الحوادث تختلف فيما بينها مما يصعب كذلك حرص طرق االستجابة وال يوجد
هطريقة واحدة فقط متبعة ومعتمدة بل ان لكل حادثة طريقة مختلفة ال حد ما ،وننوه بأن الطرق المذكورة هنا غالبا ي
محلل مباكمه منالمستخدمة ف االستجابة ،لذا يجب ان نشب بأن االستجابة والتعامل مع الحادثة مبن عل خبات ر
ي ر ي ر ي
الخبة والمهارات ر
االستجابة للحوادث ،وقد توجد له رؤية مختلفة يف بعض االحيان والدليل هنا يفبض بأن القارئ لديه ر
وغبها.
السيبانية كالتحليل ر
ر االساسية لالستجابة للحوادث
6
السيبانية ()NIST standard
ر منهجية االستجابة للحوادث
الدروس االحتواء
االكتشاف
المستفادة واالزالة االستعداد
والتحليل
والتقارير والتعافي
االستعداد:
السيبانية ،حرص االصول التقنية يف البنية التحتية لألنظمة والشبكات
ر وتجهب فريق االستجابة للحوادث
ر تدريب
وتجهب برمجيات ان ر
ر السيب ي
ر والتطبيقات وباألخص الحساس منها والتأكد من استيفاء الشوط الخاصة بضوابط االمن
البمجيات والخوادم باإلضافة بناءالسيبانية وكذلك التحقق من وجود سجالت من جميع ر
ر خاصة باالستجابة للحوادث
السيبانية عند وقوعها.
ر خطة لالستجابة للحوادث
االكتشاف والتحليل:
يتم االكتشاف والتحليل حسب المراحل ادناه:
المراقبة ●
الرصد واالكتشاف ●
التحليل ●
االول
ي التقرير ●
والتعاف:
ي االحتواء واالزالة
7
● إعادة تهيئة االنظمة المصابة.
التعاف
ي ● تفعيل خطة
ر
اللكبون البيد
-1ر
ر
الن يجب ر
تعتب من أهم القنوات ي
هاجمي للوصول ال الشبكة لذا ر
ر ون الوسيلة المفضلة لدى الم
البيد االلكب ي
يعتب ر
ر
زيادة الحماية فيها.
8
السيناريو األول:
ون التصيدي بالظغط عل الرابط أو فتح المرفق ،عليك ر
البيد االلكب ي
يف حال ان المستخدم أستقبل الرسالة وتفاعل مع ر
اتباع االرشادات ادناه:
الجراء:
• عزل النظام عن الشبكة.
• تغي رب كلمة الش الخاصة بالمستخدم وكذلك اي كلمات رس مستخدمة او محفوظه بالنظام.
الفبوسات ومعزول عن الشبكة بالبيد من خالل معمل خاص لفحص ر • فحص الملفات أو الروابط المتضمنة ر
ر
مؤرسات االخباق .IOCsالداخلية والعمل عل ستخراج ر
• التحليل من خالل مركز السجالت المركزية ( )SEIMمن اتصاالت مشبوهة انشئت من قبل نظامه او أجهزة
أخرى داخل المنظمة.
ر
للمستخدمي االخرين من خالل إدارة بوابة
ر ون • التأكد من عدم وجود أي حاالت تصيد مشابهة يف ر
البيد االلكب ي
أمن بعدم التجاوب واالبالغ. ر
مستقبلي اخرين يتم ارسال تنبيه ي
ر وف حال وجودون ي البيد االلكب ي
ر
• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل انظمة الحماية.
• فحص النظام من خالل برمجيات الحماية والتأكد من خلوها من برمجيات الضارة.
• استعادة النظام المصاب للشبكة بعد التأكد من خلوها من األنشطة الضارة.
السيناريو الثان:
ون عليك اتباع االرشادات ادناه: ر
البيد االلكب ي
يف حال ان المستخدم أستقبل الرسالة ولم يتفاعل مع ر
الجراء:
الفبوسات ومعزول عن الشبكة بالبيد من خالل معمل خاص لفحص ر • فحص الملفات أو الروابط المتضمنة ر
ر
االخباق .IOCs الداخلية واستخراج ر
مؤرسات
• التأكد من ان المستخدم ري لم يقوموا بالتفاعل سواء القيام بفتح الرابط الضار او الملفات المرفقة أو بالرد عل
ون ر
المرسل وتستطيع التحقق من ذلك من خالل مركز السجالت المركزية ( )SEIMاو إدارة البوابة االلكب ي
للبيد.
ر
ر
للمستخدمي االخرين من خالل إدارة بوابة
ر ون • التأكد من عدم وجود أي حاالت تصيد مشابهة يف ر
البيد االلكب ي
أمن بعدم التجاوب واالبالغ. ر
مستقبلي اخرين يتم ارسال تنبيه ي
ر وف حال وجودون ي البيد االلكب ي ر
• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل انظمة الحماية.
السيناريو الثالث:
البيد ويتوقع استقباله لذا يتم
أمن من مستخدم بوجود رسائل بريدية يشتبه بها مع معرفته مصدر ر يف حال وجود بالغ ي
كاالن:التعامل مع البالغ ر
ي
الجراء:
البيد ( Email ر
حقيف او مزيف من خالل ترويسة ر
ي ● تحليل مصدر الرسالة والتأكد من العنوان المرسل منه
.)Header
● تحليل الملفات او الروابط من خالل معمل لتحليل الفايروسات بنظام خارج الشبكة والتأكد من خلوها من اي
ملفات ضارة.
9
الجراء:
ون من قبل المستخدم وتحويل اي ر
البيد االلكب ي
يتم حجب مصدر الرسالة من قبل برامج الحماية أو من خالل تطبيق ر
البيد المزعج. ر
تأن من المرسل لصندوق ر
رسالة ي
الجراء:
ون وارسال تنبيه لهم بعدم التعامل ر • تحديد
البيد االلكب ي
المستخدمي الذين استقبلوا الرسالة من خالل بوابة ر
ر
مع رسائل مجهولة المصدر.
الفبوسات ومعزول عن الشبكة بالبيد من خالل معمل خاص لفحص ر • فحص الملفات أو الروابط المتضمنة ر
ر
االخباق .IOCs الداخلية واستخراج ر
مؤرسات
• التحليل من خالل مركز السجالت المركزية ( )SEIMمن اتصاالت مشبوهة انشئت من قبل نظامه او أجهزة
أخرى داخل المنظمة.
• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل برمجيات الحماية.
السيناريو األول:
ون عليك اتباع االرشادات ادناه: ر
البيد االلكب ي
يف حال ان المستخدم أستقبل الرسالة ولم يتفاعل مع ر
الجراء:
الفبوسات ومعزول عن الشبكة بالبيد من خالل معمل خاص لفحص ر • فحص الملفات أو الروابط المتضمنة ر
ر
االخباق .IOCs الداخلية واستخراج ر
مؤرسات
• التأكد من ان المستخدم ري لم يقوموا بالتفاعل سواء القيام بفتح الرابط الضار او الملفات المرفقة أو بالرد عل
ون ر
المرسل وتستطيع التحقق من ذلك من خالل مركز السجالت المركزية ( )SEIMاو إدارة البوابة االلكب ي
للبيد.
ر
ر
للمستخدمي االخرين من خالل إدارة بوابة
ر ون • التأكد من عدم وجود أي حاالت تصيد مشابهة يف ر
البيد االلكب ي
أمن بعدم التجاوب واالبالغ. ر
مستقبلي اخرين يتم ارسال تنبيه ي
ر وف حال وجودون ي البيد االلكب ير
• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل انظمة الحماية.
السيناريو الثان:
ون بالظغط عل الرابط أو فتح المرفق ،عليك اتباع ر
البيد االلكب ي
يف حال ان المستخدم أستقبل الرسالة وتفاعل مع ر
االرشادات ادناه:
10
الجراء:
• يتم عزل نظام الموظف عن الشبكة.
تغيب كلمة الش الخاصة بالمستخدم وكذلك اي كلمات رس مفعلة او محفوظه بالنظام. ر •
الفبوسات المعزول عن الشبكة • فحص الملفات أو الروابط المتضمنة بالرسالة من خالل معمل خاص لفحص ر
ر
االخباق .IOCs الداخلية واستخراج ر
مؤرسات
• التحليل من خالل مركز السجالت المركزية ( )SEIMمن اتصاالت مشبوهة انشئت من قبل نظامه او أجهزة
أخرى.
وف حال وجود ر • التأكد من عدم استقبال الرسالة من
ون ي البيد االلكب ي موظفي آخرين من خالل بوابة ر
ر
البيد.
أمن لهم بعدم فتح الرسالة وعدم التعامل مع رسائل ر مستقبلي اخرين يتم ارسال تنبيه ي
ر
• حجب مصدر الرسالة وكذلك الروابط الضارة من خالل برمجيات الحماية.
• اعادة تهيئة النظام يف حال تم التأكد يف وجود اصابة برمجيات خبيثة يف النظام.
-2الشبكة
يف حال ظهور أي تنبيهات أمنية من خالل احدى برمجيات الحماية مثل ( AV, EDR, Email & Network
.)security
انواع الهجمات:
التحكم والسيطرة ()Callback •
الدودة الرقمية ()Worms •
فايروس الفدية ()Ransomware •
هجوم كش كلمة المرور ()Brute Force Attack •
برمجيات التعدين ()Minar •
برمجيات المزعجة ()Ads, PUP •
الستعداد: -
ر
والن تشمل فريق الشبكات ،االنظمة ،أمن المعلومات وفريق •
تحديد جهات االتصال ألجل التواصل الشي ع ي
المطورين.
المعرفة الكاملة بتصميم الشبكة الداخلية. •
التأكد من تحديث جميع برمجيات األنظمة األمنية. •
11
-الكتشاف والتحليل:
ر
تحليل االتصاالت الخارجة والقادمة للنظام لمعرفة حجم األثر الذي تسبب فيه االخباق من خالل مركز سجالت
المركزية.
-الحتواء والزالة والتعاف:
• فصل النظام عن الشبكة (من خالل EDRأو يدويا).
• حجب العناوين المشبوه الذي تواصل معه نظام المصاب.
• تهيئة كلمات الش لجميع الحسابات المفعلة بالنظام وحسابات مدراء األنظمة يف حال رصد استخدامها.
• االستحواذ عل نسخة من النظام المصاب ونسخة من الذاكرة العشوائية .RAM
• استخراج IOCsمن خالل االدلة الموجودة بالنظام المصاب والشبكة وعمل فحص عل البيئة من خالل
برمجيات مثل . EDR, YARA Rule،AV
• تهيئة النظام أو استعادة نسخة احتياطية بعد التأكد من سالمة بياناتها.
التعاف من الحادثة.
ي • تفعيل خطة
• الدروس المستفادة من الحادثة.
• مراقبة الشبكة من اي انشطة مشبوه.
الستعداد: -
ر
تحديد جهات االتصال ألجل التواصل الشي ع وال ين تشمل فريق الشبكات ،االنظمة ،أمن المعلومات وفريق •
المطورين.
المعرفة الكاملة بتصميم الشبكة الداخلية. •
التأكد من تحديث جميع برمجيات األنظمة األمنية. •
12
معرفة طرق االزالة من خالل مراسلة الدعم للمنتجات المستخدمة يف المنظمة "مثل مايكروسوفت" او •
البحث يف المواقع المتخصصة يف الحماية.
استخراج IOCsمن خالل االدلة الموجودة بالنظام المصاب والشبكة وعمل فحص عل البيئة من خالل •
برمجيات أمنية مثل .AV, EDR, YaRa Rule
تهيئة النظام أو استعادة نسخة احتياطية بعد التأكد من سالمة بياناتها. •
اسبجاع الشبكة المعزولة للبيئة الحية.بعد التأكد من احتواء الفايروس يتم ر •
سماح الوصول ر
لألنبنت للشبكة المعزولة. •
الدروس المستفادة من الحادثة. •
مراقبة الشبكة من اي انشطة مشبوه. •
الستعداد: -
ر
والن تشمل فريق الشبكات ،االنظمة ،أمن المعلومات وفريق •
تحديد جهات االتصال ألجل التواصل الشي ع ي
المطورين.
المعرفة الكاملة بتصميم الشبكة الداخلية. •
التأكد من تحديث جميع برمجيات األنظمة األمنية. •
13
استعادة نسخة احتياطية بعد التأكد من سالمة بياناتها. •
التشفب.
ر يف حال الرغبة ٍباستعادة الملفات المشفرة يتم البحث عن برمجيات فك •
اسبجاع الشبكة المعزولة للبيئة الحية.بعد التأكد من احتواء الفايروس يتم ر •
سماح الوصول ر
لإلنبنت للشبكة المعزولة. •
الدروس المستفادة من الحادثة. •
مراقبة الشبكة من اي انشطة مشبوه •
المستخدمي.
ر االجتماع لمحاولة خداع
ي المهاجمي باستخدام أحدى منصات التواصل
ر يقوم
السيناريو األول:
ينتم للجهة الخاصة بك.
ي المهاجم قام بالتسجيل يف أحدى المواقع االجتماعية وأدع بأنه
الجراء:
ينتم اليهم
ي الفن للموقع و أبالغهم بأن المستخدم ال
الرسم مع الدعم ي
ي • تتواصل الجهة من خالل حسابها
ويجب اغالق الحساب.
14
السيناريو الثان:
وظيف وقام المهاجم
ي الموظفي لديك ألجل تقديم عرض
ر ينتم ال جهة ما وقام بالتواصل مع أحدى
ي يدع بأنه
ي المهاجم
بإرسال ملف وورد ضار ألجل الوظيفة الجديدة ،واكتشفت احدى برمجيات الحماية الملف الضار وقامت بإيقافه قبل
أن يتم فتحه واصدرت تنبيه عل ذلك.
الجراء:
• استخراج IOCsمن الملف وعمل فحص عل البيئة من خالل برمجيات أمنية مثل .AV , EDR, YaRa Rule
الموظفي بعدم التعامل مع المهاجم.
ر • ارسال تنبيه لجميع
السيناريو الثالث:
وظيف وقام المهاجم
ي لموظفي لديك ألجل تقديم عرض
ر ينتم ال جهة ما وقام بالتواصل مع أحدى ا
ي يدع بأنه
ي المهاجم
بإرسال ملف وورد ضار ألجل الوظيفة الجديدة ،واكتشفت احدى برمجيات الحماية الملف الضار واصدرت تنبيه عل
ذلك ولم تقم بأيقافه.
الجراء:
• االستجابة تعتمد عل نوع الملف الضار الذي قام الموظف بفتحه وبناءا عل ذلك يتم التعامل
معها.)Callback, Worm, Phishing etc.(.
-4خدمات الويب
ر
الن من خاللها يستطيع المهاجم من الحاق الرصر بالجهة المستهدفة لذا ر
ه البوابة الخارجية ي تعتب مواقع األنبنت ي
ر
الن يجب حمايتها.تعتب من أهم البوابات ر
ر
ي
الستعداد: -
ماه الخدمات المقدمة لتصدي لهجمات حجب الخدمة ر •
التواصل مع مقدم مزود خدمة االنبنت لمعرفة ي
الن يجب اتباعها عند التعرض لهجوم. ر
وماه االجراءات يي
الن يجب تصفيتها عند حدوث اي هجمة. العنواني البيضاء والمنافذ ر
ر من قائمة انشاء •
ي
تحديد جميع تفاصيل البنية التقنية من أصحاب الخوادم والخدمات وتصميم الشبكة. •
الن قد تستهدف للهجوم. ر •
تحصي الخوادم واالنظمة والشبكة ي ر
يشب معرفة حجم تدفق البيانات الطبيع ف الشبكة ألجل اكتشاف اي ارتفاع ر ئ
مفاج يف حجم التدفق والذي ر ي ي •
بوجود هجمة قائمة.
ر ر
والن تشمل مزود خدمة االنبنت وفريق الشبكات واالنظمة •
تحديد جهات االتصال ألجل التواصل الشي ع ي
وفريق أمن المعلومات.
تجهب خطة االستجابة للخدمات يف حال تعرضها للهجوم. ر •
15
الكتشاف والتحليل: -
البوتوكول المستخدمة يف الهجوم.
العنواني والمنافذ والروابط وكذلك ر
ر تحديد •
الستعداد: -
ون الستخدامها بشكل رسي ع. ر •
تجهب نسخة احتياطية محدثة للموقع االلكب ي
ر
تحديد اجراءات معتمدة لتحويل الزوار ال النسخة االحتياطية. •
ون. ر •
استخدام برمجيات تكتشف بشكل عاجل اي تعديل يف المحتوى قد يحدث يف الموقع االلكب ي
-الكتشاف والتحليل:
ر
● مراقبة محتوى صفحات المواقع االلكبونية الكتشاف اي تعديل.
● فحص قواعد البيانات من وجود اي ملفات خبيثة.
16
● مراقبة الشبكة من اي انشطة مشبوه
الستعداد: -
تصنيف البيانات داخل المنظمة. •
تجهب خطة استجابة للبيانات المشبة.ر •
ر
االشباك يف خدمات استخبارات التهديد ( )Threat Intelligenceلمعرفة اي تشيب بيانات للمنظمة. •
تطبيق برمجيات أمنية لمنع حدوث تشب البيانات. •
السيبانية
ر اشياء ل يجب عملها اثناء الستجابة للحوادث
االول للحادثة.
ي عدم ايقاف االنظمة المصابة بل يفضل عزلها عن الشبكة بعد التحليل ●
عند أخذ نسخة كاملة من النظام ال يجب العبث بها وانما يتم اخذ نسخة اضافية ألجل التحليل. ●
وف حال
تشفب عل مستوى القرص الصلب ي ر التأكد بعد اخذ نسخة من الذاكرة العشوائية RAMبعدم وجود ●
وجوده يجب عمل نسخة للنظام قبل إيقاف تشغيله.
استخدام حسابات مدراء االنظمة لالستجابة للحادثة. ●
غب مخصصة لالستجابة للحوادث. تشغيل برمجيات عل االنظمة المصابة ر ●
التعاف ،بل يجب اسبجاع نسخة احتياطية من النظام المصاب مما يسبب يف عودة المهاجم بعد عملية ر ●
ي
فحص والتأكد من سالمة النسخة االحتياطية من وجود اي برمجيات ضارة.
17
إيقاف سلسلة الهجوم ()Cyber kill-chain
ر
الن تم رصد الحادثة ر
ماه المرحلة الحالية ي
قي دائما يتبعون سلسلة من المراحل للوصول للهدف وعليك تحديد ي المخب ر
فيها والبدء يف ايقافها وكذلك معرفة كيف تمت المراحل السابقة لعمل الية دفاعية مستقبال.
خطوات السلسلة:
.1عمليات الفحص (:)reconnaissance
أكب قدر من المعلومات عن المنظمة المستهدف. ر
والن تهدف لجمع ر
الغب نشطة ي
عمليات الفحص النشطة او ر
.4الستغالل (:)Exploitation
ر
واالخباق وخالفها. وغبها لتشغيل برمجيات التنصت
استغالل ثغرة يف نظام التشغيل او الخدمات ر
.5التثبيت (:)Installation
تثبيت برمجيات ضارة بالنظام.
.7الهدف (:)Objectives
تدمب البنية التحتية او رسقة ر ر
تشفب الملفات او ر
ر االخباق اما المخبق اآلن لتحقيق الهدف من بعد الوصول الكامل يسع
المعلومات.
18
يعتمد ال تعامل مع الحادثة الناشئة من الثغرات بناء عل مدى خطورتها وحساسية النظام المكتشف فيه الثغرة وهنا يتم
عال ،متوسطة ،منخفضة). التصنيف عل أرب ع فئات (حرج ،ي
أ .حرج:
ر
(ف حاليف حال وجود الخدمة خارجيا يتم فورا حجب الوصول لها من الخارج حن يتم تحديث النظام او حل المشكلة .ي
تقني صالحيات الوصول او حجب األوامرعدم القدرة عل حجب الخدمة يتم فورا العمل عل تخفيف الخطر من ر
حن حجب بعض المنافذ المستغلة). المستخدمة ف الثغرة او ر
ي
ف حال وجود الخدمة داخليا يتم العمل عل تحديثها فورا عل اال تزيد ر
الفبة المتفق عليها داخل المنظمة. ي
ب .عال:
ر
يف حال وجود الخدمة داخليا/خارجية يتم العمل عل تحديثها فورا عل اال تزيد الفبة المتفق عليها داخل المنظمة.
ت .متوسط:
ر
يف حال وجود الخدمة داخليا/خارجية يتم العمل عل تحديثها فورا عل اال تزيد الفبة المتفق عليها داخل المنظمة.
ث .منخفض:
ر
يف حال وجود الخدمة داخليا/خارجية يتم العمل عل تحديثها فورا عل اال تزيد الفبة المتفق عليها داخل المنظمة.
19
خطوات تخفيف المخاطر ()Mitigation
يوجد خدمات حساسة ال يمكن إيقافها فورا بسبب احتياج االعمال لذا نلجأ ال تخفيف الخطر وطرد المهاجم.
الخطوات:
-عمل تحديث ألغالق ثغرات النظام يف حال وجود ثغرة قائمة.
الن تم اكتشافها من خالل التحليل ويفضل عمل تقييد الوصول للخدمات ر
العنواني المشبوهة ي
ر -حجب
اف.
واألنظمة عل حسب الموقع الجغر ي
تغيب جميع كلمات المرور المرتبطة بالخدمة المصابة.
ر -
-مراقبة الخدمة او النظام من خالل مركز السجالت المركزي .SEIM
20
تحديد أولويات الستجابة للحوادث
الوقت هو العنرص المهم لالستجابة للحوادث لذا كلما قلت ر
الفبة الزمنية ربي بداية الهجمة واكتشافها سوف تقل اضار
الكاف ر
المبتبة من الهجمة .قد يواجه فريق االستجابة العديد من التنبيهات األمنية يف آن واحد ،وليس لديهم الوقت
ي
ماه التنبيهات األمنية ذات أولوية قصوى حاليا وترتيبها من
لالستجابة لجميعها ،لذا عليك يف هذي الحالة تحديد ي
األهم ر
حن األقل أهمية.
21
Sysinternals utilities أ.
الن تعمل عل نظام ويندوز ويوجد ر
اكب من 60اداة فيها ،كما ر
مجموعة من االدوات لغرض المراقبة واالدارة لألنظمة ي
ر
االخباق وتحليل األنظمة المصابة. تتيح االدوات لمحلل أمن المعلومات عل جمع ر
مؤرسات ي
بAVZ .
اداة تساعد يف التحليل واالستعادة.
22
تYARA .
اداة صممت لمساعدة محلل البمجيات ضارة لتحديد وتصنيف الفايروسات الضارة.تعمل عل ر
أكب من بيئة تشغيل ي ر
مثل ويندوز ،لينكس ونظام ماك OS Xوتستخدم من خالل سطر األوامر أو سكربت بايثون.
23
GRR Rapid Response أ.
اداة استجابة للحوادث األمنية تساعد المحلل عل عمل نسخة من األنظمة المصابة عن بعد وكذلك تحليل البيانات
المستخرجة من النسخ.
24
تDumpIt .
رقم وتستخدم بشكل واسع عل اخذ نسخة من الذاكرة العشوائية وذلك يرجع لسهولة استخدامها.
اداة تحقيق ي
ثKape .
رقم تعمل يف أخذ أدلة " "Artifactsمحددة ذات قيمة عالية للمحلل من األجهزة المصابة وتحلليها وتمتاز اداة تحقيق ي
بالشعة والكفاءة ،وتختلف االداة عن األدوات األخرى بأنها ال تأخذ نسخة كاملة من النظام بل تستخرج األدلة النر
ي
يحتاجها المحلل يف التحليل.
25
والبامج الخبيثة
ادوات ومواقع لتحليل التهديدات المحتملة ر
Kaspersky Threat Intelligence Portal •
VirusTotal •
Anyrun •
HyberAnalsis •
Cuckco •
26
تAPT Reports .
ر
الن تحدث يف الفضاء
المختصي عن الهجمات المتقدمة ي
ر سك يف التوعية وزيادة المعرفة لدى
كاسب ي
تساعد تقارير ر
ان.
السيب ي
ر
ثSandbox .
نظام تشغيل مخصص لتحليل الروابط والملفات ألكتشاف التهديدات ،ويمكن إستخدامه لتحليل الملفات المشبوة.
الموقع:
https://opentip.kaspersky.com
ر
الن تتيح خدمة الفحص أون الين.
تنويه :عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي
بVirusTotal .
منصة متخصصة لتحليل الروابط والملفات ألكتشاف التهديدات.
الموقع:
https://www.virustotal.com/gui
27
ر
الن تتيح خدمة الفحص أون الين.
تنويه :عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي
تAnyrun .
منصة تفاعلية مخصصة الستعراض وتحليل الروابط والملفات ألكتشاف التهديدات.
الموقع:
https://app.any.run
ر
الن تتيح خدمة الفحص أون الين.
تنويه :عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي
ثHyberAnalsis .
منصة مخصصة لتحليل الروابط والملفات ألكتشاف التهديدات.
الموقع:
https://www.hybrid-analysis.com
ر
الن تتيح خدمة الفحص أون الين.
تنويه :عدم تحميل أي ملفات حساسة لدى الجهة الخاصة بك يف المواقع ي
28
جCuckco .
غب متصل بشبكة المنظمة
نظام تشغيل مخصص لتحليل الملفات والروابط المشبوهه حيث يمكن تثبيتها بجهاز ر
وذلك لعمل التحليالت الالزمة من دون أن يتم االطالع عليها من جهة خارجية.
الرسم:
ي الموقع
https://cuckoosandbox.org
ررسح طريقة التثبيت:
https://www.binary-zone.com/2020/03/18/howto-setup-and-use-the-cuckoovm-v2
Volatility أ.
ر
الن تم االستحواذ عليها من الحادثة للذاكرة العشوائية.
رقم تستخدم ألستخراج االدلة من النسخة ي
اداة تحقيق ي
29
بRekall .
ر
الن تم االستحواذ عليها من الحادثة .كما تتيح
رقم تستخدم ألستخراج االدلة من نسخة الذاكرة العشوائية ي
اداة تحقيق ي
ر
االداة عمل تحليل للذاكرة العشوائية مبارسة من دون أخذ نسخة لها.
30
يمكنك تحمل اداة The Sleuth Kitمن هنا http://www.sleuthkit.org/sleuthkit
يمكنك تحميل اداة Autopsyمن هنا http://www.sleuthkit.org/autopsy/
31
مصطلحات
المصطلح المعن
IOC (Indicator Of Compromise) ر
االخباق مؤرساتر
EndPoints المستخدمي
ر أجهزة
Wipe مسح البيانات والكتابة فوقها عدة مرات
Miner برمجيات التعدين
EDR (Endpoint Detection and Response) برمجيات االستجابة للحوادث
SEIM مركز سجالت المركزية
IR (Incident Response) االستجابة للحادثة
Data Loss Prevention )DLP) اداة منع تشب البيانات
Artifacts االدلة الرقمية
المصادر
https://github.com/certsocietegenerale/IRM/tree/master/EN •
https://media.kasperskycontenthub.com/wp- •
content/uploads/sites/43/2018/03/07171449/Incident_Response_Guide_eng.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf •
https://nca.gov.sa/images/glossary.jpg •
https://www.fireeye.com/blog/threat-research/2020/04/time-between-disclosure-patch- •
release-and-vulnerability-
exploitation.html#:~:text=12%20percent%20of%20vulnerabilities%20were,week%20followi
ng%20the%20patch%20release.&text=15%20percent%20of%20vulnerabilities%20were,one
.%20month%20of%20patch%20release
32