عمان- مع تزايد التهديدات السيبرانية عالميا، أصبح من الضروري على المؤسسات تبني استراتيجيات دفاعية متقدمة لحماية أصولها الرقمية. يهدف هذا المقال إلى تقديم خريطة طريق عملية لتعزيز الأمن السيبراني، مستندا إلى تحليل الدروس المستفادة من الهجمات السيبرانية الأخيرة وكيفية تحويلها إلى إجراءات وقائية فعالة. في الأردن، أصبحت الحاجة إلى تعزيز الأمن السيبراني أكثر إلحاحا مع التوسع في التحول الرقمي واعتماد المؤسسات الحكومية والخاصة على التكنولوجيا في تقديم الخدمات. ومن بين الجهود الوطنية البارزة، قام المركز الوطني للأمن السيبراني بوضع معايير وضوابط تهدف إلى حماية الأنظمة الرقمية من التهديدات السيبرانية، إلى جانب إقرار الإطار الوطني الأردني للأمن السيبراني للعام 2024، الذي يعد إطارا شاملا موجها للجهات المتعاملة مع الوزارات والدوائر الحكومية. يهدف هذا الإطار إلى ضمان التزام المؤسسات بتطبيق أفضل الممارسات العالمية. مع تطور الخدمات والمنصات الحكومية الرقمية التي تسهم في تبسيط حياة المواطنين، تأتي الحاجة إلى رفع مستوى الوعي الأمني للأفراد والمؤسسات لحماية البيانات الحساسة وضمان استمرارية الأعمال. شهد الأردن، في السنوات الأخيرة، زيادة ملحوظة في المبادرات الوطنية وبرامج التدريب التي تهدف إلى بناء قدرات الشباب والموظفين في مجال الأمن السيبراني، وهو ما يعد أمرا حيويا لمواكبة التهديدات الرقمية المتزايدة، وتعزيز قدرة البلاد على التصدي للهجمات السيبرانية.اضافة اعلان
الهجوم السيبراني
بعد أي هجوم سيبراني، تصبح معالجة الحوادث الأمنية بشكل منهجي ضرورية. هذه العملية تعزز الدفاعات السيبرانية وتزيد من القدرة على الصمود في مواجهة التهديدات المستقبلية. تميل العديد من المؤسسات إلى العودة بسرعة إلى العمليات اليومية بعد وقوع حادث أمني، في محاولة لتجاوز التوتر المرتبط بالحادث. ومع ذلك، فإن الأيام التي تلي الأزمة مباشرة، توفر فرصة قيمة لمعالجة الدروس المستفادة بطريقة منهجية. يقدم هذا المقال نظرة عامة حول كيفية استخدام الدروس المستفادة من الحادث بفعالية، مع التركيز على المهام التي غالبا ما يتم إهمالها.
الرؤية المكتسبة من الاستجابة
توفر الاستجابة لهجوم سيبراني للمؤسسات رؤية معمقة حول بنيتها التحتية وتقنياتها التشغيلية. حتى مجرد توثيق هذه الرؤية يعد خطوة مفيدة. إضافة إلى ذلك، قد يكشف الهجوم عن أساليب المهاجمين، وهو ما يشبه إلى حد ما تمارين الاختراق بواسطة الفرق الحمراء Red Teaming. في مثل هذه التمارين، يقوم فريق أمني مختص Red Teaming  بمحاكاة دور المهاجمين للكشف عن الثغرات الأمنية في المؤسسة. تحاكي هذه التمارين الهجمات الحقيقية على الأنظمة والبنية التحتية والإجراءات الأمنية، بهدف اكتشاف نقاط الضعف باستخدام التقنيات نفسها التي قد يستخدمها المهاجمون الفعليون. على عكس اختبارات الاختراق التقليدية، فإن تمارين الفرق الحمراء  Red Teaming، تدمج الجوانب الاستراتيجية والتشغيلية للأمن السيبراني، مما يساعد في تعزيز استراتيجيات الدفاع والاستعداد لمختلف التهديدات. حتى في الحالات الخطيرة مثل، هجمات الفدية Ransomware، حيث تكون استعادة العمليات الحيوية أولوية، يبقى تحليل الهجوم أمرًا بالغ الأهمية لفهم الوضع الأمني العام للشبكة والأنظمة الإلكترونية.
مصادر الدروس المستفادة: يمكن أن تأتي الرؤية المكتسبة من معالجة الحوادث الأمنية من مصادر عدة، مثل:
. الملاحظات اللامركزية التي يسجلها أفراد فرق الاستجابة.
• تحليل الدروس المستفادة الذي يجمعها فريق إدارة الأزمات.
• المراجعات التقييمية المستوحاة من منهجيات الإدارة الرشيقة Agile Retrospectives.
• تقارير مقدمي خدمات الاستجابة للحوادث، التي تقدم تحليلات جنائية وتوصيات أمنية.
تحليل الحوادث السيبرانية
يبدأ أي تحليل منهجي للأحداث الأمنية، بقيام المؤسسات بتوثيق المعلومات الأساسية أثناء معالجة الحادث مباشرة وبعده. يلي ذلك تنظيم وتحليل هذه المعلومات لتحديد الإجراءات التصحيحية. قبل البدء في هذه العملية، يجب على المؤسسة تحديد:
• من هو الجمهور المستهدف؟ (الإدارة العليا، فرق الأمن السيبراني، الشركاء الخارجيون، إلخ).
• ما هو الهدف الرئيسي؟
• تحسين أداء فرق تكنولوجيا المعلومات والأمن السيبراني.
• تعزيز التدابير الأمنية 
التقنية والتنظيمية.
• تأمين ميزانيات إضافية لتحسين الاستعداد لمواجهة الحوادث المستقبلية.
التعامل مع أصحاب المصلحة
الإدارة العليا التي تتخذ قرارات تخصيص الموارد لمعالجة المخاطر، وتبحث في تحسينات بسيطة يمكن أن تقلل من احتمالية وقوع حوادث مستقبلية. وأيضا فرق الأمن السيبراني التي تركز على تنفيذ الحلول التقنية التي تمنع أو تكتشف أو تخفف من الحوادث المستقبلية، مثل تطبيق المعايير الأمنية أو نشر تقنيات جديدة. إضافة إلى الشركاء والعملاء الذين غالبا ما يسألون عما إذا كانت بياناتهم قد تأثرت، وما إذا كانت الخدمات ستستمر من دون انقطاع. لذا فإن التواصل الشفاف خلال الأزمات ضروري للحفاظ على الثقة والحد من الأضرار المحتملة للسمعة.
توثيق تكتيكات المهاجمين
يمكن للمؤسسات توثيق تكتيكات وتقنيات وإجراءات - Tactics, Techniques & Procedures  TTPs، المهاجمين لتحليل أساليبهم وأهدافهم وأدواتهم. تسجيل هذه المعلومات مع استجابات الفرق الأمنية يسمح بإنشاء دليل تشغيلي   Runbook، لمواجهة الحوادث المستقبلية. دليل الاستجابة للحوادث  Runbook، هو مستند يحتوي على:
• خطوات إجرائية لمعالجة الحوادث الأمنية.
• مسارات التصعيد والإبلاغ عن المخاطر.
• بروتوكولات الاتصال الداخلي والخارجي أثناء الأزمات.
• معالجة الفجوات في الأمن السيبراني.
يجب على المؤسسات تحديد ومعالجة أي ثغرات في الوعي الأمني لموظفيها. إذا تم اكتشاف نقص في المهارات اللازمة لمواجهة التهديدات، فيجب تنفيذ برامج تدريب أمني مستهدف. إضافة إلى ذلك، من المهم تحليل العمليات الأمنية لضمان الامتثال للبروتوكولات الأمنية وتحديد نقاط الضعف التشغيلية وتصحيحها لتحسين الوضع الأمني الشامل للمؤسسة.
تحقيق المكاسب السريعة
يمكن للمؤسسات تنفيذ تدابير سريعة لتعزيز الأمن على المدى القصير، مثل:
•تفعيل المصادقة المتعددة Multi-Factor Authentication  MFA، مما يضيف طبقة تحقق إضافية تقلل بشكل كبير من مخاطر الوصول غير المصرح به.
• استبدال الأنظمة القديمة،  إذ تشكل الأجهزة غير المدعومة أمنيًا مخاطر كبيرة ويجب التخلص منها فورًا.
• تقليل الامتيازات غير الضرورية من خلال تقييد وصول المستخدمين إلى الحد الأدنى المطلوب، مما يقلل من مخاطر الاستغلال الداخلي أو الاختراق الخارجي.
مشاركة المعلومات حول التهديدات والهجمات السيبرانية 
يعد التعاون مع مجتمعات الأمن السيبراني الموثوقة، أمرًا بالغ االأهمية. يمكن مشاركة مؤشرات الاختراق  Indicators of Compromise - IoC،  مع الشركاء لتعزيز القدرة على الاكتشاف المبكر للهجمات. تشمل منصات مشاركة معلومات التهديدات ما يأتي:
• MISP - Malware Information Sharing Platform، لتبادل معلومات التهديدات الأمنية تلقائيًا.
• OpenCTI -Open Cyber Threat Intelligence، منصة لتحليل وتتبع التهديدات السيبرانية بشكل منظم.
إضافة إلى ذلك، يمكن للمؤسسات المشاركة في مراكز تبادل وتحليل المعلومات، التي تقدم تقارير دورية حول التهديدات الأمنية الخاصة بكل قطاع.
تعزيز بيئة أمنية قوية
إلى جانب التدابير الأمنية الداخلية، يجب على المؤسسات تعزيز بيئتها الأمنية من خلال التعاون مع الشركاء والجهات ذات العلاقة. تعتمد الأمن السيبراني على الذكاء الجماعي، حيث يؤدي تبادل المعلومات والخبرات إلى تعزيز القدرة على التصدي للهجمات المستمرة. تشير التقارير إلى أن المهاجمين يستهدفون الضحايا أنفسهم مرات عدة، كما هو الحال مع مجموعات التهديدات المتقدمة المستمرة  Advanced persistent threat (APT)، التي تستهدف المؤسسات بشكل متكرر. لذلك، يجب على المؤسسات الاستثمار في تحسين الأمن على المدى القصير والطويل لتجنب الهجمات المتكررة.
يعد الأمن السيبراني عملية مستمرة تتطلب من المؤسسات مراجعة الثغرات بانتظام، وتحسين استراتيجيات الاستجابة للحوادث، ومشاركة المعلومات لتعزيز القدرة الدفاعية. إن تحليل نقاط الضعف الداخلية ومشاركة أفضل الممارسات داخل مجتمع الأمن السيبراني يسهم في تعزيز المرونة الرقمية، مما يؤدي إلى بناء بيئة إلكترونية أكثر أمانا واستدامة.