العملية القياسية للاستجابة للحوادث
الاستجابة للحوادث (Incident Response - IR) هي العملية المنظمة التي تستخدمها المؤسسة للتعامل مع وإدارة اختراق أمني أو هجمة سيبرانية.
تتبع الـ IR عادةً دورة حياة رسمية (غالباً مبنية على معيار NIST SP 800-61).
1. التحضير (Preparation)
تحدث هذه المرحلة قبل وقوع أي حادث.
- تطوير خطة وسياسات الاستجابة للحوادث.
- تدريب الموظفين وإنشاء قنوات اتصال.
- ضمان نشر وجاهزية أدوات المراقبة (SIEM, EDR) والأدوات الجنائية.
2. التعرف (Identification)
هذا هو وقت اكتشاف الحادث وتحليله لأول مرة.
- الكشف: انطلاق تنبيه (مثلاً من SIEM أو EDR أو بلاغ مستخدم).
- التحقق: التأكد من أن الحدث هو حادث أمني حقيقي (وليس تنبيهاً كاذباً).
- تحديد النطاق: تحديد مدى الاختراق (أي الأنظمة تأثرت، ما هي البيانات التي تم الوصول إليها، ومدة بقاء المهاجم).