Incident Handling Process
تكلمنا في ما سبق بشكل تعريفي عن Incident Handling اليوم بدنا نعرف كيف بصير ال Incident Handling شو الخطوات يلي بمرق فيها التيم الشغال في IR شو التكنيك المعتمد , كيف افرق بين event هو Normal او Abnormal … الخ
هذا الموضوع رح يكون طويل ممكن يتم تقسيمه الى اجزاء و السبب لازم تكون فاهم طبيعة الشغل من البداية عشان تقدر تشتغل في دماغك ما تكون حافظ حفظ
عشان نعمل Incident Handling لازم نمشي في اكثر من مرحلة و رح يكون معنى في
Incident Handling Process :
رح نتكلم عن كل مرحلة بالتفصيللل عشان نعرف كل مرحلة شو بصير .
تمام قبل ما نفوت بتفاصيل المراحل خليني ارجع اذكرك انت ك T1 و T2 شو وظيفتك
الان انت daily activities (نشاطاتك اليومية ) هي عبارة عن discussing (مناقشات ) حول كيف ممكن الهاكر يوصل الى نظامك او تشوف او attacker attempted (محاولة اختراق ) او تعمل تشيك على النظام الخاص فيك بالاضافة الى →
preventing, detecting and responding
طبعا انا بفترض انك بتعرف
preventing, detecting تمام طيب شو يعني
responding ؟
ممكن تفهم مصطلح responding انو في حدا عمل علينا attack يلا يا شباب نقوم نعمل عليه attack زي ما عمل عليناا .... وهذا مفهوم غلططط
مفهوم responding هو ايش ال action او techniques عشان هذا الاختراق ما يتكرر مرة ثانية فقططط
هون بنيجي لنقطة مهمة انو انت ك
incident handler لازم يكون عندك aware (وعي ) في ال
attacker techniques, tactics, and procedures
TTP
رح تحكيلي كيف ؟
لازم تفكر بنفس تفكير
attacker عشان تعرف كيف ممكن يصير عليك الهجوم . و هون رح تسألني سؤال ثاني .
هل كل attacker بفكرو بنفس الطريقة ؟ لا
ولكن ال attacker عشان يوصل للهدف لازم يتبع عدد من المراحل و هاي المراحل بنسميها :
Cyber Kill Chain
هاي ال 7 مراحل لازم يمشي attacker فيها عشان يقدر يحقق الهدف
ببساطة attacker لما بدو يخترق ما رح يجي يحكي اللهم اني نويت اخترق هاي الشركة … لا لازم يخطط , يجمع معلومات , يجهز tool …الخ
1. Reconnaissance
يلي هي Gathering information جمع المعلومات …
يعني لو فرضنا بدو يخترق شركة بدو يجمع معلومات زي
email addresses , عدد الموظفين , مواقع الشركة , اسمائهم , الموقع الفيزيائي لششركة .
اي معلومة ممكن تساعدو يلاقي مدخل للضحية في الاختراق .
2. Weaponization
مرحبة التسليح يعني زي اختيار سلاح الجريمة ؛ انت بعد ما عملت Reconnaissance و عرفت معلومات عن الضحية شو نقاط الضعف يلي عندو حسب المعلومات يلي حصلت عليها رح تختار tool او استراتيجية او malware . يلي رح تمشي فيها
3. Delivery
هاي المرحلة يلي بدي اوصل فيها مثلا ال malware لل ضحية ممكن اوصله عن طريق email , usb … etc
يعني مثلا خلال جمع المعلومات لقيت انو عند الشركة صفحات سوشيل ميديا و المسؤول عنها بفتح اي رابط رح ابعتلو ال malware عن طريقه و هكذااا …
4. Exploitation
الان كونو ال exploit وصل هاي مرحلة الاختراق هاي المرحلة عشان تكون تمام لازم تكون مشيت على ال3 خطوات القبل هون انت المفروض داخل الجهاز تقدر تنفذ العملية يلي بدك ياها داخل الضحية .
5. Installation
في هذه المرحلة ال attacker بحاول يضل مستمر و ثابت في جهاز الضحية و هي مرحبة اختيارية بنسبة لل attacker بس ممكن ال attacker بدو يثبت نفسو في الجهاز بحيث بقدر اي وقت يوصل لجهاز الضحية و ممكن يستخدمو في اختراقات ثانية
6. Command and Control
هون بعد Installation ال attacker بقدر يتحكم في جهازك عن بعد و هون ممكن يستخدم جهازك في عمليات اختراق ثانية
7. Actions on Objectives
هون ال attacker خلص هو قادر يعمل اي اشي في جهازك و رح يبداء بتحقق هدفو .
ممكن تشوفوا الصورة في شرح مبسط لكل مرحلة ممكن تفهم اكثر و ممكن تبحث عن الموضوع بشكل اعمق انا شرحت كل مرحلة بشكل مبسط جدا
ملاحظة : لما اكتب موضوع كلو كلام و تعريفات و شرح ما بحب يكون طويل عشان ما تمل و انتا بتقراء لذلك كل مقال رح يكون بهذا الحجم
المقال القادم نستكمل ان شاء الله :
2.2 Incident Handling Process
