إجراء مراجعات ما بعد الحوادث
الوصف
إنشاء وتتابع على مراجعات ما بعد الحوادث. يجب أن تتضمن مراجعات ما بعد الحادث الدروس المستفادة وتحديثات الإدارة وتحسين فني يمكن تحديده ضمن جدول زمني كجزء من عمليات فريق الاستجابة للحوادث.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة تنسيق الأمان والأتمتة والاستجابة مع أتمتة أدلة التشغيل وإدارة الحالات
Palo Alto Networks · اشتراك مؤسسي
منصة تنسيق الأمان والاستجابة الآلية مع أدلة التشغيل وإدارة الحالات وأكثر من 350 تكاملاً
Cisco (Splunk) · اشتراك قائم على الأحداث
الاستجابة للحوادث الأمنية والاستجابة للثغرات مع التنسيق وأتمتة سير العمل والتكامل مع قاعدة بيانات إدارة التكوين
ServiceNow · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تكرار نوع حادث سبق حدوثه
السريةتعاني المؤسسة من نفس نوع الحادث الأمني بشكل متكرر لأنه لم تُجرَ أي مراجعة بعد الحادث لتحديد الأسباب الجذرية وتنفيذ الإجراءات التصحيحية بعد الحدوث الأول.
استغلال نفس ناقل الهجوم من قبل جهات تهديد مختلفة
السلامةتستغل جهات تهديد متعددة نفس الثغرة أو مسار الهجوم لأن المؤسسة لم تُجرِ أبداً مراجعة بعد الحادث لسد الفجوة بعد الاختراق الأولي.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود عملية مراجعة بعد الحادث
بدون مراجعات بعد الحادث، لا تحدد المؤسسة الدروس المستفادة أو الأسباب الجذرية أو الإجراءات التصحيحية بعد الحوادث الأمنية، مما يؤدي إلى تعرض متكرر لنفس نواقل الهجوم.
عدم تتبع إجراءات المتابعة من الحوادث
يعني غياب مراجعات بعد الحادث أن إجراءات المعالجة المحددة أثناء الاستجابة للحوادث لا يتم توثيقها أو تتبعها رسمياً حتى الإكمال، مما يسمح لنقاط الضعف المحددة بالاستمرار.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |