لا يعود فشل العديد من عمليات الاستجابة للحوادث السيبرانية إلى نقص في الأدوات الذكية أو المهارات التقنية، بل يكمن السبب غالباً فيما يحدث فور اكتشاف التهديد، حينما يكون الضغط مرتفعاً والمعلومات غير مكتملة.
في عالم الأمن الرقمي، الفرق بين السيطرة على الاختراق أو تفاقمه يظهر بوضوح في اللحظات الأولى. ونشير في تيكبامين إلى أن هذه القرارات المبكرة لا تتعلق فقط بالسرعة، بل بتحديد الاتجاه الصحيح قبل أن تتصلب الافتراضات وتضيع الخيارات المتاحة.
لماذا تعتبر "أول 90 ثانية" الأخطر في التحقيق؟
غالباً ما يتم وصف اللحظات الأولى بـ "أول 90 ثانية"، ولكن أخذ هذا المصطلح حرفياً قد يضيع المعنى الحقيقي. الأمر لا يتعلق بمسابقة المهاجم في السرعة، بل يتعلق باتخاذ قرارات هادئة وحاسمة تحدد مسار التحقيق بالكامل.
تشكل القرارات الفورية حجر الزاوية في نجاح العملية، وتشمل:
- تحديد ما يجب فحصه أولاً بدقة.
- اتخاذ قرارات عاجلة بشأن حفظ الأدلة الرقمية.
- تحديد ما إذا كان الحادث مشكلة نظام فردي أو بداية لنمط هجوم أوسع.
مفهوم الـ 90 ثانية كنمط متكرر وليس حدثاً وحيداً
أحد أكثر الأخطاء شيوعاً التي يلاحظها الخبراء هو التعامل مع المرحلة الافتتاحية للتحقيق كحدث درامي واحد ينتهي بمجرد البدء. الحقيقة أن "أول 90 ثانية" تتكرر في كل مرة يتغير فيها نطاق الاختراق أو يتم اكتشاف نظام جديد متأثر.
عندما يكتشف المحققون نظاماً جديداً، تبدأ دورة القرار من جديد:
- الوصول إلى النظام المتأثر وتقييمه.
- تحديد البيانات التي تهم التحقيق في هذا الجزء.
- ربط الأدلة الجديدة بباقي بيئة الشبكة.
هذا التكرار هو ما يجعل الفرق تشعر بالإرهاق، حيث ينظرون إلى حجم بيئتهم التقنية ويشعرون أنهم يواجهون آلاف الأجهزة في وقت واحد، بينما الواقع يتطلب التركيز على مجموعة صغيرة من الأنظمة تتوسع تدريجياً.
كيف يدير المحترفون الاستجابة للحوادث بنجاح؟
الفرق القوية في مجال الأمن السيبراني لا تعيد اختراع نهجها في كل مرة تواجه فيها نظاماً مصاباً جديداً. بدلاً من ذلك، يطبقون انضباطاً صارماً ومنهجية ثابتة تسمح للنطاق بالنمو دون فقدان السيطرة.
وفقاً لتحليلات تيكبامين، يطرح المحققون الناجحون أسئلة محددة في كل خطوة:
- ما الذي تم تنفيذه بالضبط على هذا النظام؟
- متى تم تنفيذ الأكواد أو الأوامر المشبوهة؟
- ما هي الأنشطة المحيطة بهذا التنفيذ؟
- من أو ماذا تفاعل مع هذا النظام؟
إن القرارات المبكرة هي التي تمنع الفرق من التسرع في "إصلاح" نظام واحد وإغلاق التذكرة، بدلاً من فهم الصورة الكاملة للهجوم ومنع تكراره.
