Skip to main content
رجوع طباعة مخصصة Text Only Rich Text PDFطباعة / حفظ بصيغة
تحميل الوثيقة الأصلية

  • 5 مرحلة التنفيذ

    • 1.5 نظرة عامة

      تبدأ المرحلة بقيام مزود أعمال محاكاة الهجمات السيبرانية بتنفيذ سيناريوهات الهجوم. ويجب إطلاع الفريق الأبيض والأخضر على آخر المستجدات أثناء تنفيذ العملية. ويجب تسجيل كافة الإجراءات للاحتفاظ بها لأغراض الإثبات وتسهيل الإعادة عند الحاجة، بالتعاون مع الفريق الأزرق.

      وفيما يلي لمحة عامة عن العملية:
       


       

    • 2.5 تنفيذ خطة محاكاة الهجمات السيبرانية

      يجب أن يبدأ مزود أعمال محاكاة الهجمات السيبرانية في تنفيذ تمرين محاكاة الهجمات السيبرانية باتباع السيناريوهات المتفق عليها وضد الأصول أو الوظائف الحرجة (المعلومات) التي تم اختيارها مسبقاً. ويُذكر أن السيناريوهات المتفق عليها ليست ملزمة بشكل صارم، فهي مجرد مخطط عام، وقد لا تتوافق بشكل كامل مع البيئة التشغيلية الفعلية التي تتم مواجهتها أثناء مرحلة التنفيذ. ومع ذلك، يجب على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض والفريق الأخضر بالتعديلات المقترحة في السيناريوهات. ويجب السماح بالانحراف عن السيناريوهات الأولية ويكون ذلك مرغوباً فيه في حالة مواجهة العقبات.

      ويجب على مزود أعمال محاكاة الهجمات السيبرانية تطبيق خبراتهم وإبداعهم لتطوير طرق أو حلول بديلة من أجل الوصول إلى الأصول أو الوظائف الحرجة (المعلومات) المحددة. ومن الأهمية أن يظل مزود أعمال محاكاة الهجمات السيبرانية على اتصال وثيق مع كل من الفريقين الأخضر والأبيض ويطلعهم باستمرار على التقدم المحرز أثناء اختبار محاكاة الهجمات السيبرانية – وذلك وفقاً لعدد مرات التحديث التي تم الاتفاق عليه أثناء جلسة انطلاق العمل، أو يتم إخطارهم على الفور في حالة التصعيد أو الأحداث أو الحوادث الخطيرة.

    • 3.5 تنفيذ السيناريوهات المحددة والمتفق عليها

      وفي حالة اكتشاف الفريق الأزرق لأي أحداث يكون الفريق الأحمر قد تسبب فيها أثناء عمله، يجب على مزود أعمال محاكاة الهجمات السيبرانية، بالتعاون مع قائد الفريق الأبيض، تقييم إمكانية المضي قدماً في اختبار محاكاة الهجمات السيبرانية وفقا للخطة الأصلية أو تعديل استراتيجية الهجوم الأولية.

      ويجب على قائد الفريق الأبيض مراعاة الخيارات التالية عند اكتشاف إجراءات مزود أعمال محاكاة الهجمات السيبرانية:

      1. وقف أو تأجيل الاختبار في حالة وجود خطر كبير يهدد بتعطل العمل؛
      2. الإشراف على الفريق الأزرق وتوجيهه بحرص شديد أثناء أنشطة الاستجابة، خاصة إذا طرحت إمكانية اتخاذ تدابير متطرفة (والتي من بينها إبلاغ سلطات إنفاذ القانون بالحادث أو إغلاق الخدمات الحيوية للتخفيف من أي تأثيرات إضافية ..إلخ)؛
      3. إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بالاستمرار في سيناريوهات الهجوم الأولية؛
      4. إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بضرورة مراجعة الهجوم (الذي تم اكتشافه) أو البحث عن حل بديل للأصل المعلوماتي الحرج ومتابعة سيناريو الهجوم المعدل بعد موافقة قائد الفريق الأبيض؛
      5. إبلاغ الفريق الأخضر بشأن الكشف عن الأحداث واتخاذ قرار بشأن التمرين.
      6. الطلب من مزود أعمال محاكاة الهجمات السيبرانية وضع سيناريو هجوم بديل مصمم خصيصاً للأصول المعلوماتية الحرجة المعدلة (مثل أي تغييرات في النطاق).

    • 4.5 الإبلاغ

      بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، أو وقف الاختبار بناءً على طلب قائد الفريق الأبيض، يجب على مزود أعمال محاكاة الهجمات السيبرانية إعداد ملاحظاتهم ونتائجهم الأولية، ويفضل أن يتم ذلك وفقاً للترتيب الزمني. ويجب مناقشة هذه الملاحظات والنتائج مع الفريق الأخضر والأبيض. وتوفر هذه الملاحظات والنتائج الأساس لتقييم قدرات الكشف والاستجابة لدى الفريق الأزرق. وبعد إجراء التقييم الأولي، يجب على الفريق الأبيض مشاركة ملاحظاته، بحسب الأدوار المنوطة به ورؤيته. 
       
      ملاحظة: بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، يتعين على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض على الفور بالنصوص الكتابية أو التعليمات البرمجية أو البرمجيات الخبيثة التي ثبتها الفريق الأحمر، إلخ.، بما في ذلك تقديم لمحة عامة عن معرفات المستخدم التي تم إنشاؤها أو اختراقها أو (إعادة) استخدامها أثناء الاختبار. ويتعين على قائد الفريق الأبيض أن يثبت للفريق الأخضر أن "مؤشرات الاختراق' قد أزيلت بالفعل أو تمت إعادة الضبط مرة أخرى.
       
      يجب أن يذكر الفريق الأبيض كافة المعلومات التي تم اكتشافها أو ملاحظتها من قبل الفريق الأزرق. ويجب على مزود أعمال محاكاة الهجمات السيبرانية استخدام هذه المعلومات لتقييم قدرات الكشف والاستجابة للفريق الأزرق بشكل عام في مسودة التقرير. ويجب أن يشير مزود أعمال محاكاة الهجمات السيبرانية إلى جميع الملاحظات والنتائج والتوصيات والتقييمات ذات الصلة، والتي تمت ملاحظتها أو تجربتها أثناء مرحلة الإعداد ومرحلة وضع السيناريو والتنفيذ، بما في ذلك الملاحظات والنتائج والتوصيات والتقييمات الواردة من الفريقين الأبيض والأخضر. وبالنسبة للتوصية المقدمة، فيجب أن تأخذ في الاعتبار الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي  والممارسات الجيدة الأخرى المعمول بها في هذا المجال. 
       

      ومن الضروري أن يتضمن التقرير النهائي تسلسلات الهجوم السيبراني التي تم استغلالها، وتلخيصها في شكل مخططات لمتجهات الهجوم. ويجب أن توفر مخططات متجهات الهجوم رؤى معمقة حول كيفية تنفيذ سيناريوهات الهجوم والأجزاء التي تحتاج إلى مزيد من التركيز عند تنفيذ إجراءات التخفيف. ويجب أن تتوافق كافة الفرق المعنية على التقرير النهائي ويلتزم المزود بتقديم نسخة من التقرير إلى البنك المركزي.

      يرجى الاطلاع على الملحق (ب) متطلبات الإبلاغ، لمزيد من التفاصيل حول المتطلبات الواجب اتباعها من قبل مزود أعمال محاكاة الهجمات السيبرانية.