مبادئ تحليل التهديدات السيبرانية للقطاع المالي
الرقم: 43065348 التاريخ (م): 2022/2/27 | التاريخ (هـ): 1443/7/26 الحالة:نافذ أشير إلى استراتيجية الأمن السيبراني للقطاع المالي الهادفة إلى خلق قطاع مالي آمن وموثوق يُمكّن من النمو والازدهار، ومن خلال متابعة التغير في نماذج الأعمال للمؤسسات المالية، والاعتماد على التقنية في المعاملات المالية، واستقطاب تقنيات ناشئة وحديثة.
عليه؛ فقد لوحظ تغير في مستوى التهديدات السيبرانية (Threat Landscape) للقطاع المالي والذي نتج عنه تطور سريع وملحوظ من قبل مجموعات الاختراق المتقدمة ("Advance Persistence Threats "APT) التي تستهدف القطاع المالي لأغراض مختلفة وذلك على عدة أصعدة وأساليب وأدوات وإجراءات مستخدمة من قبلهم، مما يُحتم تطوير قدرات الرصد والتقصي للمؤسسات المالية للعمل بشكل استباقي يواكب تطور مجموعات الاختراق،
بناءً عليه، وانطلاقاً من دور البنك المركزي الرقابي والإشرافي على القطاع المالي، نحيطكم باعتماد (Financial Sector Cyber Threat Intelligence Principles) مبادئ تحليل التهديدات السيبرانية للقطاع المالي والتي تهدف إلى وضع أسس علمية وعملية للرصد والتقصي عن التهديدات السيبرانية وتعزيز ممارسات المؤسسات المالية في استقصاء التهديدات السيبرانية (Threat Landscape) لأخذ الإجراءات الاحترازية وتغذية مختلف الإدارات التقنية والتشغيلية وإدارات الأعمال بمعلومات استباقية (Threat Intelligence) تلائم عمل هذه الإدارات، حيث تم تقسيم المبادئ على عدة مستويات كالآتي:- مبادئ أساسية - والتي يتطلب العمل بها كأساس لجميع عمليات الرصد والتقصي عن التهديدات السيبرانية.
- مبادئ استراتيجية - تركز على الجوانب الإستراتيجية للمعلومة المتقصَّى عنها مثل أهداف ودوافع مجموعات الاختراق وتحديد سيناريوهات الاختراق والهجوم المتوقعة حسب مستوى التهديدات السيبرانية للجهة والقيام بالتقييمات اللازمة،
- مبادئ تشغيلية - تستهدف تحليل الأنماط والأساليب التشغيلية لمجموعات الاختراق مثل البرامج الخبيئة والإجراءات المتبعة وتصنيف المراحل المختلفة للهجمات (Taxonomization).
- مبادئ تقنية - وهي المبادئ المتعارف عليها في تحليل الهديدات السيبرانية للخروج بمؤشرات الاختراق وضوابط الكشف والتصدي عن الهجمات السيبرانية.
عليه، ولتعزيز المرونة السيبرانية للقطاع المالي ورفع مستوى النضج للرصد والتصدي الاستباقي للتهديدات السيبرانية؛ فقد تقرر الآتي:
- عمل تقييم دقيق للوضع الحالي لإدارة التهديدات الأمنية (Threat Intelligence) في المؤسسة المالية مقارنة بما ورد في المبادئ (Gap Assessment) بمختلف تصنيفاتها لتحديد الفجوات.
- وضع خطة عمل (Roadmap) للالتزام التام بالمبادئ اعتباراً من تاريخه، وذلك حسب المدد التالية:
أ. ستة أشهر للمبادئ الأساسية والتشغيلية والتقنية.
ب. اثنا عشر شهراً للمبادئ الإستراتيجية. - يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم لتطبيقها.
- على لجنة الأمن السيبراني في المؤسسة المالية متابعة تطبيق المبادئ ومدى الالتزام بالخطة المعتمدة وتقديم الدعم الكامل لحل العقبات والتحديات التي تواجه الفرق المختصة في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه أن يؤثر أو يعيق تطبيق المبادئ.
يتعين على المؤسسة المالية تقديم الدعم اللازم لإدارة الأمن السيبراني لتطبيق كل ما ورد في الدليل وتعزيز دور تحليل التهديدات السيبرانية والتأكيد على تزويدهم بالكفاءات والكوادر الوطنية المدربة والأدوات التقنية والتدريب الملائم للقيام بمهامهم على أكمل وجه.
كما نود الإحاطة بأن البنك المركزي سيقوم بعمل زيارات إشرافية للتحقق من الالتزام التام بهذه المبادئ، وفي حال وجود استفسارات بهذا الخصوص يمكن التواصل مع الإدارة العامة للرقابة على المخاطر السيبرانية ممثلةً بالمركز الاستشرافي للأمن السيبراني على البريد الإلكتروني: (CFC@SAMA.GOV.SA).
مقدمة
مع الرقمنة التدريجية للخدمات المالية، أصبحت حماية البيانات الحساسة والمعاملات وإتاحة الخدمات من أولويات القطاع المالي في المملكة العربية السعودية. ولا تعد هذه الخدمات أساسية للاقتصاد العالمي والوطني فحسب، بل إنها حيوية أيضًا للابتكار الرقمي والأمن القومي.
وتشكل الهجمات السيبرانية تحدياً كبيراً للمؤسسات بشكل متزايد، حيث أصبحت الجهات الفاعلة في مجال التهديد أكثر تقدماً وتطور باستمرار أساليب عملها ونواقل الهجوم. وتُمكِّن استخبارات التهديدات السيبرانية المؤسسات من جمع وتحليل ومشاركة البيانات المتعلقة بالتهديدات السيبرانية. إن الفهم الأفضل لهذه التهديدات السيبرانية، الحالية والناشئة على حد سواء، يمكّن المؤسسات من استباق الهجمات السيبرانية وحماية أصول المعلومات الهامة.
تعد الوثيقة امتدادًا للدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي، وتحديدًا في المجال الفرعي "إدارة التهديدات" المرتبط به. ووضع البنك المركزي مبادئ استخبارات التهديدات السيبرانية بهدف توسيع نطاق ممارسات استخبارات التهديدات السيبرانية في القطاع المالي الذي ينظمه البنك المركزي.
نطاق التطبيق
هذه الوثيقة إلزامية لجميع المؤسسات المالية الخاضعة لرقابة البنك المركزي.
وهي مخصصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات والرؤساء التنفيذيين لأمن المعلومات والأفراد المسؤولين عن تحديد وتنفيذ ومراجعة معلومات التهديدات السيبرانية داخل المؤسسات المالية.
المسؤوليات
تم إصدار هذه الوثيقة بتكليف من البنك المركزي، وهو الجهة المالكة للوثيقة والمسؤولة عن تحديثاتها الدورية. تتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المبادئ الواردة في هذه الوثيقة.
المراجعة والتحديثات والحفظ
سيقوم البنك المركزي بمراجعة الوثيقة دوريًا لتقييم مدى انطباقها على سياق القطاع المالي في المملكة العربية السعودية والمؤسسات المالية. إذا لزم الأمر، سيقوم البنك المركزي بتحديث الوثيقة بناءً على نتائج المراجعة. بمجرد تطبيق التغييرات، سيقوم البنك المركزي بإلغاء الإصدار السابق وإصدار الإصدار الجديد وإبلاغه إلى جميع المؤسسات المالية.
مبادئ استخبارات التهديدات السيبرانية
تصف مبادئ استخبارات التهديدات السيبرانية أفضل الممارسات التي تركز على إنتاج ومعالجة ونشر استخبارات التهديدات لتعزيز تحديد التهديدات السيبرانية ذات الصلة بالقطاع المالي في المملكة العربية السعودية والتخفيف من حدتها من خلال استخبارات التهديدات القابلة للتنفيذ.
تم وضع هيكل الوثيقة بناءً على أنواع مختلفة من استخبارات التهديدات السيبرانية. إن المبادئ الواردة في كل قسم من الأقسام (الأساسية والاستراتيجية والتشغيلية والتقنية والتكتيكية) لها أغراض مختلفة تهدف إلى ممارسة شاملة لاستخبارات التهديدات السيبرانية. على وجه التحديد:
تُعد مبادئ استخبارات التهديدات السيبرانية الأساسية شرطًا أساسيًا لممارسة استخبارات التهديدات السيبرانية والإبلاغ بالأنواع الأخرى من استخبارات التهديدات السيبرانية. وهي تتضمن الأنشطة المطلوب تنفيذها لتخطيط وإنتاج ونشر استخبارات التهديدات السيبرانية.
تشتمل مبادئ استخبارات التهديدات السيبرانية الإستراتيجية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد الهدف والدوافع والنوايا للجهات الفاعلة في مجال التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية التشغيلية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد طريقة العمل والسلوك والتقنيات المستخدمة من قبل جهات التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية الفنية والتكتيكية على ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد المكونات والمؤشرات الفنية للهجمات السيبرانية.
يجب أن تطبق المؤسسات المالية جميع المبادئ. إن اعتماد نهج تدريجي للتنفيذ الكامل للمبادئ أمر متروك لتقدير المؤسسات المالية. تنطبق المبادئ الواردة في هذه الوثيقة أيضًا على المؤسسات المالية التي تستعين بمصادر خارجية من أجل قدرات استخبارات التهديدات السيبرانية الخاصة بها.
تم تنظيم هذه الوثيقة في أربعة مجالات بما في ذلك استخبارات التهديدات السيبرانية الأساسية، واستخبارات التهديدات السيبرانية الإستراتيجية، واستخبارات التهديدات السيبرانية التشغيلية، واستخبارات التهديدات السيبرانية الفنية والتكتيكية كما هو مفصل في الرسم البياني أدناه:
شكل 1. مبادئ استخبارات التهديدات السيبرانية
المجال 1: مبادئ استخبارات التهديدات السيبرانية الأساسية
تضع مبادئ استخبارات التهديدات السيبرانية الأساسية خط أساس لتخطيط وجمع ومعالجة وتحليل ونشر استخبارات التهديدات السيبرانية استناداً إلى إطار عمل دورة حياة المعلومات الاستخباراتية.
يستند قسم مبادئ استخبارات التهديدات الأساسية إلى المراحل الرئيسية لدورة حياة المعلومات الاستخباراتية، بما في ذلك نشر استخبارات التهديدات والتحسين المستمر لقدرات وأداء المؤسسات المالية في مجال استخبارات التهديدات.
تسمح دورة حياة الاستخبارات لفرق الأمن بتحليل المعلومات وفهمها ومنعها والدفاع عن شبكاتهم من الهجمات السيبرانية. وهي العملية التي يتم من خلالها تحديد البيانات والمعلومات الأولية وجمعها وتحليلها. بعد ذلك، يتم تحويل البيانات والمعلومات الأولية إلى استخبارات لاستخدامها واتخاذ إجراءات بشأنها من قبل المؤسسات المالية. تتمثل دورة حياة الاستخبارات بشكل كامل في المبادئ الأساسية التالية.
المبدأ 1: تحديد الأدوار والمسؤوليات
يجب على المؤسسات المالية تحديد الأدوار والمسؤوليات داخل المؤسسة لإنتاج استخبارات التهديدات مع توقع إنشاء قدرة خاصة بها في مجال استخبارات التهديدات السيبرانية. ويجب أن يشمل ذلك فريقاً مخصصاً مسؤولاً عن إنتاج ونشر استخبارات التهديدات السيبرانية. إضافة إلى ذلك، يجب أن يكون فريق استخبارات التهديدات السيبرانية مدعوماً بموارد ماهرة مزودة بأدوات متطورة محددة الغرض وميزانية محددة. يجب على المؤسسات المالية تحديد قنوات الاتصال داخل المؤسسة بين فريق استخبارات التهديدات السيبرانية والفرق الأخرى، بما في ذلك مع أصحاب المصلحة (مثل فرق الأمن السيبراني وقادة الأعمال وفريق المخاطر، إلخ) ومع المؤسسات الخارجية.
المبدأ 2: تحديد متطلبات تخطيط وجمع استخبارات التهديدات
يجب على المؤسسات المالية وضع مجموعة من متطلبات استخبارات التهديدات لتوجيه جهود إنتاج الاستخبارات بكفاءة وتحديد ماهية الاستخبارات التي ينبغي إنتاجها لتلبية أهدافها الأمنية والتجارية. ولتحديد هذه المتطلبات، يجب على المؤسسات المالية تحديد نطاق التحليل (على سبيل المثال، التنظيمي والقطاعي والوطني، وما إلى ذلك) والنظر في مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها (مثل التقنية، وجهات التهديد، وما إلى ذلك). إضافة إلى ذلك، يجب على المؤسسات المالية ضمان المراجعة الدورية للمتطلبات المحددة. ويتوفر المزيد من الشرح لمجالات التحليل في "الملحق ب. مجالات التحليل".
المبدأ 3: تحديد المصادر ذات الصلة والتحقق من صحتها
يجب على المؤسسات المالية اختيار المصادر بما يتماشى مع متطلبات استخبارات التهديدات المحددة. علاوة على ذلك، يجب على المؤسسات المالية تحديد نوع المصادر التي يجب استخدامها، وفهم المصادر التي من المحتمل أن تنتج المعلومات المطلوبة، والنظر في مجموعة كبيرة من المصادر المختلفة لتمكينها من بناء فهم شامل للتهديدات ذات الصلة بالقطاع المالي. إضافة إلى ذلك، يجب على المؤسسات المالية تقييم موثوقية وسمعة كل مصدر مع مراعاة معايير محددة. وتشمل هذه المعايير جودة المعلومات ودقتها، والتوقيت المناسب فيما يتعلق بالإبلاغ، والمعلومات التقنية المتضمنة، وشمولية تغذية التهديدات، ونوع المعلومات التي تتماشى مع متطلبات استخبارات التهديدات المحددة.
ويجب على المؤسسات المالية اختيار المصادر التي توفر معلومات ذات صلة بأعمالها وتتماشى مع متطلبات استخبارات التهديدات المحددة. ويمكن أن تكون هذه المصادر خارجية أو داخلية للمؤسسة. تتوفر أمثلة للمصادر الداخلية والخارجية في "الملحق ج. أنواع المصادر".
المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات
يجب على المؤسسات المالية جمع البيانات من خلال مصادر استخباراتية مختلفة (مثل استخبارات المصادر المفتوحة والاستخبارات الفنية واستخبارات وسائل التواصل الاجتماعي والاستخبارات البشرية واستخبارات شبكة الإنترنت العميق وشبكة الإنترنت المظلم). وسيؤدي جمع المعلومات من مجموعة متنوعة من المصادر إلى إجراء تقييمات شاملة للتهديدات التي تواجهها المؤسسة. وتتوفر أمثلة على أنواع الاستخبارات في "الملحق د. أنواع الاستخبارات". ويجب اتباع إجراءات التشغيل القياسية المحددة لإجراء الاستخبارات على النحو المحدد في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".
المبدأ 5: تحديد إجراءات التشغيل القياسية المحددة
يجب على المؤسسات المالية تحديد إجراءات تشغيل قياسية محددة عند إجراء أنواع محددة من الاستخبارات على النحو المفصل في "المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات". ويجب على المؤسسات المالية وضع مجموعة من التعليمات للأفراد داخل المؤسسات لأداء استخبارات التهديدات السيبرانية لضمان الإجراءات الوظيفية، مع تقليل سوء الفهم والغموض في نفس الوقت. ويجب أن تكون إجراءات التشغيل الموحدة موجهة نحو التفاصيل وتوفر تعليمات خطوة بخطوة حول كيفية قيام المحللين داخل المؤسسات المالية باستكمال المهام والعمليات المتعلقة بـ استخبارات التهديدات السيبرانية. وتتوفر أمثلة على إجراءات التشغيل القياسية في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".
المبدأ 6: معالجة المعلومات وتصنيفها
يجب على المؤسسات المالية معالجة وتصنيف الاستخبارات التي تم جمعها - إما يدوياً أو آلياً أو مزيجاً من الاثنين - من المصادر المختارة وتخزينها بشكل آمن. علاوة على ذلك، يجب على المؤسسات المالية الرجوع إلى "بروتوكولات اتصالات الأمن السيبراني الخاصة بالبنك المركزي" عند استخدام مخطط التصنيف حسب بروتوكول الإشارات الضوئية لجمع المعلومات ومعالجتها.
المبدأ 7: تحليل المعلومات
يجب على المؤسسات المالية تطبيق مجموعة متنوعة من الأساليب التحليلية الكمية والنوعية لتحليل أهمية المعلومات المعالجة وآثارها، وبالتالي إنتاج استخبارات قابلة للتنفيذ. وعلاوة على ذلك، ستقوم المؤسسات المالية بدمج وتحليل مختلف المعلومات التي يتم جمعها من مصادر متنوعة لتحديد الأنماط والاتجاهات والتطورات الجديدة ذات الصلة بالمؤسسة المالية.
ويجب على المؤسسات المالية اعتماد مناهج تحليلية ملائمة (على سبيل المثال: النهج التحليلي القائم على الفرضيات، و/أو التحليل، و/أو التحليلات المتناقضة) للتأكد من أن الاستخبارات المنتجة تلبي متطلبات الاستخبارات على النحو المحدد في "المبدأ 2: تحديد متطلبات استخبارات التهديد". وترد أمثلة على أنواع مختلفة من الأساليب التحليلية في "الملحق ز. النهج التحليلي".
المبدأ 8: مشاركة الاستخبارات
يجب على المؤسسات المالية وضع معايير مشاركة محددة لنشر استخبارات التهديدات. وتتوفر أمثلة على طرق تسليم استخبارات التهديدات في "الملحق هـ، طرق تسليم استخبارات التهديدات".
ويجب على المؤسسات المالية إرساء ممارسة لغوية متسقة ودقيقة في جميع أنحاء المؤسسة لضمان إمكانية تطبيق استخبارات التهديدات على نطاق واسع. ولإيصال استخبارات التهديدات بشكل واضح، ينبغي على المؤسسات المالية أن تعتمد على سبيل المثال على دليل الكتابة (مثل دليل أسلوب الإيكونوميست). كما يجب عليهم استخدام نظام "الاحتمالات التقديرية" أثناء الانخراط في التحليل على النحو المحدد في "نموذج استشارات التهديدات الصادر عن البنك المركزي".
ويجب على المؤسسات المالية نشر استخبارات التهديدات بطريقة فعالة ودقيقة وفي الوقت المناسب. ويجب تقديمها بطريقة واضحة وموجزة ومتسقة عند مشاركتها مع أصحاب المصلحة الداخليين المعنيين. وعند مشاركة الاستخبارات مع البنك المركزي، يجب على المؤسسات المالية تحديد الإجراءات التي تساعد على التحكم في نشر وتوزيع المعلومات المتعلقة بالتهديدات.
ويجب أن يتم تصنيف جميع المعلومات التي تنتجها المؤسسات المالية وفقًا لمخطط تصنيف بروتوكول الإشارات الضوئية وفقًا لـ "بروتوكولات اتصالات الأمن السيبراني الصادرة عن البنك المركزي".
المبدأ 9: تقديم استخبارات التهديدات القابلة للتنفيذ
يجب على المؤسسات المالية تنفيذ القرارات والإجراءات ذات الصلة بناءً على الاستخبارات التي تم إنتاجها للمساعدة في بناء مرونة القطاع المالي في المملكة العربية السعودية. ويجب على المؤسسات المالية أن تأخذ بعين الاعتبار ماهية الإجراءات اللازمة، ومن سيتخذ هذه الإجراءات، والإطار الزمني لتوقع الهجوم أو الرد عليه. واستنادًا إلى استخبارات التهديدات المتحصل عليها، يحب على المؤسسات المالية اتخاذ إجراءات أو تدابير التخفيف ذات الصلة من أجل تحسين البنية التحتية الدفاعية والقدرة على المرونة اعتمادًا على معرفتها بالتهديدات ذات الصلة (على سبيل المثال، معرفة التقنيات التي تعتمدها جهات التهديد على الشبكة يمكن أن تساعد المؤسسات المالية على تحديد أولويات ضوابط التخفيف).
ويجب أن يقوم فريق استخبارات التهديدات في المؤسسة المالية بمشاركة الاستخبارات ذات الصلة مع الإدارات الأخرى ذات الصلة مثل مركز العمليات الأمنية وتقنية المعلومات وما إلى ذلك، وينبغي أن تتم مشاركة هذه المعلومات وفقًا لـ "المبدأ 8: مشاركة الاستخبارات". ويجب على هذه الإدارات أيضًا مشاركة المعلومات التي تعتبر ذات صلة بقدرة استخبارات التهديدات السيبرانية حتى يتسنى تغذية تقييمات استخبارات التهديدات واستكمالها.
المبدأ 10: التحسين المستمر لأساليب الاستخبارات
يجب على المؤسسات المالية المحافظة باستمرار على إنتاج ومعالجة وتحليل ونشر استخبارات التهديدات وتحديثها وتحسينها بهدف زيادة نضج القطاع المالي في المملكة العربية السعودية بشكل مستمر. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضًا تحديث متطلبات استخبارات التهديدات الحالية بانتظام استنادًا إلى الملاحظات الواردة من أصحاب المصلحة الداخليين والخارجيين، ومستخدمي استخبارات التهديدات، والتغيرات في الصناعة، والتطورات في مشهد التهديد السيبراني العالمي.
ويجب على المؤسسات المالية إجراء تحليل دوري للمعلومات المتعلقة بالتهديدات التي يتم جمعها والتحقق من ملاءمتها (على سبيل المثال من حيث الدافع والهدف وطريقة العمل والقدرة وما إلى ذلك) وفقًا للأصول والبيانات التي تتم معالجتها من قبلها. كما يجب على المؤسسات المالية النظر في الاستعانة بخدمات مزود متخصص في مجال استخبارات التهديدات، والذي يمكنه تقديم رؤى ذات صلة لاستكمال فهم المؤسسة الحالي للتهديدات.
يجب أن تنظر المؤسسات المالية في استخدام مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية والأهداف والنتائج الرئيسية لقياس التقدم المحرز وتحديث ممارسات وبروتوكولات الاستخبارات بما يتماشى مع إجراءاتها الداخلية.
المبدأ 11: دمج استخبارات التهديدات السيبرانية
يجب على المؤسسات المالية النظر في دمج استخبارات تقنية المعلومات في تقييمات الوعي الظرفي واختبارات فريق محاكاة الاختراق بما يتماشى مع "إطار عمل محاكاة الهجمات السيبرانية الأخلاقية للمؤسسات المالية".
وسيساعد الدمج ضمن أنشطة الوعي الظرفي في بناء فهمًا استراتيجيًا للحوادث السيبرانية، على سبيل المثال، تحديد جهات التهديد، والاتجاهات في أنشطتها، وأهدافها. إضافةً إلى ذلك، سيوفر فهمًا تكتيكيًا للأحداث أو المواقف في الفضاء السيبراني وسيسهل اتخاذ القرارات الفعالة والكفؤة في أوقات الأزمات.
يجب على المؤسسات المالية أيضًا أن تأخذ في الاعتبار أن دمج استخبارات التهديدات السيبرانية في أنشطة تقييمات فريق محاكاة الاختراق من شأنه أن يساعد في الحصول على فهم أفضل لكيفية وصول المهاجمين السيبرانيين إلى الشبكات والبيانات الحساسة. ويمكن أن يساعد ذلك في التحقق من صحة الوضع الأمني للمؤسسة والمساعدة وفي وضع تحسينات العمليات في سياقها عبر تسليم المزيد من الاستخبارات حول المخاطر السيبرانية وتأثيرها المحتمل وخيارات المعالجة.
المجال 2: استخبارات التهديدات السيبرانية الاستراتيجية
بالنظر إلى الطبيعة المتغيرة لبيئة مشهد التهديدات، تسمح استخبارات التهديدات السيبرانية الاستراتيجية بمراقبة النظام البيئي السيبراني باستمرار ومنع التهديدات.
وتساعد استخبارات التهديدات السيبرانية الاستراتيجية على وجه التحديد في تحديد وفهم التهديدات التي يتعرض لها القطاع المالي. فهي توفر مستوى معلومات التهديد التي تركز على أهداف ودوافع ونوايا جهات التهديد السيبرانية، وتهدف استخبارات التهديدات السيبرانية الاستراتيجية إلى فحص الإسناد، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم النظام البيئي للقطاع المالي.
وتضمن مشهد التهديد معلومات عن جهات التهديد الأكثر صلة بالمؤسسات المالية، وخصائصها الرئيسية، والاتجاهات السيبرانية الرئيسية في القطاع المالي في جميع أنحاء العالم.
وتم توجيه هذه المعلومات إلى الإدارة التنفيذية ذات الصلة (مثل الرئيس التنفيذي لأمن المعلومات) الذي سيقوم بنقل المعلومات إلى الأطراف الأخرى ذات الصلة (مثل إدارة تقنية المعلومات وقادة الأعمال، وما إلى ذلك). تساعد تقنية استخبارات التهديدات السيبرانية الإستراتيجية في فهم المؤسسة للتهديدات السيبرانية الحالية، والتهديدات المستقبلية غير المعروفة، وجهات التهديد، وإسناد الهجمات. وهذا الفهم أمرًا أساسيًا لاتباع نهج استباقي للأمن السيبراني من أجل بناء مرونة القطاع المالي في المملكة العربية السعودية.
المبدأ 12: تحديد مشهد التهديدات السيبرانية
يجب على المؤسسات المالية أن تحدد مشهد التهديدات السيبرانية ذات الصلة بمؤسساتها وعملياتها، مع معلومات عن الأصول والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. ويشمل ذلك تحديد الأحداث التي يمكن أن تؤثر على مشهد التهديدات في القطاع المالي.
وعلاوة على ذلك، يجب على المؤسسات المالية تحديد جهات التهديد التي قد تنوي استهدافها، وخصائصها الرئيسية بما في ذلك مصدرها ونواياها ودوافعها وقدراتها. ويجب على المؤسسات المالية، بعد تحديد مشهد التهديدات التي تواجهها، إجراء تقييم للتهديدات التي تم تحديدها لتحديد الأولويات الأكثر صلة. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضاً تحديد الاتجاهات السيبرانية الرئيسية التي من المرجح أن تؤثر على التطورات المستقبلية لمشهد التهديدات السيبرانية.
المبدأ 13: تحديد سيناريوهات الهجوم السيبراني الاستراتيجي
يجب أن تحدد المؤسسات المالية سيناريوهات الهجمات السيبرانية الاستراتيجية التي توفر تمثيلاً واقعياً للهجمات السيبرانية المحتملة ضدها. ويجب أن تشتمل هذه السيناريوهات على جهة تهديد أو أكثر، وتتناول هدفًا واحدًا أو أكثر، والتأثيرات المحتملة للسيناريوهات.
ولوضع سيناريوهات الهجمات السيبرانية الاستراتيجية، يجب على المؤسسات المالية تحديد أوجه التشابه في سمات جهات التهديد أو الحملات المهددة ضمن مشهد التهديدات المبين في "المبدأ 12: تحديد مشهد تهديد سيبراني" (على سبيل المثال، أسلوب مماثل، نوع هجوم مماثل، وما إلى ذلك). إضافةً إلى ذلك، يجب على المؤسسات المالية إجراء تقييمًا للسيناريوهات المحددة من أجل تحديد أولويات السيناريوهات الأكثر احتمالاً وتأثيراً، ويجب أن تتخذ الإجراءات التصحيحية ذات الصلة بناءً على التهديدات والسيناريوهات المحددة. ويجب تحديد دورية تقييم السيناريوهات المحددة من قبل المؤسسات المالية بناءً على عملياتها الداخلية الخاصة بها.
المبدأ 14: تفصيل طلبات الحصول على المعلومات وتقييمات التهديدات المخصصة
يجب أن تكون المؤسسات المالية قادرة على توفير، عند الطلب، معلومات مفصلة (مثل التهديدات السيبرانية والاتجاهات والأحداث والبرمجيات الخبيثة أو الأدوات) المتعلقة بالهجمات السيبرانية المحتملة التي يمكن أن تستهدفها. ويمكن أن تكون تلك المعلومات، على سبيل المثال، في صورة ملفات تعريفية عن جهات التهديد، أو ملفات تعريفية عن البلدان، أو تحليلات للبرمجيات الخبيثة أو الأدوات، أو دراسات الاتجاهات السيبرانية.
ويجب أن تكون المؤسسات المالية، استناداً إلى الاستخبارات التي يتم إنتاجها، قادرة على إجراء تقييمات مخصصة للتهديدات لتحديد مدى صلة التهديدات المحتملة ومستواها، فضلاً عن احتمالية وقوع هجمات.
ويتحمل الرئيس التنفيذي لأمن المعلومات مسؤولية التحقق من جودة المعلومات ومدى ملاءمتها. ويمكن أن تكون هذه المعلومات ذات أهمية خاصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات وغيرهم. وتتمتع هذه المعلومات بقيمة خاصة على سبيل المثال عند تحديد استراتيجيات العمل، أو التخطيط للتدخلات الأمنية، أو في أعقاب الحوادث السيبرانية الكبيرة في القطاع أو في الدولة.
المجال 3: استخبارات التهديدات السيبرانية التشغيلية
تساعد استخبارات التهديدات السيبرانية التشغيلية المؤسسات المالية على فهم طبيعة ونية وتوقيت هجوم معين، وتوفر نظرة ثاقبة لسلوك جهة التهديد على الشبكة.
كما أنه توفر معلومات مفصّلة حول سلوك وطريقة عمل جهات التهديد المستخدمة لتنفيذ الهجمات السيبرانية. وبشكل عام، يتم تصنيف هذه المعلومات عادةً في التكتيكات والتقنيات والإجراءات.
المبدأ 15: تحديد سلسلة الهجوم
يجب على المؤسسات المالية تحديد وتصنيف المراحل المختلفة للهجوم الذي تنفذه جهات التهديد استنادًا إلى المعايير أو الأطر الصناعية (مثل سلسلة القتل، وسلسلة القتل الموحدة، وما إلى ذلك). علاوة على ذلك، يجب على المؤسسات المالية تحليل المعلومات وطريقة عمل جهات التهديد بناءً على نهج منظم للهجمات (على سبيل المثال، يعتمد إطار عمل MITRE نسخة معدلة من سلسلة القتل الموحدة).
المبدأ 16: تحديد التكتيكات والتقنيات والإجراءات
يجب على المؤسسات المالية تحليل المعلومات التي تم جمعها من المصادر المتعلقة بجهات التهديد أو الأدوات أو البرمجيات الخبيثة ذات الصلة لتحديد التقنيات والتكتيكات والإجراءات ذات الصلة. إضافة إلى ذلك، ينبغي أن تعتمد المؤسسات المالية تصنيفاً للهجمات وتصنيفاً لهذه التكتيكات والتقنيات والإجراءات (مثل MITRE ATT&CK). واستناداً إلى التصنيف المحدد، يجب أن يقوموا بوضع ملفات تعريف لسلوكيات جهات التهديد وتحديد الأساليب التي تستخدمها جهات التهديد. كما يجب أن تعتمد المؤسسات المالية أيضاً على مؤشرات الاختراق لتحديد هذه التكتيكات والتقنيات والإجراءات.
المبدأ 17: تحديد البرمجيات الخبيثة والأدوات
يجب على المؤسسات المالية تحديد البرمجيات الخبيثة والأدوات أثناء الهجوم، بالإضافة إلى إجراء تصنيف عام لها لاستخدامها على المستوى المؤسسي (مثل حصان طروادة المصرفي، برمجيات الفدية، إلخ). ويمكن للمؤسسات المالية الحصول على معلومات بشأن الأنواع المختلفة من البرمجيات الخبيثة والأدوات التي تستخدمها جهات التهديد باستخدام مصادر مختلفة، مثل مؤشرات الاختراق وشبكة الإنترنت المظلمة، وشبكة الإنترنت العميقة، والاستخبارات مفتوحة المصدر، ومستودعات الشيفرات البرمجية، ومنصات مشاركة المعلومات، وما إلى ذلك.
المجال 4: استخبارات التهديدات السيبرانية الفنية والتكتيكية
توفر استخبارات التهديدات الفنية والتكتيكية معلومات فنية وتكتيكية عن هجمات محددة تنفذها جهات تهديد مثل مؤشرات الاختراق وقواعد يارا وغيرها.
ويتم جمع مؤشرات معلومات استخبارات التهديدات الفنية من الحملات النشطة والسابقة التي تم الحصول عليها من مصادر عامة و/أو المؤشرات الفنية التي تم جمعها داخل المؤسسة و/أو موجزات البيانات المقدمة من أطراف خارجية.
المبدأ 18: جمع مؤشرات الاختراق
يجب على المؤسسات المالية تحديد وجمع وتجميع مؤشرات الاختراق وتنفيذها في بنيتها التحتية الدفاعية. ويجب أن تكون المؤسسات المالية قادرة على جمع تفاصيل حول التنفيذ المحدد للبرمجيات الخبيثة والأدوات من أجل فهم كيفية احتمال تعرض المؤسسة للهجوم وتحديد ما إذا كانت آليات الكشف والتخفيف المناسبة موجودة أو ما إذا كانت هناك حاجة إلى تنفيذها. إضافةً إلى ذلك، ينبغي على المؤسسات المالية أن تأخذ بعين الاعتبار مختلف منصات ومصادر استخبارات التهديدات للحصول على هذه المعلومات الفنية.
المبدأ 19: مراقبة الثغرات الأمنية والإبلاغ عنها
يجب على المؤسسات المالية أن تراقب باستمرار الإعلانات عن الثغرات الأمنية الجديدة التي يتم اكتشافها، بالإضافة إلى ثغرات اليوم - صفر التي تستغلها جهات التهديد. ويجب عليهم الإبلاغ عن هذه الثغرات الأمنية إلى الأطراف المعنية داخل المؤسسة (مثل المسؤولين عن إدارة حزم التحديثات والإصلاحات). ويجب أن تتم هذه الاتصالات وفقًا للإجراءات الداخلية للمؤسسات المالية (مثل اتفاقية مستوى الخدمة ومؤشر الأداء الرئيسي).
ويجب على المؤسسة المالية اعتماد نهج قائم على المخاطر يربط بين قيمة الأصول وشدة الثغرات الأمنية ونشاط جهات التهديد من خلال استخدام معلومات وتحليلات التهديدات بهدف حساب تصنيف واقعي للمخاطر. ويجب استخدام هذا التصنيف لتحديد أولويات أنشطة الإصلاح. إضافةً إلى ذلك، يجب على المؤسسة المالية استخدام نهج قائم على المخاطر لتوظيف ضوابط التخفيف، مثل نظام منع التطفل عند عدم القدرة على تصحيح الثغرات الأمنية لتقليل مساحة الهجوم ومنع استغلال الثغرات الأمنية.
الملاحق
الملحق أ. قائمة المصطلحات
تحتوي القائمة التالية على تعريف للمصطلحات الرئيسية المستخدمة في هذه الوثيقة.
قائمة المصطلحات المصطلح الوصف التطبيق
برنامج يستضيفه نظام المعلومات.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
أصل
البيانات والموظفين والأجهزة والأنظمة والمرافق التي تمكّن المؤسسة من تحقيق أغراض العمل.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة الهجوم
راجع "جهة التهديد". قدرة (جهة التهديد)
موارد ومهارات جهة التهديد. المخاطر السيبرانية
المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة بسبب احتمال الوصول غير المصرح به إلى المعلومات و/أو نظم المعلومات أو استخدامها أو الكشف عنها أو تعطيلها أو تعديلها أو تدميرها.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الأمن السيبراني
يُعرّف الأمن السيبراني بأنه مجموعة الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول المعلومات الخاصة بالمؤسسة المالية من التهديدات الداخلية والخارجية. استخبارات التهديدات السيبرانية
المعلومات المتعلقة بالتهديدات التي تم تجميعها أو تحويلها أو تحليلها أو تفسيرها أو إثراؤها لتوفير السياق اللازم لعمليات صنع القرار.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
حادث (الأمن السيبراني)
حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مؤشرات الاختراق
تُستخدم مؤشرات الاختراق كدليل جنائي على الاختراقات المحتملة للنظام المضيف أو الشبكة. النية (جهة التهديد)
رغبة جهة التهديد في استهداف مؤسسة معينة. عادةً ما تكون جهات التهديد جهات عقلانية تعمل لغرض واضح (مثل التجسس، وسرقة البيانات/التسلل، والابتزاز، والتدمير، والتعطيل، واختراق سلسلة التوريد). سلسة القتل
طورت شركة لوكهيد مارتن سلسلة القتل واعتمدها الجيش الأمريكي لتحديد وتصنيف المراحل المختلفة للهجوم السيبراني (الاستطلاع، التسليح، التسليم، الاستغلال، التثبيت، القيادة والسيطرة، الإجراءات عند الأهداف). البرمجيات الخبيثة
الأجهزة أو البرامج الثابتة أو البرامج التي يتم تضمينها أو إدخالها عمداً في النظام لغرض ضار.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
إطار عمل MITRE ATT&CK
إطار عمل مفتوح المصدر تم تطويره بواسطة MITRE لتصنيف التكتيكات والأساليب والإجراءات التي تستخدمها جهات التهديد عند شن هجمات سيبرانية. المؤسسة المالية
أي جهة خاضعة لإشراف البنك المركزي ورقابته. طريقة العمل
طريقة إجراء، تشير بشكل خاص إلى نمط أو طريقة عمل متميزة تشير أو توحي بعمل مجرم واحد في أكثر من جريمة. دافع
نوع المنفعة أو الضرر الذي تريد جهة التهديد تحقيقه في النهاية من خلال أفعالها. شبكة
نظام (نظم) المعلومات المنفذة بمجموعة من المكونات المترابطة. قد تشمل هذه المكونات أجهزة التوجيه والمحاور والكابلات وأجهزة التحكم في الاتصالات السلكية واللاسلكية ومراكز التوزيع الرئيسية وأجهزة التحكم الفني.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الاستخبارات مفتوحة المصدر
المعلومات ذات الصلة المستمدة من الجمع المنهجي للمعلومات المتاحة للجمهور ومعالجتها وتحليلها استجابة لمتطلبات استخباراتية معروفة أو متوقعة. مؤسسة
شركة أو كيان أو مجموعة من الأشخاص الذين يعملون معًا لغرض معين. منشأ (جهة التهديد)
البلد الذي تشن منه جهة التهديد هجماتها. لا يمكن دائمًا تحديد منشأ جهة التهديد بدقة كافية لأنها تميل إلى إخفاء آثارها. إجراء
الإجراءات هي التنفيذ المحدد الذي تستخدمه جهة التهديد للأساليب.
المصدر: إطار عمل MITRE ATT&CK
عملية
مجموعة من الأنشطة المترابطة أو المتفاعلة التي تحول المدخلات إلى مخرجات. برمجيات الفدية الخبيثة
أحد أشكال البرمجيات الخبيثة المصممة لمنع الوصول إلى نظام الكمبيوتر أو البيانات حتى يتم دفع فدية. وعادة ما يواجه مستخدم النظام المصاب ببرمجيات الفدية الخبيثة برسالة ابتزاز (في كثير من الحالات تكون عبارة عن نافذة منبثقة) تطلب من الضحية دفع فدية لجهة التهديد (عادةً ما تكون بالعملة الرقمية) من أجل استعادة الوصول إلى النظام والبيانات. محاكاة الاختراق (تمرين)
تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام.
المصدر: NIST SP 1800 21B قائمة مصطلحات أمن المعلومات الرئيسية
موارد (جهة التهديد)
تقيس الموارد نطاق وكثافة واستدامة وتنوع المجموعة الإجمالية للإجراءات التي يمكن أن تتخذها جهة التهديد. قطاع
أحد المجالات التي ينقسم فيها النشاط الاقتصادي لبلد ما. خدمة
القدرة أو الوظيفة التي توفرها المؤسسة.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مهارة (جهة التهديد)
مدى قدرة جهة التهديد على الاستفادة من الوسائل التقنية (مثل إنشاء برمجيات خبيثة مخصصة) والعمل بوعي وذكاء وإمكانات التعلم وحل المشكلات وتماسك عملية صنع القرار والخبرة التشغيلية. أصحاب المصلحة
الشخص الذي يشارك في مسار العمل أو يتأثر به. استخبارات التهديدات الاستراتيجية
مستوى استخبارات التهديدات التي تركز على أهداف ودوافع ونوايا جهات التهديديات السيبرانية. وتهدف إلى دراسة الإسنادات إلى جهات التهديد السيبرانية، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم ديناميكيات الأنظمة المعقدة واتجاهاتها. ويُعد التحليل الجيوسياسي والقطاعي والسياق أداة أساسية. تكتيك
الهدف التكتيكي لجهة التهديد: سبب القيام بعمل ما.
المصدر: إطار عمل MITRE ATT&CK
هدف (جهة التهديد)
الخيارات التي تتخذها جهات التهديدات فيما يتعلق بهدف (أهداف) هجماتها. حيث تختار جهة التهديد هدفًا بناءً على الموقع والقطاع وأنواع المعلومات المعالجة وسطح الهجوم المتاح. ويلعب المشهد الجيوسياسي دورًا رئيسيًا في نمط استهداف جهات التهديد في الدولة القومية. التصنيف
تصنيف العناصر المترابطة. الأساليب
تمثل الأساليب "كيفية" تحقيق جهة التهديد لهدف تكتيكي من خلال تنفيذ إجراء ما.
المصدر: إطار عمل MITRE ATT&CK
تهديد (الأمن السيبراني)
أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة.
المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة التهديد
الأفراد أو الجماعات أو المؤسسات أو الدول التي تسعى لاستغلال اعتماد المؤسسة على الموارد السيبرانية (أي المعلومات في شكل إلكتروني، وتقنيات المعلومات والاتصالات، وقدرات الاتصالات ومعالجة المعلومات التي توفرها تلك التقنيات) (NIST 2012) أو بشكل أعم "فرد أو مجموعة تشكل تهديدًا" (NIST 2016). مشهد التهديد
مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة.
المصدر: ENISA
متطلبات استخبارات التهديد
توجه متطلبات استخبارات التهديدات جهود إنتاج المعلومات الاستخباراتية بكفاءة وتحدد ماهية المعلومات الاستخباراتية التي ينبغي إنتاجها لتلبية الأهداف الأمنية للمؤسسة نوع (جهة التهديد)
تجميع جهات التهديد التي تشترك في خصائص متشابهة، مثل النوايا والدوافع المتشابهة، وتعمل بطرق متشابهة. سلسلة القتل الموحدة
تطور لإطار عمل سلسلة القتل يوضح بالتفصيل مراحل الهجوم. ناقل (الهجوم)
النهج العام لتحقيق تأثير معين، من خلال الاستفادة من تعرض نوع معين من سطح الهجوم أو منطقة محددة فيه. الملحق ب. مجالات التحليل
يجب على المؤسسات المالية أن تضع متطلبات استخبارات التهديدات بناءً على مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها. وقد تختلف مجالات التحليل هذه باختلاف المؤسسات المالية ، بما في ذلك على سبيل المثال لا الحصر:
- الجغرافيا السياسية: يشمل ذلك متطلبات تحديد الأحداث الجيوسياسية التي قد تحدد هجومًا أمنيًا سيبرانيًا ضمن نطاق التحليل، مثل الحملات العالمية الكبيرة التي تنفذها الجهات الفاعلة في مجال التهديد، وحوادث الأمن السيبراني السابقة الهامة ذات الصلة، وما إلى ذلك.
- جهة التهديد: يتضمن ذلك متطلبات تحديد جهات التهديد الرئيسية التي يجب أن تركز عليها المؤسسة بشكل خاص.
- ناقلات التهديد: يتضمن ذلك متطلبات تحديد أساليب الهجوم ذات الصلة (مثل ناقلات الوصول الأولية، وما إلى ذلك).
- التقنية: يتضمن ذلك متطلبات تقييم الهجمات المحتملة ضد التقنيات التي تعتمد عليها المؤسسة.
- الصناعة: يشمل ذلك متطلبات تحديد الهجمات المحتملة ضد الصناعات ذات الصلة بالمؤسسة (مثل الأطراف الخارجية في سلسلة التوريد أو البنية التحتية الحيوية الوطنية).
الملحق ج. أنواع المصادر
تحتوي الجداول التالية على أمثلة للمصادر الداخلية والخارجية.
المصادر نوع المصادر القطاع العام استخبارات التهديدات المقدمة من البنك المركزي والهيئة الوطنية للأمن السيبراني الهيئات المدنية أو الحكومية الوطنية (مثل سلطات إنفاذ القانون) التقارير أو المعلومات الواردة من السلطات القطاعية أو الوطنية الأخرى (مثل هيئة السوق المالية أو مركز تبادل وتحليل معلومات الخدمات المالية أو المركز الوطني الإرشادي للأمن السيبراني) الأطر العامة (على سبيل المثال. ENISA, EUROPOL, MITRE) المصادر الخارجية القطاع الخاص استخبارات التهديدات من الموردين المتخصصين والمنصات المتاحة عند الاشتراك أو التعاقد تقارير استخبارات التهديدات والأخبار والموجزات والتحليلات المتاحة للعامة القطاع الأكاديمي الأوراق البيضاء المنشورات والمؤتمرات الأكاديمية المجلات الأكاديمية الجدول 1. المصادر الخارجية
المصادر نوع المصادر المصادر الداخلية - سجلات التطبيقات والبنية التحتية
نظام كشف التسلل(IDS)
نظام منع التسلل(IPS)
أنظمة الدفاع الأمني السيبراني
الجدول 2: المصادر الداخلية
الملحق د. أنواع الاستخبارات
يوجد في الوقت الراهن مجموعة كبيرة من أنواع الاستخبارات المختلفة التي يمكن استخدامها للحصول على فهم شامل للتهديدات التي تواجهها المؤسسة.
وتشمل هذه الأنواع من الاستخبارات ما يلي:
- الاستخبارات مفتوحة المصدر (OSINT): معلومات استخباراتية مفتوحة المصدر يتم الحصول عليها من مصادر متاحة للعامة (مثل تقرير التهديد، والمدونة، وما إلى ذلك)
- الاستخبارات الفنية (TECHINT): الاستخبارات الفنية المستمدة من الإشارات التي تولدها الأجهزة أو التطبيقات البرمجية المتصلة بشبكة المؤسسة بشكل روتيني (مثل مؤشرات الاختراق، وتحليل البرمجيات الخبيثة، وتقارير الشفرات، وما إلى ذلك)
- استخبارات وسائل التواصل الاجتماعي (SOCMINT): عملية تحديد البيانات وجمعها والتحقق من صحتها وتحليلها من مواقع وحسابات وسائل التواصل الاجتماعي (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية وغيرها)
- الاستخبارات البشرية (HUINT): الاستخبارات البشرية المستمدة بشكل علني أو خفي من مصادر بشرية استنادًا إلى علاقة بين محلل استخباراتي ومدير المحلل (مثل المراقبة النشطة على المنتديات)
- استخبارات شبكات الإنترنت العميقة والمظلمة: المعلومات الاستخباراتية المجمعة على شبكة الإنترنت العميقة والمظلمة (مثل الأسواق والمنتديات وما إلى ذلك)
الملحق هـ. طرق تسليم استخبارات التهديدات
يجب على المؤسسات المالية إنشاء آلية تسليم استخبارات التهديدات التي يتم إنتاجها والتي تشمل، على سبيل المثال لا الحصر:
- نشرات التهديدات السيبرانية التي تتضمن معلومات عن التهديدات السيبرانية التي قد تكون مفيدة للمؤسسات
- تنبيهات بسيطة يتم إرسالها عبر الهاتف أو الرسائل النصية أو البريد الإلكتروني
- تقارير مفصلة غنية بالتحليلات والجداول والأرقام والرسومات والوسائط المتعددة
- موجزات البيانات التي يمكن قراءتها آليًا استنادًا إلى تدوين استخبارات التهديدات المنظمة المعيارية المملوكة أو المفتوحة، وذلك لإدارة المعلومات الأمنية والأحداث، وبرامج مكافحة الفيروسات، وجدران الحماية، وأنظمة منع التسلل، وأنظمة كشف التسلل، وأدوات التحليل الجنائي
- مخرجات مصممة خصيصًا للأنظمة الداخلية
- واجهات برمجة التطبيقات التي تتيح الاتصال المباشر بالنظام لأغراض الاستعلام أو الاسترجاع
- بوابات إلكترونية آمنة على الإنترنت توفر إمكانية الوصول عند الطلب إلى قاعدة بيانات محدثة لمعلومات التهديدات ومجموعة من الوظائف التحليلية التي يمكن أن تكون أساسية بدءًا من الاستعلامات البسيطة إلى التنقيب عن البيانات الأكثر تعقيدًا
الملحق و. إجراءات التشغيل القياسية للاستخبارات
فيما يلي بعض الأمثلة على كيفية مساعدة إجراءات التشغيل القياسية للمستخدمين عند إجراء نوع معين من استخبارات التهديدات.
عند إجراء استخبارات شبكات الإنترنت العميقة والمظلمة، يجب أن تساعد الإرشادات خطوة بخطوة المستخدمين في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- استخدام بيئة معزولة ومحكومة وغير قابلة للتتبع مثل الجهاز الافتراضي
- تحديث وجمع قائمة بمنتديات وأسواق شبكات الإنترنت العميقة والمظلمة
- إنشاء صور رمزية مختلفة للوصول إليها
وبالمثل، عند إجراء استخبارات وسائل التواصل الاجتماعي، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، على سبيل المثال:
- تزويد المستخدمين بقائمة بأنواع مختلفة من المصادر وتحديث هذه القائمة باستمرار (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية والصور والفيديو ومنتديات النقاش)
- إجراء تدريب على الشبكات الاجتماعية ومنصة استضافة ومشاركة الفيديو عبر الإنترنت (مثل تويتر، فيسبوك، يوتيوب، إلخ.)
- استخدام أدوات التواصل الاجتماعي عند الإمكان (التجارية والمفتوحة المصدر)
وبنفس الطريقة، عند تنفيذ الاستخبارات البشرية، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- إجراء تدريب على الأخلاقيات للمحللين الذين يؤدون ارتباطات نشطة عبر الإنترنت
- تنفيذ إجراءات التشغيل القياسية المتعلقة بالوصول إلى المنتدى والسوق
- إنشاء صورة رمزية لكل وصول لتجنب التتبع
- فهم الفرق بين المراقبة الإيجابية والسلبية
الملحق ز. النهج التحليلي
يجب أن تعتمد المؤسسات المالية نهجاً تحليلياً بحيث تلبي الاستخبارات المنتجة متطلبات الاستخبارات.
واستناداً إلى ما هو الأنسب للمؤسسات المالية، يمكن أن يكون النهج التحليلي:
- قائم على الفرضيات: يتضمن هذا النهج تعريف الفرضية وتقييمها من خلال تحليل المعلومات المتاحة
- قائم على المحلل: يعتمد هذا النهج على التفكير النقدي والتحليلي للمحلل
- مضاد: يهدف هذا النهج إلى تحدي الاستنتاجات أو النقاط الرئيسية التي قدمها المصدر لطرح نهج جدلي مضاد
الملحق ح. الرسم البياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية
فيما يلي رسم بياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل البنية عالية المستوى للوثيقة.
الملحق ي. الخريطة الذهنية لمبادئ استخبارات التهديدات السيبرانية
فيما يلي تمثيل لخريطة ذهنية لهيكل مبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل المجالات المختلفة للوثيقة بوضوح وكيفية ارتباط المبادئ ببعضها البعض.
إطلاق تجريبي
يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:
كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.
ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.
مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.
يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:
كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.
ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.
مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.