ما هو شائع عموماً بأن الأمن السيبراني هو اختصاص واحد فقط، وهذه المعلومة خاطئة للغاية. لأن مجال الأمن السيبراني هو مجال واسع جداً، وتندرج تحته العديد والعديد من التخصصات الفرعية لحماية الأنظمة والمعلومات المتبادلة عبرها.
في عالمنا الرقمي المتصل
كل شيء متصل بشبكة الانترنت هو عرضة للاختراق ويحتاج إلى الحماية
في هذه السلسلة من المقالات سنقدم لكم لمحة عامة عن أغلب مجالات عمل الأمن السيبراني.
إن كنت مبتدئاً في هذا المجال وترغب في الاطلاع على مجالات عمل الأمن السيبراني، أو إن كنت مختصاً بالفعل في هذا المجال وتسعى لتغيير لون قبعتك، فهذا المقال هو لك.
اقرأه بعناية!
قد تجد تشابهاً كبيراً في مجالات عمل الأمن السيبراني. إلا أنه هناك فروقات بين كل تخصص والآخر، وكل الشركات الكبيرة تعتمد تخصصات معينة ومحددة للأدوار. يجب أن تعلم أن جميع مجالان عمل الأمن السيبراني تندرج تحت ثلاث عناوين رئيسية، وهي: الفريق الأزرق والفريق الأحمر وتخصصات GRC.
الفريق الأزرق:
الفريق الأزرق أو ما يطلق عليه عالمياً بمصطلح Blue Team هو خط الدفاع الأول ضد الهجمات الإلكترونية. وهو عبارة عن مجموعة الأشخاص المسؤولين عن حماية البرامج والأنظمة والشبكات من الاختراقات والهجمات السيبرانية.
تخصصات الفريق الأزرق:
1.مهندس الحماية Security Engineer:
المهمة الأساسية لمهندس الحماية هي إعداد وتشغيل أنظمة وحلول الحماية الخاصة بالشركة. قد يتضمن ذلك تنفيذ واختبار ميزات جديدة والتخطيط لترقية الأنظمة واستكشاف الأخطاء وإصلاحها والاستجابة للحوادث الأمنية. قد يطلق على مهندسي الحماية أيضاً اسم مهندسي الأمن السيبراني أو مهندسي أمن نظم المعلومات أو مهندسي أمن المعلومات أو مهندسي أمن الشبكات.
بعض المهام الرئيسية:
إعداد وتصميم وتشغيل الحلول الأمنية: للتخفيف من المخاطر والتهديدات الأمنية.
تقييم المخاطر: تحديد التهديدات والمخاطر المحتملة على الأنظمة والشبكات.
الصيانة: مراقبة الضوابط الأمنية وتحديثها وصيانتها باستمرار.
التوعية والتدريب: توعية وتدريب الموظفين على المخاطر الأمنية وإرشادهم للامتثال بالضوابط الأمنية.
2.محلل مركز عمليات الأمن السيبراني SOC Analyst:
يعتبر هذا التخصص من التخصصات المشهورة والأكثر طلباً في مجالات عمل الأمن السيبراني. يتكون من فريق كامل من المتخصصين العاملين في مركز عمليات الأمن السيبراني SOC – Security Operations Center، موزعين حسب الخبرة إلى ثلاثة مستويات: المستوى الأول Tier 1 والمستوى الثاني Tier 2 والمستوى الثالث Tier 3. حيث يعتبر المستوى الأول أقل خبرة والمستوى الثالث أعلى خبرة. يعمل الفريق بأكمله على مراقبة وإدارة الأحداث والعمليات الأمنية لمؤسسة معينة ويُعد جزءاً أساسياً من البنية التحتية الأمنية للمؤسسة، حيث يسهم في تحليل ومراقبة الأنظمة والشبكات والبيانات المتبادلة عبرها، بالإضافة إلى مراقبة التنبيهات الأمنية والاستجابة للحوادث الأمنية والتصدي للهجمات والتهديدات المحتملة وحماية الأصول الرقمية والمعلومات الحساسة للشركة أو المؤسسة.
بعض المهام الرئيسية:
مراقبة وتحليل التنبيهات الأمنية الواردة: يقوم المختص في هذا المجال بمراقبة سجلات الأحداث والتنبيهات التي تصدر عن أنظمة كشف ومنع الاختراق IDS/IPS، بالإضافة إلى التعامل مع نظام إدارة الأحداث الأمنية (SIEM) وغيرها من أدوات وحلول الحماية الأخرى.
فرز وتصنيف التهديدات: تحديد أولوية التنبيهات وتصنيفها بناءً على خطورتها ومدى احتمالية أن تكون هجوم حقيقي.
الاستجابة للحوادث الأمنية: بعد أن يقوم محللو المستوى الأول بتحديد التنبيهات المرتبطة بحوادث أو تهديدات أمنية حقيقية، يعمل محللو المستوى الثاني على الاستجابة لهذه الحوادث وتقليل الضرر المرتبط بها.
اكتشاف واصطياد التهديدات Threat Hunting: يقوم بهذه المهمة محللو المستوى الثالث من خلال البحث عن التهديدات التي تمكنت من الوصول للبنية التحتية للشبكة أو النظام بدون أن يتم اكتشافها من قبل أنظمة الحماية المطبقة.
من المهم أن تدرك أن هذه التسميات والمهام تختلف من شركة لأخرى، ويوجد العديد من الشركات التي تعمل ك Tier less، ويكون المحلل الأمني مسؤول عن القيام بمهام متعددة.
3.محلل البرمجيات الخبيثة Malware Analysis:
يندرج هذا المسمى تحت تخصاصات الأمن السيبراني الهامة. يعمل محلل البرمجيات الخبيثة على تحليل ودراسة سلوك البرامج الضارة والخبيثة التي صُممت للقيام بعمليات اختراق الأنظمة وسرقة المعلومات الحساسة أو تشفيرها أو التلاعب بها. تأتي أهمية هذا التخصص لتزويد شركات الحماية بالتوقيعات الرقمية أو أنماط السلوك المشبوهة للبرمجيات الخبيثة ليتم اكتشافها ومنعها بشكل فعال.
بعض المهام الرئيسية:
تحليل البرمجيات الخبيثة: تحديد نوع البرمجية الخبيثة وطريقة عملها وكيفية انتشارها عبر الأنظمة والشبكات.
تقييم التهديد: معرفة مدى خطورة البرمجيات الخبيثة وما الطرق الفعالة للحد منها.
تحليل الثغرات الأمنية: اكتشاف الثغرات التي تم استغلاها من قبل هذه البرمجيات الخبيثة والعمل على إصلاحها.
تطوير الحلول والأدوات: العمل على بناء الأدوات وحلول الحماية القادرة على اكتشاف ومنع انتشار البرمجيات الخبيثة.
كتابة التقارير: كتابة التقارير الدورية المفصلة عن التحليلات والتهديدات وطرق معالجتها.
4.التحليل الجنائي الرقمي Digital Forensics:
المهمة الرئيسية لمختصي التحليل الجنائي الرقمي هي جمع المعلومات والتحقيق في عمليات الاختراق
السيبرانية أو الأنشطة غير القانونية. تجد هذا التخصص بشكل كبير في المراكز الأمنية أو في الشركات
للتحقيق في الجرائم الإلكترونية و الانتهاكات الأمنية.
بعض المهام الرئيسية:
جمع الأدلة الرقمية: يتولى الخبير أو المحلل الجنائي الرقمي مهمة جمع البيانات من مصادر مختلفة، سواء كانت من أجهزة الكمبيوتر أو من الأجهزة اللوحية أو من الهواتف الذكية، مع الحرص والتأكد من سلامة الأدلة الرقمية وعدم التلاعب بها.
تحليل البيانات: يقوم الخبير في هذا التخصص بتحليل البيانات باستخدام أدوات وبرامج خاصة لاستخلاص
المعلومات المفيدة للتحقيق.
استعادة البيانات: استرجاع البيانات التي قد تم إخفاؤها أو حذفها باستخدام أحدث التقنيات.
كتابة التقارير: بعد أن تتم عمليات جمع البيانات واستردادها وتحليلها، يقوم المحلل الجنائي الرقمي بكتابة تقرير مفصل وواضح عن الانتهاكات التي حصلت وعن جميع النتائج التي تم التوصل إليها.
التعامل مع الجهات الحكومية: في حال كان المحلل يعمل مع جهات حكومية، قد يتم استدعائه
لتقديم تقريره أمام المحكمة.
5.إدارة الهوية والوصول IAM (Identity and Access Management):
هذا التخصص من تخصصات الأمن السيبراني التي من الممكن أن تكون مفيدة للمختصين الجدد في مجال
الأمن السيبراني،فهو يركز على إدارة هوية المستخدمين و تحديد الصلاحيات المسموحة لكل مستخدم، بالإضافة
إلى إدارة الموارد وتحديد مستوى الصلاحيات وإمكانية الوصول إلى الموارد والخدمات الخاصة بالشركة.
بعض المهام الرئيسية:
إدارة الهوية: هذه المهمة تُعنى بإنشاء هويات المستخدمين الرقمية، مع تحديد السمات والصفات الرئيسية لكل هوية.
إدارة الوصول (الصلاحيات): تحديد ما هو ممنوع وما هو مسموح لكل مستخدم.
الأمان: التأكد من أن جميع المستخدمين ملتزمين بالضوابط الأمنية، كاختيار كلمات سر قوية وتفعيل المصادقة الثنائية.
تقييم الصلاحيات: التأكد من أن كل مستخدم يعمل ضمن الصلاحيات المسموحة ورصد جميع الحالات الشاذة.
6.الاستجابة للحوادث الأمنية Incident Handling and Response:
هذا التخصص هو جزء أساسي في الأمن السيبراني ويُعنى بتنفيذ التدابير والاستراتيجيات الفعالة للتعامل مع الاختراقات الأمنية. يعتبر خط الدفاع الأول للتصدي للهجمات الإلكترونية والتقليل من أضرارها. وتجدر الإشارة أن هذه المهمة ممكن أن تتم من قبل SOC Tier 2
بعض المهام الرئيسية:
التواصل مع الفريق: عند حصول الاختراق يجب على المختص في هذا المجال أن يكون في تواصل مباشر ووثيق مع فريق الأمن السيبراني ومع فريق المعلوماتية في الشركة التي يعمل بها.
معرفة أدوار جميع الموظفين: هذا التخصص يتطلب معرفة واسعة بأدوار الموظفين و مسؤولياتهم.
وضع خطة استباقية لاحتواء الاختراق: رسم خطة واضحة وسريعة التنفيذ لتحديد الآلية التي يجب العمل بها عند حدوث الاختراق.
الاستجابة الفورية: في حال حدوث اختراق يجب على مٌستجيب الحوادث الأمنية أن يكون على أهب الاستعداد
للاستجابة الفورية للاختراق مهما كان الوقت.
تقليل الضرر: تنص هذه المهمة على أنه في حال حصل الاختراق فإنه من الضروري تقليل الأضرار الناجمة إلى أعلى حد.
إعادة التأهيل: محاولة استرجاع الملفات التي حُذفت أو التي قد تم إتلافها نتيجة الاختراق وإعادة النظام لحالة العمل الطبيعية.
تحديد الأسباب الناجمة عن الاختراق و الحد منها: بعد حصول الاختراق، يقوم المُختص في هذا المجال بتحديد الثغرات التي أدت لحدوث الاختراق ويعمل على إغلاقها.
7.اصطياد واكتشاف التهديدات Threat Hunting:
هذا التخصص يتطلب معرفة كبيرة جداً و مهارات استثنائية، لأنه يركز على اكتشاف التهديدات والثغرات
الحاصلة في الشبكة أو في التطبيقات أو في أجهزة العقد النهائية (أجهزة المستخدمين – السيرفرات)، لاكتشاف التهديدات أو الهجمات التي تجاوزت أنظمة الحماية وتمكنت من الوصول للنظام.
بعض المهام الرئيسية:
الفحص الدائم: يعمل على مراقبة البيئة بشكل دوري للبحث عن أي تهديد أو ثغرة أو اختراق لم يتم الكشف عنهم حتى الآن.
تحليل السجلات: يتم فحص جميع السجلات للكشف عن وجود أنماط غير اعتيادية.
مواكبة التطور: البحث والاطلاع على أحدث تقنيات الاختراق لمعرفة طريقة عملها والعمل على التصدي المسبق لها.
كتابة التقارير: إن هذا التخصص يركز على كتابة التقارير والتوصيات المقترحة لتعزيز أساليب الحماية وتطبيق أحدث وأقوى تقنيات التصدي للهجمات الإلكترونية.
8.استخبارات التهديد Threat Intelligence:
يعتبر هذا التخصص من التخصصات الممتعة جداً لمحبي البحث و المراقبة وجمع المعلومات. يركز هذا التخصص على جمع المعلومات عن المهاجمين ومجموعات الاختراق أو المنظمات التي توظف أشخاص للقيام بالهجمات السيبرانية. هذه المعلومات تتضمن تفاصيل عن المخترقين وعناوين IP المستخدمة من قبلهم، بالإضافة لدوافعهم وأهدافهم وأساليبهم. يتم استخدام هذه المعلومات لاكتشاف الهجمات ومنعها بشكل استباقي.
بعض المهام الرئيسية:
جمع المعلومات: يقوم المختصون في هذا المجال في البحث العميق وراء المخترقين، إن كان في المنتديات والمواقع ضمن الإنترنت المظلم Dark Web أو في المدونات، والبحث عن قواعد البيانات المسربة ومعلومات الاستخبارات مفتوحة المصدر OSINT المتعلقة بالاختراقات و المنظمات السيبرانية.
حماية المؤسسة: بعد البحث العميق وراء المخترقين، يقوم المختص في Threat Intelligence بتنفيذ التدابير الأمنية اللازمة على المؤسسة التي يعمل بها بناءً على المعلومات المستفادة التي قد تم التوصل إليها للوصول إلى أعلى نسبة حماية.
العمل مع الجهات الأخرى: في بعض الأحيان، وحسب توجهات الشركة أو المؤسسة التي يعمل بها هذا المُختص، يتم تبادل أحدث المعلومات التي قد تم التوصل لها مع الجهات الحليفة أو التي تسلك نفس سلوك المؤسسة، ويتم ربط جميع هذه المعلومات للخروج بمعلومات مفيدة.
البحث المستمر والتخفي: تركز هذه المهمة على البحث بشكل روتيني لكن من دون الكشف عن الهوية، ومحاولة البقاء أطول فترة ممكنة في بيئة المخترقين.
في النهاية:
هذه هي أشهر مجالات عمل الأمن السيبراني ضمن الفريق الأزرق، ومن المهم أن تدرك بأن هذه الأدوار والمهام ممكن أن تختلف بين شركة وأخرى. بشكل عام يعتبر الفريق الأزرق المكان المناسب لتحصل من خلاله على أول فرصة عمل في مجال الأمن السيبراني، لتتعرف على أنظمة وعمليات الحماية المختلفة ولتمتلك التصور الكامل حول هذا المجال. بعد ذلك، يمكنك تغيير لون القبعة الخاصة بك.
لتبقى على اطلاع دائم بكل ما هو جديد في مجال الأمن السيبراني، انصحك بمتابعة صفحة المهندس جميل حسين طويلة على الفيسبوك.
أتمنى أن تكون هذه المعلومات مفيدة ومساعدة لك لكي تبدأ مسيرتك الاحترافية في هذه المجال.
