النسخة التي يستطيع نفس المخترق حذفها ليست خطة تعافي كافية.
وجود backup لا يعني أن الموقع جاهز لحادث ransomware. CISA توصي باختبار النسخ والحفاظ عليها بطريقة تقلل قدرة المهاجم على الوصول إليها، وNIST يربط التعافي بالجاهزية والحوكمة. لذلك يجب أن تسأل سؤالًا بسيطًا: من يستطيع حذف النسخ؟
ما المقصود بفصل الصلاحيات؟
الفكرة أن حساب الموقع أو لوحة الإدارة لا يجب أن يملك وحده صلاحية حذف كل النسخ. استخدم وجهة منفصلة، صلاحيات مختلفة، أو سياسة احتفاظ تمنع الحذف السريع عند الإمكان.
في بيئات VPS وcPanel، قد تكون النسخ محلية أو بعيدة أو داخل خدمة خارجية. المهم أن تعرف مسار النسخة، من يملك صلاحية القراءة، من يملك صلاحية الحذف، وهل توجد نافذة استرجاع بعد الحذف.
اختبر الحذف كما تختبر الاسترجاع
كثير من الفرق تختبر تنزيل نسخة أو استرجاع ملف، لكنها لا تختبر سيناريو حذف النسخ أو فقدان صلاحية الوصول. اكتب سيناريو صغيرًا: ماذا يحدث لو تم اختراق حساب موقع؟ هل يستطيع الوصول للنسخ؟ هل توجد نسخة خارجية؟
هذا الاختبار لا يحتاج تعطيل الإنتاج. يكفي مراجعة الصلاحيات، إعدادات الوجهة، سجل الاحتفاظ، وآخر تجربة استرجاع لموقع غير حساس.
Checklist جاهزية
- افصل حساب تشغيل الموقع عن حساب إدارة النسخ.
- استخدم وجهة backup لا تعتمد على نفس صلاحيات الويب.
- راجع من يستطيع حذف النسخ أو تقليل مدة الاحتفاظ.
- اختبر استرجاع ملف وقاعدة بيانات بشكل دوري.
- احتفظ بسجل آخر اختبار ونتيجته.
- اربط تنبيهات فشل النسخ أو امتلاء القرص بخطة تصعيد واضحة.
كيف تبدأ بدون تعقيد؟
ابدأ بجرد بسيط لكل خادم: أين النسخ؟ كم مدة الاحتفاظ؟ ما آخر اختبار؟ من يملك صلاحية الحذف؟ بعد ذلك اختر موقعًا واحدًا لتجربة استرجاع كاملة خارج مسار الإنتاج.
التحسين التدريجي أفضل من خطة كبيرة لا تنفذ. كل أسبوع أصلح نقطة واحدة: وجهة منفصلة، تنبيه فشل، اختبار استرجاع، أو تقليل حجم ملفات غير ضرورية حتى تصبح النسخ أسرع وأكثر فائدة.
سيناريو اختبار بسيط
اختر موقعًا غير حساس أو نسخة staging. استرجع ملفًا واحدًا وقاعدة بيانات صغيرة، ثم سجل الوقت والخطوات ومن احتاج صلاحية. بعد ذلك اسأل: هل نفس الحساب الذي يشغل الموقع يستطيع حذف النسخة؟ هل يوجد سجل يثبت نجاح النسخ؟ هل توجد نسخة خارج الخادم؟
هذه الأسئلة تكشف الفجوة قبل الحادث. قد تجد أن النسخ تعمل لكنها بطيئة جدًا، أو أن وجهة التخزين على نفس الخادم الممتلئ، أو أن التنبيه يصل لشخص لا يراجع البريد. كل نتيجة من هذه النتائج تستحق إصلاحًا مستقلًا.
اربط النسخ بالمراقبة
لا يكفي أن يكون لديك job يومي. يجب مراقبة فشل النسخ، امتلاء القرص، تغير حجم النسخة بشكل غير منطقي، وغياب اختبار الاسترجاع. عندما تدخل هذه الإشارات في تقرير واحد يصبح قرار التحسين أسهل.
خطة أسبوع أول
ابدأ بجرد واحد لكل خادم: اسم الموقع، مكان النسخة، مدة الاحتفاظ، آخر اختبار استرجاع، وصاحب صلاحية الحذف. لا تحتاج أداة معقدة في البداية؛ جدول واضح يكشف الثغرات بسرعة.
بعد الجرد، اختر موقعًا متوسط الأهمية واختبر استرجاع ملف وقاعدة بيانات خارج الإنتاج. سجل الزمن والمشاكل. إن فشل الاختبار، فهذا ليس فشلًا للفريق؛ هذه بالضبط قيمة الاختبار قبل حادث حقيقي.
أسئلة شائعة
هل النسخ المحلية كافية؟ لا تكون كافية وحدها إذا كان نفس الخادم أو نفس الحساب يستطيع حذفها أو تشفيرها.
كم مرة نختبر الاسترجاع؟ ابدأ شهريًا للمواقع الحرجة وربع سنويًا لبقية المواقع، ثم عدل حسب المخاطر.
ما أول تنبيه مهم؟ فشل النسخ، امتلاء وجهة التخزين، أو انخفاض حجم النسخة بشكل غير منطقي مقارنة بالأيام السابقة.
المصادر
- CISA: StopRansomware Guide.
- NIST IR 8374 Rev. 1: Ransomware Risk Management.
- CISA: Cyber guidance for small businesses.
هل النسخ عندك محمية من الحذف؟
نراجع وجهات النسخ والصلاحيات واختبارات الاسترجاع حتى تكون خطة التعافي قابلة للتنفيذ وقت الضغط.
اطلب مراجعة الموقع