تشير تقارير أمنية حديثة إلى أن فشل فرق الاستجابة للحوادث لا يرتبط غالبًا بنقص الأدوات أو المهارات التقنية، بل بما يحدث فور اكتشاف الاختراق، حين تكون الضغوط عالية والمعلومات غير مكتملة. هذه اللحظة الحرجة، التي يُطلق عليها مجازًا الدقائق التسعون الأولى، لا تعني السرعة في مواجهة المهاجم بقدر ما تعني وضع اتجاه واضح قبل أن تتحول الافتراضات إلى أخطاء يصعب تصحيحها لاحقًا.
في تلك اللحظات، يتخذ المستجيبون قرارات هادئة لكنها مصيرية: ما الذي يجب فحصه أولًا؟ ما الذي يجب حفظه كدليل؟ هل المشكلة محصورة في نظام واحد أم أنها جزء من نمط أكبر؟ هذه القرارات المبكرة تشكل أساس التحقيق وتحدد مساره بالكامل.
نمط متكرر وليس لحظة واحدة
يؤكد الخبراء أن “الدقائق التسعون الأولى” ليست حدثًا واحدًا بل نمطًا يتكرر كلما توسع نطاق الاختراق. عند الانتقال من نظام مصاب إلى آخر، يُعاد فتح نافذة القرار نفسها: ما الذي نبحث عنه؟ ما الذي نحفظه؟ كيف يرتبط هذا النظام ببقية البيئة؟
الفرق القوية لا تعيد اختراع منهجها في كل مرة، بل تطبق نفس الانضباط المبكر بشكل متكرر. فهي تركز على أسئلة أساسية مثل: ما الذي تم تنفيذه؟ متى؟ من تفاعل مع النظام؟ هذه المنهجية المتسقة تمنع فقدان السيطرة مع توسع نطاق التحقيق.
أسباب تعثر التحقيقات
من أبرز أسباب فشل التحقيقات المبكرة:
- ضعف فهم البيئة الداخلية: فرق الاستجابة تُجبر على الإجابة تحت الضغط عن أسئلة أساسية مثل أماكن خروج البيانات أو مدى توفر السجلات، وهي أمور يجب أن تكون واضحة مسبقًا.
- غياب السياق التاريخي: تسجيل الأحداث بعد الاكتشاف فقط يحد من القدرة على إثبات ما حدث فعليًا، ويحوّل الفجوات إلى افتراضات خاطئة.
- سوء ترتيب الأدلة: في البداية يبدو كل شيء مهمًا، ما يدفع الفرق إلى التنقل بين الأدلة بلا منهجية. الحل الأسرع هو التركيز على أدلة التنفيذ، إذ لا يحدث شيء على النظام دون عملية تشغيل، سواء كانت برمجيات خبيثة أو أوامر PowerShell أو أدوات أصلية.
- الإغلاق المبكر: إعادة تهيئة النظام أو استعادة الخدمات بسرعة قد تخفي بقايا وصول غير مرئي مثل بيانات اعتماد بديلة أو برمجيات خفية، ما يخلق وهم النجاح بينما يبقى الاختراق قائمًا.
الانضباط تحت الضغط
الرسالة الأساسية هي أن الاستجابة الفعالة للحوادث تعتمد على الانضباط في ظل عدم اليقين. الفرق التي تتقن اللحظات الأولى تجعل التحقيقات المعقدة أكثر قابلية للإدارة، وتتفادى الأخطاء المتكررة تحت الضغط. الهدف ليس تجنب الحوادث بالكامل، بل تجنب تكرار نفس الأخطاء عند وقوعها.
عندما تُدار التحقيقات بهذا المستوى من الانضباط، تصبح الدقائق التسعون الأولى مألوفة لا مربكة، وتُطرح نفس الأسئلة وتُتبع نفس الأولويات، ما يمنح الفرق القدرة على التحرك بسرعة وثقة بدلًا من التخمين.
