الاستجابة للحوادث لتسريبات المطالبات
الاحتواء وتقييم التأثير
5 دقيقة للقراءة
عند اكتشاف حادث أمان مطالبات، الاحتواء الفوري يمنع المزيد من الضرر أثناء تقييم النطاق.
إجراءات الاحتواء الفورية
1. إنهاء الجلسة
class IncidentContainment:
async def contain_session(self, incident: dict):
"""احتواء حادث نشط فوراً."""
# 1. إنهاء الجلسة النشطة
await self.session_manager.terminate(session_id)
# 2. إلغاء الرموز النشطة للمستخدم
await self.auth_service.revoke_tokens(user_id)
# 3. حظر الطلبات المستقبلية مؤقتاً
await self.rate_limiter.block_user(user_id, duration_minutes=60)
# 4. التقاط البيانات الجنائية
forensics = await self.capture_forensics(session_id)
2. تدوير المطالبة
class PromptRotation:
async def emergency_rotate(self, compromised_prompt_id: str):
"""تدوير مطالبة مخترقة فوراً."""
# 1. الحصول على المطالبة الاحتياطية
backup = self.get_backup_prompt(compromised_prompt_id)
# 2. نشر الاحتياطي
await self.deploy_prompt(backup)
# 3. إبطال المطالبة القديمة
await self.invalidate_prompt(compromised_prompt_id)
# 4. تدوير رموز الكناري
new_canary = self.generate_new_canary()
await self.update_canary(new_canary)
3. تخفيض الخدمة
DEGRADATION_LEVELS = {
"normal": {"features": "all", "rate_limit": 100},
"elevated": {"features": "reduced", "rate_limit": 20},
"critical": {"features": "minimal", "rate_limit": 5},
"lockdown": {"features": "none", "rate_limit": 0},
}
إطار تقييم التأثير
تصنيف الشدة
| الشدة | التعريف | أمثلة |
|---|---|---|
| P0 - حرج | تأثير فوري على العمل، خرق بيانات | تسرب المطالبة الكاملة علنياً |
| P1 - عالي | مخاطر أمنية كبيرة، تعرض محدود | تسرب لمستخدم واحد |
| P2 - متوسط | قلق أمني، لا مخاطر فورية | محاولة استخراج تم حظرها |
| P3 - منخفض | مشكلة بسيطة، معلوماتية | أنماط استعلام غير عادية |
قائمة فحص التقييم
class ImpactAssessment:
def assess(self, incident: dict) -> dict:
assessment = {
"incident_id": incident["id"],
"severity": None,
"exposure": {},
"business_impact": {},
"recommendations": [],
}
# 1. ما الذي تم كشفه؟
assessment["exposure"] = self.assess_exposure(incident)
# 2. من تأثر؟
assessment["affected_parties"] = self.assess_affected_parties(incident)
# 3. ما تأثير العمل؟
assessment["business_impact"] = self.assess_business_impact(incident)
# 4. حساب الشدة
assessment["severity"] = self.calculate_severity(assessment)
return assessment
استعلامات التحقيق
-- العثور على جميع الجلسات المرتبطة
SELECT session_id, user_id, query_text, security_flags
FROM ai_requests
WHERE user_id = :suspect_user_id
AND request_timestamp BETWEEN :incident_time - INTERVAL '1 hour'
AND :incident_time + INTERVAL '10 minutes';
-- التحقق من أنماط هجوم مماثلة
SELECT user_id, COUNT(*) as suspicious_requests
FROM ai_requests
WHERE security_flags @> ARRAY['extraction_attempt']
GROUP BY user_id
HAVING COUNT(*) > 3;
قوالب الاتصال
التصعيد الداخلي
# تنبيه حادث أمني
**الشدة:** P1 - عالي
**وقت الكشف:** 2026-01-06 14:23 UTC
**الحالة:** الاحتواء قيد التقدم
## الملخص
تم اكتشاف رمز كناري في مخرجات مساعد الذكاء الاصطناعي.
## الإجراءات الفورية المتخذة
- [ ] إنهاء جلسة المستخدم
- [ ] حظر المستخدم مؤقتاً
- [ ] التقاط البيانات الجنائية
- [ ] بدء تدوير المطالبة
اتصال المستخدم (إذا لزم)
# إشعار الخدمة
اكتشفنا نشاطاً غير عادي في حسابك وقمنا
بتحديد الوصول مؤقتاً كإجراء احترازي.
سيتم استعادة وصولك خلال [الإطار الزمني].
رؤية رئيسية: الساعة الأولى بعد الكشف تحدد التأثير النهائي للحادث. جهز إجراءات الاحتواء قبل الحاجة إليها. تدرب على استجابتك—أسوأ وقت لمعرفة عملية الحوادث هو أثناء حادث فعلي.
التالي: التعافي والتحسينات بعد الحادث. :::