الاستجابة للحوادث لتسريبات المطالبات
كشف حوادث أمان المطالبات
5 دقيقة للقراءة
معظم تسريبات المطالبات لا تُكتشف حتى يحدث الضرر. يغطي هذا الدرس آليات الكشف التي تلتقط الحوادث مبكراً.
آليات الكشف
1. مراقبة رموز الكناري
class CanaryMonitor:
def check_output(self, session_id: str, output: str) -> bool:
"""تحقق إذا ظهرت أي رموز كناري في المخرجات."""
for token, metadata in self.canary_registry.items():
if token in output:
self._trigger_alert(session_id, token, metadata, output)
return True
return False
def _trigger_alert(self, session_id, token, metadata, output):
alert = {
"timestamp": datetime.utcnow().isoformat(),
"type": "canary_leaked",
"severity": "critical",
"session_id": session_id,
}
self._notify_security_team(alert)
2. كشف الشذوذ
class AnomalyDetector:
def analyze_request(self, user_id, query, response) -> list:
anomalies = []
# فحص كثافة كلمات الاستخراج
# فحص طول الاستعلام غير العادي
# فحص الاستعلامات السريعة المتتالية
# فحص نمط التصعيد
return anomalies
def _detect_escalation_pattern(self, user_id, current_query) -> bool:
"""كشف هجمات التصعيد على نمط Crescendo."""
# تحقق إذا كانت الاستعلامات تصبح تدريجياً أكثر حساسية
3. مطابقة أنماط المخرجات
class OutputMonitor:
def __init__(self):
self.leak_patterns = [
r"##\s*(SYSTEM|PRIORITY|CRITICAL)",
r"(CANARY|SECURITY_TOKEN):\s*[a-zA-Z0-9]+",
r"(key|token|secret):\s*[\w\-]+",
]
def check_output(self, output: str) -> list:
"""فحص المخرجات لأنماط التسرب المحتملة."""
4. المراقبة الخارجية
class ExternalLeakMonitor:
"""مراقبة المصادر الخارجية للمطالبات المسربة."""
async def scan_for_leaks(self) -> list:
# البحث في مستودعات الكود
# البحث في وسائل التواصل الاجتماعي
# البحث في مواقع اللصق
مصفوفة شدة التنبيهات
| نوع الكشف | الشدة | وقت الاستجابة | التصعيد |
|---|---|---|---|
| رمز كناري في المخرجات | حرج | فوري | حظر تلقائي + تنبيه المناوب |
| انفجار كلمات الاستخراج | عالي | < 5 دقائق | فريق الأمان |
| نمط التصعيد | عالي | < 5 دقائق | فريق الأمان |
| تسرب خارجي | حرج | فوري | إدارة + قانوني + علاقات عامة |
لوحة الكشف
مقاييس للمراقبة:
- تسريبات الكناري (24 ساعة)
- محاولات الاستخراج حسب النوع
- درجة الشذوذ عبر الوقت
- تفعيلات حد المعدل
قواعد الاستجابة الآلية
DETECTION_RULES = {
"canary_leaked": {
"severity": "critical",
"auto_actions": ["block_session", "page_oncall", "create_incident"],
},
"escalation_pattern": {
"severity": "high",
"auto_actions": ["elevate_monitoring", "notify_security"],
},
}
رؤية رئيسية: الكشف قيّم فقط إذا أدى لإجراء. كل آلية كشف يجب أن يكون لها استجابة محددة. الهدف ليس فقط معرفة الحوادث—بل إيقافها قبل انتشار الضرر.
التالي: احتواء وتقييم حوادث أمان المطالبات. :::