تأتي معظم عمليات التثبيت الجديدة لأنظمة التشغيل أو التطبيقات بإعدادات مُهيأة مسبقاً تفتقر إلى التكوين الآمن لأن كثيراً من البائعين يعطون الأفضلية للتشغيل والربحية و تجربة المستخدم مقارنة بالأمن و الحماية المطلوبة عموماً. تسمح عناصر التحكم CIS من مركز أمن الانترنت في توفير فهم أفضل لما هو آمن وما هو غير آمن. ويعتبر التكوين الآمن المفيد جزءاً من النهج متعدد الطبقات للأمن السيبراني لأنه يحسن من فعالية قدرتك على إبطاء أو تأخير أو إعاقة التهديد حتى تتمكن من تحييده تماماً.
التكوين الآمن – عملية مستدامة
من المهم إنشاء عملية تكوين آمنة ،والحفاظ عليها محدثة، لأصول المؤسسة (أجهزة المستخدم النهائي، بما في ذلك الأجهزة المحمولة والمتنقلة؛ والأجهزة غير الحاسوبية/انترنت الأشياء، المخدمات) والبرامج (أنظمة التشغيل والتطبيقات). مراجعة وتحديث الوثائق سنوياً أو عند حدوث تغييرات كبيرة في المؤسسة يمكن أن تؤثر على هذه العملية. إضافة لما سبق، ولأن أجهزة الشبكة تحتاج إلى تعزيز الحماية فإنه يجب إنشاء عملية إنشاء عملية تكوين آمنة والحفاظ عليها لأجهزة الشبكة. وكذلك مراجعة وتحديث الوثائق سنوياً أو عند أي تغيير جوهري في العمل.
كذلك، بعد فترة محددة من عدم النشاط، من المهم قفل الجلسة تلقائياً أينما أمكن ذلك على أصول المؤسسة. بالنسبة لأنظمة التشغيل للأغراض العامة، يجب ألا تتجاوز فترة عدم النشاط تلك الـ 15 دقيقة. بالنسبة لأجهزة المستخدم النهائي المحمولة، يجب ألا تتجاوز الفترة دقيقتين. علماً أن هذه الإعدادات تساعد في منع الوصول غير المصرح به إلى الأجهزة. ولذلك فإن معظم أنظمة التشغيل لديها هذه السياسة لكن ربما تكون معطلة أو غير محددة.
ويطبق فرض قفل الجهاز التلقائي بعد عدد محدد مسبقاً لمحاولات المصادقة الفاشلة على أجهزة المستخدم النهائي المحمولة، أينما أمكن ذلك. بالنسبة لأجهزة الكمبيوتر المحمولة، لا يجب السماح بأكثر من 20 محاولة مصادقة فاشلة. بالنسبة للأجهزة اللوحية والهواتف الذكية، لا تسمح بأكثر من 10 محاولات مصادقة فاشلة. إن وجود حد أدنى لمحاولات الوصول إلى الأجهزة المحلية أمر مهم للمساعدة في منع الوصول غير المصرح به.
الحماية من المخاطر الخارجية
وبالتوازي مع ما سبق، يجب تنفيذ وإدارة جدار الحماية على المخدمات، حيثما كان ذلك مدعوماً. تتضمن أمثلة التنفيذ جدار حماية افتراضياً أو جدار حماية لنظام التشغيل أو وكيل (proxy) جدار حماية تابع لجهة خارجية. وتعد جدران الحماية أساساً للأمن السيبراني للعديد من المؤسسات. لكن تتمثل ممارسة الأمن السيبراني الجيدة في وضع طبقات من الأمان، بحيث إذا تم اختراق حالة واحدة من الأمان، فلديك عدة طبقات أخرى يمكنك الرجوع إليها كحماية. كما يجب تنفيذ وإدارة جدار الحماية القائم على المضيف (Host) أو أداة تصفية (filter) المنافذ على أجهزة المستخدم النهائي مع قاعدة الرفض الافتراضية التي تمنع كل حركة المرور باستثناء تلك الخدمات والمنافذ المسموح بها صراحةً. يمكن أن تكون جدران الحماية خط الدفاع الأول ضد هجمات الاختراق، ولكن من الجيد أيضاً تنفيذ العديد من دفاعات الأمن السيبراني الأخرى إضافة لجدار حماية المستخدم النهائي.
ولأن الدفاع والحماية عملية تراكمية فإنه لا يجب استخدام بروتوكولات إدارة غير آمنة مثل Telnet (Teletype Network) وHTTP ما لم يكن ذلك ضرورياً من الناحية التشغيلية. وإنما يجب استخدام بروتوكولات آمنة ومشفرة عند إدارة الأصول والبرامج. كما يجب تثبيت أحدث التصحيحات على برامجك لتحقيق الفوائد الأمنية أيضاً. لا يهم مستوى من نقاط النهاية لديك، لأن وجود أي برامج متقادمة (outdated). يمكن أن يترك الباب مفتوحاً لهجمات سيبرانية محتملة.
التكوين الآمن للحسابات
لإدارة الحسابات الافتراضية على أصول المؤسسة والبرامج مثل المسؤول (Admin, Root) وحسابات البائعين المكونة مسبقاً. فإنه يجب تعطيل الحسابات الافتراضية أو جعلها غير قابلة للاستخدام. لنتذكر أنه ليست هناك حاجة إلى أن يكون حساب المسؤول نشطاً ما لم تكن هناك حاجة لذلك. تتمتع حسابات الـ Admin بامتيازات عالية، وإذا كان لدى المهاجم حق الوصول إليها، فيمكنه إنشاء مستخدمين آخرين. لهذا السبب من المهم إلغاء تنشيطها أو فرض كلمة مرور فريدة قوية لها، إذا لزم الأمر.
ويمكن سحب هذا المفهوم للحماية عبر إلغاء تثبيت أو تعطيل الخدمات غير الضرورية على أصول المؤسسة والبرامج مثل خدمة مشاركة الملفات غير المستخدمة أو تطبيق الويب. لأنه ليست كل مكونات النظام والخدمات ضرورية للوظائف. على سبيل المثال، تم ربط العديد من الثغرات الأمنية بـ RDP في تكوينه الافتراضي. وبالتالي، هناك العديد من التحسينات التي يمكن إجراؤها لجعل RDP أكثر أماناً. لكن كإجراء احتياطي، يمكنك فقط تعطيل الخدمة.
حماية مخدمات DNS
يعد DNS أحد المكونات الرئيسة للانترنت وله أهمية كبيرة، إن كان DNS التي تتحكم فيها المؤسسة أو مخدمات DNS الموثوقة التي يمكن الوصول إليها خارجياً. يجب تأمين الـ DNS بشكل صحيح. وهناك العديد من الأطر التي يمكن الرجوع إليها لاختيار الإعدادات الصحيحة، ومنها أفضل الممارسات من معهد SANS للدفاع عن DNS ونعرض منها ما يلي:
- فرض التصحيحات والإصدارات الأحدث
- تقسيم DNS الداخلي والخارجي
- موقع مختلف لخوادم DNS
- تقييد ومصادقة عمليات نقل المنطقة (zone)
- تقييد التحديثات الديناميكية
- تقييد الوصول
كلمة أخيرة
مع تحول العديد من الشركات إلى العمل عن بُعد، يتم نقل أجهزة الشركة من مكان لآخر. يتطلب التكوين الآمن امتلاك القدرة على مسح جهاز عن بُعد في حالة فقده أو سرقته سيحافظ على أمان بيانات شركتك بشكل أكبر. وبالتالي، يجب توفير إمكانية لمسح بيانات المؤسسة عن بُعد من أجهزة المستخدم النهائي المحمولة المملوكة للمؤسسة عندما يُرى ذلك مناسباً مثل الأجهزة المفقودة أو المسروقة أو عندما يترك الموظف العمل.عموماً، تأكد من استخدام مساحة عمل منفصلة خاصة بالمؤسسة على أجهزة المستخدم النهائي المحمولة، حيثما تكون مدعومة وذلك لفصل تطبيقات وبيانات المؤسسة عن التطبيقات والبيانات الشخصية. يعد فصل مساحة العمل الشخصية ومساحة العمل المؤسسية أمراً مهماً لأنه يقلل من خطر تمكن المهاجمين من الاستفادة مما تفعله بالاستخدام الشخصي للوصول إلى شبكة المؤسسة.