يسعى روبودين من خلال هذه السلسلة من المقالات لمساعدة القراء الذين قد لا يكونون على دراية ببعض مصطلحات الأمن السيبراني التي تصادفهم كاختصارات أثناء تصفح موقعنا . لا ينبغي أن يؤخذ التعاريف الوارد في هذا النص على أنها على أنها نهائية أو حرفية ولكنها مقاربة للمعنى الذي يقصده عادة المشتغلون في هذا المجال. ويدعوكم روبودين لمراسلته عبر معرفاته على وسائل التواصل الاجتماعي ليساعدكم في شرح مصطلحات جديدة تتابعونها في أجزاء قادمة من هذه السلسلة.
Firewall – من مصطلحات الأمن السيبراني
في تشييد المباني، تم تصميم جدار الحماية firewall لمنع انتشار الحريق. لكن بطبيعة الحال، فإن الأفضل دائماً هو عدم وجود حريق. إذا لم يحالفنا الحظ واندلع حريق، فسيمنعه جدار الحماية من الانتشار ، على الأقل لبعض الوقت. لا يحاول جدار الحماية تحديد مسبب الحريق إنه ببساطة يحجز النار خلفه. في مجال الأمن السيبراني، يكون جدار الحماية إما جهازاً أو برنامجاً يتيح لك تحديد ما إذا كانت هناك حركة بيانات traffic آمنة أو ضارة. كما يتيح لك السماح بتدفق البيانات الجيدة مع إبقاء البيانات السيئة خارجاً.
قبل جدران الحماية، لم يكن من السهل منع الأشخاص من الوصول إلى أنظمتنا المعلوماتية. إذا كان لدينا مخدم ويب، فيمكن لأي شخص الوصول إليه بشكل افتراضي. إذا قرر شخص ما إغراق ذلك المخدم الخاص بنا بالطلبات requests، كان علينا التعامل معها وإيقافها والاستمرار بذلك حتى يشعر المهاجم الملل. لقد غير جدار الحماية ذلك المفهوم.
بشكل أساسي، تعاين جدران الحماية عناوين IP وأسماء النطاق Domains والمنافذ والبروتوكولات من أجل التصفية والحظر. ستبحث بعض جدران الحماية في حزم البيانات عبر الشبكة بحثاً عن محتويات وأنماط محددة. بشكل عام، تتعامل تشغيل جدران الحماية مع حركة البيانات في الوقت الفعلي. غالباً ما يتم تركيب جدران الحماية على الحدود بين الشبكة الداخلية الآمنة للمؤسسة والانترنت – أو أي شبكة خارجية أخرى لا تقع تحت سيطرة المؤسسة. قد تؤدي الـfirewall مهام إضافية. من الأمثلة على تلك المهام، اكتشاف التسلل وإدارة VPN وضمان جودة الخدمة والدفاع ضد هجمات حجب الخدمة الموزعة (DDoS). يعد جدار الحماية خط دفاع أول جيد. لكن لا ينبغي أن يكون الدفاع الوحيد.
Advanced Persistent Threat (APT)
يشير APT كمصطلح إلى نشاط اختراق منظم استطاع الوصول إلى النظام والبقاء لفترة طويلة بعد حدوث الاختراق الأولي. في هذا النوع من الهجمات فإن مجرمي الانترنت تسللوا عبر ثغرة أمنية وامتلكوا القدرة على العودة مراراً وتكراراً، بغض النظر عن عدد المرات التي تحاول فيها طردهم.
غالباً ما يكون نشاط الـ APT تجسسياً. قد تقف وراءه دول أو عصابات إجرامية منظمة تعمل لصالح حكومة ما. وبالتالي فإن هجمات APT عادة ماتكون مخفية وطويلة الأمد وتهدف لسرقة البيانات. تستهدف هجمات APT عموماً مؤسسات ذات قيمة و حساسية عالية. من المستبعد جداً أن يتعرض شخص لهجوم APT على جهاز الحاسب المنزلي الخاص به، إلا إذا كان موظفاً هاماً أو متعاقداً مع شركة كبرى أو وكالة حكومية. كما تميل التهديدات المستمرة المتقدمة (APTs) إلى استخدام أساليب التخفي والخداع مثل التصيد الاحتيالي. وتنفذ كذلك الهجمات على ثغرات لم إطلاق تصحيحات أمنية لها zero day. أو تتلاعب بسلسلة توريد البرمجيات. وبعد ذلك، قد يقوم المهاجمون بتغيير الأوامر والإعدادات للحفاظ على الوصول لضحاياهم.
مصطلحات الأمن السيبراني – IDS
نظام كشف التسلل (IDS) لديه وظيفة بسيطة. إنه مصمم لكشف الاختراقات وفق نوعه. يقوم IDS المستند إلى المضيف host-based IDS بمراقبة النشاط على جهاز الحاسب لتحديد النشاط المشكوك فيه. كما يراقب نظام كشف التسلل في الشبكة بمراقبة حركة البيانات ويبحث عن أنماط مشبوهة فيها. إن الـ IDS لا يعرف ما هي حركة المرور المشبوهة ولكن يجب برمجته للتعرف عليها. على سبيل المثال، تم استغلال ثغرة log4j عن بعد من خلال تدفق بيانات الويب، ونحن نعرف ما يجب أن تحتويه حركة مرور الويب تلك. وهذا يعني أنه يمكننا إعداد قاعدة على IDS للبحث عن أي طلبات ويب تحتوي على نمط يطابق ذلك المستخدم في استغلال log4j. بشكل عام، لا يتخذ نظام IDS أي إجراء مع حركة البيانات التي يراقبها إلا إنشاء تنبيه، والذي يجب لاحقاً على المعنيين التحقق منه، وربما حظر منفذ أو بروتوكول معين . يمكن أن تقترن بعض هذه الأنظمة بأدوات إضافية لتغيير قواعد جدار الحماية، وتغيير حركة المرور على الشبكة، والمزيد.
Cross-Site Scripting (XSS)
في هجمات البرمجة النصية عبر المواقع (XSS) يتم حقن البرامج النصية الضارة script في مواقع الويب الموثوقة. تحدث هجمات XSS عندما يستخدم المهاجم تطبيق ويب لإرسال تعليمات برمجية ضارة، في شكل سكريبت من المتصفح، إلى مستخدم آخر. إن العيوب التي تسمح لهذه الهجمات بالنجاح منتشرة على نطاق واسع وتحدث في أي مكان يسمح فيه الموقع للمستخدم بإدخال النص وإظهاره في المخرجات ولكن دون أن يقوم بالتحقق من صحته أو تشفيره.
يمكن للمهاجم استخدام XSS لإرسال الـ script إلى مستخدم غير مدرك لخطر هذا البرنامج. ليس لدى متصفح المستخدم الضحية أي طريقة لمعرفة أنه لا ينبغي الوثوق بالبرنامج النصي الضار، وسيقوم بتنفيذه. نظراً لأنه يعتقد أن هذا البرنامج النصي جاء من مصدر موثوق به، فيمكن لتلك السكريبت الضارة الوصول إلى أي ملفات تعريف الارتباط أو المعرفات الفريدة للجلسة tokens أو غيرها من المعلومات الحساسة التي يحتفظ بها المتصفح ويستخدمها مع هذا الموقع. تعتبر الـXSS واحدة من أكثر نقاط الضعف شيوعاً في جافا سكريبت، على الرغم من أنها ليست مشكلة في جافا سكريبت ذاتها، ولكنها مشكلة في كيفية استخدام موقع الويب لها. وبدلاً من إدخال نص بسيط، سيقوم المهاجم بإدخال أجزاء من التعليمات البرمجية. إذا لم يكن هناك تحقق من الصحة، فقد يقوم خادم الويب بتنفيذ التعليمات البرمجية.
Honeypots – مصطلحات الأمن السيبراني
العسل يجذب الذباب والدبابير. إذا كنت ترغب في صرف انتباه الحشرات المزعجة عن العناصر الأكثر قيمة وربما اصطيادها للدراسة، فإن وعاء من العسل اللزج سيفي بالغرض. وبالمثل، إذا كنت تريد خداع المهاجمين وربما دراسة أدواتهم وأساليبهم، فعليك نشر نظام مصيدة الجذب Honeypot. إنه نظام معلوماتي يبدو مغرياً للمهاجم، ولكن يتم التحكم فيه ومراقبته. الـ Honeypots ليست سوى مثال على شراك خادعة. وهناك أيضاً رموز العسل honeytokens وهي مستندات مزيفة وبيانات اعتماد مزيفة. إنها جميعها عبارة عن أفخاخ تم إعدادها لكشف أو دراسة محاولات الاستخدام غير المصرح به لأنظمة المعلومات. وهي مصممة لتقليد الأهداف المحتملة للهجمات السيبرانية لاكتشاف محاولات الهجوم وتسجيلها والتحذير منها.
يمكن أن تكون مصائد الجذب أداة قوية لفهم التكتيكات التي يستخدمها مجرمو الانترنت. من خلال المراقبة الدقيقة للأنشطة في الـ Honeypots ، من الممكن الحصول على فهم دقيق لمستوى التهديد وأنواع الهجمات التي يتم تنفيذها. والأهم من ذلك أنه يسمح بدراسة هذه الهجمات دون المخاطرة بتعرض الهدف الفعلي للخطر.
تتنوع مصائد الجذب من نظام بسيط يسجل المعلومات الأساسية حول عنوان IP الخاص بالمهاجم ووقت الاختراق، إلى أنظمة أكثر تعقيداً. يمكن أن تحاكي مصائد الجذب المتطورة سلوك الشبكة الفعلية وتحتوي على العديد من التطبيقات والخدمات المختلفة. عند تكوين مصيدة الجذب بشكل صحيح، يمكنها جمع كمية هائلة من المعلومات حول المهاجم والأدوات المستخدمة وطرق التطفل. يمكن بعد ذلك استخدام هذه المعلومات لتعزيز أمن النظام أو الشبكة الحقيقية.
إلى اللقاء في أجزاء قادمة
