أمن نقطة النهاية End point Security – خطوط الدفاع الأولى

386 مشاهدة
9 دقائق

تعد أجهزة نقطة النهاية، مثل أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والهواتف المحمولة والأجهزة اللوحية، بمثابة الخطوط الأمامية في الاستراتيجيات الدفاعية للأمن السيبراني. تحمل هذه الأجهزة مستوى عالي من المخاطر لأنها
تبقى على مدار الساعة في أيدي المستخدمين الذين قد يتسببون في إضعاف الأمن السيبراني عن قصد أو عن غير قصد. ولذلك يولي متخصصو الأمن السيبراني اهاماماً كبيراً لإدارة التكوين الآمن secure configuration ومراقبة وإدارة أمن نقطة النهاية End point Security.

أمن نقطة النهاية – الحماية من البرامج الضارة

تعد البرامج الضارة أحد التهديدات الأكثر شيوعاً لنقاط النهاية. قد تصيب البرامج الضارة إحدى الشبكات أو قد تصل إلى النظام عندما ينقر المستخدم على رابط ضار أو يقوم بتثبيت برنامج غير آمن. بمجرد حدوث ذلك يمكن استخدام البرامج الضارة للتحكم في موارد النظام وسرقة المعلومات الحساسة. يستخدم برنامج مكافحة البرامج الضارة آليتين مختلفتين لحماية الأنظمة من البرامج الضارة والبرمجيات الخبيثة وهما:

الاكتشاف المعتمد على التوقيع Signature detection:

يستخدم قواعد بيانات لأنماط البرامج الضارة المعروفة ويقوم بفحص الملفات وذاكرة النظام لأية بيانات تطابق نمط تلك البرامج. إذا عثر على محتويات مشبوهة، فيمكنه بعد ذلك إزالة المحتوى من النظام أو عزله لتطبيق المزيد من التحليل. عندما تختار برنامجاً يستخدم هذه التقنية فمن المهم تحديث ملف تعريف الفيروس بشكل متكرر للتأكد من أن لديك التوقيعات التي تغطي البرمجيات الخبيثة المكتشفة حديثا. على الرغم من أنها مفيدة ولا تزال قيد الاستخدام، إلا أن طريقة الكشف عن التوقيع أصبحت أكثر محدودية، وذلك بسبب تطور التهديدات الجديدة.

الكشف التوجيهي Heuristic detection:

في هذا الأسلوب، بدلاً من استخدام الأنماط المعروفة للبرامج الضارة، تحاول هذه الأنظمة فهم النشاط العادي ثم الإبلاغ عند اكتشاف أي حالات شاذة. والمقصود بالحالة الشاذة هنا هو أي نشاط ينحرف عن النمط الطبيعي المعهود للنظام. وبالتالي فالتحليل الإرشادي هو وسيلة للكشف عن الفيروسات عن طريق فحص الكود بحثاً عن الخصائص المشبوهة. تم تصميم نموذج Heuristic detection لاكتشاف الخصائص المشبوهة التي يمكن العثور عليها في فيروسات جديدة غير معروفة وإصدارات معدلة من التهديدات الحالية بالإضافة إلى عينات البرامج الضارة المعروفة.

أمن نقطة النهاية باستخدام EDR

اليوم، يحتوي كل نظام تقريباً على حماية أساسية من البرامج الضارة. تقوم المؤسسات بنشر أدوات أكثر تطوراً تُعرف باسم اكتشاف نقطة النهاية والاستجابة لها (EDR). تعمل تلك الأدوات على توسيع الحماية التقليدية من البرامج الضارة لتشمل أربعة عناصر مهمة وهي:

  • الكشف عن الحوادث الأمنية
  • احتواء Containing الحوادث التي تم الكشف عنها
  • التحقيق في الحوادث الواردة
  • إصلاح نقاط النهاية وإعادتها إلى حالتها التي سبقت تأثرها بالبرنامج الضار

وعلى الرغم من صعوبة تحقيق ما سبق و كون حلول الـ EDR ليست مثالية، إلا أنها تقطع خطوات هامة نحو أتمتة قدرات أمان نقطة النهاية للمؤسسة وسير عمل الاستجابة للحوادث.

منع فقدان البيانات DLP

توفر حلول منع فقدان البيانات (DLP) تقنية تساعد المؤسسة على تنفيذ سياسات وإجراءات التعامل مع المعلومات لمنع فقدان البيانات وسرقتها. تبحث هذه الأنظمة عن المعلومات الحساسة التي قد تكون غير آمنة كما تراقب حركة مرور الشبكة بحثاً عن أي محاولات لإخراج المعلومات الحساسة من شبكة المؤسسة وتنبه المسؤولين بسرعة لمنع تلك العملية قبل حدوث الضرر . تعمل أنظمة DLP في بيئتين مختلفتين:

تقنية DLP المستندة إلى المضيف Host-based :

تستخدم أداة مثبتة على نظام محدد للبحث عن أي معلومات حساسة عليه. غالباً ما تركز عمليات البحث هذه على أرقام بطاقات الائتمان وغيرها من المعلومات الحساسة. يتيح اكتشاف وجود المعلومات الحساسة المخزنة لمتخصصي الأمن اتخاذ إجراءات سريعة إما لإزالتها أو تأمينها بالتشفير. يمثل التشفير بهذا المعنى حماية لمعلومات الجهاز في حال فقدانه أو سرقته. كما يمكن لميزة DLP المستندة إلى المضيف مراقبة تكوين النظام وسلوك المستخدم، ومنعه من تنفيذ نشاطات غير مرغوب فيها. على سبيل المثال، تستخدم بعض المؤسسات هذا النمط من DLP لمنع المستخدمين من الوصول إلى أجهزة الـ USB وبالتالي منعهم من استخدامها لنقل المعلومات خارج البيئة الآمنة للمؤسسة.

أنظمة DLP المستندة إلى الشبكة Network-based:

تراقب هذه الأنظمة حركة مرور الشبكة الصادرة، لاكتشاف أي إرسال أي معلومات حساسة غير مشفرة. يمكنهم بعد ذلك منع تلك عمليات، مما يمنع فقدان المعلومات الحساسة الغير محمية. كما تسمح أنظمة DLP الشبكية بحظر بيانات الشبكة التي تنتهك سياسة المؤسسة، أو في بعض الحالات، قد تطبق التشفير تلقائياً على المحتوى. هذا التشفير التلقائي شائع الاستخدام مع أنظمة DLP التي تركز على البريد الإلكتروني.

تحتوي أنظمة DLP أيضاً على نوعين مختلفين من آليات الكشف لتحديد البيانات الحساسة:

  • مطابقة الأنماط Pattern matching : تراقب أي علامات عن المعلومات الحساسة. على سبيل المثال، إذا اكتشف DLP رقماً تم تنسيقه مثل رقم بطاقة الائتمان يمكن أن يطلق تنبيهاً تلقائياً بناءاً على هذا النمط. وبالمثل، قد يحتوي هذا النظام على قاعدة بيانات للمصطلحات المهمة، مثل “سري للغاية” أو “معلومات حساسة”، وبالتالي عندما يتحسس الـ DLP أي من هذه المصطلحات في المعلومات المرسلة عبر الأنظمة أو الشبكة سيتخذ إجراءاً لمنع ذلك.
  • العلامة المائية Watermarking: تسمح للأنظمة أو المسؤولين بتطبيق علامات إلكترونية على المستندات و الوثائق الحساسة ومن ثم يستطيع نظام DLP مراقبة الأنظمة والشبكات بحثاً عن أي محتوى غير مشفر يضمن أي من تلك العلامات.

كما تعمل أنظمة DLP أيضاً كخدمات أمان مُدارةمعتمدة على السحابة cloud-based. في تلك الحالة يشغل مزود الخدمة نظام DLP يستفيد منه العملاء عبر السحابة مما يريحهم من عبء تشغيل وصيانة نظام DLP بأنفسهم.

إدارة التغيير والتكوين لتعزيز أمن نقطة النهاية

تتبع إدارة التكوين Configuration الطريقة التي يتم بها إعداد أجهزة نقطة النهاية المحددة. يشمل ذلك إعدادات أنظمة التشغيل والبرامج مثبتة على الجهاز. كما توفر برامج إدارة التغيير Change management نظاماً لعملية تحديد وطلب والموافقة وتنفيذ التغييرات على التكوينات.
يعد Baselining عنصراً مهماً في إدارة التكوين. إنه مجموعة موثقة من المواصفات لنظام المعلومات، والتي تمت مراجعتها والاتفاق عليها من المعنيين، والتي لا يمكن تغييرها إلا من خلال إجراءات التحكم في التغيير.الأساس يمكن لمسؤولي النظام مقارنة نظام قيد التشغيل بخط الأساس Baselining لتحديد كافة التغييرات التي تطرأ على النظام ومن ثم مقارنة هذه التغييرات بقائمة طلبات التغيير المعتمدة.
أما ضبط الإصدار Version control فهو أيضاً عنصراً هاماً في برامج إدارة التغيير. وخصوصاً في مجالات تطوير البرمجيات والبرامج النصية. يتم ذلك عبر تعيين رقم لكل إصدار من البرنامج يمكن استخدامه لتحديد نسخة معينة.
كما تنشئ إدارة التكوين عناصر يمكن استخدامها للمساعدة في فهم تكوين النظام كالمخططات التي تلعب دوراً مهماً في مساعدة متخصصو الأمن في فهم كيفية تصميم النظام وتكوينه. يمكن لهذه التفاصيل أن تصبح أمراً بالغ الأهمية عند إجراء عمليات استكشاف الأخطاء وإصلاحها أو عند التحقيقات في الحوادث الأمنية.
تتيح إدارة التغيير والتكوين معاً لمسؤولي تكنولوجيا المعلومات إمكانية تتبع حالة الأجهزة والبرامج ، مما يضمن حدوث التغيير عند الحاجة له ولكن بطريقة خاضعة للرقابة تقلل من المخاطر التي تتعرض لها المؤسسة.

إدارة التصحيحات Patch Management

يعد تطبيق التصحيحات على أنظمة التشغيل أمراً بالغ الأهمية لأنه يضمن عدم تعرض الثغرات المكتشفة في الأنظمة للاسغلال من قبل مجرمي الانترنت والجهات الضارة. عندما يتم اكتشاف أي ثغرة في البرامج أو أنظمة التشغيل فإن البائع يسارع لإنشاء تصحيح Patch يحل المشكلة. لذلك تضمن هذه التصحيحات نظام تشغيل آمن قدر الإمكان.
في نظام التشغيل Windows، تعد آلية Windows Update أبسط طريقة لتطبيق تصحيحات للأنظمة بمجرد إصدارها. أما في أنظمة Linux، قد يستفيد مدراء النظام من مجموعة متنوعة من آليات التحديث اعتماداً على توزيعات Linux الخاصة بهم.
لكن مسؤولي أمن المعلومات لا يكتفون فقط بالتأكد من حسن تكوين الأنظمة وجاهزيتها لتلقي التحديثات الأمنية، لكن يجب عليهم أيضاً تحليل مخرجات عمليات إدارة التصحيح للتأكد من تطبيق تلك التصحيحات بالشكل المطلوب. كما تساعد أدوات إدارة التكوين في أتمتة هذا العمل وتتبع تصحيحات التطبيقات المستخدمة في المؤسسة.

كلمة أخيرة

تبدأ الحماية من خطوط الدفاع الأولى عبر الاهتمام بأمن نقطة النهاية الذي راجعنا سوية أهم محدداته لمساعدة مسؤولي النظام والمستخدمين على تجنب الهجمات الشائعة.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أنظمة كشف التسلل
أنظمة كشف التسلل IDS
أنظمة منع التسلل IPS
أنظمة منع التسلل IPS
DeepFake - التزييف العميق
DeepFake – تطبيق يتلاعب بالوجوه بطريقة مبتكرة و لكن خطيرة
حصان طروادة
حصان طروادة – عندما تحاول التهديدات السيبرانية إظهار نفسها كبرامج مفيدة
حماية البيانات
سرية البيانات و حمايتها من مخاطر أمن المعلومات
أمن الشبكات-تجهيزات شبكة
أمن الشبكات – أنواعه و دوره في الحماية من التهديدات السيبرانية
الهجوم الإلكتروني
الهجوم الإلكتروني “انتحال DNS” وطرق الحماية منه
أولويات الحماية
أهم 10 تحديات للأمن السيبراني يجب الاستعداد لها في عام 2022