يستفيد المتسللون من نقاط الضعف ويمكن أن يسببوا أضراراً كبيرة تتراوح بين التجسس والاستغلال إلى تسريب البيانات والتأثير على عمل الشبكة. ولذلك تستخدم المؤسسات نظام كشف التسلل (IDS) لمراقبة الأحداث والأنشطة التي تحدث داخل نظام الكمبيوتر أو في الشبكة، وتحليلها بحثاً عن علامات الاختراقات والبحث عن احتمالات التعرض للتسلل واكتشاف محاولات المساس بسرية وسلامة وتوافر الأصول المعلوماتية.
متطلبات كشف التسلل
يشير نظام كشف التسلل (IDS) إلى أنظمة برمجية أو أجهزة، أو مزيج من الأجهزة والبرامج التي تعمل على أتمتة عملية مراقبة الأحداث التي تحدث داخل نظام كمبيوتر أو شبكة، وتحليل السجلات لتحديد مشاكل الأمان. تعمل مكونات الأجهزة والبرامج في نظام اكتشاف التسلل معاً للكشف عن الأحداث غير المتوقعة، والتي قد تنبه إلى أن الهجوم على وشك الحدوث أو أنه يحدث أو كان يحدث. قد تتضمن عملية الكشف تقنيات وسياسات مختلفة للكشف عن التسلل والتي تختلف من نظام إلى آخر. على سبيل المثال، فإن نظام اكتشاف التسلل الذي يستخدم تقنيات التعريف القائمة على التوقيع سيكون أسرع في الإعلان عن وجود تهديد من الأنظمة التي تعتمد على الإحصائيات.
الهدف من نظام اكتشاف التسلل هو اكتشاف الأنشطة الضارة وتمييزها عن أنشطة النظام والشبكة المشروعة الأخرى. أما الهجوم الضار فهو نشاط يضر بالنظام من خلال الثغرات الأمنية. تمثل الثغرات الأمنية التعرض للمخاطر وينتج عن استغلالها فرص حدوث أنشطة ضارة. يسمح نظام اكتشاف التسلل للمؤسسات بحماية أصولها والبنية الأساسية الرقمية من التهديدات والهجمات الخبيثة. وبسبب الاعتماد الكبير على تقنيات الشبكة، زادت فرص الأنشطة الضارة والهجمات السيبرانية مما جعل استخدام أنظمة اكتشاف التسلل أمراً ضرورياً.
يتطلب أي نظام كشف التسلل ثلاثة أنشطة :
- القدرة على تسجيل الأحداث الأمنية
- مراقبة السجلات بانتظام.
- توفير الاستجابة للاختراق إذا تم اكتشافه.
تتضمن الأحداث ذات الصلة بالأمن المصادقة، التدقيق ، الاختراق ومكافحة الفيروسات، ويتم تسجيل هذه الأحداث وتخزينها في سجلات نظام التشغيل أو سجلات الأمان أو سجلات قاعدة البيانات. تراقب المنظمات التي تهتم بسياسات الأمان الخاصة بها الأحداث الأمنية وتقيمها بانتظام لتحديد نقاط الضعف ومحاولات الاختراق.ولذلك تصبح المعلومات المخزنة في السجلات الأمنية ضرورية لإعادة بناء تسلسل الأحداث، وهو أمر ضروري لمعرفة المسار والتسلل الزمني للهجوم السيبراني. عند ربط تسلسل الأحداث والأنشطة ذات الصلة، نحصل على معلومات حول تأثيرات الهجمات وطبيعتها، وهو أمر ضروري لتطوير تدابير مواجهتها.
وظائف نظام اكتشاف التسلل
نستعرض فيما يلي بعض وظائف نظام كشف التسلل:
- مراقبة عمليات أجهزة التوجيه وجدران الحماية والخوادم للمساعدة في التحكم في الأمان من أجل اكتشاف ومنع والتعافي من الهجمات السيبرانية.
- تسجيل ومراقبة الأحداث الأمنية
- توفير واجهة سهلة الاستخدام لضمان إدارة أمن النظام.
- يراقب ويسجل الأنشطة البشرية لرسم نمط لسلوك المستخدمين.
- فحص التكوين للبحث عن نقاط الضعف المحتملة وتقييمها.
- حفظ السجلات وإدارة نظام الملفات والتقييم المستمر لتقليل المخاطر.
- تخزين أنماط نشاط النظام غير الطبيعية وتقييمها بحثاً عن المخاطر المحتملة.
- تصنيف الأنشطة الضارة على أساس السلوك ونمطها وتكرارها.
- وضع خط أساس لحالة أمن النظام لتسهيل التتبع والتعقب.
- حظر المتسللين ومصدر الأنشطة الضارة وإبلاغ مسؤول النظام
خصائص نظام اكتشاف التسلل
نظام اكتشاف التسلل هو جهاز مادي أو تطبيق برمجي أو قد يكون مزيجاً من الاثنين يفحص حركة المرور على الشبكة، من أجل تحديد الأنشطة الضارة ومصادرها والاستجابة لها. يكتشف نظام اكتشاف التسلل انتهاكات السياسة ويبلغ عنها مسؤولي الأمن. يجب أن يتمتع نظام اكتشاف التسلل بالخصائص التالية، بغض النظر عن الآلية التي يستند إليها:
- لا يتطلب نظام اكتشاف التسلل جهوداً بشرية لتشغيله.
- القدرة على العمل بشكل مستمر في الخلفية دون إزعاج إعدادات تكوين النظام والشبكة.
- يظل نظام اكتشاف التسلل غير متأثر إذا حدث تعطل للنظام
- إجراء تقييم دوري لنفسه للتأكد من أمانه وعدم وجود نقاط ضعف.
- قابل للتحديث الذاتي من أجل تقليل التدخل البشري.
- الدقة العالية، مما يسمح بتوليد الحد الأدنى من الإنذارات الإيجابية الخاطئة والسلبية الخاطئة.
- القدرة على اكتشاف جميع أنواع الأنماط والهجمات الضارة سواء من داخل المؤسسة أو خارجها.
- السرعة في اكتشاف الاختراقات والاستجابة لها بشكل مناسب لتقليل الضرر.
الأنواع الرئيسة لأنظمة اكتشاف التسلل
نظام اكتشاف التسلل هو آلية دفاعية تجمع المعلومات من النظام والشبكة ومن الأجهزة المتصلة لمعرفة الأنشطة المشبوهة داخل النظام أو عبر الشبكة. يتم تحليل المعلومات التي تم جمعها من المصادر المذكورة واستخدامها للكشف عن فرص التسلل والثغرات الأمنية. يساعد هذا التحليل مسؤولي الأمن عبر اقتراح الحل الأفضل للتعامل مع التسللات والثغرات الأمنية والأنشطة الضارة الأخرى.كما يشجعهم على تصميم إطار أمان أفضل لمعالجة مثل هذه المشاكل في المستقبل. بالإضافة إلى ذلك، يتيح هذا التحليل لمسؤولي الأمن التعامل بسهولة أكبر مع المشكلات المعقدة مثل التدقيق والتسجيل والمراقبة.
نظام الكشف عن التسلل القائم على المضيف
يراقب نظام الكشف عن التسلل القائم على المضيف (HIDS) الأنشطة الجارية على جهاز (مضيف) معين. يتم فحص هذه الأنشطة للكشف عن التسللات والثغرات الأمنية في ذلك المضيف (H0st). إذا تم الكشف عن التسللات والثغرات الأمنية وأي انزياحات غير معتادة في تكوين النظام، فسيتم إخطار مسؤول الأمن بذلك. يمسح الـ (HIDS) الجهاز بشكل منتظم لضمان حماية المضيف الذي تم تثبيته عليه من التهديدات الداخلية أو الخارجية. يعتمد عمل نظام الكشف عن التسلل على مسار تدقيق نظام التشغيل وسجلات النظام . يحتوي مسار تدقيق نظام التشغيل على سجلات زمنية متعلقة بالأمان، وعنوان المصدر ووجهة السجلات، لفهم تسلسل الأنشطة ومصادرها. يحتفظ مسار التدقيق بشكل متسلسل بسجل جميع الأنشطة التي تؤثر على عملية وإجراء وأحداث محددة. تعتبر سجلات النظام من الموارد المهمة لإدارة أنظمة الكمبيوتر. غالبًا ما تساعد هذه السجلات في اكتشاف المشكلات في النظام و العثور على مؤشرات للاختراقات الأمنية.
بعد عمليات التفتيش الدقيقة للمعلومات ، يصبح نظام الكشف عن الاختراقات قادراً على تحديد نمط الهجوم والأنشطة غير الطبيعية عبر النظام. يتمتع نظام الكشف عن الاختراقات بالقدرة على استعادة العملية التي بدأت الأحداث داخل النظام وتتبع مصدرها أيضاً ومعرفة نشاطات الوصول وتتبع المخالفات المرتبطة بالوقت إلى مستخدم معين. في ظروف معينة، نحتاج لمعرفة فيما إذا كان الشخص الذي يعمل على جهاز كمبيوتر جزءاً من أنشطة غير مشروعة في مؤسسة أم لا. يقرر نظام HIDS ذلك جيداً لأنه يتتبع سلوك الأفراد ويربطه بالوقت بطريقة قوية.
نظام كشف التسلل القائم على الشبكة
يمكن للمتسللين عبر الشبكة تهديد البنية التحتية الرقمية وتعريضها للاختراق وتهديد استقرار الشبكة مما يضع أمن المعلومات المخزنة عليها في خطر. يتضمن التسلل عبر الشبكة مجموعة واسعة من الأنشطة الخبيثة، بما في ذلك التأثير السلبي على استقرار الشبكة ككل، والحصول على وصول غير مصرح به إلى الملفات والامتيازات، وتعطيل البرامج المثبتة عليها. يمكن نظام كشف التسلل القائم على الشبكة (NIDS) من معرفة المحاولات الخبيثة. يتم جمع المعلومات المستخدمة في اكتشاف المحاولات الخبيثة من تحليل تدفق البيانات على الشبكة.
يتضمن التسلل عبر الشبكة مجموعة واسعة من الأنشطة الخبيثة، بما في ذلك التأثير السلبي على استقرار الشبكة ككل، والحصول على وصول غير مصرح به إلى الملفات والامتيازات، وتعطيل البرامج المثبتة عليها. يمكننا نظام كشف التسلل القائم على الشبكة (NIDS) من معرفة المحاولات الخبيثة. يتم جمع المعلومات المستخدمة لاكتشاف المحاولات الخبيثة من تدفق البيانات على الشبكة عبر فحص السلوك غير الطبيعي لتدفق البيانات وفحص محتويات ومعلومات عن جميع حزم البيانات عبر الشبكة. إن توفر مجموعة واسعة من أجهزة استشعار الشبكة يجعل اكتشاف التسلل أسهل حيث تقارن أجهزة الاستشعار أنماط المحاولات الخبيثة السابقة بالأنماط الجارية وتتجاهل الأنماط المماثلة. يمكن تخصيص أجهزة الاستشعار المتقدمة، ويتم تثبيتها وفقًا لاحتياجات الشبكة الفردية واستخدامها. تسهل بعض أنظمة اكتشاف التطفل على المستخدمين دمج توقيعهم الخاص مع حركة البيانات المارة، مما يسمح لأجهزة الاستشعار بتحديد حركة المرور الضارة.
كلمة أخيرة
لقد أدى الاتصال بين أجهزة الكمبيوتر والأجهزة، والتبادل السريع للمعلومات عبر الانترنت إلى تقريب الناس من بعضهم البعض. لكن الجانب المظلم للشبكات هو الاختراقات التي قد تسبب تسللاً إلى البنية التحتية الرقمية مما يؤدي إلى سرقة البيانات وإتلافها وتعطيل الحياة الرقمية بشكل عام. تفحص أنظمة الكشف عن التسلل جميع حركة المرور الواردة والصادرة وتبحث عن احتمالات الاختراق. كما تطلق تنبيهاً إذا وجدت أي ثغرة أو نشاط ضار يعمل عبر أجهزة الكمبيوتر والشبكات. يوفر نظام الكشف عن التسلل مجموعة متنوعة من الفوائد للمؤسسات بدءًا من تحديد نقاط الضعف إلى اتخاذ إجراءات ضد منفذي الهجمات عبر تحديد مصدرها. ولذلك فهو يلعب يلعب دوراً حاسماً في تعزيز الأمن للبنية الأساسية الرقمية في المؤسسة.