أصبح الأمن السيبراني مجالاً مهماً للعمل. وكما هو الحال في أي مهنة، فإن الجهد والمثابرة أمور بالغة الأهمية لتحقيق النجاح في مجال الأمن السيبراني. هناك العديد من العمليات الأمنية التي يستخدمها خبراء الحماية يومياً لحماية الأعمال. بعضها من السهل فهمه، وبعضها الآخر قد يكون مربكاً. يناقش روبودين في هذا المقال مفاهيماً مثل أنواع التقييم الأمني والاختلافات الفريق الأحمر والفريق الأرجواني.
العمليات الأمنية – مسح الثغرات
لنتفق أن كل مستوى من مستويات التقييم له وظيفته في الدفاع السيبراني. لذلك، لن نعرض التقييمات حسب الأهمية. ولكننا نسلط الضوء على الاختلافات بينها حتى تعرف النهج أو التغطية التي لديك أو يمكنك الاستفادة منها.
تحتاج المنظمات إلى برنامج لإدارة الثغرات الأمنية لتحديد وتصنيف وتحديد أولويات وإصلاح وتخفيف الثغرات الأمنية في البرامج. ونتيجة لذلك، أصبح فحص الثغرات الأمنية أمراً حيوياً لتحديد نقاط الضعف المحتملة في نظام الكمبيوتر أو الشبكة. وإضافة لذلك، يعمل فحص الثغرات الأمنية على جرد البنية الأساسية بالكامل، سعياً إلى تحديد نظام التشغيل والبرامج المثبتة. وتفضل العديد من المؤسسات استخدام أدوات مسح (scan tools) متعددة للثغرات الأمنية بالتناوب. يسمح لها ذلك بتقديم تغطية كاملة لكل أصل (asset) وإنشاء صورة كاملة للبنية الأساسية لديها. يتم بناء بعض هذه الأدوات مع وضع نطاق محدد في الاعتبار، في حين توفر أجهزة أخرى دمجاً أوسع لتقنيات مختلفة. لذلك، تعرف على احتياجات مؤسستك وحدد الخيار الأفضل الذي يدعم أهداف الدفاع الخاصة بك.
أدوات فحص الثغرات الأمنية
- Nessus : أداة فحص أمنية عن بُعد طورتها شركة Tenable. وهي تفحص الكمبيوتر وتعرض تنبيهاً إذا اكتشفت أي ثغرات أمنية يمكن للمتسللين الضارين استغلالها. وهي تجري عمليات فحص على مضيف معين، وتفحص أكثر من 57000 ثغرة أمنية شائعة ومخاطر (CVE).
- Nexpose : تم تطوير Nexpose بواسطة Rapid7. وهو يفحص الثغرات الأمنية أثناء جمع البيانات في الوقت الفعلي لتوفير عرض مباشر للبنية الأساسية للمؤسسة. وله درجات خاصة به تتراوح من 1 إلى 1000. مما يسمح له بتوفير نطاق أكثر شمولاً وإعطاء الأولوية بشكل أفضل للقضايا. وهو يدعم البيئات المادية والافتراضية والمتنقلة والسحابية المحلية. ويُستخدم على نطاق واسع بسبب تكامله مع Metasploit من Rapid7 لتقييم الثغرات الأمنية والتحقق منها، مما يساعد فرق الأمن على تقليل الإيجابيات الخاطئة.
- QualysQualys : أداة متقدمة للأمن السيبراني مصممة لتحديد نقاط الضعف الأمنية في البرامج وقياسها ومعالجتها قبل أن تتمكن الجهات الفاعلة من استغلالها. بالإضافة إلى ذلك، فهي تدعم اكتشاف المضيف (Host). وتساعد فريق الأمن على تنظيم الأصول بشكل أفضل من خلال تتبع نقاط الضعف بمرور الوقت وإظهار الحالة والتغييرات بشكل مستمر.
تقييم نقاط الضعف
وفقاً للمعهد الوطني للمعايير والتكنولوجيا (NIST) ، فإن تقييم نقاط الضعف هو “فحص منهجي لنظام معلومات أو منتج لتحديد مدى كفاية تدابير الأمن، وتحديد أوجه القصور الأمنية، وتوفير البيانات التي يمكن من خلالها التنبؤ بفعالية تدابير الأمان المقترحة، وتأكيد كفاية هذه التدابير بعد التنفيذ”. وبالتالي، فإن تقييم نقاط الضعف أكثر تقدماً من المسح. يتم التحقق من النتائج يدوياً، بما في ذلك مقارنات المعايير أو مراجعات الإجراءات. تساعد هذه العملية في معرفة ما إذا كان النظام معرضاً لأي نقاط ضعف، وتحدد مستويات خطورة تلك النقاط، وتقدم التوصيات المطلوبة لمعالجة تلك النقاط أو تقليل مخاطرها.
العمليات الأمنية – اختبار الاختراق
اختبار الاختراق هو محاكاة لهجوم إلكتروني ضد النظام المعلوماتي ويتم إجراؤه لغرض فحص نقاط الضعف القابلة للاستغلال وتحديد ما إذا كانت الحلول التكنولوجية التي تستخدمها المنظمة قادرة على الصمود في وجه هجوم سيبراني. وعلى عكس مقيمي نقاط الضعف، يفخر مختبرو الاختراق بقدرتهم على التحقق من نقاط الضعف واستغلال تلك العيوب في ظل ظروف خاضعة للرقابة.
أثناء اختبار الاختراق، يفحص خبير الأمن السيبراني نقاط الضعف المكتشفة لتحديد ما إذا كان المهاجم قادراً على استخدامها لاختراق الأنظمة المستهدفة أو الوصول إلى معلومات حساسة. يتضمن اكتشاف المضيف (host) والخدمة (service) تجميع قائمة شاملة لجميع الأنظمة التي يمكن الوصول إليها وخدماتها الخاصة للحصول على أكبر قدر ممكن من التفاصيل حول الأصول. ويشمل ذلك الكشف الأولي عن المضيف المباشر، وتعداد الخدمات، بالإضافة إلى التعرف على نظام التشغيل والتطبيق. ومع ذلك، لاحظ أن اختبار الاختراق يتحدد بشكل كبير من خلال نطاق العمل وعادة ما يكون محدداً بالوقت، وهو أحد خصائصه المميزة عند مقارنته بتقييمات الفريق الأحمر . وبالتالي، فإن النطاق المحدود يقيد المختبر بعنوان مضيف أو نطاق محدد، وغالباً ما يتم التركيز بشكل كبير على واجهة برمجة التطبيقات (API) و تطبيقات الويب.
مميزات اختبار الاختراق الناجح
إن اختبار الاختراق الناجح ليس مجرد اختبار لقدرات اكتشاف الثغرات الأمنية، بل يتطلب أيضاً فهماً أعمق لسبب طلب العميل لاختبار الاختراق.ولكل من شركات الأمن السيبراني سمات مميزة خاصة بها لتنفيذ تقييمات اختبار الاختراق. لكنها تتفق تقريباً بما يلي:
- التركيز: التركيز هو عامل أساسي لاختبار الاختراق لأنه سيحدد مدى تقييد نطاق العمل. على سبيل المثال، يمكن أن يكون التركيز على نقطة نهاية API محددة أو مجموعة واسعة من عناوين IP مع تشغيل العديد من التطبيقات. إذا كان التركيز ضيقاً، فلديك نطاق ضيق للعمل. وإذا كان واسعاً، فلديك المزيد من الحرية، مما يوفر منظوراً أوسع لموقف الأمان.
- النموذج: سيساعد ا نموذج اختبار الاختراق المؤسسة على تحديد نوع عملية الدفاع التي تريد الاستثمار فيها. على سبيل المثال، إذا طلب العملاء اختبار البنية التحتية الداخلية، فإنهم يتبنون عقلية “افتراض الاختراق”، ويوجهون استراتيجيتهم نحو الدفاع النشط الذي يتماشى مع تلك العقلية والتي يمكن التعبير عنها بــ “لا تفترض أن هجوماً قد يحدث، ولكن افترض أنه يحدث”. وبالمقارنة، فإن العملاء الذين يطلبون اختبار اختراق خارجي يريدون عادةً معرفة ما إذا كان المهاجمون قادرين على اختراق دفاعهم. وهذا يختبر فعالية ضوابط أمان المحيط لمنع واكتشاف الهجمات ضد البنية التحتية العامة للمؤسسة.
- المنهجية: إن وجود منهجية واضحة لاختبار الاختراق يؤدي إلى أهداف واقعية ونتائج متوقعة وميزانية سليمة. ومن أكثر الأساليب شيوعاً اختبار الصندوق الأبيض واختبار الصندوق الأسود. إذا كان العميل يحتاج إلى اختبار اختراق الصندوق الأبيض، فيجب عليه مشاركة التفاصيل والوثائق المتعلقة بالنظام المستهدف. وهذا يضمن تغطية اختبار أكثر شمولاً وتفصيلاً ولكنه ليس واقعياً مثل الطرق الأخرى. وبالمقارنة، لا يتطلب اختبار الصندوق الأسود أي معلومات مسبقة حول الشبكة أو التطبيق المستهدف. وهو يتيح لخبراء الأمن النظر في مستويات التحكم الأمني المختلفة من منظور المهاجم. ومع ذلك، فهو ليس أفضل مسار يجب اتباعه عندما تريد اختبار ميزة أو تطبيق معين.
الفريق الأحمر في العمليات الأمنية
إن العمل ضمن فريق أحمر (Red Team) يشبه لعب دور محامي الشيطان. حيث يتخذ شخص ما دور الشرير في حوار ما. لكن الهدف من لعب هذا الدور في الأمن السيبراني هو تقييم قوة الاستراتيجيات الدفاعية بشكل واقعي من خلال التفكير مثل الخصوم. وبالتالي، فالفريق الأحمر هو إحدى العمليات الأمنية التي تهدف إلى اختبار الأشخاص والعمليات والتكنولوجيا (PPT)، حيث لا يكون المدافعون على دراية بأنه يحدث. إنه تقييم مبني على الافتراضات ومنظم بأهداف يمكن أن تكون محددة (على سبيل المثال، استخراج البيانات الحساسة أو الوصول إلى التطبيقات المهمة للأعمال) أو عامة (على سبيل المثال، تقييم ما إذا كان الخصم يمكنه اختراق مخدم البريد الإلكتروني الخاص بالشركة (Exchange server).
سيتم قياس نجاح النشاط من خلال مدى قدرة الفريق الأحمر على تحقيق هذه الأهداف، مما يوضح ما إذا كانت المؤسسة قادرة أم لا على اكتشاف الجهات الفاعلة المهددة والاستجابة لها. أثناء عمل الفريق الأحمر، يكون التركيز ليس لاختبار نقاط الضعف التكنولوجية ولكن لتقييم ما إذا كان الخصم يمكنه تحقيق هدف، والانتقال من الوقاية إلى الاكتشاف والاستجابة.
الفريق الأزرق والفريق البنفسجي
يتكون الفريق الأزرق من محترفي الأمن الذين يركزون على إدارة وتحسين القدرات الدفاعية لمنظمتهم ويعملون غالباً في مركز عمليات الأمن (SOC). لديهم عمليات وأدوات مختلفة للدفاع عن الشبكة من الهجمات، وتقنيات التخفيف لتحسين وضعها الأمني. يتضمن ذلك مراجعة السجلات، وإجراء تحليل حركة المرور، وإجراء عمليات التدقيق، وإصلاح نقاط الضعف الأمنية غير المكتشفة في البنية الأساسية. أما الفريق الأرجواني فهو ليس فريقاً ولكنه وظيفة تجمع عقلية عمل الفريق الأحمر والفريق الأزرق معاً. إنه كدور وظيفي يضمن فعالية التعاون بين المهاجمين والمدافعين. إن تسهيل نقل المعرفة الثابت والمتسق بين الفريقين يعزز قدرة المؤسسة على منع سيناريوهات الهجوم في الحياة الواقعية.
كلمة أخيرة
إن السرعة المذهلة للابتكار في كل من التقنيات الهجومية والدفاعية تشبه سباق التسلح. قد تصبح الأدوات الهجومية قديمة بسبب الوضع الأمني المحسن الذي توفره الأدوات الدفاعية الأحدث، أو قد تتفوق عليها ببساطة أدوات هجومية أفضل وأكثر فعالية. قد يتم إبطال الثغرات التي يتم استخدامها كسلاح من خلال التصحيحات الأمنية. لكن ذلك يفرض علينا جهداً مضاعفاً في العمليات الأمنية للتأكد من حماية الأعمال واستقرارها.