تعلم اساسيات الامن السبراي

يشمل الأمن السيبراني حماية الأنظمة والشبكات والبيانات الرقمية من السرقة أو التلف من خلال ممارسات مثل تحديث البرامج، واستخدام المصادقة متعددة العوامل، وتأمين الشبكات. للتعلم، ابدأ بمعرفة أساسية في مجال تكنولوجيا المعلومات (الشبكات، لينكس) واسعَ للحصول على شهادات مثل شهادة جوجل للأمن السيبراني أو شهادة Security+. تشمل المجالات الرئيسية حماية نقاط النهاية، وأمن الحوسبة السحابية، وإدارة المخاطر. 1. ممارسات الأمان اليومية الأساسية: تحديث كل شيء: حافظ على تحديث التطبيقات والمتصفحات وأنظمة التشغيل للحماية من الثغرات الأمنية. استخدام المصادقة متعددة العوامل: فعّل المصادقة متعددة العوامل على جميع الحسابات الحساسة. كلمات مرور آمنة: استخدم كلمات مرور قوية وفريدة لكل حساب، واحفظها في مدير كلمات مرور. نسخ البيانات احتياطيًا: انسخ الملفات احتياطيًا بانتظام إلى محركات أقراص خارجية أو تخزين سحابي مشفر. تأمين شبكة Wi-Fi: غيّر أسماء/كلمات مرور جهاز التوجيه الافتراضية، واستخدم تشفير WPA2 أو WPA3. سوف اعطي بعض الاساسيات للمبتدئين والمهتمين في تعلم الامن السيبراني.

من اساسيات الامن السيبراني موضحا في الاسفل سوف اتحدث بايجاز عن عن جميعهم:

١- الجرائم الالكترونية:

ما هي الجرائم الإلكترونية؟ تمامًا كالجرائم التقليدية، توجد الجرائم الإلكترونية أيضًا على الإنترنت. إليك بعض الأمثلة على الجرائم الإلكترونية:

سرقة الهوية
المفترسين عبر الإنترنت
اختراق البريد الإلكتروني للأعمال (BEC)
برامج الفدية
سرقة الملكية الفكرية الحساسة

تتزايد الجرائم الإلكترونية بشكل منتظم كل عام. ما سبب هذا الارتفاع؟ إليكم بعض الأسباب:

الجرائم الإلكترونية سهلة التنفيذ
مخاطر منخفضة للوقوع في قبضة القانون
غالباً ما تكون العوائد عالية مقابل عمل قليل.
بإمكان المهاجمين استهداف آلاف الضحايا
تُسهّل العملات المشفرة عملية غسيل الأموال

يمكن أن يكون لتحديات مثل سرقة الهوية عواقب وخيمة على الفرد، مما يتسبب ليس فقط في احتمالية الخسائر المالية ولكن أيضًا في الكثير من الحزن الشخصي.

يُتيح الإنترنت العديد من الخدمات لتسهيل غسيل الأموال، مما يجعل العملية في الغالب سهلة للغاية. ونظرًا لأن الأموال تُتداول بالعملات الرقمية، فإن خدمات مثل “الخَفِّف” تُصعّب تتبّع الأموال.

تُعدّ خدمات “الخلط” خدمات تقوم بتقسيم معاملات العملات المشفرة وإعادة توجيه الأموال عبر العديد من الحسابات، بقيم مختلفة، لآلاف الأشخاص، مما يجعل من الصعب تتبعها.

٢- تهديدات لكسب المال:

من الهجمات الشائعة الأخرى التي يشنها مجرمو الإنترنت لكسب المال الابتزاز، أي احتجاز الأفراد كرهائن بناءً على معلومات يملكونها عنهم، في محاولة لإجبارهم على دفع فدية مقابل إطلاق سراحهم. لنأخذ السيناريو الشائع التالي كمثال:

يمكن للمحتال الآن أن يهدد بنشر المواد المحرجة لأفراد الأسرة وزملاء العمل وغيرهم، عارضاً حذف المواد إذا تم دفع مبلغ من المال إلى حساب المحتال.

يلتقي شخص بشخص آخر عبر الإنترنت، والطرف الآخر في الواقع محتال يحاول خداع الضحية.

ينخرطون في محادثات شيقة ويبدو أنهم يقيمون رابطة عميقة فورية فيما بينهم.

لذا قد ينخرطون في محادثات فيديو، لكن المحتالين يستخدمون على سبيل المثال فيديو مسجل أو ببساطة لديهم عذر لعدم قدرتهم على تشغيل الميكروفون أو كاميرا الويب الخاصة بهم.

قد يتطور الأمر من شيء لآخر، وقد تتحول العلاقة إلى علاقة جنسية. يحاول المحتال إقناع الضحية بالتخلي عن صور وتسجيلات شخصية لها، غالباً في أوضاع محرجة.

بمجرد أن يتلقى المحتال هذه المواد، وربما يقوم حتى بإعادة صور مزيفة لأشخاص أبرياء في مواقف مماثلة، تبدأ عملية الابتزاز.

٣- الانترنت المظلم:

للشبكة المظلمة (وتسمى أيضًا الشبكة المظلمة) هي شبكة داخل الإنترنت لا يمكن الوصول إليها إلا باستخدام برامج وبروتوكولات معينة.

للشبكة المظلمة أسماء عديدة، على سبيل المثال شبكة تور أو موجه البصل .

يمكن لأي شخص الوصول إلى الإنترنت المظلم ببساطة عن طريق تنزيل برنامج خاص به. ومن المتصفحات الشائعة والمستخدمة بكثرة متصفح تور التابع لمشروع تور.

هذا يشبه أي متصفح آخر مثل جوجل كروم أو مايكروسوفت إيدج، باستثناء أنه يمكنه أيضًا الوصول إلى عناوين مواقع الويب الخاصة التي تنتهي بـ .onion بدلاً من .com وما شابه ذلك.

يتم تشفير جميع البيانات المرسلة عبر متصفح تور وإخفاء هويتها تلقائيًا عبر العديد من المضيفين. كما يتميز المتصفح بحماية مدمجة ضد أنواع عديدة من التتبع وكشف الهوية.

الوصول إلى الإنترنت المظلم

يمكنك الوصول إلى العديد من المواقع الإلكترونية الممتعة والمثيرة للاهتمام عبر هذا المتصفح، بما في ذلك العديد من المواقع الموجودة على الإنترنت العادي. على سبيل المثال، إذا قمت بالوصول إلى عناوين URL التالية في متصفح Tor، فسيتم تشفير اتصالاتك بالكامل وإخفاء هويتك داخل الشبكة المظلمة:

فيسبوك
http://www.facebookcorewwwi.onion/
محرك بحث DuckDuckGo
http://3g2upl4pq6kufc4m.onion/
وكالة المخابرات المركزية الأمريكية (CIA)
http://ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion
ويكي الخفي، مجموعة من الروابط والأماكن للاستكشاف
http://zqktlwiuavvvqqt4ybvgvi7tyo4hjl5xgfuvpdf6otjiycgwqbym2qad.onion/wiki/index.php/Main_Page

بسبب ميزات إخفاء الهوية والتشفير المدمجة، فإن الشبكة المظلمة تستضيف أيضاً العديد من المواقع الإلكترونية والأسواق والشبكات الإجرامية.

٤- اساسيات الشبكات:

البروتوكولات والشبكات

من الضروري أن يمتلك متخصصو الأمن السيبراني فهمًا عميقًا لكيفية تواصل أجهزة الكمبيوتر. فهناك الكثير مما يحدث خلف كواليس شبكات الكمبيوتر أكثر مما يمكن ملاحظته عند استخدام التطبيقات.

نموذج OSI

يمثل نموذج OSI (“الربط البيني للأنظمة المفتوحة”) طريقة سهلة وبديهية لتوحيد الأجزاء المختلفة المطلوبة للتواصل عبر الشبكات.

يوضح النموذج ما هو مطلوب للتواصل على الشبكة من خلال تقسيم المتطلبات إلى طبقات متعددة.

هذا هو شكل نموذج OSI:

طبقة	ما يفعله
7- التطبيق	حيث يقوم البشر بمعالجة البيانات والمعلومات
6- العرض التقديمي	يضمن أن تكون البيانات بتنسيق قابل للاستخدام
5 – الجلسة	قادر على الحفاظ على الاتصالات
4- النقل	يتم إرسال البيانات إلى خدمة قادرة على معالجة الطلبات
3- طبقة الشبكة	المسؤول عن تحديد المسار الذي يجب أن تسلكه الحزم على الشبكة
2- وصلة البيانات	المسؤول عن تحديد الأجهزة المادية التي يجب أن تُرسل إليها الحزم
1- جسدي	البنية التحتية المادية لنقل البيانات

يتم عادةً تنفيذ الطبقات الثلاث العليا في برامج ضمن نظام التشغيل:

طبقة	حيث يتم تطبيقه
7- التطبيق	برمجة
6- العرض التقديمي	برمجة
5 – الجلسة	برمجة

يتم عادةً تنفيذ الطبقات الثلاث السفلية في الأجهزة داخل الأجهزة الموجودة على الشبكة، مثل المحولات والموجهات وجدران الحماية:

طبقة	حيث يتم تطبيقه
3- طبقة الشبكة	الأجهزة
2- وصلة البيانات	الأجهزة
1- جسدي	الأجهزة

٥- نقل الشبكات:

طبقات النقل والربط المتعمقة

تحتاج أنظمة الحاسوب غالبًا إلى التواصل مع أنظمة أخرى، ويتم ذلك عن طريق ربطها بشبكة واحدة. توجد تقنيات متعددة لتمكين الحواسيب من التواصل عبر أنواع مختلفة من الشبكات. في هذا القسم، سنتعمق في البروتوكولات المستخدمة في معظم الشبكات.

تتألف الشبكات التي نستخدمها من بروتوكولات متعددة، بعضها مُدرج في هذه الدورة. كما توجد بروتوكولات أخرى كثيرة مستخدمة في الشبكات، وكلها تنطوي على مخاطر أمنية محتملة.

بروتوكول التحكم في الإرسال (TCP)

كما يستخدم بروتوكول الإنترنت عناوين IP للعنونة، يستخدم بروتوكولا TCP وUDP المنافذ. ويحدد المنفذ، المشار إليه برقم بين 0 و65535، خدمة الشبكة التي يجب أن تعالج الطلب.

مصافحة TCP ثلاثية الاتجاه

يستخدم بروتوكول TCP عملية مصافحة ثلاثية الأطراف لتمكين نظامين من التواصل. وتعتمد هذه المصافحة على 32 بت من أرقام مولد الأرقام العشوائية الزائفة (PRNG) لإتمامها. وتؤكد المصافحة نية كلا الطرفين في التواصل.

شرح لكيفية تفاعل بروتوكول TCP في الاتصالات:

يبدأ العميل عملية الاتصال بإرسال حزمة بيانات تحتوي على بت التحكم SYN مُفعّل في رأس الحزمة، ورقم مولد أرقام عشوائية زائفة في حقل رقم التسلسل، ومنفذ الوجهة المستهدف. تسمح طبقة الشبكة (الطبقة 3) بإرسال الحزمة إلى نظام بعيد. تُعرف هذه الحزمة بحزمة SYN.
يستقبل الخادم الحزمة، ويقرأ رقم التسلسل من العميل، ثم يُنشئ ردًا. يُعيّن الرد حقل الإقرار برقم التسلسل الخاص بالعميل مضافًا إليه الرقم 1. علاوة على ذلك، يحتوي الرد على بتات التحكم SYN وACK مُفعّلة، ويُعيّن رقم التسلسل إلى رقم مولد الأرقام العشوائية للخادم. تُسمى هذه الحزمة بحزمة SYN/ACK.
يستقبل العميل حزمة SYN-ACK، ولإتمام عملية المصافحة، يُعيد حزمةً مع ضبط بت التحكم ACK. كما تؤكد الحزمة الأخيرة رقم مولد الأرقام العشوائية الزائفة (PRNG) من الخادم عن طريق إعادته في حقل الإقرار (Acknowledgement) في رأس الحزمة.

تُعرف هذه العملية عادةً باسم المصافحة الثلاثية SYN، SYN/ACK، ACK

تزييف حركة المرور

لا توجد قيود تُذكر على الشبكات اليوم، ما يسمح لأي شخص بإنشاء حزم بيانات كما يشاء. بإمكان أي شخص إنشاء حزم بيانات مع ضبط أي حقل من حقول الرؤوس على أي قيمة يريدها. يُعرف هذا بانتحال الهوية، مما يسمح للمهاجمين بإرسال بيانات نيابةً عن الآخرين.

يتمتع بروتوكول TCP بحماية مدمجة، ولكنه يعتمد على قوة مولد الأرقام العشوائية الزائفة (PRNG). إذا أمكن تخمين أرقام التسلسل الخاصة بالأطراف المتصلة، فقد يتعرض أمان TCP للاختراق، حيث يمكن للمهاجم القيام باتصالات مزيفة عبر TCP.

يمكن تزوير العديد من البروتوكولات بسهولة، لكن بروتوكول TCP يوفر بعض الحماية ضد ذلك. أما بروتوكولات مثل UDP وICMP فلا توفر حماية مماثلة.

عادةً ما يقوم المهاجمون الذين يتمتعون بصلاحيات الجذر/النظام، أي أعلى الصلاحيات في نظام التشغيل، بانتحال حزم البيانات. والسبب في ذلك هو أن أنظمة التشغيل تفرض استخدام واجهات برمجة التطبيقات (APIs)، مما يُلزم المستخدم بالامتثال لقواعد الاتصالات المحددة في طلبات التعليقات (RFC). إذا لم يكن لدى المهاجم أعلى الصلاحيات، فلن يتمكن من إنشاء حزم بيانات خاصة به على الشبكة.

بروتوكول بيانات المستخدم (UDP)

يُستخدم بروتوكول UDP لحركة البيانات التي لا تحتاج إلى مرونة وأمان بروتوكول TCP، وعادةً ما تكون تطبيقات مثل VOIP، ولكن في العالم الحديث، تستخدم المزيد من التطبيقات بروتوكول UDP لدعم نقل الحزم السريع مع المرونة والأمان المدمجين في المستويات العليا من نموذج OSI؛ QUIC هو مثال على ذلك.

بالنظر إلى رأس بروتوكول UDP، نلاحظ استخدام نفس منافذ المصدر والوجهة، ولكن دون وجود أرقام تسلسلية أو بتات تحكم. يتميز هذا البروتوكول بانخفاض الحمل الزائد، مما يؤدي إلى سرعة نقل البيانات.

الشبكات المحولة

تتصل الأنظمة بشبكة محلية (LAN) عبر مُبدِّل (Switch). يستخدم المُبدِّل عناوين MAC (التحكم في الوصول إلى الوسائط) للعنونة، وليس عنوان IP الأكثر شيوعًا. يقوم المُبدِّل بتوجيه حركة البيانات عبر الشبكات المحلية، أي شبكتك المنزلية أو داخل فروع مؤسستك. صُممت عناوين MAC لتكون فريدة، ولكن يمكن لأي شخص تغيير عنوان MAC الخاص به طالما لديه صلاحيات المسؤول.

يتم تعريف عنوان MAC بواسطة 6 أجزاء ثمانية، على سبيل المثال: FC:F8:AE:12:34:56

تمثل الأجزاء الثلاثة الأولى من عنوان MAC اسم الشركة المصنعة للجهاز المتصل، ويُطلق عليها اسم OUI (المعرّف الفريد للمؤسسة). عنوان MAC المذكور أعلاه مُخصص لشركة إنتل. يمكنك البحث عن عناوين MAC في العديد من المواقع، على سبيل المثال: https://www.adminsub.net/mac-address-finder/intel.

يتم تحديد الأجزاء الثلاثة الأخيرة من قبل الشركة المصنعة.

ARP

بروتوكول تحليل العناوين (ARP) هو البروتوكول الذي يسمح لأنظمة الكمبيوتر بمعرفة عنوان MAC الخاص بكل عنوان IP. إذا لزم توجيه حركة البيانات، يقوم نظام الكمبيوتر بإعادة توجيهها إلى البوابة الافتراضية المُهيأة عليه.

بروتوكول ARP، مثله مثل نظام أسماء النطاقات (DNS)، هو بروتوكول يُستخدم لتحويل عنوان IP إلى عنوان آخر. في كل مرة يحاول فيها نظام ما الاتصال بعنوان IP موجود على الشبكة المحلية (LAN)، فإنه يتحقق من ذاكرة التخزين المؤقت لبروتوكول ARP لمعرفة ما إذا كان قد تم تحويله مؤخرًا.

يمكنك فحص بروتوكول ARP الخاص بك. ما عليك سوى تشغيل الأمر arp -aعلى نظامي لينكس أو ويندوز. سيكشف هذا الأمر عن الأنظمة التي تواصل معها نظامك مؤخرًا.

Alice: Does anyone know the MAC address of 192.168.10.10?
Bob: Sure thing Alice, here is my MAC Address.

VLAN (“الشبكة المحلية الافتراضية”)

تُعدّ شبكة VLAN، التي تُسمى غالبًا شبكات VLAN الخاصة، وسيلةً للمُبدِّل لتضمين علامات (أو مُعرِّف VLAN) داخل الإطار. وبذلك، يُمكن لعدة مُبدِّلات ضمان أن أنظمة الكمبيوتر على الشبكة المحلية لا يُمكنها التواصل إلا مع أنظمة مُحدَّدة أخرى، أي الأنظمة التي تحمل نفس مُعرِّف VLAN.

٦- طبقة الشبكة:

يُستخدم بروتوكول الإنترنت (IP) للتواصل عبر الشبكات، ليس فقط عبر الروابط المادية، ولكن أيضًا بين شبكات أجهزة التوجيه. نظام العنونة المستخدم هو إما IPv4 (“الإصدار الرابع من بروتوكول الإنترنت”) أو IPv6 (“الإصدار السادس من بروتوكول الإنترنت”).

يمكن تقسيم شبكات بروتوكول الإنترنت (IP) إلى أقسام مختلفة، تُسمى عادةً الشبكات الفرعية. ويتم ذلك بإضافة معلومة إضافية، إلى جانب عنوان IP، تُسمى قناع الشبكة . يُحدد قناع الشبكة حجم الشبكة، ويُحدد أي الحزم يتم توجيهها داخل الشبكة وأيها يجب توجيهها خارجها.

يمكن تمثيل أقنعة الشبكة باستخدام الأرقام العشرية أو برمز الشرطة المائلة. عند استخدام رمز الشرطة المائلة، تأتي الشرطة المائلة بعد عنوان IP الخاص بالنظام. إليك بعض الأمثلة:

IP Address	Slash Notation	Netmask
10.0.0.1	/8 – Example: 10.0.0.1/8	255.0.0.0
172.16.1.1	/12 – Example: 172.16.1.1/12	255.240.0.0
192.168.0.1	/16 – Example: 192.168.0.1/16	255.255.0.0
192.168.0.1	/24 – Example: 192.168.0.1/24	255.255.255.0

تُخصص بعض شبكات بروتوكول الإنترنت (IP) لأنواع محددة من حركة البيانات. عناوين IP المذكورة في الجدول أعلاه مخصصة للاستخدام الداخلي للمؤسسة فقط، أي لا يُسمح بتوجيهها عبر الإنترنت. تُعرف هذه العناوين عادةً بعناوين RFC1918.

شبكات مختلفة

دعونا نلقي نظرة على الشبكات المختلفة ضمن RFC1918 ومدى ضخامة هذه الشبكات:

10.0.0.0/8 – أكثر من 16 مليون عنوان IP
172.16.0.0/12 – حوالي مليون عنوان IP
192.168.0.0/16 – 65534 عنوان IP

يمكن تقسيم قطاعات بروتوكول الإنترنت (IP) إلى شبكات أصغر وأكثر تفصيلاً.

لكل شبكة عنوان مخصص لبث البيانات إلى جميع الأجهزة المتصلة بها، ويُسمى هذا العنوان بعنوان البث. يعني بث البيانات إرسالها إلى جميع الأجهزة على الشبكة بدلاً من إرسالها إلى جهاز واحد فقط. وتعتمد العديد من التطبيقات والبروتوكولات على بث البيانات لكي تعمل.

في كل جزء من الشبكة، يكون عنوان البث هو آخر عنوان IP في الشبكة. على سبيل المثال، في الشبكة 192.168.0.0/24، يكون عنوان البث هو 192.168.0.255.

أصغر قناع شبكة ممكن هو 255.255.255.255، ويمثل بـ /32. هذه الشبكة لها عنوان IP واحد فقط.

إذا لزم إعادة توجيه البيانات إلى المضيف، مثلاً للاتصالات بين التطبيقات، يتم إرسالها إلى عنوان المضيف المحلي (localhost). هذا العنوان هو دائمًا 127.0.0.1 وهو ضمن شبكة /8.

في شبكات بروتوكول الإنترنت (IP)، يتم توجيه حركة البيانات بواسطة جهاز التوجيه (الراوتر). جهاز التوجيه هو جهاز شبكي يفهم تنسيق بروتوكول الإنترنت (IP) ويمكنه إعادة توجيه الحزم بين الشبكات. وهذا يختلف عن جهاز التبديل (الموجز)، حيث يقوم الموجز بإعادة توجيه البيانات داخل الشبكة الواحدة، بينما يقوم جهاز التوجيه بإعادة توجيهها بين الشبكات.

NAT (ترجمة عناوين الشبكة)

تتيح تقنية ترجمة عناوين الشبكة (NAT) للنظام الذي يستقبل الاتصالات عبر عنوان IP عام توجيه تلك الطلبات إلى عنوان IP داخلي وفقًا لمعيار RFC 1918 أو العكس. وتشمل الأنظمة التي تستخدم تقنية NAT عادةً جدران الحماية وأجهزة التوجيه.

تتمثل إحدى التطبيقات الشائعة لتقنية ترجمة عناوين الشبكة (NAT) في استخدام عنوان IP خارجي كواجهة لعدة عناوين IP داخلية، ويُستخدم رقم منفذ الوجهة لتحديد الخادم الذي يجب إرسال البيانات إليه. وهذا يسمح لعناوين IP الداخلية باستقبال البيانات من الأنظمة الخارجية.IPv6 – الإصدار السادس من بروتوكول الإنترنت

يُعدّ الإصدار السادس من بروتوكول الإنترنت (IPv6) أحدث معيار لبروتوكول الإنترنت، وقد صُمّم لدعم عدد أكبر من عناوين IP. فبدلاً من استخدام 32 بتًا لعنونة عناوين IP، يُستخدم الآن 128 بتًا. وهذا يتيح توفير عدد كافٍ من عناوين IP للمستقبل المنظور، في حين أن الإصدار الرابع (IPv4) قد استنفد بالفعل.

تستخدم عناوين IPv6 ثماني مجموعات من أربعة أرقام سداسية عشرية. يبدو عنوان IPv6 كالتالي: 2a00:1450:400f:80a::200e:. لاحظ أنه لا يحتوي على ثماني مجموعات من أربعة أرقام سداسية عشرية. هذا لأن عناوين IPv6 يمكن اختصارها باتباع قواعد بسيطة.

يمكن اختصار الأصفار البادئة
يمكن استخدام النقطتين المزدوجتين (::) لتمثيل سلسلة متصلة من الأصفار.

عنوان IPv6 الموسع هو: 2a00:1450:400f:080a:0000:0000:0000:200e.

يمكن اختصار localhost إلى ::1 و ::.

يحتوي IPv6 على شبكات، أي شبكات فرعية، تمامًا كما هو الحال في IPv4

ICMP

غالبًا ما يرتبط بروتوكول ICMP بأوامر Ping وTraceroute. ويمكن استخدامه لأغراض أخرى، مثل طلب توقيت عقدة ما، وهو ما يُعرف بطلب ICMP Timestamp. يسمح طلب ICMP Timestamp، على سبيل المثال، لجهاز توجيه (Router) بطلب مزامنة التوقيت من جهاز توجيه آخر، وهي سمة مهمة في اتصالات الشبكة.

من الأساليب الشائعة التي يستخدمها المهاجمون للتحقق من توفر الأنظمة على الشبكة، إجراء مسح Ping. يهدف هذا النشاط إلى جعل الجهاز المستهدف ضمن نطاق الشبكة يستجيب لطلبات Ping، ما يُتيح للمهاجم معرفة أنه متاح. إلا أن هذا الأسلوب ساذج، إذ أن العديد من الأنظمة تحظر طلبات Ping الواردة افتراضيًا.

تتبع المسار

تتبع المسار هو طريقة لتحديد أجهزة التوجيه المشاركة في إرسال حزمة بيانات من النظام أ إلى النظام ب. معرفة أجهزة التوجيه التي تسلكها حزم البيانات يُفيد في فهم شبكاتنا بشكل أفضل، وكذلك في فهم نقاط الضعف المحتملة. جهاز التوجيه مسؤول عن توجيه الحزمة في الاتجاه الصحيح. تخيل الأمر كقيادة السيارة على طريق، حيث تُرشدك إشارات المرور عند التقاطعات إلى وجهتك. تُمثل هذه الإشارات أجهزة التوجيه. يُحدد تتبع المسار هذه الإشارات والتقاطعات، ويُخبرك بالمسافة بينها، مُقاسةً بالمللي ثانية (ms).

تؤدي رؤوس IPv4 TTL و IPv6 Hop Limit الوظيفة نفسها. يقوم كل موجه يقوم بتوجيه حزمة بيانات بإنقاص هذه القيمة بمقدار 1، وإذا وصلت القيمة إلى 0، فسيتجاهل الموجه الحزمة ويعيد حزمة ICMP Time Exceeded إلى المرسل.

لإجراء عملية تتبع المسار على نظام التشغيل ويندوز:

tracert google.com

لإجراء عملية تتبع المسار على نظام لينكس (غير مثبتة افتراضيًا):

traceroute google.com

عملية تتبع المسار عبر هذه الأدوات بسيطة:

يقوم نظام التشغيل بإرسال حزمة بيانات إلى google.com، ويتم ضبط قيمة TTL على 1.
يتم توجيه الحزمة على الشبكة، ويقوم جهاز التوجيه الأول بإنقاص قيمة TTL بمقدار 1، مما يجعلها عند 0. وهذا يتسبب في قيام جهاز التوجيه بإسقاط الحزمة وإرسال “ICMP Time Exceeded” مرة أخرى إلى المصدر.
يقوم العميل بزيادة قيمة TTL بمقدار 1، مما يسمح بتوجيه الحزمة عبر قفزة إضافية واحدة.

تتكرر هذه العملية، مع زيادة قيمة TTL بمقدار 1 حتى يتم الوصول إلى الوجهة.

نظام أسماء النطاقات (DNS)

يُستخدم نظام أسماء النطاقات (DNS) لربط التطبيقات، عبر أسمائها، بعناوين IP. على سبيل المثال، إذا كنت ترغب في استخدام متصفحك لزيارة http://google.com، فيجب على المتصفح أولاً إرسال طلب إلى خادم DNS لحل عنوان IP الخاص بـ google.com.

تُهيأ الأنظمة عادةً بخادم أسماء نطاقات أساسي وخادم أسماء نطاقات ثانوي. يمكن ضبط هذه الإعدادات يدويًا أو توفيرها بواسطة خادم DHCP. يسمح هذا لأنظمة الكمبيوتر لدينا بالوصول إلى خادم DNS ليقوم بدوره بحلّ أسماء النطاقات نيابةً عنا.

يتولى خادم نظام أسماء النطاقات (DNS) مسؤولية حلّ الطلب. ثم يتحقق من ذاكرته المؤقتة لمعرفة ما إذا كان يعرف الإجابة مسبقًا. يمكن تخزين كل إجابة من إجابات DNS مؤقتًا لتسريع معالجة الطلبات اللاحقة، وذلك لفترة زمنية محددة (TTL). عادةً ما تُضبط فترة صلاحية الإجابة على بضع دقائق، مثلاً 10 دقائق.

إذا لم يجد خادم نظام أسماء النطاقات (DNS) إجابة في ذاكرته المؤقتة، فإنه سيبحث عن الجهة المسؤولة عن تقديم الإجابة. ويتم ذلك عبر عملية تكرارية تتضمن إرسال طلب إلى نظام هرمي من خوادم الأسماء، مما يؤدي حتماً إلى توجيه طلب نظام أسماء النطاقات إلى خادم الأسماء المرجعي.

VPN (“الشبكة الخاصة الافتراضية”)

الشبكة الافتراضية الخاصة (VPN) هي نظام يمكّن نظامين من إنشاء قنوات اتصال مشفرة، مما يسمح بتشفير بيانات الشبكة أثناء نقلها. تعتمد العديد من شبكات VPN على بنية العميل إلى الخادم، مما يتيح للعميل الوصول إلى خدمات متعددة عبر الشبكة. كما أن شبكات VPN التي تستضيفها جهة عملك توفر على الأرجح إمكانية الوصول إلى موارد لا يمكن الوصول إليها إلا من داخل المؤسسة.

٧- جدران الشبكة :

تُعدّ جدران الحماية عنصرًا أساسيًا في بنية أي شبكة. وهي مصممة لمنع جميع أنواع حركة البيانات عبر الشبكة، باستثناء تلك المسموح بها. تعمل جدران الحماية على الطبقة الرابعة، حيث تتحكم عادةً في وصول بروتوكولي TCP وUDP إلى الأصول الداخلية. أما جدران الحماية من الجيل التالي، فتعمل على جميع طبقات نموذج OSI، بما في ذلك الطبقة السابعة.

يُطلق على حركة البيانات الداخلة إلى الشبكة، مثلاً عبر جدار الحماية، اسم حركة البيانات الواردة. أما حركة البيانات الخارجة فتُسمى حركة البيانات الصادرة.

جدار الحماية من الطبقة الرابعة

يُعد جدار الحماية التقليدي جدار حماية من الطبقة الرابعة، ويحتوي على ميزات مثل:

يدعم اتصالات

VPNNAT

التوجيه

منع أو السماح بحركة المرور

تتبع اتصالات الشبكة النشطة

وضع الحماية

في هذا السياق، تعني الحماية المعزولة (Sandboxing) السماح لمنصة ما بتشغيل ملفات قد تكون ضارة. تقوم الحماية المعزولة بتسجيل ومراقبة نشاط الملف لتحديد ما إذا كان ضارًا أم لا.تصفية المحتوى والتطبيقات

يمكن لجدار الحماية محاولة فهم التطبيقات والمحتوى الذي يمر عبر الشبكة. ويمكن لهذا الكشف أن يُفعّل ميزات أمان أخرى مثل نظام منع الاختراق (IPS) لحماية الأنظمة الموجودة داخل جدار الحماية.ويمكن أيضًا التحقق من عناصر مثل عمر النطاق وصلاحيته، مما يمنع المستخدمين من زيارة النطاقات التي تم إنشاؤها حديثًا ولم يتم تصنيفها بعد، أو التحقق من الأنشطة الاحتيالية من خلال تحليل محتوى النطاق.

بدلاً من رفض الوصول إلى المواقع الإلكترونية، يمكن لجدار الحماية اعتراض الطلب وتوجيه المستخدم إلى ما يُسمى ببوابة الوصول المُقيدة. في هذه البوابة، يُمكن تحذير المستخدم من خطر مُحدق أو انتهاك سياسة الشركة، كزيارة محتوى غير مقبول مثلاً. في بعض الحالات، يُمكن السماح للمستخدم بتقديم سبب لحاجته للوصول إلى المحتوى، ثم السماح له بالمتابعة إذا قدّم هذا السبب.

يمكن أن تتعدد الفئات داخل النطاقات، على سبيل المثال مواقع الويب التي تستضيف محتوى متعلقًا بما يلي:

خدمات إخفاء الهوية

القرصنة

عري

عنف

التصيد الاحتيالي

مواعدة

المراسلة الفورية

ترفيه

تصفية عناوين المواقع الإلكترونية

يمكن لجدار الحماية من الجيل التالي (NGFW) حماية المحتوى الذي يتم الوصول إليه عبر بروتوكول HTTP. يستطيع جدار الحماية البحث عن النطاقات في قاعدة بيانات تحتوي على قوائم النطاقات وتصنيفاتها. بعد ذلك، يفرض جدار الحماية السماح للمستخدمين بالوصول إلى فئات النطاقات المقبولة فقط، على سبيل المثال، يُسمح بالوصول إلى الأخبار بينما يُحظر الوصول إلى مواقع المقامرة.

إن الملفات التي تثير الاهتمام للتنفيذ والاستكشاف في بيئة معزولة ليست مجرد ملفات قابلة للتنفيذ، بل إن العديد منها قادر على تنفيذ إجراءات ضارة على نظام تشغيل المستخدمين.

ملفات مضغوطة تحتوي على محتوى للتشغيل
وثائق المكتب
ملفات PDF
تطبيقات جافا
جافا سكريبت
شاشات التوقف

رغم أن جدران الحماية تؤدي وظيفة جيدة، إلا أنها غالباً ما تفتقر إلى فهم كامل لإمكانيات البروتوكول. ولذلك، يتم تطوير جدران حماية خاصة بكل بروتوكول، ومن أكثرها شيوعاً جدران حماية تطبيقات الويب (WAF).

يسمح جدار حماية تطبيقات الويب (WAF) بمزيد من الميزات الخاصة ببروتوكول HTTP مقارنة بجدار الحماية العادي، مما يجعله أكثر قدرة على إيقاف التهديدات.

بينما يسعى جدار حماية تطبيقات الويب (WAF) إلى تحقيق أداء جيد في حجب التهديدات عبر بروتوكول HTTP، فإنه غالبًا ما يوفر أدوات أخرى مفيدة للغاية للمؤسسات، مما يجعله ذا جدوى كبيرة لأكثر من مجرد حجب التهديدات. إليك بعض الأمثلة:

يُساعد جدار حماية تطبيقات الويب (WAF) في بناء نظام احتياطي، أي وجود خوادم متعددة لتقديم الخدمة نفسها. يُمكّن هذا المؤسسات من تشغيل الخدمة بمستوى توفر عالٍ، ما يسمح لها بإيقاف تشغيل أحد الخوادم بينما تظل الخوادم الأخرى قادرة على خدمة المستخدمين الذين يحاولون الوصول إلى الخدمة. يُعدّ هذا مفيدًا لأن عمليات مثل التحديثات الأمنية غالبًا ما تتطلب إعادة تشغيل الخدمة، ويضمن النظام الاحتياطي استمرار وصول المستخدمين إليها.
يمكن لجدار حماية تطبيقات الويب (WAF) أن يساعد في تطبيق أفضل ممارسات قواعد الأمان، على سبيل المثال مكان واحد للحفاظ على التشفير وتطبيقه، والمصادقة متعددة العوامل، والمفاهيم الأخرى التي تغطيها هذه الدورة.
يمكن استخدامه لتطوير واجهة واحدة وآلية حماية لخوادم الويب المتعددة الموجودة خلف جدار حماية تطبيقات الويب (WAF).

٨- تطبيقات الواي فاي:

تُعدّ تطبيقات الويب جزءًا لا يتجزأ من كل ما نقوم به تقريبًا، سواءً كان ذلك للوصول إلى الإنترنت أو للتحكم عن بُعد في جزازة العشب. في هذه الدورة التمهيدية، سنتناول أساسيات أمان تطبيقات الويب.

بروتوكول HTTP

بروتوكول HTTP هو بروتوكول النقل الذي يسمح لمتصفحاتنا وتطبيقاتنا باستقبال محتوى مثل HTML (“لغة ترميز النص التشعبي”) وCSS (“أوراق الأنماط المتتالية”) والصور ومقاطع الفيديو.

عناوين URL، ومعلمات الاستعلام، والمخطط

للوصول إلى تطبيق ويب، نستخدم عنوان URL (“محدد موقع الموارد الموحد”)، على سبيل المثال: https://www.google.com/search?q=w3schools+cyber+security&ie=UTF-8

يحتوي عنوان URL الخاص بموقع google.com على نطاق، ونص برمجي يتم الوصول إليه، ومعلمات الاستعلام.

يُسمى البرنامج النصي الذي نستخدمه /search. يشير الرمز / إلى أنه موجود في المجلد الرئيسي على الخادم حيث تُقدَّم الملفات. يشير الرمز ؟ إلى معلمات الإدخال للبرنامج النصي، بينما يفصل الرمز & بين معلمات الإدخال المختلفة. في عنوان URL الخاص بنا، معلمات الإدخال هي:

سؤال بقيمة w3schools للأمن السيبراني
أي بقيمة UTF-8

يعود تحديد معنى هذه المدخلات إلى تطبيق خادم الويب.

أحيانًا سترى فقط / أو /؟، مما يشير إلى أنه تم إعداد برنامج نصي للاستجابة لهذا العنوان. عادةً ما يكون هذا البرنامج النصي أشبه بملف فهرس يلتقط جميع الطلبات ما لم يتم تحديد برنامج نصي معين.

يُحدد المخطط البروتوكول المستخدم. في حالتنا، هو الجزء الأول من عنوان URL: https. عندما لا يُحدد المخطط في عنوان URL، يُترك للتطبيق حرية اختيار البروتوكول المناسب. يمكن أن تتضمن المخططات مجموعة واسعة من البروتوكولات، مثل:

HTTP
HTTPS
بروتوكول نقل الملفات (FTP)
SSH
الشركات الصغيرة والمتوسطة

٩- هجمات الشبكات وتطبيقات الويب:

هجمات الشبكة

تكثر الهجمات على البروتوكولات والتطبيقات المستضافة على الشبكة. وتُغطى تطبيقات الويب في قسم خاص بها في هذه الدورة.

قد تحتوي الخدمات على ثغرات أمنية كامنة تسمح للمهاجمين باستغلالها. تتضمن هذه الهجمات عادةً استخدام تعليمات خاصة لنظام التشغيل، عبر الخدمة المُعرَّضة للخطر، للسيطرة على العملية التي تُشغِّل خدمة الشبكة. يُعدّ تجاوز سعة المخزن المؤقت أحد أنواع هذه الهجمات.

تحتوي الشبكة عادةً على العديد من التطبيقات، بعضها بسيط ويتطلب تسجيل دخول سهل، والبعض الآخر ذو وظائف معقدة. إحدى طرق الحصول على نظرة عامة على نطاق الهجوم، وتحديد الثغرات الأمنية سهلة الاستغلال، هي فحص جميع موارد الشبكة في البيئة المستهدفة، ثم التقاط صور للشاشة.

تُحقق أدوات مثل EyeWitness (https://github.com/FortyNorthSecurity/EyeWitness) هذا الهدف. تُمكّننا هذه الأداة من الحصول بسرعة على نظرة عامة على الأصول الموجودة على الشبكة، ثم تُوفر لقطات شاشة لكل خدمة. وبفضل لقطات الشاشة، يُمكننا بسهولة تقييم الأنظمة التي تحتاج إلى فحص دقيق.

استغلال الخدمة يعني إساءة استخدامها بطرق لم تُصمم لأجلها. غالباً ما يعني هذا الاستغلال قدرة المهاجمين على تشغيل برمجياتهم الخاصة، وهذا ما يُسمى بتنفيذ التعليمات البرمجية عن بُعد (RCE).

تجاوز سعة المخزن المؤقت

قد ينطوي استغلال خدمات الشبكة أحيانًا على إساءة استخدام وظائف إدارة الذاكرة في التطبيق. إدارة الذاكرة؟ نعم، تحتاج التطبيقات إلى نقل البيانات داخل ذاكرة الحاسوب لكي تعمل. عندما تمنح لغات البرمجة المطور التحكم في الذاكرة، قد تظهر مشكلات مثل تجاوز سعة المخزن المؤقت. توجد العديد من الثغرات الأمنية المشابهة، وسنتناول في هذا القسم تجاوز سعة المخزن المؤقت.

تتيح لغتا البرمجة C و C++ للمطورين تحكمًا كبيرًا في كيفية إدارة الذاكرة. وهذا مثالي للتطبيقات التي تتطلب من المطورين برمجةً دقيقةً للغاية تتوافق مع مكونات الجهاز، ولكنه يُعرّض التطبيقات المكتوبة بهذه اللغات لثغرات أمنية. أما لغات البرمجة الأخرى مثل Java و JavaScript و C# و Ruby و Python وغيرها، فلا تسمح للمطورين بارتكاب هذه الأخطاء بسهولة، مما يقلل من احتمالية حدوث تجاوزات سعة المخزن المؤقت في التطبيقات المكتوبة بهذه اللغات.

تحدث ثغرات تجاوز سعة المخزن المؤقت عندما يتم إدخال بيانات غير مُعالجة إلى متغيرات. تُمثَّل هذه المتغيرات في نظام التشغيل عبر بنية ذاكرة تُسمى المكدس. يستطيع المهاجم حينها الكتابة فوق جزء من المكدس يُسمى مؤشر الإرجاع.

ملاحظة : بنية ذاكرة المكدس هي ببساطة المكان الذي يخزن فيه البرنامج المتغيرات والمعلومات اللازمة لتشغيله. يقع المكدس داخل ذاكرة الوصول العشوائي (RAM) في الحاسوب.

يُحدد مؤشر الإرجاع المكان الذي يجب أن تُنفذ فيه وحدة المعالجة المركزية (CPU) التعليمات البرمجية التالية. تتحكم وحدة المعالجة المركزية ببساطة في التعليمات التي يجب على النظام تنفيذها في أي لحظة. مؤشر الإرجاع هو ببساطة عنوان في الذاكرة حيث يجب أن يتم التنفيذ. يجب دائمًا إخبار وحدة المعالجة المركزية بمكان تنفيذ التعليمات البرمجية، وهذا ما يسمح به مؤشر الإرجاع.

عندما يتمكن المهاجم من التحكم في مؤشر الإرجاع، فهذا يعني أن المهاجم يستطيع التحكم في التعليمات التي يجب على وحدة المعالجة المركزية تنفيذها!

أدوات فحص الثغرات الأمنية

يقوم ماسح الثغرات الأمنية بالبحث تلقائيًا عن الثغرات الشائعة في البرامج والتكوينات عبر الشبكة. وهو غير مصمم لاكتشاف أنواع جديدة من الثغرات، بل يستخدم قائمة من الإضافات (أو الوحدات) المُعرّفة مسبقًا لفحص الخدمات بحثًا عن المشكلات والثغرات. ولا يبحث بالضرورة عن ثغرات اليوم الصفر! ثغرة اليوم الصفر هي ثغرة جديدة تمامًا لم تكن معروفة سابقًا لمورّد البرنامج ولا للمدافعين عنه؛ ولا توجد حاليًا أيّة تصحيحات معروفة لهذه الثغرة.

تحتوي الماسحات الضوئية على ميزات رسم خرائط الشبكة ومسح المنافذ، بما في ذلك طرق لاستكشاف وإيجاد الثغرات الأمنية في التطبيقات المختلفة التي تصادفها.

غالباً ما يدعم ماسح الثغرات الأمنية التكوين باستخدام بيانات الاعتماد، مما يسمح له بتسجيل الدخول إلى الأنظمة وتقييم الثغرات الأمنية بدلاً من العثور عليها من منظور غير مصادق عليه.

مراقبة الشبكة

يحتاج المهاجمون في معظم الحالات إلى الشبكة للتحكم عن بُعد في الهدف. وعندما يتمكن المهاجمون من التحكم عن بُعد في الهدف، يتم ذلك عبر قناة القيادة والتحكم، والتي تُعرف غالبًا باسم C&C أو C2.

توجد ثغرات أمنية عبر برامج خبيثة مبرمجة مسبقاً بحمولات لا تحتاج إلى خادم تحكم. هذا النوع من البرامج الخبيثة قادر على اختراق حتى الشبكات المعزولة عن الشبكة.

يمكن في كثير من الأحيان اكتشاف الاختراقات من خلال تحديد قناة التحكم والسيطرة. ويمكن أن تتخذ قناة التحكم والسيطرة أي شكل، على سبيل المثال:

استخدام بروتوكول HTTPS للتواصل مع خوادم المهاجمين. هذا يجعل خادم التحكم والسيطرة يبدو وكأنه يتصفح الشبكة.
استخدام الشبكات الاجتماعية لنشر الرسائل وقراءتها تلقائيًا
أنظمة مثل مستندات جوجل لإضافة وتعديل الأوامر الموجهة للضحايا

لا يحدّ من قدرات التحكم والسيطرة إلا براعة المهاجمين. عند التفكير في كيفية إيقاف المهاجمين الذين يستخدمون قنوات تحكم وسيطرة ذكية، غالبًا ما نعتمد على رصد الشذوذات والاختلافات الإحصائية في الشبكة. على سبيل المثال، يمكن لأدوات مراقبة الشبكة رصد ما يلي:

تستخدم خوادم التحكم والسيطرة اتصالات طويلة، وهو أمر غير طبيعي بالنسبة للبروتوكول المعني. يُعدّ بروتوكول HTTP أحد البروتوكولات التي لا تُعدّ الاتصالات الطويلة شائعة فيها، ولكن قد يلجأ إليها المهاجم الذي يستخدمها للتحكم عن بُعد.
تستخدم أنظمة التحكم والسيطرة إشاراتٍ للإشارة إلى أن الضحية على قيد الحياة وجاهزة لتلقي الأوامر. تُستخدم هذه الإشارات من قِبل أنواعٍ عديدة من البرامج، وليس فقط من قِبل المهاجمين، ولكن معرفة الإشارات الموجودة والمتوقعة يُعدّ ممارسةً جيدة.
تدفقات بيانات مفاجئة من الشبكة. قد يشير هذا إلى تحميل كمية كبيرة من البيانات من أحد التطبيقات، أو إلى قيام مهاجم بسرقة البيانات. حاول تحديد التطبيق والمستخدم المتسببين في هذه التدفقات، وربطها بالسياق. هل هذا طبيعي أم لا؟

توجد طرق عديدة يمكن للمدافعين من خلالها محاولة اكتشاف الحالات الشاذة. وينبغي ربط هذه الحالات الشاذة بشكل أكبر بالبيانات الواردة من النظام المصدر الذي يرسل البيانات.

في مجال مراقبة الشبكات، ينبغي تطبيق السياق للمساعدة في التمييز بين الإشارات الصحيحة والخاطئة. وهذا يعني أن مركز عمليات الأمن (SOC) يجب أن يسعى إلى إثراء البيانات، مثل عناوين IP المصدر والوجهة، بالسياق لجعلها أكثر قيمة.

يمكن توضيح مفهوم السياق بالسيناريو التالي: هجوم قادم من الإنترنت، لكنه يحاول استغلال ثغرة أمنية في نظام لينكس ضد خدمة تعمل بنظام ويندوز. عادةً ما يُعتبر هذا الهجوم مجرد ضجيج ويمكن تجاهله بأمان؛ إلا إذا كان عنوان IP المُستخدم في الهجوم تابعًا لشبكتك الخاصة أو لمزود خدمة موثوق به. في هذه الحالة، يُمكن للسياق الذي نُطبّقه أن يُقدّم لنا رؤية قيّمة تُساعدنا على استكشاف الهجوم بشكل أعمق. ففي النهاية، لا نريد أن تُشنّ الأنظمة التي نثق بها أي هجمات!

١٠- هجمات الواي فاي:

يُعدّ الواي فاي مجالًا بالغ الأهمية في أمن الحاسوب. لم تعد الأجهزة والأنظمة بحاجة إلى الاتصال عبر الكابلات، بل أصبح بالإمكان الوصول إليها من أي شخص ضمن نطاق الإشارة. يُمكّن الواي فاي العديد من الأجهزة الحديثة من الاتصال بالشبكات.

أساسيات الواي فاي

تعتمد تقنية الواي فاي، كما يعرفها معظم الناس، على بروتوكول IEEE 802.11. وهناك بروتوكولات أخرى تستخدم الراديو للإشارة أيضاً، على سبيل المثال:

تقنية البلوتوث، للتواصل مع الأجهزة التي نحملها، وعادةً ما تكون الهواتف الذكية وسماعات الرأس وما إلى ذلك.
تقنية الاتصال قريب المدى (NFC)، المستخدمة في بطاقات الدخول وبطاقات الائتمان لنقل البيانات لاسلكيًا.
تقنية تحديد الهوية بترددات الراديو (RFID)، المستخدمة لبطاقات الوصول والأجهزة الأخرى، على سبيل المثال السيارة التي يمكنها إرسال معرفها لاسلكيًا إلى نظام الطرق السريعة.
ZigBee و Z-Wave، يستخدمان لأتمتة المؤسسات والمنازل.

تتم الاتصالات اللاسلكية عادةً عبر نقطة وصول (AP)، وهي محطة قاعدة لاسلكية تعمل كمحول وموجه بين الأجهزة المتصلة. كما أن الاتصالات المباشرة بين الأجهزة ممكنة أيضاً، ولكنها أقل شيوعاً.

يُعرف اسم الشبكة اللاسلكية باسم SSID (“معرف مجموعة الخدمة”).

بما أن إشارات الواي فاي تصل إلى جميع الأشخاص في المنطقة المحيطة، فإن ذلك يُمكّن المهاجمين من استخدام هوائي بسهولة لـ”التنصت” على الاتصالات لأي شخص يقوم بالبث. والتنصت يعني ببساطة الاستماع إلى حزم البيانات التي يمكن لواجهة الشبكة رؤيتها.

قد تسمح شبكات الواي فاي أحيانًا للمستخدمين بالوصول إلى التطبيقات الداخلية، مما يزيد من احتمالية التعرض للهجمات. علاوة على ذلك، تحتوي أجهزة الواي فاي على واجهات إدارة وبرامج ثابتة قد تتضمن ثغرات أمنية، والتي قد لا يتم تحديثها دائمًا في الوقت المناسب مقارنةً بأصول المؤسسة الأخرى.

أمان شبكة الواي فاي

تتوفر خيارات الواي فاي

ممنوع الطعام
قائمة الوصول المستندة إلى عناوين MAC
PSK (“المفتاح المشترك مسبقًا”)
مصادقة المؤسسة

تعتمد العديد من هجمات الواي فاي على بطاقات الشبكة التي تتميز بميزتين أساسيتين، وهما:

وضع المراقبة: يجعل بطاقة الشبكة تقوم بإعادة توجيه الحزم المتجهة إلى جميع عناوين MAC إلى نظام التشغيل، وليس فقط إلى عنوانها الخاص.
حقن الحزم: تدعم بطاقة الشبكة إنشاء حزم ذات عنوان MAC مصدر مختلف عن عنوانها الخاص.

شبكات واي فاي مفتوحة

شبكة الواي فاي المفتوحة هي شبكة لا تتطلب كلمة مرور. لا يتم تشفير الاتصال بين نقطة الوصول والأجهزة المتصلة، ويتعين على كل مستخدم الاعتماد على وسائل التشفير الخاصة به لحماية بياناته. على الرغم من سهولة استخدام هذه الشبكات وإمكانية الوصول إليها، إلا أنها تنطوي على مخاطر أمنية.

يستطيع المهاجم في هذا النوع من الشبكات بسهولة معرفة ما يفعله الآخرون بمجرد تحليل حزم البيانات. قد تحتوي هذه الحزم على معلومات حساسة أو مجرد تفاصيل حول أنشطة المستخدمين على الشبكة.

اسم شبكة Wi-Fi مخفي

يمكن لأجهزة نقاط الوصول في كثير من الأحيان تعطيل بث اسم الشبكة اللاسلكية. وهذا يتطلب من الأجهزة المتصلة إظهار معرفتها بمعرف الشبكة (SSID) للانضمام إليها. ولا يُعدّ تفعيل إخفاء معرف الشبكة (SSID) من أفضل الممارسات، لأن اسم الشبكة يُكشف في كل مرة ينضم إليها جهاز متصل. علاوة على ذلك، يحتاج الأجهزة المتصلة الآن إلى طلب معلومات عن الشبكة التي ترغب في الانضمام إليها وبثها، أينما كانت. وبذلك، يستطيع المهاجم التجسس على حركة مرور بيانات الشبكة اللاسلكية للأجهزة المتصلة، ومن ثمّ الحصول على معلومات إضافية عنها وعن الشبكات التي انضمت إليها سابقًا.

تصفية عناوين MAC

تدعم بعض نقاط الوصول التحكم في الوصول بناءً على عناوين MAC. ويمكن لنقطة الوصول إنشاء قائمة بالسماح لعناوين MAC التي يُسمح لها بالانضمام إلى الشبكة والتواصل عليها.

هذا الأسلوب غير آمن. إذ يمكن للمهاجم التجسس على الأنظمة الأخرى المتصلة بالشبكة ومراقبتها، ثم تسجيل عناوين MAC الخاصة بها وتحديث عنوان MAC الخاص به ليصبح عنوانًا مسموحًا به. وهذا يتجاوز فعليًا متطلبات تصفية عناوين MAC.

PSK (“المفتاح المشترك مسبقًا”)

يشير اختصار PSK ببساطة إلى أن الشبكة مُهيأة بكلمة مرور. ويتم تطبيق حماية PSK عادةً عبر بروتوكول يُسمى WPA (الوصول المحمي لشبكة الواي فاي). ويمكن استخدام بروتوكولات مصادقة أقدم، مثل WEP (الخصوصية المكافئة للشبكات السلكية)، ولكنها تُعتبر منذ فترة طويلة قديمة نظرًا لضعف أمانها وسهولة اختراقها من قِبل المهاجمين.

يأتي بروتوكول WPA بأشكال مختلفة، ويُعدّ WPA3 أحدث معيار حتى عام 2021. لا يُعتبر WPA آمنًا تمامًا ضدّ المتسللين، ولكنه يوفر حماية أفضل بكثير من WEP. لاختراق شبكة مُفعّلة ببروتوكول WPA، يجب على المتسلل محاولة كسر كلمة المرور باستخدام برنامج لكسر كلمات المرور. تُعتبر هذه العملية مُكلفة من حيث الوقت إذا كانت كلمة المرور قوية نسبيًا.

إذا تمكن المهاجم من مراقبة (التنصت) أي شخص يُصادق على الشبكة، فسيكون لديه ما يكفي للقيام بعمليات اختراق كلمات المرور. تدعم أدوات مثل aircrack-ng (“https://www.aircrack-ng.org/”) اختراق كلمات مرور شبكات الواي فاي.

مصادقة المؤسسة

يمكن لنقاط الوصول المؤسسية أيضًا دعم مصادقة العملاء بناءً على الشهادات، الأمر الذي يتطلب البنية التحتية للمفتاح العام (PKI) أو بيانات اعتماد المؤسسة من خلال التكامل مع خدمة مصادقة مركزية.

لهذا الأمر بعض الفوائد، لا سيما مفهوم إدارة المفاتيح. ففي شبكة PSK، يكمن التحدي الأساسي في كيفية توزيع كلمات المرور وتدويرها وإلغائها.

في حين أن مصادقة المؤسسات توفر إدارة أمنية أفضل فيما يتعلق بالمفاتيح، إلا أنها تنطوي أيضًا على بنية تحتية أكثر تعقيدًا وتوفر فرصًا أخرى للمهاجمين.

نقاط وصول واي فاي وهمية

يستطيع المهاجمون بسهولة بث شبكات وهمية تنتحل صفة شبكات أخرى. غالباً ما تتصل الأجهزة تلقائياً بالشبكات المتاحة إذا قدمت نفسها بمعرف الشبكة (SSID) المناسب. هذا يسمح للمهاجمين بجعل الأجهزة تتصل بشبكتهم، مما يتيح لهم مراقبة حركة البيانات وتغييرها حسب رغبتهم.

١١- كلمات المرور:

تعتمد العديد من الأنظمة على كلمات مرور بسيطة للحماية. وهذا ليس مثاليًا، إذ يمكن اختراق كلمات المرور أو إعادة استخدامها أو استغلالها بسهولة من قبل المهاجمين. سيتناول هذا القسم الهجمات والدفاعات المتعلقة بكلمات المرور. قوة كلمة المرور

ما الذي يحدد قوة كلمة المرور؟ هل هو مدى تعقيدها؟ أم عدد أحرفها؟ أم عدد الأحرف الخاصة فيها؟

يُظهر مُنشئ الرسوم الهزلية الشهير xkcd.com ببراعة كيف يُمكن اختراق كلمات المرور في الرسم الهزلي أدناه. ألقِ نظرة سريعة عليه، ودعنا نناقشه بتفصيل أكبر.

برامج إدارة كلمات المرور

لطالما اعتُبر تدوين كلمة المرور ممارسة سيئة، ولكن هل هذا صحيح فعلاً؟ استخدام كلمة المرور نفسها في خدمات متعددة عبر الإنترنت ينطوي على مخاطر كبيرة، فماذا لو تم اختراق إحدى هذه المنصات؟ حينها ستكون كلمة المرور مُعرّضة للخطر، وسيتمكن المهاجمون من إعادة استخدامها في جميع الخدمات الأخرى التي تُستخدم فيها.

للتغلب على هذه المشكلة، يُنصح بعدم إعادة استخدام كلمة المرور نفسها في خدمات متعددة. يُصعّب هذا الأمر على المستخدمين، إذ يُطلب منهم ليس فقط استخدام كلمات مرور فريدة، بل أيضًا إنشاء كلمات مرور قوية ومتينة! يُساعد مدير كلمات المرور في حل هذه المشكلة من خلال تمكين المستخدمين من تدوين كلمات المرور بطريقة آمنة قدر الإمكان في ملف أو قاعدة بيانات أو أي نظام آخر، مما يُسهّل الوصول إليها ويضمن قوتها وتفردها في مختلف الخدمات.

عند تطبيقه بشكل صحيح، سيقوم مدير كلمات المرور بما يلي:

اجعل استخدام الإنترنت نشاطًا أكثر أمانًا
يمكنك زيادة الإنتاجية حيث يمكن العثور بسهولة على كلمات المرور الخاصة بالخدمات المختلفة ونسخها ولصقها في الخدمات التي يرغب المستخدم في تسجيل الدخول إليها.
وفر طرقًا سهلة لإعادة تعيين كلمات المرور وإنشاء كلمات مرور جديدة عند الحاجة.

يُعتبر تدوين كلمات المرور أقل خطورة بكثير على مستخدمينا من إعادة استخدامها. صحيح أن هذا ليس حلاً مثالياً، إذ قد يتعرض مدير كلمات المرور للاختراق، إلا أنه يُعدّ نهجاً أكثر أماناً.

حلول بدون كلمات مرور

ماذا لو أمكن الاستغناء عن كلمات المرور نفسها؟ هناك دائمًا من لا يستطيع كتابة عبارة مرور طويلة ككلمة مرور يوميًا. قد يكون لذلك عدة أسباب، منها على سبيل المثال:

موظفون غير ملمين بتقنية المعلومات في المكتب
طبيب يزور العديد من أجهزة الكمبيوتر المختلفة في المستشفى، كل يوم أثناء زيارته لمرضى مختلفين في غرف مختلفة
من الصعب كتابة كلمة المرور على النظام الذي يتطلب ذلك

يتطور تطبيق الأنظمة التي لا تتطلب من المستخدمين إدخال كلمة مرور بشكل سريع. فبدلاً من مطالبة المستخدمين بالتحقق من هويتهم باستخدام كلمة مرور، ماذا لو سمحنا لهم باستخدام، على سبيل المثال:

شيء يمثلونه، على سبيل المثال وجوههم أو بصمات أصابعهم
شيء يملكونه، على سبيل المثال رمز مميز أو هاتفهم المحمول

هناك تحديات في هذا الأمر، ولكن من ناحية الأمن، هل نزيد المشكلة سوءًا أم نحسنها لمستخدمينا؟ يجب أن نتذكر أننا لا نسعى لتطبيق أنظمة أمنية مثالية، فهي عادةً ما تكون بعيدة المنال وغير قابلة للتطبيق، لذا علينا بدلاً من ذلك التفكير مليًا في كيفية الحد من التهديدات وفي الوقت نفسه تسهيل حياة مستخدمينا. كلمات المرور ليست مثالية، وكذلك الحلول التي لا تتطلب كلمات مرور. أيّهما ستختار لمستخدميك؟

المصادقة متعددة العوامل

بما أننا نعلم أنه بغض النظر عن الحل المستخدم للتحقق من المستخدمين، ستظل هناك مخاطر كبيرة مرتبطة بحساباتهم، يمكن تطبيق حلول أخرى للمساعدة في تقليل المخاطر.

تتيح المصادقة متعددة العوامل حلولاً لا تقتصر على التحقق من المستخدم بناءً على كلمة المرور الخاصة به على سبيل المثال، بل تتطلب في الوقت نفسه من المستخدمين تقديم عامل ثانٍ لإثبات هويتهم.توجد عدة طرق مختلفة لطلب عامل ثانٍ. إليك بعض الأمثلة:

استخدم تطبيق مصادقة على هاتفك الذكي لتوفير رمز سري
استلم رمزًا سريًا عبر رسالة نصية قصيرة (SMS) على هاتفك.
استخدم رمزًا ماديًا لتوفير رمز سري
تقديم بصمة إصبع أو صورة وجه لتحديد هوية الشخص

كل ما سبق لا يتطلب فقط معرفة كلمة المرور، بل يتطلب أيضًا تقديم عنصر ثانٍ (عامل).

تُعتبر حلول كهذه أحيانًا تدخلاً مفرطًا في خصوصية المستخدمين. وللمساعدة في حل هذه المشكلة، يمكن تطبيق مفهوم التحكم التقديري في الوصول (DAC). يسمح هذا المفهوم لنظام تسجيل الدخول بتحديد ما إذا كان سيطلب من المستخدم إدخال رمز تحقق متعدد العوامل أم لا. على سبيل المثال، قد يكون استخدام رمز التحقق متعدد العوامل ضروريًا فقط عندما:

يحاول القيام بإجراء حساس في التطبيق، على سبيل المثال تغيير كلمة المرور أو إجراء معاملة مالية تتجاوز حدًا معينًا.

تسجيل الدخول من موقع جديد

يستخدم متصفحًا أو برنامجًا مختلفًا للوصول إلى التطبيق

تخمين كلمة المرور

عندما يواجه المهاجمون التطبيقات والخدمات، قد تتاح لهم فرصة تخمين كلمات المرور. تخمين كلمات المرور هو نشاط يتضمن تفاعل المهاجمين مع التطبيق عبر الشبكة، وتجربة قوائم من تركيبات مختلفة من أسماء المستخدمين وكلمات المرور.

يمنح تخمين كلمات المرور المهاجم فرصة للعثور على حسابات ذات اسم مستخدم وكلمة مرور ضعيفين.

اختراق كلمات المرور

بينما يُعدّ تخمين كلمات المرور هجومًا عبر الإنترنت، فإنّ اختراق كلمات المرور هو هجوم غير متصل بالإنترنت. ويتضمن هذا النوع من الهجمات قيام المهاجمين بسرقة تمثيلات كلمات المرور من الهدف أولاً.

تُمثل كلمات المرور عادةً على شكل تجزئة. التجزئة هي طريقة لتخزين كلمات مرور المستخدمين عن طريق إرسالها عبر دالة أحادية الاتجاه، مما يجعل من المستحيل عكس كلمة المرور إلا باستخدام برامج اختراق كلمات المرور.

إذا تمكن المهاجم من استخراج بيانات الاعتماد من النظام، فمن المرجح أن تكون هذه البيانات محمية عبر التشفير أو التجزئة. التجزئة هي دالة أحادية الاتجاه مصممة بحيث لا يمكن عكسها إلى قيمتها الأصلية.

تتضمن عملية كسر كلمات المرور استخدام قوة الحوسبة، أي وحدة المعالجة المركزية (CPU) ووحدة معالجة الرسومات (GPU)، لمحاولة إنشاء تخمينات لكلمات المرور التي تتطابق مع بيانات الاعتماد المحمية المسترجعة من النظام.

ملاحظة : عادةً ما يكون أداء وحدة معالجة الرسومات (GPU) أفضل بكثير في اختراق كلمات المرور، لأنها تحتوي على مئات النوى الدقيقة، كل منها قادر على أداء مهام صغيرة بمفرده. وهذا يسمح لبرنامج اختراق كلمات المرور بأن يصبح أسرع بكثير، حيث يمكنه توزيع عمليات الاختراق على العديد من النوى المختلفة.

خدمات بدون مصادقة

أثناء استكشاف التطبيقات، قد تصادف تطبيقات غير محمية بمصادقة. تُعدّ هذه التطبيقات فرصةً سانحةً للمهاجمين لاستكشافها، حيث يمكنهم مثلاً استغلال حقل البحث للعثور على معلومات حساسة.

يمكن استكشاف العديد من التطبيقات على الشبكة بحرية، مما يوفر أحيانًا للمهاجمين البيانات الدقيقة التي يبحثون عنها.

عند إجراء عمليات رسم خرائط الشبكة ومسح المنافذ، يجب استكشاف كل نظام وخدمة تم اكتشافها.

عادةً ما يكون المهاجم يستخدم بالفعل بيانات اعتماد المستخدمين في النظام. على سبيل المثال، إذا تمكن المهاجم من اختراق نظام حاسوب شخص ما، فبإمكانه إعادة استخدام بيانات الاعتماد المستخدمة بالفعل في النظام.

يُتيح هذا للمهاجمين فرصًا أكثر بكثير. فكّر في جميع التطبيقات التي يُمكن استغلالها الآن. على سبيل المثال:

بريد إلكتروني
SharePoint
الموارد البشرية والمحاسبة
VPN (“الشبكة الخاصة الافتراضية”)

بمجرد أن يتمكن المهاجم من الوصول إلى تطبيق محمي بنظام التحكم في الوصول، غالباً ما تكون الثغرات الأمنية والبيانات وفيرة.

يمكن استخراج بيانات الاعتماد من النظام عبر وسائل مختلفة، تتطلب عادةً امتلاك صلاحيات المسؤول. يُعدّ برنامج Mimikatz (https://github.com/gentilkiwi/mimikatz) أداةً من هذا القبيل، حيث يحاول استخراج بيانات الاعتماد من النظام.

١٢- اختبار الاختراق والهندسة الاجتماعية:

يُعد اختبار الاختراق بمثابة إجراء استباقي لمحاولة تحديد نقاط الضعف في الخدمات والمؤسسات قبل أن يتمكن المهاجمون الآخرون من ذلك.

يمكن تقديم اختبار الاختراق في العديد من المجالات، على سبيل المثال:

تطبيقات الويب. يتم تطوير وإصدار تطبيقات ويب جديدة.
الشبكة والبنية التحتية. العديد من التطبيقات ليست تطبيقات ويب، بل تستخدم بروتوكولات أخرى. يمكن أن تتواجد تطبيقات المؤسسة هذه خارجياً وداخلياً.
اختبار داخلي / محاكاة حاسوب مصاب. ماذا لو أصيب جهاز المستخدم ببرمجيات خبيثة؟ هذا يُعادل تقريبًا وصول المهاجم مباشرةً إلى لوحة مفاتيح ذلك الجهاز، مما يُشكل خطرًا جسيمًا على أي مؤسسة.
اختبار الاختراق التنظيمي الخارجي. هو اختبار يشمل جميع أقسام المؤسسة، ويُجرى على نطاق واسع من قِبل مختبري الاختراق. يُعدّ هذا الخيار مثاليًا، ولكنه غالبًا ما يتطلب وجود فريق داخلي متخصص في اختبار الاختراق للتركيز على هذا الجانب على المدى الطويل، أو تكاليف باهظة نتيجة الاستعانة بفريق خارجي لإجراء هذا الاختبار.
سيناريو سرقة جهاز كمبيوتر محمول. سيتم شرحه بالتفصيل في السيناريوهات أدناه.
تطبيقات جانب العميل. توجد العديد من التطبيقات في المؤسسات مكتوبة بلغات برمجة مختلفة مثل C وC++ وJava وFlash وSilverlight أو غيرها من البرامج المُجمّعة. ويمكن أن يركز اختبار الاختراق على هذه الأصول أيضًا.
الشبكات اللاسلكية. اختبار يُستخدم لمعرفة ما إذا كان من الممكن اختراق شبكة الواي فاي، وما إذا كانت الأجهزة تحتوي على برامج قديمة وضعيفة، وما إذا تم إنشاء تجزئة مناسبة بين الشبكة اللاسلكية والشبكات الأخرى.
تطبيقات الجوال (أندرويد، ويندوز فون، آي أو إس). قد تحتوي تطبيقات الجوال على ثغرات أمنية، كما أنها تتضمن اتصالات وروابط بأنظمة مستضافة داخل المؤسسة. ويمكن أن تحتوي تطبيقات الجوال أيضًا على بيانات حساسة مثل مفاتيح واجهة برمجة التطبيقات (API) التي يمكن للمهاجمين استغلالها بسهولة.
الهندسة الاجتماعية. سيتم شرحها بالتفصيل في السيناريوهات أدناه.
التصيد الاحتيالي والتصيد الصوتي. سيتم شرحهما بالتفصيل في السيناريوهات أدناه.
الهجمات المادية. يمكن لفريق اختبار الاختراق أن يحاول معرفة ما سيحدث إذا وصلوا إلى موقع ما ومعهم جهاز كمبيوتر محمول وقاموا بتوصيله بشبكة. كما يمكن أن تشمل الهجمات المادية أنواعًا أخرى من الهجمات السرية ضد المواقع.
أنظمة التحكم الصناعية (ICS) / أنظمة التحكم الإشرافي واكتساب البيانات (SCADA). تتحكم هذه الأنظمة عادةً في بعض الأصول الأكثر حساسية وأهمية في المؤسسات، ولذلك ينبغي إخضاعها للتدقيق.

اختبار الاختراق بدون معرفة، ومعرفة جزئية، ومعرفة كاملة

بحسب طبيعة المهمة، يمكن للمؤسسة أن تقرر تزويد فريق اختبار الاختراق بالمعلومات المطلوبة. اختبار الاختراق بدون معرفة مسبقة، والذي يُسمى أحيانًا اختبار الصندوق الأسود، يعني أن المهاجم لا يُمنح أي معلومات مسبقة. أما اختبار الاختراق بمعلومات جزئية، والذي يُسمى أحيانًا اختبار الصندوق الرمادي، فيعني أن المهاجمين يحصلون على بعض المعلومات. وفي اختبار الاختراق بمعلومات كاملة، والذي يُسمى أحيانًا اختبار الصندوق الأبيض، يمتلك مختبرو الاختراق كل ما يحتاجونه من شفرة المصدر، ومخططات الشبكة، والسجلات، وغيرها.

كلما زادت المعلومات التي يمكن للمؤسسة تقديمها لفريق اختبار الاختراق، زادت القيمة التي يمكن أن يقدمها الفريق.

سيناريو سرقة جهاز كمبيوتر محمول

يُعدّ اختبار اختراق الأنظمة من أفضل السيناريوهات لإثبات عواقب سرقة أو فقدان جهاز كمبيوتر محمول. إذ تحتوي هذه الأنظمة على صلاحيات وبيانات اعتماد يمكن للمهاجمين استخدامها لاختراق المؤسسة المستهدفة.

قد يكون النظام محميًا بكلمة مرور، ولكن توجد العديد من التقنيات التي قد تسمح للمهاجمين بتجاوز هذه الحماية. على سبيل المثال:

قد لا يكون القرص الصلب للنظام مشفرًا بالكامل، مما يسمح للمهاجم بالوصول إليه على نظامه الخاص لاستخراج البيانات وبيانات الاعتماد. ويمكن بدورها اختراق بيانات الاعتماد هذه وإعادة استخدامها في العديد من صفحات تسجيل الدخول الخاصة بالمؤسسة.
قد يكون المستخدم قد قام بقفل النظام، لكنه لا يزال مسجلاً دخوله. يمتلك هذا المستخدم تطبيقات وعمليات تعمل في الخلفية، حتى مع قفل النظام. قد يحاول المهاجمون إضافة بطاقة شبكة خبيثة إلى النظام عبر منفذ USB مثلاً. تسعى هذه البطاقة إلى أن تصبح الوسيلة المفضلة للنظام للوصول إلى الإنترنت. إذا استخدم النظام هذه البطاقة، فسيتمكن المهاجمون من مراقبة حركة مرور الشبكة ومحاولة الوصول إلى البيانات الحساسة، بل وتغييرها.

بمجرد أن يتمكن المهاجمون من الوصول إلى النظام، يمكنهم البدء في مداهمته للحصول على المعلومات، والتي يمكن استخدامها لتحقيق أهداف المهاجمين بشكل أكبر.

الهندسة الاجتماعية

لا تتجاوز قوة أي نظام قوة أضعف أعضائه، وغالبًا ما يكون هذا العضو هو الإنسان. تعتمد الهندسة الاجتماعية على استهداف المستخدمين بهجمات تهدف إلى خداعهم لحملهم على القيام بأفعال لم يقصدوها. هذا النوع من الأساليب شائع جدًا، وقد استُخدمت تقنيات الهندسة الاجتماعية في العديد من أكبر عمليات الاختراق في العالم.

غالباً ما تحاول الهندسة الاجتماعية استغلال جوانب معينة لحمل الضحايا على الامتثال لأفعال معينة، على سبيل المثال:

معظم الناس لديهم رغبة في أن يكونوا مهذبين، وخاصة مع الغرباء.
يرغب المحترفون في الظهور بمظهر المطلعين والذكيين.
إذا تلقيت الثناء، فغالباً ما ستتحدث أكثر وتكشف المزيد
معظم الناس لا يكذبون لمجرد الكذب
يستجيب معظم الناس بلطف للأشخاص الذين يبدون اهتمامًا بهم

عندما يقع شخص ما ضحية لهجوم هندسة اجتماعية جيد، فإنه غالباً لا يدرك أنه تعرض للهجوم على الإطلاق.

سيناريو الهندسة الاجتماعية: تقديم المساعدة

يميل البشر عادةً إلى مساعدة بعضهم بعضاً. فنحن نحب فعل الأشياء اللطيفة!

تخيلي موقفاً تدخل فيه إيف إلى مكتب استقبال شركة كبيرة وأوراقها مبللة بالقهوة. تلاحظ موظفة الاستقبال بوضوح ارتباك إيف وتتساءل عما يحدث. تشرح إيف أن لديها مقابلة عمل بعد خمس دقائق وأنها بحاجة ماسة إلى طباعة أوراقها للمقابلة.

أعدّت إيف مسبقًا ذاكرة فلاش USB خبيثة تحتوي على مستندات مصممة لاختراق أجهزة الكمبيوتر التي يتم توصيلها بها. سلّمت إيف الذاكرة الخبيثة لموظفة الاستقبال، وسألتها بابتسامة إن كان بإمكانها طباعة المستندات. قد يكون هذا ما يحتاجه المهاجمون لاختراق نظام على الشبكة الداخلية، مما يسمح لهم بالسيطرة على المزيد من الأنظمة.

سيناريو الهندسة الاجتماعية: استخدام الخوف

يخشى الناس في كثير من الأحيان الفشل أو عدم الامتثال للأوامر. ويلجأ المهاجمون عادةً إلى استغلال الخوف لإجبار الضحايا على فعل ما يحتاجونه. فعلى سبيل المثال، قد ينتحلون صفة مدير الشركة ويطلبون معلومات. ربما كشف منشور على وسائل التواصل الاجتماعي أن المدير في إجازة، ويمكن استغلال ذلك لتدبير الهجوم.

من المحتمل أن الضحية لا ترغب في تحدي المدير، ولأن المدير في إجازة، فقد يكون من الصعب التحقق من المعلومات.

سيناريو الهندسة الاجتماعية: اللعب على مبدأ المعاملة بالمثل

المعاملة بالمثل هي القيام بشيء في المقابل، مثل الرد على شخص يُظهر لك اللطف.

إذا اعتبرنا أن شخصًا ما يفتح لك الباب ليسمح لك بالدخول من الباب الأمامي لمبنى مكتبك، فمن المرجح أن ترغب في فتح الباب التالي للشخص الذي سيرد لك الجميل. قد يكون هذا الباب خلف نظام تحكم بالدخول، ويتطلب من الموظفين إبراز بطاقاتهم، ولكن كبادرة حسن نية، يُفتح الباب. يُسمى هذا السلوك “التدخل غير المباشر”.

سيناريو الهندسة الاجتماعية: استغلال الفضول

البشر فضوليون بطبيعتهم. ماذا ستفعل لو وجدت ذاكرة فلاش USB ملقاة على الأرض خارج مبنى المكتب؟ هل ستوصلها بالكهرباء؟ ماذا لو كانت ذاكرة الفلاش تحتوي على ملف بعنوان “معلومات الرواتب – آخر التحديثات”؟

قد يقوم المهاجم بإسقاط العديد من وحدات تخزين USB الخبيثة عمداً في المنطقة التي يقيم فيها الموظفون، على أمل أن يقوم أحدهم بتوصيلها.

قد تحتوي المستندات على وحدات ماكرو خبيثة أو ثغرات أمنية، أو ببساطة تخدع المستخدمين للقيام بإجراءات معينة تجعلهم يعرضون أنفسهم للخطر.

التصيد الاحتيالي

التصيد الاحتيالي هو أسلوب يتم تنفيذه عادةً عبر البريد الإلكتروني. يحاول المهاجمون إجبار الموظفين وخداعهم للكشف عن بيانات حساسة مثل بيانات اعتمادهم أو حثهم على تثبيت تطبيقات ضارة تمنح المهاجمين السيطرة على النظام.

التصيد الاحتيالي أسلوب شائع يستخدمه المهاجمون لاختراق الأنظمة، وقد يحاول مختبرو الاختراق استغلاله أيضًا. من المهم عدم الاستهانة بالعامل البشري في الأمن السيبراني. فما دام العنصر البشري متورطًا، سيظل التصيد الاحتيالي وسيلة محتملة للمهاجمين للوصول إلى الأنظمة.

لا ينبغي استخدام التصيد الاحتيالي لإثبات أن البشر يخطئون، بل لإثبات عواقب تلك الأخطاء. كما يمكن استخدامه لاختبار فعالية برامج مكافحة البريد العشوائي ومدى وعي المستخدمين.

يمكن تنفيذ حملة تتضمن عدة محاولات تصيد احتيالي بدلاً من جولة واحدة. تساعد هذه الحملة، التي تتضمن جولات متعددة من التصيد الاحتيالي، في تحديد مستوى الوعي العام لدى المؤسسة، كما تُعلمها بأن المهاجمين لا يحاولون خداع مستخدمينا فحسب، بل حتى قسم الأمن.

التصيد الصوتي

التصيد الصوتي هو استخدام المكالمات الهاتفية لمحاولة خداع الموظفين غير المشتبه بهم لحملهم على القيام بأفعال لصالح المهاجمين. إذا اعتقد الموظف أنه يتحدث مع شخص يعرفه، ويفضل أن يكون شخصًا ذا سلطة، فقد يتم خداعه للقيام بأفعال غير مرغوب فيها.

١٣- العمليات الامنية والاستجابة للحوادث

توظيف موظفي مركز عمليات الأمن

تختلف طريقة توظيف مركز عمليات الأمن السيبراني اختلافًا كبيرًا بناءً على متطلبات وهيكل المؤسسة. في هذا القسم. كما هو الحال في معظم الفرق المنظمة، يتم تعيين شخص لقيادة القسم. ويحدد رئيس مركز عمليات الأمن الاستراتيجيات والتكتيكات اللازمة لمواجهة التهديدات التي تواجه المنظمة.

يُعدّ مهندس مركز عمليات الأمن السيبراني مسؤولاً عن ضمان قدرة الأنظمة والمنصات والبنية العامة على تلبية احتياجات أعضاء الفريق لأداء مهامهم. كما يُساعد في بناء قواعد الربط بين مصادر البيانات المتعددة، ويضمن توافق البيانات الواردة مع متطلبات المنصة.

يتولى قائد المحللين مسؤولية تطوير العمليات أو كتيبات الإجراءات وصيانتها لضمان قدرة المحللين على إيجاد المعلومات اللازمة لاستخلاص النتائج بشأن التنبيهات والحوادث المحتملة.

يُعدّ محللو المستوى الأول بمثابة المستجيبين الأوائل للتنبيهات. وتتمثل مهمتهم، في حدود قدراتهم، في إنهاء التنبيهات وإحالة أي مشاكل إلى محلل من مستوى أعلى.

يتميز محللو المستوى الثاني بخبرتهم ومعرفتهم التقنية الأوسع. كما يحرصون على إحالة أي صعوبات في حل التنبيهات إلى قائد فريق المحللين للمساهمة في التحسين المستمر لمركز عمليات الأمن السيبراني. ويقوم محللو المستوى الثاني، بالتعاون مع قائد فريق المحللين، بتصعيد الحوادث إلى فريق الاستجابة للحوادث.

يُعد فريق الاستجابة للحوادث امتدادًا طبيعيًا لفريق مركز عمليات الأمن السيبراني. ويتم نشر فريق الاستجابة للحوادث لمعالجة وحل المشكلات التي تؤثر على المؤسسة.

يُفترض أن يدعم مختبرو الاختراق الدفاع أيضًا. فهم يمتلكون معرفة دقيقة بأساليب عمل المهاجمين، ويمكنهم المساعدة في تحليل الأسباب الجذرية وفهم كيفية حدوث الاختراقات. يُشار غالبًا إلى دمج فريقي الهجوم والدفاع باسم “الفريق الأرجواني”، ويُعتبر من أفضل الممارسات.

سلاسل التصعيد

تتطلب بعض التنبيهات اتخاذ إجراءات فورية. من المهم أن يحدد مركز عمليات الأمن السيبراني (SOC) آلية للتواصل مع الجهات المعنية عند وقوع الحوادث المختلفة. قد تقع الحوادث في العديد من وحدات العمل المختلفة، لذا يجب أن يعرف مركز عمليات الأمن السيبراني الجهات التي يجب التواصل معها، ومتى، وعبر أي وسيلة اتصال.

مثال على سلسلة تصعيد للحوادث التي تؤثر على جزء واحد من المؤسسة:

قم بإنشاء حادثة في نظام تتبع الحوادث المعين، وقم بتعيينها للقسم أو الشخص (الأشخاص) الصحيحين.
في حال عدم اتخاذ أي إجراء مباشر من قبل القسم/الشخص (الأشخاص): أرسل رسالة نصية قصيرة وبريدًا إلكترونيًا إلى جهة الاتصال الرئيسية
إذا لم يتم اتخاذ أي إجراء مباشر بعد: اتصل بجهة الاتصال الرئيسية
إذا لم يتم اتخاذ أي إجراء مباشر بعد: اتصل بجهة اتصال ثانوية

تصنيف الحوادث

ينبغي تصنيف الحوادث وفقًا لما يلي:

فئة
الأهمية
حساسية

اعتمادًا على تصنيف الحوادث وكيفية إسنادها، قد يتخذ مركز عمليات الأمن إجراءات مختلفة لحل المشكلة المطروحة.

يُحدد نوع الحادث كيفية الاستجابة. توجد أنواع عديدة من الحوادث، ومن المهم أن يفهم مركز عمليات الأمن السيبراني (SOC) دلالة كل نوع منها بالنسبة للمؤسسة. فيما يلي أمثلة على الحوادث:

القرصنة الداخلية
برامج ضارة على محطة عمل العميل
دودة تنتشر عبر الشبكة
هجوم الحرمان من الخدمة الموزع
بيانات اعتماد مسربة

تُحدد خطورة أي حادثة أمنية بناءً على عدد الأنظمة المتأثرة، والأثر المحتمل لعدم إيقافها، والأنظمة المعنية، وعوامل أخرى كثيرة. من المهم أن يتمكن مركز عمليات الأمن السيبراني من تحديد خطورة الحادثة بدقة حتى يتسنى إغلاقها وفقًا لذلك. وتُحدد الخطورة سرعة الاستجابة للحادثة،
فهل يجب الاستجابة لها فورًا أم يمكن للفريق الانتظار حتى الغد؟

تحدد الحساسية من يجب إبلاغه بالحادث. بعض الحوادث تتطلب قدراً كبيراً من التكتم.

SOAR (“تنسيق الأمن، والأتمتة، والاستجابة”)

لمواجهة تطورات الجهات الخبيثة، يُعدّ التشغيل الآلي عنصراً أساسياً لتمكين مركز عمليات الأمن السيبراني الحديث من الاستجابة بسرعة كافية. ولتسهيل الاستجابة السريعة للحوادث، ينبغي أن يمتلك المركز أدواتٍ لتنسيق الحلول تلقائياً لمواجهة التهديدات في بيئة العمل.

تعني استراتيجية SOAR ضمان قدرة مركز عمليات الأمن (SOC) على استخدام بيانات قابلة للتنفيذ للمساعدة في التخفيف من حدة التهديدات وإيقافها، والتي تتطور بوتيرة أسرع من ذي قبل. في البيئات التقليدية، لا يستغرق المهاجمون سوى وقت قصير جدًا من لحظة الاختراق حتى ينتشروا إلى الأنظمة المجاورة. على النقيض من ذلك، تستغرق المؤسسات عادةً وقتًا طويلاً جدًا لاكتشاف التهديدات التي دخلت بيئتها. تسعى استراتيجية SOAR إلى المساعدة في حل هذه المشكلة.

يتضمن نظام SOAR مفاهيم مثل البنية التحتية كبرمجيات (IAC) للمساعدة في إعادة بناء الأنظمة ومعالجة التهديدات، والشبكات المعرفة بالبرمجيات (SDN) للتحكم في الوصول بسلاسة وسهولة أكبر، وغير ذلك الكثير.

ما الذي يجب مراقبته؟

يمكن جمع الأحداث من أجهزة متعددة، ولكن كيف نحدد ما يجب جمعه ومراقبته؟ نريد سجلات عالية الجودة، سجلات دقيقة وواضحة المعالم، تُمكّننا من إيقاف الجهات الخبيثة في شبكاتنا بسرعة. كما نريد أن نجعل من الصعب على المهاجمين تجاوز التنبيهات التي نُفعّلها.

كما هو الحال في معظم الفرق المنظمة، يتم تعيين شخص لقيادة القسم. ويحدد رئيس مركز عمليات الأمن الاستراتيجيات والتكتيكات اللازمة لمواجهة التهديدات التي تواجه المنظمة.

سلاسل التصعيد

مثال على سلسلة تصعيد للحوادث التي تؤثر على جزء واحد من المؤسسة:

قم بإنشاء حادثة في نظام تتبع الحوادث المعين، وقم بتعيينها للقسم أو الشخص (الأشخاص) الصحيحين.
في حال عدم اتخاذ أي إجراء مباشر من قبل القسم/الشخص (الأشخاص): أرسل رسالة نصية قصيرة وبريدًا إلكترونيًا إلى جهة الاتصال الرئيسية
إذا لم يتم اتخاذ أي إجراء مباشر بعد: اتصل بجهة الاتصال الرئيسية
إذا لم يتم اتخاذ أي إجراء مباشر بعد: اتصل بجهة اتصال ثانوية

تصنيف الحوادث

ينبغي تصنيف الحوادث وفقًا لما يلي:

فئة
الأهمية
حساسية

اعتمادًا على تصنيف الحوادث وكيفية إسنادها، قد يتخذ مركز عمليات الأمن إجراءات مختلفة لحل المشكلة المطروحة.

القرصنة الداخلية
برامج ضارة على محطة عمل العميل
دودة تنتشر عبر الشبكة
هجوم الحرمان من الخدمة الموزع
بيانات اعتماد مسربة

تحدد الحساسية من يجب إبلاغه بالحادث. بعض الحوادث تتطلب قدراً كبيراً من التكتم.

ما الذي يجب مراقبته؟

إذا نظرنا إلى طرق مختلفة لكشف المهاجمين، سيتضح لنا أين يجب أن نركز جهودنا. إليكم قائمة بالمؤشرات المحتملة التي يمكننا استخدامها لكشف المهاجمين، ومدى صعوبة تغيير أساليبهم.

Indicator	Difficulty to change
File checksums and hashes	Very Easy
IP Addresses	Easy
Domain Names	Simple
Network and Host Artifacts	Annoying
Tools	Challenging
Tactics, Techniques and Procedures	Hard

يمكن استخدام قيم التحقق من سلامة الملفات وتجزئتها لتحديد البرامج الضارة المعروفة أو الأدوات التي يستخدمها المهاجمون. ويُعتبر تغيير هذه التوقيعات أمرًا بسيطًا بالنسبة للمهاجمين، إذ يمكن تشفير شفرتهم وتغييرها بطرق متعددة، مما يؤدي إلى تغيير قيم التحقق من سلامة الملفات وتجزئتها.

كما أن تغيير عناوين IP أمر سهل. يمكن للمهاجمين استخدام عناوين IP من مضيفين مخترقين آخرين أو ببساطة استخدام عناوين IP ضمن شبكة مزودي خدمات الحوسبة السحابية والخوادم الافتراضية الخاصة (VPS).

يمكن للمهاجمين إعادة تهيئة أسماء النطاقات بسهولة تامة. إذ يستطيع المهاجم برمجة نظام مخترق لاستخدام خوارزمية توليد النطاقات (DGA) لتغيير اسم النطاق (DNS) باستمرار مع مرور الوقت. ففي أسبوع يستخدم النظام المخترق اسمًا معينًا، ثم يتغير تلقائيًا في الأسبوع التالي.

تُعدّ تغييرات بيانات الشبكة والمضيف أكثر صعوبة، لأنها تتطلب من المهاجمين إجراء المزيد من التغييرات. تحتوي أدواتهم على بصمات، مثل وكيل المستخدم أو عدم وجوده، والتي يمكن لمركز عمليات الأمن السيبراني رصدها.

تزداد صعوبة تغيير الأدوات بالنسبة للمهاجمين. ليس المقصود هنا تغيير بصمات الأدوات نفسها، بل كيفية عملها وسلوكها أثناء الهجوم. ستترك الأدوات آثارًا في سجلات النظام، وتحميل المكتبات، وغيرها من الأمور التي يمكننا مراقبتها لكشف هذه الحالات الشاذة.

إذا تمكن المدافعون من تحديد التكتيكات والتقنيات والإجراءات التي يستخدمها المهاجمون، يصبح من الصعب عليهم تحقيق أهدافهم. على سبيل المثال، إذا علمنا أن المهاجم يستخدم أسلوب التصيد الموجه ثم الانتقال عبر شبكات الند للند إلى أنظمة ضحايا أخرى، فيمكن للمدافعين استغلال ذلك لصالحهم. إذ يمكنهم تركيز التدريب على الموظفين المعرضين لخطر التصيد الموجه، والبدء بتطبيق إجراءات وقائية لمنع شبكات الند للند.

يمكن تصنيف الحادث على أنه أي شيء ضار أو تهديد لأنظمة الحاسوب أو الشبكات. وهو يعني وجود ضرر أو محاولة إلحاق الضرر بالمنظمة. لا يتولى فريق الاستجابة للحوادث (IRT) التعامل مع جميع الحوادث، إذ لا يكون لها بالضرورة تأثير، ولكن في الحالات التي يكون لها تأثير، يتم استدعاء فريق الاستجابة للحوادث للمساعدة في التعامل معها بطريقة فعّالة ومنضبطة.

ينبغي أن يكون فريق الاستجابة للحوادث متوافقًا تمامًا مع أهداف وغايات المؤسسة، وأن يسعى دائمًا لضمان أفضل النتائج في التعامل مع الحوادث. ويشمل ذلك عادةً تقليل الخسائر المالية، ومنع المهاجمين من التوسع داخل المؤسسة، وإيقافهم قبل أن يتمكنوا من تحقيق أهدافهم.

فريق الاستجابة للحوادث (IRT)

فريق الاستجابة للحوادث (IRT) هو فريق متخصص في التعامل مع حوادث الأمن السيبراني. قد يتألف الفريق من متخصصين في الأمن السيبراني فقط، ولكنه قد يحقق تكاملاً كبيراً إذا تم ضم موارد من مجموعات أخرى. ضع في اعتبارك كيف يمكن أن يؤثر وجود الوحدات التالية بشكل كبير على أداء فريقك في مواقف معينة:

أخصائي الأمن السيبراني – نعلم جميعًا أن هؤلاء يجب أن يكونوا ضمن الفريق.
العمليات الأمنية – قد يكون لديهم رؤى حول الأمور المتطورة ويمكنهم تقديم الدعم من خلال نظرة شاملة للوضع.
عمليات تكنولوجيا المعلومات
عمليات الشبكة
تطوير
قانوني
الموارد البشرية

منهجية PICERL

تُسمى منهجية PICERL رسميًا NIST-SP 800-61 (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) وتحتوي على نظرة عامة على منهجية يمكن تطبيقها على الاستجابة للحوادث.

لا تنظر إلى هذه المنهجية كنموذج تسلسلي، بل كعملية يمكنك فيها التقدم والتراجع. هذا مهم لضمان التعامل الكامل مع الحوادث التي تقع.

المراحل الست للاستجابة للحوادث:

تحضير

تُخصص هذه المرحلة للاستعداد للتعامل مع الاستجابة للحوادث. هناك العديد من الأمور التي ينبغي على فريق الاستجابة للحوادث مراعاتها لضمان جاهزيته.

ينبغي أن يشمل الاستعداد وضع خطط عمل وإجراءات تحدد كيفية استجابة المنظمة لأنواع معينة من الحوادث. كما يجب تحديد قواعد الاشتباك مسبقًا: كيف ينبغي للفريق الاستجابة؟ هل ينبغي عليه محاولة احتواء التهديدات والقضاء عليها بشكل فعال، أم أنه من المقبول أحيانًا مراقبة التهديد في البيئة لجمع معلومات استخباراتية قيّمة، مثل كيفية اختراقهم، وهويتهم، وأهدافهم؟

يجب على الفريق أيضاً التأكد من توفر السجلات والمعلومات والصلاحيات اللازمة للاستجابة. فإذا تعذر على الفريق الوصول إلى الأنظمة التي يستجيب لها، أو إذا لم تتمكن هذه الأنظمة من وصف الحادث بدقة، فإن الفريق مُعرّض للفشل.

ينبغي أن تكون الأدوات والوثائق محدّثة، وأن تكون قنوات الاتصال الآمنة مُتفق عليها مسبقاً. يجب على الفريق ضمان حصول وحدات العمل والمديرين المعنيين على تحديثات مستمرة بشأن تطورات الحوادث التي تؤثر عليهم.

يُعدّ تدريب الفريق والجهات الداعمة له في المؤسسة أمرًا بالغ الأهمية لنجاح الفريق. ويمكن للمستجيبين للحوادث الحصول على التدريب والشهادات اللازمة، كما يمكن للفريق محاولة التأثير على باقي أقسام المؤسسة لتجنب الوقوع ضحية للتهديدات.

تعريف

من خلال تحليل البيانات والأحداث، نسعى لتحديد ما يُصنف كحادث. غالبًا ما تُسند هذه المهمة إلى مركز عمليات الأمن السيبراني، ولكن يمكن لفريق الاستجابة للحوادث المشاركة في هذا النشاط، وبخبرته، محاولة تحسين عملية تحديد الحوادث.

غالبًا ما تُنشأ الحوادث بناءً على تنبيهات من أدوات أمنية مثل أنظمة الكشف والاستجابة لنقاط النهاية (EDR)، وأنظمة كشف ومنع الاختراق (IDS/IPS)، وأنظمة إدارة معلومات وأحداث الأمان (SIEM). كما يمكن أن تحدث الحوادث أيضًا عندما يُبلغ أحدٌ الفريق عن مشكلة، كأن يتصل مستخدم بالفريق، أو يرسل بريدًا إلكترونيًا إلى صندوق بريد فريق الاستجابة للحوادث (IRT)، أو يُنشئ تذكرة في نظام إدارة حالات الحوادث.

تهدف مرحلة التحديد إلى اكتشاف الحوادث واستنتاج تأثيرها ونطاقها. ومن الأسئلة المهمة التي ينبغي على الفريق طرحها على نفسه ما يلي:

ما مدى خطورة وحساسية المنصة التي تم اختراقها؟
هل تُستخدم المنصة في أماكن أخرى، مما يعني وجود احتمال لمزيد من الاختراق إذا لم يتم اتخاذ أي إجراء في الوقت المناسب؟
كم عدد المستخدمين والأنظمة المعنية؟
ما هي أنواع بيانات الاعتماد التي يمتلكها المهاجمون، وأين يمكن إعادة استخدامها؟

إذا استدعت الحاجة إلى الاستجابة لحادث ما، ينتقل الفريق إلى المرحلة التالية وهي مرحلة الاحتواء.

الاحتواء

ينبغي أن تسعى إجراءات الاحتواء إلى إيقاف المهاجمين ومنع المزيد من الأضرار. تضمن هذه الخطوة عدم تكبّد المنظمة أي خسائر إضافية، كما تضمن عدم تمكّن المهاجمين من تحقيق أهدافهم.

ينبغي لفريق الاستجابة للحوادث أن ينظر في أقرب وقت ممكن في إمكانية إجراء نسخ احتياطي وتصوير للبيانات. يُعد النسخ الاحتياطي والتصوير مفيدين لحفظ الأدلة لاستخدامها لاحقًا. يجب أن تسعى هذه العملية إلى تأمين ما يلي:

نسخة من محركات الأقراص الصلبة المستخدمة في التحليل الجنائي للملفات
نسخة من ذاكرة الأنظمة المعنية لأغراض التحليل الجنائي للذاكرة

هناك العديد من الإجراءات التي يمكن لفريق الاستجابة للحوادث (IRT) اتخاذها لإيقاف المهاجمين، والتي تعتمد بشكل كبير على الحادث المعني:

حجب المهاجمين في جدار الحماية
قطع اتصال الشبكة بالأنظمة المخترقة
إيقاف تشغيل الأنظمة
تغيير كلمات المرور
طلب المساعدة من مزود خدمة الإنترنت أو شركاء آخرين في إيقاف المهاجمين

تهدف الإجراءات التي يتم تنفيذها في مرحلة الاحتواء إلى القضاء على المهاجم بسرعة حتى يتمكن فريق الاستجابة السريعة من الانتقال إلى مرحلة الاستئصال.

الاستئصال

إذا تم تنفيذ عملية الاحتواء بشكل صحيح، يمكن لفريق الاستجابة السريعة الانتقال إلى مرحلة الاستئصال، والتي تُسمى أحيانًا مرحلة المعالجة. في هذه المرحلة، يكون الهدف هو إزالة آثار المهاجمين.

توجد خيارات سريعة لضمان القضاء التام، على سبيل المثال:

استعادة البيانات من نسخة احتياطية سليمة ومعروفة
إعادة بناء الخدمة

إذا تم تطبيق تغييرات وتكوينات كجزء من إجراءات الاحتواء، فضع في اعتبارك أن استعادة النظام أو إعادة بنائه قد يؤدي إلى إلغاء هذه التغييرات، وسيتعين إعادة تطبيقها. مع ذلك، في بعض الأحيان، قد يضطر فريق الاستجابة للحوادث إلى محاولة إزالة الآثار المتبقية من المهاجم يدويًا.

استعادة

يهدف فريق الاستجابة للحوادث إلى استعادة العمليات إلى وضعها الطبيعي. وقد يشمل ذلك اختبارات قبول من وحدات الأعمال. ومن الأفضل إضافة حلول مراقبة مزودة بمعلومات حول الحادث. نريد اكتشاف ما إذا كان المهاجمون سيعودون فجأة، على سبيل المثال بسبب آثار لم نتمكن من إزالتها أثناء عملية الاستئصال.

الدروس المستفادة

تتضمن المرحلة الأخيرة استخلاص الدروس من الحادثة. ولا شك أن هناك العديد من الدروس المستفادة منها، على سبيل المثال:

هل كان لدى فريق الاستجابة للحوادث المعرفة والأدوات والصلاحيات اللازمة لأداء عملهم بكفاءة عالية؟
هل كانت هناك أي سجلات مفقودة كان من الممكن أن تجعل جهود فريق الاستجابة للحوادث أسهل وأسرع؟
هل هناك أي إجراءات يمكن تحسينها لمنع وقوع حوادث مماثلة في المستقبل؟

تختتم مرحلة الدروس المستفادة عادةً بتقرير يتضمن ملخصاً تنفيذياً ونظرة عامة على كل ما حدث أثناء الحادث.