Case Digest
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Case Digest as PDF for free.
More details
- Words: 52,284
- Pages: 189
Loading documents preview...
اساسيات األمن السيبراني Cybersecurity Essentials 1.1
إعداد :أسامة حسام الدين أكاديمية سيسكو بجامعة طيبة
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
اساسيات األمن السيبراني Cybersecurity Essentials 1.1
إعداد :أسامة حسام الدين أكاديمية سيسكو بجامعة طيبة سبتمبر 2017م
2
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
مقـدمــــــــــــــــــــــــة األمن السيبراني هو مجال عام يندرج تحته ثالثة محاور رئيسية ،أمن المعلومات الشخصية وأمن المعلومات داخل الشركات والحرب اإللكترونية .تواجه الشركات واألشخاص مشاكل كثيرة تخص أمن الحاسبات والمعلومات .منها الهجمات السيبرانية التي يقوم بها القراصنة لسرقة المعلومات أو إليقاف الخدمة .فالحاجة متزايدة لفهم كيفية الحماية من تلك الهجمات .وذلك لندرة المتخصصين المحترفين في هذا المجال .هذه الدورة التدريبية تقدم أساسيات األمن السيبراني وكيفية تحقيق الهجمات من قبل القراصنة وكيفية ردع تلك الهجمات. بدأت في إعداد هذا المحتوى الموجود في أكاديمية سيسكو تحت عنوان " "Cybersecurity Essentialsعندما قمت بتدريس مادة أمن الحاسبات والمعلومات لطالب الدبلوم الموازي بكلية علوم وهندسة الحاسبات بجامعة طيبة .وكان الهدف الرئيسي من عملية التلخيص واإلعداد هو تبسيط المحتوى اإلنجليزي والذي ال توجد له نسخة عربية في أكاديمية سيسكو .وقد راعيت أثناء التلخيص البساطة في األسلوب وعدم استخدام الفاظ أو جمل غامضة أو ألفاظ عربية قديمة .وانطالقا من أكاديمية سيسكو بجامعة طيبة ومن حرصي الدائم على تبسيط المعلومة للطالب وبالمساعدة الفعالة من قبل دكتور زهير سليمان مالكي عميد كلية علوم وهندسة الحاسبات بينبع ،بدأت في تلخيص هذا المحتوى تحت إشراف ودعم كال من المهندس هاشم شهوان المدير اإلقليمي لبرنامج أكاديمية سيسكو بالمملكة العربية السعودية واليمن والمهندس محمد خالف مدير مركز الدعم والتدريب بأكاديمية سيسكو .كنت أنهيت في السابق تلخيص محتوى آخر تحت عنوان " "Introduction to Cybersecurityوقاد نالت تلخيصاتي السابقة استحسانهما.
معد المحتوى أسامة حسام الدين
3
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
جدول المحتويات الفصل األول 8........................................................................................................................................... األمن السيبراني :عالم من المحترفين والقراصنة 8................................................................................................. 1.1عالم األمن السيبراني 8 ................................................................................................................................. 1.1.1نطاقات األمن السيبراني 8 ....................................................................................................................... 1.2مهنيو األمن ضد القراصنة (الشرطي ضد السارق) 10 ........................................................................................... 1.2.1المجرمون السيبرانيون 10 ....................................................................................................................... 1.2.2محترفي األمن السيبراني 13 .................................................................................................................... 1.3التهديدات الشائعة 14 ..................................................................................................................................... 1.3.1ساحات التهديد 14 ................................................................................................................................. 1.4إنشار التهديدات 17 ....................................................................................................................................... 1.4.1كيف تنتشر التهديدات 17 ......................................................................................................................... 1.4.2التهديدات المعقدة 19 .............................................................................................................................. 5.1الحصول على خبراء أكثر 21 .......................................................................................................................... 1.5.1إطار القوى العاملة لألمن السيبراني 21 ....................................................................................................... 1.5.2مجتمعات األمن السيبراني عبر األنترنت 22 ................................................................................................. 1.5.3الشهادات المعتمدة في األمن السيبراني 23 .................................................................................................... ملخص الفصل األول25 ................................................................................................................................. : الفصل الثاني27......................................................................................................................................... مكعب األمن السيبراني 27............................................................................................................................. 2.1األبعاد الثالث لمكعب األمن السيبراني 27 ........................................................................................................... 2.2البعد األول -مثلث الحماية األمنية (28 ............................................................................................. )CIA Triad 2.2.1السرية 28 ........................................................................................................................................... 2.2.2التماسك 33 ......................................................................................................................................... 2.2.3التوافر 35 ........................................................................................................................................... 2.3حاالت البيانات 38 ........................................................................................................................................ 2.3.1البيانات الثابتة 38 .................................................................................................................................. 2.3.2البيانات المتنقلة 39 ................................................................................................................................ 2.3.3البيانات أثناء المعالجة 40 ........................................................................................................................ 2.4طرق وأدوات الحماية أو الحراسة 41 ................................................................................................................ 2.4.1التقنيات المستخدمة في الحماية 41 ............................................................................................................. 2.4.2التعلم والتوعية والتدريب 43 .................................................................................................................... 4
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
2.4.3سياسات وإجراءات األمن السيبراني 44 ....................................................................................................... 2.5إطار تقني عام لإلدارة األمنية 47 ..................................................................................................................... 2.5.1نموذج األمن السيبراني أيزو (47 ....................................................................................................... )ISO 2.5.2استخدام نموذج األمن السيبراني أيزو (50 ............................................................................................ )ISO ملخص الفصل الثاني52 ................................................................................................................................. : الفصل الثالث 53........................................................................................................................................ الهجمات السيبرانية الخبيثة 53........................................................................................................................ 3.1البرمجيات الخبيثة 53 .................................................................................................................................... 3.1.1أنواع البرمجيات الخبيثة 53 ..................................................................................................................... 3.1.2هجمات البريد اإللكتروني والمتصفح 56 ...................................................................................................... 3.2الخداع 60 .................................................................................................................................................. 3.2.1فن الخداع 60 ....................................................................................................................................... 3.2.2طرق الخداع 62 ................................................................................................................................... 3.3الهجمات 64 ............................................................................................................................................... 3.3.1أنواع الهجمات السيبرانية 64 .................................................................................................................... 3.3.2هجمات األجهزة الالسلكية والنقالة 69 ......................................................................................................... 3.3.3هجمات التطبيقات 71 ............................................................................................................................. ملخص الفصل الثالث 74 .................................................................................................................................. الفصل الرابع 75........................................................................................................................................ فن حماية األسرار 75................................................................................................................................... 4.1علم التشفير 75 ............................................................................................................................................ 4.1.1مقدمة في التشفير 75 .............................................................................................................................. 4.1.2التشفير المتماثل -التشفير بالمفتاح الخاص 79 ................................................................................................ 4.1.3التشفير الغير متماثل – التشفير بالمفتاح العام 82 ............................................................................................ 4.1.4المقارنة بين نظم التشفير المتماثلة والغير متماثلة 83 ....................................................................................... 4.2التحكم بالوصول 87 ...................................................................................................................................... 4.2.1أنواع نظم التحكم في الوصول 87 .............................................................................................................. 4.2.2استراتيجيات التحكم بالوصول 88 .............................................................................................................. 2.3.4التعريف بالهوية 90 ............................................................................................................................... 4.2.4طرق المصادقة 91 ................................................................................................................................ 4.2.5التفويض 92 ........................................................................................................................................ 4.2.6المسائلة 93 ......................................................................................................................................... 5
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2.7أدوات التحكم باألمن 94 .......................................................................................................................... 4.3تعتيم البيانات 96 ........................................................................................................................ Obscuring 4.3.1تقنع البيانات 96 ..................................................................................................................... Masking 4.3.2االستخفاء96 ............................................................................................................... Steganography 4.3.3تشويش البيانات98 ............................................................................................................ Obfuscation ملخص الفصل الرابع 98 .................................................................................................................................. الفصل الخامس 99...................................................................................................................................... فن حفظ التماسك 99.................................................................................................................................... 5.1أنواع أدوات التحكم في تماسك البيانات 99 .......................................................................................................... 5.1.1خوارزميات الهاش 99 ............................................................................................................................ 5.1.2التمليح 104 ......................................................................................................................................... 5.1.3الهاش ذا المفتاح ،إتشماك (106 ....................................................................................................)HMAC 5.2التوقيع الرقمي 108 ...................................................................................................................................... 5.2.1القوانين والتوقيعات 108 ......................................................................................................................... 5.2.2كيف تعمل تقنية التوقيع الرقمي109 ........................................................................................................... 5.3الشهادات الرقمية 112 ................................................................................................................................... 5.3.1أساسيات الشهادات الرقمية 112 ................................................................................................................ 5.3.2بناء الشهادات الرقمية 114 ...................................................................................................................... 5.4فرض سالمة قواعد البيانات 116 ..................................................................................................................... 5.4.1تماسك قواعد البيانات116 ....................................................................................................................... 5.4.2التحقق من قاعدة البيانات 118 .................................................................................................................. 5.4.3متطلبات تكامل قواعد البيانات 120 ............................................................................................................ ملخص الفصل الخامس121 .............................................................................................................................. الفصل السادس 122 .................................................................................................................................... فن الحفاظ على استمرارية التوافر 122 .............................................................................................................. 6.1التوافر الدائم122 ......................................................................................................................................... 6.1.1مبدأ التسعات الخمس 122 ....................................................................................................................... 6.2معايير زيادة التوافر 125 ............................................................................................................................... 6.2.1إدارة الممتلكات 125 .............................................................................................................................. 6.2.2الدفاع بعمق 130 .................................................................................................................................. 6.2.3الزيادة 131 ......................................................................................................................................... 6.2.4رجوعية النظم 136 ............................................................................................................................... 6
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
6.3االستجابة لألحداث 138 ................................................................................................................................. 6.3.1مراحل االستجابة لألحداث 138 ................................................................................................................ 6.3.2تقنيات االستجابة لألحداث 139 ................................................................................................................. 6.4التعافي من الكوارث 144 ............................................................................................................................... 6.4.1التخطيط للتعافي من الكوارث 144 ............................................................................................................. 6.4.2التخطيط الستمرارية األعمال 146 ............................................................................................................. ملخص الفصل السادس 147 .............................................................................................................................. الفصل السابع 149 ...................................................................................................................................... حماية النطاق السيبراني 149 .......................................................................................................................... 7.1حماية النظم واألجهزة 149 ............................................................................................................................. 7.1.1تقوية الجهاز المضيف 149 ...................................................................................................................... 7.1.2تقوية األجهزة المحمولة والالسلكية 154 ...................................................................................................... 7.1.3حماية بيانات المضيف 156 ..................................................................................................................... 7.1.4التحكم في المحتوى والصور 159 .............................................................................................................. 7.1.5الحماية المادية لمحطات العمل 160 ............................................................................................................ 7.2تقوية الخادم 162 ......................................................................................................................................... 7.2.1الوصول اآلمن عن بعد 162 .................................................................................................................... 7.2.2تدابير إدارة النظم 163 ........................................................................................................................... 7.3تقوية الشبكة 169 ......................................................................................................................................... 7.3.1تأمين أجهزة الشبكة 169 ......................................................................................................................... 7.3.2معدات الصوت والفيديو 177 .................................................................................................................... 7.4األمن الفيزيائي 179 ..................................................................................................................................... 7.4.1التحكم في الوصول الفيزيائي 179 ............................................................................................................. 7.4.2نظم المراقبة 182 .................................................................................................................................. ملخص الفصل السابع183 .................................................................................................................................... المصطلحات المستخدمة 184 ....................................................................................................................................
7
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل األول األمن السيبراني :عالم من المحترفين والقراصنة الكثير من قراصنة الحاسب القدامى بدأوا كهواه أو مبرمجين أو طالب .وكانت البداية في فترة الستينيات .مبدئيا ،كلمة "قرصان" أو "هاكر" كانت تعني األفراد ذوي المهارات البرمجية المتقدمة (لم تأخذ المعنى السيئ بعد) .والقراصنة كانوا يستخدمون مهاراتهم البرمجية المتقدمة في فحص إمكانات وقدرات نظم الحاسب البدائية .وقد انخرط القراصنة في برمجة وتطوير األلعاب في بداياتها .وكانت معظم هذه األلعاب تحتوي على معالج اإلعدادات بنوعية التلقائي ( )wizardryأو الذي يتدخل فيه اختيار المستخدم ( .) wizardوبمرور الوقت وبتطور القرصنة ،تم دمج مفردات هذه األلعاب ومعالجاتها في ثقافة القرصنة .حتى العالم الخارجي (غير عالم المبرمجين) بدأ في إسقاط تلك المعالجات القوية في ثقافة القرصنة المزعومة هذه .فكتاب مثل "أين توقفت معالجات اإلعدادات -بدايات اإلنترنت" Where wizards stay up late- The origins of the Internet والذي تم نشره في عام 1996تم إضافته كمرجع أللغاز القرصنة .واستمرت فكرة استخدام معالجات اإلعدادات في القرصنة حتى يومنا هذا .فكثير من مجموعات القراصنة ال يزالون يستخدمون ذلك التصور القديم .من المهم جدا أن تستطيع فهم الثقافة السيبرانية ليتسنى لك فهم مجرمي العالم السيبراني ومحفزاتهم. سن تزو هو فيلسوف صيني ومحارب عاش في القرن السادس قبل الميالد .وقد كتب تزو كتابه الشهير "فن الحرب" ،وقد كان كتابا نمطيا عن الخطط الحربية لتجنب العدو .وقد أعطي كتابه إرشادات عامة للمحاربين على مر العصور .من اإلرشادات والمبادئ الحربية الهامة التي قدمها تزو مبدأ "اعرف عدوك" .وعلى الرغم من أن تلك المبادئ واإلرشادات كانت في الحروب إال أنه تم تطبيقها في معظم مجاالت الحياة ومنها مجال األمن السيبراني .يبدأ هذا الفصل بشرح بنية عالم األمن السيبراني واألسباب وراء نموه المستمر .ويشرح أيضا هذا الفصل دور مجرمي األمن السيبراني ومحفزاتهم اإلجرامية .وأخي ار يقدم الفصل إرشادات لكيف تصبح متخصص أمن سيبراني (ضابط أمن سيبراني) .فضباط األمن السيبراني دورهم الرئيسي هو محاربة مجرمي األمن السيبراني الذي يهددون العالم السيبراني عبر اإلنترنت.
1.1عالم األمن السيبراني 1.1.1نطاقات األمن السيبراني تعريف النطاق السيبراني :هناك العديد من مجموعات البيانات والتي تكون جزءا مختلفا من العالم السيبراني .عندما تكون المجموعة قادرة على جمع ومعالجة كميات ضخمة من البيانات ،تتزايد لديها تباعا القوة والنفوذ .تلك البيانات من الممكن أن تأخذ شكل الصور ،الفيديو ،الصوت ،أو أي شكل من أشكال البيانات الرقمية .يمكن لتلك المجموعات أن تكون ذا سيطرة تكون نطاق سيبراني جديد. ونفوذ بحيث تستطيع أن تكون كقوة منفصلة والتي ّ
8
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشركات مثل جوجل ،فيسبوك ،ولينكد إن ،ممكن اعتبارها نطاق بيانات في العالم السيبراني .وتباعا يمكن اعتبار األشخاص ذوي الخبرة الذين يعملون في هذه الشركات خبراء أو محترفي األمن السيبراني .وكلمة نطاق تشمل معاني كثيرة ،فالمكان الذي توجد فيه السلطة أو النفوذ أو الحماية يمكن اعتباره نطاق حماية .فكر كيف تحمي الحيوانات البرية منطقة نفوذها "نطاقها" المزعوم .في هذه الدراسة سنشير إلى النطاق على أنه المساحة المراد حمايتها .وتلك المساحة يمكن تحديدها منطقيا أو فيزيائيا. وذلك يعتمد على حجم النظام محل الدراسة .وفي كل األحوال يجب على خبراء األمن السيبراني أن يقوموا بحماية نطاقهم مع اعتبار قوانين الدولة التي يقطنونها. أمثلة على النطاقات السيبرانية :الخبراء في شركة جوجل قاموا بتكوين اعظم نطاق على مستوى عالم اإلنترنت .فماليين األشخاص يستخدمون "جوجل" للبحث في اإلنترنت بصفة يومية .وبذلك تملك جوجل أكبر وأضخم هيكل بياني على مستوى العالم .وجوجل هي المبتكرة لنظام أندرويد والمثبت على أكثر من % 80من األجهزة المتنقلة والمتصلة باألنترنت .وكل جهاز متنقل يطلب من المستخدمين إنشاء حساب إلكتروني على جوجل لكي يتمكن من تسجيل عناوين الزيارة ومعلومات الحساب ويخزن
أيضا
نتائج
البحث
السابقة
ويحدد
الموقع
الجغرافي
للجهاز
المتنقل.
انقر
( )/https://www.google.com/intl/en/about/productsلالطالع على بعض الخدمات التي تقدمها جوجل في الوقت الحالي. فيسبوك هو نطاق آخر قوي في عالم اإلنترنت .وقد أدرك الخبراء في فيسبوك أن المستخدمين من األصدقاء والعائالت يتواصلون فيما بينهم بصفة يومية باستخدام حسابهم الخاص .ولذلك فهم يضعون كمية ال بأس بها من المعلومات الشخصية على حساباتهم الخاصة في فيسبوك .وقد قام الخبراء في فيسبوك بعمل نطاق هائل من البيانات لتمكين المستخدمين من التواصل بسهولة .ويؤثر فيسبوك على حياة ماليين المستخدمين بصفة يومية ويمكن الشركات والمؤسسات من التواصل مع األشخاص والوصول إليهم بصفة شخصية وبشكل مركز. وثالث اكبر هذه النطاقات على اإلنترنت نطاق لينكد إن ،وقد أدرك الخبراء في لينكد إن بأن المستخدمين يشاركون معلوماتهم وسيرتهم الذاتية لإلسهام في بناء شبكة أعمال واسعة النطاق .والمستخدمون يقومون بإنشاء حساب إلكتروني على هذه الشبكة للتواصل مع المستخدمين اآلخرين .فنطاق لنكد إن ييسر للموظفين التواصل مع أصحاب األعمال وللشركات بالتواصل مع شركات أخرى محلية أو حول العالم .ويوجد تشابه كبير بين فيسبوك ولينكد إن. وبالنظر عن كثب لهذه النطاقات يمكن تخمين كيف تم بناءها .فبشكل أساسي ،هذه النطاقات قوية بسبب أن لديها القدرة على جمع أكبر قدر من المعلومات عن المستخدمين من خالل المستخدمين أنفسهم .وهذه البيانات عادة ما تحتوى على خلفية المستخدم (الخلفية الثقافية واالجتماعية) ،المناقشات ،اإلعجاب ،المواقع التي زارها ،الرحالت التي قام بها ،االهتمامات
9
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشخصية ،األصدقاء وأفراد العائلة ،المهن والوظائف ،الهوايات ،جدول األعمال الشخصي .والخبراء في هذه النطاقات يقومون بتوفير هذه المعلومات للمؤسسات والشركات التي تريد أن تفهم زبائنها وموظفيها لتستطيع التواصل والتفاهم معهم بشكل أيسر.
نمو النطاقات السيبرانية :البيانات التي يتم جمعها في اإلنترنت ليست فقط مجرد البيانات التي يدلي بها المستخدمون عن أنفسهم تطوعا .فالنطاقات السيبرانية تستمر في النمو مع استمرار التقدم العلمي والتكنولوجي ،مما يمكن الخبراء وشركاتهم ( جوجل ،فيسبوك ،لينكد إن ،إلخ ) ...من جمع صور أخرى من البيانات .فخبراء األمن السيبراني لديهم األدوات التي تمكنهم من تتبع االتجاهات العالمية للطقس ،مراقبة المحيطات ،ومراقبة حركة وسلوك األشخاص و الحيوانات و األشياء في الوقت الفعلي .وقد تم ابتكار تقنيات جديدة مثل نظم المعلومات الجغرافية GISوإنترنت األشياء ،IoTوهذه التقنيات تستطيع تتبع حالة األشجار التي بالجوار .وتستطيع أيضا هذه التقنيات أن تعطي الموقع الحالي للمركبات ،واألجهزة ،واألفراد والمعدات .وهذا النوع من المعلومات يمكن أن يوفر الطاقة ،ويحسن األداء ،ويقلل المخاطر األمنية .وينتج عن هذه التقنيات زيادة مطردة لحجم البيانات التي يتم جمعها وتحليلها لفهم طبيعة العالم .وهذه البيانات الضخمة التي يتم جمعها بتقنيات GIS, IoTتعطي تحد أكبر لخبراء األمن السيبراني في المستقبل .حيث تمكن هذه التقنيات القراصنة من الوصول السهل والعبث بمقدرات األشخاص في حياتهم اليومية.
1.2مهنيو األمن ضد القراصنة (الشرطي ضد السارق) 1.2.1المجرمون السيبرانيون من هم القراصنة :في السنوات األولى من عالم األمن السيبراني ،كان القراصنة صغار السن وهواه يتسللون من خالل كمبيوتر شخصي بمنازلهم وكان الهدف األساسي من التسلل المضايقة أو التخريب المتعمد .أما اآلن ،أصبح عالم المجرمين السيبرانيين أكثر خطورة .فالمهاجمون القراصنة هم أفراد أو مجموعة متخصصة يقومون بمحاولة استغالل الثغرات األمنية للمنفعة المالية 10
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
أو الشخصية .المجرمون السيبرانيون يهتمون بكل شيء بداية من بطاقة االئتمان مرو ار بتصاميم المنتجات وبراءات االختراع وانتهاء بأي شيء له قيمة.
•
صغار القراصنة – يسمون أحيانا صغار المبرمجين ( )script kiddiesنقصد بصغار هنا ليس صغار السن ولكن صغار الخبرة .فهم عديمو أو قليلو الخبرة ،وهم يستخدمون األدوات والتعليمات المتاحة على اإلنترنت في تحقيق الهجوم .بعض منهم يدفعه الفضول والبعض اآلخر يريد أن يظهر براعته في االختراق والقرصنة .مع أنهم يستخدمون أدوات بدائية ولكن تأثيرها من المحتمل أن يكون شديد الضرر.
•
القراصنة المحترفون : Hackersهم مجموعة من المهاجمين المحترفين يتسللون إلى الجهاز أو الشبكة الضحية بهدف معين .يتم تقسيمهم حسب مقصدهم إلى ثالث أنواع القبعة البيضاء :وفيها يستخدم المهاجم خبرته البرمجية ليقوم بالولوج إلى النظام األمني لشركة إليجاد الثغرات األمنية ،وهذا النوع من الهجمات مصرح به ومعلوم من قبل الشركة الضحية .وهو غالبا ما يؤتي ثماره في زيادة قوة الشركة بعد أن يقوم المهاج م بإخبار الشركة عن نقاط ضعفها األمنية .وأحيانا تقوم الشركة بتوزيع الجوائز مقابل اإلدالء بالثغرات األمنية القبعة السوداء :وهذا النوع من القراصنة يستغل معرفته بالثغرات لمصلحته الشخصية كالسرقة واالبتزاز. القبعة الرمادية :وهي خليط بين النوع األول والنوع الثاني وفيها يقوم المهاجم بالوصول إلى الثغرات (أحيانا عشوائيا) ونشرها ليستفيد بها اآلخرون أو عدم نشرها أساسا .وأحيانا يقوم صاحب القبعة الرمادية بإعالم الشركة عن ثغراتها األمنية لتقوم بتقوية نظامها األمني.
11
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
المنظمات اإلجرامية :وهي عبارة عن مجموعات من القراصنة المنظمين من النشطاء واإلرهابيين وأحيانا يتم دعمهم من قبل الدولة. المجرمون السيبرانيون :هم مجموعة من المجرمين المحترفين يركزون على التحكم والسيطرة والثروة .هم محترفون للغاية ومنظمون جدا .ومن الممكن أن يقوموا بعرض خدماتهم اإلجرامية لغيرهم من المجرمين مقابل المال. المخترقون النشطاء :يقومون بالدفاع عن موقف سياسي لجلب االنتباه لهم ودعم موقفهم السياسي. المخترقون الدوليون :يتم تبنيهم من قبل الدول وتدريبهم على اعلى درجة من التدريب والتعقيد مع تمويلهم بما يلزم من عتاد وبرمجيات .وهجماتهم موجهة لتستفيد بها الدولة الراعية.
محفزات اإلجرام السيبراني (السارق) :المحفزات اإلجرامية للقراصنة تغيرت بمرور السنوات .فقد بدأت القرصنة في الستينات بعملية تشوية الهاتف ( )phone freaking or phreakingوفي هذه العملية يقوم المهاجم باستخدام ترددات صوتية مختلفة للتالعب بنظام الهاتف والتصنت على المحادثات .وفي منتصف الثمانينات ،قام المهاجمون باستخدام مودم االتصال الهاتفي لتوصيل الحاسب بالشبكات واستخدام برنامج تخمين كلمات المرور للوصول الغير مصرح به للبيانات .أما في هذه األيام ،فقد تخطت طموحات القراصنة مجرد سرقة المعلومات .فهم يستخدمون البرمجيات الخبيثة والفيروسات كأسلحة عالية التقنية .ومع ذلك فالمحفز األعظم لكثير من المهاجمين هو المال .وقد لمعت مهنة اإلجرام السيبراني لما تحققه من كسب سريع للمال وفاقت مهنة تهريب المخدرات .وقد تغيرت ملفات المجرمين السيبرانين ومحفزاتهم بشكل ملحوظ .وفيما يلي نعطي تفصيال عن المجرمين السيبرانيون ونوعياتهم المختلفة. •
صغار المبرمجين :وقد لمع هذا المصطلح في سنة 1990ويرجع إلى الشباب أو المراهقين قليلو أو عديمو الخبرة والذين يستخدمون األدوات المتاحة على اإلنترنت في تحقيق الهجمات ،وغالبا ما يكون الدافع هو الفضول وليس كسب المال.
•
المتطوعون :وغالبا ما يكونوا من ذوي القبعات الرمادية والذين يحاولون الوصول إلى الثغرات األمنية في البنوك والمؤسسات بغرض عمل تقرير بالثغرات األمنية في مقابل الجائزة أو المال.
•
النشطاء السياسيون :Hacktivistsوهم قراصنة ذو قبعة رمادية ويحاولون التجمع والتظاهر ضد موقف سياسي أو فكرة اجتماعية .والنشطاء السياسيون يعترضون على الشركات والحكومات بنشر مقاالت وملفات فيديو وتسريب معلومات حساسة .وفي بعض األحيان يقومون بالهجمة الموزعة لقطع الخدمة (.)DDoS
•
القراصنة (مجرمي األمن السيبراني) :Hackersهم أصحاب قبعة سوداء يعملون لحساباتهم الشخصية أو يعملون في مجموعات منظمة .وفي كل عام يقوم القراصنة بسرقة ماليين الدوالرات من المستخدمين والشركات.
12
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
المجرمون الدوليون :من خالل توجه كل شخص ،فمن الممكن أن يكون الشخص في هذا النوع إما ذا قبعة بيضاء أو ذا قبعة سوداء .فهم يحاولون سرقة األسرار الحكومية وتخريب الشبكات .وهدفهم األوحد هو الحكومات األجنبية ،أو المجموعات اإلرهابية ،أو المؤسسات الكبيرة.
1.2.2محترفي األمن السيبراني محفزات العمل كمتخصص أمن سيبراني (الشرطي) :زاد الطلب على مهنة األمن السيبراني مؤخ ار كوظيفة براتب عال مقارنة بالمهن األخرى في مجال تقنية المعلومات ( .)ITوكل التقنيات التي تقوم بعمل نقلة حضارية لألشخاص وتحسين طرق معيشتهم تقوم أيضا بالمقابل بتعريضهم للهجمات .والتقنيات وحدها ال تستطيع منع أو كشف أو الرد أو المعافاة من الحوادث والهجمات اإلجرامية .العوامل التالية تعطي محف ازت المتهان وظيفة ضابط أمن سيبراني: •
المرتبات المرتفعة :المستوى المهارى المطلوب لمتخصص أمن سيبراني جيد ،والقصور في عدد متخصصي األمن السيبراني المحترفين يترجم ذلك كله إلى مرتبات مرتفعة.
•
التنافسية العالية :تكنولوجيا المعلومات دائما في تغير .وهذا التغير يمتد أيضا لمجال األمن السيبراني .والتغير الديناميكي الدائم والمتواصل لمجال األمن السيبراني يعطي تنافسية وتشويق بين طالبي ذلك النوع من الوظائف.
•
عدم االعتماد على المكان :فمتخصص األمن السيبراني يستطيع العمل في أماكن مختلفة ،تحديدا في أي شركة تحتوى على شبكة إلكترونية وبيانات رقمية ،فتلك الوظيفة موجودة عادة في معظم المواقع الجغرافية.
•
ارتباطها بالمجتمع :فمتخصصي األمن السيبراني يستطيعون تقديم الخدمات لمؤسساتهم وبلدانهم ومجتمعاتهم بشكل عام. كما لو كانوا هم أبطال ينقذون الناس من براثن القراصنة ويسعفون في حالة الكوارث.
بشكل عام وظيفة متخصص أمن سيبراني هي وظيفة تنافسية ومربحة ومرتبطة بالمجتمع. ردع القراصنة :إيقاف المهاجمين والمجرمين السيبرانيين عمل شاق إذا ال توجد طريقة موحدة أو سالح محدد لردعهم .وبرغم ذلك فالشركات والحكومات والمؤسسات الدولية بدأت في أخذ خطوات فعالة ومنظمة لتحجيم وإيقاف المجرمين السيبرانيين .وفيما يلي نعرض تلك الجهود الدولية للحد من اإلجرام السيبراني •
قاعدة بيانات الثغرات األمنية :تم عمل قاعدة بيانات شاملة لكل الثغرات المعروفة وبصمات الهجمات (وبصمات الهجمات هي معلومة موحدة يتم تسجيلها عند محاولة الهجوم باستغالل ثغرة أمنية معينة) .تتشارك المؤسسات عالميا قواعد البيانات تلك للحد من الهجمات المعروفة أو محاولة تفاديها أو التقليل من أثرها .ومثال على ذلك (قاعدة بيانات الثغرات واالختراقات الدولية) ) National Common Vulnerabilities and Exposures (CVEوتم إتاحة قاعدة البيانات هذه عالميا وتحمل معظم الثغرات األمنية التي مرت بها الشركات من قبل .يمكن االطالع على قاعدة البيانات على الرابط التالي http://www.cvedetails.com/ 13
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
نظم االكتشاف المبكر :حيث تقوم المؤسسات بإنشاء نظام اكتشاف مبكر من خالل حساسات وأدوات إنذار على الشبكات .وتراقب المؤسسات األهداف الحيوية على الشبكة ،أو تعطي معلومة مزيفة عن األماكن الحيوية أو تفرض وجود أماكن حيوية مزيفة .وهذه األماكن الحيوية عادة ما تكون محل اهتمام القراصنة ،وعندما يتم مهاجمة تلك األماكن الحيوية تق وم تلك األماكن الحيوية بإنذار اآلخرين عن وجود هجوم على الشبكة .ومشروع شبكة العسل ( )Honeynetمثال على خلق نظام إنذار مبكر .والمشروع يوفر خريطة العسل ( )HoneyMapوالتي تعرض خريطة لتمثل الهجمات بالبث الحي. والتسمية بالعسل ترجع إلى فكرة أن العسل يجذب الذباب والناموس فيلتصق به ويموت ،فالقراصنة كالذباب والناموس ينجذبون إلى األماكن الحيوية (المزيفة أحيانا) ويقعون في الفخ لمعرفة كيف يقومون بالهجوم .لرؤية خريطة العسل بالبث المباشر للهجمات يمكن الرجوع إلى الرابط التالي https://www.honeynet.org/node/960
•
مشاركة المعرفة :وتتم فيه مشاركة المعرفة السيبرانية .قطاع األعمال ،والمؤسسات الحكومية ،والدولية تتعاون فيما بينها بمشاركة المعلومات عن الهجمات الحرجة لألماكن الحيوية في البالد من أجل تجنب مزيد من الهجمات في أماكن أخرى من العالم .وكثير من الدول قامت بإنشاء مؤسسات معرفية سيبرانية للتعاون عالميا في ردع الهجمات السيبرانية الرئيسية. وبرنامج InfraGardهو مثال حي لنموذج مشاركة المعرفة السيبرانية .وهو عبارة عن برنامج تعاون بين مكتب التحقيقات الفيدرالي FBIوالقطاع الخاص .والمشتركون ملتزمون بمشاركة المعلومات والخبرات لمنع الهجمات السيبرانية الغاشمة مستقبليا .لمزيد من المعلومات عن هذا البرنامج قم بزيارة الصفحة التالية www.infragard.org
•
بناء معايير مشتركة :يتم بناء معايير إلدارة نظم المعلومات األمنية وتلك المعايير تكون عالمية أو دولية .كمثال على ذلك ISO 27000هو معيار يمثل نموذجا هاما للجهود الدولية في هذا الصدد .وهذا المعيار يعطي إطار عمل لبناء نظام سيبراني آمن داخل المؤسسات/http://www.27000.org .
•
سن قوانين جديدة :فبناء قوانين جديدة يحد من الهجمات السيبرانية واختراقات البيانات .وهذه القوانين تحمل في طياتها عقوبات صارمة لمحاكمة أي مهاجم يقوم بتنفيذ اختراقات غير قانونية .على سبيل المثال مجموعة ISACAتقوم بمتابعة القوانين الموجودة والمتعلقة باألمن السيبراني.
1.3التهديدات الشائعة 1.3.1ساحات التهديد التهديدات التي تواجه المستخدمين :كما قلنا سابقا فإن هناك خبراء مخترعين ذو خيال عال يقومون ببناء نطاقات البيانات على شبكة اإلنترنت .ولديهم المقدرة على اإلحساس بأهمية البيانات والقوة التي تأتي من جمعها .ومن ثم يقومون بهيكلة مؤسساتهم لتقديم الخدمات كما يقومون بحماية المستخدمين من الهجمات السيبرانية .وعادة ما يدرك مهنيو األمن السيبراني خطورة وقوع بيانات المستخدمين في األيدي الخاطئة .التهديدات والثغرات هما أهم عاملين يتم االهتمام بها من قبل محترفي األمن السيبراني .وتوجد حالتان ذا أهمية خاصة:
14
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
عندما يكون التهديد هو احتمال إحداث الضرر من قبل المهاجمين.
•
عندما تكون الثغرة مدخال للهجوم السيبراني.
فمثال ،إذا وقعت البيانات في اليد الخطأ يمكن أن تؤثر بشكل مباشر على خصوصية األفراد ،ويمكن أن تؤثر في رصيدهم البنكي ،أو تعرقل وظيفتهم أو عالقاتهم االجتماعية .سرقة الهوية هو عمل مربح لدى القراصنة ،ومع هذا فإن شركات كبرى مثل جوجل وفيسبوك ليست عرضه للخطر .فالمدارس والمستشفيات والمؤسسات المالية والمؤسسات الحكومية ومقر العمل والتجارة اإللكترونية أكثر عرضة للخطر .ذلك ألن المؤسسات الكبرى مثل جوجل وفيسبوك لديها الموارد لتوظيف خبراء األمن السيبراني على درجة عالية من التدريب والكفاءة بهدف حماية نطاقاتهم .وكلما زادت المؤسسات التي تحمل قواعد بيانات كبيرة للمستخدمين يزيد الطلب تباعا لوجود محترفي أمن سيبراني .ونظ ار ألن معظم المحترفين يتم توظيفهم في الشركات الكبرى، يتبقى القليل منهم لتوظيفهم في المؤسسات الصغرى .ولذلك فإن التهديدات في الشركات الصغرى خطير للغاية فهو يعرض الشركة للخسارة الفادحة في حالة وجود اختراقات أمنية. التهديدات لخدمات اإلنترنت :يوجد العديد من الخدمات األساسية في أي شبكة لكي تعمل ويستفاد منها وباألخص اإلنترنت. من هذه الخدمات ،التوجيه ،والعنونة ،وتسمية نطاقات اإلنترنت ،وإدارة قواعد البيانات .وهذه الخدمات تكون الهدف الرئيسي ألي مهاجم على اإلنترنت .فالمهاجمون يستخدمون تقنية "غربلة الحزم" packet sniffingللتفتيش في سيل البيانات عبر الشبكة .وهذا يعني أن البيانات الحساسة مثل اسم المستخدم ،وكلمة المرور أو رقم البطاقة االئتمانية يكون عرضه للخطر. ومغربلو الشبكة يقومون بمتابعة سيل البيانات على الشبكة بكامله حتى يعثروا على بيانات حساسة .يمكن أن يستخدم المهاجمون نقاط وصول مخادعة وغير آمنة تستخدم لتصفح اإلنترنت عن طريق .WiFiفلو قام المهاجم بوضع تلك النقطة بالقرب من مكان عام مثل مقهى فمن الممكن أن يستخدمه األشخاص بال دراية ويعرضوا بياناتهم ومعلوماتهم الحساسة للخطر عن طريق أن يقوم المهاجم بغربلة بياناتهم عند تصفح اإلنترنت. خدمة اسم النطاق ( )DNSهي خدمة تستخدم لتحويل اسم النطاق مثل www.facebook.comإلى رقم معرف لإلنترنت يسمى IPمثل ،112.132.12.11باختصار تحويل االسم إلى رقم من خالل جدول موجود على خادم أسماء النطاقات، والجدول يوجد به عامودين فقط العمود األول لالسم والثاني لرقم اإلنترنت .IPفلو كان االسم غير موجود في جدول الخادم سيقوم بالتواصل مع خادم نطاقات آخر لمعرفة الرقم المقابل لهذا االسم .وتوجد هجمة صممها المهاجمون موجهة فقط لخوادم اسم النطاق تسمى "تسمم الجداول" حيث يقوم المهاجم بالتالعب في جداول الخوادم ويعدل رقم اإلنترنت IPليكون موجها نحو الجهاز الضحية .وعندما يقوم بتعديل أسماء نطاقات كثيرة لتكون كلها لنفس الرقم (رقم الجهاز الضحية) فتقوم الخوادم جميعها بإغراق جهاز الضحية بالطلبات .فيتعطل الجهاز الضحية وتسقط خدمته.
15
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تقوم الحزم بنقل البيانات على شبكة اإلنترنت .فعنما يتم االتصال بين جهاز مرسل وجهاز مستقبل ،يقوم المهاجم بالتالعب في الحزم المتنقلة بين الطرفين .فإما أن يقوم بتغيير حزمة البيانات الموجودة وإما أن يقوم بحقن حزم بيانات جديدة كجزء من االتصال بين الطرفين .حيث يستفيد المهاجم قطع االتصال أو التصنت عليه .ولذلك يتمكن المهاجم من االستيالء على االتصال والتصنت الغير مصرح به أو يقوم بتعطيل الضحية بحيث ال يستفيد من الخدمة التي تقدمها الشبكة التي يستخدما للتواصل .ويسمي محترفو األمن السيبراني هذا النوع من الهجمات باسم "هجمة الرجل الوسيط" Man-in-the-middle .attack قدمنا هنا فقط نبذه قليلة للغاية عما يتعرض له المستخدمون عند استخدام الخدمات المتوفرة على شبكة اإلنترنت. التهديدات لقطاعات الصناعة :قطاعات الصناعة دائما ما تحتوى على بنية شبكية كاملة ،القطاعات مثل قطاع التصنيع وقطاع الطاقة وقطاع االتصاالت وقطاع المواصالت مبنية على نظام شبكي متكامل .فمثال "الشبكة الذكية" smart grid تحسن من أداء نظم إنتاج وتوزيع الكهرباء .فالشبكة الذكية تحمل الطاقة من المولدات وتقوم بتوزيعها على عدد كبير من العمالء .وتستخدم الشبكة الذكية نظام معلوماتي لميكنة عملية توزيع الكهرباء .وقادة الدول يدركون أن حماية مؤسساتهم من الهجمات يعني بالتبعية حماية اقتصاد الدولة. وفي العقد السابق ،فإن شبكات الهجمات السيبرانية (مثل هجمات شبكة )Stuxnetأكدت أن هذا النوع من الهجوم من الممكن أن يدمر أو يعطل هياكل البيانات في أي دولة .وخصوصا فإن شبكة Stuxnetكانت تهدف بشكل أساسي الهجوم على نظام التحكم اإلشرافي واكتساب البيانات ( )Supervisory Control and Data Acquisition System SCADAلمراقبة والتحكم في العمليات الصناعية .ويتم دمج نظام SCADAكجزء من العمليات الصناعية كما يحدث في مصانع اإلنتاج، والتصنيع ،والطاقة ،ونظم االتصاالت .يمكن االطالع على المزيد عن شبكة Stuxnetعبر الرابط التالي https://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon?langu . age=en ويمكن للهجمة السيبرانية أن تعرقل أو تعطل القطاعات الصناعية مثل قطاع االتصاالت ،وقطاع النقل ،وقطاع انتاج وتوزيع الكهرباء ،كما يمكن أن تعرقل قطاع الخدمات المالية .من المشاكل الرئيسية للقطاعات التي تقوم بدمج نظام SCADAأن مصممو هذا النظام لم يقوموا باعتبار اتصال نظام SCADAبنظام معلوماتي قائم أو شبكة اإلنترنت .ولذلك ،فإنهم لم يراعوا بناء نظام أمن سيبراني مدمج داخل نظام SCADAفي مرحلة بناء النظام .ومثل أي قطاع صناعي ،فإن المؤسسات أدركت أهمية نظام SCADAفي جمع البيانات وتحسين العمليات وتقليل التكلفة .واالتجاه السائد هو استخدام هذا النظام مع نظام معلوماتي قائم (غير معد لمجابهة الهجمات) .وبناء عليه ،فإن هذا يؤدي إلى زيادة الثغرات لذلك القطاع وزيادة احتمال تعرضه للهجمات السيبرانية. 16
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وإمكانية التهديدات المتقدمة والمعقدة الموجودة هذه األيام تتطلب بالتبعية جيل جديد من الكفاءات والخب ارت في مجال األمن السيبراني.
التهديدات لطريقة معيشة األفراد :األمن السيبراني هو الجهد المتواصل لحماية النظم الشبكية والبيانات من الدخول الغير
مصرح به .على المستوى الفردي ،كل شخص ينبغي عليه حماية بياناته وهويته وأجهزته الحاسوبية .على المستوى المؤسسي، فإن مسئولية حماية البيانات وسمعة الشركة والزبائن ،تقع على عاتق موظفي الشركة .على المستوى الدولي ،فإن األمن الدولي
وحماية الشعب والممتلكات هو هدف رئيسي لحكام الدول .ومحترفي األمن السيبراني دائما ما ينخرطون في العمل مع الحكومات في معرفة وإيجاد مصدر البيانات وتجميعها. وفي الواليات المتحدة ،فإن وكالة األمن القومي ( )National Security Agency NSAهي المسئولة عن جمع المعلومات واإلشراف على األنشطة المؤسسية .وقد قامت الوكالة ببناء مركز بيانات ( )Data Centerفقط لمعالجة البيانات التي تزيد
يوميا بشكل مطرد .وفي عام 2015قام الكونجرس األمريكي بتمرير قانون الحرية ( )Freedom Actإلنهاء عملية جمع
بيانات االتصال الهاتفي للمواطنين .إذ كان يتم جمع البيانات عن االتصاالت المرسلة والمستقبلة لألشخاص .وعادة ما يتم
التعارض بين حماية المعيشة اليومية لألف ارد مع حقهم في وجود الخصوصية .ويوجد جهد مضني لعمل توازن بين تلك الحقوق وتأمين المستخدمين عند تصفح اإلنترنت.
1.4إنشار التهديدات 1.4.1كيف تنتشر التهديدات التهديدات الداخلية والخارجية :يمكن تقسيم المهاجمون بشكل عام إلى نوعين رئيسيين مهاجمون داخليون ومهاجمون خارجيون
17
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المهاجمون الداخليون :تأتي هذه الهجمات من الموظفون بالشركة أو من المتعاقدين بها أو الشركاء .تأتي الهجمات متعمدة أو غير متعمدة من هذه الهجمات •
العبث بالبيانات تحت السيطرة
•
تهديد سير العمل الداخلي بالتأثير على الخوادم أو التالعب بالهيكل الشبكي للشركة.
•
تسهيل الهجمات الخارجية بتوصيل وحدة تخزين معدية إلى أجهزة الشركة
•
جلب الهجمات الخارجية عن طريقة فتح بريد إلكتروني معدي والضغط على الروابط بداخله بال وعي
تم التأكيد بالدراسة على أن الهجمات الداخلية لها بالغ األثر في الضرر مقارنة بالهجمات الخارجية .نظ ار ألن المهاجمين هم موظفو الشركة المصرح لهم بالدخول إلى مبنى الشركة واالحتكاك المباشر بالبنية اإللكترونية للشركة .حيث يطلعون على بنية الشبكة وموارد المعلومات والبيانات الحساسة ولهم صالحيات دخول تؤهلهم بالتالعب المباشر بموارد الشركة. المهاجمون الخارجيون :وهم محترفو الهجمات أو صغار المهاجمين الذين يحاول الوصول لموارد الشركة من خارجها .فيبحثون عن ثغرات في النظام األمني للشركة أو استخدام الهندسة االجتماعية للوصول الغير مصرح به للمعلومات الهامة في الشركة.
التهديدات وثغرات األجهزة المتنقلة :في الماضي ،كان الموظفون يستخدمون أجهزة الحاسب الخاصة بالشركة للتوصيل بشبكة
الشركة المحلية .LANويقوم مراقبو الشبكة باإلشراف وتعديل تلك األجهزة لمواكبة المتطلبات األمنية .أما اليوم ،فاألجهزة
المتنقلة مثل جهاز آي فون ،واألجهزة الذكية ،واألجهزة اللوحية ،وآالف من األجهزة األخرى المتنقلة أصبحت كبديل أو امتداد
ألجهزة الحاسوب الشخصية .الكثير والكثير من األشخاص في تزايد مستمر يستخدمون تلك األجهزة المتنقلة في الوصول لشبكة
الشركة .حيث ينمو ما يسمى باتجاه ( )Bring Your Own Device BYODأو "أحضر جهازك الشخصي" وهذا االتجاه 18
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يتيح للمستخدم الوصول إلى معلومات الشركة باستخدام جهازه الخاص .وعدم المقدرة على التحكم والتعديل المركزي لألجهزة المتنقلة هو عامل رئيسي في تزايد التهديدات على الشركة التي تتيح لموظفيها الوصول لشبكة الشركة باستخدام أجهزتهم المتنقلة الخاصة. ظهور تهديدات أنترنت األشياء :إنترنت األشياء ( )IoTهي مجموعة التقنيات التي تتيح اتصال العديد من األجهزة واألشياء باإلنترنت .والتقدم التكنولوجي المصاحب البتكار إنترنت األشياء قد غير البيئة التجارية واالستهالكية للمستخدمين .فهو يتيح
اتصال مليارات األجهزة واألشياء باإلنترنت .من األمثلة على هذه األشياء ،األجهزة الكهربية ،واألقفال ،والمحركات ،وأجهزة
األلعاب والتسلية ،وهناك الكثير والكثير من األشياء .وهذه التكنولوجي تؤثر على كمية البيانات التي يراد حمايتها ( ستكون
بالطبع ضخمة لكثرة األشياء) .المستخدمون يصلون إلى هذه األشياء عن بعد ،والذي يزيد من عدد الشبكات التي يراد حمايتها. ومع بزوغ عالم إنترنت األشياء ،زادت كمية البيانات التي ينبغي حمايتها وإدارتها .فكل توصيالت األشياء هذه ،وكل سعة
تخزينية متوفرة من خالل الحوسبة السحابية أو من خالل التقنية االفتراضية ،يؤدي كل هذا إلى النمو المطرد لحجم البيانات. ونمو حجم البيانات هذا قادنا إلى علم جديد وإلى مجال جديد في عالم االقتصاد واألعمال يسمى بالبيانات الضخمة ( Big )Dataوهو علم يخص ترتيب ومعالجة البيانات الضخمة التي يتم جمعها من األشياء. تأثير البيانات الضخمة :البيانات الضخمة هي نتاج مجموعات البيانات الكبيرة والمعقدة ،والتي تجعل برامج معالجة البيانات االعتيادية غير مناسبة لمعالجة ذلك النوع من البيانات الضخمة .والبيانات الضخمة تعطي التحدي والفرص على محاور ثالث
رئيسية ،هي •
حجم وكمية البيانات
•
سرعة جمع البيانات
•
تعدد نوعية ومصادر البيانات
ويوجد العديد من المؤسسات الكبرى التي تعرضت للقرصنة كما نرى في األخبار .فشركات مثل شركة تارجت ،Targetوهوم ديبوت ،Home Depotوبي بال PayPalهي هدف عام للقراصنة .ونتيجة لذلك ،تحتاج تلك المؤسسات إلى تغيير جذري
في المنتجات األمنية وتصميمات النظم األمنية التي تستخدمها ،فيجب أن يتم ترقية تلك النظم إلى أحدث التكنولوجيا وأحدث الممارسات األمنية .باإلضافة إلى ذلك ،فإن القطاع الحكومي وقطاع الصناعة يقدم كثي ار من التعليمات والتوجيهات الرسمية
والتي تقوم بتقديم طرق حماية أفضل وأدوات أمنية متقدمة للمساعدة في حماية البيانات الضخمة. 1.4.2التهديدات المعقدة
التهديد باألسلحة المتقدمة :الثغرات البرمجية تنتج بشكل أساسي بسبب أخطاء في البرمجة ،أو البروتوكوالت ،أو التهيئة الغير
صحيحة للنظم .وعلى المجرم السيبراني أن يجد فقط ثغرة واحدة من تلك الثغرات .فعلى سبيل المثال ،فهجوم شائع يستخدم
مدخالت غير صحيحة لبرنامج من البرامج من أجل تخريبه أو جعله يعمل بشكل غير صحيح .وعمل البرنامج بشكل غير صحيح هو بمثابة بوابة للوصول للبرنامج والتي من الممكن أن يتم تسريب المعلومات من خاللها. 19
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ويوجد تعقيدات متزايدة للهجمات السيبرانية في يومنا الحاضر .والهجمات الدائمة المتقدمة ( Advanced Persistent ) Threat APTهي عملية قرصنة طويلة المدى تتم بمراقبة هدف معين .وعادة ما يختار القراصنة هذا النوع من الهجوم ( ) APTفي قطاع األعمال أو السياسة .والهجمات الدائمة المتقدمة تتم على فترات زمنية طويلة وعلى درجة عالية من السرية مستخدمة برمجيات خبيثة على درجة عالية من التعقيد. والخوارزميات المستخدمة في الهجمات "خوارزميات الهجمات" تستطيع أن تتبع الناتجة من التقارير الذاتية لألجهزة ،مثل كم الطاقة الذي ينتجه الحاسب ،وتستخدم تلك المعلومات الختيار األهداف أو إظهار تنبيهات خاطئة .كما يمكن لخوارزميات
الهجمات أن تعطل الحاسب بإرغامه على استخدام الذاكرة أو إنهاك وحدة معالجته المركزية .CPUوخوارزميات الهجمات هي أكثر مراوغة ألنها تستغل التصميمات المخصصة لتحسين استهالك الطاقة ،أو الحد من فشل النظام ،أو تحسين كفاءة التشغيل. وأخيرا ،فإن الجيل الجديد من الهجمات يستخدم طرق ذكية الختيار الضحية .ففي الماضي ،كانت تنصب الهجمات دائما على الضحية الضعيفة أو الضحية الساذجة (في البرية ،مثل الخراف المريضة أو البعيدة عن القطيع) .ومع ذلك ،ومع اعتبار الطرق
المتقدمة لكشف وعزل الهجمات السيبرانية ،فيجب أن يحذر القراصنة أكثر وأكثر .حيث ال يمكنهم التضحية فيتم اكتشافهم باك ار وسيقوم ضباط األمن السيبراني بغلق بوابة القلعة على الفور .ونتيجة لذلك فإن كثي ار من تلك الهجمات المعقدة ستنجح فقط لو استطاع المهاجم مطابقة البصمة الرقمية للهدف المطلوب. النطاق األوسع والتأثير المتالحق :إدارة الهوية الفيدرالية ( )Federated Identity Managementيشير إلى أن عديد من
الشركات(مجموعة من الشركات) تتيح لمستخدميها استخدام نفس معلومات التحقق من الهوية للوصول إلى كل الشبكات
الموجودة في شركات المجموعة .وهذا من شأنه توسعة النطاق وزيادة احتمالية حدوث التأثير المتعاقب .والهوية الفيدرالية تربط الهوية اإللكترونية للكائن من خالل نظم منفصلة إلدارة الهوية .فعلى سبيل المثال ،يستطيع الكائن أن يلج إلى محرك البحث
ياهو Yahooمستخدما معلومات التحقق الخاصة بجوجل أو فيسبوك .وهذا مثال على دخول مواقع التواصل االجتماعي. والهدف من الهوية الموحدة ا لفيدرالية وإدارة التحقق من الهوية هو مشاركة المعلومات بشكل تلقائي عبر أسوار القالع .فمن وجهة نظر المستخدم ،هذا يعني استخدام معلومات الولوج مرة واحدة فقط على الشبكة العنكبوتية. يجب أن تقوم مؤسسات إدارة الهوية الفيدرالية بفحص معلومات التحقق من الهوية مع الشركاء .أرقام الضمان االجتماعي، واألسماء ،والعناوين للمستخدمين تعطي الفرصة لقراصنة الهوية اإللكترونية بسرقة المعلومات من الشركاء وارتكاب عمليات الغش .والطريقة الشائعة لحماية الهوية الفيدرالية هي دمج عملية ولوج المستخدمين مع جهاز تحقق معتمد. التأثير على السالمة :مراكز اتصاالت الطوارئ في الواليات المتحدة عرضة للهجمات السيبرانية والتي من الممكن أن تغلق
شبكة اإلسعافات 911مخاطرة بسالمة المواطنين .الهجمة التليفونية لقطع الخدمة ( Telephone Denial of Service )Attack TDoSتستخدم عدة اتصاالت هاتفيه في نفس الوقت مستهدفة شبكة تليفونية محددة بغرض تقويض الشبكة ومنع المستخدمين األبرياء من االستفادة من خدة االتصاالت المتاحة .الجيل الجديد من اتصاالت اإلسعاف 911عرضه أكثر
20
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
للقرصنة بسبب وجود الثغرات حيث أنهم يستخدمون نظام (االتصال الصوتي عبر اإلنترنت )VoIPبدال من خطوط التليفون
األرضي التقليدية .وباإلضافة إلى "الهجمة التليفونية لقطع الخدمة" تكون مراكز االتصال هذه عرضة لنوع آخر من الهجوم
يسمى الهجمة الموزعة لقطع الخدمة ( )Distributed Denial of Service Attackوالذي يستخدم كثير من الحواسيب
تسمى الزومبي إلغراق هدف معين بالطلبات فتتعطل خدمته وال يستفيد منه المستخدمين األبرياء .هناك عديد من الطرق هذه األيام لالتصال بمسعفات ،911منها استخدام تطبيق على الهاتف الذكي أو استخدام "نظام تأمين المنزل".
الوعي المرتفع بهجمات األمن السيبراني :الدفاع ضد الهجمات السيبرانية في بداية الحقبة السيبرانية كانت منخفضة .فطالب في المدرسة الثانوية أو مبرمج صغير يستطيع الوصول الغير مصرح به إلى النظام .واألقطار حول العالم أصبحت ذا وعي
اكبر بتهديدات الهجمات السيبرانية .فالتهديد الذي ينتج من الهجمات السيبرانية يعتلي قمة قائمة التهديدات التي تحيك باألمن واالقتصاد الوطني في معظم الدول.
5.1الحصول على خبراء أكثر 1.5.1إطار القوى العاملة لألمن السيبراني معالجة النقص في متخصصي األمن السيبراني :قام المعهد الوطني للمعايير والتكنولوجيا ( NISTنست) األمريكي بعمل إطار عمل للشركات والمؤسسات التي تحتاج محترفي أمن سيبراني .يمكن اإلطار الشركات من تحديد أنواع المسئوليات الرئيسية
وأسماء الوظائف والمهارات المطلوبة للقوى العاملة .إطار القوى العاملة لألمن السيبراني يصنف ويصف طبيعة العمل في
األمن السيبراني .وهو يوفر لغة مشتركة تحدد طبيعة األمن السيبراني كما تحدد أيضا مجموعة المهام الشائعة والمهارات المطلوبة لتصبح متخصص أمن سيبراني .واإلطار يساعد في تحديد المتطلبات المهنية في األمن السيبراني. إطار القوى العاملة الوطنية لألمن السيبراني :إطار القوى العاملة يصنف العمل في األمن السيبراني إلى سبعة أصناف: .1التشغيل والصيانة :يشمل توفير الدعم واإل دارة والصيانة المطلوبة للتأكيد على أداء نظام تقنية المعلومات والتأكيد على تأمينه. .2الحماية والدفاع :يشمل تعريف وتحليل وتلطيف التهديدات للنظم الداخلية والشبكات. .3التحقيق :يشمل التحقيق في الحوادث السيبرانية والجرائم السيبرانية التي تستهدف موارد نظام تقنية المعلومات. .4التجميع والتشغيل :يشمل عمليات التنكر والخداع المتخصص وجمع المعلومات األمنية. .5التحليل :يشمل المراجعة عالية التخصص وتقييم معلومات األمن السيبراني المجموعة لمعرفة ما إذا كانت نافعة أم ال. .6الرقابة والتطوير :توفر القيادة واإلدارة والتوجهات ألداء عمل األمن السيبراني بشكل فعال. .7توفير األمن :يشمل التصور والتصميم وبناء نظم تقنية معلومات آمنة.
21
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ويوجد في كل فئة العديد من التخصصات الفرعية .وتحدد مجاالت التخصص نوعيات العمل المتشابهة في كل فرع من فروع األمن السيبراني. 1.5.2مجتمعات األمن السيبراني عبر األنترنت المنظمات المهنية :يجب أن يتعاون متخصصي األمن السيبراني مع زمالء المهنة على الدوام .المنظمات التقنية الدولية عادة
ما ترعى ورشة عمل أو مؤتمر .وهذه المنظمات تجعل ممتهني األمن السيبراني دائما ملهمين ومحفزين .نعرض فيما يلي بعض
منظمات األمن الهامة: •
منظمة سيرت ( :)CERTوهو فريق االستجابة لطوارئ الحاسب .وسيرت هي مبادرة ممولة من الواليات المتحدة موجهة للعمل في مجتمع اإلنترنت الكتشاف والتعامل مع عوارض أمن الحاسب .ومركز التنسيق في سيرت ( )CERT/CCينسق
عمليات التواصل بين الخبراء في حاالت طوارئ األمن للمساعدة في منع حدوث نفس الحوادث في المستقبل .وتقوم سيرت أيضا بالتعامل مع حوادث األمن الرئيسية وتحليل ثغرات المنتجات .تقوم سيرت أيضا بإدارة التغيرات التي تحدث للتقنيات المتقدمة للدخالء وتذليل صعوبة اكتشاف الهجمات والقبض على المهاجمين .وتقوم المنظمة بتطوير وترقية استخدام التقنيات والنظم واإلجراءات اإلدارية بالشكل المناسب لمقاومة الهجمات على نظم الشبكات والحد من التخريب والتأكيد على استم اررية الخدمات. •
معهد سانس ( :)SANSهو اسم معهد يتخصص في إدارة النظم والمراقبة ألمن الشبكة ،تكون موارد المعهد متاحة بشكل كبير مجانا عند الطلب .ويشمل مركز العواصف ) (Storm Centerالمشهور ،ونظام التحذيرات المبكرة لإلنترنت ( ،)NewsBitesوملخص األخبار األسبوعي ( ،)@RISKوملخص أخبار الثغرات األسبوعي ،وإضاءات تنبيهات األمن. باإلضافة ألكثر من 1200أوراق بحثية أصلية حاصلة على جوائز .ويوفر معهد سانس أيضا دورات أمنية.
•
مؤسسة متري ( :)MITREمؤسسة متري لديها قائمة االستغالل والثغرات تسمى ( )CVEتستخدم من قبل المنظمات األمنية المرموقة.
•
منظمة فيرست ( :)FIRSTمنتدى االستجابة للحوادث وفرق األمن ( )FIRSTهو منظمة أمنية تجمع معا العديد من فرق االستجابة لحوادث أمن الحاسب من الحكومات ومن الصناعة ومن المنظمات التعليمية لدعم التعاون وتنظم مشاركة المعلومات ومنع الحوادث وردود األفعال السريعة.
•
منظمة أمن نظم المعلومات ( :)InfoSysSecهي منظمة أمن الشبكات التي تستضيف بوابة األخبار وتوفر آخر األخبار المتعلقة بالتنبيهات واالستغالل والثغرات.
•
االتحاد الدولي لشهادة أمن نظم المعلومات :)ISC(2يعطي هذا االتحاد منتجات تعليمية محايدة (مثال شهادات سيسكو خاصة بسيسكو ومنتجاتها ،اما هذا االتحاد فهو يعطي شهادات غير معتمدة على منتجات شركة معينة) وخدمات توظيف
في أكثر من 135دولة حول العالم ألكثر من 75000محترف .والهدف الرئيسي لهذا االتحاد هو جعل العالم السيبراني 22
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
مكان آمن بنقل أمن المعلومات للمستوى العام ،ودعم وتطوير شبكة محترفي األمن السيبراني حول العالم .كما أن االتحاد يعطي شهادات معتمدة عن امن المعلومات مثل شهادة محترف أمن نظم المعلومات (.)CISSP •
منظمة : MS-ISACتركز المؤسسة بشكل أساسي على الوقاية والحماية والرد والتعافي من التهديدات السيبرانية التي تصيب الحكومات على مستوى المدينة والمحافظة والقرية .مركز عمليات األمن السيبراني MS-ISAC 24x7يوفر إشراف وقتي على الشبكات والتحذيرات والنصح المبكر للتهديدات السيبرانية وتعريف الثغرات والتخفيف والرد على األحداث.
منظمات طالب األمن السيبراني والمنافسات :يجب أن يكون لدى متخصصي األمن السيبراني نفس المهارات التي يمتلكها
المهاجمين ،وخصوصا القراصنة ذوي القبعة السوداء ،وذلك لزيادة المقدرة على صد الهجمات .كيف يمكن للفرد بناء مهاراته
وصقلها بالتدريب؟ تلك المهارات التي يحتاجها ألن يكون متخصص أمن سيبراني .المنافسات المهارية للطالب هي من أفضل الطرق لبناء المهارات والقدرات المعرفية الخاصة باألمن السيبراني .يوجد العديد من المنافسات المهارية الوطنية في األمن
السيبراني متا حة لطالب األمن السيبراني ،فيما يلي قائمة منافسات األمن السيبراني للطالب والمنظمات والنوادي التي تقيم ذلك النوع من المسابقات: •
السيبر الوطني : cyberpatriotعلى الرابط التالي /https://www.uscyberpatriot.org
•
المهارات األمريكية :Skills USعلى الرابط التالي /http://www.skillsusa.org
•
منافسة السيبر :USCCعلى الرابط /http://www.uscyberchallenge.org
•
الدوري السيبراني الوطني :NCLعلى الرابط التالي /https://www.nationalcyberleague.org
1.5.3الشهادات المعتمدة في األمن السيبراني شهادات الصناعة :في عالم تهديدات األمن السيبراني ،تظهر الحاجة الماسة لمحترفي أمن سيبراني ذات معرفة قوية ومهارات عالية .وصناعة تقنية المعلومات أقامت العديد من المعايير لقياس مدى مهارة متخصص األمن السيبراني وذلك بناء على
الحصول على شهادات معينة يمكن من خاللها تحديد المستوى المهاري والمعرفي لمتخصص األمن السيبراني وهذه الشهادات هي: •
شهادة : CompTIA Security+شهادة Security+هي شهادة متخصصة في األمن السيراني تصدر من قبل منظمة . CompTIAوهي منظمة تدعم برنامج اختبارات متخصصة للحصول على شهادات في إدارة نظم تقنية المعلومات وضمان المعلوماـت .يغطي اختبار Security+أهم المبادئ لتأمين الشبكات وإدارة المخاطر ،وتشمل التعريف أيضا بالمخاوف المرتبطة بمجال الحوسبة السحابية.
23
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
شهادة الهاكر الخلوق ( :)CEHمعتمدة من قبل مجلس إك ( .)EC-Councilهذه الشهادة متوسطة المستوى تؤكد على أن متخصص األمن السيبراني الذي حصل على هذه الشهادة يمتلك المهارات والمعرفة لمعظم ممارسات القرصنة .يستخدم
هؤال ء المتخصصين في األمن السيبراني نفس المهارات والتقنيات التي يستخدمها المجرمين الكتشاف ثغرات األنظمة ومناطق الدخول الضعيفة للنظم المختلفة. •
شهادة معهد سانس ألساسيات األمن ( :)GSECشهادة معهد سانس هي االختيار األفضل للمستوى المبتدئ .وتعطي توثيق لمتخصص األمن السيبراني بأنه يستطيع فهم مصطلحات ومفاهيم األمن السيبراني ولديه المهارات والخبرات التي تؤهله لألدوار األساسية في مجال األمن السيراني .وبرنامج معهد سانس المسمى ( )GIACيعطي العديد من الشهادات
األخرى في مجال إدارة أمن المعلومات والتحقيق الجنائي والمراقبة. •
شهادة محترف أمن نظم المعلومات ( :)CISSPوتعطي هذه الشهادة من قبل االتحاد الدولي لشهادات أمن نظم المعلومات . ISC2وشهادة CISSPهي شهادة غير معتمدة على شركة معينة مخصصة لتوثيق احتراف مهارات األمن السيبراني ويمتلك الحاصلون عليها الخبرات التقنية واإلدارية الالزمة الحتراف مجال نظم المعلومات .وقد تم اعتماد هذه الشهادة رسميا من قبل و ازرة الدفاع األمريكية ( )DoDوهي شهادة معروفة دوليا في قطاعات الصناعة.
•
شهادة مدير أمن المعلومات ( :)CISMتقدم هذه الشهادة جمعية إزاكا ( .)ISACAأبطال األمن السيبراني المسئولون عن
إدارة وتطوير واألشراف على نظم أمن المعلومات على المستوى المؤسسي ،أو هؤالء األشخاص الذين يطورون أفضل
الممارسات األمنية ،كل هؤالء مؤهلون لنيل هذه الشهادة .والحاصلين على هذه الشهادة لديهم المهارات المتقدمة في مجال إدارة المخاطر األمنية. الشهادات التي ترعاها شركة :ميزة أخرى هامة جدا لمتخصصي األمن السيبراني هي شهادات الشركات .مثل شهادة أمن المعلومات المقدمة من سيسكو وهواوي وميكروسوفت .وهذه الشهادة تقيس مدى المعرفة والتنافسية في تركيب وتهيئة
وإصالح منتجات الشركة .فشركة سيسكو وشركة ميكروسوفت تعطي شهادات الختبار مدى المعرفة بمنتجاتها .أضغط على الرابط https://learningnetwork.cisco.com/community/certificationsالستعراض مصفوفة الشهادات الموجودة في الشكل •
شهادة مشارك في أمن الشبكات من سيسكو ( :)CCNA Securityوهذه الشهادة تختبر ما إذا كان متخصص األمن السيبراني
لديه
المعرفة
والمهارات
الالزمة
لتأمين
شبكات
سيسكو.
اضغط
على
الرابط
https://learningnetwork.cisco.com/community/certifications/security_ccnaلتتعلم أكثر عن شهادة .CCNA Security
24
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كيف تصبح خبير أمن السيبراني :لكي تصبح متخصصا ناجا في مجال األمن السيبراني ،يجب أن تهتم بالمتطلبات الفريدة.
فأبطال األمن السيبراني يجب أن تكون لديهم المقدرة على الرد على التهديدات عندما تحدث مباشرة .هذا يعني أن ساعات العمل من الممكن أن تكون غير مريحة .يقوم أبطال األمن السيبراني أيضا بتحليل السياسة األمنية واالتجاهات والخطط الذكية
لفهم كيف يفكر القراصنة .وفي معظم األحيان ،هذا يتطلب الكثير من عمل االستكشافات والتحريات .التوصيات التالية ستساعد في زيادة طموح متخصصي األمن السيبراني لتحقيق أهدافهم: •
الدراسة :تعلم األساسيات باستكمال دورات في مجال تقنية المعلومات .اجعل لنفسك خطة حياتية تعليمية .فمجال األمن
•
استكمال الشهادات :الشهادات الصناعية والتي ترعاها شركة معينة مثل ميكروسوفت وسيسكو تثبت أن الشخص يمتلك
السيبراني هو مجال متغير دائما ومتخصصي األمن السيبراني يجب أن يكون يقظين دائما وعلى دراية بآخر المستجدات.
المعرفة الالزمة عند بحثه عن وظيفة في مجال األمن السيبراني. •
البحث عن منح تدريبية :البحث عن منح تدريبية كطالب يمكن أن ينتج عنها فرص عمل تظهر في طريق التدريب.
•
التحق بالمنظمات االحترافية :التحق بمنظمات األمن السيبراني ،احضر االجتماعات والمؤتمرات ،وادخل لمنتدياتهم ومدوناتهم الكتساب الخبرات من الخبراء القدامى.
ملخص الفصل األول: قمنا في هذا الفصل بشرح الهيكل العام لعالم األمن السيبراني واألسباب التي تجعله في نمو متزايد باعتبار البيانات والمعلومات كعملة هامة .وفي هذا الفصل عرضنا أيضا لدور المجرمين السيبرانيين بدراسة المحفزات الرتكاب جرائم األمن السيبراني. وقدمنا النتشار التهديدات بسبب التوسعات والنقالت التقنية التي تحدث حول العالم.
25
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
أخيرا ،قدمنا في هذا الفصل للطرق التي تؤهلك لتكون متخصص أمن سيبراني أو ضابط أمن سيبراني لتساعد في ردع
المجرمين السيبرانيين الذين يقومون بالتهديدات السيبرانية .يجب أن تكون في الجانب الصحيح من القانون ،والخبراء في مجال
األمن السيبراني يجب أن تكون لديهم نفس المهارات التي يملكها القراصنة.
26
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الثاني مكعب األمن السيبراني يمكن وصف محترفي األمن السيبراني بأنهم الخبراء المخولون بحماية الفضاء السيبراني .يعتبر جون ماكومبر John McCumberواحد من أوائل المحترفين في مجال األمن السيبراني ،وقد ابتكر إطار عام يسمى مكعب ماكومبر .ويستخدم هذا ا لمكعب كأداة عند إدارة نظم الحماية للشبكات أو النطاقات أو اإلنترنت بشكل عام .ويشبه مكعب األمن السيبراني إلى حد ما مكعب روبيك. المكعب له ثالثة أبعاد ،البعد األول يحتوى على المبادئ الثالث الرئيسية ألمن المعلومات .ويشير خبراء األمن السيبراني إلى تلك المبادئ الثالث باسم مثلث الحماية األمنية أو " ."CIA Triadوالبعد الثاني يعرف الحاالت الثالث للبيانات أو المعلومات. ويقدم البعد الثالث الخبرات المطلوبة لتوفير الحماية وتلك الخبرات يتم اإلشارة إليها بالثالث فئات من حماة األمن السيبراني. يقدم هذا الفصل أيضا معيار ISOكنموذج أمن سيبراني .وهذا النموذج يمثل إطار دولي كمعيار إلدارة نظم المعلومات.
2.1األبعاد الثالث لمكعب األمن السيبراني البعد األول – مبادئ أمن المعلوماتِ : يعرف البعد األول لمكعب األمن السيبراني األهداف لحماية الفضاء السيبراني .واألهداف التي يقدمها البعد األول هي مبادئ وأهداف أساسية .وهذه المبادئ الثالث الرئيسية هي السرية Confidentiality والتماسك Integrityوالتوافر .Availabilityوهذه المبادئ تزيد من وعي متخصصي األمن االسيبراني وتمكنهم من ترتيب ردود الفعل عند حماية أي نظام شبكي .وتعود السرية إلى منع اإلفصاح عن المعلومات إال لشخص لدية صالحية ،ممكن أن يكون صاحب الصالحية شخصا أو برنامجا أو موردا من الموارد .والتماسك يشير إلى الدقة والتناسق ودرجة الثقة بالبيانات. 27
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وأخي ار التوافر يؤكد على توفير صالحية االستخدام للمستخدمين عند الحاجة .يمكنك استخدام الحروف األوائل من كل اسم وهي "سر تم تو" لتتذكر دائما تلك المبادئ. البعد الثاني – حالة البيانات :الفضاء السيبراني يحتوى على كمية ال بأس بها من البيانات الهامة والحيوية ،لذلك ،فخبراء األمن السيبراني يركزون على حماية البيانات .البعد الثاني من أبعاد مكعب األمن السيبراني يركز على المشاكل الخاصة بحماية البيانات في حاالتها الثالث •
البيانات المتنقلة Transmission
•
البيانات الثابتة أو المخزنة Storage
•
البيانات أثناء المعالجة Processing
وحماية الفضاء السيبراني يتطلب محترفي أمن سيبراني يمكن االعتماد عليهم في حراسة البيانات في حاالتها الثالث. البعد الثالث – حراسة األمن السيبراني :البعد الثالث من أبعاد مكعب األمن السيبراني يعرف المهارات والضوابط والتي يمكن ألي متخصص أمن سيبراني أن يستخدمها في حماية الفضاء السيبراني .ويجب أن يستخدم محترفي األمن السيبراني العديد من الضوابط واإلرشادات ال متاحة لهم عند حماية البيانات في الفضاء السيبراني .ويجب أن يقوموا بذلك مع احتفاظهم في مكانهم على الجانب الصحيح من القانون (عدم تخطي القانون). ومكعب األمن السيبراني يعرف أنواع المهارات والضوابط التي توفر الحماية .أولى هذه المهارات يشمل استخدام التكنولوجيا، واألجهزة ،والمنتجات المتاحة لحماية نظم المعلومات وردع مجرمي الفضاء السيبراني .يشتهر محترفي األمن السيبراني بأنهم محترفي استخدام التكنولوجيا واألدوات الحديثة والمتوفرة تحت تصرفهم .وعلى الرغم من ذلك ،يذكرهم ماكومبر بأن األدوات الحديثة وحدها ليست كافية لردع مجرمي الفضاء السيبراني .إذ يجب أن يقوم محترفي األمن السيبراني ببناء دفاع قوي بوضع سياسات و إجراءات وإرشادات والتي تمكن المستخدمين في الفضاء السيبراني من البقاء بأمان .وأخيرا ،يجب أن يسعى المستخدمين في الفضاء السيبراني ليكونوا أكثر معرفة ودراية بالتهديدات في الفضاء السيبراني بإنشاء ثقافة التعلم والتوعية.
2.2البعد األول -مثلث الحماية األمنية ()CIA Triad 2.2.1السرية السرية تعني منع اإلفصاح عن المعلومات إال لألشخاص أو الموارد أو البرامج ذات الصالحية .يمكن تعريف السرية أيضا بأنها تحجيم الوصول للموارد لتكون مقصورة فقط على المشغلين ذوي الصالحيات حيث يستطيعون استخدام البيانات أو أي مورد آخر من موارد الشبكة .على سبيل المثال ،يجب أن ال تكون لدى المبرمج صالحية الوصول لجميع المعلومات الشخصية للموظفين داخل الشركة .ويجب أن تقوم الشركة بتدريب الموظفين وتعريفهم بأفضل الممارسات لحراسة المعلومات الحساسة وحماية أنفسهم وشركتهم من الهجمات .والطرق المستخدمة لتأكيد السرية هي تشفير البيانات والمصادقة authenticationو التحكم في الوصول access control 28
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حماية السرية :تحمل المؤسسات كمية ضخمة من المعلومات والبيانات .معظم هذه البيانات ليست حساسة وتتم مشاركتها على المأل ،مثل األسماء وأرقام التليفونات .باإلضافة إلى البيانات المتوفرة للجميع ،توجد أيضا بيانات حساسة .البيانات الحساسة يجب حمايتها من الوصول الغير مصرح به لتأمين األفراد وتأمين الشركة بشكل عام .يمكن تقسيم البيانات الحساسة إلى ثالثة أنواع •
المعلومات الشخصية والتي تسمى "معلومات التعرف الشخصية" أو Personally Identifiable Information PIIهي بيانات تخص األفراد .مثل oرقم الحماية االجتماعية social security number o
السجالت الطبية (التاريخ المرضي)
oأرقام بطاقات االئتمان oالسجالت المالية (الرواتب والحوافز والمكافئات والخصومات). •
معلومات األعمال وهي المعلومات التي تشمل أي بيان يشكل خط ار على المؤسسة إذا ما تم توفيره للعامة أو للشركات المنافسة .من األمثلة على ذلك oاألسرار التجارية
oخطط االستحواذ على السوق oالبيانات المالية
oمعلومات العمالء •
المعلومات المصنفة وهي المعلومات التي تخص هيكل حكومي ويتم تصنيف تلك المعلومات إلى عدة مستويات من الحساسية وهذه المستويات هي oسري للغاية oسري
oخاص confidential oمقيد السرية -التحكم في الوصول :يعرف التحكم في الوصول على أنه عدد من مخططات الحماية والتي تمنع الوصول الغير مصرح به إلى جهاز الحاسب أو شبكة الحاسب أو قاعدة البيانات أو أي مورد آخر .ويرجع مبدأ ( AAAسنقوم بتسميته مبدأ "المنح" و "المتابعة" وتلك الخدمات تقدم اإلطار العام للتحكم في "م م م" ) إلى ثالث خدمات أمنية رئيسية وهي "المصادقة" و ْ الوصول. الميم األولى في مبدأ "م م م" تعود إلى كلمة المصادقة .والمصادقة تعني التحقق من هوية المستخدم لمنع الوصول الغير مصرح به .يمكن للمستخدم أن يثبت هويته باستخدام "اسم مستخدم" أو رقم هوية .باإلضافة إلى أن المستخدم يمكنه استخدام طرق أخرى إلثبات شخصيته أو إثبات هويته هذه الطرق (الموجودة في الشكل) هي 29
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
استخدام شيئا يعرفه (مثل كلمة المرور)
•
استخدام شيئا يملكه (مثل المفتاح أو البطاقة)
•
استخدام شيئا بجسده ( مثل بصمة األصابع)
إعداد :أسامة حسام الدين
فعلى سبيل المثال ،إذا ذهبت إلى ماكينة صرف األموال ،يجب أن يكون لديك بطاقة البنك (شيئا تملكه) وأيضا يجب أن تحفظ رقم الم رور (شيئا تعرفه) .ويعرف هذا أيضا بـ "المصادقة بأكثر من عامل" .والمصادقة بأكثر من عامل تتطلب أكثر من طريقة مثل استخدام كلمة السر مع رقم سري للجوال ،وأيضا استخدام رقم سري مع بطاقة وهكذا ....أكثر أنواع المصادقة شهرة هي المصادقة باستخدام كلمات السر.
الميم الثانية في مبدأ "م م م" تعود إلى كلمة المنح ،ويسمى أيضا التفويض ، authorizationوهدفها هو منح أو إعطاء المستخدم صالحيات الدخول على الموارد ،فهي تعرف الموارد التي يستطيع المستخدم الوصول إليها ونوع ذلك الوصول (قراءة، كتابة ،حذف )... ،باإلضافة إلى العمليات التي يستطيع المستخدم القيام بها .وتقوم معظم البرمجيات بإعطاء الصالحيات باستخدام "قائمة التحكم في الوصول" Access Control List ACLكما هو مبين في الشكل .وقائمة التحكم في الوصول ACLتحدد ما إذا كان المستخدم لديه صالحيات أو امتيازات وذلك التحديد يتم مباشرة بعد عملية المصادقة .مثال تعطي القائمة صالحية مثل "ليس معنى انك تستطيع الدخول إلى شبكة الحاسب بالشركة أنه يمكنك استخدام طابعة األلوان عالية السرعة" .يمكن أيضا أن يكون المنح زمانيا ،بمعنى أنه يمكن التحكم في منح الصالحية فقط في أوقات العمل الرسمية .مثال يستطيع الموظفون الوصول إلى قاعدة بيانات المبيعات في الشركة فقط أثناء ساعات العمل الرسمية ويقوم النظام بعمل إقفال (تعطيل الصالحيات) بعد ساعات العمل الرسمية.
30
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الميم الثالثة في مبدأ "م م م " تعود إلى كلمة المتابعة ،Accountingوهي تعني متابعة ما يفعله المستخدمون ،ويشمل ذلك ما يمكن للمستخدمين الوصول إليه ،والوقت الذي استغرقه المستخدم في استخدام مورد ما ،وأي تعديالت أو تغيرات تتم على النظام ومن قام بها .على سبيل المثال ،يقوم البنك بتقصي أثر العمليات التي يقوم بها العميل .ونظام المتابعة يقوم بالكشف عن الوقت وقيمة كل عملية تتم (سحب ،إيداع ،تحويل ....الخ) وهل قام بها موظف البنك أم العميل نفسه .وخدمات المتابعة في األمن السيبراني تعمل بنفس الطريقة .حيث يقوم النظام بتتبع كل العمليات على البيانات ويعطي نتائج المتابعة .يمكن لمدير النظام أن يقوم بإنشاء مجموعة من السياسات التي تمكن النظام من عملية المتابعة (كما هو مبين بالشكل)
مبدأ "م م م" يشبه استخدام البطاقة االئتمانية ،كما نرى في الشكل التالي .حيث تتم "المصادقة" التي تعرف صاحب البطاقة واسمه ورقم البطاقة باستخدام البيانات الموجودة على البطاقة نفسها .ويتم "المنح" باستخدام الرصيد المسجل فلو الرصيد المسجل لتلك البطاقة هو 10آلف دوالر فيتم منح صالحية سحب األموال حتى نفاذ الرصيد بعدها تسحب صالحية السحب. أما عملية "المتابعة" يمكن تعريفها بأنها كشف الحساب الذي يسجل عمليات السحب والشراء على اإلنترنت ووقت وقيمة كل عملية.
31
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يوجد أيضا عمليات للمتابعة واإلشراف في الوقت الفعلي (البث المباشر) .المواقع مثل موقع Norseتقوم بعرض الهجمات بالبث المباشر بناء على بيانات مجمعة كجزء من نظام متابعة أو إشراف .انقر على الرابط التالي لزيارة موقع نورس والذي يعرض نظام تتبع بالبث الحي /http://map.norsecorp.com السرية -القوانين والمسئوليات :Policiesيمكن استخدام كلمتي السرية والخصوصية بشكل مترادف ،ولكن من الناحية القانونية هما شيئين مختلفين .فمعظم بيانات الخصوصية هي سرية ،ولكن ليس كل البيانات السرية خاصة .والوصول للمعلومات السرية يحدث فقط بعد التأكيد على عملية مصادقة ناجحة .المؤسسات المالية والمستشفيات والهيئات الطبية والمؤسسات القانونية وقطاع األعمال لديهم معلومات سرية .والمعلومات السرية ليست متاحة للجميع .وإدارة سرية المعلومات له جانب أخالقي. أما الخصوصية فتعني االستخدام األمثل للبيانات .عندما تجمع المؤسسات معلومات المستخدمين والعمالء والموظفين ،يجب أن تقوم تلك المؤسسات باستخدام البيانات في الغرض المخصصة له فقط .بعض المؤسسات يطلبون من العمالء والموظفين توقيع تصريح استخدام للبيانات قبل أن تقوم الشركة باستخدام تلك البيانات في غرض غير متفق عليه. قائمة القوانين التالية تعطي بديهيات للتعامل مع بيانات الخصوصية والتي تحتوي على قوانين الخصوصية المستخدمة داخل الواليات المتحدة.
32
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
قانون الخصوصية لعام 1974
•
قانون تعليم األسرة وقانون الخصوصية (فيربا)
•
قانون مكافحة االحتيال والتعدي على الكمبيوتر في الواليات المتحدة (كفا)
•
قانون حماية خصوصية األطفال في الواليات المتحدة (كوبا)
•
القواعد واألنظمة المصرفية األمريكية
•
قانون التقارير االئتمانية العادلة (فكرا)
والقائمة التالية تعطي نبذه عن الجهود الدولية والقوانين الدولية الخاصة بحماية الخصوصية .ومعظم القوانين ظهرت بسبب النمو الهائل للبيانات التي يتم جمعها من اإلنترنت. •
قانون حماية المعلومات الشخصية والوثائق اإللكترونية (كندا)
•
قانون حماية الكمبيوتر في معالجة المعلومات الشخصية (الصين)
•
قانون حماية المعلومات الشخصية (اليابان)
•
اتفاقية حماية األفراد فيما يتعلق بالمعالجة اآللية للبيانات الشخصية (روسيا)
•
المادة 8االتفاقية األوروبية لحقوق اإلنسان (المملكة المتحدة)
2.2.2التماسك التماسك يعرف بأنه الدقة أو التناسق أو الثقة في البيانات خالل دورة حياتها الكاملة .يمكن أيضا تعريف التماسك بأنه الجودة. يتم تنفيذ عد د من العمليات على البيانات مثل تجميع البيانات وتخزينها و استرجاعها و تعديلها و نقلها من مكان إلى مكان. يجب أن تحفظ البيانات بال تغيير أثناء كل هذه المراحل حتى لو حاولت الوحدات (أشخاص أو برامج) التي ليس لديها صالحية ،الوصول لتلك البيانات .الطرق المختلفة للتأكيد على وجود التماسك تشمل الهاش ،Hashingنظم التحقق من صحة البيانات ،نظم التحقق من تناسق البيانات ،ونظم التحكم في الوصول .ونظم التماسك للبيانات يمكن أن تحتوي على واحدة أو أكثر من طرق التأكيد على وجود التماسك. الحاجة لتماسك البيانات :تماسك البيانات هو مكون أساسي في نظم أمن المعلومات .وتختلف الحاجة لتماسك البيانات باختالف طريقة استخدام المؤسسة للبيانات .فعلى سبيل المثال ،ال يقوم فيسبوك بالتحقق من صحة البيانات التي يضعها المستخدم في مشاركاته .المؤسسات البنكية والمالية تعطي أهمية لتماسك البيانات أكثر مما تعطيه فيسبوك لعمالئها .المعامالت وحسابات العميل يجب أن تظل صحيحة .وفي المؤسسات الصحية يمكن أن يكون تماسك البيانات مسألة حياة أو موت. فالوصفات الطبية (الروشتة) يجب أن تحفظ وال يتم العبث بها.
33
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حماية تماسك البيانات هو تحد دائم لدى معظم المؤسسات .ففقدان تماسك البيانات يمكن أن يحول البيانات بالكامل لبيانات غير معتمد عليها أو بيانات ليس لها فائدة. يمكن تقسيم البيانات لمستويات مختلفة كما نرى في الشكل ،تكون مستويات أهمية البيانات على النحو التالي •
المستوى الحرج :مثل البيانات الطبية وخدمات الطوارئ والسجالت المالية ،ويتم فيها التحقق من صحة البيانات بشكل دائم ،ويمكن التأكيد على صحتها أيضا إلعطاء درجة للثقة في تلك البيانات.
•
المستوى المرتفع :مثل بيانات التجارة اإللكترونية والتحليالت ،ويتم أيضا التحقق من صحة جميع البيانات .ومثال لذلك النوع من البيانات قواعد البيانات داخل المؤسسة.
•
المستوى المتوسط :مثل المبيعات على الشبكة ومحركات البحث ،ويتم فيها تحقق بسيط ،وال يتم التأكيد على درجة الثقة في البيانات .ويتم جمع البيانات من خالل المشاركات المتاحة للجميع.
•
المستوى المنخفض :مثل المدونات ومواقع النشر والمشاركات الشخصية ،وال يتم االهتمام بالتحقق من صحة البيانات أو درجة الثقة بها ومثال لذلك أيضا االقتراحات العامة والمشاركات المتاحة للجميع.
فحص التماسك :Integrity checkفحص التماسك هو طريقة لقياس تناسق مجموعة البيانات (ملف ،صورة ،سجل) .ويتم فحص التماسك بعملية تسمى دوال الهاش وهذه الدوال تأخذ لقطة لشكل البيانات على فترات زمنية .ويتم فحص التماسك باستخدام تلك اللقطات للتأكيد أن هذه اللقطات متشابهة وأن البيانات لم يتم العبث بها .التدقيق بالمجموع ( )checksumهو أحد األمثلة على دوال الهاش .تقوم دالة التدقيق المجموع بفحص التماسك للملفات أو نص من عدة أحرف ،قبل وبعد أن يتم نقل هذه البيانات من جهاز إلى آخر عبر الشبكة المحلية أو اإلنترنت .عند الجهاز المرسل ،تقوم دالة التجميع ببساطة بتحويل كل قطعة من المعلومة إلى قيمة ثم جمع قيم كل القطع للحصول على القيمة اإلجمالية .والختبار تماسك البيانات ،يقوم الجهاز المستقبل بتكرار تلك العملية ويقارن القيمة اإلجمالية للبيانات بعد النقل بالقيمة اإلجمالية للبيانات قبل النقل ،فإن تساوت فمعنى ذلك أن البيانات لم يتم العبث بها بالطريق .وإن لم تتساوى فهذا يعني أن تغيي ار للبيانات قد حدث في مكان ما على خط النقل(أنظر الشكل).
34
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
من دوال الهاش المشهورة .MD5, SHA-1, SHA-256, Sha-512وهذه الدوال تستخدم خوارزميات رياضية معقدة. وقيمة الهاش مفيدة فقط في المقارنة .فعلى سبيل المثال ،بعد تحميل ملف من اإلنترنت ،يمكن للمستخدم فحص تماسك الملف بمقارنه قيم الهاش من مصدر الملف مع قيم الهاش المحسوبة باستخدام أي برنامج لحساب الهاش. تقوم المؤسسات بعمل ما يسمى بـ "التحكم باإلصدارات" لمنع أي تعديالت غير مقصودة من المستخدمين أصحاب الصالحيات .فال يمكن الثنان من المستخدمين أن يقوموا بتعديل نفس الكائن في نفس الوقت .الكائنات يمكن أن تكون ملفات أو قواعد بيانات أو سجالت أو معامالت .كمثال ،إذا قام المستخدم األول بفتح مستند والذي لديه صالحية عليه بالتعديل ،يتم إعطاء المستخدم الثاني إصدار من الصالحية يسمى "للقراءة فقط". النسخ االحتياطية السليمة تساعد في المحافظة على تماسك البيانات في حالة حدوث عطب بها .ويجب على الشركات فحص نظام النسخ االحتياطي الخاص بها للتأكد من تماسك عملية النسخ االحتياطي قبل أن يتم فقدان البيانات لألبد .وعملية المنح (التفويض) تحدد من له صالحية الوصول لمصادر الشركة بناء على مبدأ "ما يحتاج معرفته فقط" .كمثال ،تصاريح الملف و نظم التحكم في الوصول للمستخدم يتأكدان من أن هناك مجموعة معينة من المستخدمين هم فقط من يستطيعون تعديل البيانات .يمكن لمدير النظام أن يعطي تصاريح الملفات للقراءة فقط .ولذلك فإن المستخدم الذي يستطيع الوصول إلى هذا الملف لن يقوم بالتعديل عليه أو تغييره.
2.2.3التوافر توافر البيانات هو المفهوم المستخدم ليصف الحاجة لالحتفاظ بتوافر نظم المعلومات والخدمات في جميع األوقات .الهجمات السيبرانية وفشل النظام يستطيعان منع الوصول لنظام المعلومات وبالتالي عدم االستفادة من خدماته .كمثال ،إن قرصنة موقع 35
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
إلكتروني لشركة منافسة بالهجوم عليه وتعطيل خدماته يعطي فرصة للشركات األخرى ألخذ األسبقية .فهمجة قطع الخدمة ( ) DoSتهدد توافر النظام وتمنع المستخدمين األبرياء من الوصول لنظام المعلومات واالستفادة من خدماته عند الحاجة. الطرق المستخدمة لعمل توافر دائم تشمل ،النظم المكررة ،نظم النسخ االحتياطي ،زيادة مرونة النظام ،صيانة المعدات، استخدام آخر إصدارات لنظم التشغيل والبرامج المثبتة ،والخطط الجاهزة الستعادة النظام في حالة وجود كوارث غير متوقعة. مبدأ التسعات الخمس :يستخدم الناس نظم معلومات متنوعة في حياتهم اليومية .تتحكم الحواسيب ونظم المعلومات في االتصاالت وفي النقل وفي تصنيع المنتجات .التوافر الدائم لنظم المعلومات هو مطلب حيوي لحياتنا الحديثة .ومصطلح التوافر العالي أو اإلتاحة العالية يعني النظم المصممة لتجنب تعطل النظم .وتؤكد اإلتاحة العالية على وجود مستوى أداء مرتفع ودائم لفترات أطول من المتوقع .تحتوي نظم اإلتاحة العالية على ثالثة تصميمات رئيسية هي •
إزالة نقطة متعطلة :يمكن حصر كل األجهزة التي قد تتسبب في تعطل النظام بالكامل إذا توقفت .ومن الطرق للتأكد على إزالة النقاط المتعطلة ،وجود أجهزة احتياطية جاهزة للعمل ،مكونات إضافية ،وتوفير العديد من التوصيالت والممرات التي تصل األجهزة ببعضها بحيث لو تعطلت توصيلة يتم استخدام توصيلة أخرى.
•
وضع سياسة قوية لتجاوز األعطال :بتوفير مولدات كهرباء إضافية ،وعمل نظم كهرباء احتياطية ونظم اتصاالت احتياطية.
•
اكتشاف التعطل عندما يحدث مباشرة :المراقبة اليقظة لألجهزة والنظم الحيوية تمكن من اكتشاف المشاكل واكتشاف األعطال .ومراقبة النظام من الممكن أن يفيد في استرجاع النظام من النسخ االحتياطية قبل فشل النظام بالكامل.
والهدف الرئيسي هو أن يظل النظام يعمل حتى في الظروف الصعبة مثال عند وجود محاولة للهجوم أو القرصنة .ومن أشهر التوصيا ت الخاصة بالتوافر مبدأ التسعات الخمس إشارة إلى الخمس تسعات الموجودة في الرقم الذي يعبر عن نسبة التوافر التي يطمح إليها الجميع وهي .%99.999هذا يعني أن مدة تعطل النظام تكون أقل من 5.26دقيقة في كامل السنة. ويوضح شكل 1ثالثة مقترحات للوصول للتسعات الخمس .المقترحات هي •
توحيد النظم :وتوحيد النظم يوفر أمكانية استخدام نفس المكون في أكثر من مكان .مثال قطع الغيار يمكن بسهولة التعامل معها وتغييرها أثناء حالة الطوارئ في حالة لو كانت قطع الغيار تتبع نفس المعايير أثناء التصنيع.
•
مشاركة المعلومات مع نظم النسخ االحتياطي :وهذا يؤكد على ضرورة أنه عند فشل النظام ،فإنه سيعمل بالكامل كما كان سابقا باستخدام النسخ االحتياطية.
•
العنقدة :clusteringوهي تعني تكاتف مجموعة من األجهزة لتقديم خدمة ما .وتظهر للمستخدم كما لو كانت جها از واحدا وليس مجموعة من األجهزة المتعاونة .فلو تعطل جهاز ،تقوم األجهزة األخرى بتعويض غيابه والعمل عوضا عنه.
36
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التأكيد على وجود التوافر :تستخدم المؤسسات عدة طرق للتحقق من وجود التوافر ومن هذه الطرق •
صيانة المعدات :يمكن للصيانة الدورية للمعدات أن يكون لها بالغ األثر في إتاحة النظام .وصيانة المعدات تشمل تغيير المكونات ،والتنظيف والتركيب.
•
ترقية األجهزة ونظم التشغيل :نظم التشغيل الحديثة ،والتطبيقات والبرامج يتم ترقيتها بشكل دائم إلزالة األخطاء وغلق الثغرات .وكل النظم ،والتطبيقات والبرامج يجب أن يتم ترقيتها بشكل دوري .يجب أن يشترك ضباط األمن السيبراني في التنبيهات التي تعلن عن توفر نسخ جديدة أو ترقيات جديدة.
•
اختبار النسخ االحتياطي :النسخ االحتياطي لبيانات الشركة وبيانات التصنيع والبيانات الشخصية من شأنه التأكيد على توافر النظام .ويجب أن يتم اختبار نظم النسخ االحتياطي للتأكد من أنها تعمل بشكل مناسب وأن البيانات يمكن استرجاعها في حالة فقدانها أو تخريبها.
•
التخطيط للكوارث :التخطيط للكوارث هو جزء حيوي من شأنه زيادة التوافر .يجب أن يعرف الموظفون والعمالء كيف يمكنهم االستجابة في حالة الكوارث .ويجب أن يتمرن فريق األمن السيبراني على كيفية عمل رد فعل مناسب ،ويجب أن يختبروا عملية النسخ االحتياطي ويكونوا على دراية باإلجراءات الستعادة األجزاء الحيوية من النظام.
•
استخدام التقنيات الحديثة :التوافر العالي يتطلب التقييم واالختبار الدائم للتقنيات الحديثة وذلك لتفادي التهديدات والهجمات الجديدة .والمجرمون السيبرانيون يستخدمون أحدث األدوات والخدع .لذا يجب أن يستخدم ضباط األمن السيبراني التقنيات والمنتجات واألجهزة الحديثة.
•
مراقبة األنشطة الغريبة :المراقبة المستمرة للنظام تزيد من توافر النظام .متابعة سجل األحداث ،وتنبيهات النظام و سجالت الوصول للموارد تعطي لضابط األمن السيبراني معلومات على مدار الساعة .هذه المعلومات يمكنها أن تحدد الهجمات ومصدرها بعد حدوثها وتمكن ضابط األمن السيبراني من ردع الهجمات أثناء حدوثها.
37
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
اختبار النظم :يجب أن يتم اختبار النظم والتأكد من عدم وجود ثغرات .من نظم االختبار ،مسح المنافذ ،مسح الثغرات، واختبار االختراق.
2.3حاالت البيانات 2.3.1البيانات الثابتة البيانات المخزنة تسمى البيانات الثابتة .والبيانات الثابتة تعني أن جهاز التخزين يحتفظ بالبيانات بال تغيير عندما ال يوجد مستخدم أو برنامج يستعمل تلك البيانات .يمكن أن يكون جهاز التخزين محليا (على جهاز حاسوب) أو مركزيا ( على الشبكة) .وتوجد العديد من الخيارات للتخزين منها •
تخزين موصل مباشرة أو وحدات التخزين المباشر :وهو وحدة تخزين موصلة بالحاسب ومرفقة به بشكل مباشر .فالقرص الصلب أو ذاكرة الفالش هي أمثلة على وحدات تخزين موصل مباشرة .وافتراضيا ،تكون النظم غير معدة لمشاركة البيانات على الوحدات الموصلة مباشرة.
•
مجموعة متكررة من األقراص المستقلة ( :)RAIDحيث تستخدم مجموعة من األقراص الصلبة في شكل مصفوفة ،ويتم الترابط بين تلك األقراص حتى يراها نظام التشغيل كقرص صلب واحد .و RAIDتوفر أداء افضل بتقنية "تحمل الخلل" وهي تقنيه تتيح للنظام االستمرار في العمل على الرغم من وجود أجزاء عاطلة به.
•
تخزين موصل بالشبكة Network Attached Storage NAS :وهو وحدة تخزين موصلة بالشبكة والتي تتيح للمستخدمين ذوي الصالحيات تخزين واسترجاع البيانات من موقع مركزي في الشبكة .والتخزين الموصل بالشبكة مرن ولديه قدرة على التوسع ،بمعنى أنه يمكن لمدراء النظام زيادة سعة التخزين على حسب رغبتهم.
•
شبكة التخزين المحلية Storage Area Network SAN :هو هيكل شبكي معد لتخزين البيانات .ونظم التخزين المحلية توصل بالشبكة عن طريق موائمات سريعة للغاية والتي توفر أداء محسن كما توفر القدرة على توصيل العديد من الخوادم بمستودع مركزي ألقراص تخزينية.
•
خدمة التخزين السحابية :وهي وحدات تخزين بعيدة تتيح للمستخدم حجز مساحة تخزينية على شبكة اإلنترنت من مركز بيانات ،يمكن الوصول إلى تلك المساحة التخزينية من أي مكان في العالم عن طريق االتصال باإلنترنت .جوجل درايف Google Driveو iCloudو دروب بوكس Dropboxكلها أمثلة على موفري خدمة التخزين السحابية.
التحديات لحماية البيانات الثابتة :الشركات والمؤسسات لديها تحد كبير لحماية البيانات الثابتة .ولتحسين تخزين البيانات يمكن للشركات أن تقوم بميكنة ومركزية النسخ االحتياطية للبيانات .والوحدات التخزينية الموصلة مباشرة هي من أكثر الوحدات تعقيدا في عمليات اإلدارة والتحكم مقارنة بالوحدات التخزينية األخرى .إذ تكون الوحدات التخزينية المباشرة عرضة للهجمات الخبيثة على جهاز الحاسوب المحلي .أحيانا تحتوي البيانات المخزنة على نسخ احتياطية مخزنة .بالتحديد ،ال تقوم معظم الشركات بتخزين البيانات الحساسة على وحدات التخزين المباشر. 38
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تعتبر نظم التخزين الشبكي اختيا ار أكثر أمانا .وتوفر نظم التخزين الشبكي مثل RAID, NAS, SANأداء محسنا وتك ار ار أعظم للبيانات .وعلى الرغم من ذلك فإن تهيئة وإدارة نظم التخزين الشبكي هي مهمة معقدة وصعبة للغاية .وتعالج نظم التخزين الشبكي كمية أكثر من البيانات مما يعرض الشركة للخطر في حالة توقف أي من األجهزة .والتحديات الخاصة لنظم التخزين الشبكي هي ،التهيئة واالختبار و مراقبة النظام. 2.3.2البيانات المتنقلة طرق نقل البيانات :نقل البيانات يعني إرسال المعلومات من جهاز إلى جهاز آخر .وهناك العديد من طرق نقل المعلومات بين األجهزة منها •
الشبكة الرياضية – وهي تعني استخدام وحدات التخزين في نقل البيانات فيزيائيا من كمبيوتر إلى آخر ،مثل رياضة كرة القدم عندما تنتقل الكرة من العب إلى آخر.
•
الشبكة السلكية –Wired Networkوتستخدم كابالت في نقل البيانات
•
الشبكة الالسلكية –Wireless Networkوتستخدم موجات الراديو في نقل البيانات.
والمؤسسات والشركات لن تستطيع االستغناء عن النقل باستخدام الشبكة الرياضية .وتشمل نظم النقل في الشبكات السلكية استخدام األسالك النحاسية وكابالت األلياف الضوئية .وتغطي الشبكة السلكية منطقة جغرافية محلية ( Local Area )Networkويمكن أيضا أن تتوسع لمساحات كبيرة ( .)Wide Area Networkيتم استبدال الشبكات السلكية بالشبكات الالسلكية .إذ أصبحت الشبكات الالسلكية أكثر سرعة وأكثر معالجة للنقل وتوفر نطاق ترددي عال .وتقوم الشبكات الالسلكية أيضا بتوسعة عدد المستخدمين الزوار بأجهزتهم المتنقلة في الشبكات المنزلية المكتبية الصغيرة ( )SOHOوشبكات الشركة. والشبكات السلكية والالسلكية يستخدمان وحدات لنقل البيانات التي تسمى الحزم .والحزم وحدة البيانات التي تستطيع أن تسافر من المصدر إلى الوجهة عبر شبكة الحاسب .ويتم تعريف شكل وتركيب الحزم عن طريقة بروتوكوالت الشبكة مثل بروتوكول اإلنترنت ( )IPوبروتوكول نقل النص التشعبي ( .)HTTPوهذه المعايير والبروتوكوالت مفتوحة المصدر بمعنى أن شيفرتها متاحة للجميع .وحماية السرية والتماسك والتوافر للبيانات المتنقلة هو واحد من أهم المسئوليات ألي ضابط أمن سيبراني. التحديات لحماية البيانات المتنقلة :من أصعب التحديات الوظيفية التي تواجه محترفي األمن السيبراني هو حماية البيانات المتنقلة .ومع نمو استخدام األ جهزة المتنقلة والالسلكية ،تظهر لدى مهنيو األمن السيبراني صعوبة حماية الكميات الضخمة من البيانات التي تمر عبر الشبكة بصفة يومية .ويجب أن يتعامل ضابط األمن السيبراني مع التحديات التالية لحماية تلك البيانات •
حماية سرية البيانات – مجرمي األمن السيبراني يقومون بالتقاط وحفظ وسرقة البيانات المتنقلة .وعلى ضباط األمن السيبراني أن يتخذوا خطوات يقظة لتنجب تلك األفعال اإلجرامية.
39
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
حماية تماسك البيانات – يقوم المجرمون السيبرانيون بالتعرض للبيانات وتغييرها أثناء النقل .وعلى مهنيو األمن السيبراني أن يستخدموا نظم التحقق من التماسك والتي تختبر تماسك وصحة وموثوقية البيانات المتنقلة وذلك لتجنب تعديل البيانات أثناء النقل.
•
حماية توافر البيانات – يستخدم القراصنة أجهزة مخادعة أو أجهزة مستولى عليها إليقاف الخدمات وتحقيق عدم التوافر. يمكن توفير جهاز السلكي بسيط ليبدو كأنه نقطة وصول ال سلكية محلية ،ويستخدم في خداع المستخدمين األبرياء فيستخدمونه في تصفح اإلنترنت أو الوصول للشبكة .ويستطيع المجرم السيبراني االستيالء على وصلة (سلكية أو ال سلكية) لكي تربطه بجهاز أو خدمة في الشركة .ويستطيع محترفي األمن السيبراني مكافحة ذلك النوع من الهجوم با ستخدام طريقة التوثيق المتبادل .والتوثيق المتبادل يجبر المستخدم على المصادقة مع الخادم ،ويجبر الخادم المصادقة مع المستخدم.
2.3.3البيانات أثناء المعالجة الحالة الثالثة للبيانات هي حالة البيانات أثناء معالجتها .وتمر البيانات بثالث مراحل أثناء المعالجة .المرحلة األولى هي مرحلة إدخال البيانات ،المرحلة الثانية هي مرحلة عمل حسابات رياضية أو منطقية على البيانات أو التعديل عليها ،والمرحلة الثالثة هي مرحلة إخراج البيانات وعرضها. •
المرحلة األولى ،البيانات أثناء إدخالها – تبدأ عملية الحفاظ على التماسك بمرحلة إدخال البيانات .تستخدم الشركات طرق كثيرة ومتنوعة لجمع البيانات مثل إدخال البيانات يدويا ،أو مسح النماذج أو تحميل الملفات ،أو جمع البيانات من الحساسات .كل طريقة من هذه الطرق تعطي تهديد محتمل لتماسك البيانات .كمثال على تخريب البيانات أثناء عملية اإلدخال يمكن للمدخالت أن يتم إدخالها بشكل خاطئ أو يتم قطع عملية اإلدخال فتدخل بيانات ناقصة أو تحدث أعطال في الحساسات .ومثال آخر ،يمكن للمدخالت أال تنطبق على النمط المراد إدخاله ،مثال إدخال نص في حالة توقع إدخال رقم.
•
المرحلة الثانية ،تعديل البيانات ومعالجتها – وتشير تلك المرحلة إلى مرحلة تغيير البيانات األصلية كأن يقوم المستخدمون بتعديل البيانات يدويا .كما يمكن أيضا استخدام البرامج والعمليات واألجهزة في تعديل البيانات .عمليات مثل التشفير/فك التشفير والضغط /فك الضغط والترميز /وفك الترميز جميعها أمثلة على تعديل البيانات .والترميز يعني تحويل البيانات من صورة إلى صورة كتحويل النص إلى رقم أو تحويل البيانات المراد نقلها من بيانات رقمية إلى موجات السلكية وهكذا. والبرمجيات الخبيثة يمكن أيضا أن تخرب البيانات.
•
المرحلة الثالثة ،إخراج البيانات وعرضها – يحدث العطب للبيانات أيضا أثناء عمليات إخراج البيانات .وإخراج البيانات يعني إخراج البيانات على الطابعة أو العوارض اإللكترونية (الشاشات مثال) أو إخراجها مباشرة لجهاز آخر .ودقة البيانات المخرجة هام جدا ألن البيانات المعروضة والمخرجة تعطي معلومات وتؤثر في اتخاذ القرار .وأمثلة على تخريب البيانات
40
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المخرجة تشمل االستخدام السيئ لمحاذات البيانات ،أو خطأ في تهيئة االتصاالت ،أو التهيئة الغير مناسبة للطابعات. ومحاذات البيانات تهتم ببدايات ونهايات وحدات البيانات أثناء إخراجها. التحديات لحماية البيانات أثناء المعالجة :الحماية ضد التعديالت الغير صحيحة للبيانات أثناء المعالجة من الممكن أن يكون له تأثي ار سلبيا .فعلى سبيل المثال ،قبل عيد الكريسماس بأسبوعين فقط ،حدث لشركة تجزئة مشتركة مع أمازون مشكلة كبيرة. الحظت الشركة أن سعر المنتج الذي أعلنته على أمازون قد تعدل إلى 1سنت فقط .واستمر هذا التغيير لمدة ساعة .وقد تسبب هذا الخطأ في حصول آالف العمالء على صفقة حياتهم التي لن تتكرر مرة أخري ،وتسبب الخطأ في خسارة الشركة أموال طائلة .وفي عام ، 2016تعطل منظم الح اررة (الترموستات) المسمى نست( )Nestوترك المستخدمين بال تدفئة .ومنظم الح اررة نست هو جهاز بتكنولوجيا ذكية انتجته جوجل .وعطل صغير في برنامجه قد تسبب حرفيا في ترك المستخدمين باردين في العراء .وقد حدث العطل بسبب تحديث خاطئ للبرنامج والذي أثر على البطارية وسحب الطاقة منها وترك الجهاز بال تحكم في درجة الح اررة .ونتيجة لذلك ،لم يستطع العمالء تدفئة منازلهم أو الحصول على مياه ساخنة في عطلة نهاية األسبوع وكان يوما من أصعب أيام السنة برودة. نحتاج أنظمة مصممة بشكل جيد لحماية البيانات أثناء المعالجة .ويجب أن يقوم مهنيو األمن السيبراني بتصميم سياسات وإجراءات الختبار وصيانة وتحديث النظم وجعل تلك النظم في حالة مستمرة من التشغيل مع الوصول ألقل القليل من األخطاء.
2.4طرق وأدوات الحماية أو الحراسة 2.4.1التقنيات المستخدمة في الحماية الحماية البرمجية :تشمل برمجيات الحماية البرامج والتطبيقات والخدمات التي تحمي نظم التشغيل وقواعد البيانات والخدمات األخرى المشغلة على الحاسوب أو الجهاز النقال أو الخادم .يقوم مديري الشبكة بتثبيت دروع وحماية برمجية على الجهاز المضيف أو الخوادم .ويوجد العديد من التقنيات البرمجية المستخدمة في تأمين ممتلكات الشركة ،منها •
الجدار الناري Firewallالبرمجي وهو يراقب الدخول عن بعد إلى النظام .وتحتوى نظم التشغيل عادة على جدار ناري. ويمكن للمستخدم أن يقوم بتحميل جدار ناري بشرائه أو تحميله من طرف ثالث.
•
محلالت البروتوكول ومحلالت البصمة الرقمية هي أجهزة تجمع وتفحص المرور الشبكي .وتحدد مشاكل األداء ،وتكتشف التهيئة الغير سليمة ،وتكتشف أيضا البرامج التي تعمل بشكل غير صحيح وتقوم أيضا بعمل خط مرجعي لنمط المرور الطبيعي (لتعرف الشاذ) ،وتقوم أخي ار بمعالجة مشاكل االتصال.
•
ماسحات الثغ ارت هي برامج حاسوبية مصممة لتقييم نقاط الضعف في الحاسب والشبكة.
•
نظم اكتشاف الدخالء على الجهاز المضيف ) Host-based intrusion detection systems (IDSتقوم بفحص األنشطة على الجهاز المضيف فقط .وتقوم تلك األنظمة أيضا بعمل سجل أحداث ( )logمطبق على الملفات ويعطي 41
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
رسائل تحذيرية في حالة اكتشاف نشاط غير عادي .يجب أن يوصل أي نظام يحمل بيانات حساسة أو يوفر خدمة حيوية بتقنيات اكتشاف الدخالء. الحماية بالعتاد :يوجد العديد من التقنيات التي تستخدم العتاد لحراسة ممتلكات الشركة: •
أجهزة الجدران النارية توقف المرور الغير مرغوب فيه .ويحتوى جهاز الجدار الناري على عدة قواعد تحدد نوعية سيل البيانات المسموح به والغير مسموح به على الشبكة.
•
أجهزة كشف الدخالء ) Intrusion Detection System IDSأنظر الشكل) مصممة الكتشاف بوادر الهجمات أو سيل البيانات الغير عادي على الشبكة وتعطي رسائل تحذيرية.
•
أجهزة منع الدخالء ( )Intrusion Prevention Systems IPSمصممة الكتشاف بوادر الهجمات أو األنشطة الشبكية الغير طبيعية وتقوم بإرسال تحذيرات باإلضافة إلى عمل خطوات تصحيحية.
•
خدمات ترشيح المحتوى تقوم بالتحكم في الوصول و التحكم في نقل البيانات الغير الئقة والمحتوى العدواني.
الحماية بالتقنيات الشبكية :توجد العديد من التقنيات الشبكية التي تقتنيها المؤسسات لحماية ممتلكاتها: •
الشبكات االفتراضية الخاصة Virtual Private Network VPNوهي شبكة افتراضية آمنة تستخدم الشبكات العامة مثل اإلنترنت في التوصيل بين أفرع الشبكات المحلية المنتشرة في منطقة جغرافية واسعة .ويكمن السر في المحافظة على أمن البيانات في الشبكات االفتراضية الخاصة أن البيانات يتم تشفيرها أثناء نقلها في هذه الشبكة.
•
التحكم في الوصول الشبكي Network Access Control NACيطلب مجموعة من الفحوصات قبل أن يسمح لجهاز أن يتصل بالشبكة .ومن الفحوصات المشهورة تثبيت أحدث إصدارات برامج مكافحات الفيروسات وأحدث اإلصدارات والتحديثات من نظم التشغيل.
•
تأمين نقاط االتصال الالسلكية يشمل استخدام المصادقة والتشفير. 42
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الحماية بالتقنيات السحابية :التقنيات السحابية تنقل المكونات التقنية من الشركة إلى مقدمي الخدمات السحابية .يوجد ثالث خدمات سحابية متوفرة •
البرمجيات كخدمة Software as a Service SaaSوتسمح للمستخدمين بالدخول والوصول إلى البرامج وقواعد البيانات .يقوم مقدمي الخدمة بإدارة البنية التحتية .يتم تخزين البيانات والملفات التي تخص المستخدمين على خوادم موفري الخدمات السحابية.
•
البنية التحتية كخدمة Infrastructure as a Service IaaSتوفر موارد حوسبة افتراضية على االنترنت .ويملك مقدم الخدمة العتاد والبرمجيات والخوادم والمكونات التخزينية.
•
المنصة كخدمة Platform as a Service PaaSتوفر الوصول إلى برمجيات تطوير التطبيقات والخدمات .يمكن من خالل هذه الخدمة برمجة تطبيقات جديدة دون الحاجة لبرامج تطوير في الشركة.
قامت الشركات المقدمة للخدمات السحابية بإضافة خدمة سحابية تسمى "تقنية المعلومات كخدمة" IT as a Service ITaaS والتي توفر الدعم الفني لنماذج الخدمات السحابية IaaSو PaaSو .SaaSوفي نموذج ITaaSتتعاقد الشركات مع موفري الخدمة السحابية على خدمة معينة أو مجموعة من الخدمات .تقوم الشركات المقدمة للخدمات السحابية باستخدام أجهزة أمن افتراضية والتي تعمل بداخل البيئات االفتراضية ويثبت عليها نظم تشغيل قوية. 2.4.2التعلم والتوعية والتدريب إن استثمار أموال طائلة في شراء التقنيات الحديثة لن يكون ذا أهمية في حال عدم وعي األشخاص داخل الشركة حيث يكون الشخص هو أضعف الوصالت الموجودة في سلسلة الحماية السيبرانية .وبرامج التوعية األمنية هي من أهم البرامج ألي مؤسسة .وفي حاالت عدة يكون الموظف غير متعمد التخريب ولكنه ال يعي اإلجراءات المناسبة التي يجب أن يفعلها في حالة وجود مشكلة .يوجد طرق عدة لعمل برنامج قياسي للتدريب •
يمكن جعل التوعية األمنية جزء من التدريبات الهامة للموظف الحديث.
•
يمكن ربط الوعي األمني وجعله متطلب وظيفي أو جزء من تقييم أداء الموظفين.
•
يمكن إجراء دورات تدريبية بصفة شخصية.
•
يمكن توجيه الموظفين نحو الحصول على شهادات من دورات في األمن السيبراني.
يجب أن تكون عملية التوعية األمنية مستمرة حيث أن التهديدات والتقنيات الجديدة للهجمات موجودة على الدوام. بناء ثقافة الوعي السيبراني :يجب على فريق العمل في الشركة أن يكون على دراية بالسياسات األمنية كما يجب على الفريق أن يلم بالمعرفة التي يحتاجها لتفادي الهجمات اليومية .ويعتمد برنامج الوعي األمني الفعال على اآلتي
43
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
بيئة الشركة
•
مستوى التهديد
إعداد :أسامة حسام الدين
إن خلق ثقافة الوعي السيبراني في الشركة هو جهد متواصل من قبل قيادة الشركة اإلدارية العليا ويجب أن يقابله التزام كل المستخدمين والموظفين .ولكي تزيد ثقافة الوعي السيبراني لشركة ما يجب أن تبدأ الشركة بإقامة السياسات واإلجراءات اإلدارية. على سبيل المثال ،معظم الشركات تخصص يوم في السنة يسمى يوم التوعية األمنية .ويمكن للشركة أن تزيد الوعي بعمل ملصقات ونشرات وتوزعها على أعضاء فريق العمل بالشركة .وأيضا تنظيم ورش عمل للتوعية األمنية وندوات قصيرة يزيد من الوعي األمني في الشركة. 2.4.3سياسات وإجراءات األمن السيبراني السياسات :السياسة األمنية هي مجموعة من األهداف األمنية للشركة والتي تشمل قواعد السلوك الوظيفي للمستخدمين ومدراء النظم وتحدد متطلبات النظام .وهذه األهداف والقواعد والمتطلبات جميعها تؤكد على تأمين شبكة الحاسب والبيانات ونظم الحاسب بداخل الشركة .والسياسة األمنية الشاملة يجب أن تشمل القيام المهام التالية: •
عرض التزام الشركة تجاه النواحي األمنية.
•
وضع القوانين الخاصة بالسلوك المتوقع والمرغوب.
•
التأكيد على تناسق العمليات داخل النظم وانسجام عملية جلب واستخدام البرمجيات والعتاد وصيانتهما.
•
تحديد العواقب القانونية في حالة مخالفة القوانين.
•
توفير الدعم اإلداري المطلوب لموظفي األمن.
السياسات األمنية تخبر المستخدمين وفريق العمل والمدراء بالمتطلبات التي تحتاجها الشركة لحماية ممتلكاتها التقنية والمعلوماتية .وتحدد السياسة األمنية أيضا اآلليات الالزمة لتلبية االحتياجات األمنية .وكما نرى في الشكل ،فإن السياسة األمنية عادة ما تتضمن اآلتي: •
سياسات تعريف الهوية والمصادقة – وتحدد األشخاص أصحاب الصالحيات وهم من يستطيعون الوصول لموارد الشبكة، وتعطي هذا النوع من السياسات أيضا إجراءات التحقق من الصالحيات.
•
سياسات كلمة المرور – تؤكد على أن كلمات المرور تحقق الحد األدنى من المتطلبات ويتم تغيرها بشكل دوري.
•
سياسة االستخدام المقبول – تحدد موارد الشبكة وكيفية استخدامها بالطريقة المقبولة لدى الشركة .ويمكن أن تحدد أيضا عواقب مخالفة السياسات.
•
سياسات االتصال عن بعد – تحدد كيف يمكن للمستخدمين الوصول لشبكة الشركة عن بعد وما هي الموارد التي يمكن الوصول إليها عن بعد. 44
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
سياسات صيانة الشبكة – تحدد إجراءات ترقية وتعديل نظم التشغيل على األجهزة الشبكية والتطبيقات الخاصة بالمستخدمين.
•
التعامل مع الحوادث – وتصف كيف يمكن التصرف في حالة وجود حادث كهجوم شبكي أو اختراق امني.
من أهم المكونات في السياسات األمنية مكون "سياسة االستخدام المقبول" .Acceptable Use Policy AUPوهذا المكون يعرف ما الذي يمكن ان يفعله وما الذي ال يمكن أن يفعله المستخدم تجاه مختلف مكونات النظام .و يجب أن تكون سياسة االستخدام المقبول واضحة لتجنب أي سوء تفاهم مستقبلي .على سبيل المثال ،تقوم هذه السياسة بسرد كل المواقع ومجموعات األخبار والبرامج التي تسحب عرض النطاق وتبطئ االنترنت والتي يمنع المستخدمين من الوصول إليها باستخدام أجهزة الحاسب في الشركة أو شبكة الشركة. المعايير :Standardsالمعايير لها دور في مساعدة موظفي تقنية المعلومات في الشركة في الحفاظ على التناسق عند تشغيل شبكة الحاسب .تحتوي وثائق المعايير على التقنيات التي يحتاجها مستخدم أو برنامج ما باإلضافة إلى أي متطلب لبرنامج معين أو الضوابط التي يجب ان تتبعها الشركة .وهذا يساعد موظفي تقنية المعلومات في تحسين الكفاءة وتحقيق البساطة في التصميم والصيانة واكتشاف األخطاء. من أهم المبادئ الرئيسية في األمن هو مبدأ التناسق .ولهذا السبب ،تكون المؤسسة في حاجة ملحة لعمل المعايير .فكل شركة تقوم بعمل المعايير الخاصة بها والتي تدعم بيئة العمل لديها .فعلى سبيل المثال ،تقوم الشركة بإنشاء سياسة كلمة المرور. ومعيار كلمة المرور يكون باستخدام ثمانية أحرف كبيرة وصغيرة شاملة أرقام وشاملة على األقل حرف واحد من الحروف
45
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الخاصة ( مثال !@ .)#ويجب أن يقوم المستخدم بتغيير كلمة المرور كل 30يوما ،وسجل كلمات السر يتم االحتفاظ به 12 مرة وبذلك يتم التأكد بأن المستخدم يستخدم كلمات سر منفردة لمدة عام كامل. اإلرشادات :اإلرشادات عبارة عن اقتراحات لكيفية إجراء العمليات بشكل أكثر كفاءة وسرية .وتشبه إلى حد كبير المعايير، ولكنها أكثر مرونة وغالبا ماال تكون اجبارية .وتعرف اإلرشادات كيف يتم تطوير المعايير وتضمن االنصياع للسياسات األمنية العامة .بعض اإلرشادات الهامة في المؤسسة تكون بمثابة "أفضل الممارسات" لدى الشركة .باإلضافة إلى أفضل الممارسات لدى الشركة ،يمكن أخذ اإلرشادات من بعض الهيئات من مواقعها على اإلنترنت. •
المعهد الوطني للمعايير والتقنية ( ،)NISTمركز موارد أمن الحاسبات.
•
وكالة األمن الوطني ( ،)NSAإرشادات التهيئة األمنية.
•
معيار اسمه "المعايير المشتركة".
وباستخدام المثال السابق على سياسة كلمة المرور ،فاإلرشادات هي عبارة عن اقتراحات لجعل كلمة السر قوية ،مثل اختيار عبارة السر .يختار المستخدم عبارة مثل " "I have a dreamويقوم بتحويلها إلى كملة سر قوية ،مثال .Ihv@dr3@mيقوم المستخدم بعمل كلمة سر من هذه العبارة بتغيير األرقام بحروف أو الحروف بأرقام أو رموز خاصة أو تحريك الرموز أو تحريك عالمات الترقيم.
اإلجراءات :Proceduresوثائق اإلجراءات والممارسات تكون أطول ومفصلة بشكل أكبر مقارنة بمستندات المعايير واإلرشادات .وتحتوي وثائق اإلجراءات على تفاصيل التطوير والتي غالبا ما تحتوى على تعليمات خطوة بخطوة مدعمة بالرسومات التوضيحية.
46
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يوضح الشكل مثال على اإلجراءات المستخدمة في تغيير كلمة السر .يجب أن تقوم المؤسسات الكبرى باستخدام وثائق اإلجراءات للحفاظ على التناسق لعملية تركيب مكون جديد وهذه العملية لها دور كبير في الحفاظ على بيئة آمنة.
2.5إطار تقني عام لإلدارة األمنية 2.5.1نموذج األمن السيبراني أيزو ()ISO يحتاج محترفي األمن السيبراني إلى تأمين نقل المعلومات من طرف إلى طرف بداخل الشركة .وهذه مهمة هائلة ،ومن غير المعقول ان تتوقع أن يكون الفرد لديه المعرفة المطلوبة بصورتها الكاملة .ونتيجة لذلك طورت المنظمة الدولية للتوحيد القياسي (أيزو / )ISOاللجنة الكهروتقنية الدولية ( )IECإطار شامل كنموذج ارشادي إلدارة أمن المعلومات .ونموذج ISO/IECهو نموذج أمن سيبراني خاص بالمحترفين السيبرانيين مثل النموذج المرجعي للشبكات OSIالذي يخص مهندسي الشبكات. وكالهما يعطي إطا ار عاما لفهم وتحقيق المهام المعقدة. مجاالت األمن السيبراني :تم نشر معيار ISO/IEC 27000سنة 2005وتم مراجعته سنة 2013وهو معيار دولي يخص أمن المعلومات .وقد نشرت مؤسسة ISOمعايير .ISO 27000وعلى الرغم من أن هذه المعايير ليست إجبارية ،إال أن معظم الدول تقوم باستخدامها كأحدث إطار واقعي لبناء نظم أمن المعلومات .ويصف معيار ISO 27000كيفية بناء النظام الشامل إلدارة نظم أمن المعلومات ) .information security management system (ISMSوإدارة نظم أمن المعلومات تشمل كل نظم التحكم اإلدارية والتقنية والتشغيلية لتأمين المعلومات داخل الشركات .يحتوى معيار ISO 27000على 12 مجاال مستقال وهي تعتبر محتويات المعيار .وتلك المجاالت االثني عشر تساهم على مستوى عال جدا في تنظيم النطاق الشاسع للمعلومات الموجودة تحت مظلة أمن المعلومات .ويختلف الهيكل التركيبي لنموذج ISOلألمن عن نموذج OSI للشبكات ،حيث يستخدم نموذج ISOالمجاالت بينما يستخدم النموذج OSIالطبقات .ويرجع ذلك إلى أن نموذج ISOاألمني ال يحتوى على عالقة هرمية بل يحتوى على عالقة ندية ( .)peer to peerبمعنى أن كل مكون من مكونات هذا النموذج له عالقة مباشرة بباقي المكونات .ونموذج ISO 27000األمني يشبه كثي ار نموذج OSIالمرجعي في أنهما مهمان جدا لضباط األمن السيبران ي فلكي يكونوا متخصصين ناجحين يجب عليهم أن يفهموا بدقة هذين النموذجين (الشكل التالي يوضح 12مجال في األمن السيبراني) ومجاالت األمن السيبراني كما هو موجود بمعيار ISO 27000هي كالتالي: .1تقييم المخاطر :وهي أول خطوة من خطوات عملية إدارة المخاطر .وهي تحدد القيم الكمية والكيفية للخطر المتعلق بموقف معين أو تهديد معين. .2السياسة األمنية :وهي وثيقة تشير إلى القيود والسلوك الوظيفي لألفراد داخل المؤسسة .وعادة ما تحدد كيفية الوصول للبيانات وما هي البيانات المصرح استخدمها ومن المصرح له باالستخدام. .3تنظيم أمن المعلومات :وهو نموذج للحكومة يتم وضعه داخل المؤسسة ويتعلق بأمن المعلومات. 47
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.4إدارة الممتلكات :وهي عبارة عن نظام مخازن يصنف أصول وممتلكات النظام المعلوماتي. .5أمن الموارد البشرية :ويشير إلى اإلجراءات األمنية التي تخص الموظفين الذي يلتحقون بالشركة أو ينتقلون وظيفيا فيها أو يغادرونها.
.6األمن المادي (الفيزيائي) والبيئي :يصف حماية مرافق الكمبيوتر بداخل الشركة. .7إدارة االتصاالت والعمليات :وهي تصف كيف يتم إدارة موارد التحكم في التقنيات األمنية الخاصة بالنظم أو الشبكات. .8تطوير نظم المعلومات والصيانة :وهو يصف عملية دمج النظم األمنية في التطبيقات وتحقيق التكامل بين النظم األمنية والتطبيقات. .9التحكم في الوصول :وهو يصف القيود المطبقة على المستخدمين للوصول إلى الشبكات والنظم والتطبيقات والوظائف التطبيقية والبيانات. .10إدارة حوادث نظم المعلومات :وتصف كيفية توقع الحوادث والرد المناسب في حالة وجود اختراقات لنظام أمن المعلومات. .11إدارة استم اررية العمل :وهي تصف الحماية ،والصيانة والتعافي للعمليات الحيوية والنظم الحيوية والتي تؤثر بشكل مباشر في استم اررية عمل الشركة. .12االلتزام :وهو يصف عملية ضمان التوافق مع سياسات ومعايير وقوانين أمن المعلومات. وهذه المجاالت االثني عشر تعتبر قاعدة أساسية لتطوير المعايير األمنية للشركات وتحقيق أفضل الممارسات لإلدارة األمنية. وهي أيضا تسهل عملية التواصل بين المؤسسات المختلفة.
48
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
أهداف الضوابط :يحتوي االثني عشر مجاال السابقة على أهداف الضوابط التي تم تعريفها في الجزء 27001من المعيار. وأهداف الضوابط تحدد باختصار ومن مستوى عال متطلبات الحصول على نظام شامل إلدارة نظم المعلومات ( .)ISMوفريق اإلدارة بالشركة يستخدم أهداف الضوابط في المعيار ISO 27001لتحديد ونشر السياسات األمنية للشركة .أهداف الضوابط تعطي قائمة مختصرة لالستخ دام أثناء عمل التدقيق (الجرد) الخاص بإدارة النظم األمنية .يجب أن تمر كثير من المؤسسات على عملية التدقيق هذه لتحصل على رخصة .ISO 27001
الشهادة واإلذعان يعطيان الثقة لمؤسستين يريدان تحقيق الثقة بينهما لتبادل البيانات والعمليات السرية .اإلذعان والتدقيق األمني يثبتان أن الشركة تحسن باستمرار من نظام إدارة أمن المعلومات الخاص بها. وهذا مثال على هدف ضابط " ،للتحكم في الوصول للشبكات باستخدام آليات مناسبة لمصادقة المستخدمين والمعدات" الضوابط :يحدد معيار ISO/IEC 27002الضوابط الخاصة بنظام إدارة أمن المعلومات .الضوابط مفصلة أكثر من أهداف الضوابط .فأهداف الضوابط تعرف الشركة ما الذي تفعله أو ما هو الهدف ،أما الضوابط فتعرف كيفية تحقيق الهدف .بناء على الهدف الضابط التالي “ للتحكم في الوصول للشبكات باستخدام آليات مناسبة لمصادقة المستخدمين والمعدات" فالضابط يكون
كالتالي "استخدم كلمات مرور قوية .كلمة المرور القوية تحتوى على األقل على ثمانية أحرف مشكلة من مجموعة حروف أبجدية ،وأرقام ورموز مثل )( (@, #, $, %, etc.لو الرموز متاحة) .كلمات المرور حساسة لحالة األحرف ،ولذا يجب أن تحتوى كلمة المرور على األحرف بنوعيها (األحرف الكبيرة واألحرف الصغيرة)" مهنيو األمن السيبراني يدركون اآلتي (كما هو مبين بالشكل): •
الضوابط ليست متطلب أساسي أو إجباري ،على الرغم من ذلك فهي عامة مقبولة ومعتمدة.
•
الضوابط يجب أن تكتب بحيادية لتجنب مظهر إقرار منتج أو شركة معينة.
•
الضوابط تشبه اإلرشادات .وهذا يعني احتمالية وجود أكثر من طريقة لتحقيق نفس الهدف الضابط.
49
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
2.5.2استخدام نموذج األمن السيبراني أيزو ()ISO نموذج أيزو ومثلث األمن :إن معيار ISO 27000هو إطار عالمي يناسب أي نوع من المؤسسات .ولكي يتم استخدام هذا اإلطار بشكل فعال ،يجب أن تقوم المؤسسة بتقليص أو تركيز مجاالتها وأهداف الضوابط والضوابط لديها والتي تناسب بيئتها وعملياتها .ويستخدم مرجع ISO 27001الخاص بأهداف الضوابط كقائمة تدقيق .وأول خطوة تقوم بها المؤسسة هي تحديد ما إذا كانت أهداف الضوابط تلك تنطبق عليها أم ال .ومعظم الشركات تقوم بكتابة مستند يسمى بيان قابلية التطبيق Statement . of Applicability SOAو يعرف بيان قابلية التطبيق ما هي أهداف الضوابط التي تحتاج أن تستخدمها الشركة (يوجد مثال في الشكل التالي) تقوم مختلف المؤسسات بوضع أولويات لمكونات مثلث األمن وهي السرية والتماسك والتوافر أو اإلتاحة ،وتلك األولويات تعتمد على نوع الصناعة أو نوع النشاط .على سبيل المثال ،تقوم شركة جوجل بوضع أولوية عالية لسرية وإتاحة بيانات المستخدمين وأولوية أقل للتماسك .فجوجل ال تتأكد من صحة بيانات المستخدمين .بينما تركز شركة أمازون أكثر على التوافر ،فلو لم يكن الموقع متاحا (كان معطال مثال) فلن تقوم أمازون بعمليات البيع والشراء .فليس معنى ذلك أن أمازون تتجاهل السرية في ظل وجود اإلتاحة ،ولكن أمازون تعطي فقط أولوية أكثر لإلتاحة .ولذلك ،يمكن ألمازون أن توفر مصادر أكثر للتأكيد على أن هناك خوادم كثيرة متاحة للتعامل مع مبيعات المستخدمين. تقوم المؤسسات عامة بتكييف استخدامها ألهداف الضوابط والضوابط المتاحة لتناسب أولوياتها فيما يخص السرية والتماسك والتوافر.
50
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
نموذج أيزو وحاالت البيانات :المجموعات المختلفة بداخل كل مؤسسة تكون مسئولة كل فيما يخصه عن البيانات في حاالتها الثالث .فعلى سب يل المثال ،فريق أمن الشبكات مسئول عن البيانات أثناء النقل .والمبرمجين ومدخلي البيانات مسئولين عن البيانات أثناء المعالجة واإلدخال .ومتخصصي تقنية المعلومات ودعم الخوادم مسئولون عن البيانات الثابتة أو المخزنة .تقوم ضوابط ISOبتحديد أهداف الضوابط للبيانات أثناء حاالتها الثالث.
نموذج أيزو وأدوات الحراسة :أهداف الضوابط الموجودة في نموذج ISO 27001تتعلق بشكل مباشر بالسياسات األمنية واإلجراءات واإلرشادات المتعلقة بالشركة والتي تحددها اإلدارة العليا .أما ضوابط النموذج ISO 27002فتعطي توجيهات تقنية .على سبيل المث ال ،يمكن لإلدارة العليا أن تبني سياسة معينة تخص حماية جميع البيانات التي تأتي أو تخرج من وإلى
51
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشركة .وبناء وتطوير التقنيات التي توافق أهداف تلك السياسات ال تتدخل فيه اإلدارة العليا .بل هو مسئولية محترفي تقنية المعلومات حيث يقومون بتطوير وبناء وتهيئة المعدات بالشكل المناسب الذي يلبي توجيهات السياسة التي وضعتها اإلدارة العليا .ويوجد في الشكل التالي بعض الضوابط وأدوات الحراسة التي تناسبها. ملخص الفصل الثاني: ناقشنا في هذا الفصل األبعاد الثالثة لمكعب األمن السيبراني .والمهمة األساسية ألي مهني أمن سيبراني هي حماية البيانات والنظم داخل الشركات .وقد فصلنا في هذا الفصل كيف لكل بعد من أبعاد مكعب األمن السيبراني أن يساهم في هذا الجهد. وقد ناقشنا أيضا في هذا الفصل نموذج أيزو لألمن السيبراني .وهذا النموذج يمثل إطار دولي لمعايرة (جعلها على نسق واحد) إدارة نظم المعلوم ات .وقد شرحنا االثني عشر مجاال .وهذا النموذج يوفر أهداف الضوابط التي تساعد في التصميم عال المستوى وبناء نظام شامل إلدارة أمن المعلومات ) . information security management system (ISMSوقد فصلنا في هذا الفصل كيف يستخدم مهنيو األمن السيبراني الضوابط لتعريف التقنيات ،واألجهزة والمنتجات المناسبة للشركة.
52
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الثالث الهجمات السيبرانية الخبيثة يركز محترفي األمن السيبراني بشكل أساسي على كل من التهديدات والثغرات والهجمات .والتهديد معناه احتمالية وجود حدث ضار مثل الهجوم على البيانات .أما الثغرات فهي ضعف في النظام يجعله عرضة للهجوم .والهجوم هو االستغالل المتعمد لنقاط الضعف المكتشفة والموجودة في نظم المعلومات الحاسوبية ،ونقاط الضعف تكون إما مقصودة وإما ظهرت أثناء الهجوم بمحض الصدفة .وللمجرمين السيبرانيين دوافع مختلفة الختيار هدف لعمل هجوم عليه .وينجح المجرمون السيبرانيون في الهجوم غالبا بمتابعة البحث عن الثغرات المعروفة لدى النظم والتي يكون فيها نقاط ضعف معروفة .الضحايا دائما هم نظم مثبت عليها برامج أو نظم تشغيل ضعيفة أو نظم ال يوجد لديها مكافح فيروسات أو فاحص للبريد المزعج. وهذا الفصل يعرض أكثر الهجمات السيبرانية شيوعا .ويجب أن يفهم محترفي األمن السيبراني كيف يحدث الهجوم ،وما الذي يستغل ،وكيف يؤثر على الضحية .يبدأ الفصل بشرح التهديدات البرمجية مثل البرمجيات الخبيثة والشفرات الخبيثة ثم يعرض بعدها أنواع الخداع المتعلقة بتقنيات الهندسة االجتماعية .الهجمة السيبرانية هي أي نوع من أنواع المناورة العدوانية التي يستخدمها المجرمون السيبرانيون لمهاجمة نظم المعلومات الحاسوبية .ويقوم المجرمون السيبرانيون بالمناورات العدوانية ضد نوعي الشبكات سواء السلكي أو الالسلكي.
3.1البرمجيات الخبيثة 3.1.1أنواع البرمجيات الخبيثة البرمجيات الخبيثة Malwareأو البرامج الخبيثة Malicious Softwareهو مصطلح يصف البرنامج المصمم لتعطيل خدمات الحاسب ،أو الوصول لنظم الحاسب بدون علم المستخدم أو تصريح منه .وأصبحت البرمجيات الخبيثة مظلة تحوي جميع أنواع البرمجيات العدوانية أو برمجيات التطفل .ويوجد العديد من أنواع البرمجيات الخبيثة مثل ،فيروسات الحاسب، الديدان ،أحصنة طروادة ،برمجيات الفدية ،برمجيات التجسس ،برمجيات الدعاية واإلعالن ،برمجيات الذعر والعديد من البرمجيات الخبيثة األخرى .يمكن للبرنامج الخبيث أن يكون واضحا وبسيطا وسهال في االكتشاف أو أن يكون متخف بشكل عالي المهارة ويستحيل في بعض األحيان اكتشافه. الفيروسات والديدان وأحصنة طروادة :Viruses and Trojansيستهدف المجرمون السيبرانيون األجهزة الطرفية للمستخدم عن طريق تثبيت برنامج خبيث على جهاز المستخدم .يوضح الشكل التالي الثالث أنواع المختلفة المشهورة من البرامج الخبيثة
53
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الفيروسات :الفيروس virusهو عبارة عن شيفرة تنفيذية خبيثة تلتصق بملف تنفيذي مثل برنامج أو تطبيق .مثل الفيروس الذي يصيب البشر فهو متطفل على الخلية ،ينقسم معها ويتكاثر بتكاثرها .وعادة ما يحتاج الفيروس إلى فعل من المستخدم أو حدث ما لكي يبدأ في نشاطه مثل أن ينشط عند تاريخ أو وقت معين .تنتشر الفيروسات بواحدة من ثالث طرق مختلفة ،إما عن طريق وسائط التخزين المتنقلة أو التحميل من اإلنترنت أو مرفقات البريد اإللكتروني .أحيانا تكون الفيروسات غير ضارة مثل أن تقوم بعرض صورة وأحيانا تكون شديدة الضرر مثل تلك الفيروسات التي تقوم بإزالة أو تعديل البيانات .ولكيال تكتشف الفيروسات فهي تقوم بعملية التحور .يمكن لعملية بسيطة مثل فتح ملف أن تكون ش اررة البداية للفيروس .وفيروسات قطاع اإلقالع ،أو فيروس ملفات النظام يصيب وحدات تخزين USBوالمسماة ذاكرة الفالش ثم ينتشر من خاللها إلى األقراص الصلبة األخرى الموجودة على النظام .وتنفيذ برنامج معين ممكن أن ينشط الفيروس. وعندما ينشط الفيروس ،سيقوم بالتبعية بإصابة برامج أخرى على أجهزة أخرى سواء انتقل إليها بالذاكرات المتنقلة أو عن طريق الشبكة .وقد أثر فيروس "ميليسا" على عشرات اآلالف من األجهزة وتسبب في خسائر تقارب 1.2مليون دوالر .قم بالنقر
على
الرابط
لتتعرف
التالي
أكثر
على
الفيروسات
/http://www.whoishostingthis.com/blog/2015/06/01/8-worst-viruses •
الديدان :الديدان wormsهي برمجيات خبيثة تتكاثر وتنتشر بشكل مستقل من خالل استغالل الثغرات في نظم شبكات الحاسب .وتقوم الديدان غالبا بإبطاء عمل الشبكة .كما قلنا فإن الفيروس يحتاج إلى عائل ينتشر ويتكاثر معه ولكن الديدان تنتشر وتتكاثر بنفسها وال تحتاج إلى عائل .وال تحتاج الديدان لتدخل المستخدم إال في ش اررة االنطالق فقط .عندما تصيب الديدان جهاز معين ،تنطلق بدءا من هذا الجهاز لتنتشر بسرعة كبيرة جدا وتعدي باقي األجهزة على الشبكة. وتتشارك الديدان في الخصائص ويكون لها نفس الهدف .فكل الديدان من نفس النوع لها نفس الشفرة التي تمكنها من 54
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
استغالل ثغرة معينة ،ولها نفس طريقة االنتشار وتحمل نفس تعليمات الهجوم .تسببت الديدان في أكثر الهجمات تدمي ار على اإلنترنت .على سبيل المثال ديدان "الشفرة الحمراء" أو Code Redأصابت في لمح البصر 658خادما ،وفي خالل 19ساعة فقط اصابت 300000جهاز حول العالم. •
أحصنة طروادة :حصان طروادة Trojan horseهو برنامج خبيث يحمل في طياته تعليمات خبيثة متخف في عمليات مسموح بها مثل اللعب على االنترنت .ويستغل هذا النوع من البرمجيات الخبيثة الميزات والصالحيات التي يملكها المستخدم الذي قام بتفعيل الحصان .ويختلف حصان طروادة عن الفيروس ،إذ يقوم الحصان بإلصاق نفسه بملفات غير تنفيذيه مثل ملفات الصور ،أو ملفات الصوت أو األلعاب.
القنابل المنطقية :القنبلة المنطقية logic bombعبارة عن برنامج خبيث يستخدم ش اررة بدء لتنشيط الشفرة الخبيثة .على سبيل المثال ،تكون ش اررة البدء إما الوصول لتاريخ معين ،أو وقت معين ،أو تشغيل برنامج آخر ،أو حذف حساب للمستخدم .وتظل القنبلة المنطقية كامنة حتى تحدث ش اررة البدء .وعندما تنشط القنبلة المنطقية تقوم على الفور بتنفيذ تعليمات برمجية من شأنها إحداث الضرر لنظم الحاسب .يمكن للقنبلة المنطقية أن تدمر قواعد البيانات ،أو تزيل الملفات ،أو تهاجم وتعرقل عمل نظم التشغيل أو التطبيقات .اكتشف خبراء األمن السيبراني مؤخ ار أن القنابل المنطقية تصيب وتهاجم المكونات الفيزيائية لجهاز حاسب أو خادم ،فقد تصيب مراوح التبريد أو الشريحة اإللكترونية للمعالج الدقيق أو شرائح الذاكرة أو األقراص الصلبة أو مزود الطاقة الكهربية ،فالقنابل المنطقية تنهك هذه األجهزة حتى تسخن جدا وتخرب. برمجيات الفدية :تقوم برامج الفدية ransomwareباالستيالء على نظام الكمبيوتر أو البيانات التي بداخله ،وال تحرر البيانات مرة أخرى للمستخدم المراد حتى يقوم بدفع الفدية .والتقنية الشائعة لبرمجة الفدية هي الوصول للبيانات على الحاسب الضحية وتشفيرها بمفتاح تشفير غير معروف للمستخدم .ويقوم المستخدم بعدها بدفع األموال إلزالة التشفير واسترجاع البيانات. تقوم بعض برامج الفدية األخرى باستغالل نقاط الضعف والثغرات في جهاز الحاسب إلقفال النظام .تنتشر برمجيات الفدية عن طريق أحصنة طروادة وعادة ما تحدث نتيجة لتحميل ملف أو نقاط ضعف في البرامج .يقوم المستخدم بدفع الفدية في نظام دفع على االنترنت ال يمكن تتبعه ،وعندما يدفع الضحية أموال الفدية يقوم المهاجم بإرسال البرامج التي تفك تشفير الملفات أو يقوم بإرسال شفرة فك القفل .يمكن االطالع على معلومات اكثر عن برمجيات الفدية عبر الرابط التالي . http://www.exterminate-it.com/malpedia/ransomware-category األبواب الخلفية والجذور الخفية :يشير الباب الخلفي backdoorإلى البرنامج الذي ثبته المهاجم السيبراني على نظام معين بعد قدرته على تخطي الحواجز األمنية للنظام .إذ يستطيع الباب الخلفي أن يتخطى نظم المصادقة التي تتحكم في دخول النظام .ومن أشهر برامج الباب الخلفي برنامج Netbusو Back Orificeوالذين يتيحان الوصول عن بعد للمستخدمين الغير مصرح لهم بالدخول .ويساعد الباب الخلفي المهاجم السيبراني على االحتفاظ بعيون داخل النظام تراقب النظام وترسل له بيانات
55
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التجسس .فحتى لو تم اكتشاف الثغرة التي دخل الباب الخلفي من خاللها ،فسيظل البرنامج يراسل المهاجم بمعلومات التجسس. وعادة ما يقوم المستخدمين عن جهل بتشغيل حصان طروادة ،ثم يقوم الحصان بتثبيت برنامج الباب الخلفي. أما الجذور الخفية rootkitفتقوم بالتالعب بنظام التشغيل على الحاسب لعمل باب خلفي .ثم يستخدم المهاجم الباب الخلفي لدخول الحاسب عن بعد .معظم الجذور الخفية تقوم باالستفادة من نقاط الضعف في نظام التشغيل لتزيد من صالحياتها ثم تعدل ملفات النظام .ويتم االستفادة من األخطاء البرمجية أو عيوب التصميم للحصول على صالحيات مميزة للوصول لموارد الشبكة والبيانات .ومن الشائع أن تقوم الجذور الخفية بتعديل نظم التحليل الجنائي ونظم المراقبة لدى النظام ،لذلك يصعب اكتشافها .وعادة ،يقوم المستخدم بإعادة التهيئة الكاملة للقرص الصلب وتثبيت نسخة جديدة من نظام التشغيل إذا تمت العدوى باستخدام الجذور الخفية. محاربة البرمجيات الخبيثة :يمكن اتخاذ خطوات بسيطة ولكن فعالة للدفاع ضد كل البرمجيات الخبيثة: •
برنامج مكافح الفيروسات – تحتوى معظم برمجيات المكافحة للفيروسات على دروع لصد الهجمات الصادرة من معظم البرمجيات الخبيثة .على الرغم من ذلك ،يقوم القراصنة بصفة يومية بتطوير وخلق تهديدات جديدة .ولذلك ،فإن مفتاح الحصول على مكافح فيروسات ناجح هو متابعة تحديث قاعدة بيانات البصمات الرقمية للفيروسات والسلوك البرمجي الخبيث .والبصمة الرقمية مثل بصمة األصبع فهي تحدد شكل وخصائص أجزاء البرنامج الخبيث.
•
تطبيقات محدثة -معظم أشكال البرمجيات الخبيثة تحقق أهدافها باستغالل الثغرات األمنية في التطبيقات والبرامج، بالتحديد في كل من نظام التشغيل والبرنامج المثبت عليه .وعلى الرغم من أن الثغرات األمنية في نظام التشغيل كانت المصدر األول للمشاكل ،إال أنه وفي هذه األيام أصبحت ثغرات التطبيقات أكثر تهديدا وخطورة .ولسوء الحظ وبينما يتم سد الرقع والثغرات الجديدة من قبل منتجي نظم التشغيل إال أن منتجي البرامج ال يلقون لها باال.
3.1.2هجمات البريد اإللكتروني والمتصفح البريد المزعج :خدمة البريد اإللكتروني هي خدمة عالمية يستخدمها المليارات من البشر حول العالم .ونظ ار ألنها أشهر الخدمات في عالم األنترنت ،أصبحت خدمة البريد اإللكتروني مصدر أساسي للثغرات األمنية للمستخدمين والشركات .البريد المزعج ،Spamويسمى أيضا البريد المهمل ،هو عبارة عن رسائل بريدية من مصدر غير معروف .وفي معظم الحاالت تكون الرسائل من هذا النوع بغرض الدعاية واإلعالن .وعلى الرغم من ذلك يمكن للبريد المزعج أن يحتوى على روابط خبيثة ضارة أو برنامج خبيث أو محتوى مخادع (يدعي أنه من مصدر موثوق وهو غير ذلك) .ويكون الهدف في تلك الحاالت هو الحصول على المعلومات الحساسة للمستخدم ككلمات المرور أو رقم بطاقة االئتمان .تأتي الرسائل المزعجة عادة من أجهزة حاسوب على الشب كة أصيب بفيروس أو ديدان .إذ تقوم هذه األجهزة بإرسال حزم أو مجموعة من الرسائل المزعجة بقدر ما تستطيع .حتى مع وجود مكافحات الفيروسات ومكافحات البريد المزعج مازالت الرسائل المزعجة تجد طريقها إلى صندوق الوارد
56
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
لديك ،ولتجنب ذلك يجب أن تفحص بريدك اإللكتروني بالعالمات التالية لتعرف إن كان مصابا بذلك النوع من البرمجيات الخبيثة أم ال. •
رسالة بدون ذكر الموضوع
•
رسالة تطلب تعديل على حساب خاص بك
•
نص الرسالة يحتوي على كلمات ناقصة أو مكتوبة بشكل غير صحيح أو تحتوى على عالمات ترقيم غير مرتبة.
•
الروابط داخل الرسالة طويلة وخفية.
•
رسالة تبدو وكأنها من شركة معروفة.
•
يطلب في الرسالة أن تفتح المرفقات.
اضغط على الرابط التالي لمعرفة المزيد عن البريد المزعج https://www.onguardonline.gov/articles/0038-spam إذا استقبل المستخدم رسالة تحتوى على واحدة أو أكثر من هذه العالمات ،فيجب أن ال يقوم بفتح البريد أو تنزيل المرفقات أو الضغط على الروابط .ومن السياسات الشائعة داخل المؤسسات أن المستخدم داخل الشركة إذا صادفه بريد من هذا النوع أن يعطي تقرير به لطاقم أمن الحاسب .معظم موفري خدمة البريد اإللكتروني يقومون بتصفية البريد المزعج .ولسوء الحظ ،مازال البريد المزعج يستهلك جزء من عرض النطاق ،ويقوم الخادم المستقبل للرسالة بمعالجتها رغما عنه. برمجيات التجسس والدعاية والذعر :برمجيات التجسس Spywareتمكن المهاجمين من الحصول على معلومات عن أنشطة المستخدم على الحاسب .غالبا ما يحتوي برنامج التجسس على متتبع األنشطة وحافظ نقرات المفاتيح وملتقط البيانات .وفي محاولة لتخطي الحواجز األمنية ،تقوم برمجيات الذعر بالتعديل في اإلعدادات األمنية .وغالبا ما يدمج برنامج التجسس نفسه مع برامج معتمدة أو مع أحصنة طروادة .كثي ار من مواقع البرامج التجريبية sharewareمليئة ببرمجيات التجسس. برمجيات الدعاية Adwareتقوم بتنشيط رسائل منبثقة تظهر للمستخدم أثناء استخدامه للحاسب تحمل معلومات عن منتج أو خدمة أو سلعة لجلب الربح للمهاجم .ويمكن لبرمجيات الدعاية أن تحلل ميول ورغبات المستخدم عن طريق تتبع المواقع اإللكترونية التي زارها .وبعدها تقوم البرمجية بإظهار رسائل محتواها له صلة برغبات المستخدم .وبعض اإلصدارات من البرامج تقوم تلقائيا بتثبيت برمجيات دعاية .بعض منها فقط لعرض اإلعالنات وكثير منها يأتي مع نسخة من برمجيات التجسس. برمجيات الذعر Scarewareتجبر المستخدم على أخذ قرار بناء على تخويفه من شيء أو حدث ما .تقوم تلك البرمجيات بعمل مربع حواري أو نافذه منبثقة مزيفه شبيهة لمربعات الحوار الخاصة بنظام التشغيل .تقوم هذه النوافذ بعرض رسائل مزيفة تعلم المستخدم بأن هناك خطر على استمرار عمل الجهاز ويتطلب تنزيل برنامج معين ليعود النظام لحالته الطبيعية .وفي
57
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الواقع ،ال توجد مشكلة أو خطر على الجهاز ،ولو وافق المستخدم على تنزيل البرنامج المذكور وتنفيذه ،سيتم إصابة جهازه على الفور ببرمجية خبيثة. االصطياد :Phishingوفيها يرسل المهاجم رسالة بريد إلكتروني مدعيا أنها من مصدر موثوق .والرسالة تقنع المستقبل وتكسب ثقته فيتم انزال برنامج خبيث على جهازه ،أو مشاركة معلوماته المالية .على سبيل المثال يتم تصميم رسالة بريد الكتروني لتظهر كأنها مرسلة من متجر يطلب منك الضغط على رابط بداخل الرسالة لطلب جائزة .من الممكن ان يحولك الرابط إلى موقع الم هاجم ليطلب منك معلومات شخصية .وفي بعض األحيان بمجرد الضغط على الرابط يتم تنزيل برنامج خبيث. االصطياد الرمحي Spear Phishingهو نوع من االصطياد ولكنه مركز على شخص بعينه .ويصل أيضا إلى الضحية عن طريق رسائل البريد االلكتروني .ولكن في هذه الحالة يتم دراسة الشخص ومعرفة ميوله من خالل الشبكات االجتماعية .ثم يتم إرسال رسالة بريد الكتروني جاذبه له بناء على اهتماماته .على سبيل المثال لو عرفنا أن الضحية تحب نوع معين من السيارات وتريد أن تشتريه .وحينها يتم تصميم رسالة بريد إلكتروني بها صورة لموديل السيارة المرغوبة .والصورة تحتوى على رابط ويطلب من الضحية أن يضغط على الرابط فيتم انزال برنامج خبيث على جهاز الضحية دون علمه.
التصيد ،التنصيص ،التزييف والحواتة :والتصيد Vishingيشبه االصطياد ولكن التصيد يستخدم تقنية االتصال الصوتي .يقوم المهاجم بالخداع عن طريق االتصال كمصدر أو شخص معتمد لهيئة أو بنك مستخدما تقنية االتصال الصوتي عبر االنترنت ( .)VoIPكما يمكن للضحية أن تستقبل تسجيل صوتي يبدو رسميا .يريد المجرمون الحصول على معلومات شخصية مثل رقم بطاقة االئتمان أو أي رقم يحدد هويتهم .التصيد يستغل حقيقة أن الناس يثقون بشبكة االتصال الهاتفي. التنصيص Smishing :يعني استخدام خدمة الرسائل النصية القصيرة ( )SMSلالصطياد عن طريق الهاتف النقال .يقوم المهاجمون بانتحال شخصية المصادر الموثوقة لمحاولة كسب ثقة الضحية .على سبيل المثال يمكن أن يتم التنصيص بإرسال 58
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
رسالة نصية قصيرة تحتوى على رابط لموقع إلكتروني وعندما يزور الضحية الموقع يتم تنزيل برنامج خبيث على الهاتف النقال. التزييف Pharming :معناه انتحال شكل الموقع اإللكتروني كمحاولة إليهام المستخدمين بأن الموقع رسمي فيقوموا بإدخال بيانات صالحياتهم .في التزييف ،يتم إعادة توجيه المستخدمين للمواقع المزيفة التي تظهر كأنها رسمية .بعدها يقوم المستخدم بإدخال معلوماته الشخصية ظنا منه أنه متصل بموقع معتمد. الحواتة Whaling :أصل الكلمة تعود إلى مهنة صيد الحيتان .وفي هجوم الحواتة يقوم المهاجم باستهداف الرموز الكبيرة داخل الشركة مثل المدير التنفيذي .ويمكن أيضا استهداف السياسيين أو المشاهير. يوجد في الرابط التالي معلومات أكثر عن التصيد ،التنصيص ،التزييف والحواتة. https://www.rsa.com/content/dam/rsa/PDF/h11933-wp-phishing-vishing-smishing.pdf المكونات اإلضافية وتسمم المتصفح :يمكن أن تؤثر االختراقات على مستعرضات االنترنت فتقوم بعرض اإلعالنات المنبثقة أو جمع المعلومات التي تعرف شخصية المستخدم أو تثبت برمجية خبيثة كفيروس او برنامج تجسس .يستطيع المهاجم أن يقوم بقرصنة الملف التنفيذي للمتصفح ،أو مكون من مكونات المتصفح أو المكون اإلضافي .plugin المكونات اإلضافية :المكونات اإلضافية كالفالش ومشغل الوسائط Shockwaveمن شركة أدوبي سهلت من تطوير رسومات شيقة ورسوم متحركة والتي حسنت من المظهر العام لصفحات الويب .والمكونات اإلضافية تعرض المحتوى مستخدمة البرمجية المناسبة لذلك المحتوى .حتى وقت قريب ،كانت للمكونات اإلضافية سمعة أمنية طيبة .وعندما تزايد استخدام المحتوى المعتمد على الفالش وأصبح أكثر شهرة ،قام المجرمون بفحص مكونات الفالش اإلضافية والبرمجيات اإلضافية ،وقاموا بتحديد الثغرات في ها ،وقاموا باستغالل تلك الثغرات الموجودة في مشغل الفالش .االستغالل الناجح للثغرات يمكن أن يسبب تخريب النظام أو يسمح للقراصنة االستيالء والسيطرة الكاملة على النظام المتأثر .توقع أن تزداد حاالت فقدان البيانات كلما استمر القراصنة في فحص المكونات اإلضافية والبروتوكوالت المشهورة للبحث عن ثغرات بها. تسمم Poisoningمحركات البحث :محركات البحث مثل جوجل تعمل بتقنية ترتيب الصفحات page rankingوهو إعطاء كل صفحة رتبة منفصلة .وتحسب رتبة الصفحة على حسب عدد الصفحات األخرى التي أشارت إليها .ويتم اإلشارة ألي صفحة باستخدام رابط لها .وعندما يقوم المستخدم بالبحث ،يتم إظهار الصفحات مرتبة حسب الرتب ،الرتبة األعلى أوال .وعلى حسب محتوى الصفحة ورتبتها ،يكون ترتيبها في نتائج البحث .ويوجد تقنيات لتحسين ظهور صفحات الويب منها تقنية "تحسين محرك البحث" Search Engine Optimization SEOوفيها يتم تحسين رتبة الموقع ليظهر من أوائل نتائج البحث .على الرغم من أن شركات شرعية وظيفتها تحسين المواقع لتبدو أكثر أهمية وأعلى رتبة في محركات البحث ،إال أن
59
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
هناك هجوم يسمم عملية التحسين هذه لتظهر الصفحة الخبيثة في أوائل نتائج البحث .والهدف الغالب في عملية تسمم محركات البحث هو زيادة عدد الزيارات للموقع الخبيثة والتي تحوي كثي ار من البرمجيات الخبيثة أو تهاجم باستخدام تقنية الهندسة االجتماعية .ولجعل الموقع الخبيث يظهر في أوائل نتائج البحث ،يقوم المهاجمون باستخدام نصوص بحث مشهورة ودمجها في محتوى الموقع الخبيث. خاطف المتصفحات :خاطف المتصفحات هو برنامج خبيث يقوم بتغيير إعدادات متصفح االنترنت ليعيد توجيه المستخدمين نحو موقع محدد .هذا الموقع لزبائن يؤجرون القراصنة لعمل ذلك التوجيه اإلجباري للمستخدمين .وعادة ما يقوم برنامج خطف المتصفحات النزول على الجهاز الضحية بدون تصريح من المستخدم وعادة ما يكون جزء من برامج "التنشيط بالتحميل" . وبرامج التنشيط بالتحميل تقوم بتحميل ملف معين عندما يقوم المستخدم بزيارة موقع ما أو فتح رسالة بريدية .وكإجراء تحرزي، قم بقراءة اتفاقية المستخدم بعناية عندما ترغب في تحميل البرامج لتجنب هذا النوع من البرمجيات الخبيثة. الدفاع ضد هجمات المتصفح والبريد االلكتروني :للتعامل مع البريد المزعج يمكن استخدام طريقة تصفية البريد ،أو تدريب المستخدم ليكون لديه الوعي الكافي لتجنب البريد المجهول ،أو استخدام الخوادم لتصفية البريد .إنه من الصعب للغاية إيقاف البريد المزعج ،ولكن هناك طرق للحد من أثره .على سبيل المثال ،معظم مزودي خدمة االنترنت ISPيقومون بترشيح البريد المزعج قبل أن يصل صندوق الوارد الخاص بالمستخدم .والعديد من مكافحات الفيروسات وبرامج البريد اإللكتروني تقوم تلقائيا بعمل تنقية للبريد .بمعنى أنه يمكن لتلك البرامج اكتشاف وإزالة البريد المزعج من صندوق الوارد. يجب على المؤسسات أن تزيد من وعي موظفيها لتجنب خطر تنزيل مرفقات البريد المزعج والتي قد تحتوي على فيروسات أو ديدان .على تفترض نقاء مرفقات البريد اإللكتروني ،حتى إذا أتتك من مصدر اتصال موثوق .فأحيانا يقوم الفيروس باالنتشار من خالل جهاز الحاسب الخاص بالمرسل .قم بمسح مرفقات البريد اإللكتروني قبل فتحها لتتأكد من خلوها من الفيروسات. مجموعة العمل ضد االصطياد ( )APWGهي هيئة صناعية تركز على منع سرقة الهوية والتزوير باستخدام االصطياد وتزييف البريد اإللكتروني .الحفاظ على ترقية البرامج يؤكد على أن النظام لديه رقع سد الثغرات الحديثة والتي تجنب النظام الكثير
من
الهجمات.
اضغط
على
الرابط
التالي
لتتعرف
أكثر
على
هجمات
المتصفح
، /http://www.howtogeek.com/228828/7-ways-to-secure-your-web-browser-against-attacks
3.2الخداع 3.2.1فن الخداع الهندسة االجتماعية :هي وسيلة غير تقنية بالمرة يستخدمها المهاجم لجمع المعلومات عن الضحية .الهندسة االجتماعية هي هجوم يحاول التالعب باألشخاص للقيام بحدث معين أو اإلفصاح عن معلومات سرية .الهندسة االجتماعية غالبا ما تعتمد اعتماد كلي على رغبة الناس الفطرية في المساعدة وأيضا تقتنص نقاط الضعف في األفراد .على سبيل المثال ،يقوم المهاجم 60
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
باالتصال بموظف معتمد ليخبره بأن هناك مشكلة طارئة تحتاج الدخول العاجل على شبكة الحاسب .يمكن للمهاجم ان يستغل غرور الموظف ،فيستدعي سلطة الموظف باستخدام تقنية أسماء التعظيم .أو يستغل طمع الموظف .والتالي هو بعض هجمات الهندسة االجتماعية: •
التستر :وتتم بأن يقوم المهاجم باالتصال بالضحية ويكذب عليه في محاولة ألخذ صالحيات الوصول للبيانات منه .مثال لذلك أن يقوم المهاجم بالتظاهر أنه يحتاج لمعلومات شخصية أو بيانات مالية لكي يتحقق من هوية المستخدم.
•
شيء من أجل شيء :وفيها يقوم المهاجم بطلب معلومات شخصية مقابل شيء ما مثل الهدية.
تكتيكات الهندسة االجتماعية :تعتمد الهندسة االجتماعية على خطط وتكتيكات مختلفة ،من هذه التكتيكات اخترنا اآلتي على سبيل المثال: •
استغالل السلطة :الناس غالبا ما ينقادون للتعليمات في حالة معرفتهم أن التعليمات من سلطة عليا .مثل ،أن يقوم الشخص بفتح ملف PDFوالذي يبدو وكأنه ملف استدعاء رسمي للمحكمة.
•
التخويف :يتم الضغط على الضحية للقيام بفعل ما .مثال ،تلقت سكرتيرة المدير التنفيذي اتصاال يفيد بأن مديرها على وشك أن يعطي عرض تقديمي هام ،ولكن الملف عاطب .يقوم المهاجم (من يقوم باالتصال) بطلب إرسال الملفات له على الفور.
•
الميول المشتركة :سيقوم الناس باالستجابة إذا تم إقناعهم بأن اآلخرون يستجيبون أيضا .مثال ،يقوم المهاجم ببناء موقع إلكتروني يحتوي على دالئل مزيفة تخص منتج ،حيث تؤكد الدالئل بأنه منتج آمن.
•
االحتياج :سيقوم الناس باالستجابة على الفور في حالة معرفتهم أن الكمية محدودة .مثال يقوم المهاجمون بعرض فرصة محدودة لن تستمر على أمل إغراء الضحية ألخذ رد فعل فوري.
•
العجلة :سيقوم الناس باالستجابة على الفور في حال معرفتهم محدودية الوقت ،مثال يقوم المهاجم بتحديد الموعد النهائي للشراء بناء على سعر محدد. 61
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
األلفة :يقوم المهاجمون ببناء صلة بالضحية إلقامة عالقة ودية معه .وعادة ما يستجيب الناس لطلبات اآلخرون في حالة اعجابهم بهم.
•
الثقة :يقوم المهاجم بإقامة عالقة مع الضحية مبنية على الثقة المتبادلة والتي عادة ما تحتاج للوقت لكي تتم .على سبيل المثال يقوم "خبير األمن" بالتواصل مع الضحية إلعطاء النصيحة في حل مشكلة ما ،ويطلب تفويضات من الضحية لتسهيل ذلك .وبعد مساعدة الضحية بأيام ،يكتشف المهاجم وجود خلل ما يحتاج إلى رد فعل فوري ،فيستخدم التفويضات التي أخذها سالفا من الضحية ليحقق هجومه الخبيث.
محترفي األمن السيبراني مسئولون عن تثقيف وتدريب الموظفين في الشركة وتعريفهم بتكتيكات الهندسة االجتماعية .يمكن االستزادة عن الهندسة االجتماعية عبر الرابط التالي ، http://www.informit.com/articles/article.aspx?p=1350956 3.2.2طرق الخداع استراق النظر واسترجاع المهمالت :استراق النظر يتم ،على سبيل المثال ،بالنظر من فوق الكتف على ما يكتبه الضحية ،يقوم المهاجم باستراق النظر لجلب األرقام السرية لبطاقة الصراف اآللي أو شفرات الدخول أو أرقام البطاقات االئتمانية .عادة ما يكون المهاجم على مقربة من الضحية وأحيانا يستخدم نظارات معظمة أو منظار عن بعد الستراق النظر .ولهذا السبب عند الذهاب لصرف األموال من ماكينة الصرف اآللي ،يتم تغطية لوحة األرقام لكيال يتم استراق النظر من قبل األشخاص المجاورون .وتلك إحدى تقنيات الحماية التي تصعب من عملية استراق النظر. "مهمالت شخص هي كنز لشخص آخر" ،وهذه العبارة تكون صحيحة جدا وخصوصا في هجمة استرجاع المهمالت .واسترجاع المهمالت هي عملية التفتيش في مهمالت الضحية (ما يوضع في سلة المهمالت) للبحث عن المعلومات الموجودة في تلك الفضاالت .يجب االهتمام بتنظيف وعاء المهمالت ،فأي مستند يحتوى على معلومات حساسة يجب أن يتم التخلص منه عن طريق تمزيقه بماكينات التمزيق أو حرقه باستخدام حقائب النار .وحقيبة النار هي وعاء توضع فيه المستندات الزائدة ذات المعلومات الهامة لحرقها بالنار فيما بعد. انتحال الشخصية ونشر اإلشاعات :انتحال الشخصية يعني التظاهر بأنك شخص آخر .على سبيل المثال ،مؤخ ار تم استخدام الهاتف في عملية االحتيال تجاه دافعي الضرائب .يتظاهر المهاجم بأنه موظف هيئة ضريبة الدخل األمريكية ،ثم يخبر الضحية بأنه مديون للهيئة .ويجب أن يدفع الضحية األموال من خالل حوالة مصرفية .ثم يقوم منتحل الشخصية بتهديد الضحية بالقبض عليه في حال عدم الدفع .يتم معرفة المعلومات المتعلقة بالضحية مثل دافعي الضرائب من خالل مواقعهم الشخصية أو من مشاركاتهم على مواقع التواصل االجتماعي.
62
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ونشر اإلشاعة هو فعل من شأنه الخداع والتضليل .اإلشاعة السيبرانية يمكن أن تحدث تخريبا يقارب التخريب الذي تحدثه عملية قرصنة كاملة .واإلشاعة تثير رد فعل المستخدم .ويمكن لرد الفعل أن يوجد الخوف بال داعي أو يجر المستخدم بأن يقوم بسلوك غير منطقي .يقوم المهاجمون بنشر اإلشاعات من خالل البريد اإللكتروني وشبكات التواصل االجتماعي .يمكن االطالع على الرابط التالي لرؤية موقع إلكتروني يسرد أشهر نصوص اإلشاعات. /http://www.hoax-slayer.com . الحمل الظهري والتتبع الظهري :يحدث الحمل الظهري (الحمل فوق الظهر) عندما يلتصق المهاجم بشخص معتمد ليتمكن من الدخول لألماكن المؤمنة أو األماكن المحظورة .يستخدم المجرمون عدة طرق لتحقيق الحمل الظهري •
يعطي مظهر أنه مرافق للشخص المعتمد
•
ينضم لمجموعة مدعيا أنه واحد منهم
•
يستهدف ضحية غير مهتمة بقواعد المنشأة.
التتبع الظهري هو مصطلح آخر يصف نفس طريقة الحمل الظهري ،يمكن منع الحمل الظهري باستخدام نوعين من األبواب، فبعد أن يدخل الفرد من الباب الخارجي يجب أن يتم غلق هذا الباب قبل الدخول من الباب الداخلي .الباب الداخلي غالبا ما يكتب عليه "منطقة محظورة ،يدخل الموظفون فقط" كما نرى في الصورة التالية
الخداع بتقنيات الويب :إن مشاركة البريد اإللكتروني المحتوى على اإلشاعات والنكات أو األفالم الكوميدية أو أي بريد إلكتروني ال يمت للعمل بصلة ،يخالف سياسة االستخدام المقبول AUPويقابل بردود فعل صارمة .يمكن الضغط على الرابط التالي لزيارة موقع يقوم بنشر مشاركات تحتوى على شائعات وطرق التحقق من حقيقة تلك الشائعات. /http://www.snopes.com الدفاع ضد عمليات الخداع :يجب على المؤسسة أن تزيد من وعي موظفيها تجاه هجمات الهندسة االجتماعية وتكتيكاتها. ويجب تدريب الموظفين على طرق منع حدوثها مثل اآلتي •
يحظر إرسال معلومات سرية أو بيانات تحقيق الهوية باستخدام البريد اإللكتروني أو جلسات الدردشة أو بصفة شخصية أو من خالل الهاتف ألشخاص غير معروفين. 63
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
قاوم اإلغراء الذي يأتيك عند رؤية رابط لموقع شيق أو صورة جذابة .فال تضغط على الروابط إال إذا تحققت من صحتها.
•
راقب عمليات التحميل التي تتم تلقائيا أو بدون رغبة منك.
•
قم بإقرار سياسات االستخدام ودرب الموظفين عليها.
•
أعط الموظف اإلحساس بأنه المالك ،ألنه بذلك سيحمي ممتلكات الشركة كحفاظه على شيء يخصه.
•
ال تستجيب للضغوطات التي تأتيك من أشخاص مجهولين.
قم بالضغط على الرابط التالي لتعرف أكثر عن الوعي السيبراني https://niccs.us-cert.gov/awareness/protect- yourself-against-cyber-threats
3.3الهجمات 3.3.1أنواع الهجمات السيبرانية هجمة قطع الخدمة :هجمة قطع الخدمة ) Denial-of-Service (DoSهي نواع من هجمات الشبكة .وهجمة قطع الخدمة ينت ج عنها نوع من أنواع قطع الخدمة الشبكية من المستخدم او من جهاز او من تطبيق .يوجد نوعان هامان من هجمات قطع الخدمة: •
المرور المتضخم :يقوم المهاجم بإرسال كمية هائلة من البيانات بمعدل مرتفع ال تستطيع الشبكات أو األجهزة أو التطبيقات تحمله .وهذا يسبب بطء في النقل أو االستجابة ،كما يسبب في كثير من األحيان تعطيل الجهاز أو إيقاف الخدمة.
•
الحزم المعدلة :يقوم المهاجم بإرسال حزم معدلة لهدف خبيث هو أنه عندما تصل الحزمة للمستقبل سواء كان جهاز أو تطبيق سيقوم بالتعامل معها ولكن لن يستطيع معالجتها .على سبيل المثال ،ال تستطيع التطبيقات تعريف إن كانت الحزمة تحتوى على أخطاء أو مهيأة بشكل غير سليم .وهذا يسبب بطء أو تخريب الجهاز المستقبل.
هجمات قطع الخدمة خطيرة على المؤسسات نظ ار ألنها تعرقل االتصاالت وتسبب الخسائر في الوقت والمال .وهي هجمات سهلة التنفيذ إلى حد ما ،ممكن أن يقوم بها أي شخص حتى لو كان مبتدئا .وهدف هجمة قطع الخدمة هو منع وصول المستخدمين للخدمات بجعل الشبكة أو الخدمة غير متاحة .تذكر الثالث مبادئ الرئيسية لألمن ،السرية ،والتماسك والتوافر. فهجمة قطع الخدمة تدمر بشكل أساسي التوافر .أنظر الشكل التالي لتوضيح هجمة قطع الخدمة. أما الهجمة الموزعة لقطع الخدمة Distributed Denial of Service (DDoS) :تشبه هجمة قطع الخدمة ،ولكن الهجمة الموزعة تكون من كثير من المصادر الموجهة نحو الضحية .على سبيل المثال ،يمكن أن تجري هجمة قطع الخدمة على النحو التالي:
64
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يقوم المهاجم ببناء شبكة من الحواسيب المصابة تسمى هذه الشبكة "شبكة البوت" وتتكون من مجموعة من أجهزة الحاسب المسماة "زومبي" .والزومبي هي األجهزة المصابة .يقوم المهاجم بإنزال برنامج التحكم في الزومبي .إذ تقوم حواسيب الزومبي بمسح الشبكة إلصابة أجهزة جديدة لخلق حواسيب زومبي أخرى .وعندما يتم عمل شبكة الزومبي المطلوبة يبدأ المهاجم بإرسال تعليماته لبرنامج التحكم لتسخير شبكة الزومبي للقيام بالهجوم الموزع لقطع الخدمة .الشكل التالي يوضح كيف تتم الهجمة الموزعة لقطع الخدمة ،والشكل يوضح أيضا كيف يتم تسخير كثير من حواسيب الزومبي لتحقيق الهجمة وإغراق الضحية.
غربلة الحزم sniffing :يشبه هجوم غربلة الحزم هجوم التصنت على شخص ما .ويحدث عندما يقوم المهاجم بفحص كل المرور الشبكي الذي يمر ببطاقة التوصيل الشبكي ) Network Interface Card (NICوالذي يوصل جهاز المهاجم بالشبكة ،هذا بغض النظر عن كون المرور موجه له أو لغيره .يحقق القراصنة هجوم الغربلة باستخدام تطبيقات برمجية أو جهاز عتاد أو كالهما معا .وكما نرى في الشكل ،تتم الغربلة بعرض كل سيل البيانات الشبكي وتستهدف بروتوكول معين أو خدمة أو حتى نص من مجموعة حروف مثل معلومات الدخول أو كلمة المرور .كما يقوم المغربلون بمالحظة سيل البيانات
65
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وتعديل بعض أو كل البيانات التي تمر عبر الشبكة .وللغربلة أيضا جوانب إيجابية ،إذ يقوم مديرو الشبكات باستخدام المغربالت (البرامج المستخدمة في الغربلة) لتحليل ومراقبة المرور الشبكي وتحديد مشاكل عرض النطاق و معالجة األمور األخرى المتعلقة بالشبكة .ويعتبر األمن الفيزيائي هام جدا لمنع وجود المغربالت البرمجية أو العتاد على الشبكات الداخلية.
االنتحال spoofing :يعتبر االنتحال نوع من أنواع سرقة الهوية والتظاهر بملكيتها ،ويستغل االنتحال درجة الثقة المتبادلة بين نظامين .فلو تم قبول طريقة المصادقة المتبادلة بين الطرفين ،ثم دخل الفرد للنظام االول فإنه أحيانا لن يحتاج الستخدام الصالحيات ولن يمر بعملية مصادقة لدخول النظام الثاني .يمكن للمهاجم أن يستغل هذا الترتيب فيقوم بإرسال حزمة بيانات للنظام األول والتي تظهر كأنها آتية من النظام الثاني الموثوق فيه .وحيث أن درجة الثقة متبادلة بين الطرفين ،سيقوم النظام المستهدف بعمل المهمة المطلوبة بدون إجراء عملية المصادقة .يوجد عدة أنواع لهجوم االنتحال: َ •
االنتحال بعنوان الماك ( )MAC addressويحدث عندما يقبل جهاز حاسب الحزم اآلتية من جهاز حاسوب آخر بناء عنوان الماك الخاص به.
•
االنتحال بالرقم المعرف للشبكة ( )IPحيث يقوم المهاجم باستخدام رقم معرف للشبكة غير الرقم الحقيقي له ليقوم بالهجوم متخفيا.
•
انتحال آرب :وآرب ) Address Resolution Protocol (ARPهو بروتوكول تحليل العنوان ،بالتحديد يقوم آرب بتحويل الرقم المعرف للشبكة IPإلى عنواك الماك إلجراء عملية نقل البيانات .انتحال آرب يقوم بإرسال رسائل آرب منتحلة عبر الشبكة المحلية ليتم ربط الماك الخاص بالمهاجم مع رقم معرف الشبكة الخاص بشخص موثوق فيه داخل الشركة.
•
نظام أسماء النطاقات ) Domain Name System (DNSيحول األسماء إلى رقم معرف الشبكة مثل تحويل www.cisco.comإلى .102.23.211.2وانتحال أسماء النطاقات يتم بتعديل خادم أسماء النطاقات إلعادة ربط اسم النطاق برقم معرف للشبكة والخاص بجهاز يتحكم فيه المهاجم. 66
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
هجمة الرجل الوسيط Man-in-the-Middle :يقوم المهاجم بعمل هجمة الرجل الوسيط عن طريق التعرض لالتصال بين الحواسيب بهدف سرقة المعلومات التي تمر عبر الشبكة .يمكن للمهاجم أيضا أن يقوم بالتالعب في الرسائل وتوصيل معلومات غير صحيحة بين األجهزة .وألن األجهزة المضيفة لن تكون على دراية بحدوث تعديل في الرسائل ،لذا يقوم المهاجم بالسيطرة على األجهزة بدون علم المستخدم .وخطوات عمل هجمة الرجل الوسيط موجودة في الشكل وهي كالتالي: •
عندما تطلب الضحية فتح صفحة من صفحات الويب ،يتم توجيه الطلب نحو جهاز المهاجم.
•
يستقبل جهاز المهاجم الطلب ثم يسحب صفحة الويب الحقيقية من الموقع المعتمد.
•
يمكن للمهاجم أن يقوم بالتالعب ل صالحة في صفحة الويب بحيث تسمح له بنقل المعلومات من جهاز الضحية.
•
يقوم المهاجم بإرسال الصفحة للجهاز الضحية.
الرجل في الجوال – Man-in-the-Mobileهجمة الرجل في الجوال هي نسخة من نسخ هجمة الرجل الوسيط .تتم هجمة الرجل في الجوال بسيطرة المهاجم على الهاتف النقال لشخص ما .ثم يقوم الهاتف بإرسال المعلومات الحساسة للمهاجم .ويعتبر برنامج ZeuSمن أشهر البرامج لتحقيق تلك الهجمة .ويسمح للمهاجم بسرقة المصادقة ذات العاملين التي تتم بإرسال كود للموبايل .على سبيل المثال ،عندما يقوم المستخدم بإنشاء حساب جديد على شركة آبل ،Appleيجب أن يقوم بإدخال رقم هاتف حقيقي ليستقبل به رسالة نصية تحتوي على رقم دخول للتحقق من هوية المستخدم وأنه شخص حقيقي .والبرمجيات الخبيثة تتلصص على هذا النوع من االتصال وترسل المعلومات للمهاجم. الرد – replyتحدث هجمة الرد بأن يقوم المهاجم بالتقاط جزء من االتصال بين جهازين مضيفين ،ثم يقوم بإعادة أرسال الرسائل الملتقطة بعد ذلك .هجمات الرد تدور حول نظم المصادقة بين الطرفين.
67
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
هجمة ساعة الصفر Zero Day :وفي بعض األحيان تسمى تهديد ساعة الصفر أو تهديد اليوم الصفري .وهي عبارة عن محاولة استغالل الثغرات الموجودة في البرمجيات والغير معروفة أو لم تفصح عنها الشركة المصنعة .وتشير ساعة الصفر إلى اللحظة التي يتم اكتشاف الهجوم فيها .و خالل الوقت التي تستغرقه الشركة المصنعة في تطوير وتوزيع الرقع للثغرات ،تكون الشبكة عرضة للهجوم من خالل تلك الثغرات كما نرى في الشكل .الدفاع ضد هذه الهجمات ذات الوقع السريع يتطلب من محترفي األمن السيبراني أن يستخدموا شكال أكثر تعقيدا للهيكل الشبكي .لذا فلن يمكن وجود نقاط دخول للشبكة بعد ذلك.
تسجيل لوحة المفاتيح Keyboard Logging :مسجل لوحة المفاتيح هو برنامج يسجل نقرات المفاتيح لمستخدم النظام .يمكن للقراصنة االستفادة من برنامج المسجل من خالل تثبيته على نظام الحاسب أو من خالل جهاز مادي موصل فيزيائيا بالحاسوب .يقوم المهاجم بتهيئة برنامج المسجل ليقوم بإرسال ملف سجل النقرات إلى المهاجم عن طريق البريد اإللكتروني. يمكن لتلك النقرات أن تفصح عن معلومات هامة مثل اسم المستخدم ،كلمات المرور ،المواقع التي زارها ،ومعلومات سرية أخرى كثيرة. يمكن لمسجالت لوحة المفاتيح أن تستخدم بشكل مشروع كبرنامج تجاري .على سبيل المثال ،يستخدم اآلباء مسجل المفاتيح في تعقب سلوك أطفالهم على اإلنترنت .تقوم برامج مكافحة التجسس باكتشاف وإيقاف تسجيالت لوحة المفاتيح الغير مشروعة. وعلى الرغم من شرعية استخدام برامج مسجالت المفاتيح إال أن القراصنة يستخدمونها في أغراضهم الخبيثة. الحماية من الهجمات :يمكن للشركة أن تقوم بعدة خطوات لتجنب الهجمات السيبرانية .يجب تهيئة الجدران النارية لتجاهل ا لحزم التي تأتي من خارج الشبكة وتحمل عنوان من عناوين الشبكة الداخلية .حيث أن هذا الموقف غير منطقي وهو ال يحدث بشكل طبيعي ،بل يوضح أن هناك مهاجم يحاول تحقيق هجوم االنتحال. وللحماية من هجمتي قطع الخدمة الموزعة والعادية ،DoS, DDoSيجب التأكد من وجود آخر التحديثات والرقع للبرامج. ويجب توزيع المهام البرمجية على الخوادم المختلفة .ويجب تجاهل أو منع الحزم التي تأتي ببروتوكول رسائل التحكم باإلنترنت ( ) ICMPعلى حدود الشبكة .تستخدم أجهزة الشبكة هذا البروتوكول لتراسل األخطاء فيما بينها .على سبيل المثال ،يستخدم األمر pingحزم بروتوكول التحكم برسائل االنترنت للتأكد من أن جهاز يستطيع التواصل مع جهاز آخر على الشبكة. 68
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستطيع النظام منع نفسه من الوقع ضحية لهجمة الرد عن طريق تشفير سيل البيانات الذي يمر عبر الشبكة وعمل مصادقة مشفرة وتضمين الوقت والتاريخ على كل الرسائل المتبادلة .أنقر على الرابط التالي لتعرف أكثر عن أنواع الهجمات السيبرانية المختلفةhttp://www.theguardian.com/public-leaders-network/2015/oct/14/how-to-stop-cyber- . attacks-on-your-organisation 3.3.2هجمات األجهزة الالسلكية والنقالة البرامج الرمادية Grayware :أصبحت البرامج الرمادية مشكلة كبيرة في مجال أمن الهواتف النقالة نظ ار النتشار األجهزة الذكية .والبرمجيات الرمادية هي برمجيات بغرض المضايقة واإلزعاج ،ولذا لم تسمى مثال برامج سوداء أو خبيثة وانما سميت رمادية نظ ار ألنها تحتوي على تطبيقات تتصرف بشكل مزعج أو غير مرغوب فيه ،كما أنها على الغالب ال تحوي برمجيات خبيثة .ومع ذلك فمن الممكن أن تمثل خط ار على المستخدم ،على سبيل المثال تقوم بعض هذه البرمجيات بتتبع الموقع الجغرافي للمستخدم .ومطوري البرمجيات الرمادية يحصلون على شرعية التوزيع بإدراج قدرات برمجياتهم في اتفاقية الترخيص المكتوبة بشكل صغير وغير ملفت للنظر .وعادة ما يقوم المستخدمون بتحميل برامج الموبايل دون االكتراث بقراءة تلك االتفاقيات أو معرفة قدرات البرامج. أما التنصيص فهي هجمة تستخدم فيها الرسائل النصية القصيرة SMSفي االحتيال .حيث يتم إرسال رسالة نصية مزيفة إلى الضحية ويتم خداع المستخدم لزيارة موقع إلكتروني أو االتصال برقم هاتف .نتيجة لذلك غالبا ما يستجيب المستخدم المستهدف ويدلي بمعلوماته الحس اسة كرقم البطاقة االئتمانية الخاصة به .وزيارة المواقع اإللكترونية الغير موثوقة ممكن أن يتسبب في تنزيل برمجيات خبيثة وإصابة الجهاز دون علم المستخدم. نقاط الوصول المخادعة :نقطة الوصول المخادعة هي نقاط وصول السلكي مثبتة على شبكة محمية بدون تصريح أو مصادقة .يمكن تركيب نقطة الوصول المخادعة بإحدى طريقتين ،الطريقة األولى هي أن يقوم موظف في الشركة بمحاولة مساعدة زمالئه وتوفير نقطة اتصال السلكية باإلنترنت بشكل مجاني .الطريقة الثانية ،أن يقوم المهاجم باالقتحام الجسدي للشركة ثم يقوم بزرع نقاط اتصال السلكي مخادعة .ونظ ار ألن كال الطريقتين بهدف الخداع فإنهما يمثالن خط ار كبي ار على الشركة .يمكن اإلشارة لنقاط الوصول المخادعة باسم نقاط الوصول الهجومية ،إذ يقوم المهاجم بزرع نقاط اتصال مخادعة ويستخدمها كجهاز وسيط ثم يستخدم تقنية هجمة الرجل الوسيط اللتقاط معلومات دخول النظم من المستخدمين. هجمة "توأم الشر" تستخدم فيها نقاط الوصول الهجومية كنقاط اتصال السلكي تمتاز بقوتها في اإلشارة والتغطية والسرعة لتبدو كخيار أفضل لالتصال بالشبكة أو االنترنت .بعد أن يتصل المستخدمون بنقاط توأم الشر ،يستطيع المهاجمون تحليل سيل المرور الشبكي وعمل هجمات الرجل الوسيط.
69
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التشويش بالراديو RF Jamming :الموجات الالسلكية سريعة التأثر بتداخل الموجات الكهرومغناطيسية Electromagnetic ) Inference (EMIأو تداخل موجات الراديو ) Radio-frequency inference (RFIوتتأثر أيضا في بعض األحيان بالصواعق والومضات الضوئية أو حتى ضوء لمبات الفلورسنت .وتكون الموجات الالسلكية عرضة أيضا للتشويش المتعمد. التشويش بالراديو يقطع سبل االتصال باستخدام موجات الراديو او محطات األقمار الصناعية ولذلك ال تصل اإلشارة إلى المحطات أو األجهزة المستقبلة. لتحقيق تشويش ناجح لإلشارة الالسلكية ،يجب أن تتساوى الطاقة والتردد وشكل التضمين Modulationالموجود في مشوش الراديو والجهاز الذي يريد المهاجم تعطيل خدمته. رفع البلوتوث ومسح البلوتوث Bluejacking and Bluesnarfing :البلوتوث بروتوكول اتصال له أشاره ضعيفة تغطي مساحة صغيرة .يقوم البلوتوث بنقل البيانات في الشبكات الشخصية المحلية ) Personal Area Network (PANويمكن أرفاق أجهزة كالطابعات واألجهزة النقالة وأجهزة الحاسب المحمولة بتلك الشبكات .تطور البلوتوث وكل فترة يتم انتاج إصدار حديث منه .يتميز البلوتوث بسهولة التهيئة واالستخدام فهو ال يحتاج إلى عنوان شبكة لالتصال .يستخدم تقنية االزدواج إلقامة عالقة اتصال بين جهازين .وعند عمل االزدواج ،يستخدم الجهازين نفس المفتاح الخاص. ظهرت في البلوتوث ثغرات ،ولكن نظ ار لنطاق التغطية المحدود للبلوتوث ،يحتاج المهاجم أن يكون قريبا جدا من الضحية كي يحقق الهجوم الناجح. •
رفع البلوت وث :يتم رفع الرسائل الغير موثوقة من جهاز بلوتوث إلى جهاز بلوتوث آخر .كنوع من هذا الهجوم يتم ارسال صورة جذابة إلى الجهاز اآلخر.
•
مسح البلوتوث :يحدث هذا الهجوم عندما يقوم المهاجم بأخذ نسخة من المعلومات الشخصية والموجودة على جهاز الضحية .من الممكن أن تحتوى هذه المعلومات على رسائل بريد إلكتروني أو قائمة االتصال.
الهجوم على تقنيات التشفير خصوصية السلكي و وحامي الواي فاي :تقنية تشفير "خصوصية السلكي" WEPهي عبارة عن بروتوكول أمني يهدف لحماية الشبكة المحلية الالسلكية WLANبنفس كفاءة الحماية الخاصة بالشبكة المحلية السلكية . LANنظ ار ألن الحماية الفيزيائية تساعد في حماية الشبكة المحلية السلكية ،قدم بروتوكول خصوصية السلكي نظاما مشابها لحماية البيانات عند نقلها على الشبكة الالسلكية عن طريق استخدام التشفير. خصوصية السلكي يستخدم مفتاحا للتشفير وال يوجد إدارة للمفاتيح فيه ،ولذلك فإن عدد األفراد الذين يستخدمون نفس المفتاح في تزايد دائم .وحيث أن جميع األشخاص يستخدمون نفس المفتاح ،تكون فرصة المهاجم أعظم في الوصول لعدد أكبر من المستهدفين وبالتالي كمية أكبر من سيل البيانات .يستطيع المهاجم استخدام تقنيات تحليل سيل البيانات الستخراج المعلومات
70
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الحساسة منه .وخصوصية السلكي لدية مشاكل عديدة في متجه التهيئة ) Initialization Vector (IVالخاص به .ومتجه التهيئة هو جزء من نظام التشفير وله المساوئ التالية: •
هو حقل طوله 24بت ،وهو قصير للغاية.
•
هو نص صريح غير مشفر ،بمعنى أنه سهل االطالع عليه وقراءته.
•
هو ثابت وال يتغير ولذا فإن مفاتيح متشابهة سيتم تكرار استخدامها في الشبكات المزدحمة.
أما التشفير بتقنية "حامي الواي فاي" WPAوبعده حامي الواي فاي WPA2 2ظهرت كتقنيات تشفير متطورة الستبدال استخدام "خصوصية السلكي" .حامي الواي فاي 2ال توجد لديه المشاكل التي وجدت في خصوصية السلكي ألن المهاجم ال يستطيع استنباط مفتاح التشفير بمراقبة فيض البيانات في الشبكة .وعلى الرغم من ذلك فحامي الواي فاي 2عرضة للهجمات ألن المهاجمين يستطيعون تحليل البيانات التي تنتقل بين نقطة االتصال الالسلكي والمستخدم البريء .يستطيع المهاجمين استخدام مغربالت الحزم ثم بعدها يمكن تحقيق الهجوم المعزول عن الشبكة الستخراج كلمة المرور. الدفاع ضد هجمات األجهزة الالسلكية والنقالة :يوجد العديد من الخطوات التي يمكن اتخاذها لحماية األجهزة النقالة والهواتف الذكية ضد الهجمات السيبرانية .غالب منتجات الشبكات الالسلكية تستخدم اإلعدادات االفتراضية أو إعدادات المصنع .قم باالستفادة من اإلمكانيات األساسية المتوفرة لتلك المنتجات لحماية الشبكة الالسلكية ،من تلك اإلمكانات المصادقة والتشفير على األقل قم بتغيير االعدادات االفتراضية لالستفادة من هذه اإلمكانات .قم بحصر الوصول لنقاط االتصال الالسلكي الخاصة بالشبكة بوضع تلك األجهزة خارج إطار الجدار الناري أو بداخل المنطقة الغير محمية Demilitarized zone ) (DMZوالتي تحتوى على كثير من األجهزة األخرى الغير ثقة مثل خوادم البريد اإللكتروني وخوادم التصفح. توجد أدوات مثل NetStumblerتستخدم الكتشاف نقاط االتصال المخادعة أو محطات العمل الغير موثوقة .استخدم سياسة خاصة بالضيوف لكي تعرف حاجة الضيوف االتصال بشبكة االنترنت عند زيارتهم ويسهل بعدها تحديد الغرباء .وبالنسبة للموظف الموثوق ،استخدم تقنية الشبكة االفتراضية الخاصة VPNعند طلبهم الوصول لإلنترنت من خالل الشبكة الالسلكية .WLAN 3.3.3هجمات التطبيقات البرمجة عبر المواقع :البرمجة عبر المواقع Cross-site scripting XSSهي ثغرة لتطبيقات شبكة االنترنت .فالبرامج عبر االنترنت تسمح للمهاجمين بحقن ملفات التعليمات البرمجية في صفحات المواقع والتي يزورها كثير من المستخدمين .وعادة ما يحتوي هذا الملف على شفرة خبيثة .تلك الهجمة لها ثالث مشاركين :المهاجم والضحية والموقع اإللكتروني .ال يقوم المهاجم باستهداف الضحية بشكل مباشر ،بدال من ذلك يقوم المهاجم باستغالل ثغرة موجودة في موقع إلكتروني أو تطبيق إنترنت .ثم يقوم بحقن ملفات التعليمات البرمجية الموجهة للعميل في صفحات الموقع اإللكتروني والتي يستخدمها كثير من المستخدمين 71
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ومنهم الضحايا .وبدون علم الضحية يقوم ملف التعليمات بتحميل نفسه إلى مستعرض الويب الخاص بالضحية .وهذا النوع من البرمجيات الخبيثة يمكنه الوصول لملفات االرتباط ورموز الجلسة والعديد من المعلومات السرية األخرى .فلو حصل المهاجم على ملفات االرتباط للضحية ،يمكنه على الفور انتحال شخصية المستخدم. حقن التعليمات البرمجية :من الطرق المستخدمة في حفظ البيانات على مواقع االنترنت استخدام قواعد البيانات .يوجد العديد من أنواع قواعد البيانات مثل قواعد بيانات لغة االستعالم الهيكلية SQLوأيضا قواعد بيانات لغة التوصيف الموسعة .XML كال من الهجمتين على لغة االستعالم ولغة التوصيف تستغالن نقاط الضعف في البرنامج ،على سبيل المثال تكون نقطة الضعف بأن يقوم البرنامج بالتأكد من صحة البيانات المدخلة تأكيدا ضعيفا. حقن لغة التوصيف :XMLعند استخدام قاعدة بيانات بلغة التوصيف ،فإن هجمة لغة التوصيف يمكنها تخريب البيانات .ففي التشغيل الطبيعي ،وبعد أن يقوم المستخدم بإدخال المدخالت ،يتم الوصول للبيانات عن طريق استعالم .وتحدث المشكلة الكبرى عندما ال يتم التمحيص الجيد للمدخالت التي يتم بها االستعالم (الشفرة التي يكتب بها االستعالم ال تظهر للمستخدم). حيث يقوم المهاجم بتعديل البيانات التي يدخلها المستخدم لتكون جمل استعالمية .المدخالت المعدلة لتصبح استعالم مخصصة لغرض يحتاجه المهاج م كأن يسحب بيانات من قاعدة البيانات .وكل المعلومات الحساسة بداخل الموقع والمخزنة على قاعدة بياناته تكون عرضة للتخريب والسرقة كما يمكن للمجرمين تعديل الموقع اإللكتروني كما يحتاجون .هجمة حقن لغة التوصيف هي هجمة خبيثة تهدد أمن المواقع اإللكترونية. حقن لغة االستعالم :SQLيقوم المهاجمون باستغالل الثغرات عن طريق حقن جمل استعالمية SQLفي أي حقل مدخالت يستخدمه المستخدم في الموقع اإللكتروني .وفي هذه الحالة أيضا كما رأينا في حقن لغة التوصيف ،فإن النظام ال يقوم بترشيح المدخالت بشكل صحيح وال ينتبه للمدخالت وال يفحص الحروف ليتأكد من خلو المدخالت من جمل االستعالم .SQLيقوم المهاجمون باستخدام هجوم حقن لغة االستعالم مع قواعد البيانات أو أي موقع إلكتروني .يمكن للمجرمين أن يقوم بسرقة الهوية أو تعديل البيانات أو تدميرها أو حتى يصيروا مديرين لقاعدة البيانات التي سرقوها. فيض الصوان Buffer Overflow :تحدث هذه الهجمة عندما يكون حجم البيانات التي يراد تخزينها في الصوان أكبر منه هو ،فتنسكب البيانات في األماكن الغير مخصصة لها .الصوان هو عبارة عن ذاكرة مؤقته محجوزة للتطبيقات .فبتعديل البيانات خارج نطاق الصوان ،تكون التطبيقات عرضة الستعمال أماكن في الذاكرة ليست مخصصة لها وإنما مخصصة لتطبيقات أخرى .فيؤدي هذا إلى تخريب النظام ،أو تعرية البيانات أو رفع الصالحيات. تقرير CERT/CCالخاص بجامعة كارنجي ميلون يقول بأن ما يقارب نصف الثغرات في برامج الحاسب تنبع أساسا من نوع من أنواع فيض الصوان .يقسم فيض الصوان للعديد من األنواع ،مثل تجاوز المخزن المؤقت الثابت ،أخطاء العنونة ،مشكالت
72
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
في تنسيق سلسلة األحرف ،عدم تطابق حجم الصوان الخاص بالحروف من نوعي ،Unicode, ANSIأو تجاوز كومة الذاكرة .Heap تنفيذ التعليمات البرمجية عن بعد :تعطي الثغرات الفرصة للمهاجمين لتنفيذ برمجيات خبيثة والتحكم في النظم وجلب الصالحيات للمستخدم الذي يشغل التطبيق .تنفيد التعليمات عن بعد يعني أن يقوم المهاجم بتنفيذ أي أمر من األوامر التي يحتاجها على الجهاز المستهدف. على سبيل المثال برنامج Metasploitهو أداه لتطوير وتنفيذ االستغالل لشفرة برمجية ضد هدف بعيد Meterpreter .هو وحدة برمجية استغاللية بداخل Metasploitوالتي توفر خصائص متقدمة .و Meterpreterيسمح للمهاجمين بكتابة امتداداتهم البرمجية وعملها ككائن للمشاركة .يقوم المهاجم بتحميل وحقن هذه الملفات في العمليات البرمجية الجارية على الجهاز المستهدف .ويقوم Meterpreterبتحميل وتنفيذ كل االمتدادات من الذاكرة ،ولذلك ال يقترب من القرص الصلب .وهذا أيضا يعني أن Meterpreterيطير بعيدا عن رادار مكافح الفيروسات .ولدى Meterpreterوحدة برمجية للتحكم عن بعد في كامي ار الويب الخاصة بالضحية .فبعد أن يتم تثبيت Meterpreterعلى الجهاز الضحية ،يمكن للمهاجم أن يأخذ لقطة من شاشة الضحية أو يعرض ما تراه الكاميرا. عناصر تحكم اكتيف إكس وجافا :عند تصفح اإلنترنت ،بعض العناصر لن تعمل بشكل جيد إال إذا قام المستخدم بتثبت عنصر تحكم أكتيف اكس .وهي عناصر تحكم توفر إمكانيات المكون اإلضافي pluginلمستعرض االنترنت .عناصر تحكم اكتيف اكس هي قطع برمجية يتم تثبيتها من قبل المستخدم لتوفر إمكانيات إضافية .والشركات األخرى تقوم بكتابة برمجيات لبعض عناصر اكتيف اكس وأحيانا تكون البرمجيات خبيثة .مثال يستطيع المهاجم أن يراقب نشاط التصفح الخاص بالمستخدم أو يقوم بتثبيت برمجية خبيثة أو يسجل لوحة المفاتيح .وعناصر أكتيف اكس تعمل أيضا مع برامج ومنتجات شركة ميكروسوفت. تعمل الشفرات البرمجية للجافا من خالل مترجم ،واسمه الماكينة الظاهرية لجافا ) .Java Virtual Machine (JVMوهذا المترجم يتيح استخد ام برامج وإمكانيات الجافا .والمترجم يقوم بعمل واقي للشفرات البرمجية المكتوبة بلغة الجافا فيعزلها عن باقي نظام التشغيل .وتوجد ثغرات تسمح للشفرات البرمجية الغير موثوقة بالمراوغة حول القيود التي يفرضها ذلك الواقي .وتوجد أيضا ثغرات في مكتبة فئات الجافا ،والتي يستخدمها البرنامج للتأمين .وتعتبر جافا ثاني أكبر مصادر الهجمات والثغرات األمنية ،وفي المرتبة األولى البرامج اإلضافية للفالش. الدفاع ضد هجمات التطبيقات :الخط األول للدفاع ضد هجمات التطبيقات يكون بكتابة شفرة برمجية قوية .بغض النظر عن لغة البرمجة المستخدمة ،أو شكل المدخالت الخارجية ،فإنه من االحت ارزات البرمجية الهامة معاملة كل المدخالت التي ترد من خارج البرنامج كأنها عدائية .لذا قم بالتحقق من جميع المدخالت وكأنها كلها عدائية .حافظ على ترقية كل البرامج وخاصة 73
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
نظام التشغيل لتكون في أحدث حاالتها وال تتجاهل رسائل طلب التحديث حيث أنه ليس كل البرامج تقوم بالتحديث التلقائي. ولكن يفضل التحديث اليدوي حيث يستطيع المستخدم رؤية التحديثات قبل تثبيتها. ملخص الفصل الثالث التهديدات والثغرات والهجمات هي محور التركيز الرئيسي لمحترفي األمن السيبراني .تم في هذا الفصل بمناقشة العديد من الهجمات السيبراني التي يقوم بها معظم المهاجمين .وقد تم توضيح تهديدات البرمجيات الخبيثة .وتم مناقشة أنواع هجمات الخداع والتي تخص الهندسة االجتماعية .وتم تغطية أنواع الهجمات السلكية والالسلكية .وأخي ار تم مناقشة الثغرات التي تقدمها برامج وتطبيقات االنترنت. فهم طبيعة وأنواع التهديدات المحتملة يعطي للمؤسسة المقدرة على تحديد الثغرات ومجابهتها .ويعطيها أيضا مقدرة على التفكير في كيفية حماية العمليات داخل الشركة من التهديدات المحتملة كالخداع والمراوغة للوصول للبيانات.
74
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الرابع فن حماية األسرار إن حماية األسرار التي يتم تبادلها من خالل االتصاالت ترتكز بشكل أساسي على مبادئ التشفير كالخوارزميات والبروتوكوالت الحديثة .والتعمية هو علم بناء وتحطيم الشفرات البرمجية السرية .وعلم تطوير وصناعة واستخدام هذه الشفرات البرمجية يسمى علم التعمية .أما دراسة وتحليل واستنباط البيانات األصلية من البيانات المشفرة يسمى علم استخراج المعمى .والتشفير هو تقنية من تقنيات التعمية ،وفك التشفير هو تقنية من تقنيات استخراج المعمى .تستخدم المجتمعات تقنيات التشفير منذ عدة قرون لحماية المستندات .على سبيل المثال ،استخدم يوليوس قيصر ملك الروم شيفرة بسيطة عن طريق تغيير مكان األحرف في النص بهدف التراسل بين جنراالت الحرب في ميدان القتال .وهؤالء الجنراالت كان لديهم معرفة مسبقة بمفتاح فك الشفرة والذي يمكنهم من الحصول على النص األصلي .وفي هذه األيام ،فإن طرق التشفير الحديثة تحقق اتصاال آمنها بدرجة عالية مقارنة بذي قبل. التحكم في الوصول ،كما نفهم من اسمه ،هو طريقة للتحكم في الدخول إلى مبنى أو حجرة أو نظام أو قاعدة بيانات أو ملف أو معلومة .يتم تبنى تقنيات تحكم في الوصول مختلفة من قبل الشركة لحماية سرية معلوماتها .وفي هذا الفصل سيتم التركيز على الخطوات األربع لعملية التحكم في الوصول )1 .تعريف الهوية )2المصادقة )3التفويض )4المسائلة أو المتابعة. وأيضا يشرح هذا الفصل النماذج واألنواع المختلفة للتحكم في الوصول. ثم ينتهي الفصل بمناقشة الطرق المختلفة لعمل تعتيم البيانات .االستخفاء والتشويش هما علمان متخصصان في عمل قناع للبيانات.
4.1علم التشفير 4.1.1مقدمة في التشفير ما هو التشفير : Cryptographyعلم التشفير هو علم صناعة وكسر الشفرات السرية .التشفير هو طريقة لتخزين ونقل البيانات بحيث يتمكن فقط المتلقون من قراءة ومعالجة البيانات .يستخدم التشفير الحديث خوارزميات حاسوبية سرية للتأكد من أن القراصنة ال يستطيعون كشف البيانات المحمية .سرية البيانات هي عملية التأكيد على الخصوصية بحيث يتمكن فقط المتلقي المطلوب باستقبال وقراءة الرسالة ويتم تحقيق ذلك باستخدام التشفير .والتشفير يعني عملية خلط أو تشويش البيانات بطريقة منظمة بحيث ال يتمكن األشخاص الغير مخولون من قراءة البيانات بسهولة .وعند عمل تشفير ،تسمى البيانات المقروءة بالنص الصريح أما النسخة التي ال يسهل قراءتها تسمى النص المشفر .و طريقة التشفير هي عملية تحويل النص الصريح سهل القراءة إلى نص مشفر ال يسهل قراءته .وطريقة فك الشفرة هي العملية العكسية أو عملية تحويل النص المشفر
75
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
إلى نص صريح .وتتطلب عملية التشفير مفتاح يسمى مفتاح التشفير والذي يلعب دو ار هاما في عملية تشفير وفك تشفير الرسائل .والشخص الذي يملك مفتاح التشفير يستطيع الحصول على النص الصريح من النص المشفر. وتاريخيا ،تم استخدام طرق كثيرة وخوارزميات كثيرة لعمل تشفير للبيانات .والخوارزمية هي مجموعة تعليمات برمجية لحل مشكلة ما .وقد استخدم يوليوس قيصر ملك الروم طريقة مشهورة باسمه تسمى شيفرة قيصر ،وفيها يتم مجاورة صفين من األحرف الهجائية .الصف األعلى تكون فيه الحروف األبجدية مرتبة من األلف إلى الياء أم الصف السفلي ففيه الحروف مرتبة أيضا ولكن تم تحريكها لليمين بمسافة معينة ،كما نرى في الشكل تم تحريك األحرف لليمين مسافة ثالثة مواضع.
هذا العدد من المواضع يكون بمثابة المفتاح .وكان يقوم القيصر بتحويل النص الصريح إلى نص مشفر باستخدام هذا المفتاح، وفقط الجنراالت يملكون نفس المفتاح ولذا يستطيعون فك شفرة النص وتحويله إلى نص صريح مرة أخرى. تاريخ علم التشفير :بدأ علم التشفير من آالف السنوات في الدوائر الملكية .حيث كانت تقوم الرسل في البالط الملكي بنقل الرسائل بين الملوك .ومن حين آلخر ،كانت الممالك األخرى والتي ليست طرفا في المراسلة تحاول سرقة الرسائل المرسلة للمملكة التي تعتبرها عدوا لها .وبعدها بفترة وجيزة ،بدأ جنراالت الجيش باستخدام التشفير للتراسل بسرية تامة. وعلى مر العصور ،وجد العديد من الطرق واألجهزة إلجراء عملية التشفير منها •
سكيتال Scytale
•
شيفرة قيصر
•
شيفرة فيجينار
•
آلة أنجما Enigma
كل طرق التشفير بشكل عام تستخدم مفتاح التشفير وفك التشفير .والمفتاح هذا هو أهم مكون في خوارزمية التشفير .وتقاس جودة عملية التشفير بجودة استخدام وسرية المفتاح .وكلما زاد التعقيد في معرفة المفتاح ،كلما زادت سرية الخوارزمية .وهناك إدارة تسمى "إدارة المفاتيح" وهي وظيفة مهمة في نظام التشفير.
76
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الحصول على نص مشفر :تستخدم كل طريقة من طرق التشفير خوارزمية تسمى الشيفرة لتشفير وفك تشفير الرسائل .الشيفرة هي عبارة عن عدة خطوات محددة تستخدم لتشفير وفك تشفير الرسائل .يوجد العديد من الطرق للحصول على نص مشفر من هذه الطرق: •
النقل : Transpositionوفيه يتم تغيير أماكن األحرف أو بمعنى آخر لخبطة األحرف ،مثال يتم تنظيم النص في صورة صفوف وأعمدة ثم يتم اختيار األعمدة كأنها الكلمات المشفرة ،مثال النص I HATE MY BOSS OSAMAيتم تشفيرها بتحويلها مثال إلى أربعة أعمدة كما بالشكل ،ويكون النص المشفر هو الكلمات في األعمدة IEOS HMSA AYSM .TBOA H
T
A
B
E M Y
S O
O S
A M A
•
I
S
التعويض : Substitutionوفيه يتم تبديل األحرف بأحرف أخرى ،كما ذكرنا في شيفرة قيصر ،فإن األحرف األبجدية يتم ترتيبها بوضع نسختين منها في صفين .الصف األول يحتوى على الحروف األبجدية دون تغيير ،الصف الثاني يحتوى على الحروف ولكن يتم تغيير موضع االحرف لليسار بمسافة محددة (ثالثة حروف) كما بالشكل (الجزء األوسط من الشكل) .فيتم مثال تغيير موضع الحرف Aليقابل حرف Dوحرف Bليقابل حرف Eوهكذا .فإذا كان النص الصريح هو كلمة FLANKفإن النص المشفر يتم حسابه بالنظر إلى الشكل لمعرفة الحرف المقابل لكل من األحرف Fو Lو Aو Nو .Kبالنظر للشكل في الجزء األوسط منه (الصف األعلى) نجد أن حرف Fيقابله حرف Iوحرف Lيقابله حرف O وحرف Aيقابله حرف Dوحرف Nيقابله حرف Qوحرف Kيقابله حرف Nوبذلك يكون النص المشفر هو .IODQN
77
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
غالف المرة الواحدة : One-time padيتم دمج النص الصريح مع مفتاح سري عشوائي يستخدم مرة واحدة فقط لعمل حرف جديد .ثم يتم إجراء عملية منطقية تسمى XORبين الحرف الجديد وبين النص الصريح للحصول على النص المشفر كما هو موجود بالصورة.
الخوارزميات القديمة ،مثل شيفرة قيصر أو آلة أنجما تعتمد سريتها بشكل أساسي على الخوارزمية المستخدمة لتحقيق السرية. ومع تطور التقنيات الحديثة ،والتي أصبح من السهل فيها استخدام الهندسة العكسية ،تستخدم الشركات ما يسمى بخوارزميات المجال العام .وهذا يعني أن سرية التشفير تعتمد اعتمادا كليا على سرية مفتاح التشفير وليس الخوارزمية نفسها كما في السابق .وتستخدم الطرق الحديثة في التشفير نفس المبادئ القديمة ضمن خوارزمياتها مثل استخدام النقل أو التعويض. أصعب المهام في نظام التشفير هي "إدارة المفاتيح" .فمعظم نظم التشفير تفشل بسبب أخطا في عملية إدارة المفاتيح .وكل نظم التشفير الحديثة تتطلب نظام إلدارة المفاتيح .وبشكل عملي ،معظم الهجمات على نظم التشفير تتم عن طريق مهاجمة إدارة المفاتيح وال يتم الهجوم على خوارزمية التشفير نفسها. فئات التشفير :يمكن تحقيق السرية باستخدام نظم التشفير التي بدورها تستخدم أدوات وبروتوكوالت متنوعة .يوجد منهاجين لتأكيد سرية البيانات عند استخدام التشفير .المنهاج األول هو حماية خوارزمية التشفير .فإذا كانت سرية الخوارزمية تعتمد اعتمادا كليا على الخوارزمية نفسها ،فيجب حمايتها بشتى الطرق الممكنة .فكلما توصل شخص لتفاصيل خوارزمية ،يمكن ألي طرف مهتم أن يقوم بالتالعب في الخوارزمية .وهذا المنهاج ال يبدو سريا بشكل كاف وال يمكن إدارته بسهولة .أما المنهاج الثاني هو حماية مفاتيح التشفير .مع نظم التشفير الحديثة ،تكون الخوارزمية معروفة للجميع .ومفاتيح التشفير هي التي تؤكد على سرية البيانات .ومفاتيح التشفير هي كلمات المرور التي تكون جزء من المدخالت ألي خوارزمية تشفير والجزء الثاني يكون النص الصريح المراد تشفيره .توجد فئتين من خوارزميات التشفير:
78
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الخوارزميات المتماثلة :Symmetricوهذه الخوارزميات تستخدم نفس المفتاح المشترك في عمليتي التشفير وفك التشفير .ويجب أن يتم تشارك المفتاح بين المرسل والمستقبل قبل البدء في أي عملية اتصال .كما نرى في الشكل، تستخدم الخوارزميات المتماثلة نفس المفتاح في تشفير وفي فك تشفير النص الصريح .وخوارزميات التشفير التي تستخدم مفتاح مشترك تكون أبسط وتحتاج إلى طاقة حاسوبية بسيطة.
•
الخوارزميات الغير متماثلة :Asymmetricتستخدم الخوارزميات الغير متماثلة مفتاح للتشفير ومفتاح مختلف لفك التشفير .المفتاح األول يكون مفتاح عام والثاني يكون مفتاح خاص .وفي نظم التشفير بالمفتاح العام ،يمكن ألي شخص أن يقوم بتشفير الرسالة باستخدام المفتاح العام الخاص بمتلقي الرسالة ،ولكن متلقي الرسالة هو الوحيد الذي يستطيع فك شفرة الرسالة باستخدام المفتاح الخاص .يتم تراسل الرسائل بين األطراف دون احتياج لمفتاح مشترك ،كما نرى في الشكل .فالخوارزميات الغير متماثلة أكثر تعقيدا .وهذه الخوارزميات تستخدم موارد أكثر وتحتاج لوقت أطول في التنفيذ.
4.1.2التشفير المتماثل -التشفير بالمفتاح الخاص Private Key Encryption عملية التشفير المتماثلة :تستخدم خوارزميات التشفير المتماثل مفتاحا مشتركا لتشفير وفك تشفير البيانات ،وتسمى أيضا هذه الطريقة ط ريقة "التشفير بالمفتاح الخاص" .على سبيل المثال إليسا وبوب هم أشخاص يعيشان في منطقتين جغرافيتين مختلفتين ويريدان تبادل رسائل سرية بينهما باستخدام نظام بريدي .وإليسا هي التي تريد إرسال رسالة سرية لبوب.
79
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستخدم نظام التشفير بالمفتاح الخاص خوارزمية متماثلة .كما نرى في الشكل ،يتم استخدام مفتاح واحد فقط .فإليسا وبوب يمتلكان نسختين من نفس المفتاح لقفل واحد .تحدث عملية مراسلة المفتاح قبل البدء في إرسال أي رسالة سرية .تقوم إليسا بكتابة الرسالة السرية وتضع الرسالة في صندوق صغير والذي تقوم بغلقة بالقفل .ثم تقوم بإرسال الرسالة بالبريد إلى بوب. وتكون الرسالة آمنة بداخل الصندوق أثناء قطعها للطريق نحو بوب بالتنقل في نظام البريد .وعندما يستقبل بوب الصندوق، يستخدم مفتاحه لفك القفل واستخراج الرسالة .ويمكن لبوب أن يرسل ردا سريا إلى إليسا باستخدام نفس الصندوق. وإذا أراد بوب م ارسلة كارال سيحتاج إلى مفتاح جديد مشترك بينه وبين كارال لكي يخفي مراسلته الجديدة مع كارال بعيدا عن إليسا .وبالقياس على ذلك ،إذا أراد بوب مراسلة العديد من الفتيات بشكل سري سيحتاج إلى عدد من المفاتيح يساوي عدد الفتيات .وستظهر حينها مشكلة إدارة مفاتيح المراسلة.
أنواع التشفير :أكثر أنواع التشفير شهرة النوعين المسميان شيفرة الكتل وشيفرة التدفق .وتختلف الشيفرتان في الطريقة التي يتم فيها تجميع البتات bitsلتشفيرها. •
شيفرة الكتل :Block Ciphersتقوم شيفرة الكتل بتحويل كتلة من البتات بطول ثابت إلى كتلة معروفة الطول مثال 64 بت أو 128بت .وحجم الكتلة هنا يعبر عن كمية البيانات التي يتم تشفيرها في المرة الواحدة .ولفك تشفير النص ،يتم تطبيق عملية التحويل العكسية على كتلة النص المشفر (كتلة كتلة) ،باستخدام نفس المفتاح السري .في شيفرة الكتل ،عادة ما يكون الناتج من عملية التشفير أكبر من الكتلة المدخلة ،حيث أن حجم النص المشفر يجب أن يكون بحجم عدة كتل من النص الصريح .على سبيل المثال خوارزمية معيار تشفير البيانات (دياس )DESهي خوارزمية متماثلة تقوم بتشفير كتلة بحجم 64بت مستخدمة مفتاح بطول 56بت .ولتحقيق ذلك ،تقوم الخوارزمية بأخذ تجميعه واحدة من البيانات في كل مرة ،على سبيل المثال 8 ،بايت لكل تجميعه حتى يتم ملئ الكتلة .إن انتهت البيانات المدخلة قبل ملئ الكتلة ،يتم إضافة بيانات مصطنعة او مسافات فارغة حتى يتم ملئ البلوك الكامل بحجم 64بت ،كما هو موضح بالشكل التالي:
80
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
شيفرة التدفق :Stream cipherعلى عكس شيفرة الكتل ،تقوم شيفرة التدفق بتشفير النص الصريح بأخذ بايت واحد أو بت واحد في المرة الواحدة كما هو موضح بالشكل .وباستخدام شيفرة التدفق ،فإن عملية تحويل هذه البيانات الصغيرة الطول ( بت واحد في الغالب) إلى نص مشفر تختلف بناء على الوقت الذي ستأتي فيه إلى خوارزمية التشفير .شيفرة التدفق ممكن أن تكون أسرع بكثير من شيفرة الكتل ،وعادة ال يتم زيادة حجم الرسالة ،حيث أنه يمكن تشفير عدد اعتباطي البتات.
من
A5هي شيفرة تدفقية تعطي خصوصية لالتصال الصوتي حيث تقوم بتشفير جميع االتصاالت الصوتية .ويمكن أيضا استخدام خوارزمية دياس في شكلها التدفقي .وفي نظم التشفير المعقدة يتم الدمج بين نوعي التشفير الكتلي والتدفقي.
خوارزميات التشفير المتماثل :يوجد العديد من نظم التشفير التي تستخدم الطريقة المتماثلة .بعض من الطرق الشائعة والقياسية للتشفير تستخدم التشفير المتماثل مثل: •
3DESأو دياس الثالثي :دياس هو نظام تشفير كتلي متماثل يستخدم كتل بحجم 64بت ومفتاح بطول 56بت .حيث يأخذ الكتلة بحجم 64بت من النص الصريح ويحولها إلى كتلة مشفرة بحجم 64بت أيضا .وعادة ما يعمل على كتل متساوية الحجم ويستخدم التباديل والتعويض في خوارزميته .والتباديل معناه إيجاد كل الطرق لترتيب عناصر داخل مجموعة .ودياس الثالثي يقوم بتشفير البيانات ثالث مرات باستخدام دياس ،ويستخدم مفتاح مختلف على األقل في مرحلة واحدة من دوراته الثالث ،معطيا إياه طوال تراكميا لمفتاحه ،بطول 112إلى 168بت .ودياس الثالثي مقاوم للهجمات، ولكنه أبطأ بكثير من نظيره القديم دياس .ودورات دياس التشفيرية الثالث هي كاالتي: oيتم تشفير البيانات باستخدام أول دياس oيتم فك التشفير باستخدام ثاني دياس oيتم إعادة التشفير مرة أخرى باستخدام ثالث دياس. 81
والعملية العكسية تقوم بفك تشفير النص.
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
IDEAإيديا :خوارزمية تشفير البيانات الدولية (إيديا) تستخدم كتلة بحجم 64بت ومفتاح بطول 128بت .يقوم إيديا بعمل ثمان دورات من التحويالت لـ 16كتلة ناتجة من تقسيم الكتلة األصلية التي بحجم 64بت إلى 8كتل .إيديا جاء الستبدال دياس ويستخدمه برنامج PGPللخصوصية .وبرنامج PGPيعطي خصوصية وتوثيق لبيانات االتصال GPG .هو برنامج بديل لـ PGPوله ترخيص GNUالمجاني.
•
AESإياس :معيار التشفير المتقدم (إياس) له حجم كتله ثابت بطول 128بت ومفتاح بطول 128و 192و 256 بت .أقر المعهد الوطني للمعاير والتكنولوجيا (نيست )NISTخوارزمية إياس في ديسمبر .2001وتستخدم الحكومة األمريكية إياس لحماية معلوماتها المصنفة .إياس هو خوارزمية قوية تستخدم مفاتيح طويلة .إياس أسرع من دياس موجه .ويوجد ودياس الثالثي ،ولذا فإنه يعطي حلوال لكل من التطبيقات البرمجية والعتاد المستخدم كجدار ناري أو َ أنواع أخرى من طرق التشفير الكتلي مثل سكيب جاك Skipjackوتم تطويره من قبل وكالة الفضاء األمريكية (ناسا) ،ويوجد أيضا بلوفيش Blowfishو توفيش .Twofish
4.1.3التشفير الغير متماثل – التشفير بالمفتاح العام عملية التشفير الغير متماثل :وتسمى أيضا عملية التشفير بالمفتاح العام ،تستخدم مفتاحا للتشفير مختلفا عن مفتاح فك التشفير .بحيث ال يمكن لسارق المعلومات أن يخمن مفتاح فك التشفير بناء على معرفته لمفتاح التشفير ،والعكس بالعكس في وقت معقول .بمعنى أنه حتى لو تمكن السارق من معرفة كيفية حساب مفتاح التشفير ستأخذ العملية وقتا طويال مثال سنوات. فإذا أراد بوب وإليسا تبادل الرسائل السرية باستخدام طريقة المفتاح العام ،فعليهما أن يستخدما خوارزمية غير متماثلة .وفي هذه الحالة لن يتم تبادل المفاتيح قبل المراسلة السرية .بدال من ذلك ،يكون لدى بوب قفل و مفتاح مختلف عن القفل والمفتاح الذين يخصان إليسا .فإذا أرادت إليسا إرسال رسالة سرية لبوب ،يجب أن تتصل به ليرسل لها قفله مفتوحا ،يقوم بوب بإرسال قفله المفتوح إلليسا ولكن يحتفظ بالمفتاح .وعندما تستقبل إليسا القفل المفتوح ،تقوم بكتابة الرسالة السرية ووضعها في الصندوق الصغير وتضع أيضا قفلها المفتوح في الصندوق ولكن تحتفظ بمفتاحها الخاص ثم تغلق الصندوق بقفل بوب .الحظ أنه عندما تقوم إليسا بغلق الصندوق فلن تستطيع فتحه مرة أخرى ألنها ال تملك مفتاح بوب .ثم ترسل الصندوق بالبريد لبوب ،وأثناء سفر الصندوق في طريقه إلى بوب لن يستطيع أحد فتحه .وعندما يستقبل بوب الصندوق ،سيقوم باستخدام مفتاحه لفتح القفل وقراءة الرسالة السرية التي أرسلتها إليسا .إذا أراد بوب الرد على الرسالة برد سري ،سيقوم بوضع الرسالة السرية في الصندوق ويضع أيضا في الصندوق قفله المفتوح ،ثم يقفل الصندوق بقفل إليسا .بعدها يرسل الصندوق بالبريد إلليسا. على سبيل المثال في ا لشكل األعلى ،إليسا تتقدم بطلب للحصول على مفتاح بوب العام (القفل في المثال) .وفي الشكل السفلي تقوم إليسا باستخدام مفتاح بوب العام لتشفير الرسالة باستخدام خوارزمية متفق عليها .تقوم إليسا بإرسال الرسالة المشفرة لبوب، ثم يقوم بوب باستخدام مفتاحه الخاص لفك تشفير الرسالة.
82
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خوارزميات التشفير الغير متماثل :تستخدم خوارزميات التشفير الغير متماثل نماذج برمجية سهل االطالع عليها ومعرفتها. زوج المفاتيح الغير متشابه هو ما يجعل هذه الخوارزميات سرية .من األمثلة على خوارزميات التشفير الغير متماثل اآلتي: •
ريشاد :RSAيأتي االسم من أسماء العلماء الثالثة الذين ابتكروا هذه الخوارزمية وهم (ريفست ،شامير ،وأديلمان) لعمل االسم العربي أخذنا أول حرفين من كل اسم .يتم استخدام حاصل ضرب عددين أوليين كبيرين بطول ثابت بين 100و 200رقم .تستخدم متصفحات االنترنت خوارزمية ريشاد إلقامة اتصال آمن.
•
ديفي هيلمان :يستخدم طريقة إلكترونية لتبادل ومشاركة المفاتيح السرية .والبروتوكوالت السرية مثل بروتوكول SSLو TSLو SSHو IPSecجميعها تستخدم خوارزمية ديفي هيلمان.
•
الجمل :يستخدم معيار الحكومة األمريكية للبصمات الرقمية .هذه الخوارزمية مفتوحة المصدر ومجانية نظ ار ألنه ال يملك أحد براءة اختراع لها.
•
تشفير المنحنى البيضاوي :يستخدم المنحنيات البيضاوية كجزء من الخوارزمية .ووكالة األمن الوطني ( )NSAفي أمريكا تستخدم تشفير المنحنى البيضاوي لعمل بصمات رقمية ولتبادل المفاتيح السرية.
4.1.4المقارنة بين نظم التشفير المتماثلة والغير متماثلة إدارة المفاتيح :تتكون إدارة المفاتيح من العمليات التالية ،التخليق ،والتبادل ،والتخزين ،واالستخدام ،واستبدال المفاتيح المستخدمة في خوارزميات التشفير .إن أصعب المهام في نظام التشفير هي "إدارة المفاتيح" .فمعظم نظم التشفير تفشل بسبب خطأ في عملية إدارة المفاتيح .وكل نظم التشفير الحديثة تتطلب نظام إلدارة المفاتيح .وبشكل عملي ،معظم الهجمات على نظم 83
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التشفير تتم عن طريق مهاجمة إدارة المفاتيح وال يتم الهجوم على خوارزمية التشفير نفسها .وكما نرى في الشكل ،هناك العديد من الخصائص التي تخص إدارة المفاتيح والتي يجب أن تأخذ في االعتبار.
هناك مصطلحان هامان يصفان المفاتيح •
طول المفتاح – يسمى أيضا حجم المفتاح ،ويقاس بالبت
•
فضاء المفتاح – هو عدد التباديل الممكنة المستخرجة من مفتاح بطول ثابت.
كلما زاد طول المفتاح ،كلما زاد فضاء المفتاح زيادة مضطردة .وفضاء المفتاح لخوارزمية معينة هو مجموعة القيم الممكنة لذلك المفتاح .المفاتيح األطول أكثر أمانا ،وعلى الرغم من ذلك ،فالمفاتيح الطويلة تستهلك الموارد .وغالبا ما يكون في كل خوارزمية بعض المفاتيح في فضاء المفتاح ضعيفة وتتيح للمهاجم كسر الشفرة والحصول على المعلومات بطريق مختصر. مراحل إدارة المفاتيح هي كالتالي: •
تخليق المفتاح :قديما وحتى شيفرة قيصر وشيفرة فيجنار يمكن للمرسل والمستقبل اختيار المفتاح .أما في نظم التشفير الحديثة ،يتم عادة ميكنة عملية تخليق المفاتيح وال يتم تركها للمستخدم .فالحاجة ملحة الستخدام ميكنة أرقام عشوائية جيدة للتأكيد على تخليق كل المفاتيح بحيث ال يستطيع المهاجم توقع المفاتيح المحتمل استخدامها اكثر من األخرى.
•
التحقق من المفتاح :وتسمى أيضا التحقق من جودة المفتاح .بعض المفاتيح أفضل من األخرى .غالبا فإن معظم نظم التشفير بها بعض المفاتيح الضعيفة والتي يجب أال يتم استخدامها .بمساعدة عملية التحقق من جودة المفتاح ،يمكن تعريف المفاتيح الضعيفة وإعادة تخليقها من جديد للحصول على تشفير أكثر سرية .على سبيل المثال استخدام مفتاح بطول 0و 25في شيفرة قيصر لن يشفر النص ولذلك يجب أن يستبعد هذين المفتاحين.
•
تبادل المفتاح :نظم إدارة المفاتيح يجب أن توجد آلية تبادل للمفاتيح والتي تسمح باالتفاق على التراسل السري بين المرسل والمستقبل ،وعادة ما يتم التراسل في وسط غير آمن. 84
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
تخزين المفتاح :نظم التشغيل الحديثة متعددة المستخدمين تستخدم نظم التشفير وتخزن المفاتيح في الذاكرة .وهذا يمثل مشكلة وخصوصا عندما يتم نقل المفاتيح للقرص الصلب .حيث أن برنامج حصان طروادة إذا تم تثبيته على جهاز المستخدم قد يستطيع الوصول للمفاتيح السرية للمستخدم.
•
عمر المفتاح :يجب أن يتم استخدام مفتاح بعمر قصير حتى تزيد سرية الشيفرات االعتيادية والتي تستخدم في التواصل على قناة تواصل سريعة .وفي بروتوكول IPsecيتم استخدام مفتاح بعمر 24ساعة .ومع ذلك ،فإن تغيير العمر لـ 30 دقيقة يحسن من أمن الخوارزمية.
•
إلغاء وتدمير المفتاح :عملية اإللغاء تعني إخبار كل أطراف االتصال بأن مفتاح معين تم كشفه وال يجب استخدامه مرة أخرى .أما عملية تدمير المفتاح فتقوم بإزالة المفتاح بحيث ال يتم ترك أثر يمكن تتبعه من قبل القراصنة.
مقارنة أنواع التشفير :من المهم جدا فهم الفرق بين نظم التشفير المتماثلة والغير متماثلة .نظم التشفير المتماثلة اكثر كفاءة وتستطيع التعامل مع كمية أكبر من البيانا ت .مع ذلك ،نجد إشكالية في إدارة المفاتيح في نظم التشفير المتماثل .التشفير الغير متماثل تظهر كفاءته عند حماية السرية لكمية صغيرة من البيانات ،وحجمه وسرعته تجعله أكثر سرية عند استخدامه في مهام مثل تبادل المفاتيح اإللكترونية والتي هي عبارة عن كمية صغيرة من البيانات. من المهم جدا تحقيق السرية لكل من البيانات الثابتة والبيانات المتنقلة .ففي كلتا الحالتين ،يفضل استخدام التشفير المتماثل نظ ار لسرعته وسهولة خوارزميته .بعض الخوارزميات الغير متماثلة يمكن أن تتسبب في زيادة كبيرة لحجم الكائن المشفر. ولذلك ،في حالة البي انات المتنقلة ،يفضل استخدام التشفير بالمفتاح العام لتبادل المفاتيح ،ثم استخدام التشفير المتماثل لحماية سرية البيانات المتنقلة. التشفير المتماثل والغير متماثل التشفير الغير متماثل
التشفير المتماثل مشهور باسم خوارزميات المفاتيح الخاصة السرية والمشتركة
مشهور باسم خوارزميات المفاتيح العامة
طول المفتاح عادة يتراوح بين 80و 256بت
طول المفتاح يتراوح بين 512و 4096بت
المرسل والمستقبل يجب أن يتشاركان نفس المفتاح
المرسل والمستقبل ال يتشاركان في مفتاح محدد
خوارزمياته دائما سريعة (سرعة وسط النقل) ألن الخوارزمية
خوارزمياته بطيئة نسبيا ألنها تعتمد على عمليات حسابية
تعتمد على عمليات حسابية بسيطة.
أكثر تعقيدا.
من األمثلة عليه ،دياس ،إياس ،إياس الثالثي ،إديا ،بلوفيش
من األمثلة عليه ،ريشاد RSAو الجمل و المنحنى البيضاوي
التطبيقات :يوجد العديد من التطبيقات تستخدم كال من التشفير المتماثل والتشفير الغير متماثل .فوحدة تخليق كلمة السر الموحدة هي وحدة فيزيائية تستخدم التشفير لعمل كلمة مرور عشوائية تستخدم مرة واحدة فقط .وكلمة السر الموحدة هي عبارة 85
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عن حروف وأرقام تم تخليقها بشكل آلي وتستخدم في مصادقة المستخدم لمعاملة واحدة في جلسة واحدة .ويتم تغيير الرقم كل 30ثانية تقريبا .تظهر كلمة المرور على شاشة الوحدة والمستخدم يقوم بإدخالها .وصناعة المبيعات على األنترنت تستخدم دياس الثالثي .ونظم التشغيل تستخدم إياس مع كلمة مرور لحماية ملفات المستخدمين وبيانات النظام .معظم نظم الملفات ذات الخواص السرية مثل NTFSتستخدم إياس .هناك أربعة بروتوكوالت تستخدم خوارزميات المفاتيح الغير متماثلة: .1بروتوكول تبادل مفتاح اإلنترنت ( ،)IKEهو مكون أساسي في IPsecوفي الشبكات االفتراضية الخاصة ()VPN .2طبقة الحزم اآلمنة ( ،)SSLهي وسيلة لبناء نظام تشفير في متصفحات اإلنترنت. .3الهيكل اآلمن ( ،)SSHوهو بروتوكول يوفر اتصاال سريا عن بعد للتوصيل بأجهزة الشبكة. .4الخصوصية المقبولة ( ،)PGPهو برنامج حاسوبي يوفر خصوصية تشفيريه ومصادقة لزيادة تأمين مراسلة البريد اإللكتروني. الشبكة االفتراضية الخاصة (موجودة بالشكل) هي شبكة خاصة تستخدم الشبكات العامة بالتحديد تستخدم شبكة اإلنترنت لعمل قناة اتصال آمنة .تقوم الشبكة االفتراضية بتوصيل نقطتين ،مثل مكتبين بعيدين جغرافيا ،مستخدمة اإلنترنت لعمل وصلة بينهما .وتستخدم الشبكة االفتراضية برمجية IPsecوهو عبارة عن مجموعة بروتوكوالت تم تطويرها لتحقيق خدمات سرية عبر الشبكات .خدمات IPsecتوفر المصادقة والتماسك والتحكم في الوصول والسرية .وباستخدامه ،يمكن للمواقع البعيدة أن تتبادل معلومات مشفرة ومحققة.
البيانات المستخدمة هي محط اهتمام العديد من المؤسسات .عند االستخدام ،ال يكون للبيانات أي حماية ألن المستخدم يحتاج إلى فتح وتعديل البيانات .وتحمل الذاكرة البيانات المستخدمة التي تحتوي في بعض األحيان على بيانات حساسة مثل مفاتيح فك التشفير .فلو استطاع القراصنة كشف البيانات أثناء استخدامها ،سيكون لهم المقدرة على الوصول للبيانات الثابتة والبيانات المتنقلة.
86
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2التحكم بالوصول 4.2.1أنواع نظم التحكم في الوصول التحكم في الوصول الفيزيائي :أدوات التحكم في الوصول الفيزيائي هي عبارة عن حواجز حقيقية مهمتها هي منع الوصول المباشر للنظم المختلفة .الهدف هو منع المستخدمين الغير مفوضين من الدخول بأجسامهم والوصول إلى المرافق أو المعدات أو ممتلكات الشركة .تحدد نظم صالحيات الوصول الفيزيائي من يستطيع الدخول أو الخروج ،متى يمكن دخولهم أو خروجهم، وأين يمكنهم الدخول .أمثلة على أدوات التحكم في الوصول الفيزيائي التالي: •
الحرس :مراقبة المرافق
•
السياج :لحماية إطار النظام
•
حساسات الحركة :تكشف األجسام المتحركة
•
أقفال األجهزة المحمولة :تحفظ األجهزة المتنقلة
•
اقفال األبواب :تمنع الوصول الغير مصدق
•
مسح البطاقات :يسمح بدخول المناطق السرية
•
كالب الحراسة :حماية المرافق
•
كاميرات التصوير :مراقبة المرافق بجمع وتسجيل الصور والفيديو
•
الشرك أو الفخ :يسمح بدخول المنطقة المحظورة بعد غلق الباب األول (انظر الشكل)
•
أجهزة اإلنذار :تفحص الدخالء.
التحكم المنطقي في الوصول :أدوات التحكم المنطقي هو عبارة عن حلول عتاد وبرمجيات تستخدم إلدارة الوصول للموارد والنظم .وهذه الحلول المعتمدة على التكنولوجيا تشمل أدوات وبروتوكوالت يستخدمها نظام الحاسب لتعريف الهوية و المصادقة والتفويض والمسائلة .تشمل نظم التحكم في الوصول المنطقي االتي: 87
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
التشفير هي عملية تحويل النص الصريح إلى نص مشفر
•
البطاقة الذكية تحمل بداخلها شرائح إلكترونية من معالج وذاكرة.
•
كلمات المرور هي كلمة من عدة حروف محمية.
•
القياسات الحيوية هي الخصائص الجسدية للمستخدم مثل بصمة اليد وشكل القزحية.
•
قوائم التحكم بالوصول ( )ACLتعرف نوع فيض حزم البيانات المسموح به والممنوع في الشبكات.
•
البروتوكول هو مجموعة من القواعد التي تحكم طريقة تبادل البيانات بين األجهزة.
•
الجدران النارية تمنع فيض البيانات الغير مسموح به على مستويات عدة ،مثال مستوى التطبيق ومستوى الحزم وهكذا..
•
الموجهات تصل شبكتي حاسب على األقل .وتقوم بتوجيه الحزم لطريق الوصول لمتلقي البيانات.
•
نظم فحص الدخالء تراقب الشبكة لألنشطة المشتبه بها.
•
مستويات التقليم هي العتبات المسموح بها عند الوصول لحد معين من األخطاء قبل إصدار العلم األحمر (علم وجود الخطر) .مثال لو حاول المستخدم الدخول للنظام وفشل في كتابة كلمة المرور أكثر من ثالث مرات.
األدوات اإلدارية للتحكم في الوصول :األدوات اإلدارية هي مجموعة السياسات واإلجراءات التي تنشئها المؤسسة لبناء وفرض كل أنواع التحكم بالوصول المصرح به .وتركز األدوات اإلدارية على العمالة وإجراءات العمل .تشمل أدوات التحكم اإلداري اآلتي: •
السياسات هي جمل يتم كتابتها لمعرفة نوايا الشركة.
•
اإلجراءات هي الخطوات المفصلة المطلوبة لعمل نشاط ما في الشركة.
•
عملية التوظيف هي الخطوات التي تتخذها المؤسسة إليجاد موظف كفء.
•
فحص الخبرة هي عبارة عن البحث في معلومات الموظف وتاريخه الوظيفي لمعرفه الوظائف السابقة وتاريخه المالي وتاريخه اإلجرامي إن وجد.
•
تصنيف البيانات عبارة عن تقسيم البيانات بناء على مستوى حساسيتها.
•
نظام التدريب للموظفين على نظم األمن يبصرهم بالسياسات األمنية داخل الشركة.
•
المراجعات يتم من خاللها معرفة وتقييم األداء الوظيفي للموظف.
4.2.2استراتيجيات التحكم بالوصول التحكم اإللزامي بالوصول (ماك) :التحكم اإللزامي بالوصول ) Mandatory Access Control (MACيقيد األفعال التي يقوم بها الفاعل تجاه أي كائن .الفاعل يمكن أن يكون مستخدم أو إجراء .والكائن يمكن أن يكون ملف أو منفذ أو جهاز مدخالت أو مخرجات .قاعدة التفويض تفرض على الفاعل إما أن يصل إلى الكائن أو ال .تستخدم المؤسسات النظام اإللزامي
88
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عندما يوجد عدة مستويات للتصنيفات األمنية .فكل كائن له عالمة وكل فاعل له تصريح .والنظام اإللزامي يحكم وصول الفاعل بناء على التصنيف األمني للكائن وللتصريح المعطى للمستخدم. على سبيل المثال ،نظام التصنيف األمني الحربي يصنف المستندات عموما لسري وسري للغاية .فإذا كان ملف له العالمة سري للغاية ،فإن األشخاص (الفاعلون) الذين يمكنهم عرض هذا الملف هم من يملكون تصريح من النوع سري للغاية .ويرجع هذا آللية التحكم بالوصول المستخدمة التي تؤكد أن الفاعلون ذوي التصريحات سري فقط ال يمكنهم الوصول لكائن بالعالمة سري للغاية .وبنفس الطريقة ،فإن مستخدم (فاعل) مصرح له بسري للغاية ال يمكنه تعديل تصنيف ملف من سري للغاية إلى سري فقط .باإلضافة إلى ذلك ،فإن فاعل ذو تصريح سري للغاية ال يمكنه إرسال ملف سري للغاية لمستخدم يحمل تصريح سري فقط. التحكم التقديري بالوصول (داك) Discretionary Access Control (DAC) :ومن اسمه يتم التحكم بالوصول حسب تقدير وتصرف مالك الكائن .فمالك الكائن يحدد ما إذا كان مسموح الوصول للكائن أم ال .التحكم التقديري يمنح أو يمنع الوصول للكائ ن المحدد من قبل مالك الكائن .إذا كان لمالك الكائن صالحيات وصول معينة يمكنه إعطاء هذه الصالحيات ونقلها لفاعل آخر .وفي النظم التي تستخدم أدوات التحكم التقديري ،فمالك الكائن يمكن أن يقرر من هم الفاعلون الذين يمكنهم الوصول للكائن وما شكل هذا الوصول .من الطرق المشهورة لتحقيق ذلك هو استخدام الصالحيات ،كما هو مبين بالشكل. فمالك الملف يستطيع تحديد الصالحيات (قراء /كتابة /تنفيذ) التي يمكن للمستخدمين اآلخرين أخذها .هناك آلية أخرى لتحقيق نظام الوصول التقديري وهي استخدام قوائم التحكم بالوصول ( .)ACLوتستخدم قوائم التحكم بالوصول قواعد منطقية لتحديد ما هو المرور الشبكي المسموح به أو المرور الممنوع.
التحكم بالوصول بناء على األدوار(أرباك) :التحكم بالوصول بناء على األدوار )Role-based access control (RBAC يعتمد على دور أو وظيفة الفاعل .األدوار هي المهام الوظيفية بداخل المؤسسات ،واألدوار المحددة تتطلب تصريحات لتنفيذ أي معاملة .يكتسب المستخدمين صالحيات بناء على دورهم في الشركة .نظام أرباك يستطيع العمل بدمج داك أو ماك، 89
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ويستطيع أرباك المساعدة في بناء إدارة أمنية ناجحة في المؤسسات الكبرى والتي بها مئات المستخدمين وآالف الصالحيات المحتملة .كأفضل الممارسات ،عادة ما تختار المؤسسة نظام أرباك إلدارة صالحيات الحاسب داخل النظام أو داخل تطبيق. التحكم بالوصول بناء على القواعد (قرباك) :يستخدم نظام قرباك قوائم التحكم بالوصول ACLللمساعدة في تحديد إمكانية منح الوصول .يتم دمج أكثر من قاعدة في قائمة التحكم بالوصول ،ويمكن بناء القواعد على اآلتي: •
الوقت :يمكن منع أو منح الوصول في أوقات محددة ،مثل أوقات العمل الرسمية.
•
العضوية :فإذا كان المستخدم عضوا في مجموعة ما يمكنه الحصول على صالحياتها.
•
أقل الحاجة :يمكن إعطاء المستخدم فقط الصالحيات التي يحتاجها لعمل مهمة ما.
•
خصائص الكائن :يمكن منع المستخدمين أو منحهم الوصول ألنواع معينة من الملفات
•
تصنيف الفاعل :يمكن إعطاء الصالحيات األعلى لمستخدم له دور أعلى في الشركة.
يعتمد إعطاء أو منع الصالحية عن المستخدمين على هذه القواعد .كمثال قاعدة الوقت التي تقرر أنه ال يمكن ألي موظف الوصول لملف الرواتب بعد انتهاء العمل أو في اإلجازة األسبوعية .كما رأينا في ماك ،ال يمكن للمستخدمين تغيير قواعد الوصول .تستطيع المؤسسات دمج قرباك مع االستراتيجيات األخرى لبناء قيود الوصول .على سبيل المثال ،يمكن لنظام ماك أن ينتفع بمنهجية قرباك في البناء ،بمعنى أنه يمكن بناء نظام ماك باستخدام منهجية قرباك. 2.3.4التعريف بالهوية ما هو التعريف بالهوية :تعريف الهوية يقر القواعد التي توجد في سياسات التفويض .الفاعل يطلب الوصول لمورد من موارد النظام .وفي كل مرة يطلب فيها الفاعل الوصول لمورد من الموارد ،فإن نظم التحكم تحدد إمكانية منح أو منع هذا الوصول. على سبيل المثال ،فإن سياسات التفويض تحدد األنشطة التي يستطيع المستخدم القيام بها تجاه مورد معين. المعرف الفريد يؤكد على العالقة الصحيحة بين األنشطة والفاعل .وأكثر المعرفات الفريدة شهرة هو اسم المستخدم الذي يحدد شخصية المستخدم .واسم المستخدم يمكن أن يكون نص من أرقام وحروف أو رقم المعرف الشخصي ( )PINأو بطاقة ذكية أو مقياس حيوي مثل بصمة األصبع أو مسح الشبكية أو بصمة الصوت .المعرف الفريد يوفر للنظام طريقة لتحديد المستخدمين كل على حدة .وعليه ،يسمح للمستخدم الموثوق بأداء المهام المناسبة على مورد محدد. أدوات تعريف الهوية :تحدد سياسات األمن السيبراني أدوات تعريف الهوية التي يجب استخدامها .حساسية المعلومات ونظم المعلومات تحدد مدى صرامة أدوات التحكم .زيادة االختراقات األمنية أجبر المؤسسات على تقوية أدوات التعريف بالهوية التي يستخدمونها .على سبيل المثال ،صناعة البطاقات االئتمانية في الواليات المتحدة طلب من كل الباعة التحويل لنظام التعريف بالهوية باستخدام البطاقة الذكية.
90
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2.4طرق المصادقة شيئا تعرفة :كلمات السر وعبارات السر و PINكلها أمثلة على أشياء يعرفها المستخدم .كلمات السر هو أكثر طرق المصادقة استخداما .ومصطلحات ،عبارة السر ،شفرة المرور ،مفتاح المرور ،أو رمز التعريف الشخصي يتم اإلشارة إليها بكلمة المرور. وكلمة المرور هي عبارة عن سلسلة من األحرف تستخدم إلثبات هوية المستخدم .إذا تم ربط كلمة المرور بمعلومات المستخدم مثل ( اسمه ،أو تاريخ ميالده أو عنوانه) ،سيكون من السهل على القراصنة تخمين كلمة السر .معظم األبحاث في هذا المجال توصي دائما باستخدام كلمة مرور بطول 8أحرف على األقل .يجب أيضا على المستخدمين أال يقوموا بعمل كلمة سر طويلة لدرجة أنهم ال يستطيعون حفظها ،والعكس بالعكس ،أي أنهم يجب عليهم أن ال يجعلوها قصيرة جدا فتكون عرضة للتخمين. يجب أن تحتوى كلمة سر على خليط من الحروف الكبيرة والحروف الصغيرة واألرقام والرموز الخاصة .اضغط على الرابط /https://howsecureismypassword.netلتختبر قوة كلمة السر التي تستخدمها. يجب أيضا على المستخدمين التعامل بكلمة سر مختلفة للنظم المختلفة .فلو استطاع المهاجم تخمين كلمة سر واحدة، سيستطيع بعدها دخول كل حسابات نفس المستخدم .مدير كلمات السر هو برنامج يتيح للمستخدم حفظ كلمات السر الخاصة به بشكل سري .اضغط على الرابط /http://strongpasswordgenerator.comلعرض صانع لكلمات السر القوية. شيئا تعرفه
شيئا تملكه
شيئا بجسدك
شيئا تملكه :البطاقات الذكية والمفاتيح السرية الفيزيائية مثل الفوب أو الدونجل هي أمثلة على شيء يمتلكه المستخدم. •
البطاقات الذكية :البطاقة الذكية هي بطاقة بالستيكية صغيرة ،بحجم بطاقة االئتمان تقريبا ،ولها شريحة إلكترونية مدمجة .والشريحة هي حامل ذكي للبيانات قادر على المعالجة والتخزين وحماية البيانات .البطاقات الذكية تقوم بتخزين المعلومات الخاصة مثل أرقام الحسابات البنكية ،التعريف الشخصي ،السجالت الطبية و البصمات الرقمية. توفر البطاقات الذكية نظام تشفير ومصادقة لحفظ البيانات آمنة.
•
ميدالية مفتاح األمان(الفوب) :الشكل السابق في المنتصف ،هو عبارة عن جهاز صغير جدا لدرجة أنه يمكن تعليقة في ميدالية المفاتيح .تستخدم ميدالية األمان طريقة المصادقة ذات العاملين ،وهي أكثر أمانا من استخدام كلمة السر مع اسم المستخدم .أوال ،يقوم المستخدم بإدخال رقم المعرف الشخصي ( .)PINإذا تم إدخاله بشكل صحيح ستقوم
91
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الميدالية بعرض رقم عشوائي .وهذا يكون العامل الثاني ،وهو الذي يجب أن يدخله المستخدم للولوج للجهاز أو الشبكة. شيئا بجسدك :الخصائص الجسدية الفريدة مثل بصمة األصابع وشكل الشبكية والصوت التي تعرف مستخدم ما تسمى القياسات الحيوية للشخص .يقارن األمن الحيوي الخصائص الجسدية مع الملف الشخصي للمستخدم لعمل مصادقة .والملف الشخصي هو ملف بيانات يحتوى على خصائص الفرد ،مثل اسمه وعنوانه وبصمة اصبعه وهكذا .ويقوم النظام بمنح دخول النظام إذا كانت خصائص الشخص تنطبق على خصائصه المخزنة سابقا .قارئ البصمات هو من اشهر القياسات الحيوية المستخدمة .يوجد نوعين من المعرفات الحيوية: •
الخصائص الجسدية – وتشمل بصمة األصابع ،الشريط النووي ،DNAالوجه ،اليد ،الشبكية ،شكل األذن.
•
الخصائص السلوكية – مثل نمط سلوكي معين ،مثال إشارة أو الصوت أو التوقيع أو الطريقة التي يسير بها المستخدم.
اشتهرت القياسات الحيوية شيئا فشيئا حتى كثر استخدامها في اآلونة األخيرة في نظم التأمين العامة واإللكترونيات ونقاط البيع. لبناء وحدة قياس حيوي يجب أن يتم استخدام جهاز قارئ أو ماسح ،وأيضا استخدام برنامج لتحويل المعلومات الممسوحة إلى معلومات رقمية ،وأيضا قاعدة بيانات لتخزين القياسات الحيوية للمقارنة. المصادقة بأكثر من عامل :تستخدم المصادقة بأكثر من عامل طريقتين على األقل للتحقق .ميدالية مفتاح األمان هو مثال جيد على ذلك .والعاملين هما شيئا تعرفه مثل كلمة المرور وشيئا تملكه مثل ميدالية مفتاح األمان .يمكن إضافة عامل ثالث مثال شيئا بجسدك كبصمة األ صبع .المصادقة بأكثر من عامل يمكنها أن تقلل من حوادث سرقة الهوية على اإلنترنت ،ألن معرفة كلمة المرور فقط ال يكفي إلعطاء الهاكر الفرصة للوصول للمعلومات .على سبيل المثال ،اإلنترنت البنكي يطلب غالبا كلمة مرور يعقبها إدخال رقم معرف يستقبله المستخدم على جواله .ومثال آخر على نظم التحقق بأكثر من عامل ،سحب األموال من ماكينة الصرف اآللي ،إذ يجب على المستخدم أن يكون لديه البطاقة البنكية ويعرف رقم سري خاص قبل أن تشرع الماكينة في إخراج األموال له. 4.2.5التفويض ما هو التفويض :تتحكم عملية التفويض فيما يمكن أن يفعله أو ال يفعله المستخدم على الشبكة بعد إجراء عملية مصادقة ناجحة .فبعد أن يتم التأكد من هوية المستخدم ،يقوم النظام بمعرفة ما هي موارد النظام التي يسمح للمستخدم الوصول إليها وما هي الصالحيات التي يمكنه فعلها تجاه هذه الموارد .بشكل عام ،فإن التفويض يجيب على السؤال " هل للمستخدم امتيازات معينة مثل القراءة والكتابة واإلنشاء والحذف؟" تستخدم عملية التفويض مجموعة من الخصائص التي تصف وصول المستخدم للشبكة .يقوم النظام بمقارنة تلك الخصائص بالمعلومات الموجودة في قاعدة بيانات المصادقة ،وتحدد عدة قيود لذلك
92
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المستخدم ،وتوصل هذه القيود للموجه المحلي الذي يوصل المستخدم بالشبكة .عملية التفويض آلية وال تحتاج تدخل أو قيام المستخدم بخطوات إضافية بعد عملية المصادقة .إذ يتم عمل التفويض بعد عملية المصادقة مباشرة. استخدام التفويض :أول خطوات التفويض هي معرفة القواعد التي تحكم عملية الوصول .وعادة ما يتم استنباطها من سياسات التفويض .وتوجد سياستان هامتان: •
سياسة العضوية في مجموعة – وتحدد التفويض بناء على العضوية في مجموعة معينة .على سبيل المثال ،يملك كل الموظفين في الشركة بطاقة ممغنطة ،والتي تعطي صالحية الوصول لمرافق الشركة .فإذا كانت وظيفة أحد العاملين ال تسمح له بدخول غرفة الخوادم الرئيسية ،فإن البطاقة األمنية الممغنطة لن تسمح له بدخول تلك الغرفة.
•
سياسة التفويض بناء على السلطة – وتحدد صالحيات الوصول بناء على مكانة الموظف في المؤسسة .على سبيل المثال ،فكبار الموظفين في قسم تقنية المعلومات فقط من يستطيعون دخول غرفة الخوادم الرئيسية.
4.2.6المسائلة ما هي المسائلة :المسائلة تعطي مسئولية حدث معين مثل التعديل في النظام وتربطه بشخص ما أو عملية ما وتجمع تلك المعلومات ثم تعطي تقري ار يسمى تقرير استخدام البيانات .يمكن للمؤسسة أن تستخدم تلك البيانات في عملية الجرد أو دفع الفواتير .والبيانات المجمعة تحتوي على سجل األحداث بالوقت والتاريخ لمستخدم بعينه سواء تم الحدث بنجاح أم فشل ،وأيضا ما استخدمه من موارد لعمل ذلك الحدث .وهذا يسمح للمؤسسة بمتابعة األحداث ومعرفة األخطاء واألخطاء البشرية أثناء عمل جرد أو تحقيق. إنشاء المسائلة :تشمل عملية إنشاء المسائلة استخدام تقنيات وسياسات وإجراءات وعمل تدريب .ويوفر ملف سجل األحداث (لوج) معلومات تفصيلية بناء على المتغيرات المختارة .على سبيل المثال ،تقوم المؤسسة باالهتمام بعملية دخول النظام بتسجيل عدد مرات الدخول الناجحة والفاشلة .الدخول الفاشل يوضح في غالب األحيان أن هناك سارقا يحاول اختراق الحساب. وعمليات الدخول الناجحة تعرف المؤسسة من المستخدمين الذين استخدموا الموارد ومتى تم االستخدام .فهل يكون من الطبيعي أن يحاول المستخدم صاحب الصالحيات الولوج لشبكة النظام الساعة 3بعد منتصف الليل؟ سياسات المؤسسة وإجراءاتها توضح ما األفعال التي يجب تسجيلها في ملف سجل األحداث وكيف يتم عمل هذا الملف وكيف يتم مراجعته وتخزينه. االحتفاظ بالبيانات والتخلص من الوسائط ومتطلبات التوافق كلها تعطي مسائلة .غالب القوانين تطلب إنشاء قياسات لتأمين مختلف أنواع البيانات .وهذه القوانين ترشد المؤسسة إلى الطريق الصحيح للتعامل مع أو تخزين أو التخلص من البيانات. والتعليم والوعي بقوانين وسياسات وإرشادات المؤسسة يساهم بشكل أساسي في تحقيق المسائلة.
93
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2.7أدوات التحكم باألمن األدوات الوقائية :وأحيانا تسمى األدوات الرادعة ،الوقاية معناها منع حدوث شيء .واألدوات الوقائية الخاصة بنظم التحكم بالوصول توقف حدوث النشاط الغير مرغوب أو الغير مصرح .وبالنسبة للمستخدم صاحب الصالحية ،األدوات الوقائية للتحكم بالوصول تعني القيود على الصالحيات .فإعطاء المستخدم ميزات معينة على النظام هي مثال على أداه وقائية .وعلى الرغم من أن المستخدم له الصالحية ،ولكن النظام يضع المستخدم في حدود معينه ليمنعه من الوصول الغير مصرح به أو أداء أفعال غير مصرح بها .الجدار الناري الذي يعرقل عملية الوصول لمنفذ أو خدمة يستطيع القراصنة استغاللها هو مثال آخر على أداه وقائية. أدوات الزجر :الزجر عكس المكافئة .المكافئة تشجع األفراد على عمل الشيء الصحيح ،أما الزجر يثبط محاوالتهم عمل الشيء الخاطئ .يستخدم مهنيو األمن السيبراني والمؤسسات أدوات الزجر للحد أو التخفيف من الفعل أو السلوك الخاطئ ،حيث أن أدوات الزجر ال تضمن إيقاف هذا السلوك الغير مرغوب فيه ،على أقل تقدير تحد من منه .أدوات التحكم بالوصول الزاجرة تثبط القراصنة من الحصول على وصول غير مصرح به للمعلومات والبيانات الحساسة .وتقوم تلك األدوات بتثبط محاوالت الهجوم على النظم أو سرقة البيانات أو نشر شفرة خبيثة .تستخدم المؤسسات األدوات الزاجرة لفرض سياسات األمن السيبراني. أدوات الزجر تجعل القراصنة يفكرون أكثر من مرة قبل تنفيذ الجريمة .وفي الشكل نجد قائمة بأدوات الزجر الشائعة المستخدمة في عالم األمن السيبراني .كمثال على أدوات الزجر ،كلما ولج المستخدم بحسابة لجهاز الحاسب ،يظهر له شريط يعرض العواقب السلبية لمخالفة سياسة الشركة. أمثلة على األدوات الزاجرة للتحكم في الوصول األقفال
السياج
الشارة
الحراس
الشرك
الكاميرات
إنذارات الدخالء فصل الخدمات التدريب والوعي التشفير
الجدران النارية
الجرد
أدوات التحري :التحري هو عملية مالحظة واكتشاف شيء ما .تحريات التحكم في الوصول تعرف األنواع المختلفة من األنشطة الغير مصرح بها .يمكن أن تكون أدوات االكتشاف بسيطة جدا مثل حساس الحركة أو حارس األمن .كما يمكن أيضا أن تكون معقدة للغاية مثل نظم فحص الدخالء .وكل نظم االكتشاف لها العديد من الصفات المشتركة ،حيث جميعها تبحث عن نشاط غير اعتيادي أو ممنوع .وهذه النظم تعطي أيضا طرق تسجيل أو إنذار مشغلي النظام من احتمال وجود وصول غير مصرح به .وأدوات الكشف أو التحري ال تمنع أي شيء من الحدوث ،ولكن تلك األدوات تظهر أهميتها أكثر عند التحري عن سبب
94
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حدوث مشكلة .من هذه األدوات ،تدوير الوظائف ،اإلجازات اإللزامية ،الجرد ،نظم فحص الدخالء ،جرات العسل ،مراجعة أحداث مسجل الكاميرا ،حساسات الحركة ،كالب الحراسة ،حراس األمن .تم تجميعهم في الشكل اآلتي
أدوات التصحيح :أدوات التصحيح هي لمجابهة الشيء الغير مرغوب فيه .تضع المؤسسات أدوات التصحيح بعد حصول اختراق للنظام .أدوات التصحيح تسترجع النظام لحالته السابقة وخصوصا استرجاع السرية والتماسك والتوافر للنظام .ويمكن لتلك األدوات أيضا أن ترجع النظام تماما لما كان عليه قبل الهجوم .وأدوات التصحيح منها ،نظم فحص الدخالء ،الشرك، خطط استم اررية العمل ،مكافح الفيروسات ،أجهزة اإلنذار ،السياسات األمنية. أدوات التعافي :التعافي يعني العودة للوضع الطبيعي .أما أدوات التعافي المستخدمة في التحكم بالوصول تسترجع الموارد واإلمكانيات بعد حدوث اختراق للسياسة األمنية .كما يمكن لتلك األدوات أن تصلح العطب ،أو إيقاف أي تخريب مستقبلي. وتملك أدوات التعافي أمكانيات أعلى مقارنة بأدوات التصحيح. من هذه األدوات ،عمليات النسخ االحتياطي ،نظم تحمل الخطأ بمعنى العمل مع وجود الخطأ ،عنقدة الخوادم بمعنى استخدام اكثر من خادم ليظهر للمستخدم كأنهم خادم واحد فقط ،تضليل قاعدة البيانات بمعنى تقسيم قاعدة البيانات ألجزاء صغيرة لقطع العالقة بين البيانات .برامج مكافحة الفيروسات. أدوات التعويض :التعويض معناه إيجاد بديل لشيء ما .األدوات التعويضية في نظم التحكم بالوصول تعطي خيارات ألدوات التحكم األخرى لتعزيز تنفيذ السياسات األمنية .كما يمكن ألدوات التعويض أن تستخدم بدال من أداة أخرى ال يمكن استخدامها
95
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
في الظروف الحالية .على سبيل المثال ،أحيانا ال تقدر الشركة على اقتناء كلب حراسة ،ولذلك فهي تستخدم حساس للحركة موصل بمصباح وجهاز صوتي للنباح عوضا عن كلب الحراسة. وأدوات التعويض تشمل ،السياسات األمنية ،مراقبة العمالة ،اإلشراف ،إجراءات تحديد مهام العمل.
4.3تعتيم البيانات Obscuring 4.3.1تقنع البيانات Masking ماذا يعني تقنع البيانات :عملية تقنع البيانات هي تقنية تؤمن البيانات بتبديل البيانات الحساسة بنسخة أخرى غير حساسة. النسخة الغير حساسة تبدو كالنسخة األصلية تماما .هذا يعني أن العمليات تستطيع استخدام البيانات الغير حساسة دون تغيير البرمجيات والتطبيقات ووحدات التخزين المصاحبة .وفي أشهر حاالت االستخدام ،فإن تقنع البيانات يحد من انتشار المعلومات الحساسة داخل نظم تقنية المعلومات بتوزيع بيانات بديلة لالختبار والتحليل .يمكن تقنع البيانات بشكل فعال إذا استطاع النظام أو التطبيق معرفة أن طلب المستخدم لبيانات حساسة يعرض المؤسسة للخطر. تقنيات تقنع البيانات :نظام تقنع البيانات يستطيع استبدال البيانات الحساسة في بيئات غير إنتاجية لحماية المعلومات المعنية. يوجد العديد من أدوات تقنع البيانات التي تؤكد على أن تظل البيانات ذات معنى ولكن يتم تعديلها بشكل كاف لحمايتها. •
التعويض يستبدل البيانات الحساسة ببيانات تبدو كالمصدقة لجعل سجالت البيانات مجهولة.
•
اللخبطة تنشئ مجموعة تعويضية من نفس حقل البيانات الذي يريد المستخدم تقنعه .وهذه التقنية تعمل جيدا على سبيل المثال في المعلومات المالية عند اختبار قاعدة بيانات.
•
التفريغ معناه جعل حقل البيانات فارغا ،Nullوهذه العملية تمنع بشكل تام ظهور البيانات.
4.3.2االستخفاء Steganography ما معنى االستخفاء :االستخفاء يعني إخفاء البيانات (الرسالة) في ملف آخر مثل ملف صورة أو صوت أو ملف نصي آخر. ويميز االستخفاء عن التشفير أن الرسالة السرية ال تجذب انتباه أي أحد .فلن يعرف أحد مطلقا أن الصورة التي بين يديه بعد عرضها أو طباعتها في الواقع تحتوي على رسالة سرية .االستخفاء به العديد من المكونات إلخفاء البيانات .أوال توجد البيانات المراد اخفائها وهي الرسالة السرية .والغطاء يكون الغطاء على شكل ملف صوت أو صورة أو نص أو غيره ،والغطاء يخفي البيانات السرية لينتج ملف صورة-اإلخفاء أو نص-اإلخفاء أو صوت-اإلخفاء .مفتاح اإلخفاء يتحكم في عملية اإلخفاء ويؤمنها. تقنيات االستخفاء :يوجد منهجية تخفي البيانات في الغطاء الصوري باستخدام طريقة البتات األقل أهمية ( .)LSBهذه الطريقة تستخدم البتات التي تعبر برقم ثنائي عن نقطة ضوئية (بكسل) في الصورة .بكسل هو الوحدة األساسية للون المبرمج في الصور المعروضة والمخزنة على الحاسوب .اللون المحدد لكل بكسل هو عبارة عن خليط من ثالثة ألوان ،األحمر واألخضر 96
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
واألزرق ( .)RGBيمكن استخدام ثالث بايت لتحديد اللون االجمالي ،بايت واحد لكل من األحمر واألخضر واألزرق .كل بايت عبارة عن 8بت .يستخدم نظام األلوان ذا 24بت كل البايتات الثالثة .االستخفاء بالبتات األقل أهمية يستخدم بت واحد فقط من كل لون من المكون األحمر واألخضر واألزرق .بمعنى أنه يمكن إخفاء 3بت في كل بكسل. يعرض الشكل التالي ثالث نقاط ضوئية (بكسل) في صورة بنظام األلوان ذا 24بت .حرف من األحرف المراد إخفاءها هو الحرف ،Tوإضافة الحرف Tيغير بت واحد فقط من كل لون .والعين البشرية ال تستطيع إدراك التغيير الذي تم للبت األقل أهمية حيث أن تغييره يعني تغيير طفيف في اللون ،على سبيل المثال التغيير من الرمادي إلى الرمادي (اللون الرمادي قيمته 128فإذا تغير إلى 127فسيكون رمادي أيضا) إذا علمنا أن اللون األبيض قيمته 255واألسود قيمته .0وبذلك نكون قد أخفينا حرف Tعن األنظار.
االستخفاء االجتماعي :االستخفاء االجتماعي يخفي المعلومات أمام األعين بعمل رسالة يمكن للبعض قراءتها بطريقة محددة لفهم المحتوى السري للرسالة .أما اآلخرون الذين يرون الرسالة بالطريقة الطبيعية لن يستطيعون فهم الرسالة السرية .والشباب على شبكات التواصل االجتماعي يستخدمون هذا التكتيك في إرسال الرسائل للتواصل مع قرنائهم مع إبقاء اآلخرون كاآلباء غير مدركين للمعنى الحقيقي للرسائل .على سبيل المثال ،العبارة "نذهب إلى السينما" يمكن أن تعني "نذهب إلى الشاطئ". واألفراد في بعض البلدان الذي يراقبون اإلعالم يستخدمون االستخفاء االجتماعي لتوصيل رسائلهم للخارج ،بالخطأ في هجاء الكلمة عن عمد ،أو عمل إشارات غامضة .وبشكل فعلي ،هم يتواصلون مع كثير من المشاهدين في نفس الوقت. االستنباط : Steganalysisاالستنباط يعني اكتشاف ما إذا كان هناك معلومات سرية أم ال .وهدف االستنباط هو اكتشاف المعلومات المخفية .األنماط التي تنشأ بسبب االستخفاء تعطي اشتباه في وجود بيانات مخفية .على سبيل المثال ،في بعض األحيان يكون في القرص الصلب أماكن غير مستخدمة للتخزين وتستخدم إلخفاء البيانات .وأدوات تحليل القرص الصلب تستطيع اكتشاف البيانات المخفية الموجودة في قطاعات القرص الغير مستخدمة .أما المرشحات فتستطيع التقاط حزم البيانات التي تحتوى على معلومات مخفية في رؤوس الحزم .كال الطريقتين يستخدمان البصمات الرقمية لالستخفاء .بمقارنة الصورة األصلية بملف صورة-اإلخفاء ،فمن الممكن لمحلل الصور أن يرى بعينه أنماطا متكررة.
97
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.3.3تشويش البيانات Obfuscation التشويش :تشويش البيانات يعني استخدام وممارسة تقنيات تقنع البيانات واالستخفاء في مهنة األمن السيبراني والذكاء السيبراني .التشويش هو التف نن في جعل الرسالة ،مشوشة أو غامضة أو صعبة الفهم .فالنظام في بعض األحيان يقوم بمزج الرسائل لمنع الوصول الغير مصرح به للمعلومات السرية. التطبيقات :وسم البرمجيات بالعالمات المائية يحمي البرنامج من االستعمال الغير مصرح به أو التعديل الغير مصرح به .وسم البرمجي ات بالعالمات المائية يتم بدمج رسالة سرية في البرنامج كإثبات للملكية .والرسالة السرية هي العالمة المائية للبرنامج أو الوسم المائي للبرنامج .فإذا حاول شخص ما إزالة الوسم المائي سينتج عنه برنامج غير نافع .أي أن إزالة العالمة المائية سيشوش البرنامج ويلغي فاعليته. عملية تشويش التطبيقات تحول البرنامج لنسخة مساوية للنسخة األصلية ولكن يصعب تحليلها من قبل المهاجمين .فمحاولة استرجاع البرنامج بالهندسة العكسية ينتج عنه برنامج يعمل ولكن يعطي نتائج غير واقعية. ملخص الفصل الرابع في هذا الفصل تم مناقشة المبادئ األساسية لعلم التشفير المستخدم في االتصاالت .وقدم الفصل توضيحا لكل من خوارزميات التشفير المتماثل والغير متماثل ،وتم مقارنة نوعي الخوارزميات وتوضيح استخدامهما باألمثلة. وفي الفصل تم شرح كيف يمكن لنظم التحكم في الوصول منع الوصول الغير مصرح به لمبنى أو حجرة أو نظام أو ملف باستخدام عمليات تعريف بالهوية والمصادقة والتفويض والمسائلة .باإلضافة إلى ذلك ،هذا الفصل وصف النظم المختلفة للتحكم في الوصول وأنواع التحكم في الوصول. وانتهى الفصل بمناقشة األنواع المختلفة لتقنع البيانات .تشويش البيانات واالستخفاء هما تقنيتان تستخدمان لتحقيق تقنع البيانات.
98
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الخامس فن حفظ التماسك يؤكد التماسك على أن البيانات ال تتغير وموثوق بها من أي أحد خالل الدورة الكاملة لحياة البيانات .تماسك البيانات هو جزء حيوي في تصميم وبناء واستخدام أي نظام يخزن ويعالج وينقل البيانات .يبدأ هذا الفصل بمناقشة أنواع أدوات التحكم في تماسك البيانات مثل خوارزميات الهاش والتمليح و"شيفرة مصادقة الرسالة بالهاش ذا المفتاح" ( .)HMACتتضمن التوقيعات الرقمية والشهادات وظائف التحكم في التماسك لتوفر للمستخدم طريقة للتحقق من مدى صحة مصدر الرسائل والمستندات. وينتهي الفصل بمناقشة تماسك قواعد البيانات اإللزامي .عند وجود تحكم جيد وتعريف جيد لنظام تماسك للبيانات ،يكون لدى نظام قواعد البيانات زيادة في الثبات وكفاءة في واألداء وسهولة في الصيانة.
5.1أنواع أدوات التحكم في تماسك البيانات 5.1.1خوارزميات الهاش Hash Algorithms ما هو الهاش :يريد المستخدمون معرفة أن بياناتهم ستظل متماسكة ولن يتم العبث بها سواء كانت متحركة أو ثابتة .والهاش هي أداة لتحقيق تماسك البيانات بأخذ البيانات الثنائية (الرسالة) ثم إنتاج قيمة للرسالة بطول ثابت ،هذه القيمة تسمى قيمة الهاش أو ملخص الرسالة .تستخدم أدوات الهاش دوال تشفير الهاش وذلك لتأكيد وضمان تماسك البيانات .ويمكن أيضا لهذه الدوال أن تحقق المصادقة .تقوم دوال الهاش باستبدال كلمة السر التي في شكل نص صريح أو مفاتيح التشفير بقيمة ملخص الرسالة .حيث أنها ذا اتجاه واحد فقط ،بمعنى أنه إذا تم تطبيق الهاش على كلمة المرور بخوارزمية هاش معينة أكثر من مرة فإن الناتج دائما يكون نفس ملخص الرسالة .ودوال الهاش لها اتجاه واحد لسببين ،األول أنه ال يمكن استرجاع النص الصريح من قيمة الهاش .والثاني أنه من المستحيل أن تكون قيمة الهاش هي نفسها لمجموعتين مختلفتين من البيانات. كلما تم تغيير أو ت عديل البيانات تتغير بالتبعية قيمة الهاش .ولهذا السبب ،قيم تشفير الهاش تسمى عادة البصمات الرقمية. يمكن لهذه القيم معرفة الملفات المتماثلة أو تغيرات إصدار الملف والتطبيقات الشبيهة .وهذه الدوال تحمي من تعديل البيانات المقصود والغير مقصود والتخريب العارض للبيانات .والهاش أيضا ذا كفاءة عالية ،حيث أن نص صغير أو ملف ضخم أو حتى محتوى قرص صلب كامل ينتج عنه قيم هاش بنفس الطول إذا استخدمت نفس خوارزمية الهاش. خصائص الهاش :عملية الهاش هي دالة رياضية ذا اتجاه واحد وهي عادة سهلة الحساب ولكنها عكسها صعب للغاية .طحن القهوة هو مثال جيد لدوال االتجاه الواحد .حيث أنه من السهل طحن بذور القهوة إلى قطع صغيرة ،ولكن من المستحيل وضع كل هذه القطع الصغيرة بجوار بعضها السترجاع البذور األصلية .ولدوال تشفير الهاش الخواص التالية •
يمكن أن تكون المدخالت بأي طول (أنظر الشكل) 99
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
المخرجات لها نفس الطول
•
دوال الهاش لها اتجاه واحد وليس لها اتجاه عكسي
•
للمدخالت المختلفة تكون دائما قيمة الهاش مختلفة تماما حتى لو االختالف طفيف.
خوارزميات الهاش :تساعد دوال الهاش في التأكد من أن أخطاء المستخدم العارضة أو أخطاء النقل العارضة يمكن اكتشافها بسهولة .على س بيل المثال ،يرغب المستخدم عادة في التأكد أنه ال أحد قد عدل الرسالة في طريقها للمستقبل .لذا يقوم المرسل بوضع الرسالة كمدخل لدالة الهاش لحساب البصمة الرقمية للرسالة. خوارزمية هاش بسيطة (التدقيق بالمجموع 8بت :)8bit Checksumالتدقيق بالمجموع بطول 8بت هو من أوائل خوارزميات الهاش ،وهو أبسط نماذج دوال الهاش .تقوم دالة التدقيق بالمجموع بحساب الهاش عن طريق تحويل الرسالة إلى قيمتها الثنائية وبعدها يتم تنظيم خط البيانات الثنائية إلى كتل بطول 8بت .ثم تقوم الخوارزمية بجمع كل القيم التي بطول 8 بت .والخطوة األخيرة هي تحويل الناتج باستخدام عملية تسمى المكمل الثنائي ( .)2’s complementيحسب المكمل الثنائي بتحويل الرقم الثنائي لقيمته العكسية (كل صفر يتحول إلى واحد وكل واحد يتحول إلى صفر) ثم إضافة ،1والناتج يكون قيمة الهاش المطلوبة. انقر هنا http://easyonlineconverter.com/converters/checksum_converter.html للرسالة "." BOB .1احسب القيمة الثنائية ASCIIالخاصة بالرسالة " "BOBكما هو معروض بالشكل. .2حول القيم الثنائية إلى نظيرها السادس عشري ،كما نرى في الشكل التالي. .3أدخل القيم السادس عشرية إلى الحاسبة في الرابط األعلى (القيم هي )42 4F 42
100
لحساب 8بت هاش
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.4اضغط زر "حساب" .Calculateستكون النتيجة قيمة الهاش هي .2D حاول حل األمثلة التالية باستخدام الحاسبة في الرابط: •
الرسالة السرية “S”=53 “E”=45 “C”=43 “R”=52 “E”=45 “T”=54وقيمة الهاش لها 3A
•
الرسالة السرية “M”=4D “E”=45 “S”=53 “S”=53 “A”=41 “G”=47 “E”=45وقيمة الهاش لها FB 101
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خوارزميات الهاش المتقدمة :يوجد العديد من خوارزميات الهاش المستخدمة هذه األيام .ومن أشهر الخوارزميات MD5و SHAبالعربية مد 5وشا. •
خوارزمية مد :)MD5( 5قام رون ريفست بابتكار خوارزمية مد 5باإلضافة إلى العديد من تطبيقات اإلنترنت المستخدمة في هذه األيام .مد 5هي دالة ذات اتجاه واحد من السهل جدا حساب قيمة الهاش للبيانات المدخلة ولكن من الصعب جدا حساب البيانات المدخلة باستخدام قيمة الهاش .تنتج خوارزمية مد 5قيمة هاش بطول 128بت .قامت البرمجية الخبيثة المسماة الشعلة Flameعام 2012بكشف سر الخوارزمية مد .5فقد استخدم مؤلفو الشعلة نقطة ضعف في خوارزمية مد 5تسمى نقطة ضعف التصادم .وقد استغلوها لتزوير شهادات توقيع رقمية في نظام النوافذ .اضغط على ال اربط لشرح كيفية
عمل
البرمجية
وكيف
الخبيثة
يتم
استغالل
ثغرة
التصادم
https://blogs.technet.microsoft.com/srd/2012/06/06/flame-malware-collision-attack. /explained •
خوارزمية شا ( :)SHAقام المعهد الوطني للمعايير والتكنولوجيا ،نست ( )NISTببناء خوارزمية شا .وتم تضمين الخوارزمية ضمن معيار الهاش السري ( .)SHSقامت نست بنشر خوارزمية شا 1سنة .1994ثم استبدلت شا 1بشا2 مع أربعة دوال هاش إضافية ضمن عائلة شا والدوال هي oشا 224( 224بت) oشا 256( 256بت) oشا 384( 384بت) oشا 512( 512بت) شا 2هي خوارزمية أقوى واستبدلت مد .5وشا 256وشا 384وشا 512هي خوارزميات الجيل القادم.
تطبيق الهاش على الملفات والوسائط الرقمية :يؤكد التماسك عند اكتساب البيانات أن البيانات والمعلومات كاملة وسليمة. ومعرفة تماسك البيانات هام جدا وخصوصا عندما يرغب المستخدم في تنزيل ملف من اإلنترنت أو في حالة رغبة المحقق الجنائي في البحث عن دليل على الوسائط الرقمية. وللتأكد من سالمة كل ملفات نظم التشغيل ،IOSتوفر سيسكو خوارزميات تدقيق المجموع بمد 5وشا على الموقع اإللكتروني لسيسكو الخاص بتحميل البرامج .ويستطيع المستخدم مقارنة مختصر مد( 5قيمة الهاش لـ مد )5الموجودة على الموقع مع قيمة مختصر مد 5الخاص بنظام تشغيل مركب على جهاز شبكي .سيشعر المستخدم حينئذ بالثقة في أنه ال أحد عبث أو عدل بملف نظام التشغيل IOSالمثبت على األجهزة الشبكية.
102
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستخدم مجال التحليل الجنائي الرقمي الهاش لفحص كل الوسائط الرقمية التي تحتوى على ملفات .على سبيل المثال ،يقوم المحقق بعمل هاش ونسخة على مستوى البت للوسائط التي تحوي الملفات للحصول على مستنسخ رقمي .ثم يقوم المحقق بمقارنة الهاش الخاصة بالوسط األصلي مع المستنسخ الرقمي .فإذا حصل تطابق في القيم ،فإن النسخ متساوية .والحقيقة أنه عندما تتساوى مجموعة من البتات مع مجموعة البتات األصلية فإن هذا يخلق نوع من الثبات أو االستقرار .ويساعد الثبات في اإلجابة على العديد من األسئلة: •
هل يملك المحقق الملفات المتوقعة؟
•
هل تم تخريب أو تعديل البيانات؟
•
هل يستطيع المحقق أن يثبت أن الملفات غير مخربة؟
وحاليا يستطيع الخبير الجنائي فحص النسخة الخاصة بأي برهان رقمي مع االحتفاظ بالبيانات األصلية سليمة لم تمس. تطبيق الهاش على كلمات المرور :تقوم خوارزميات الهاش بتحويل أي كمية من البيانات لبصمة رقمية أو هاش رقمي ثابت الطول .وال يستطيع المجرم عكس عملية الهاش الرقمي الكتشاف البيانات األصلية .فلو حصل تغير طفيف في البيانات سيتم الحصول على هاش مختلف تماما .وهذا جيد جدا في حالة الرغبة في حماية كلمات المرور .فالنظام يحتاج لتخزين كلمات السر في شكل محمي ويكون بإمكانه التحقق من أن كلمات المرور للمستخدمين صحيحة. يعرض الشكل التالي رسم تخطيطي لخطوات تسجيل حساب جديد للمستخدم وعملية مصادقة كلمات السر الموجودة كل هذا باستخدام نظام معتمد على التشفير .والمبدأ انه يمنع على النظام أن يحفظ كلمات السر بالشكل الصريح على القرص الصلب، ولكنه يقوم بتخزين قيمة الهاش فقط.
103
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تطبيقات الهاش :يتم استخدام الدوال التشفير للهاش في المواقف اآلتية: •
إلثبات هوية المصدر عند استخدام المصادقة السرية بالمفتاح المتماثل ،مثل مصادقة برمجية IPSecأو مصادقة بروتوكوالت التوجيه.
•
لتوفير المصادقة بتخليق استجابات فريدة ووحيدة االتجاه للتحديات في بروتوكوالت المصادقة.
•
لتوفير برهان على فحص تماسك الرسالة ،مثل ذلك المستخدم في العقود التي توقع رقميا ،وشهادات البنية التحتية للمفتاح العام ( )PKIوهي الشهادات التي تقبل عند التعامل السري مع موقع إلكتروني باستخدام المتصفح.
وعند اختيار خوارزمية الهاش ،يمكن استخدام شا 256أو أعلى ألنهم حاليا األكثر سرية .وتجنب استخدام شا 1ومد 5بسبب اكتشاف عيوب امنية فيهما .وفي شبكات الحاسب اإلنتاجية ،استخدم شا 256أو أعلى .مع أن الهاش يمكنه اكتشاف التغيرات العا رضة إال انه ال يستطيع الحماية ضد التغير المتعمد للبيانات .إذا ال توجد لدوال الهاش معلومة فريدة ملتصقة بقيمة الهاش يستدل بها على مرسل الرسالة .لذا فإن أي شخص يستطيع حساب الهاش ألي بيانات دون رقيب ،طالما أنهم يعرفون دالة الهاش المستخدمة .على سبيل المثال ،عندما تبحر الرسالة في الشبكة ،يستطيع مهاجم متربص استقبال الرسالة وتعديلها ثم إعادة حساب الهاش ثم لصق الهاش بالرسالة .وسيقوم الجهاز المستقبل بالتأكد من تماسك الرسالة عن طريق المقارنة بأي قيمة هاش ملتصقة بالرسالة .على ذلك يكون الهاش عرضة لهجمات الرجل الوسيط وال يعطي سرية للبيانات المتنقلة. كسر شفرة الهاش :لكسر الهاش يجب على المهاجم أن يخمن كلمة المرور .وأشهر هجومين لتخمين كلمات المرور هما هجمة القاموس والهجوم الغاشم. هجمة القاموس وأحيانا تسمى هجمة جدول قوس قزح rainbow tableتتم باستخدام ملف يحتوى على الكلمات الشائعة والعبارات وكلمات المرور .ويحتوى الملف على قيم محسوبة للهاش .وتتم الهجمة بمقارنة قيم الهاش الموجودة في الملف مع قيمة الهاش الخاص بكلمة السر .فإذا وجد تطابق ،سيقوم المهاجم بمعرفة مجموعة من كلمات السر المتوقعة والجيدة. أما هجمة التخمين الغاشم فتتم بمحاولة كل التباديل الممكنة لعدد معين من الحروف ،مناظر لعدد حروف كلمة السر المطلوبة. على سبيل المثال لو علمنا أن رقم المرور مكون من أربعة أرقام ،لذا يمكن تجربة 9999تبديلة لألرقام حتى نصل إلى الرقم السري .وهجمة التخمين الغاشم تستهلك كمية ال بأس بها من وقت المعالج ،ولكن المشكلة مشكلة وقت فقط حتى تصل هذه الطريقة إلى كلمة السر المطلوبة .يجب أن تكون كلمات السر طويلة بما فيه الكفاية إلطالة الوقت الذي تمكثه عملية التخمين الغاشم حتى يكون الهجوم غير مجدي .تطبيق الهاش على كلمات المرور يجعلها أكثر صعوبة في التخمين من قبل القراصنة. 5.1.2التمليح ما هو التمليح :المعنى االصطالحي للتمليح هو وضع الملح على الطعام وكلما زاد الملح كلما صعب األكل .أما هنا فيعني جعل عملية الهاش لكلمات السر أكثر سرية .فكلما زاد طول قيمة الملح كلما صعب على المهاجم تخمين كلمات المرور .إذا 104
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كان لمستخ دمين نفس كلمة المرور ،سينتج عنهما بالطبع نفس قيمة الهاش .الملح هو عبارة عن نص من األحرف العشوائية وهو مدخل أضافي لكلمة المرور يتم لصقه بكلمة المرور قبل إجراء الهاش .وبذلك يتم عمل هاش مختلف لكلمتي السر المتشابهتين كما هو موضح بالشكل .قواعد البيانات تحفظ قيمة الهاش وقيمة الملح المرتبط بها .وفي الشكل نرى أن كلمات السر المتشابهة تنتج هاش مختلف ألن الملح في كل نسخة من كلمات السر له قيمة مختلفة .وال يجب االهتمام بسرية الملح ألنه في األصل رقم عشوائي.
التمليح يوقف الهجمات :يمنع التمليح المهاجم من استخدام هجمة القاموس ومحاولة تخمين كلمة المرور .ويمنع التمليح أيضا إمكانية استخدام جداول البحث أو جداول قوس قزح في كسر الهاش. •
الجدول البحثي – جدول البحث يخزن قيم هاش لكلمات السر محسوبة مسبقا ،ويخزن أيضا كلمة المرور الصريحة بجانب الهاش .وجدول البحث هو عبارة عن تركيب بيانات يعالج مئات الهاش في الثانية .اضغط على الرابط /https://crackstation.netلترى سرعة جدول البحث في كسر الهاش.
•
جدول البحث العكسي – تسمح هذه الطريقة للمهاجم بعمل هجوم بالقاموس أو هجوم غاشم على كثير من قيم الهاش دون ح سابها مسبقا في جدول بحث .إذ يقوم المهاجم بعمل جدول بحثي ويضع فيه قاعدة بيانات الهاش لكلمات مرور في حساب مخترق ثم يربطها باسم المستخدم للحساب المخترق .ثم يقوم المهاجم بعمل تخمينات لكلمات المرور ويطبق عليها الهاش ثم يستخدم الجدول البحثي للحصول على قائمة المستخدمين الذين لديهم مطابقة لتخمين المهاجم .ونظ ار ألن كثير من المستخدمين لهم نفس كلمة السر ،ينجح الهجوم في العادة.
•
جدول قوس قزح – جداول قزح تضحي بميزة السرعة في كسر الهاش لجعل الجداول البحثية أصغر .وجدول صغير يعني أن الجدول يستطيع تخزين حلول لعدد أكبر من قيم الهاش في نفس مساحة التخزين.
105
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
بناء عملية التمليح :تستخدم برمجية خلق أرقام عشوائية تسمى "صانع األرقام العشوائية والسرية تشفيريا" ويختصر بالرمز ( )CSPRNGويعتبر من أفضل الحلول لعمل الملح .وصانع األرقام العشوائية يقوم بتخليق رقم عشوائي له مستوى عال من العشوائية وال يمكن أبدا توقع قيمته ،ولذلك فهو سري من الناحية التشفيرية. ولبناء عملية التمليح بشكل ناجح ،يجب استخدام التوصيات التالية: •
قيمة الملح يجب أن تكون مختلفة لكل مستخدم جديد.
•
يمنع منعا باتا إعادة استخدام قيمة الملح.
•
طول قيمة الملح يجب أن تطابق طول مخرجات دالة الهاش.
•
قم بعمل الهاش على الخادم في حالة استخدام تطبيقات الويب.
إن استخدام تقنية "استطالة المفتاح" سيساعد في الحماية ضد الهجمات .واستطالة المفتاح تجعل دالة الهاش تعمل ببطء .وهذا يمنع العتاد السريع والذي يحسب مليارات الهاش في الثانية من الوصول لقيمة الهاش بسهولة.
5.1.3الهاش ذا المفتاح ،إتشماك ()HMAC ماذا يعني إتشماك :الخطوة التالية لمنع القراصنة من عمل هجوم قاموس أو هجوم غاشم على الهاش هو إضافة مفتاح سري للهاش .الشخص الذي يعرف المفتاح فقط هو من يستطيع التحقق من الهاش .من الطرق المشهورة لتحقيق ذلك هو تضمين مفتاح سري في الهاش باستخدام خوارزمية هاش تسمى شيفرة مصادقة الرسالة بالهاش ذا المفتاح ( )HMACإتشماك .شيفرة إتشماك تستخدم مفتاح إضافي كمدخل لدالة الهاش .وشيفرة إتشماك تزيد خطوة إضافية على ضمان التماسك والذي يوفره الهاش بإضافة عملية مصادقة مضمنة بداخل الهاش .وتستخدم شيفرة اتشماك خوارزمية تشفير معينة تستطيع ربط دالة الهاش التشفيرية بالمفتاح السري .كما هو موضح بالشكل .المستقبل والمرسل فقط هم من يعرفان المفتاح .ومخرجات دالة الهاش أصبح يعتمد حاليا ليس فقط على المدخالت ولكن على المدخالت والمفتاح السري .واألطراف التي لها صالحية وصول للمفتاح هي فقط من تستطيع حساب تلخيص الهاش لدالة اإلتشماك .وهذه الخاصية تحارب مشكلة هجوم الرجل الوسيط وتوفر مصادقة لمصدر البيانات (معرفة صاحب البيانات). 106
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كيف يعمل إتشماك :افترض أن المرسل يريد التحقق من أن الرسالة ستظل سليمة في طريق نقلها للمستقبل ،ويريد طريقة ما ليتأكد المستقبل من مصدر الرسالة (عمل مصادقة للرسالة) .كما نرى في الشكل،
يقوم الجهاز المرسل بإدخال البيانات اآلتية ( مثل ادفع لجون سميث مبلغ 100دوالر ،المفتاح السري) إلى خوارزمية الهاش ثم يحسب الملخص التشفيري الثابت الطول اتشماك لتلك البيانات ،والملخص التشفيري يكون بمثابة البصمة الرقمية .يقوم المستقبل باستقبال البصمة الرقمية المصدقة والمرفقة بالرسالة .وفي الشكل الثاني ،يقوم الجهاز المستقبل بإزالة البصمة الرقمية من الرسالة ويستخدم نص الرسالة الصريح مع المفتاح السري كمدخالت لنفس دالة الهاش .إذا كانت البصمة المحسوبة عند الجهاز المستقبل تساوي البصمة المرسلة فإن الرسالة لم تمس في الطريق .باإلضافة إلى ذلك ،سيتأكد المستقبل من مصدر
107
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الرسالة ألن المرسل هو الوحيد الذي يمتلك نسخة من المفتاح المشترك .ولذا فإن دالة إتشماك تثبت مصادقة الرسالة ،أو تثبت هوية صاحب الرسالة. تطبيقات استخدام إتشماك :يمكن إلتشماك أن يقوم بعملية تصديق لمستخدم ويب .معظم خدمات الويب تستخدم مصادقة بدائية ،والتي ال يتم فيها تشفير اسم المستخدم وكلمة المرور أثناء النقل .أما في خوارزمية إتشماك ،يقوم المستخدم بإرسال معرف على شكل مفتاح خاص مع هاش اإلتشماك .يقوم المستخدم بالبحث عن المفتاح الخاص للمستخدم ثم يقوم بعمل هاش اتشماك .ويجب أن يتطابق هاش اإلتشماك الخاص بالمستخدم مع الذي تم حسابه على الخادم. الشبكة االفتراضية ( )VPNتستخدم IPsecمعتمدا على دوال إتشماك لمصادقة مصدر كل حزمة ويوفر أيضا فحص تماسك البيانات .ومنتجات سيسكو تستخدم الهاش لعمل مصادقة للوحدات وفحص تماسك البيانات والتأكد من هوية مرسل البيانات، بشكل عام يتم استخدام الهاش وخصوصا اتشماك في سيسكو كاآلتي: •
موجهات سيسكو والمثبت عليها نظام التشغيل IOSتستخدم الهاش مع مفتاح سري بنفس طريقة اإلتشماك إلضافة معلومات مصادقة لمراسالت بروتوكوالت التوجيه.
•
أجهزة وبوابات IPsecيستخدمان خوارزميات الهاش ،مثل مد 5وشا 1في وضع اإلتشماك لتوفير تماسك ومصادقة للحزم.
•
ملفات البرمجيات الخاصة بسيسكو والموجودة على موقع سيسكو دوت كوم cisco.comلديها تدقيق مجموع معتمد على مد 5ومتاح لكي يقوم العمالء بفحص تماسك الملفات التي يرغبون في تحميلها من الموقع.
ملحوظة :كلمة وحدة يمكن أن تشير إلى جهاز أو نظام داخل المؤسسة.
5.2التوقيع الرقمي 5.2.1القوانين والتوقيعات ماهي التوقيعات الرقمية :تثبت التوقيعات اليدوية واألختام ملكية المحتوى لمستند ما .والتوقيعات الرقمية تستطيع عمل نفس الوظيفية تماما مثل التوقيعات اليدوية .الوثائق الغير محمية عرضة للتعديل من أي أحد بسهولة .تستطيع التوقيعات الرقمية معرفة ما إذا قام مستخدم بالتعديل على المستند بعد توقيعه من صاحبه .التوقيع الرقمي هو عبارة عن طريقة حسابية تستخدم لفحص مصادقة وتماسك الرسالة أو المستند الرقمي أو البرنامج .في معظم األقطار ،تعطي التوقيعات الرقمية نفس األهمية التي تعطيها التوقيعات اليدوية .وتستخدم التوقيعات اإللكترونية في التعاقدات والتفاوض أو أي مستند إلكتروني يتطلب توقيع يدوي .ويتم الجرد المتتابع لتاريخ المستند اإللكتروني بغرض التنظيم وأغراض الدفاع القانونية .والتوقيعات الرقمية تساعد في إقامة مصادقة وتماسك وعدم إنكار .وللتوقيعات الرقمية خصائص محددة توافر مصادقة الوحدات وتماسك البيانات وخصائص التوقيع الرقمي هي كالتالي: 108
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
مصادق :ال يمكن تزوير التوقيع ،و يجب توفير إثبات بأن الموقع وليس أحد غيره هو الذي وقع المستند. َ
•
متماسك :فبعد توقيع المستند ال يمكن تعديل المستند أو التوقيع.
•
ال يعاد استخدامه :فالتوقيع جزء من المستند وال يمكن نقله لمستند آخر.
•
ال يمكن إنكاره :ألغراض قانونية ،التوقيع والمستند يعتبران أشياء حسية .وال يمكن للموقعين بعدها ادعاء انهم لم يقعوا على المستند.
التوقيعات الرقمية هي بديلة إلتشماك. التوقيع وعدم اإلنكار :التخلي عن المسئولية يعني اإلنكار .وعدم اإلنكار هي طريقة للتأكد من أن مرسل الرسالة او المستند ال يمكنه إنكار أنه أرسل الرسالة أو المستند والمستقبل أيضا ال يمكنه أنكار أنه استقبل الرسالة أو المستند. تؤكد التوقيعات الرقمية أن المرسل قد وقع الرسالة أو المستند إلكترونيا .وحيث أن التوقيع وحيد وفريد بالنسبة للمستخدم الذي أنشأه ،لذا فإن هذا الشخص ال يمكنه الحقا إنكار أنه الشخص الذي وقع. 5.2.2كيف تعمل تقنية التوقيع الرقمي عملية إنشاء توقيع رقمي :تأتي الفكرة األساسية للتوقيع الرقمي من التشفير الغير متماثل .فخوارزمية ذات مفتاح عام مثل خوارزمية ريشاد ( )RSAتنتج مفتاحين ،واحد خاص وواحد عام .والمفتاحين يكونان مرتبطان حسابيا.
تريد إليسا إرسال بريد إلكتروني لبوب يحتوى على معلومات هامة عن طرح منتج جديد .وتريد إليسا أن تتأكد أن بوب يعرف أن الرسالة هي التي أرسلتها وليست فتاه أخرى ،وتريد أيضا أن تتأكد بأن الرسالة وصلت لبوب دون تعديل في الطريق .لعمل ذلك تقوم إليسا بتجهيز الرسالة وتجهيز هاش الرسالة .ثم تقوم بتشفير الهاش مستخدمة مفتاحها الخاص ،كما هو موضح بالشكل األول ،ثم تقوم إليسا بتجميع كل من الرسالة و الهاش المشفر ومفتاحها العام لتقوم بتركيب المستند النهائي الموقع .وترسل ذلك المستند لبوب كما هو موضح بالشكل الثاني.
109
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستقبل بوب الرسالة ويقرأها .وليتأكد من أن الرسالة أتت من إليسا ،يقوم بحساب هاش الرسالة (هاش .)1ثم يقوم بأخذ هاش الرسالة المشفر والمرسل مع رسالة إليسا ويقوم بفك تشفيره مستخدما المفتاح العام إلليسا (هاش .)2ثم يقارن الهاش الذي استقبله من إليسا (هاش )2مع الهاش الذي حسبه هو (هاش .)1إذا وجد تطابق يعرف بعدها أن تلك رسالة إليسا وأنها لم يتم التالعب بالرسالة في الطريق .كما هو موضح بالشكل
اضغط على الرابط https://www.youtube.com/watch?v=E5FEqGYLL0oلعرض فيديو يشرح عملية تصنيع الشهادات الرقمية. استخدامات التوقيع الرقمي :توقيع الهاش بدال من كامل المستند يعطي كفاءة وتوافق وتماسك لعملية التوقيع .أحيانا تريد المؤسسات تبديل المستندات الورقية وتوقيعات الحبر بحل يضمن أن المستندات اإللكترونية تتماشي مع كل المتطلبات القانونية واإلدارية .وفيما يلي حالتين الستخدام التوقيعات الرقمية: 110
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
توقيع البرامج – ويستخدم في إثبات تماسك الملفات التنفيذية التي يتم تحميلها من موقع بيع تلك الملفات .ويستخدم توقيع البرامج شهادات رقمية موقعة لمصادقة وإثبات هوية الموقع.
•
الشهادات الرقمية – وتستخدم في تحديد هوية المؤسسة أو الفرد لمصادقة موقع البيع وإقامة قناة اتصال لتبادل المعلومات المصنفة والسرية .الشهادات الرقمية موضحة في الشكل التالي:
مقارنة خوارزميات التوقيع الرقمي :أشهر ثالث خوارزميات للتوقيع الرقمي هي خوارزمية التوقيع الرقمي ،داسا (.)DSA وريشاد ( )RSAوخوارزمية التوقيع الرقمي بالمنحنى البيضاوي ،إكداسا ( .)ECDSAوكل الثالث خوارزميات تقوم بتصنيع والتحقق من التوقيعات الرقمية .وكل الخوارزميات الثالث تعتمد على تقنية التشفير بالمفتاح العام .ويتطلب التوقيع الرقمي اآلتي: •
تصنيع المفتاح
•
التحقق من المفتاح
وكال الوظيفتين يتطلبان عمليتي تشفير وفك تشفير. داسا يستخدم عملية تحليل ألرقام كبيرة ،تستخدم الحكومات داسا للتوقيع ولعمل توقيعات رقمية .وال يمتد داسا خارج توقيع الرسالة نفسها .ريشاد هو أكثر خوارزميات تشفير المفتاح العام شيوعا هذه األيام .ريشاد هو مختصر أسماء الثالثة علماء الذين ابتكروه عام 1977م :ريفست وشامير وأدلمان .ويعتمد ريشاد على عملية تشفير غير متماثل .يقوم ريشاد بتغطية التوقيع وأيضا يشفر محتوى الرسالة .داسا أسرع من ريشاد في خدمة توقيع المستندات الرقمية .يفضل استخدام ريشاد في التطبيقات التي تتطلب توقيع وتحقق المستندات اإللكترونية وتشفير الرسالة. 111
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كمعظم المجاالت في التشفير ،فإن خوارزمية ريشاد تعتمد اعتمادا كليا على مبدأين في الرياضيات هما ،حسابات باقي القسمة وتحليل األعداد األولية .اضغط هنا https://www.youtube.com/watch?v=wXB-V_Keiu8
لتعرف أكثر كيف
يستخدم ريشاد كال من باقي القسمة وتحليل األعداد األولية .إكداسا هو أحدث خوارزمية توقيع رقمي والتي يتم استبدال ريشاد بها بشكل تدريجي .والميزة لهذه الخوارزمية الجديدة أنها تستخدم أحجام مفاتيح صغيرة تعطي نفس المناعة ضد الهجمات، وأيضا تحتاج حسابات أقل من ريشاد.
5.3الشهادات الرقمية 5.3.1أساسيات الشهادات الرقمية ماهي الشهادة الرقمية :الشهادة الرقمية تمثل جواز السفر اإللكتروني .فهي تمكن المستخدم واألجهزة المضيفة والمؤسسات من تبادل المعلومات بطريقة سرية عبر اإلنترنت .وبشكل خاص ،فإن الشهادة الرقمية تصادق المصدر وتقوم بالتحقق من أن المستخدمين الذين أرسلوا الرسالة هم فعال من يدعون ذلك .وتستطيع الشهادات الرقمية تحقيق السرية للمستقبل بتشفير رسالة رد للمرسل.
تشبه الشهادات الرقمية الشهادات الحقيقية المطبوعة .على سبيل المثال ،فشهادة "مشارك أمني في الشبكات معتمد من سيسكو" تختصر لـ ( )CCNA-Sوالمطبوعة كما بالشكل تعرف الفرد باسمه وتعرف سلطة االعتماد (من اعتمد الشهادة) وتعرف أيضا فترة صالحية الشهادة .الحظ كيف أن الشهادات الرقمية (الموجودة بالشكل) تعرف نفس العناصر. استخدام الشهادات الرقمية :الستيعاب كيفية استخدام الشهادة الرقمية انظر الشكل ،ففي هذا السيناريو ،يريد بوب تأكيد طلب شراء مع إليسا .يستخدم خادم الويب الخاص بإليسا الشهادات الرقمية لتأكيد التراسل اآلمن .يتم عمل تأكيد طلب الشراء بالخطوات التالية،
112
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.1يقوم بوب بتصفح الموقع اإللكتروني إلليسا .والمتصفح عند بوب يخبر بوب بأن االتصال آمن عن طريق عرض رمز قفل في شريط الحالة األمنية. .2يرسل خادم ويب إليسا شهادة رقمية لمتصفح بوب. .3يقوم متصفح بوب بفحص الشهادة المخزنة في إعدادات المتصفح .والشهادات الموثوق فيها فقط هي التي تسمح لعملية االتصال أن تكتمل. .4ال يزال بوب محتاجا للمصادقة فيعطي كلمة مرور .وفي هذه الحالة يتم عمل جلسة سرية في الخلفية بين حاسب بوب وخادم ويب إليسا. .5يقوم متصفح بوب بخلق مفتاح جلسة فريد لمرة-واحدة. .6يس تخدم متصفح بوب المفتاح العام الخاص بخادم الويب والموجود على شهادة الخادم الرقمية لتشفير الجلسة .ونتيجة لذلك نجد أن خادم إليسا هو الوحيد الذي يستطيع قراءة المعاملة التي أرسلها متصفح بوب.
ماهي سلطة إصدار الشهادة ( :)CAفي عالم اإلنترنت ،االستمرار في تبادل معرفات الهوية بين األطراف العديدة غير عملي بالمرة .على ذلك ،يتفق األفراد على قبول كلمة من طرف ثالث محايد .والمفترض أن الطرف الثالث يقوم بعمل فحص شامل قبل إصدار االعتمادات .بعد هذا الفحص العميق ،يقوم الطرف الثالث بإصدار االعتمادات والشهادات التي ال يمكن تزويرها. وانطالقا من هذه النقطة ،فكل األفراد التي تثق في الطرف الثالث يقبلون ببساطة تلك االعتمادات التي أصدرها الطرف الثالث. على سبيل المثال ،كما في الشكل ،تقدم إليسا طلب إصدار رخصة قيادة .في هذه العملية ،تقوم إليسا بتقديم دليل على هويتها، مثل شهادة الميالد وصورتها وصورة بطاقتها وغيره لقسم الرخص بإدارة المرور .يقوم القسم بالتحقق من هوية إليسا ويسمح لها باستكمال اختبار القيادة .وبعد نجاحها في القيادة ،يقوم قسم الرخص بإصدار رخصة قيادة إلليسا .بعدها ،إذا أرادت إليسا صرف شيك من البنك ،فإنها تعطي الشيك لموظف الصرف .يطلب منها الموظف إثبات هوية .وحيث أن البنك يثق في إدارة المرور فإنه يصدق على رخصة القيادة كهوية لها ويصرف لها الشيك.
113
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وسلطة إصدار الشهادة ( )CAتعمل بنفس المبدأ الذي تعمل به إدارة المرور .حيث تقوم السلطة بإصدار شهادات رقمية والتي تصادق هوية الشركات والمستخدمين .وهذه الشهادات تقوم بتوقيع الرسائل للتأكد من أنه ال أحد قد عبث بمحتوى الرسالة أثناء نقلها.
5.3.2بناء الشهادات الرقمية ماذا يوجد بداخل الشهادات الرقمية :طالما أن الشهادة الرقمية تتبع معيار معين ،فإن أي وحدة تستطيع أن تق أر الرسالة وتفهمها بغض النظر عن معطي الشهادة .يعتبر إكس (X.509) 509معيار ل "البينة التحتية للمفتاح العام" ( PKIبيكاي) و بيكاي يدير عملية إصدار وتوزيع الشهادات الرقمية .وبتفصيل أكثر ،فإن البيكاي عبارة عن مجموعة سياسات وأدوار وإجراءات هامة لتحقيق إدارة وتوزيع واستخدام وتخزين والتخلص من الشهادة الرقمية .أما معيار إكس 509يحدد مكونات الشهادات الرقمية لتحتوي على المعلومات المعيارية التالية: .1رقم اإلصدار – وهو رقم إصدار معيار إكس 509 .2الرقم التسلسلي – وهو رقم وحيد معرف للشهادة .3معرف خوارزمية الشهادة – وهو اسم خوارزمية المفتاح العام التي تستخدمها سلطة إصدار الشهادة ( )CAلتوقيع الشهادة الرقمية. .4اسم معطي الشهادة – رقم هوية سلطة اإلصدار ()CA .5فترة الصالحية – تحتوي على تاريخ بدء وانتهاء الصالحية للشهادة .6اسم المالك – اسم مالك الشهادة .7المفتاح العام للمالك – المفتاح العام للمالك وخوارزمية المفتاح العام المستخدمة. .8معرف لمانح الشهادة – هو رقم فريد يعرف معطي الشهادة. 114
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.9معرف للمالك – هو رقم فريد يعرف صاحب الشهادة. .10أخرى – المعلومات اإلضافية التي تخص استخدام الشهادة. .11التوقيع الرقمي لسلطة اإلصدار – التوقيع الرقمي الذي تم عمله بمساعدة المفتاح الخاص بسلطة اإلصدار وباستخدام الخوارزمية المحددة في خانة معرف خوارزمية الشهادة. التحقق من صالحية الشهادة :تقوم المتصفحات والتطبيقات بعمل تحقق من الصالحية قبل الوثوق في الشهادة للتأكد أنها صالحة االستخدام .يتم التحقق عن طريق الثالث عمليات اآلتية: •
مستكشف الشهادة يقوم بالتحقق من صالحية خطوات إصدار الشهادة ،وذلك بفحص كل سلسة الشهادات بدءا من سلطة اإلصدار الجذعية .root CA
•
تحقق المسار يختار شهادة لسلطة اإلصدار التي منحت الشهادة لكل مرحلة في المسار.
•
سحب الشهادة يتحقق من أن الشهادة قد سحبت بالفعل ولماذا سحبت.
مسار الشهادة الرقمية :يحصل الفرد على الشهادة والمفتاح العام من سلطة إصدار تجارية .والشهادة تنتمي لسلسة من الشهادات تسمى سلسلة الثقة .عدد الشهادات في سلسلة الثقة يعتمد على التركيب الهرمي لسلطة اإلصدار ( .)CAيعطي الشكل التالي معلومات عن سلسلة الشهادات في مستويين فقط.
يوجد في العادة جهازين لسلطة اإلصدار جهاز جذعي متصل وجهاز تابع منفصل .والسبب في اتخاذ التركيب الهرمي ذا المستويين أن توقيع إكس 509يسهل عملية التعافي في حالة االختراق .إذا وجد جهاز تابع منفصل ،يمكنه حينها توقيع
115
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشهادات التي أصدرها الجهاز الجذعي المتصل .وإذا لم يوجد جهاز منفصل ،فعلى المستخدم أن يقوم بتثبيت شهادة رقمية جذعية جديدة لكل جهاز عميل أو تليفون أو لوح كفي.
5.4فرض سالمة قواعد البيانات 5.4.1تماسك قواعد البيانات تماسك البيانات :ويسمى أيضا تكامل البيانات .تعطي قواعد البيانات طريقة ذات كفاءة عالية لتخزين واسترجاع وتحليل البيانات .تتكون قاعدة البيانات من مجموعة من الكائنات مثل الجداول واالستعالمات والتقارير وغيرها .كلما زاد حجم البيانات المجمعة ،تزيد بالتبعية حساسية البيانات ،ومن المهم جدا ألي محترف أمني أن يتمكن من حماية قواعد البيانات المتنامية العدد .فكر في قاعدة البيانات كأنها نظام ملفات إلكتروني .تكامل البيانات يتحقق بالدقة واالنسجام واعتمادية البيانات المخزنة في قاعدة البيانات .مسئولية تماسك البيانات تقع على عاتق كل من مصممي قواعد البيانات والمطورين وإدارة المؤسسات. واألربع قواعد أو القيود الخاصة بتكامل البيانات هي كاآلتي: .1تكامل الكائن :كل الصفوف يجب أن يكون لها معرف فريد يسمى المفتاح األساسي ،في الشكل ID ،هو مفتاح أساسي حيث أن القيم بداخله ال تتكرر. .2تكامل النطاق :البيانات المخزنة في عمود ما يجب أن تتبع نفس النمط والتعريف ،مثال العمود First Nameالموجود بالشكل يأخذ قيم نصية وال يأخذ قيم تاريخ أو عملة مثال. .3التكامل المرجعي :العالقة بين الجداول المختلفة يجب أن تظل متناسقة .على ذلك ،إذا تم حذف مستخدم من جدول يجب أن يتم حذفه من كل الجداول التي تشير إلى نفس المستخدم ،على سبيل المثال إذا تم حذف مشترك في خدمة الهاتف من جدول المشتركين ،يجب أن يتم حذف المشترك من الجداول األخرى مثل جدول المكالمات وجدول الفواتير وغيرها. .4تكامل يحدده المستخدم :وهي مجموعة قواعد تحدد من قبل المستخدم والتي ال يمكن ضمها ألي قيد آخر من قيود تكامل البيانات .على سبيل المثال ،يقوم العميل بإصدار طلب شراء ،يقوم المستخدم أوال بالتأكد من أن العميل جديد أم ال .فإذا كان العميل جديد يتم إضافته لجدول العمالء.
أدوات إدخال البيانات :إدخال البيانات يعني توصيل البيانات للنظام للمعالجة ،ويجب إدخال البيانات بالشكل الصحيح .ويوجد عدة أدوات للتحكم في عملية إدخال البيانات والتي تجبر مدخل البيانات على إدخال بيانات صحيحة. 116
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
القائمة المنسدلة للبيانات الرئيسة :من األفضل الحصول على قائمة منسدلة للجداول الرئيسة بدال من جعل األفراد يدخلون البيانات .كمثال على التحكم في اإلدخال عن طريق القائمة المنسدلة ،استخدام قائمة المدن المأخوذة من النظام األمريكي للعناوين البريدية لمعايرة العناوين.
•
أدوات التحكم في حقل البيانات :وهو يعطي عدة قواعد الختبار صحة البيانات منها: oالمدخالت اإلجبارية تؤكد أن الحقل المطلوب يحتوي على بيانات .في الشكل ،المدخالت اإلجبارية يرمز لها بالرمز * (تعرض باللون األحمر) oقناع المدخالت ،يمنع المستخدمين من إدخال بيانات غير صحيحة أو المساعدة في ضمان إدخالهم للبيانات بشكل متناسق (مثل أرقام التليفونات) ،أو عنوان البريد اإللكتروني ،مثال يجب أن يحتوي على العالمة @ oقيم مالية موجبه. oمدى البيانات ،يؤكد أن المستخدم يدخل البيانات في المدى المحدد (مثال هل يعقل أن يكون تاريخ الميالد -01-01 1780م !!!) oالموافقة اإلجبارية لطرف ثاني ،على سيبل المثال إذا استلم موظف البنك عملية إيداع أو سحب لمبلغ كبير أكبر من قيمة معينة ،على الفور يتم إعالم شخص ثاني أو ثالث للموافقة. oإن ذار أقصى عدد للتعديالت ،إذا زاد عدد السجالت التي تم تعديلها عن حد معين في فترة زمنية معينة يتم تجاهل المستخدم بعدها حتى يتمكن المدير من معرفة ما إذا كانت عمليات التعديل مصرح بها ام ال. oإنذار النشاط الغير اعتيادي ،يتم قفل النظام اوتوماتيكيا إذا أدرك وجود نشاط غير اعتيادي.
117
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
5.4.2التحقق من قاعدة البيانات قواعد التحقق :قاعدة التحقق تتأكد من أن البيانات تقع في نطاق المعامالت التي أقرها مصمم قاعدة البيانات .تساعد قاعدة التحقق في التأكيد على اكتمال ودقة وانسجام البيانات .يتم استخدام المقاييس اآلتية في قاعدة التحقق: •
الحجم – يفحص عدد األحرف في عنصر البيانات.
•
النمط – يفحص ما إذا كانت البيانات تتبع النمط المحدد.
•
االنسجام – يفحص انسجام الشفرات في عنصر بيانات ذا عالقة.
•
المدى – يتأكد من أن البيانات تقع في مدى معين له قيمة عظمى وقيمة صغرى.
•
عدد الفحص–لعمل حسابات إضافية لتخليق عدد الفحص والذي يضاف في نهاية الرقم بغرض اكتشاف األخطاء.
الشكل التالي يبين كيفية تكوين عدد الفحص ،نفرض أن الرقم المراد حساب عدد الفحص له هو رقم اإليداع لكتاب كاآلتي ( )158714373ويتكون من 10خانات ،يوجد في الرقم تسعة أعداد ،الخانة العاشرة يتم حسابها بالخطوات التالية: •
نضرب العدد األول في 10والعدد الثاني في 9والعدد الثالث في .... 8وهكذا .يصير الناتج ، 7x8 ، 8x9 ،5x10 1x2 ، 3x3 ، 7x4 ، 3x5 ، 4x6 ،1x7
•
نجمع نواتج الضرب في الخطوة السابقة يكون الناتج 233
•
نحسب الفرق بين 233وأقرب رقم يقبل القسمة على ،11أقرب رقم بهذه المواصفات هو 242والفرق بينه وبين 233 يساوي 9لذا فإن عدد الفحص يساوي .9ويتم اضافته في نهاية رقم اإليداع ليكون كاالتي ()1587143739
118
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التحقق من نوع البيانات :التحقق من نوع البيانات هو ابسط عملية تحقق في قواعد البيانات والتي تتحقق من أن البيانات التي أدخلها المستخدم بيانات متناسقة وتناسب نوع البيانات المطلوب .على سبيل المثال ،رقم الهاتف يجب أال يحتوي على حروف التينية (الفا بيتا جاما) .تتحمل قواعد البيانات ثالث أنواع من البيانات ،العدد الصحيح والنصيص (تصغير نص) والرقم العشري. التحقق من المدخالت :من أكثر الثغرات التي توجد في إدارة سالمة قواعد البيانات هو التحكم في عملية إدخال البيانات. العديد من الهجمات المعروفة تحاول اختراق قواعد البيانات بإدخال بيانات مشوهة .ويستطيع الهجوم عمل إرباك وتخريب أو استغالل التطبيق ليكشف للمهاجم الكثير من المعلومات .ويستخدم المهاجمون طرق آلية للهجوم عن طريق المدخالت. على سبيل المثال ،يمأل المستخدمون نموذج عبر تطبيق ويب لالشتراك في رسائل النشرات اإلخبارية .يقوم تطبيق قواعد البيانات أوتوماتيكيا بتركيب وإرسال تأكيدات البريد اإللكتروني .وعندما يستقبل المستخدمون رسائل التأكيد متضمنة رابط مرجعي URLلتأكيد اشتراكهم ،يقوم المهاجمون بتعديل الرابط المرجعي .هذا التعديالت تتضمن تغيير اسم المستخدم وعنوان البريد اإللكتروني وحالة االشتراك .يرجع البريد اإللكتروني إلى خادم الويب الذي يستضيف التطبيق .فإذا لم يقم خادم الويب بتأكيد أن عنوان البريد اإللكتروني أو معلومات الحساب المقدمة للخادم تطابق معلومات االشتراك ،سيستقبل الخادم معلومات زائفة .يستطيع المهاجمون ميكنة الهجوم إلغراق تطبيق الويب بآالف طلبات االشتراك الغير محققة والتي تطلب االشتراك في خدمة رسائل النشرات اإلخبارية. فحص السلوك الشاذ :فحص الشذوذ يعني معرفة النمط الموجود في البيانات الذي ال يطابق السلوك المتوقع .من السلوك الغير مالئم وجود أنماط شاذه أو أنماط متطرفة أو االستثناء أو انحرافات أو مفاجئات في مختلف تطبيقات قواعد البيانات .فحص الشذوذ والتحقق منه هو رادع للهجمات وحارس لقواعد البيانات ،وعند وجوده يسهل اكتشاف التزوير .يمكن لنظم فحص الشذوذ أن تكتشف التزوير في بطاقة االئتمان والتأمين .كما يمكن أن تحمي البيانات من التخريب الهائل أو التعديل الغير مصرح به. يحتاج فحص الشذوذ طلبات تحقيق البيانات أو طلبات تعديل وذلك في حال اكتشاف النظام لنمط مفاجئ أو غير معتاد .على سبيل المثال ،صدور طلبين لصفقتي شراء ببطاقة ائتمانية من مكانين جغرافيين بعيدين في وقت صغير جدا .فإذا صدر طلب الصفقة األولى من الرياض الساعة 10:30صباحا والثاني صدر من جدة الساعة 10:35صباحا ،يجب أن يصدر النظام على الفور طلب اعتماد للطلب الثاني. مثال آخر يحدث عندما تتم تعديالت لعدد غير معتاد من عناوين البريد اإللكتروني لعدد غير معتاد من سجالت قواعد البيانات .حيث أنه من الممكن أن تصبح بيانات البريد اإللكتروني مصدر لهجمة قطع الخدمة ،DoSفإن تعديل البريد اإللكتروني لمئات السجالت يشير إلى أن المهاجم يستخدم قاعدة بيانات الشركة كأداة لتحقيق هجمته لقطع الخدمة.
119
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
5.4.3متطلبات تكامل قواعد البيانات تكامل وحدات قاعدة البيانات :وأحيانا تسمى الكائنات ،قاعدة البيانات تشبه نظام الملفات اإللكتروني .فالحصول على تنظيم مناسب للملفات هو جزء حيوي في رفع الثقة وتحقيق المنفعة المرجوة من البيانات الموجودة بقاعدة البيانات.
الجداول والسجالت والحقول ،والبيانات بداخل كل حقل ،كلها هي وحدات بناء قاعدة البيانات .وللحصول على تكامل لقاعدة البيانات في نظام الملفات اإللكتروني ،يجب على المستخدمين إتباع قواعد محددة .تكامل الوحدات هو قاعدة تكامل ،والتي تفرض وجود مفتاح أساسي لكل جدول ،ويجب أن يكون العامود أو األعمدة المختارة لتكون مفتاح أساسي ذات خاصية عدم التكرار وعدم الفراغ .عدم التكرار يعني أن يكون لكل سجل معرف منفرد وغير متكرر .وعدم الفراغ معناه أال يترك السجل فارغا .قواعد البيانات تعطي قيمة NULLللقيم الفارغة وعادة ما تكون هذه القيم مفقودة أو غير معروفة .وتكامل الوحدات يعطي تنظيما أفضل للبيانات في كل سجل كما هو موجود بالشكل. التكامل المرجعي :مبدأ آخر هام هو العالقة بين نظم الملفات المختلفة أو الجداول في قاعدة البيانات .وأساس الحفاظ على التكامل المرجعي هو المفاتيح األجنبية .والمفتاح األجنبي في جدول ما يشير إلى مفتاح أساسي في جدول آخر .المفتاح األساسي في الجدول يعطي معرف موحد للسجالت ليسهل الرجوع إليها .التكامل المرجعي يحافظ على تكامل المفاتيح األجنبية. كما نرى في الشكل جدول المخازن وجدول العمالء ،يقوم المشتري بشراء قطعة برقم معرف من المخزن .ثم تضاف عملية الشراء في جدول العمالء .فإذا تم إزالة القطعة من جدول المخازن فال معنى ألن تظل في جدول العمالء ،إذ أنه من غير المنطقي أن يشتري العميل قطعة غير موجودة في المخزن من األساس!!!.
120
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تكامل نطاق البيانات :تكامل النطاق يتأكد من أن جميع عناصر البيانات في عامود كلها تقع في المجموعة المحددة للقيم المقبولة .يتم تحديد مجموعة من القيم لكل عامود في الجدول ،مثل مجموعة أرقام بطاقات االئتمان ،أرقام الضمان االجتماعي، أو عناوين البريد اإللكتروني .الحد من القيمة التي تخص سجل معين لهذا العامود (الصفة) تفرض وجود تكامال مرجعيا .فرض التكامل المرجعي يمكن أن يكون بسيطا كاختيار نوع البيانات الصحيح ،أو الطول أو النمط المقبول لقيم العامود .يوجد بالشكل ثالث حقول محددة النطاق .مثال رقم SSNيجب أن يحتوى على 9أعداد. ملخص الفصل الخامس ناقش هذا الفصل كيف أن فن حفظ التماسك يؤكد على أن تظل البيانات غير قابلة للتعديل من أي شخص أو أي شيء خالل فترة حياة البيانات الكاملة .بدأ الفصل بمناقشة أنواع أدوات حفظ تماسك البيانات .خوارزميات الهاش ،وتمليح كلمة المرور، وشيفرة مصادقة الرسالة بالهاش ذا المفتاح (إتشماك )HMACكلها مبادئ هامة ألبطال السيبر حيث يمكن استخدامها في بناء التوقيع الرقمي والشهادات الرقمية .هذه األدوات تعطي طريقة لمتخصصي األمن السيبراني لتأكيد مصدر الرسالة والمستندات المرسلة .وانتهي هذا الفصل بمناقشة فرض تكامل قواعد البيانات .فالحصول على نظام تكامل بيانات معرف-جيدا ومتحكم- فيه-جيدا يزيد من الثبات ويحسن األداء ويسهل صيانة نظام قواعد البيانات. 121
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل السادس فن الحفاظ على استمرارية التوافر المؤسسات التي ترغب في الحصول على أقصى توافر للنظم والبيانات ،غالبا ما تتخذ معايير معينة لتقليل أو منع فقدان البيانات .والهدف الرئيسي هو تقليل تعطيل العمليات الهادفة والحرجة .فإذا لم يستطع الموظفون عمل أشغالهم المعتادة ،فإن المؤسسة تصبح على شفا خطر فقدان األرباح .وتقيس المؤسسات عملية التوافر بالنسبة المئوية لوقت التشغيل .هذا الفصل يبدأ بشرح مفهوم التسعات الخمس .يجب أن تحافظ الشركات على أعلى معايير التوافر ألن التعطل من الممكن أن يعني حرفيا الفرق بين الحياة والموت. يناقش هذا الفصل مختلف المنهجيات التي تتخذها المؤسسة لتحقيق أهدافها من التوافر .زيادة المعدات توفر احتياطي من المكونات اإلضافية مثل أجهزة الحاسب وأجهزة الشبكة بهدف التأكيد على توافر النظام .من الممكن أن تكون المكونات الزائدة عتاد مثل األقراص الصلبة والخوادم والمحوالت والموجهات ،ومن الممكن أيضا أن تكون برامج مثل نظم التشغيل والتطبيقات وقواعد البيانات .وهذا الفصل يناقش الرجوعية ،وهو مقدرة الخادم أو الشبكة أو مركز البيانات على التعافي بسرعة والرجوع إلى االستم اررية في العمل .يجب أن تجهز المؤسسات العدة للرد على االحداث بعمل إجراءات يتم اتباعها بعد حدوث عارض. ويختم الفصل بمناقشة التعافي من الكوارث وتخطيط استمرارية العمل والذين يمثال جزءا حيويا في حفاظ الشركة على توافر مواردها.
6.1التوافر الدائم 6.1.1مبدأ التسعات الخمس ما هو مبدأ التسعات الخمس :مبدأ التسعات الخمس يعني أن تتوافر النظم والخدمات بنسبة %99.999من الوقت .وتعني أيضا أن تكون مدة التعطيل سواء مخطط له أو غير مخطط له تساوي 5.26دقائق في السنة .ويشير التوافر الدائم إلى النظم والمكونات التي تستمر في العمل لفترة معينة .وللتأكيد على التوافر الدائم: •
إزالة النقاط المتعطلة
•
تصميم االعتمادية
•
اكتشاف التعطل عندما يحدث مباشرة.
الحفاظ على التوافر بمبدأ التسعات الخمس يحتاج لتكلفة عالية ويستهلك كثير من الموارد .والتكلفة العالية تأتي بسبب شراء عتاد إضافي كالخوادم والمكونات .وعندما تضيف المؤسسة مكون من المكونات ،تزيد بالتبعية صعوبة التهيئة والهيمنة على
122
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المكونات .ولسوء الحظ ،فإن زيادة صعوبة التهيئة يعني زيادة عوامل المخاطرة .فكلما زاد عدد األجزاء المتحركة كلما زادت احتمالية فشل المكونات. البيئات التي تتطلب التسعات الخمس :على الرغم من أن تكلفة استم اررية التوافر من الممكن أن تكون مرتفعة لبعض الصناعات ،إال إن هناك بيئات يجب إلزاميا أن يتوفر فيها مبدأ التسعات الخمس ،تم تجميعها في الشكل ،وهي:
•
الهيئات المالية :فالهيئات المالية يجب أن تحافظ على التوافر الستمرار التجارة وتحقيق االلتزام وزيادة ثقة العميل .اضغط على الرابط التالي http://www.datacenterdynamics.com/it-networks/new-york-stock-exchange- fails-due-to-configuration-problems/94401.articleلتق أر عن حادثة انقطاع التيار الكهربي أربع ساعات في بورصة نيويورك 2015والخسائر الفادحة التي صاحبت ذلك.
•
المرافق الطبية :المرافق الطبية تتطلب توافر دائم لتوفر العناية للمرضى على مدار الساعة .أضغط هنا http://www.fiercehealthit.com/story/data-center-downtime-cost-averages-7900 minute/2013-12-05لتق أر أكثر على متوسط التكلفة التي تكلفها تعطيل مركز بيانات في الهيئات الصحية.
•
الدفاع المدني :الدفاع المدني يشمل عدة بنايات توفر األمن والخدمات للمجتمع أو المقاطعة أو الدولة بشكل عام .أضغط هنا
http://www.nextgov.com/defense/2014/05/pentagon-police-agency-hit-catastrophic-
/network-outage/83842لتق أر أكثر على انقطاع شبكة الكهرباء في وكالة شرطة البنتاجون االمريكية. •
أسواق التجزئة :تعتمد أسواق التجزئة على سالسل توريد ذات كفاءة عالية وتوصيل المنتجات للمستهلك .االضطراب في سوق التجزئة يمكن أن يكون مخربا ،بشكل خاص في أوقات الذروة مثل اإلجازات والعطل الرسمية.
•
اإلعالم :يعتمد العامة على أن وسائل اإلعالم ستوصل المعلومة عن األحداث فور وقوعها .والنشرات اإلخبارية أصبحت على مدار الساعة ()7/24 123
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تهديدات التوافر :التهديدات اآلتية تشكل خط ار كبي ار على توافر البيانات والمعلومات: •
مستخدم غير مخول ينجح في اختراق وكشف قاعدة البيانات األساسية للمؤسسة.
•
عملية هجوم لقطع الخدمة DoSناجحة تؤثر بشكل جوهر على سير العمليات داخل الشركة.
•
المؤسسة تفقد بيانات حساسة جدا.
•
تعطل تطبيق هام معد لهدف حيوي في الشركة
•
االستيالء على حساب المدير أو حساب المستخدم الجذري.
•
اكتشاف وجود شيفرة برنامج عبر المواقع أو مشاركة ملف على الخادم بشكل غير قانوني.
•
تشويه الموقع اإللكتروني للشركة يؤثر على العالقات العامة.
•
عاصفة شديدة كاإلعصار والزوبعة.
•
األحداث المدمرة مثل الهجوم اإلرهابي وتفجير المبنى والحريق.
•
انقطاع طويل األمد لمرفق أو خدمة.
•
تدمير بالمياه بسبب الفيضانات أو بسبب تسريب في بخاخات الحريق.
وتقسيم التهديد على حسب مستوى التأثير يساعد المؤسسة في إدراك التأثير الدوالري للتهديد .في الجدول التالي نقسم التهديدات حسب مستوى التأثير لكل نوع مثال
التهديد الكوارث الطبيعية
الزالزل ،األعاصير ،الزوابع ،الفيضانات ،الحرائق
الخطأ البشري
يقوم الموظف بعمل خطأ غير مقصود ،مثال اسقاط حاسوب من يده
فشل العتاد
تخريب القرص الصلب ،التهيئة الخاطئة للجدار الناري
التخريب المتعمد
المهاجم يقوم بتثبيت باب خلف أو دودة بغرض مسح الملفات
الهجمات البرمجية
الفيروسات ،الديدان ،هجمة قطع الخدمة DoS
الخطأ البرمجي
بق البرامج يمنع البرنامج من التحميل بشكل صحيح
السرقة انقطاع المرافق
الحواسيب المحمولة أو المعدات تسرق من حجرات غير مقفلة. فشل في الطاقة الكهربية.
تصميم نظام بتوافر دائم :التوافر الدائم يدمج ثالث مبادئ رئيسية لتحقيق الهدف من عدم انقطاع الوصول للبيانات والخدمات: •
إزالة أو تقليل نقاط التعطل :وحدة أو نقطة حرجة في النظام تؤدي عملية حرجة وإذا تعطلت ستعطل باقي العمليات ،هل يمكن تركها تتعطل؟ من الهام جدا فهم طريقة الحل لمشكلة نقاط التعطل .نقاط التعطل ممكن أن تكون موجه مركزي أو 124
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
محول أو خدمات شبكة أو حتى شخص مدرب جدا من فريق تقنية المعلومات .المهم هنا أن فقدان النظام أو العملية أو الشخص يمكن أن يكون له تأثير تخريبي على النظام بالكامل .والحل أن نقتني عمليات وموارد ومكونات والتي من شأنها تقليل تعطل وفشل النقاط .عناقيد التوافر الدائم هي الحل لعمل الزيادة .هذه العناقيد تحتوي على مجموعة من الحواسيب ا لخوادم والتي لها وصول لنفس وحدات التخزين المشتركة ولها نفس التهيئة .وكل الخوادم تشارك في المعالجة والخدمة في نفس الوقت .من الخارج ،تبدو مجموعة الخوادم كأنهم جهاز واحد .فإذا تعطل جهاز في العنقود ،فإن األجهزة األخرى تستمر في المعالجة بتقديم نفس الخدمة لتغطية غياب الجهاز المتعطل. •
رجوعية النظام ،المقدرة على الحفاظ على البيانات وعمليات المعالجة رغم الهجوم أو األحداث التخريبية .بشكل عام ،هذا يتطلب أنظمة زائدة في الطاقة والمعالجة ،فإذا تعطل أحد األنظمة فإن األنظمة األخرى تحل محلة وتقوم بالعمليات والخدمات دون التوقف المؤقت للخدمة .رجوعية النظام ال تعني فقط زيادة مقاومة الجهاز ولكنها تتطلب توفير البيانات والخدمات حتى عند وجود الهجوم.
•
تحمل الخطأ ،المقدرة على العمل مع وجود الخطأ تمكن النظام من االستمرار في العمل أثناء فشل مكون أو عدة مكونات. كمثال على ذلك ،نسخة المرآة من البيانات .فإذا حدث الخطأ وسبب في حدوث تعطل الجهاز كمتحكم القرص الصلب، فإن النظام المرآة سيوفر البيانات المطلوبة وذلك بال إزعاج ظاهر للمستخدم.
6.2معايير زيادة التوافر 6.2.1إدارة الممتلكات تحديد الممتلكات :تحتاج المؤسسة لمعرفة العتاد والبرمجيات الموجودة كمتطلب مبدئي لمعرفة متغيرات التهيئة المطلوبة .إدارة الممتلكات تشمل نظام مخازن كامل للعتاد والبرمجيات .وهذا يعني أن المؤسسة تحتاج لمعرفة كل المكونات التي من الممكن أن تتعرض للخطر ،وتشمل هذه المكونات: •
كل نظم العتاد 125
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
كل نظم التشغيل
•
كل جهاز شبكي
•
كل نظام تشغيل لجهاز شبكي
•
كل تطبيق برمجي
•
البرمجيات الثابتة -Firmwareمثل البرامج على الذاكرة الدائمة ROM
•
كل لغات وبيئات التشغيل
•
كل المكتبات (البرمجية أو غيره) API
يمكن أن تختار المؤسسة نظام آلي لتتبع وتنظيم الممتلكات .ومدير هذا النظام يجب أن يحقق في أي تعديل للتهيئة ألنه من الممكن أن يعني أن التهيئة ليست محدثة آلخر تحديث .كما يمكن أن يعني أنه يوجد تعديالت غير مصدقة تحدث. تصنيف الممتلكات :تصنيف الممتلكات يضع كل مورد في الشركة في مجموعة بناء على الصفات المشتركة لموارد نفس المجموعة .يجب أن تطبق الشركة نظام تصنيف ممتلكات للمستندات وسجالت البيانات وملفات البيانات واألقراص الصلبة. والمعلومات الحساسة للغاية تحتاج أعلى مستوى من الحماية وأحيانا ستحتاج إلى معاملة خاصة .تستطيع المؤسسة تبني نظام العالمات والمورد يأخذ عالمة معينة بناء على قيمته ودرجة حساسيته ومدى أن يكون حرجا .يمكن تتبع الخطوات التالية لتعريف وتصنيف الممتلكات الخاصة بالشركة: خطوات تعريف وتصنيف الممتلكات الخطوة األولى
الخطوة الثانية
تعريف فئات التصنيف للممتلكات
تعريف مسائلة الممتلكات
•
ممتلكات معلوماتية
•
عرف كل مالك للممتلكات المعلوماتية
•
ممتلكات فيزيائية
•
عرف كل مالك للتطبيقات البرمجية
•
ممتلكات برمجية
•
خدمات
الخطوة الثالثة
الخطوة الرابعة
تحديد معيار التصنيف
بناء خطة التصنيف
•
السرية
•
القيمة
•
الوقت
•
الصالحيات
•
قم بتبني طريقة منتظمة لتعريف المعلومة للتأكيد
على وجود حماية منتظمة.
.1حدد الفئات المناسبة للتعريف بالممتلكات. 126
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.2قم بعمل مسائلة الممتلكات بتعريف المالك لكل ممتلك معلوماتي وتطبيق برمجي. .3قم بتحديد معيار التصنيف. .4قم ببناء مخطط التصنيف. على سبيل المثال ،تستخدم الحكومة األمريكية درجة حساسية المعلومة لتصنيف البيانات كاآلتي :سري للغاية ،سري ،مصنف، عام ،غير مصنف .الجدول يوضح تفصيل أكثر لتلك الخطوات. معايرة الممتلكات :إدارة الممتلكات تدير نظام المخازن ودورة حياة الممتلكات كاألجهزة والبرامج .كجزء من نظام تقنية المعلومات إلدارة الممتلكات ،تقوم المؤسسة بتحديد الممتلكات المقبولة والتي تتماشى مع أهدافها ،فهذه الممتلكات هي التي تقبل فقط .وهذا اإلجراء يقلل بشدة أنواع الممتلكات المختلفة .على سبيل المثال ،تقوم المؤسسة فقط بتثبيت التطبيقات التي تتماشى مع سياساتها .عندما يقوم مدراء النظم بإزالة التطبيقات التي ال تتماشى مع الخطوط العريضة للشركة ،فإنهم بذلك يزيدون من سرية المنظومة بشكل فعال .معايير الممتلكات تحدد منتجات معينة من العتاد والبرمجيات ،وهي التي تتقبلها الشركة في االستخدام والدعم .عندما يحدث فشل ،يساعد رد الفعل الفوري في الحفاظ على الوصول والسرية .فإذا لم تعاير الشركة مختاراتها من العتاد وعند حدوث الفشل ،سيحتاج العاملون إلى التدافع والعجلة للبحث عن مكون بديل .البيئات غير المعايرة تحتاج لخبرات أكثر لإلدارة وسيزيد ذلك من تكاليف عقود الصيانة والمخازن .اضغط الرابط التالي http://mil- /embedded.com/articles/the-cots-systems-playلتق أر عن كيف أن الجيش انتقل على العتاد المعاير الستخدامه في التواصل. تحديد التهديدات للممتلكات :فريق االستعداد لطوارئ الكمبيوتر في الواليات المتحدة األمريكية ( )US-CERTوو ازرة األمن الداخلي األمريكية يرعان قاموس الثغرات و التعرض ( .)CVEيحتوي قاموس الثغرات على معيار لمعرف رقمي مع وصف مختصر ،ومرجعيات لتقارير الثغرة والتحذيرات .مؤسسة MIRTEتقوم بتحديث قائمة الثغرات CVEعلى موقعها اإللكتروني المتاح للجميع .تبدأ عملية تحديد التهديدات بعملية بتخليق معرف لـ قائمة الثغرات CVEللثغرات األمن السيبراني المعلومة بشكل عام .وكل معرف في القائمة يحتوى على اآلتي: •
رقم معرف CVE
•
وصف مختصر للثغرة األمنية
•
أي مراجع هامة
اضغط هنا لتق أر أكثر عن معرفات CVEأو معرفات قائمة الثغرات.
127
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تحليل المخاطر :تحليل المخاطر هي عملة تحليل الخطر الذي تجلبه األحداث التي سببها البشر واألحداث الطبيعية التي تؤثر على ممتلكات المؤسسة .يقوم المستخدم بتعريف الممتلكات لتحديد الممتلكات التي يجب حمايتها أكثر .يوجد أربعة أهداف رئيسية لتحليل المخاطر: .1تحديد الممتلكات وقيمته .2تحديد الثغرات والتهديدات. .3تحديد كمية االحتمال والتأثير للتهديدات المعرفة. .4الموازنة بين التأثير وتكلفة شراء المضاد. يوجد منهاجين رئيسيين لتحليل المخاطر: •
تحليل المخاطر الكمي :كما نرى في الشكل األول ،تحليل المخاطر يعطي أرقام لعملية تحليل المخاطر .وقيمة الممتلك تعبر عن تكلفة استبدال الممتلك .و قيمة الممتلك يمكن قياسها أيضا بالدخل المكتسب من استخدام الممتلك .عامل التعرض ( ) EFهو قيمة ذاتيه يعبر عنها بالنسبة المئوية الحتمال فقدان الممتلك بسبب تهديد محدد .وإذا حدثت خسارة كاملة للممتلك فإن عامل التعرض يكون 1أو .%100وفي المثال الكمي ،الخادم له قيمة امتالكية تساوي 15000 دوالر .وعندما يخرب الخادم ،تحدث خسارة كاملة ( .)EF=1قيمة الممتلك ( 15الف دوالر) مضروبة في عامل التعرض 1يكون الناتج هو الخسارة الواحدة المتوقعة ( )SLEيساوي 15000دوالر .معدل الحدوث السنوي ( )AROهو احتمال حدوث خسارة خالل السنة ويتم التعبير عنه بالنسبة المئوية .ويمكن لمعدل الحدوث السنوي أن يكون أعلى من %100إذا حدثت الخسارة أكثر من مرة في السنة الواحدة .وحساب الخسارة السنوية المتوقعة ( )ALEيعطي لإلدارة بعض التوجيه لما يمكن صرفه لحماية الممتلك.
128
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
تحليل المخاطر النوعي :تحليل المخاطر النوعي يستخدم اآلراء والسيناريوهات .الشكل يعطي مثال على جدول مستخدم في تحليل المخاطر النوعي ،ويقوم الجدول بعرض احتمال وجود التهديد بالنسبة لـ تأثيره .على سبيل المثال ،فإن تهديد تعطل الخادم يمكن أن يكون محتمال ،ولكن تأثيره يكون مهمش .يقوم الفريق بتقييم كل تهديد لكل ممتلك ويضعه في جدول .ويقيم الفريق النتائج ويستخدم النتائج في التوجيه .يمكنهم أن يأخذوا خطوات فعلية فقط إذا وقع التهديد في المنطقة الحمراء .األرقام المستخدمة في الجدول ال تتعلق بشكل مباشر بجانب تحليلي معين .على سبيل المثال ،التأثير الكارثي بقيمة 4ال يعني أن قيمته ضعف التأثير الهامشي الذي قيمته .2وهي طريقة ذاتيه في طبيعتها بمعنى أنها خاصة بالشركة ويمكن أن تتبنى الشركات األخرى طرق مختلفة.
التلطيف :التلطيف يعني تقليل حدوث الخسارة أو تقليل احتمالية الخسارة .يوجد تقنيات كثيرة لتلطيف الخطر من هذه التقنيات، نظم المصادقة ،صالحيات الملف ،والجدران النارية .يجب أن يفهم كل من المؤسسة ومتخصصو األمن السيبراني أن تقليل الخطر يمكن أن يكون له إما تأثير إيجابي وإما تأثير سلبي على المؤسسة .والتلطيف الجيد للخطر يوجد اتزان بين التأثير السلبي للمضادات وأدوات التحكم وبين مدى االستفادة من تلطيف الخطر .يوجد أربعة طرق لتقليل الخطر هي: •
القبول :قبول المخاطرة وإعادة تقييم الخطر الذي قبل بشكل دوري كعملية مستمرة محتسبة كأنها جزء من العمليات التجارية ،مع تعديل مقاييس التلطيف.
•
التقليل :يتم تقليل الخطر باستخدام أدوات التحكم .إبدا من جديد بتصميم عمليات تجارية وضع لها أداة التحكم المناسبة وضع لها أسلوب قياس مخصص.
•
التجنب :التجنب يعني تغيير المنهجية بشكل كامل .لتجنب الخطر بشكل كامل يمكن أن يشمل على سبيل المثال االنفصال بشكل مطلق عن اإلنترنت.
•
النقل :يعني نقل الخطر لطرف ثالث ،نقل الخطر لشركة أو وكالة خارجية (مثال شركات خدمات أو شركات تأمين)
االستراتيجية القصيرة األمد هي قبول الخطر مع االهتمام ببناء خطط طوارئ لهذا الخطر .يجب أن يقبل األشخاص والمؤسسات الخطر بشكل يومي .والطرق الحديثة تقلل الخطر بتطوير البرامج بشكل تزايدي وتوفير التحديثات والرقع بشكل منتظم للوقوف على الثغرات وأخطاء التهيئة .تعهيد الخدمات ،التأمينات ،أو شراء عقود الصيانة كلها أمثلة على نقل الخطر.
129
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
استئجار اشخاص ألداء المهام الحرجة لتقليل الخطر يمكن أن يكون ق ار ار جيدا بنتائج عظيمة في وجود استثمار قصير األمد. يمكن استخدام أكثر من طريقة لتلطيف الخطر .مثال (النقل مع القبول). 6.2.2الدفاع بعمق عمل طبقات :Layeringعملية الدفاع بعمق لن تضمن وجود عازل سيبراني غير قابل لالختراق ،ولكنه يساعد المؤسسة في تقليل الخطر باالحتفاظ الدائم بخطوة واحدة أمام المجرم السيبراني (السبق بخطوة) .إذا كان هناك دفاع وحيد موجود لحماية البيانات والمعلومات ،ستكون مهمة المجرم السيبراني فقط التحايل على هذا الدفاع الوحيد .وللتأكد من االحتفاظ بتوافر البيانات والمعلومات ،يجب على المؤسسة توفير مستويات مختلفة من الحماية. المنهجية الطبقية تعطي أعلى مستويات الحماية وتكون الحماية شاملة .فإذا اخترق المهاجم طبقة من الطبقات ،اليزال عليه أن يناضل العديد من الطبقات األخرى وكل طبقة تكون أعقد من سابقتها .الطبقية تعني بناء حاجز من دفاعات متعددة تعمل معا لمنع الهجمات .على سبيل المثال ،من الممكن أن تقوم المؤسسة بحفظ مستنداتها عالية السرية على خادم في بناية محاطة بسياج إلكتروني.
القصر : Limitingقصر الوصول للبيانات والمعلومات يقلل احتمالية التهديد .يجب أن تقوم المؤسسة بتقليل الوصول للمستخدمين بحيث يكون للمستخدم مستوى الوصول الذي يحتاجه فقط لعمل وظيفته .على سبيل المثال ،الموظفين في قسم التسويق ال يحتاجون في العادة لفتح سجالت المرتبات ألداء وظيفتهم .الحلول المعتمدة على التقنية مثل صالحيات الملف هي طريقة للحد من الوصول .ويجب أن تقوم المؤسسة بعمل مقاييس إجرائية ،على سبيل المثال يجب وضع إجراء يمنع الموظف من إزالة المستندات الحساسة من المبنى. التنويع :Diversityإذا كانت كل طبقات الحماية متشابهة ،فلن يكون من الصعب على المجرمين النجاح في تحقيق الهجوم. على ذلك ،يجب أن تكون الطبقات مختلفة .إذا استطاع المجرم تخطي طبقة من الطبقات ،فلن تعمل التقنية التي يهاجم بها 130
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
على باقي الطبقات .اختراق طبقة أمنية واحدة ال يعني تكشف كامل النظام .يمكن أن تستخدم المؤسسة نظم تشفير وخوا رزميات تشفير مختلفة أو نظم مصادقة مختلفة لحماية بياناتها في مدن مختلفة .ولتحقيق هدف التنوع ،يمكن أن تستخدم المؤسسة منتجات مصنعة من شركات مختلفة لعمل المصادقة ذات المعاملين .على سبيل المثال ،الخادم الذي يحتوى على مستندات عالية السرية يوضع في حجرة مقفلة ولفتحها نحتاج إلى بطاقة ممغنطة تم تصنيعها من شركة ونحتاج أيضا إلى جهاز مصادقة ببصمة األصبع والذي يتم تصنيعه من قبل شركة أخرى. الغموض :Obscurityالغموض يمكن أن يحمي أيضا البيانات والمعلومات .يجب أال تقوم المؤسسة بالبوح بأي معلومات يمكن أن يستخدمها المهاجمون لمعرفة نظام التشغيل للخادم أو نوع الجهاز الذي يستخدم نظام التشغيل .على سبيل المثال، رسائل الخطأ يجب أال تحتوى على تفاصيل يمكن أن يستخدمها المهاجم لمعرفة الثغرات الموجودة .إخفاء نوعيات معينة من البيانات والمعلومات تجعل من الصعب على المهاجم اختراق النظام. التبسيط :Simplicityدرجة تعقيد النظام ال تضمن بالضرورة تأمين النظام .إذا قامت المؤسسة بتبني نظم معقدة صعبة الفهم والصيانة ،يمكن أن تصير فخا لها بأن تعطي نتائج عكسية .إذا لم يستطيع الموظفون فهم كيفية تهيئة حل معقد ومناسب، فيمكن أن يكون األمر سهل جدا للقراصنة الختراق تلك األنظمة المعقدة .للحفاظ على التوافر ،يجب أن يكون الحل األمني سهل وبسيط جدا للداخل (الموظفون داخل الشركة) ومعقد للخارج (المهاجمون من خارج الشركة). 6.2.3الزيادة Redundancy نقطة التعطل الوحيدة :فشل نقطة التعطل هي عملية متكررة داخل المؤسسة .فبعض العمليات األخرى يمكن أن تعتمد عليها ولكن في حالة فشلها تتعطل العملية بالكامل .يمكن أن تكون النقطة قطعة من العتاد أو إجراء أو قطعة معينة من البيانات أو حتى مرفق مهم .نقاط التعطل الوحيدة هي الحلقة الضعيفة في السلسلة التي يمكن أن تتسبب في ارباك عمليات المؤسسة. بشكل عام ،الحل المتبع في نقاط التعطل هو تعديل العمليات الحرجة لتصبح غير معتمدة على عنصر وحيد .كما يمكن للمؤسسة أن تبني نظام زيادة في المعدات للعمليات الحرجة بحيث لو تعطلت النقطة يكون فيه نقاط احتياطية تأخذ مكانها لكي ال تتعطل العملية برمتها. الزيادة بطريقة ن :1+زيادة ن 1+تؤكد على توافر النظام في حال تعطل مكون من المكونات .المكونات المتعددة (ن) تحتاج ألن يكون لها على األقل مكون احتياطي واحد ( .)1+على سبيل المثال السيارة لها أربعة إطارات (ن) ولها أيضا إطار احتياطي مربوط بالسيارة يساعد في حال فقدان اإلطار للهواء ( ،)1+أنظر الشكل .في مراكز البيانات ،زيادة ن 1+تعني تصميم النظام بحيث يتحمل فقدان مكون من المكونات .و ن في هذه الحالة تعني العديد من المكونات المختلفة التي يبنى عليها مركز البيانات مثل الخوادم ومزود الطاقة والمحوالت والموجهات .و 1+هو المكون اإلضافي أو النظام اإلضافي الذي ينتظر على جانب حتى يتم االحتياج إليه .كمثال على زيادة ن 1+في مركز البيانات ،مولد الكهرباء االحتياطي الذي يعمل
131
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عند حدوث عارض للمصدر الرئيسي للطاقة .على الرغم من أن نظام ن 1+يحتوى على مكونات زائدة إال انه ال يمثل نظام زيادة كامل.
المجموعة المتكررة من األقراص المستقلة ( )RAIDريد :المجموعة المتكررة من األقراص المستقلة (ريد) تدمج العديد من األقراص الصلبة الفيزيائية في وحدة منطقية وحيدة لتوفير زيادة البيانات وتحسين األداء .يأخذ نظام األقراص ريد البيانات والتي تخزن افتراضيا في قرص صلب واحد ويقوم بنشر تلك البيانات لباقي األقراص .إذا فقط أحد األقراص ،يمكن للمستخدم استرجاع البيانات من األقراص األخرى والتي تحتوي أيضا على نسخة من البيانات .يمكن أيضا أن يزيد نظام ريد من سرعة التعافي .استخدام العديد من سواقات األقراص يجعل النظام اسرع في استرجاع البيانات المطلوبة بدال من االعتماد على قرص واحد فقط لعمل الوظيفة .يمكن أن يكون نظام ريد برمجي أو عتادي .النظام العتادي يتطلب تثبيت متحكم عتادي خاص على النظام الذي يحتوى أقراص ريد .المصطلحات التالية تبين كيف يخزن ريد البيانات على العديد من األقراص: •
المساواة – يكشف الخطأ في نشر البيانات .يتأكد ان جميع النسخ متساوية.
•
النشر – كتابة البيانات عبر العديد من األقراص.
•
المرآة – تخزين نسخة مزدوجة من البيانات على قرص آخر.
يوجد العديد من أنظمة ريد متاحة في الشكل التالي ،اضغط هنا http://www.acnc.com/raidلعرض تعليمية لمستويات ريد والتي تشرح تقنية ريد. الشجرة الممتدة : Spanning Treeالزيادة تديم التوافر للبنية التحتية ،ويتم إدامة التوافر عن طريق حماية الشبكة من تعطل النقاط الوحيدة ،مثل تعطل كابل أو محول .وعند تصميم وبناء الزيادة الفيزيائية للشبكة ،تحدث مشكلة الحلقات وتك ارر الحزم. والحلقات يقصد بها أن تدور حزم البيانات في حلقات إلى األبد .الحلقات والحزم المكررة لها عواقب وخيمة على شبكات التحويل.
132
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وبروتكول الشجرة الممتدة ( )STPيركز على هذه المشاكل .الوظيفة الرئيسية للشجرة الممتدة هو منع الحلقات على الشبكة عند توصيل المحوال ت بأكثر من مسار .ويؤكد البروتوكول على أن روابط الزيادة الفيزيائية خالية من الحلقات .ويتأكد بروتوكول الشجرة الممتدة من أن هناك مسار منطقي وحيد بين كل الوجهات على الشبكات .ويقوم البروتوكول عن قصد بمنع المسارات الزائدة والتي قد تتسبب في عمل حلقات .ومنع المسارات الزائدة هو عمل هام جدا للشبكة لمنع حدوث الحلقات في الشبكة. والمعضلة هو منع المسار منطقيا لكن وجوده فيزيائيا بحيث يمكن استخدامه كمسار احتياطي .فإذا تعطل كابل أو محول ،يقوم البروتوكول بإعادة حساب المسارات وإزالة الحظر عن المنافذ الهامة للسماح للمسارات الزائدة بأن تصبح فعالة. يوجد في الشكل مثال على تشغيل بروتوكول الشجرة الممتدة عند وجود عطل في مسار من مسارات الشبكة ،توجد وصلة ترنك بين S1و S2هي التي تعمل حاليا ،والمسار الثاني االحتياطي بين S2و S3تم منعه منطقيا. •
الجهاز PC1يرسل رسالة بث إلى كامل الشبكة. 133
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
تعطل رابط الترنك بين S2و S1تعطل فيزيائي ،وتسبب في تعطيل المسار األصلي.
•
يقوم S2بتشغيل المنفذ الذي كان مغلقا لوصلة الترنك الثانية Trunk2وينشر رسالة بث إلخبار جميع األجهزة التي في الشبكة بالمسار الجديد ،والحفاظ على استم اررية االتصال.
•
وإذا عادت الوصلة بين S1و S2للعمل ،يقوم بروتوكول الشجرة الممتدة بوقف الوصلة بين S2و .S3
زيادة الموجهات :Router Redundancyالعبارة االفتراضية هي الموجة الذي يوفر وصول شبكة ما إلى شبكة أخرى أو توفير توصيل جميع الشبكات باإلنترنت .فإذا كان هناك جهاز موجه وحيد يقوم بدور العبارة االفتراضية ،يكون حينها نقطة تعطل وحيدة .وأحيانا تختار المؤسسة تركيب جهاز موجه احتياطي على أهبة االستعداد.
134
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
في الشكل األول ،موجه اإلرسال والموجه االحتياطي يستخدمان بروتكول الزيادة لمعرفة الموجه الذي سيقوم بالدور الفعال في إرسال الحزم .كل موجه تم تهيئته بعنوان إنترنت فيزيائي وعنوان إنترنت وهمي .تستخدم األجهزة الطرفية عنوان اإلنترنت الوهمي للموجه كعنوان للعبارة االفتراضية .ينتظر موجه اإلرسال الحزم الموجه للعنوان .192.0.2.100يستخدم موجه اإلرسال والموجه االحتياطي عناوين اإلنترنت الفيزيائية الخاصة بهم إلرسال رسائل بشكل دوري .والهدف من هذه الرسائل هو التأكيد على أن كال الموجهين متاحان وموصالن .إذا لم يعد يستقبل الموجه االحتياطي الرسائل الدورية من موجه اإلرسال ،فإن الموجه االحتياطي سيقوم بدور اإلرسال .كما نري في الشكل الثاني .مقدرة الشبكة على التعافي من تعطل جهاز يلعب دور العبارة االفتراضية يسمى بزيادة القفزة-األولى .First-Hop redundancy
طرق زيادة الموجهات :القائمة التالية تعرف االختيارات المتاحة لزيادة الموجهات اعتمادا على البروتوكول الذي يعرف شكل االتصال بين أجهزة الشبكة: •
بروتوكول الموجه على أهبة االستعداد ( :)HSRPبروتوكول HSRPيعطي توافر دائم للشبكة بتوفير الزيادة للتوجيه من نوع القفزة-األولى .يستخدم مجموعة من الموجهات هذا البروتوكول الختيار موجه نشط وموجه احتياطي .وفي مجموعة الموائمات للموجه ،الجهاز النشط يكون هو الجهاز الذي يوجه الحزم؛ والجهاز االحتياطي هو الجهاز الذي يعمل بديال عن الجهاز النشط في حالة تعطله .ووظيفة الجهاز االحتياطي هو مراقبة حالة العمليات لمجموعة بروتوكول HSRP والذي يلعب بسرعة دور مرسل الحزم إذا تعطل الجهاز النشط.
•
بروتوكول الزيادة للموجه الوهمي ( :)VRRPالموجه من نوع VRRPيعمل ببروتوكول VRRPجنبا إلى جنب مع واحد أو أكثر من الموجهات الموصلة بالشبكة المحلية .LANعند تهيئة ،VRRPفإن الموجه المنتخب هو الموجه الوهمي المسيطر ،وباقي الموجهات تعمل كاحتياطي لتغطية تعطل ذلك الموجه الوهمي المسيطر. 135
أساسيات األمن السيبراني ()Cybersecurity Essentials •
إعداد :أسامة حسام الدين
بروتوكول عبارة موازنة األحمال ( :)GLBPيقوم هذا البروتوكول بحماية سيل البيانات في الشبكة من تعطل موجه أو دائرة إلكترونية تماما مثل HSRPو VRRPوفي نفس الوقت يسمح بوجود موازنة لألحمال (يسمى أيضا مشاركة األحمال) بين مجموعة من الموجهات الزائدة.
زيادة المواقع :يمكن أن تقرر الشركة استخدام مواقع جغرافية زائدة بناء على احتياجاتها .فيما يلي نبين ثالث أشكال من زيادة المواقع: •
المتماثل :وبه الخصائص التالية oيتم تحديث الموقعين في الوقت الفعلي. oيحتاج إلى عرض نطاق أكبر oيجب أن تكون المواقع قريبة من بعضها جغرافيا لتجنب تأخير وقت االستجابة.
•
الغير متماثل :وبه الخصائص التالية: oال يتم التحديث في الوقت الفعلي ولكن يكون التحديث بسرعة أقل من الوقت الفعلي. oيحتاج لعرض نطاق اقل. oيمكن للمواقع الجغرافية أن تكون بعيدة عن بعضها ألن وقت االستجابة ليس مهما.
•
نسخ نقطة كل مرة :وبه الخصائص التالية: oتحديث البيانات االحتياطية في المواقع المختلفة بشكل دوري. oأكثر الطرق حفاظا على عرض النطاق حيث أنه ال يحتاج اتصال دائم.
الموازنة الصحيحة بين التكلفة والتوافر هي التي تحدد االختيار األمثل للمؤسسة. 6.2.4رجوعية النظم Resiliency تصميم الرجوعية :الرجوعية هي الطرق وعمليات التهيئة المستخدمة لجعل النظام أو الشبكة تتحمل وجود المشاكل .على سبيل المثال ،يمكن أن تحمل الشبكة روابط زائدة بين الموجهات تشغل بروتوكول الشجرة الممتدة .STPعلى الرغم من أن بروتوكول الشجرة الممتدة ال يعطي مسا ار بديال بداخل الشبكة في حال تعطل الروابط ،فإن عملية االنقالب من الممكن أال تحدث على الفور إذا لم توجد ته يئة مثلى .عملية االنقالب يقصد بها أن يأخذ الجهاز االحتياطي دور الجهاز المتعطل .تعطي أيضا بروتوكوالت التوجيه رجوعية للنظام ،ولكن التوليف الناعم يمكن أن يحسن عملية االنقالب لكيال يالحظ مستخدمي الشبكة عملية االنقالب .يجب على مديري الشبكة أن يقوموا بمراجعة االعدادات الغير افتراضية في شبكة االختبار لمعرفة ما إذا كان يمكنهم تحسين وقت التعافي للشبكة .تصميم الرجوعية ال يأخذ فقط اتجاه إضافة األجهزة الزائدة وتصميم طرق االنقالب .إذ يجب فهم االحتياجات التجارية للمؤسسة ،ثم دمج الزيادة لعمل شبكة ذات خاصية الرجوعية. 136
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
رجوعية التطبيق :رجوعية التطبيق هي مقدرة التطبيق على التعامل مع المشاكل في مكون من مكوناته مع استم اررية عمله. وقت التعطل يحدث بسبب الفشل الذي ينتج عن أخطاء التطبيق أو مشاكل البنية التحتية .وعلى مدير النظام في النهاية أن يغلق التطبيق للترقيع أو ترقية اإلصدار أو اعتماد ميزات جديدة .وقت التعطل يحدث أيضا بسبب العطب أو فشل المعدات أو أخطاء التطبيقات أو األخطاء البشرية. أغلب المؤسسات تحاول عمل موازنة بين تكلفة تحقيق الرجوعية للبنية التحتية للتطبيق وبين تكلفة فقدان العمالء أو األرباح بسبب فشل التطبيق .تحقيق التوافر الدائم للتطبيق هي عملية معقدة ومكلفة .وفي الشكل نعرض ثالثة مقترحات لتحقيق التوافر لحل مشكلة رجوعية التطبيق .وكلما زاد معامل التوافر لكل حل ،تزيد بالتبعية درجة التعقيد والتكلفة. •
العتاد ذا القدرة على تحمل األخطاء :Fault Tolerant Hardwareيتم تصميم النظام ببناء العديد من المكونات الحرجة في نفس الحاسب.
•
بناية العناقيد :clusteringمجموعة من الخوادم تعمل كأنها نظام واحد فقط.
•
النسخ االحتياطي واالسترجاع :Backupنسخ الملفات بغرض المقدرة على االسترجاع في حالة فقدان البيانات.
رجوعية نظام التشغيل :IOSنظام التشغيل البيني ( )IOSوالمثبت على أجهزة التوجيه والمحوالت الخاصة بشركة سيسكو تحمل ميزة التهيئة بغرض تحقيق الرجوعية .وهي تسمح بالتعافي السريع إذا قام شخص بإعادة تهيئة (مسح) ذاكرة الفالش أو أزال ملف إعدادات بدء التشغيل سواء قام الشخص بعمل ذلك عن عمد أو قام بالهجوم.
137
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وهذه الميزة تحافظ على وجود نسخة سليمة وآمنة من صورة ملف نظام التشغيل والحفاظ أيضا على نسخة من ملف إعدادات بدء التشغيل .ال يمكن للمستخدم مسح هذه الملفات الحساسة وتسمى أيضا هذه الملفات بمجموعة التمهيد األساسية .األوامر في الصورة تقوم بتأمين صورة ملف نظام التشغيل وتأمين ملف بدء التشغيل.
6.3االستجابة لألحداث 6.3.1مراحل االستجابة لألحداث اإلعداد والتجهيز :االستجابة لألحداث هي اإلجراءات التي تتبعها المؤسسة بعد حدوث عارض خارج النطاق الطبيعي .قرصنة البيانات يحدث خرق يتسبب في توفير معلومات للبيئات الغير موثوقة .خرق البيانات من الممكن أن يحدث نتيجة لعمل مفتعل أو عارض .ويحدث خرق البيانات في أي وقعت يقوم فيه الشخص الغير مخول بنسخ أو نقل أو عرض أو سرقة أو الوصول للبيانات الحساسة. عندما يحدث عارض ،يجب أن تعرف المؤسسة كيف تستجيب .تحتاج المؤسسة لتطوير خطة استجابة لألحداث ووضع الخطة بيد فريق االستجابة ألحداث األمن الحاسوبي ( )CSIRTسيسرت إلدارة االستجابة .يقوم فريق سيسرت بعمل الوظائف التالية: •
تطوير خطة االستجابة لألحداث
•
التأكيد على أن جميع أعضاء الفريق لديهم معرفة تامة بالخطة.
•
اختبار الخطة
•
الحصول على موافقة اإلدارة على الخطة.
ونظام سيسرت يمكن اختيار مجموعته من داخل الشركة أو من خارج الشركة .ويتتبع الفريق مجموعة من الخطوات المعروفة مسبقا للتأكد من أن المنهجية الخاصة بهم منتظمة وأنهم ال يتجاوزون أي خطوة .ويقوم سيسرت الوطني بالرد على األحداث في دولة كاملة. االكتشاف والتحليل :عملية االكتشاف تبدأ عندما يكتشف شخص ما وجود عارض غير معتاد .تستطيع المؤسسة شراء اعقد نظم االكتشاف والتحليل؛ وعلى الرغم من ذلك ،إذا لم يقم مدراء النظم بعرض ملف سجل األحداث ومراقبة التنبيهات ،ستكون تلك النظم غير مجدية .الكشف الجيد يشمل أيضا معرفة كيف حدث العارض ،ما هي البيانات المقصودة ،وما هي النظم المتأثرة .التنبيه باالختراق يجب أن يذهب لإلدارة العليا والمدراء المسئولون عن البيانات والنظم لضمهم في عملية اإلصالح والمعالجة .االكتشاف والتحليل يشمل اآلتي: •
التنبيهات واإلشعارات
•
المراقبة والمتابعة. 138
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تساعد عملية تحليل العارض في تعريف المصدر والمدى والتأثير والتفاصيل الخاصة بحالة اختراق البيانات .تحتاج المؤسسة أحيانا إلقرار االستعانة بفريق من الخبراء لمباشرة عملية التحقيق الجنائي. االحتواء واالستئصال والتعافي :جهود االحتواء تشمل رد الفعل الفوري الذي يتم كفصل النظام من الشبكة لوقف تسريب المعلومات .بعد تعريف اال ختراق ،تحتاج المؤسسة الحتواء االختراق والقضاء عليه (استئصاله) .يمكن أن يحتاج هذا وقت تعطيل إضافي للنظم .ومرحلة التعافي تشمل الخطوات التي تتخذها المؤسسة من أجل التخلص من آثار االختراق واستعادة النظم المتأثرة .وبعد التعافي والعالج ،تحتاج المؤسسة الستعادة كل النظم لحالتهم األصلية التي كانت موجودة قبل حدوث االختراق. متابعة ما بعد الحادث :بعد استعادة كل العمليات لحالتها األصلية ،يجب أن تفحص المؤسسة سبب الحادث ويجب أن تسأل هذه األسئلة: •
ما هي الخطوات الواضحة التي يمكن اتخاذها لكيال يتكرر نفس الحادث؟
•
ما هي آليات منع األحداث التي يجب تقويتها؟
•
كيف يمكن تحسين مراقبة النظام؟
•
كيف يمكن تقليل وقت التعطل أثناء مراحل االحتواء واالستئصال و التعافي؟
•
كيف تستطيع اإلدارة تقليل تأثير الحادث على التجارة.
مراجعة الدروس المستفادة من الخبرات السابقة يمكن أن يساعد المؤسسة للتحضير الجيد بتحسين طرق االستجابة لألحداث الخاصة بالمؤسسة. 6.3.2تقنيات االستجابة لألحداث شبكة التحكم في القبول :الغرض من شبكة التحكم في القبول ( )NACهو السماح بالوصول للشبكة من قبل المستخدمين المخولين في النظم المتوافقة .والنظام المتوافق هو النظام الذي يتماشى مع كل متطلبات السياسات للشركة .على سبيل المثال، الحاسب المحمول الذي هو جزء من الشبكة الالسلكية المنزلية من الممكن أال يستطيع الوصول عن بعد لشبكة الشركة .تقوم شبكة القبول بتقييم الجهاز الداخل باستخدام سياسات الشبكة .تقوم أيضا شبكة القبول بالعزل اإللزامي للنظم التي ال تتوافق مع السياسات وتدير عملية المعالجة للنظم الغير متوافقة. يستطيع إطار العمل لشبكة القبول أن يستخدم الشبكة الموجودة والبينة التحتية الموجودة والبرامج من طرف ثالث الموجودة لفرض السياسة األمنية وااللتزام من كل نقاط التواصل .وبدال من استخدام األجهزة العتاد الموجود ،يوجد جهاز NACيتحكم في الوصول للشبكة ويقيم االلتزام ويفرض السياسة األمنية .الفحوصات التي يقوم بها نظام NACهي كالتالي: 139
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.1اكتشاف الفيروسات الجديدة .2تحديث وترقيع نظم التشغيل. .3فرض كلمات مرور معقدة.
نظم اكتشاف الدخالء :نظم فحص الدخالء ( )IDSتقوم بالمراقبة السلبية للمرور الشبكي .والسلبية هنا تعني أن المراقبة تحدث دون تدخل نظام الفحص فال يوقف الدخيل بل فقط يعطي تنبه وتقرير ان هناك دخيل ،وهذا يعني أن جهاز فحص الدخالء يعمل في الوضع الالأخالقي ( .)promiscuous modeيعرض الشكل الجهاز الذي يحتوي على نظام IDSرقم ( )2يأخذ هذا الجهاز نسخة من الفيض الشبكي ثم يحلل الفيض المنسوخ بدال من تحليل الحزم المرسلة فعليا .بعمله بال اتصال ،هو يقوم بمقارنة فيض المرور الملتقط بتوقيعات الشيفرات الخبيثة ،ويشبه إلى حد ما عمل البرامج التي تكتشف الفيروسات .والعمل بال اتصال يعني أشياء كثيرة: •
يعمل IDSبشكل سلبي
•
يوضع جهاز IDSماديا في الشبكة بحيث يأخذ نسخة مرآة من سيل البيانات لكي يستطيع فحص هذا السيل.
•
ال يعبر الفيض الشبكي من IDSحتى يتم أخذ نسخة مرآة.
وميزة العمل مع نسخة من المرور الشبكي أن جهاز IDSال يؤثر بشكل سلبي على سرعة تدفق فيضان الحزم المرسلة .وعيب العمل بنسخة من المرور الشبكي أن IDSال يوقف هجوم الحزمة الخبيثة الواحدة وال يمنعها من الوصل للهدف قبل الرد فعليا
140
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
على الهجوم .يحتاج دائما IDSإلى االستعانة بأجهزة شبكية أخرى مثل الجدران النارية والموجهات للرد على الهجوم .والحل األمثل هو استخدام جهاز يكتشف على الفور الهجمة ويصدها أيضا على الفور .يقوم نظام منع الدخالء ( )IPSبهذه الوظيفة.
نظم منع الدخالء :يتم بناء نظام منع الدخالء ( )IPSاعتمادا على تقنية .IDSمع ذلك ،يعمل نظام منع الدخالء في وضع يسمى وضع (داخل الطابور) .وهذا يعني أن كل المرور الداخل والخارج يجب أن يتدفق من خالله للمعالجة .كما نرى في الشكل ،جهاز IPSال يسمح للحزم بدخول الجانب الموثوق من الشبكة حتى يتم تحليل الحزم .إذ يستطيع اكتشاف وحل المشكلة في الشبكة على الفور .نظام IPSيراقب مرور الشبكة .يحلل المحتوى واألحمال للحزم الكتشاف الهجمات المدمجة والمعقدة والتي من الممكن أن تحمل الحزم في طياتها شيفرات تلك الهجمات. بعض النظم تستخدم خليط من تقنيات االكتشاف ،منها المعتمدة على التوقيع الرقمي ومنها المعتمد على الملف الشخصي للبرمجية الخبيثة ومنها المعتمد على البروتوكول .والتحليل العميق يمكن نظم IPSمن تحديد و إيقاف و منع الهجمات التي من الممكن أن تمر بسهولة من أجهزة الجدران النارية العادية .عندما تمر حزمة من خالل منفذ دخول في نظام ،IPSفلن يستقبل منفذ الخروج تلك الحزمة حتى يتم تحليلها .ميزة العمل في وضع الطابور أن نظام IPSيستطيع إيقاف هجمة الحزمة الواحدة من وصول النظام المستهدف .وعيب هذا النظام أنه إذا تم تهيئة IPSبشكل غير سليم يمكن أن يؤثر على تدفق الحزم
141
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
للمرور المرسل ،على سبيل المثال يبطئ المرور .الفارق األكبر بين IDSو IPSان نظام IPSيرد على الفور وال يسمح بمرور أي مرور خبيث ،أما IDSيسمح بمرور الصالح والطالح من المرور الشبكي قبل مجابهة المرور الطالح.
تدفق الشبكة NetFlowو :IPFIXتقنية تدفق الشبكة ( )NetFlowهي تقنية خاصة بأجهزة سيسكو المثبت عليها نظام التشغيل IOSوالتي توفر احصائيات على الحزم التي تمر من موجهات سيسكو أو المحوالت متعددة الطبقات .تقنية التدفق هي معيار لجمع بيانات التشغيل من الشبكات .وفرقة عمل هندسة االنترنت ( )IETFتستخدم تقنية تدفق سيسكو اإلصدار 9 كقاعدة لعمل معيار تدفق معلومات التصدير .)IPFIX( IP معيار IPFIXهو نمط معياري لتصدير المعلومات التي تجمعها الموجهات عن المرور الشبكي ألجهزة جمع البيانات .يعمل IPFIXعلى الموجهات والتطبيقات اإلدارية التي تدعم نفس البروتوكول .يستطيع مديري الشبكة تصدير معلومات تدفق الشبكة من الموجه واستخدام تلك المعلومات لتحسين أداء الشبكة .التطبيقات التي تدعم IPFIXيمكنها أن تعرض إحصائيات عن أي موجه يدعم نفس المعيار .جمع وتخزين وتحليل المعلومات المجمعة والتي تقوم بها األجهزة التي تدعم IPFIXيوفر الميزات اآلتية: •
تأمين الشبكة ضد الهجمات الداخلية والخارجية.
•
معالجة مشاكل الشبكة بسرعة وبدقة. 142
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
تحليل التدفق الشبكي لخطط السعة (ما تتحمله الشبكة من تدفق للحزم)
اضغط
على
الرابط
http://video.cisco.com
/detail/videos/products
/video/2534277650001
in-campus-access by-flexible-netflow- -enabled- /cybersecurityلعرض فيديو يشرح كيف تقوم تقنية NetFlowالخاصة بسيسكو بالمساعدة في اكتشاف التهديدات األمنية.
ذكاء التهديدات المتقدمة :يستطيع ذكاء التهديدات المتقدمة ( )Advanced threat intelligenceمساعدة المنظمات في اكتشاف الهجمات خالل أي مرحلة من مراحل الهجمة السيبرانية وفي بعض األحيان قبل الهجمة .يمكن أن تتمكن المنظمات من اكتشاف بوادر الهجمات في ملف سجل األحداث وتقارير النظام عند العمل التنبيهات اآلتية: •
قفل الحساب
•
كل أحداث قواعد البيانات
•
إضافة أصول جديدة أو إزالتها.
•
تغيير التهيئة للنظم.
ذكاء التهديدات المتقدمة هو نوع الحدث أو البيان التعريفي والذي يستطيع المساهمة في مراقبة األمن والرد على األحداث. وكلما أصبح المجرمون السيبرانيون أكثر تعقيدا ،كلما زادت الحاجة إلى فهم مناورات البرمجيات الخبيثة .كلما زاد الوعي بنظم الهجمات الجديدة ،تستطيع المؤسسة الرد على األحداث بسرعة.
143
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
6.4التعافي من الكوارث 6.4.1التخطيط للتعافي من الكوارث أنواع الكوارث :من المهم جدا الحفاظ على تشغيل الشركة حتى عند وجود الكوارث .والكوارث ممكن أن تكون طبيعية أو حدث بشري من شأنه تخريب الممتلكات أو األصول وإعاقة مقدرة المنظمة على االستمرار في العمل. •
الكوارث الطبيعية :تختلف الكوارث الطبيعية حسب الموقع الجغرافي .بعض هذه الكوارث يصعب توقعها .يمكن تقسيم الكوارث الطبيعية إلى الفئات التالية: oالكوارث الجيولوجية مثل الزلزال والهبوط األرضي والبراكين وتسونامي. oكوارث األرصاد الجوية مثل األعاصير والزوابع واألعاصير الثلجية والصواعق والبرد (بفتح الباء والراء) oالكوارث الصحية مثل المرض المنتشر والحجر الصحي واألوبئة. oكوارث متنوعة مثل الحرائق والسيول والعواصف الشمسية واالنهيارات الثلجية.
•
الكوارث البشرية :الكوارث البشرية يسببها األشخاص والمنظمات وتقع ضمن أحد األقسام التالية: oأحداث العمالة ،مثل العراك واإلضراب والتباطؤ. oاألحداث االجتماعية والسياسية مثل التخريب المتعمد ،الحصار ،المظاهرات ،األعمال التخريبية ،اإلرهاب ،والحرب. oتعطل المرافق ،مثل انقطاع الكهرباء وقطع االتصاالت ونقص الوقود والتسرب اإلشعاعي.
144
أساسيات األمن السيبراني ()Cybersecurity Essentials
اضغط
هنا
إعداد :أسامة حسام الدين
http://www.nytimes.com/interactive/2011/03/13/world/asia/satellite-photos-japan-
before-and-after-tsunami.htmlلترى صور بالقمر الصناعي لليابان قبل وبعد زلزال 2011وتسونامي. خطة التعافي من الكوارث :تضع المؤسسة خطة التعافي من الكوارث الخاصة بها في مرحلة التشغيل أثناء حدوث الكارثة عندما يتكاتف الموظفون للتأكد من أن النظم الحيوية بالشركة رجعت للتشغيل مرة أخرى .والخطة تشمل األنشطة التي تتخذها المنظمة لتقييم وإنقاذ وإصالح واستعادة المرافق والممتلكات المخربة .ولعمل خطة تعافي من الكوارث يجب اإلجابة على األسئلة التالية: •
من المسئول عن هذه العملية؟
•
ما الذي يحتاجه الفرد للقيام بتلك العملية؟
•
أين يقوم الفرد بتلك العملية؟
•
ما هي العملية؟
•
لماذا توصف العملية بأنها حرجة؟
يجب أن تحدد الخطة بدقة العمليات في المؤسسة التي تعتبرها المؤسسة عمليات حيوية وحرجة أكثر من غيرها .وأثناء عملية التعافي ،يجب أن تقوم المنظمة باستعادة نظم المهمات الحرجة أوال. بناء أدوات تحكم للتعافي من الكوارث :أدوات التحكم بالكوارث تقلل تأثير الكارثة للتأكيد أن الموارد والعمليات التجارية تستطيع العودة للعمل .يوجد ثالث أنواع من أدوات تحكم تقنية تستخدم في التعافي من الكوارث: •
أدوات الوقاية :وتشمل األدوات التي تمنع حدوث الكارثة من األساس .وهي مقاييس تستخدم في معرفة واكتشاف الخطر. على سبيل المثال ،يمكن اتباع المعايير التالية للوقاية من حدوث الكارثة: oداوم على عمل نسخة احتياطية من البيانات. oدوام على عمل نسخة احتياطية مفصولة عن الشبكة. oاستخدم أدوات حماية من الكهرباء العالية. oقم بتوصيل واستخدام المولدات الكهربائية.
•
أدوات االكتشاف :وتشمل األدوات التي تكتشف وجود عمليات غير مطلوبة أو عمليات خبيثة .وهذه القياسات واألدوات تستخدم في كشف التهديدات الحاصلة .االكتشاف مهم حيث يمكن ان تكون المشكلة موجودة وال نعرف انها موجودة .على سبيل المثال ،يمكن استخدام المعايير التالية الكتشاف حدوث الكوارث: oاستخدم برنامج مكافح فيروسات محدث آلخر تحديث.
145
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
oقم بتثبيت برمجيات مراقبة للخوادم والشبكة. •
أدوات العالج :تذكر دائما أن الوقاية خير من العالج .أدوات العالج تشمل األدوات التي تقوم باسترجاع النظام بعد حدوث عارض أو كارثة ،على سبيل المثال ،يمكن عمل اآلتي للعالج: oقم بوضع المستندات الحرجة في خطة التعافي من الكوارث.
6.4.2التخطيط الستمرارية األعمال الحاجة الستم اررية األعمال :استم اررية العمل هو من أهم المبادئ في أمن الحاسب .على الرغم من أن الشركات تبذل قصارى جهدها لمنع الكوارث وفقدان البيانات ،إال انه من المستحيل توقع أي سيناريو محتمل .من المهم جدا أن تكون لدى الشركة خطط موضوعة للتأكيد على استم اررية األعمال بغض النظر عما سيحدث .وخطة استم اررية األعمال هي خطة أوسع بكثير من خطة التعافي من الكوارث حيث أن األولى تشمل وضع النظم الحرجة في مواقع جغرافية مختلفة أثناء اصالح المرافق األصلية .تستمر العمالة في أداء كل العمليات التجارية بطريقة بديلة حتى يتم معاودة تشغيل العمليات والرجوع للوضع الطبيعي مرة أخرى. عملية توفير اإلتاحة تؤكد على أن الموارد المطلوبة للحفاظ على استم اررية المنظمة ستكون متوفرة بشكل مستمر للعمالة وللنظم التي تعتمد عليها. اعتبارات استمرارية األعمال :استم اررية األعمال تتحكم في أكثر من مجرد عمل نسخة احتياطية للبيانات وتوفير العتاد الزائد. فالمنظمات تحتاج ألن يقوم الموظفون بالتهيئة السليمة لنظم التشغيل .البيانات تكون غير نافعة حتى يستفاد منها بالمعلومة. يجب أن تقوم الشركة باالهتمام باآلتي: •
وضع الشخص الصحيح في المكان الصحيح.
•
توثيق التهيئة واالعدادات.
•
إقامة قنوات اتصال بديلة للصوت والبيانات.
•
توفير الكهرباء
•
يجب تعريف وفهم االعتمادات ،بمعنى فهم كيف يعتمد تطبيق أو عملية على تطبيقات أخرى أو عمليات أخرى.
•
الفهم الجيد لكيفية تنفيذ العمل اآللي بشكل يدوي.
أفضل الممارسات الستمرارية األعمال :كما نرى في الشكل ،قام المعهد الوطني للتكنولوجيا والمعايير (نست )NISTبتطوير الثمان ممارسات األتية: .1اكتب السياسة األمنية التي ترشد إلى كيفية تطوير خطة استم اررية األعمال والتي تعين األدوار لتنفيذ المهام المختلفة. 146
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.2قم بتحديد النظم الحرجة والعمليات الحرجة وقم بترتيب أولوياتهم حسب األهمية. .3حدد الثغرات والتهديدات واحسب احتمالية المخاطرة. .4عرف وقم ببناء أدوات تحكم ومضادات لتقليل الخطر. .5اقترح طرق السترجاع النظم الحرجة بسرعة. .6اكتب إجراءات الحفاظ على استم اررية الشركة في العمل في الظروف العشوائية. .7اختبر الخطة. .8قم بتعديل الخطة بشكل دوري.
ملخص الفصل السادس بدأ هذا الفصل بشرح مبدأ التسعات الخمس ،وهو مبدأ اإلتاحة المستدامة الذي يسمح بالتعطل للنظام فقط 5.26دقائق في العام .وناقش الفصل الطرق المختلفة التي تتخذها الشركة للحفاظ على التوافر .تصميم نظم صلبة يشمل توفير أدوات الرفاهية مثل توفير األدوات ال ازئدة والنظم االحتياطية ،وتلك األدوات تساعد في رجوعية النظام لتتعافى الشركة بسرعة ويستمر عملها.
147
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وقد ناقش الفصل أيضا كيف تقوم الشركة باالستجابة لألحداث بتحديد إجراءات معينة يتم تتبعها في حال حدوث عارض .وختم الفصل بمناقشة خطط التعافي من الكوارث وخطط استم اررية األعمال.
148
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل السابع حماية النطاق السيبراني إن حماية النطاق السيبراني هي عملية مستمرة تهدف للحفاظ على البنية التحتية لشبكة الشركة .وهذا يتطلب اليقظة الدائمة لألفراد لمجابهة التهديدات وألخذ ردود الفعل لمقاومة الهجمات وقت حدوثها .في هذا الفصل نناقش التقنيات والعمليات واإلجراءات التي يستخدمها ممتهن األمن السيبراني للدفاع عن النظم واألجهزة والبيانات التي تكون البنية التحتية للشبكة. والشبكة اآلمنة تعني أن تكون كل تفاصيلها آمنة حتى أضعف رابط فيها .ومن المهم جدا تأمين األجهزة الطرفية التي توجد في إطار الشبكة .تأمين نقاط النهاية يشمل تأمين أجهزة البنية الشبكية التحتية بتأمين الشبكة المحلية LANوالنظم الطرفية مثل محطات العمل والخوادم وأجهزة الهاتف الشبكي ونقاط الوصول الالسلكي .إن عملية تقوية األجهزة Device Hardeningهي عملية حرجة لتأمين الشبكة .وهذا يشمل بناء طرق حماية فيزيائية هدفها تأمين أجهزة الشبكة .بعض من هذه الطرق يشمل التحكم في الوصول اإلداري وعمل كلمات مرور وبناء وسائل اتصال مؤمنة.
7.1حماية النظم واألجهزة 7.1.1تقوية الجهاز المضيف تأمين نظام التشغيل :يلعب نظام التشغيل دو ار هاما في تشغيل نظام الحاسب بشكل عام وعادة ما يكون هدفا لمعظم الهجمات. تأمين نظام التشغيل له تأثير متتالي على أمن نظام الحاسب بشكل عام .يقوم مدير النظام بتقوية نظام التشغيل عن طريق تعديل التهيئة االفتراضية لجعل نظام التشغيل أكثر تأمينا ضد التهديدات الخارجية .وهذه العملية تشمل أيضا التخلص من أي برامج أو خدمات غير ضرورية .يوجد متطلب حيوي آخر لتقوية نظام التشغيل وهو تطبيق الترقيات والرقع األمنية على نظام التشغيل بشكل دوري .الترقيات والرقع هي إصالحات تطلقها الشركة في محاولة لتخفيف أو تقليل الثغرات األمنية وتصحيح األخطاء البرمجية في منتجاتها .يجب على المؤسسة أن يكون لديها منهجية نظامية موضوعة لحل مشاكل الترقيات وذلك بعمل اآلتي: •
بناء إجراءات لمراقبة المعلومات األمنية
•
تقييم الترقيات لمعرفة مدى إمكانية تطبيقها.
•
التخطيط لتثبيت الترقيات والرقع الخاصة بالتطبيقات.
•
تثبيت الترقيات بخطة مكتوبة.
149
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
متطلب آخر هام لتأمين نظام التشغيل هو تحديد وتعريف الثغرات المحتملة .ويمكن تحقيق ذلك عن طريق عمل ما يسمى بخط األساس . baselineوعمل خط األساس يمكن مدير النظام من مقارنة كيف يعمل النظام مقارنة بما هو متوقع في خط األساس. المحلل األمني لخط األساس من ميكروسوفت ( )MBSAيفرض وجود الترقيات األمنية والتهيئة الخاطئة لألمن في نظام النوافذ من ميكروسوفت .فالمحلل األمني يفحص كلمات المرور الفارغة أو البسيطة أو الغير موجودة ويفحص أيضا إعدادات الجدار الناري وحالة حساب الضيف وتفاصيل حساب مدير النظام ونظام المتابعة لألحداث والخدمات الغير ضرورية والمشاركات على الشبكة وإعدادات السجل .registryبعد تقوية نظام التشغيل يقوم مدير النظام بعمل السياسات واإلجراءات للحفاظ على مستوى أمني مرتفع.
مضاد البرمجيات الخبيثة :تشمل البرمجيات الخبيثة الفيروسات والديدان وأحصنة طروادة ومسجالت نقرات المفاتيح وبرمجيات التجسس وبرمجيات الدعاية .وكل هذه البرمجيات تهدف إلى هدم الخصوصية وسرقة المعلومات وتدمير النظم ومسح أو تخريب البيانات .ومن األهمية بمكان حماية أجهزة الحاسب واألجهزة النقالة باستخدام مضادات للبرمجيات الخبيثة ذات سمعة جيدة ،القائمة التالية من ب ارمج مضادات البرمجيات الخبيثة متاحة لالستخدام: •
حماية مضاد الفيروسات :البرنامج يراقب الفيروسات بشكل مستمر .وعندما يكتشف فيروس ،يقوم بتحذير المستخدم، ويحاول البرنامج حجر أو حذف الفيروس.
•
الحماية ضد برمجيات الدعاية :يقوم البرنامج بالبحث عن البرامج التي تعرض اإلعالنات على الحاسب.
•
الحماية ضد االصطياد :يمنع البرنامج عناوين االنترنت IPلمواقع اإلنترنت المعروفة بتوجهاتها في االصطياد ،ويحذر المستخدم عن المواقع االلكترونية المشتبه بها.
150
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الحماية ضد برمجيات التجسس :يقوم البرنامج بالمسح الشامل للبحث عن مسجالت نقرات لوحة المفاتيح أو أي برنامج تجسسي آخر.
•
المصادر الموثوقة والغير موثوقة :يقوم البرنامج بتحذير المستخدم إذا وجد برامج غير آمنة التي تحاول تثبيت نفسها أو مواقع إلكترونية غير آمنة يحاول المستخدم تصفحها.
يمكن أن تحتاج ألكثر من برنامج مختلف والعديد من برامج المسح إلزالة كل البرامج الخبيثة بشكل تام .قم بتشغيل برنامج حماية من البرمجيات الخبيثة واحد فقط في كل مرة .كبرى الشركات ذات السمعة الجيدة في أمن الحاسب مثل مكافي McFee و سيمانتك Symantecو كاسبرسكي Kasperskyتعرض كل أنواع البرمجيات المدمجة لحماية أجهزة الحاسب واألجهزة المتنقلة من البرمجيات الخبيثة .كن حذ ار من منتجات مكافح الفيروسات المخادعة التي تظهر اثناء تصفح االنترنت .معظم منتجات مكافحة الفيروسات المخادعة هذه تعرض إعالن أو نافذه منبثقة تشبه تماما تنبيهات النوافذ الخاصة بنظام تشغيل النوافذ ،كما نرى في الشكل .عادة ما تقول الرسالة أن هناك برمجية خبيثة قد أصابت الحاسب وتظهر الرسالة ليقوم المستخدم بمسح البرمجية الخبيثة .الضغط على أي مكان في داخل النافذة من الممكن أن يكون البداية الفعلية لعملية التنزيل والتثبيت للبرمجية الخبيثة.
البرمجيات الغير مطابقة أو الغير معتمدة ليس فقط البرنامج الذي يقوم المستخدم بإنزاله عن غير قصد على حاسبه .حيث أنه من الممكن أن يكون البرنامج أتى عن طريق مستخدمين يرغبون بإنزاله عن قصد .يجوز أن يكون البرنامج غير ضار ،ولكنه على أقل تخطى السياسة األمنية .هذا النوع من البرمجيات الغير مطابقة يمكن أن تتعارض مع منتجات الشركة او خدمات الشبكة .يجب على المستخدمين إزالة البرمجيات الغير مطابقة على الفور.
151
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
إدارة الرقع :الرقع هي تحديثات الشفرات البرمجية التي توفرها الشركات المصنعة لمنع الديدان والفيروسات المكتشفة حديثة من عمل هجمات ناجحة .من وقت آلخر ،تقوم الشركات المصنعة بجمع الرقع معا وترقيتها إلى تحديث عبارة عن تطبيق شامل يسمى حزمة الخدمة ( .)Service Packالعديد من الهجمات الفيروسية المدمرة كان يمكن أن تكون أخف أث ار إذا قام المستخدم بتحميل وتنزيل أحدث حزمة خدمة .يفحص نظام تشغيل النوافذ بشكل دوري الموقع اإللكتروني لتحديثات الويندوز للبحث عن التحديثات ذات األولوية العالية والتي تستطيع المساعدة في حماية الجهاز من أخر التهديدات األمنية .تشمل هذه التحديثات ،تحديثات أمنية ،تحديثات حرجة وحزم خدمة .كما نرى في الشكل ،واعتمادا على اإلعدادات المهيأة ،يقوم نظام النوافذ بت حميل وتثبيت التحديثات ذات األولية العالية التي يحتاجها الحاسب بشكل آلي ،أو يقوم بتنبيه المستخدم أن هذه التحديثات الجديدة أصبحت متاحة للتنزيل والتثبيت. بعض الشركات تحتاج في بعض األحيان إلى اختبار الرقعة قبل تثبيتها ونشرها على الشبكة .والشركة تستخدم غالبا خدمة (برنامج) إلدارة الرقع محليا بدال من استخدام خدمات الشركات المنتجة للرقع المتوفرة من خالل اإلنترنت .وميزة استخدام خدمة تحديث الرقم اآللية يشمل اآلتي: •
يستطيع مدراء النظم قبول أو رفض التحديثات
•
يستطيع مدراء النظم تحديد تاريخ معين لتنزيل التحديثات.
•
يستطيع مدراء النظم الحصول على تقارير عن التحديثات التي يحتاجها كل نظام.
•
ال يتوجب على الحاسب أن يتصل مع الشركة المقدمة للتحديث لتحميل الرقع؛ حيث أن التحديث يقدم من قبل خدمة محلية.
•
ال يمكن للمستخدمين تجاهل او منع التحديث.
خدمة الرقع اآللية توفر لمدراء النظم تحكم أكثر باإلعدادات. الجدران النارية ونظم اكتشاف الدخالء للمضيف :البرنامج للمضيف هو تطبيق برمجي يتم تشغيله على حاسب مضيف محلي بهدف حمايته .ويعمل البرنامج مع نظام التشغيل للمساعدة في منع الهجمات. •
الجدران النارية للمضيف :برنامج الجدار الناري يعمل على الحاسب للسماح أو منع المرور بين الحاسب والحواسيب األخرى المتصلة به .يقوم الجدار الناري بتطبيق مجموعة قواعد على البيانات المتنقلة بفحصها جيدا وعمل مصفاه لحزم البيانات .الجدار الناري لنظام النوافذ هو مثال على برنامج جدار ناري .يقوم نظام تشغيل النوافذ بتثبيته بشكل افتراضي عند عملية تثبيت نظام التشغيل .يمكن للمستخدم أن يتحكم في نوع البيانات المرسلة من وإلى الحاسب بفتح أو غلق المنافذ المختارة .يقوم الجدار الناري بمنع االتصاالت الداخلة والخارجة حتى يتم تعريف االستثناءات Exceptionsلفتح
152
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وغلق المنافذ التي يحتاجها التطبيق .نرى في الشكل ،المستخدم اختار Inbound Rulesأو قواعد الدخول لتهيئة أنواع المرور المسموح مروره من النظام .تهيئة قواعد الدخول يحم النظام من المرور الغير مرغوب به.
•
نظام اكتشاف الدخالء للمضيف :نظام اكتشاف الدخالء للمضيف ( )HIDSهو برنامج يعمل على الجهاز المضيف لمراقبة األنشطة المشتبه بها .كل خادم أو نظام سطح مكتب يحتاج للحماية يجب أن يثبت عليه برنامج HIDSكما هو موضح بالشكل .يقوم HIDSبمراقبة رسائل النظم ونظام الوصول للملفات للتأكد أن الطلبات ليست ناتجة عن نشاط خبيث .يستطيع أيضا مراقبة إعدادات السجل registryللنظام .والسجل يحتوى على معلومات عن التهيئة الخاصة بالحاسب .تقوم HIDSبتخزين ملف سجل األحداث logمحليا .يمكن أيضا أن يؤثر على أداء النظام ألنه يستهلك موارد كثيرة .وال يستطيع نظام اكتشاف الدخالء للمضيف مراقبة أي مرور شبكي ال يصل إلى نظام المضيف ،ولكنه يراقب نظام التشغيل و العمليات الحرجة للنظام والخاصة بذلك المضيف.
153
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
االتصاالت اآلمنة :عند االتصال بالشبكة المحلية ومشاركة الملفات ،تظل االتصاالت بين الحواسيب داخل الشبكة .تظل البيانات آمنة طالما أنها بعيدة عن الشبكات األخرى وخصوصا اإلنترنت .ولالتصال ومشاركة الموارد على شبكة غير آمنة، يحتاج المستخدمون لالستعانة بخدمات الشبكات االفتراضية (.)VPN والشبكة االفتراضية هي شبكة خاصة تسمح باتصال المواقع أو األشخاص البعيدين مع بعضهم عبر الشبكات العامة مثل اإلنترنت .وأشهر أنواع الشبكات االفتراضية VPNهو النوع الذي يوصل بالشبكة الخاصة للشركة .يستخدم VPNوصالت مخصصة ومؤمنة موجهة خالل اإلنترنت من شبكة الشركة الخاصة إلى المستخدم البعيد .وعند االتصال بشبكة الشركة ،فإن المستخدمين يصبحون جزءا من الشبكة ويستطيعون الوصول لكل خدمات وموارد الشبكة كأنهم موصلون فيزيائيا بالشبكة المحلية للشركة .المستخدمين الذي يصلون عن بعد يجب أن يكون لديهم برنامج العميل VPN clientمثبت على أجهزت الحاسب الخاصة بهم لعمل وصلة آمنة مع الشبكة الخاصة للشركة .يقوم برنامج العميل بتشفير البيانات قبل إرسالها على اإلنترنت ثم من اإلنترنت إلى العبارة الموجودة بالشبكة الخاصة للشركة .تقوم عبارات الشبكة االفتراضية بعمل وإدارة والتحكم في وصالت الشبكة االفتراضية وتسمى هذه الوصالت أيضا االنفاق .يحتوي نظام التشغيل على برنامج العميل والذي يستطيع المستخدم تهيئته لعمل وصلة شبكة افتراضية. 7.1.2تقوية األجهزة المحمولة والالسلكية خصوصية السلكي :WEPمن أهم المكونات للحوسبة الحديثة هو األجهزة المتنقلة .معظم األجهزة الموجودة على الشبكات الحديثة هي األجهزة المحمولة واللوح الكفي والهواتف الذكية وغيرها من األجهزة الالسلكية .تقوم األجهزة المتنقلة بنقل البيانات باستخدام إشارات راديو والتي يستطيع أي جهاز له هوائي متوافق أن يستقبل تلك البيانات .ولهذا السبب قامت شركات التصنيع بتطوير مجموعة من المعايير الخاصة لتأمين األجهزة الالسلكية أو المتنقلة وأيضا مجموعة من المنتجات واألجهزة المتوافقة. هذه المعايير تقوم بتشفير المعلومات التي ترسلها األجهزة المتنقلة في الوسط الهوائي. خصوصية مكافئ السلكي ( )WEPهو من أوائل وأشهر معاير تأمين الواي فاي والتي استخدمت على نطاق واسع. وخصوصية السلكي يوفر حماية جيدة عن طريق استخدام المصادقة والتشفير .معيار خصوصية السلكي أصبح قديما ومع ذلك مازالت العديد من األجهزة الحديثة تدعم وجوده لتتوافق مع األجهزة القديمة .معيار خصوصية السلكي أصبح معيار رسمي لتأمين الواي فاي في سنة 1999م عند بداية نمو االتصاالت الالسلكية .على الرغم من بعض التعديالت التي تمت عليه لتحسينه وعلى حجم مفتاحه الكبير ،إال أن معيار خصوصية السلكي عانى من نقاط ضعف أمنية كثيرة .يستطيع القراصنة كسر شفرة WEPومعرفة كلمة المرور في دقائق باستخدام برامج متاحة مجانا .وعلى الرغم من التحسينات ،يظل معيار خصوصية السلكي ضعيفا ويجب على المستخدمين ترقية النظم التي تعتمد عليه.
154
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حامي الواي فاي :WPA2التحسين التالي الهام لنظم التأمين الالسلكية كان بتقديم معيار جديد اسمه معيار حامي الوصول للواي فاي ( )WPAواإلصدار المحسن منه ( .)WPA2وكان حامي الواي فاي قد قدمته الشركات المصنعة في محاولة لتفادي نقاط الضعف الموجودة في المعيار السابق .WEPومن أشهر االشكال التي قدمها WPAهو الشكل WPA-PSKويعني حامي الواي فاي ذا المفتاح المشترك مسبقا 256 .بت هو طول المفتاح المستخدم في حامي الواي فاي وهي زيادة كبيرة مقارنة بحجم المفاتيح 64بت و 128بت التي استخدمت في معيار خصوصية السلكي. قدم معيار حامي الواي فاي العديد من التحسينات .أوال ،قدم المعيار برمجية فحص تماسك الرسالة ( )MICوالتي تستطيع اكتشاف ما إذا قام المهاجم بالتقاط وتعديل البيانات المتنقلة بين نقطة الوصول الالسلكية وبين العميل الالسلكي .وقدم أيضا تحسين ألمن المفاتيح والمسمى بروتوكول تماسك المفتاح المؤقت ( .)TKIPوبروتوكول TKIPيوفر المقدرة على التعامل بشكل أفضل مع المفاتيح وحمايتها وتبديلها .توقف العمل ببروتوكول TKIPليحل محله معيار التشفير المتقدم إياس ()AES والذي لديه إدارة أفضل للمفاتيح وحماية تشفيرية أعلى .معيار حامي الوافي يشبه معيار سابقه خصوصية السلكي في أنه اشتمل على نقاط ضعف معروفة على نطاق واسع .ونتيجة لذلك ،تم إصدار معيار حامي الواي فاي 2الجديد ( )WPA2في سنة .2006من أهم التحسينات األمنية الستخدام WPA2بدال من WPAهو االستخدام اإلجباري لخوارزمية إياس ()AES وتقديم وضع الشيفرة المضادة ( )CCMوالتي حلت محل .TKIP
المصادقة المتبادلة :من أكثر نقاط الضعف في الشبكات الالسلكية هو استخدام نقاط الوصول المخادعة .نقاط الوصول هي األجهزة التي تتصل مع األجهزة الالسلكية وتوصلها بالشبكة السلكية .وأي جهاز له خاصية االرسال الالسلكي وله اتصال مباشر بالشبكة يمكنه العمل كنقطة اتصال مخادعة أو نقطة اتصال غير مخولة .كما نرى في الشكل ،النقاط المخادعة تستطيع التظاهر كأنها نقطة اتصال مخولة .والنتيجة أن األجهزة الالسلكية على الشبكة الالسلكية تقيم اتصاال مع نقاط الوصول المخادعة بدال من نقاط الوصول الحقيقية والمخولة .يستطيع المخادع استقبال طلبات االتصال ،ونسخ البيانات في الطلب ثم توجيه البيانات نحو نقطة الوصول الشبكي المخولة .وهذا النوع من هجوم الرجل-في-الوسط صعب االكتشاف ويمكن أن ينتج عنه سرقة الصالحيات والبيانات برمتها. 155
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
لمنع نقط الوصول المخادعة ،قامت مصانع الحاسب بتطوير ما يسمى بالمصادقة المتبادلة .والمصادقة المتبادلة تسمى أيضا المصادقة ذات االتجاهين ،هي عملية أو تقنية فيها تتم المصادقة خالل وصلة االتصال بأن يقوم كال الطرفين بمصادقة الطرف اآلخر .في بيئات الشبكات الالسلكية ،يقوم الجهاز العميل بالمصادقة لنقطة الوصول وتقوم نقطة الوصول بمصادقة الجهاز العميل .وهذه الطريقة مكنت العمالء من اكتشاف نقاط الوصول المخادعة قبل االتصال باألجهزة الغير مخولة.
7.1.3حماية بيانات المضيف التحكم بالوصول للملفات :الصالحيات هي القواعد التي تحكم الوصول من قبل األفراد أو المجموعات للملفات أو المجلدات. ويعرض الجدول الصالحيات الموجودة للملفات والمجلدات: •
مبدأ اقل االمتيازات :يجب أن يتم تحجيم وصول المستخدمين ليصلوا فقط للموارد التي يحتاجونها على نظام الحاسب أو على الشبكة .على سبيل المثال ،ال يصرح للمستخدمين بالوصول لكل الملفات على الخادم إذا كانوا يريدون الوصول فقط لمجلد وحيد .من السه ل إعطاء الصالحيات للمستخدمين على كامل القرص الصلب ،ولكنه من األفضل أمنيا تحجيم الوصول للملفات فال يصل المستخدمون فقط إال للمجلد الذي يحتاجونه ألداء وظيفتهم .وهذا هو مبدأ أقل االمتيازات وأحيانا يسمى أقل الصالحيات .تحجيم الوصول للموارد يمنع البرامج الخبيثة من الوصول للموارد إذا ما تم الهجوم على جهاز الحاسب الخاص بالمستخدم.
•
تقييد صالحيات المستخدم :إذا قام مدير النظام بإلغاء الصالحيات عن فرد أو مجموعة لمجلد تم مشاركته على الشبكة، هذا اإللغاء يحل محل الصالحيات السابقة .على سبيل المثال ،إذا قام مدير النظام بإنكار الصالحيات عن شخص ما لمجلد تم مشاركته على الشبكة ،ال يمكن لذلك الشخص الوصول لهذه المشاركة ،حتى أذا كان هذا الشخص مدير لنظام أو جزء من مجموعة مدراء النظام .يجب أن تحدد سياسات األمن المحلية الموارد ونوع الوصول المسموح لكل مستخدم ومجموعة .عندما يقوم المستخدم بتغيير الصالحيات عن مجلد ،يكون لدى المستخدم الخيار بتطبيق نفس الصالحيات على كل المجلدات الفرعية .انتشار الصالحيات هذا هو طريقة سهلة لتطبيق الصالحيات للعديد من الملفات والمجلدات 156
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
بشكل سريع .بعد إعطاء الصالحيات للمجلد ،كل المجلدات والملفات التي تم إنشاؤها بداخل المجلد ترث كل الصالحيات التي يمتلكها المجلد األب .باإلضافة إلى ذلك ،موقع البيانات وكيفية استخدامها يوضح كيف يتم نشر الصالحيات: oالبيانات التي تنتقل في نفس القسم من القرص الصلب ستحتفظ بالصالحيات األصلية o
البيانات التي تنسخ على نفس القسم سترث صالحيات جديدة.
oالبيانات التي تنتقل لقسم مختلف سترث صالحيات جديدة. oالبيانات التي تنسخ لقسم مختلف سترث صالحيات جديدة.
تشفير الملفات :التشفير هي أداة من أدوات حماية البيانات .التشفير يغير شكل البيانات باستخدام خوارزمية معقدة لجعل البيانات غير قابلة للقراءة .المفتاح الخاص يرجع البيانات الغير قابلة للقراءة إلى بيانات قابلة للقراءة .التطبيقات البرمجية تقوم بتشفير الملفات والمجلدات وحتى كامل القرص الصلب .نظام تشفير الملفات ( )EFSهي إمكانية موجودة في نظام النوافذ (ويندوز) ويمكن استخدام هذا النظام لتشفير البيانات .تم بناء نظام تشفير الملفات في نظام النوافذ ليكون مرتبط مباشرة بحساب مستخدم معين .فقط المستخدم الذي قام بتشفير البيانات هو الوحيد الذي يستطيع الوصول للملفات والمجلدات المشفرة. مستخدم نظام التشغيل ويندوز يمكنه اختيار تشفير كامل القرص الصلب باستخدام خاصية تسمى قفل البت (.)BitLocker والستخدام قفل البت ،يجب أن يكون هناك قسمان على األقل موجودان في القرص الصلب (القرص الصلب مقسم إلى قسمان على األقل) .قبل استخدام قفل البت ،يجب أن يقوم المستخدم أوال بتمكين وحدة المنصة الموثوق بها Trusted Platform Module TPMالموجودة في .BIOSو TPMهي شريحة متخصصة مثبتة على اللوحة األم .يقوم TPMبتخزين المعلومات الخاصة بنظام مضيف معين مثل مفاتيح التشفير والشهادات الرقمية وكلمات المرور .التطبيقات مثل قفل البت الذي يستخدم التشفير يمكنه االستفادة من شريحة .TPMاضغط على إدارة TPMلعرض تفاصيل TMPكما هو معروض بالشكل. النسخ االحتياطي للنظام والبيانات :يمكن أن تفقد الشركة بياناتها إذا استطاع المجرم السيبراني سرقة البيانات ،أو تعطلت المعدات أو حدثت كارثة .ولهذا السبب ،يجب عمل نسخ احتياطي للبيانات بشكل دوري .النسخ االحتياطي للبيانات يخزن نسخة من المعلوم ات من الحاسب إلى وسط احتياطي متنقل .ويقوم المشغل بتخزين وسط النسخ االحتياطي في مكان آمن. 157
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عمل نسخة احتياطية من البيانات هي أكثر الطرق فاعلية لحماية البيانات من الفقدان .فإذا تعطل عتاد الحاسب ،يستطيع المستخدم استرجاع البيانات من النسخ االحتياطية بعد عودة النظام للعمل مباشرة .السياسة األمنية للشركة يجب أن تحتوى على عمليات النسخ االحتياطي .إذا يجب أن يقوم المستخدمون بعمل نسخ احتياطي بشكل منتظم .يتم حفظ النسخ االحتياطية عادة بشكل منفصل عن النظام لحماية وسط حفظ النسخ االحتياطية من أي شيء يحدث لمرافق النظام الرئيسية .ويجب مراعاة االعتبارات اآلتية عند عمل نسخ احتياطي:
•
التتابع – يمكن أن تستغرق عمليات النسخ االحتياطي وقتا طويال .في بعض األحيان من األسهل عمل نسخ احتياطي كامل كل شهر أو كل أسبوع ،ثم تكرار عمل نسخ احتياطي جزئي على فترات قصيرة أو بقياس التغيرات التي تمت على البيانات منذ آخر نسخ احتياطي كامل .على الرغم من ذلك ،عمل كثير من النسخ االحتياطي الجزئي يزيد من الوقت الالزم السترجاع البيانات.
•
التخزين – لزيادة تأمين البيانات ،يجب نقل النسخ االحتياطية إلى مكان منفصل موثوق فيه ومؤمن ،وعملية النقل يجب أن تتم يوميا أو أسبوعيا أو شهريا كما هو موجود في السياسة األمنية للشركة.
•
األمن – يجب حماية النسخ االحتياطية بكلمة مرور .يقوم المشغل بإدخال كلمة المرور قبل استرجاع البيانات من وسط تخزين النسخ االحتياطية.
•
التحقق – يجب التحقق من صالحية النسخ االحتياطية والتأكد من تماسك البيانات وانه لم يتم العبث بها .ويجب أيضا اختبار عملية االسترجاع هل تتم بشكل صحيح ام ال .إذ من الممكن أن تتعطل هذه العملية وال يتم اكتشاف ذلك إال وقت حدوث الكارثة! 158
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
7.1.4التحكم في المحتوى والصور مسح المحتوى ومنع المحتوى :برمجيات التحكم في المحتوى تقيد المحتوى الذي يستطيع المستخدم الوصول إليه باستخدام مستعرض الويب عند الدخول إلى اإلنترنت .تستطيع برامج التحكم في المحتوى إيقاف المواقع اإللكترونية التي تحتوى على أنواع من المواد اإلباحية أو الجدال السيسي أو الديني .يستطيع الوالد تثبيت برنامج للتحكم في المحتوى الذي يستخدمه الطفل. المكتبات والمدارس تقوم أيضا بعمل برامج هدفها منع الوصول للمحتوى الذي يعتبر كريها أو بغيضا .يستطيع مدير النظام بناء النوعيات التالية من المرشحات: •
المرشحات المعتمدة على المتصفح باستخدام امتدادات المتصفح والمصنعة من قبل طرف ثالث.
•
مرشحات البريد اإللكتروني باستخدام مرشح خادم أو مرشح عميل.
•
مرشحات للعميل ويتم تثبيتها على حاسب معين.
•
مرشحات معتمدة على الموجه ،إذ يمكن للموجه أن يمنع المرور الغير مرغوب فيه من دخول الشبكة.
•
مرشحات جهاز الكتروني وتشبه مرشحات الموجه.
•
منع المحتوى اعتمادا على الحوسبة السحابية.
محركات البحث مثل جوجل تعرض اختيار تفعيل مرشح األمان الستبعاد الروابط الغير مناسبة من نتائج البحث .اضغط هنا https://en.wikipedia.org/wiki/Comparison_of_content-control_software_and_providersللمقارنة بين أنواع برامج التحكم في المحتوى والشركات الموفرة لها. استنساخ القرص الصلب والتجميد :يوجد العديد من تطبيقات الطرف الثالث والمتاحة السترجاع النظام إلى حالته االفتراضية. وهذا يتيح لمدير النظام حماية نظام التشغيل والملف التهيئة للنظام .استنساخ القرص Disk Cloningينسخ محتويات القرص الصلب الخاص بالحاسب ويضعها جميعا في ملف صوري .على سبيل المثال ،يقوم مدير النظام بعمل األقسام المطلوبة على القرص الصلب ،ثم يقوم بتهيئة األقسام ثم تثبيت نظام التشغيل .ثم يقوم بتثبيت كل البرامج المطلوب تثبيتها على الحاسب مثل برامج اوفيس وغيرها ثم يقوم بتهيئة العتاد عن طريق تبيت سواقات العتاد .وأخي ار يقوم مدير النظام باستخدام برنامج استنساخ القرص الصلب لعمل ملف صوري .يستطيع مدير النظام استخدام الصوري المستنسخ بالشكل التالي: •
لمسح النظام بشكل آلي واسترجاع النظام من ملف صوري رئيسي نظيف.
•
لتشغيل حواسيب جديدة داخل الشركة.
•
لعمل نسخ احتياطي لكامل النظام.
اضغط هنا https://en.wikipedia.org/wiki/Comparison_of_disk_cloning_softwareلمقارنة برامج االستنساخ.
159
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
والتجميد العالي Deep Freezeيجمد قسم من أقسام القرص الصلب .وعندما يقوم المستخدم بإعادة تشغيل النظام ،يرجع النظام لحالته المجمدة مرة أخرى .النظام ال يحفظ أي تعديالت يقوم بها المستخدم ،ولذلك فإن أي تطبيق تم تثبيته أو ملف تم حفظه سيفقد عندما يتم إعادة تشغيل النظام .إذا أراد مدير النظام تغيير تهيئة النظام ،فيجب عليه أوال "إذابة" القسم المحمي بإلغاء تمكين التجميد العالي .بعد عمل التعديالت المطلوبة ،يجب علي المدير إعادة تمكين التجميد .يمكن لمدير النظام أن يقوم بتهيئة الت جميد العالي ليعاد تشغيله بعد خروج المستخدم من النظام ،أو تهيئته ليتم قفله بعد فترة من عدم الركود ،أو قفله بعد وقت محدد .هذه المنتجات ال تقدم حماية الوقت الفعلي .يظل النظام عرضة للهجوم حتى يقوم المستخدم أو حدث محدد بإعادة تشغيل النظام .وعلى الرغم من ذلك ،فإن النظام المصاب ببرمجية خبيثة ،سيبدأ بداية جديدة (كأنه لم يصب) عندما يتم إعادة تشغيل النظام. 7.1.5الحماية المادية لمحطات العمل كابالت وأقفال األمن :يوجد العديد من الطرق للحماية الفيزيائية لمعدات الحاسب اآللي: •
استخدم أقفال الكابالت مع المعدات كما هو موجود بالشكل.
•
اقفل غرف االتصاالت بشكل دائم.
•
استخدم اقفاص التأمين حول المعدات.
العديد من األجهزة المحمولة وشاشات الحاسبات المرتفعة الثمن لها كتيفة صلب كمدخل أمني مدمج يتم استخدامه بتوصيل أقفال الكابالت به .أشهر أنواع اقفال األبواب هو النوع األقفال القياسي .إذ ال يقوم بالقفل اآللي عندما يغلق الباب .باإلضافة لذلك ،يستطيع الفرد حشر طبقة بالستيكية رفيعة مثل بطاقة االئتمان بين القفل وجسم الباب إلجبار الباب على الفتح .أقفال األبواب في المباني التجارية تختلف عن األقفال في المباني السكنية .لعمل تأمين إضافي ،القفل المركب يعطي تأمين إضافي. ومع ذلك فإن أي قفل يحتاج إلى مفتاح يكون له نقطة ضعف مثل فقدان المفتاح أو سرقته أو نسخه. قفل الشيفرة الموجود في الشكل الثاني ،يستخدم ازرار يقوم المستخدم بالضغط عليها بترتيب معين لفتح الباب .ويمكن برمجة قفل الشيفرة .وهذا يعني أن الرقم السري للمستخدم يمكن التحكم فيه ليفعل فقط في أيام أو أوقات محددة .على سبيل المثال ،من الممكن برمجة قفل الشيفرة ليسمح لبوب بدخول غرفة الخادم بين الساعة 7صباحا والساعة 6مساءا من يوم األحد إلى يوم الخميس .يمكن ألقفال الشيفرة أن تحفظ سجل بمواعيد فتح الباب والرقم السري المستخدم لفتحه. عداد لوقت سكون النظام :إذا قام الموظف من على مكتبه وترك جهازه ألخذ استراحة قصيرة .إذا لم يقم الموظف بعمل أي شيء لتأمين محطة عمله ،فإن أي معلومات على جهازه تكون عرضة للسرقة من قبل المستخدمين الغير مخولين .يمكن أن تقوم المؤسسة بأخذ المعايير التالية في االعتبار إليقاف الدخول الغير مصرح به:
160
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
وقت السكون وقفل الشاشة :يمكن أن يقوم الموظفون بالخروج من نظام الحاسب عند مغادرتهم لمكتبهم لحماية جهازهم واحتمال أيضا أنهم لن يقوموا بذلك .ولذلك ،فإن أفضل الممارسات األمنية هو تهيئة عداد لوقت سكون النظام والذي يجبر النظام على الخروج آليا ويقفل الشاشة إذا استمر النظام في السكون لفترة معينة .ويجب على الموظف الولوج مرة أخرى لفك قفل الشاشة.
•
أوقات الدخول :في بعض المواقف ،ترغب المؤسسة من موظفيها الدخول للنظام في ساعات محددة ،مثال من الساعة 7 صباحا حتى 6مساءا .يمكن عمل ذلك بتهيئة النظام ليمنع أي محاولة لدخول النظام في الساعات خارج أوقات الدوام.
التتبع بالقمر الصناعي :نظام تحديد المواقع العالمي ( )GPSيستخدم األقمار الصناعية والحواسيب لمعرفة موقع جهاز .تقنية GPSهي ميزة موجودة تقريبا على جميع الهواتف الذكية والتي تتيح تتبع الجهاز بالبث المباشر .يستطيع نظام تحديد المواقع تحديد موقع الجهاز حتى مساحة 100متر مربع .وهذه التقنية متاحة لتتبع األطفال وكبار السن والحيوانات األليفة والمركبات. واستخدام GPSلتحديد موقع الهاتف دون تصريح من المستخدم يعد انتهاكا لخصوصية المستخدم ويعتبر عمل غير قانوني. العديد من تطبيقات الهواتف الذكية تستخدم GPSلتتبع مكان الهاتف .على سبيل المثال ،يسمح فيسبوك للمستخدمين بتمكين دخولهم لموقع معين على الهاتف (فندق أو مطار) ،بعد ذلك يظهر لكل األشخاص على شبكته. المخازن ووسم :RFIDتحديد الهوية بتردد الراديو ( )RFIDيستخدم موجات الراديو في تعريف وتتبع األشياء .نظام المخازن باستخدام RFIDيستخدم وسوم ملصقة بكل األشياء التي تريد الشركة تتبعها .الوسوم تحتوى على شريحة مدمجة موصلة بهوائي .وسوم RFIDصغيرة وتحتاج لطاقة قليلة جدا لتعمل ،ولذلك فهي ال تحتاج لبطارية لتخزين المعلومات التي تتبادلها من القارئ .تساعد RFIDفي ميكنة عملية تتبع الممتلكات وتساعد أيضا في القفل أو فك القفل أو حتى تهيئة جهاز إلكتروني ال سلكيا.
161
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تعمل نظم RFIDفي ترددات مختلفة .نظم التردد المنخفض لها مدى تغطية قليل ومعدل بطئ لقراءة البيانات ،ولكنها ليست حساسة بدرجة عالية للتداخالت الموجية التي تسببها السوائل والمعادن الموجودة .نظم الترددات المرتفعة لها معدل نقل مرتفع وسريع ولها مساحة تغطية أوسع ،ولكن يعيبها أنها حساسة جدا لتداخالت الموجات.
7.2تقوية الخادم 7.2.1الوصول اآلمن عن بعد إدارة الوصول عن بعد :الوصول عن بعد يعني أي اقتران بين عتاد وبرمجيات يسمح للمستخدمين بالوصول عند بعد للشبكة المحلية الداخلية .في نظام النوافذ ويندوز ،يستخدم التقنيين سطح المكتب عن بعد Remote Desktopوالمساعد عن بعد Remote Assistantإلصالح وترقية الحواسيب .سطح المكتب عن بعد يسمح للتقنيين بالعرض والتحكم في جهاز حاسب موجود في مكان نائي .أما المساعد عن بعد يسمح للتقنيين بمساعدة العمالء الموجودون في مكان نائي لحل المشكالت. المساعد عن بعد يسمح للعمالء بالعرض أو اإلصالح أو الترقية بالوقت الفعلي على شاشة الحاسب. عملية تثبيت نظام الويندوز ال تقوم بتمكين سطح المكتب عن بعد كإعداد افتراضي .فتمكين تلك الخاصية تفتح المنفذ رقم 3389وقد ينتج عن ثغرة يدخل من خاللها المهاجمين ،ويفضل عدم تمكين تلك الخدمة إذا لم يكن المستخدم يحتاج إليها. برمجيات Telnetو SSHو :SCPالطبقة اآلمنة ( )SSHهو عبارة عن بروتوكول يوفر اتصاال مشف ار وآمنا إلدارة وتهيئة األجهزة البعيدة .يستبدل SSHنظيره القديم Telnetللتوصيل بهدف اإلشراف والتحكم .و Telnetهو بروتوكول أقدم من SSHيستخدم اتصال غير آمن ينقل البيانات في شكلها الصريح الغير مشفر ،وتكون البيانات عادة بيانات المصادقة لدخول النظام (اسم المستخدم وكلمة المرور) والبيانات المرسلة بين األجهزة المتصلة .يقدم SSHتأمينا لوصالت االتصال عن بعد بعمل تشفير قوي عندما يصادق الجهاز مستخدما كلمة المرور وعندما تنقل البيانات بين األجهزة المتصلة .يستخدم SSH المنفذ TCPرقم 22أما Telnetفيستخدم المنفذ TCPرقم .23 في الشكل اليسار يقوم المهاجمين بمراقبة الحزم باستخدام برنامج .Wiresharkويلتقط المهاجمين اسم المستخدم وكلمة المرور لمدير النظام في شكلها النصي الصريح ،حيث يستخدم مدير النظام Telnetفي االتصال باألجهزة. في الشكل اليمين يوجد شاشة من برنامج Wiresharkلجلسة اتصال باستخدام .SSHيقوم المهاجمين بتتبع الجلسة باستخدام العنوان المنطقي لإلنترنت IPلجهاز مدير النظام .وفي أسفل الشكل نرى أن الجلسة قد شفرت اسم المستخدم وكلمة المرور لذا يصعب على المهاجمين معرفتهما. النسخ اآلمن ( )SCPيقوم بنقل الملفات بين األجهزة المتباعدة بشكل سري .يستخدم SCPبروتوكول SSHلنقل البيانات (يشمل ذلك عنصر المصادقة) ،لذا فإن SCPيتأكد من مصادقة مصدر البيانات وسريتها عند النقل.
162
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
SSH
Telnet
7.2.2تدابير إدارة النظم تأمين المنافذ والخدمات :يستغل المهاجمون الخدمات الجارية على النظام ألنهم يعرفون أن معظم األجهزة يشغلون خدمات أو برامج أكثر من حاجتهم الفعلية .وعلى مدير النظام أن يفحص كل خدمة ويتأكد من أهميتها ويقيم مدى خطورة تشغيلها .ويزيل كل الخدمات الغير ضرورية .طريقة سهلة لدى عديد من مديري النظم يتم استخدامها للمساعدة في تأمين الشبكة من الدخول الغير مصرح به ،هذه الطريقة هي تعطيل كل المنافذ الغير مستخدمة على المحول .على سبيل المثال ،إذا كان المحول له 24 منفذ وهناك عدد 3توصيالت إيثرنت سريع قيد االستخدام .فإنه من أفضل الممارسات تعطيل الـ 21منفذ الغير مستخدمين. عملية تمكين وإلغاء التمكين للمنافذ في بعض األحيان تأخذ وقتا كبيرا ،ولكنها تقوم بتحسين الناحية األمنية على الشبكة وتستحق الوقت والجهد. الحسابات المميزة :يستغل المهاجمون الحسابات المميزة أو الحسابات الخاصة ألنها أقوى الحسابات في الشركة .الحسابات الخاصة لها مميزات الوصول المطلق للنظام ،الحسابات المميزة تعطي صالحية وصول رفيعة وغير مقيدة .يستخدم مديري النظم هذه الحسابات لتوزيع وتثبيت وإدارة نظم التشغيل والتطبيقات وأجهزة الشبكة .يعطي الشكل ملخصا ألنواع الحسابات المميزة.
163
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.1الحسابات المحلية إلدارة النظم :تعطي هذه الحسابات وصول غير مقيد لمضيف المحلي ،وتستخدم ألداء الصيانة لمحطات العمل والخوادم وقواعد البيانات وأجهزة الشبكة .ومشاركة هذا النوع من الحسابات على أكثر من مضيف يعرض األجهزة المضيفة لتكون هدفا للقراصنة. .2الحسابات المميزة للمستخدم :الصالحيات إلعطاء مميزات إدارية على واحد أو أكثر من النظم .ويستخدم عبر كل النظم التي تدار .ومن األفضل مراقبة استخدام هذا النوع من الحسابات. .3الحسابات المميزة للنطاق :تعطي صالحيات اإلدارة لكل محطات العمل والخوادم داخل نطاق ويندوز .وتعطي وصول مكثف عبر الشبكة .تعطي تحكم على كل متحكمات النطاق األخرى لتعديل عضويتها في النطاق. .4حسابات الطوارئ :تعطي المستخدم العادي وصول إداري لتأمين النظم ،ويستخدم في حالة الطوارئ. .5حسابات الخدمات :تستخدم من قبل تطبيق أو خدمة للتفاعل مع نظام التشغيل .ويمكن أن يكون لها صالحيات إدارية في داخل النطاق .تغيير كلمة المرور هو التحدي في هذا النوع من الحسابات حيث أنه يتعامل مع العديد من مكونات نظام التشغيل ويندوز. .6حسابات التطبيقات :يستخدم من قبل التطبيقات للوصول لقواعد البيانات أو تشغيل مخطوطة برمجية أو إعطاء صالحية الوصول لتطبيقات أخرى .له وصول موسع لمعلومات الشركة التي توجد بداخل التطبيقات وقواعد البيانات. يجب أن تتبنى الشركة أفضل الممارسات التالية لتأمين حساباتها المميزة: •
تحديد وتقليل عدد الحسابات المميزة.
164
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
فرض مبدأ أقل الميزات أو أقل الصالحيات.
•
يجب بناء عملية لسحب الصالحيات آليا عندما يغادر الموظف الشركة أو يغير وظيفته في الشركة.
•
قم بإزالة الحسابات التي لها كلمات مرور غير منتهية الصالحية.
•
قم بتأمين مكان تخزين كلمات المرور.
•
قم بإزالة الصالحيات المشتركة ألكثر من مدير للنظام.
•
قم بتغيير كلمات المرور للحسابات المميزة بشكل آلي كل 30أو 60يوم.
•
قم بتسجيل جلسات الحسابات المميزة.
•
قم ببناء عملية لتغيير كلمات السر المضمنة في حسابات المخطوطات البرمجية والخدمات.
•
قم بتسجيل كل أنشطة المستخدمين.
•
صمم نظام تنبيهات للسلوك الغير معتاد.
•
قم بتعطيل الحسابات الغير نشطة.
•
استخدم المصادقة بأكثر من عامل لكل الوصول اإلداري.
•
استخدم عبارة بين المستخدم الطرفي والعتاد الحساس لتحجيم تعرض الشبكة للبرمجيات الخبيثة.
قفل الحسابات المميزة هي عملية حيوية لضمان سرية المؤسسة .تأمين تلك الحسابات يحتاج لجهد مستمر .ويجب على المؤسسة تقييم هذه العملية لعمل أي تعديالت مطلوبة لتحسين األمن. سياسات المجموعة :في معظم الشبكات التي تستخدم حاسبات ويندوز ،يقوم مدير النظام بتهيئة الدليل النشط ( Active )Directoryبنطاقات على نظام التشغيل نوافذ الخادم ( .)Windows Serverحاسبات الويندوز هي أعضاء في النطاق. مدير النظام يقوم بعمل تهيئة لسياسة أمن النطاق والتي تطبق على كل األجهزة التي تدخل النطاق .يتم إعداد سياسات الحساب تلقائيا عندما يدخل المستخدم لنظام ويندوز .عندما ال يكون الجهاز جزء من نطاق الدليل النشط ،يقوم المستخدم بتهيئة السياسات باستخدام السياسة األمنية المحلية في ويندوز .في كل إصدارات ويندوز معا عدا النسخة المنزلية ،قم بكتابة secpol.mscفي سطر األوامر Runلفتح أداة السياسة األمنية المحلية. يقوم مدير النظام بتهيئة سياسات حساب المستخدم مثل سياسات كلمة المرور وسياسات القفل باستعراض Account .Policies-> Password Policyكما نرى في الشكل ،يجب أن يقوم المستخدمون بتغير كلمة المرور كل 90يوم ويستخدمون الكلمة الجديدة ليوم واحد فقط .كلمات المرور يجب أن تحتوي على 8حروف وتشمل ثالث أنواع من الحروف، الحروف الكبيرة ،والحروف الصغيرة و األرقام والرموز الخاصة .وأخيرا ،يمكن استخدام نفس كلمة السر مرة أخرى بعد استخدام 24كلمة سر مختلفة أوال.
165
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
سياسات قفل الحساب يقفل الحاسب لفترة محددة في التهيئة عندما يقوم المستخدم بمحاولة الدخول الخاطئ لعدد معين من المرات .على سبيل المثال ،يم كن السماح للمستخدم بإدخال كلمة المرور بشكل خاطئ بحد أقصى خمس محاوالت .بعد المحاولة الخامسة ،يقوم الحساب بالغلق واستبعاد المستخدم لمدة 30دقيقة .بعد 30دقيقة ،يتم إعادة تعيين عدد مرات المحاوالت الخاطئة من 0إلى 5مرة أخرى ،بعدها يمكن للمستخدم المحاولة خمس مرات أخرى وهكذا .العديد من اإلعدادات األمنية يمكن عرضها باستخدام المجلد السياسات المحلية Local Policiesالموجود بالشكل .وتوجد سياسة تسمى سياسة الجرد تقوم بعمل ملف سجل لألحداث logيستخدم في تتبع األحداث التي يقوم بها المستخدم.
تمكين سجالت األحداث والتنبيهات :ملف سجل األحداث logيقوم بتسجيل كل األحداث عندما تحدث مباشرة .عناصر سجل األحداث هي مكونات ملف سجل األحداث ،وكل عنصر من العناصر يحتوي جل المعلومات التي تتعلق بالحدث .أصبح ملف سجالت األحداث المتعلق بأمن الحاسب ذا أهمية كبيرة .على سبيل المثال ،ملف سجالت التتبع يتتبع عدد محاوالت المصادقة للمستخدم ،وملف سجالت الدخول يعطي كل التفاصيل عن طلبات الوصول لملف معين على النظام .متابعة سجالت األحداث تمكن مدير النظام من معرفة كيف تم الهجوم وهل الدفاعات المستخدمة كانت كافية أم ال. مع الزيادة الهائلة في عدد ملفات سجالت األحداث التي تنشأ ألغراض تأمين الحاسبات ،يجب أن تقوم المؤسسة بإنشاء نظام إدارة لملفات السجالت .إدارة ملفات السجالت تحدد عمليات إنشاء ونقل وتخزين وتحليل والتخلص من ملفات سجالت األحداث الخاصة بأمن بيانات الحاسب .يوجد نوعان من سجالت األحداث:
166
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
سجالت أحداث نظام التشغيل :سجالت أحداث نظام التشغيل تسجل األحداث التي تنشأ بسبب العمليات التي تتم على نظام التشغيل ،يمكن عرض سجالت األحداث من عارض األحدث Event Viewerكما بالشكل .على سبيل المثال، االحداث اآلتية يتم تسجيلها: oطلبات العميل واستجابات الخادم مثل مصادقة المستخدم الناجحة. oمعلومات االستخدام التي تحتوي على عدد وحجم المعامالت في وقت محدد.
•
تطبيق برمجي يسجل األحداث :تستخدم المؤسسات برامج أمنية تهدف لتأمين الشبكة أو لتأمين النظام ،وذلك بغرض اكتشاف األنشطة الخبيثة .هذه البرمجيات تنشئ ملفات سجل األحداث لتوفير بيانات أمن الحاسب .سجالت األحداث نافعة لعمل المراجعة التحليلية وتحديد االتجاهات وحل المشكالت طويلة األمد .تمكن سجالت األحداث أيضا المؤسسة من توفير توثيق يبين أن المؤسسة متوافقة مع القوانين والتنظيمات المطلوبة.
7.2.3الحماية الفيزيائية للخوادم مصدر الكهرباء :هناك جزء حيوي في حماية نظم المعلومات أال وهو نظم الطاقة الكهربائية .فالتوصيل المستمر للتيار الكهربائي أصبح أم ار حيويا وحرجا وخصوصا في هذه األيام مع كثرة الخوادم ومرافق التخزين المتعددة .فيما يلي نقدم قواعد عامة لبناء نظم امداد الكهرباء الفعالة: •
مراكز البيانات يجب أن تأخذ الكهرباء من مصدر آخر غير باقي المبنى.
•
تعددية مصادر الكهرباء :يجب االعتماد على أكثر من مصدر للطاقة وأخذ امداد الكهرباء من محطتين أو أكثر.
•
تبريد عتاد الكهرباء
167
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
نظم الكهرباء االحتياطية عادة ما يتم االحتياج اليها.
•
يجب توفير جهاز مصدر الطاقة الغير منقطع ( )UPSلكي يتم غلق النظم بشكل لطيف.
يجب على المؤسسة حماية نفسها من عديد من األمور عند تصميم نظم امدادات طاقة الكهرباء: •
الكهرباء الزائدة :مثل الجهد العالي اللحظي ،والجهد العالي المستمر لفترة.
•
انقطاع الكهرباء :إما انقطاع لحظي أو انقطاع مستمر.
•
ضعف الكهرباء :مثل الجهد المنخفض لحظيا ،أو الجهد المنخفض لمدة أطول ،أو الجهد العالي نتيجة لتشغيل الكهرباء.
الحرارة والتهوية ومكيف الهواء (نظم التكييف) :نظم التكييف تعتبر من النظم الحرجة لتأمين الناس ونظم المعلومات بداخل الشركة .عندما يتم تصميم مرافق نظم تقنية المعلومات الحديثة ،تلعب نظم التكييف دو ار هاما في األمن العام للشركة .نظم التكييف تتحكم في البيئة المحيطة (الح اررة ،الرطوبة ،تدفق الهواء ،تصفية الهواء) ويجب أن يتم التخطيط لها لتعمل جنبا إلى جنب مع مكونات مراكز المعلومات األخرى مثل العتاد الحاسوبي ،والكابالت ،ومخزنات البيانات ،ومكافحة النيران ،ونظم الحماية الفيزيائية والطاقة .غالب أجهزة الحاسوب المادية تأتي بشروط تشغيل بيئية والتي تشمل درجة ح اررة التشغيل المناسبة ومستويات الرطوبة المقبولة .تظهر متطلبات التشغيل البيئية في وثيقة مواصفات المنتج أو عن طريق التدريب .والحفاظ على هذه المتطلبات البيئية هو من األمور الهامة لمنع فشل األنظمة ولتمديد فترة حياة نظم تقنية المعلومات .نظم التكييف التجارية ونظم إدارة المبنى األخرى أصبحت جميعها موصلة باإلنترنت للتحكم واألشراف عن بعد .األحداث العالمية األخيرة تبين أن مثل هذه النظم والمسماة "النظم الذكية" أيضا تثير مخاوف أمنية كبيرة. من المخاطر المقترنة باستخدام النظم الذكية أن األفراد الذين لهم حق الوصول وإدارة النظام يعملون لدى مقاول أو لشركة التصنيع .وألن تقنيي نظم التكييف يحتاجون المقدرة على إيجاد المعلومات بسرعة ،تكون البيانات الهامة عرضة للتخزين في أماكن مختلفة ،والذي يجعلها سهلة الوصول ألشخاص آخرين .مثل هذا الموقف يتيح لشبكة واسعة من األفراد ،شاملة حتى مساعدي المقاول ،الوصول لصالحيات نظام التكييف .تعطيل نظم التكييف الذكية يثير مخاطر ومخاوف على نظم تأمين المعلومات داخل الشركة. مراقبة العتاد :عادة ما يوجد نظام مراقبة العتاد في مزرعة كبيرة من الخوادم .مزرعة الخوادم هي مرفق يضم المئات أو اآلالف من الخوادم للشركات .تملك شركة جوجل العديد من مزارع الخوادم حول العالم لتقديم أفضل الخدمات .حتى الشركات الصغيرة تقوم ببناء مزرعة خوادم محلية لضم مجموعة الخوادم التي يحتاجها سير العمل .نظم مراقبة العتاد تستخدم في اإلشراف على صحة هذه النظم لتقليل وقت تعطل الخوادم والتطبيقات .نظم مراقبة العتاد الحديثة تستخدم مخارج USBومنافذ الشبكة لنقل حالة الح اررة في وحدة المعالجة المركزية ،وتنقل حالة مصدر الطاقة وسرعة المراوح والح اررة وحالة الذاكرة ومساحة القرص
168
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الصلب وحالة بطاقة توصيل الشبكة .نظم مراقبة العتاد تمكن الفنيين من مراقبة مئات أو آالف النظم من خالل شاشة واحدة. كلما استمر عدد مزارع الخوادم في النمو ،تصبح نظم مراقبة العتاد هامة كرادع للهجمات األمنية.
7.3تقوية الشبكة 7.3.1تأمين أجهزة الشبكة مراكز العمليات :مركز عمليات الشبكة ( نوك )NOCهو موقع جغرافي أو أكثر يحتوي على األدوات التي تمد مدراء النظم بالحالة المفصلة لشبكة الشركة .ونوك هو المصدر الوحيد للمعلومات التي بناء عليها يتخذ ق ار ار مثال صيانة الشبكة ،أو اإلشراف على األداء ويمكن أيضا استخدامها في توزيع وترقية البرامج ،وفي إدارة االتصاالت أو إدارة األجهزة. مركز عمليات األمن ( SOCسوك) هو موقع جغرافي مكرس للمراقبة والتقييم والدفاع عن نظم معلومات الشركة مثل المواقع اإللكترونية للشركة والتطبيقات وقواعد البيانات ومراكز البيانات والشبكات والخوادم ونظم المستخدم .سوك هو فريق من محللي النظم األمنية الذين يقومون بكشف وتحليل النظم والرد على الهجمات وعمل التقارير والحماية من األحداث األمنية الغير مرغوبة. كال الوحدتين (نوك وسوك) يستخدمان بناية من طبقات هرمية للتعامل مع األحداث .الطبقة األولى تتعامل مع كل األحداث وترفع أي حدث لم تتمكن من التعامل معه إلى الطبقة الثانية .يقوم فريق العمل بالطبقة الثانية بمراجعة الحدث بالتفصيل في محاولة للتعامل معه .فإذا لم يستطيعوا التعامل معه فإنهم يرفعون األمر إلى الطبقة الثالثة .والطبقة الثالثة يكون فيها الخبراء المتخصصين فقط في النقطة المعنية .لقياس مدى كفاءة وتأثير مركز العمليات ،تحتاج المؤسسة للقيام بتمارين وتدريبات واقعية .تمرين محاكاة الطاولة ( )tabletop simulationهو عبارة عن السير بشكل منظم لفريق العمل بغرض محاكاة حدث ما وتقييم كفاءة المركز .والتدبير األقوى من ذلك هو محاكاة مهاجم دخيل بصالحيات عليا وبال تحذير .وهذ يتطلب استخدام "الفريق األحمر" ،والفريق األحمر هو مجموعة من األفراد التي تتحدى العمليات داخل المؤسسة بغرض تقييم كفاءة المؤسسة. 169
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
على سبيل المثال ،يجب على الفريق األحمر مهاجمة نظام لمهمة حرجة شاملة عمليات االستطالع والهجوم ،وامتالك الصالحيات والوصول عن بعد. المحوالت والموجهات وأجهزة الشبكة :تأتي أجهزة الشبكة مبدئيا بال كلمات سر أو بكلمات سر افتراضية .يجب تغيير كلمة السر قبل توصيل الجهاز بالشبكة .ثم توثيق التعديالت على أجهزة الشبكة وعمل سجل احداث للتغيرات .وأخيرا ،افحص كل ملفات سجالت األحداث الخاصة بالتهيئة .فيما يلي نناقش العديد من التدابير التي يجب أن يأخذها مدير النظام في االعتبار لحماية أجهزة الشبكة: •
المحوالت :محوالت الشبكة هي القلب النابض للشبكات الحديثة لتوصيل البيانات .والتهديد الرئيسي لمحوالت الشبكة هو السرقة ،والقرصنة والوصول عن بعد ،والهجوم ضد بروتوكول شبكي معين مثل ARP/STPأو الهجوم لتقليل أداء وإتاحة الشبكة .العديد من المضادات وأدوات التحكم يمكنها أن تحمي محوالت الشبكة مثل الطرق الحديثة للحماية الفيزيائية والتهيئة المتقدمة وبناء نظام تحديثات وترقيع مناسب عند الحاجة .يوجد أداة تحكم أخرى وهي عمل ما يسمى بأمن المنافذ .على مدير النظام تأمين كل منافذ المحول (الموائمات) قبل تركيب المحول للعمل على الشبكة فعليا .والطريقة الفعالة لتأمين المنافذ هي بناء خاصية التأمين الفيزيائي للمنافذ .وتأمين المنافذ يحكم عدد العناوين الفيزيائية التي تستطيع استخدام المنفذ .ويسمح المحول لوصول األجهزة التي لها عنوان فيزيائي مصرح به ويمنع باقي العناوين الفيزيائية.
•
الشبكات المحلية االفتراضية ( :)VLANsالشبكات االفتراضية هي طريقة لتجميع األجهزة من محوالت مختلفة وموجودة في مواقع فيزيائية مختلفة بهدف تكوين شبكة محلية افتراضية .تستخدم الشبكات االفتراضية توصيالت منطقية بدال من توصيالت فيزيائية .المنافذ الموجودة على المحول يمكن تعيين بعض منها ألكثر من شبكة افتراضية .والبعض اآلخر يستخدم للتوصيل الفيزيائي للمحوالت للسماح بتوصيل العديد من مرور الشبكات االفتراضية بين المحوالت .وتسمى هذه المنافذ بال ـ " ترنك" .trunkعلى سبيل المثال ،يحتاج قسم الموارد البشرية لحماية المعلومات الحساسة .الشبكات االفتراضية تمكن مدير النظام من تقسيم الشبكة بناء على عوامل مثل نوع الوظيفة أو فريق المشروع أو التطبيق بغض النظر عن الموقع الفيزيائي للمستخدم أو الجهاز كما في الشكل .األجهزة داخل الشبكة االفتراضية الواحدة تعمل كأنها بداخل شبكتها المستقلة ،حتى إذا كان هناك مشاركة لنفس البنية التحتية مع الشبكات االفتراضية األخرى .تستطيع الشبكات االفتراضية فصل المجموعات التي لها بيانات حساسة عن باقي الشبكة ،وبذلك تقل فرصة تسريب المعلومات السرية .الترنك يسمح لألفراد في الشبكة االفتراضية للموارد البشرية بالتوصيل فيزيائي بأكثر من محول .هناك العديد من أنوع الثغرات والهجمات للشبكات االفتراضية .وهذه الهجمات تشمل الهجوم على بروتوكول الترنك .يستطيع المخربون مهاجمة أداء وإتاحة الشبكة االفتراضية .المضادات الشائعة تشمل االشراف والمراقبة للتغيرات واألداء للشبكة االفتراضية، وأيضا عمل تهيئة متقدمة وترقيع وتحديث نظام التشغيل IOSبشكل دوري.
170
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الجدران النارية :هي عبارة عن عتاد أو برمجيات تفرض السياسات األمنية للشركة .والجدار الناري يعمل كمصفاه للمرور يوقف المرور الغير مصرح به والمرور المحتمل وجود خطر من ورائه من الدخول للشبكة ،انظر الشكل .الجدار الناري البسيط يوفر قدرات الترشيح األساسية باستخدام قائمة التحكم بالوصول ( .)ACLيستخدم مدراء النظم قوائم التحكم بالوصول لمنع المرور أو للسماح بمرور من نوع معين بالتنقل في شبكاتهم .وقائمة التحكم في الوصول هي عبارة عن قائمة تسلسلية من جمل السماح والمنع التي يتم تطبيقها على عنوان منطقي معين أو بروتوكول معين .تعطي قوائم التحكم بالوصول طريقة قوية للتحكم في المرور الداخل والخارج من والى الشبكة .تفصل الجدران النارية الهجمات بعيدا عن الشبكة الخاصة ومن الهجمات الشائعة للقراصنة هو محاولة التغلب على حماية الجدران النارية .والتهديد الرئيسي للجدران الناري هو السرقة أو القرصنة أو الوصول عن بعد أو الهجوم ضد قوائم التحكم بالوصول أو الهجوم لتقليل األداء أو لمنع
171
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التوافر .العديد من المضادات وأدوات التحكم يمكنها حماية الجدران النارية وتشمل األمن الفيزيائي والتهيئة المتقدمة والوصول عن بعد بشكل سري مع التحقق من المصادقة ،وأيضا التحديث والترقيع المناسب للنظام.
•
الموجهات :تعتبر الموجهات بمثابة الهيكل العظمي لإلنترنت ولالتصاالت بين الشبكات .تتواصل الموجهات مع بعضها البعض لمعرفة أفضل المسارات الممكنة لتوصيل المرور لشبكة مختلفة .تستخدم الموجهات بروتوكوالت التوجيه ألخذ ق اررات التوجيه .كما يمكن للموجهات ان تدمج الخدمات األخرى مثل قدرات التحويل والجدران النارية .وهذه العمليات تجعل الموجهات هدفا أوليا للقراصنة .التهديد الرئيسي لموجهات الشبكة هو السرقة والقرصنة والوصول عن بعد ،والهجوم ضد بروتوكول معين مثل RIP/OSPFأو الهجوم ضد األداء واإلتاحة .العديد من المضادات وأدوات التحكم تستطيع حماية موجهات الشبكة مثل الحماية الفيزيائية المحسنة ،وإعدادات التهيئة المتقدمة واستخدام بروتوكول توجيه بسرية عالية مع المصادقة ،باإلضافة إلى التحديثات والرقع المناسبة.
الشبكات الالسلكية واألجهزة المتنقلة :أصبح النوع المتنقل من األجهزة هو النوع الغالب على معظم الشبكات الحديثة .فهي توفر الحرية في التنقل وسهولة االستخدام ولكنها تضيف الكثير من الثغرات .هذه الثغرات تشمل السرقة والقرصنة والوصول عن بعد الغير مصرح به وغربلة الحزم وهجمات الرجل-في-الوسط والهجمات ضد األداء واإلتاحة .وأفضل الطرق لتأمين الشبكات الالسلكية هو استخدام المصادقة والتشفير .المعيار الالسلكي األصلي رقم 801.11يقدم نوعين من المصادقة كما هو موجود بالشكل: •
نظام المصادقة المتاح للجميع :أي جهاز السلكي يستطيع االتصال بالشبكة الالسلكية .استخدم هذه الطريقة في المواقف التي يكون فيها األمن غير مهم. 172
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
نظام المصادقة بالمفتاح المشترك :يعطي آلية للمصادقة ويشفر البيانات بين العميل الالسلكي ونقطة الوصول الالسلكية أو الموجه الالسلكي.
يوجد ثالث تقنيات مستخدمة في الشبكات المحلية الالسلكية للمصادقة بالمفتاح المشترك وهي: .1خصوصية مكافئ السلكي ( -)WEPهذه مواصفات المعيار األصلي 802.11لتأمين الشبكات الالسلكية .ومع ذلك، مشكلة خصوصية السلكي أن مفتاح التشفير ال يتغير أبدا أثناء الجلسة الواحدة وأثناء تبادل الحزم ،وهذا يجعل من السهل قرصنة البيانات. .2حامي الوصول للواي فاي ( – )WPAهذا المعيار يستخدم خصوصية السلكي ( )WEPولكنه يؤمن البيانات باستخدام خوارزمية تشفير أقوى بكثير تسمى بروتوكول تماسك المفتاح المؤقت ( .)TKIPيقوم TKIPبتغيير المفتاح لكل حزمة منفصلة ،مما يجعل األمر صعبا جدا على القراصنة. .3حامي الوصول للواي فاي – )WPA2( 2ويوجد معيار أيضا قرين له هو .IEEE 802.11iأصبح هذا المعيار أساسيا في الصناعة لتأمين الشبكات الالسلكية .و WPA2مع IEEE 802.11iكالهما يستخدمان طريقة التشفير إياس ()AES والتي تعتبر حاليا من أقوى بروتوكوالت التشفير. منذ عام 2006أي جهاز يحمل العالمة التجارية المعتمدة للواي فاي يكون بالتبعية به نسخة معتمدة من .WPA2على ذلك فإن الشبكات الالسلكية يجب أن تستخدم دائما معايير 802.11iو .WPA2المضادات األخرى تشمل نظام تأمين فيزيائي محسن والترقية والترقيع الدائم للنظم واألجهزة.
173
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خدمات الشبكة وخدمات التوجيه :يستخدم المجرمون السيبرانيون خدمات الشبكة الضعيفة للهجوم على الجهاز أو استخدام الجهاز كجزء من هجوم موسع .للتأكد من تأمين خدمات الشبكة ،يجب مراجعة الجهاز للبحث عن المنافذ المفتوحة باستخدام ماسح للمنافذ .ماسح المنافذ هو تطبيق يجس الجهاز للبحث عن المنافذ المفتوحة عن طريق ارسال رسالة لكل منفذ وينتظر الرد .والرد يكون هو المؤشر عن كيف يتم حاليا استخدام المنفذ .يستخدم القراصنة أيضا ماسح المنافذ لنفس الغرض .تأمين خدمات الشبكة يؤكد أن المنافذ الضرورية فقط هي المكشوفة والمتاحة. •
خدمة العنونة اآللية ( :)DHCPتعمل خدمة العنونة اآللية على خادم لتعيين عناوين انترنت IPوتعيين أيضا أنواع أخرى من التهيئة واإلعدادات بشكل آلي ألجهزة الشبكة .وبشكل فعلي ،فإن الجهاز يحصل على ورقة صالحية من خادم العنونة الستخدام الشبكة .يستطيع المهاجمين استهداف خوادم العنونة بهدف حجب الوصول لألجهزة على الشبكة .الشكل التالي يعطي قائمة التدقيق لخادم العنونة ()DHCP
•
نظام أسماء النطاقات( :)DNSهذا النظام يحول محدد المواقع الموحد ( )URLأو عنوان الموقع اإللكتروني ( )http://www.cisco.comإلى عنوان اإلنترنت IPالمقابل للموقع اإللكتروني .عندما يقوم المستخدمون بكتابة العنوان في شريط العنوان فهم يعتمدون على نظام أسماء النطاقات لتحويل ذلك العنوان إلى رقم معرف للموقع اإللكتروني المراد على اإلنترنت DNS .IPيشبه االتصال الهاتفي ،حيث يحفظ المستخدم أرقام الهاتف ألصدقائه بأسمائهم وعندما يرغب في االتصال فهو يبحث عن االسم في جهات االتصال ،وعند الضغط على "اتصال" يقوم الهاتف باستخدام الرقم لالتصال .يستطيع المهاجمون استهداف خوادم أسماء النطاقات بهدف منع الوصول لموارد الشبكة أو إعادة توجيه المرور الشبكي لمواقع إلكترونية مخادعة .في الشكل التالي توجد قائمة التدقيق لتأمين خوادم أسماء النطاق .قم بتشغيل خدمات مؤمنة ومصادقة قوية بين خوادم DNSالمختلفة لحمايتها من هذه الهجمات. 174
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
بروتوكول التراسل عبر اإلنترنت( :)ICMPتستخدم األجهزة بروتوكول التراسل إلرسال رسائل األخطاء مثل الطلب لخدمة غير متاحة أو كون المضيف ال يستطيع الوصول للموجه .أمر pingهو أداة شبكية تستخدم بروتوكول التراسل الختبار إمكانية التواصل بين األجهزة المضيفة على الشبكة .يقوم pingبإرسال رسائل ICMPللجهاز المضيف وينتظر الرد. يستطيع القراصنة تغيير استخدام بروتوكول التراسل ألغراض خبيثة منها الموجود في الشكل وهي oاالستكشاف oهجمة قطع الخدمة oعمل قناة اتصال سرية. تستخدم هجمة قطع الخدمة بروتوكول التراسل ،ولذلك فإن معظم الشبكات توقف بعض طلبات ICMPلمنع مثل هذه الهجمات.
175
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
بروتوكول معلومات التوجيه ريب ( :)RIPيقوم بروتوكول ريب بالحد من عدد القفزات المسموح بها في المسار الموجود على الشبكة والذي يبدأ من المصدر وينتهي عند الهدف .أقصى عدد للقفزات في بروتوكول ريب هو .15ريب هو بروتوكول توجيه يستخدم لتبادل المعلومات التوجيهية عن الشبكات التي يستطيع كل موجه الوصول إليها والمسافة للوصول لهذه الشبكات .يقوم ريب بحساب افضل مسار بناء ع لى عدد القفزات .يعرض الشكل التالي نقاط الضعف في ريب والدفاعات الممكنة ضد هجماته .يستطيع المهاجمون استهداف الموجهات وبروتوكول ريب .الهجمات على خدمات التوجيه تستطيع التأثير على األداء واإلتاحة .بعض الهجمات تستطيع أيضا التسبب في إعادة توجيه المرور الشبكي. است خدم خدمات مؤمنة بالمصادقة وتابع ترقيع النظم وترقيتها لحماية خدمات التوجيه مثل ريب.
•
بروتوكول وقت الشبكة ( :)NTPالحصول على الوقت الصحيح بداخل الشبكات هو أمر ضروري .أختام الوقت الصحيحة تتبع بشكل دقيق األحداث الشبكية مثل الخروقات األمنية .باإلضافة إلى ذلك ،تزامن الساعة هو مطلب حيوي للترجمة 176
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الصحيحة لألحداث بداخل ملف سجل األحداث للنظام ( )syslogوأيضا مهم لعمل الشهادات الرقمية .بروتوكول وقت الشبكة هو بروتوكول لتزامن ساعات نظم الحاسب على شبكات البيانات .يسمح البروتوكول ألجهزة الشبكة بتزامن إعدادات الوقت مع خادم .NTPيوضح الشكل التالي قائمة من الطرق المتنوعة المستخدمة لتأمين نظام دقات الساعة على الشبكة .يهاجم القراصنة خوادم الساعة لتعطيل االتصاالت اآلمنة والتي تعتمد على الشهادات الرقمية وإلخفاء معلومات الهجوم مثل تغيير أختام األوقات الصحيحة. 7.3.2معدات الصوت والفيديو عدة هاتف :VoIPنقل الصوت على بروتوكول اإلنترنت أو ما يسمى ( )VoIPيستخدم الشبكات مثل اإلنترنت لعمل واستقبال االتصاالت .والعتاد المطلوب لتحقيق VoIPهو وصلة اإلنترنت و عدة هاتف .ويوجد العديد من الخيارات لمجموعة الهاتف: •
عدة هاتف مركب فيها محول (المحول هو الموائم الفيزيائي بين الهاتف التناظري المعتاد والهاتف الرقمي) ،يحول اإلشارة من تناظرية إلى رقمية.
•
عدة هاتف بها خاصية .VoIP
•
تطبيق برمجي للصوت VoIPمثبت على الحاسب.
معظم عمالء خدمات VoIPيستخدمون اإلنترنت لعمل اتصاالتهم الهاتفية .العديد من الشركات ،مع ذلك تستخدم شبكتها الخاصة ألنها تعطي تأمين أقوى وجودة في الخدمة .تأمين VoIPيعتمد اعتماد كلي على تأمين الشبكة المثبت عليها. يستهدف القراصنة هذه النظم بهدف استغالل خدمات االتصال مجانا ،أو التصنت على اتصاالت الهاتف او التأثير على األداء واإلتاحة .قم بعمل المضادات اآلتية لتجنب الهجمات على خدمات :VoIP •
قم بتشفير حزم رسائل الصوت لتجنب التصنت على المكالمات.
•
استخدم بروتوكول SSHلحماية العبارات والمحوالت.
•
قم بتغيير كل كلمات المرور االفتراضية.
•
استخدم نظام كشف الدخالء الكتشاف الهجمات مثل هجمة تسمم .ARP
•
استخدم مصادق ة قوية للتخفيف من هجمة خداع التسجيل (وفيها يقوم المهاجم بتوجيه كل االتصاالت الخاصة بالضحية لنفسه) أو انتحال شخصية البروكسي (التالعب بالضحية ليتصل باستخدام بروكسي مخادع تم وضعه من قبل المهاجم) أو السيطرة على االتصاالت (يتم مقاطعة االتصال وإعادة توجيهه لمسار مختلف قبل الوصول للهدف).
•
قم باستخدام الجدران النارية التي تعرف VoIPلإلشراف على سيل البيانات وتصفية اإلشارات الغير طبيعية.
عندما تعطل الشبكة تعطل معها خدمة الصوت.
177
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الكاميرات :كاميرات اإلنترنت ترسل وتستقبل البيانات على الشبكة المحلية .ويتم توصيلها بكابل الشبكة مثلها مثل الطابعة الشبكية واألجهزة الشبكية األخرى .يستطيع المستخدم عرض الفيديو بالبث الحي عن بعد باستخدام متصفحات الويب على العديد من األجهزة مثل نظم الحاسب واألجهزة المحمولة واللوح الكفي والهواتف الذكية .تأتي الكاميرات في أشكال متنوعة ،من هذه األشكال كاميرات المراقبة الكالسيكية .والخيارات األخرى تشمل كاميرات اإلنترنت المخفية س ار في راديوهات الساعة والكتب ومشغالت دي في دي .تنقل كاميرات اإلنترنت الفيديو الرقمي عبر وصلة بيانات .يتم توصيل الكاميرات بشكل مباشر بالشبكة ويتم توفير كل اإلمكانيات التي تحتاجها لنقل الصور عبر الشبكة .يعرض الشكل التالي أفضل الممارسات لنظم الكاميرات.
معدات مؤتمرات الفيديو :مؤتمر الفيديو يسمح الثنان أو أكثر من المواقع الجغرافية االتصال بشكل متزامن باستخدام تقنية االتصال عن بعد .تستفيد هذه التقنيات من المعايير الحديثة للفيديو عالي الوضوح ( .)HDمنتجات شركة سيسكو مثل TelePresenseيمكن مجموعة من األشخاص في موقع واحد لعمل مؤتمر بالبث الحي مع مجموعة أخرى من األشخاص في مواقع مختلفة حول العالم .مؤتمرات الفيديو أصبحت جزءا من الحياة الطبيعية اليومية للعمليات الصناعية مثل المجال الطبي .فاألطباء يستطيعون الكشف على المرضى لمعرفة األعراض ثم استشارة الخبراء لتحديد العالجات المطلوبة .والعديد من الصيدليات المحلية تستعين بمساعدي األطباء الذين يمكن تواصلهم بشكل مباشر مع األطباء باستخدام تقنية مؤتمر الفيديو لتحديد ميعاد زيارة أو الرد على الطوارئ .العديد من المؤسسات التصنيعية تستخدم مؤتمر الفيديو لمساعدة المهندسين والفنيين ألداء عمليات معقدة أو بغرض عمليات الصيانة .معدات مؤتمر الفيديو غالية الثمن وتكون هدفا مرتفع القيمة بالنسبة للصوص 178
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
والقراصنة .اضغط هنا https://youtu.be/WlDkiwzzv3Mلعرض فيديو يشرح اإلمكانيات الجبارة لنظم مؤتمرات الفيديو. يستهدف القراصنة هذه النظم للتصنت على اتصاالت الفيديو أو التأثير على األداء والتوافر. حساسات شبكة إنترنت األشياء :من أسرع القطاعات في مجال تقنية المعلومات هو استخدام أجهزة الذكاء االصطناعي والحساسات .ومجال صناعة الحاسبات تسمي هذ القطاع باسم إنترنت األشياء ( .)IoTوفي مجال التجارة فإن العمالء يستخدمون أجهزة األشياء لميكنة العمليات أو مراقبة الظروف البيئية أو تنبيه المستخدم بالحاالت الهجومية .معظم أجهزة األشياء تتصل بالشبكة باست خدام تقنيات االتصال الالسلكي وتشمل الكاميرات وأقفال األبواب والحساسات المتجاورة واألضواء واألنواع األخرى من األجهزة التي تستخدم لجمع المعلومات عن البيئة المحيطة أو حالة جهاز .العديد من مصنعي األجهزة يستخدمون انترنت األشياء إلعالم المستخدمين بأن هناك أجزاء في الجهاز تحتاج إلى تغيير أو أن مكون من المكونات عاطب أو أن البطاريات قارب شحنها على االنتهاء .التجاريين يستخدمون هذه األجهزة لتتبع المخازن والمركبات والعمالة .أجهزة األشياء تحتوى على حساسات مكانية .يستطيع المستخدم تحديد الموقع العالمي أو اإلشراف أو التحكم في متغيرات البيئة مثل الح اررة والرطوبة واإلضاءة .تثير صناعة انترنت األشياء تحد كبير لمحترفي امن المعلومات ألن العديد من أجهزة األشياء تلتقط وتنقل البيانات الحساسة .يستهدف القراصنة هذه النظم بهدف االستيالء على البيانات أو التأثير على أداء أو توافر النظام.
7.4األمن الفيزيائي 7.4.1التحكم في الوصول الفيزيائي السياج والحواجز األمنية :أول ما يخطر بالبال عند الحديث عن األمن الفيزيائي هو الحواجز الفيزيائية .وهذه هي الطبقة الخارجية للحماية ،وهي أكثر الحلول األمنية التي يراها الجميع .نظام تأمين المحيط أو تأمين الحدود الخارجية عادة ما يشمل المكونات اآلتية: •
نظام سياج على محيط الشركة.
•
نظام البوابات األمنية
•
األوتاد ،وهي أعمدة قصيرة وسميكة تحمي من دخول السيارات الغريبة .كما بالشكل.
•
حواجز دخول السيارات.
•
غرف الحراسة.
السياج هو حاجز يحيط بالمناطق المحظورة ويعين حدود الملكية .كل الحواجز يجب أن تتبع متطلبات تصميم معينة ومواصفات تصنيعية محددة .المناطق شديدة الحظر تتطلب في العادة حراسة من نوع خاص مثل األسالك الشائكة أو األسالك الملتوية .عند تصميم أمن المحيط ،نظم السياج يجب أن تتبع القواعد التالية: •
ارتفاع 1متر ،يوقف فقط الشخص المتخطي العادي. 179
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
ارتفاع 2متر ،مرتفع جدا لتسلق الشخص العادي.
•
ارتفاع 2.5متر ،سيعطل المتخطي المحترف بعض الوقت.
•
الحراسات المشددة تزيد من ردع المتخطين وعرقلتهم عن طريق جرحهم باألسالك الشائكة أو الزجاج المكسور ،انظر الشكل ،على الرغم من ذلك ،يستخدم المهاجمون بطانية أو مرتبة لتجاوز هذا التهديد.
القوانين المحلية أحيانا تحدد نوع نظام السياج المستخدم من قبل المؤسسة .يحتاج السياج لصيانة منتظمة .يمكن للحيوانات أن تحفر األرض تحت السياج أو أن األرضية تحت السياج يتم تعريتها بالرياح أو األمطار مما يجعل السياج غير ثابت ويكون عرضه للتخطي السهل من قبل الدخالء .قم بمعاينة نظام السياج بشكل منتظم .ال تسمح بإيقاف المركبات بجوار السياج. فالمركبة المتوقفة بجوار السياج يمكن أن تساعد الدخيل في العبور من فوق السياج أو تحطيمه .أضغط هنا /http://www.chainlinkinfo.org/security-fencing-guidelinesلتوصيات إضافية حول السياج.
القياسات الحيوية :القياسات الحيوية تصف الطرق اآللية للتعرف على الفرد بناء على خصائصه الجسمية أو السلوكية .تشمل المصادقة بالقياسات الحيوية شكل الوجه أو مالمح الوجه الموحدة للشخص ،أو بصمة األصابع أو هندسة الوجه أو شكل القزحية أو الشبكية أو التوقيع أو الصوت .تقنيات القياسات الحيوية تعد أساس التأمين القوي لنظم التعرف والمصادقة لألشخاص .وقد زادت شهرة استخدام نظم القياسات الحيوية نظ ار للزيادة الكبيرة في عدد الخروقات األمنية وتزوير المعامالت. توفر القياسات الحيوية معامالت مالية سرية وخصوصية لبيانات الفرد .على سبيل المثال ،تستخدم شركة أبل تقنية بصمة األصابع مع األجهزة الذكية التي تصنعها .يستخدم مالك الجهاز بصمة اصبعه لفتح الجهاز والوصول للتطبيقات المختلفة مثل الخدمات المصرفية عبر النت وخدمات دفع األموال.
180
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عند مقارنة نظم القياسات الحيوية يجب األخذ في االعتبار عوامل مهمة مثل الدقة والسرعة و معدل الخرج ومدى القبول لدى المستخدمين والتفرد في خصائص عضو القياس الحيوي والتفرد في فعل الشخص ،والمقاومة للتزوير واالعتمادية ومتطلبات التخزين والوقت الالزم لتسجيل المستخدمين ونسبة قبول الماسح للدخالء .العامل األقوى هنا هو الدقة .يتم التعبير عن الدقة باستخدام أنواع الخطأ ومعدل الخطأ. النوع األول من الخطأ يسمى (خطأ )1أو الرفض الخاطئ .خطأ 1يرفض المستخدم المسجل لدى النظام والمخول لدخول النظام ،ويسمى أيضا بخطأ (منع دخول األخيار) .في نظم التحكم بالدخول ،فإن الهدف األول هو منع المجرمين من الدخول، ولذلك فإن خطأ الرفض الخاطئ اقل أهمية .مع ذلك في الكثير من تطبيقات القياسات الحيوية ،فإن الرفض الخاطئ من الممكن أن يؤثر بشدة وبشكل سلبي على التجارة .على سبيل المثال ،إذا كان البنك أو محل التجزئة يريد مصادقة هوية الزبون ورصيده البنكي ،فإن الرفض الخاطئ يعني أن المعاملة ستضيع أو على األقل سترفض ،وسيغضب الزبون جدا .والعديد من الخدمات المصرفية وتجار التجزئة على استعداد لتقبل عدد قليل من الرفض الخاطئ طالما أن عدد مرات الرفض الخاطئ تكون دائما قليلة .معدل القبول يقاس بالنسبة المئوية وهو المعدل الذي يقبل فيه النظام الغرباء كأنهم أشخاص مخولون .القبول الخاطئ هو النوع الثاني من الخطأ (خطأ .)2يسمح خطأ 2بدخول األشرار (السماح بدخول األشرار) ولذلك يعتبر النوع الثاني من الخطأ أهم خطأ في نظم التحكم في الوصول اعتمادا على القياسات الحيوية .وأشهر الطرق المستخدمة على نطاق واسع لقياس دقة المصادقة للقياسات الحيوية يسمى معدل الخطأ المتقاطع ( )CERمبين بالشكل .ومعدل الخطأ المتقاطع هو المعدل الذي يتساوى فيه معدل الرفض الخاطئ مع معدل القبول الخاطئ.
181
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشارات وسجالت الدخول :شارة الدخول اإللكترونية تسمح للفرد بالدخول في المناطق التي لها نقطة دخول آلية .ونقاط الدخول يمكن أن تكون باب أو باب دوار او بوابة أو أي حاجز آخر .تستخدم شارات الدخول اإللكترونية تقنيات مختلفة مثل الشريط الممغنط أو الباركود أو القياسات الحيوية .قارئ البطاقات يق أر عدد مسجل على شارة الدخول .يرسل النظام الرقم إلى الحاسب الذي يعطي صالحيات الدخول بناء على المميزات المعطاة للمستخدم .ثم يقوم النظام بتسجيل مرات الدخول الستخدامها فيما بعد .تحدد التقارير من الذي دخل من نقطة معينة ،ومتى دخل. 7.4.2نظم المراقبة الحرس والموكب المرافق :كل النظم الفيزيائية للتحكم بالوصول والتي تشمل نظم المنع واالكتشاف تعتمد بشكل نهائي على تدخل العمالة إليقاف الهجوم الحقيقي أو إيقاف الدخالء .لتأمين المرافق في نظم المعلومات عالية السرية ،يتحكم الحرس في دخول األماكن المحظورة في الشركة .وميزة استخدام الحرس هي أنهم يستطيعون التكيف مع الحدث أكثر من النظم اآللية. يستطيع الحرس التعلم والتمييز بين الظروف والمواقف المختلفة وأخذ ق اررات فورية ونافذة .الحرس األمني هو الحل األمثل لنظم التحكم عندما يتطلب الموقف رد الفعل الفوري والمناسب .على الرغم من ذلك ،فالحرس ليسوا دائما الحل األمثل .فهناك العديد من العيوب الستخدام حرس االمن منها التكلفة العالية وعدم المقدرة على تسجيل المرور المزدحم للمعلومات .ويضيف استخدام الحرس األمني عيب األخطاء البشرية إلى خليط العيوب السابق. المراقبة اإللكترونية ومراقبة الفيديو :مراقبة الفيديو والمراقبة اإللكترونية تدعم ،وفي بعض األحيان ،تستبدل حرس األمن .وميزة المراقبة اإللكترونية هو المقدرة على مراقبة األماكن حتى إذا لم يوجد فيها حراس أو عمال ،وأيضا يميزها المقدرة على تسجيل وعمل سجل أحداث لفيديوهات المراقبة والملفات ،كل هذا يتم عملة لفترات طويلة .باإلضافة إلى المقدرة على دمج نظم اكتشاف الحركة والتنبيهات .المراقبة اإللكترونية تكون أكثر دقة في التقاط وتسجيل األحداث حتى بعد حدوثها .وميزة أخرى هامة هي أن مراقبة الفيديو تعطي زوايا مختلفة للنظر والتي من الصعب تحقيقها مع الحرس .ويمكن أيضا أن تكون عملية تأمين ومراقبة المحيط الكامل للشركة رخيصة جدا مقارنة بالحرس .وفي بيئات التأمين الهامة ،يجب أن تضع الشركة كاميرات المراقبة على كل المداخل والمخارج أماكن التحميل وآبار الساللم .في معظم األحيان ،مراقبة الفيديو اإللكترونية تعين الحرس البشري. المراقبة الالسلكية وتحديد الهوية بتردد الراديو ( :)RFIDإدارة وتحديد المواقع الفيزيائية ألصول نظام المعلومات هو تحد كبير بالنسبة لكثر من المؤسسات .النمو الكبير في عدد األجهزة المتنقلة وأجهزة األشياء جعل هذه الوظيفة أعقد وأعقد .الوقت الذي يستهلك في البحث عن عتاد هام يمكن أن يتسبب في التأخير أو في زيادة وقت التعطل .استخدام وسوم تحديد الهوية بتردد الراديو ( ) RFIDله أهمية وقيمة كبيرة للفريق األمني بالشركة .تستطيع الشركة وضع قارئي وسم RFIDفي براويز األبواب في المناطق المحظورة لكيال تظهر لألفراد.
182
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يميز استخدام وسوم RFIDمع أجهزة وأشياء الشركة أنها تستطيع تتبع أي شيء يترك فيزيائيا المكان المؤمن .الوسوم الجديدة ألشياء الشركة يمكنها قراءة أكثر من وسم في نفس الوقت .نظام RFIDال يتطلب خط بصري لمسح الوسوم .وميزة أخرى لنظام RFIDهو المقدرة على قراءة الوسوم الغير مرئية .على عكس الباركود والوسوم الظاهرة للعيان التي يجب أن توجد فيزيائيا في المكان ويجب إظهارها ليسهل مسحها ،فإن وسوم RFIDال يجب أن تكون ظاهرة لمسحها .على سبيل المثال ،وسم جهاز الحاسب الموجود تحت المكتب بالباركود يتطلب أن يقوم العامل بالزحف تحت المكتب لتعيين مكان الوسم فيزيائيا وعرضه عند استخدام المسح اليدوي أو المسح بالباركود .استخدام وسوم RFIDيسمح للعمالة بمسح الوسم حتى بدون رؤيته.
ملخص الفصل السابع ناقش هذا الفصل التقنيات والعمليات واإلجراءات التي يستخدمها محترف األمن السيبراني في حماية النظام واألجهزة والبيانات التي تكون البنية التحتية للشبكة .تقوية المضيف يشمل تأمين نظام التشغيل وتثبيت مكافح للفيروسات واستخدام حلول للمضيف مثل الجدار الناري للمضيف ونظام اكتشاف الدخالء للمضيف. تقوية الخادم تشمل إدارة الوصول عن بعد وتأمين الحسابات المميزة ومراقبة الخدمات .حماية البيانات تشمل نظم التحكم في الوصول للملفات وبناء تدابير أمنية للتأكيد على سرية وتماسك وتوافر البيانات. تقوية األجهزة تشمل بناء طرق معتمدة للتأمين الفيزيائي ألجهز الشبكة .حماية النطاق السيبراني الخاص بك هو عملية متتابعة ومستمرة لحماية البنية التحتية للشبكة ويتطلب اليقظة الدائمة عند مراقبة التهديدات.
183
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المصطلحات المستخدمة المصطلح اإلنجليزي
المعنى العربي
Cryptanalysis
علم تحليل الشفرات
Cryptography
علم التشفير
Cipher
شيفرة
Access Control
التحكم في الوصول
Accountability
المسائلة
Identification
التعرف على الهوية
Authorization
التفويض
Authentication
المصادقة
Steganography
االستخفاء
Obfuscation
التشويش
plaintext
النص الصريح
Ciphertext
النص المشفر
Public Domain
المجال العام
Approach
منهاج
مالحظات
برنامج بعدة تعليمات برمجية يخص التشفير
اخترت كلمة استخفاء النها تحتوي على نطق بداية استيجانوجرافي
184
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
Computational Power
الطاقة الحاسوبية
Block cipher
شيفرة الكتل
Stream Cipher
شيفرة التدفق
Data Encryption Standard )(DES
Advanced Encryption )Standard (EAS
معيار تشفير البيانات (دياس) معيار التشفير المتقدم (إياس)
RSA
ريشاد
Unique Identifier
المعرف الفريد
Biometric
مقياس حيوي
Role-based Access Control )(RBAC Mandatory Access Control )(MAC Discretionary Access Control )(DAC
Rule-Based Access Control
التحكم بالوصول بناء على األدوار (أرباك) التحكم اإللزامي في الوصول (ماك) التحكم التقديري في الوصول (داك) نظم التحكم في الوصول بناء على القواعد (قرباك)
Identification
التعريف بالهوية
Verification
التحقق
Privilages
إمتيازات
Mantrap
الشرك
stego-image
صورة-اإلخفاء 185
اليتم االختصار ل ،RBAC وتم استخدام أول حرف في كلمة قواعد
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
shuffling
اللخبطة
Obscuring Signs
إشارات غامضة
Watermarking
الوسم بالماء
HMAC
شيفرة مصادقة الرسالة بالهاش ذا المفتاح ، إتشماك
Integrity
التماسك
Message Digest
ملخص الرسالة
Checksum
التدقيق بالمجموع
SHA
شا
MD5
مد5
man-in-the-middle
الرجل الوسيط
brute-force
الغاشم
Salting
التمليح
Lookup table
جدول بحثي
PRNG
صانع األرقام العشوائية
CSPRNG
صانع األرقام العشوائية والسرية تشفيريا
PKI
)بيكاي " (PKIالبينة التحتية للمفتاح العام"
CA
سلطة اإلصدار
Integer
عدد صحيح
digit
عدد
number
رقم
Consistent
متناسق
Text
نص
String
نصيص (تصغير نص)
186
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
Outlier
متطرف
Redundancy
الزيادة
Resiliance
الرجوعية
high availablity
التوافر الدائم
Mitigation
التلطيف
Outsourcing
التعهيد
RAID
مجموعة متكررة من األقراص المستقلة
)Spanning Tree Protocol(STP
بروتوكول الشجرة الممتدة
Latency
وقت االستجابة
HSRP
بروتوكول الموجه على أهبة االستعداد
VRRP
بروتوكول الزيادة للموجه الوهمي
GLBP
بروتوكول عبارة موازنة األحمال
Gateway
العبارة
switchover
االنقالب
IOS
نظام التشغيل البيني
Startup
بدء التشغيل
Bootset
مجموعة التمهيد
Alert
التنبية
Notification
اإلشعار
Service Pack
حزمة الخدمة
Patch
الرقع
Updates
التحديثات
baseline
خط األساس
Device Hardening
تقوية األجهزة 187
أساسيات األمن السيبراني ()Cybersecurity Essentials
Host-based WEP WPA
إعداد :أسامة حسام الدين
للمضيف خصوصية مكافئ السلكي (خصوصية السلكي) حامي الوصول للواي فاي (حامي الواي فاي)
third party
طرف ثالث
image file
ملف صوري
measures
تدابير
scripts
المخطوطات البرمجية
الدليل النشط
Active Directory
نوافذ الخادم
Windows Server
TKIP
بروتوكول تماسك المفتاح المؤقت
RFID
تحديد الهوية بتردد الراديو
188
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خاتمة رجاء التواصل معي عبر البريد اإللكتروني [email protected]في حالة وجود أي مالحظات أو تعليقات تخص المادة العلمية لتحسينها في اإلصدارات القادمة.
تحياتي أسامة حسام الدين
189
إعداد :أسامة حسام الدين أكاديمية سيسكو بجامعة طيبة
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
اساسيات األمن السيبراني Cybersecurity Essentials 1.1
إعداد :أسامة حسام الدين أكاديمية سيسكو بجامعة طيبة سبتمبر 2017م
2
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
مقـدمــــــــــــــــــــــــة األمن السيبراني هو مجال عام يندرج تحته ثالثة محاور رئيسية ،أمن المعلومات الشخصية وأمن المعلومات داخل الشركات والحرب اإللكترونية .تواجه الشركات واألشخاص مشاكل كثيرة تخص أمن الحاسبات والمعلومات .منها الهجمات السيبرانية التي يقوم بها القراصنة لسرقة المعلومات أو إليقاف الخدمة .فالحاجة متزايدة لفهم كيفية الحماية من تلك الهجمات .وذلك لندرة المتخصصين المحترفين في هذا المجال .هذه الدورة التدريبية تقدم أساسيات األمن السيبراني وكيفية تحقيق الهجمات من قبل القراصنة وكيفية ردع تلك الهجمات. بدأت في إعداد هذا المحتوى الموجود في أكاديمية سيسكو تحت عنوان " "Cybersecurity Essentialsعندما قمت بتدريس مادة أمن الحاسبات والمعلومات لطالب الدبلوم الموازي بكلية علوم وهندسة الحاسبات بجامعة طيبة .وكان الهدف الرئيسي من عملية التلخيص واإلعداد هو تبسيط المحتوى اإلنجليزي والذي ال توجد له نسخة عربية في أكاديمية سيسكو .وقد راعيت أثناء التلخيص البساطة في األسلوب وعدم استخدام الفاظ أو جمل غامضة أو ألفاظ عربية قديمة .وانطالقا من أكاديمية سيسكو بجامعة طيبة ومن حرصي الدائم على تبسيط المعلومة للطالب وبالمساعدة الفعالة من قبل دكتور زهير سليمان مالكي عميد كلية علوم وهندسة الحاسبات بينبع ،بدأت في تلخيص هذا المحتوى تحت إشراف ودعم كال من المهندس هاشم شهوان المدير اإلقليمي لبرنامج أكاديمية سيسكو بالمملكة العربية السعودية واليمن والمهندس محمد خالف مدير مركز الدعم والتدريب بأكاديمية سيسكو .كنت أنهيت في السابق تلخيص محتوى آخر تحت عنوان " "Introduction to Cybersecurityوقاد نالت تلخيصاتي السابقة استحسانهما.
معد المحتوى أسامة حسام الدين
3
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
جدول المحتويات الفصل األول 8........................................................................................................................................... األمن السيبراني :عالم من المحترفين والقراصنة 8................................................................................................. 1.1عالم األمن السيبراني 8 ................................................................................................................................. 1.1.1نطاقات األمن السيبراني 8 ....................................................................................................................... 1.2مهنيو األمن ضد القراصنة (الشرطي ضد السارق) 10 ........................................................................................... 1.2.1المجرمون السيبرانيون 10 ....................................................................................................................... 1.2.2محترفي األمن السيبراني 13 .................................................................................................................... 1.3التهديدات الشائعة 14 ..................................................................................................................................... 1.3.1ساحات التهديد 14 ................................................................................................................................. 1.4إنشار التهديدات 17 ....................................................................................................................................... 1.4.1كيف تنتشر التهديدات 17 ......................................................................................................................... 1.4.2التهديدات المعقدة 19 .............................................................................................................................. 5.1الحصول على خبراء أكثر 21 .......................................................................................................................... 1.5.1إطار القوى العاملة لألمن السيبراني 21 ....................................................................................................... 1.5.2مجتمعات األمن السيبراني عبر األنترنت 22 ................................................................................................. 1.5.3الشهادات المعتمدة في األمن السيبراني 23 .................................................................................................... ملخص الفصل األول25 ................................................................................................................................. : الفصل الثاني27......................................................................................................................................... مكعب األمن السيبراني 27............................................................................................................................. 2.1األبعاد الثالث لمكعب األمن السيبراني 27 ........................................................................................................... 2.2البعد األول -مثلث الحماية األمنية (28 ............................................................................................. )CIA Triad 2.2.1السرية 28 ........................................................................................................................................... 2.2.2التماسك 33 ......................................................................................................................................... 2.2.3التوافر 35 ........................................................................................................................................... 2.3حاالت البيانات 38 ........................................................................................................................................ 2.3.1البيانات الثابتة 38 .................................................................................................................................. 2.3.2البيانات المتنقلة 39 ................................................................................................................................ 2.3.3البيانات أثناء المعالجة 40 ........................................................................................................................ 2.4طرق وأدوات الحماية أو الحراسة 41 ................................................................................................................ 2.4.1التقنيات المستخدمة في الحماية 41 ............................................................................................................. 2.4.2التعلم والتوعية والتدريب 43 .................................................................................................................... 4
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
2.4.3سياسات وإجراءات األمن السيبراني 44 ....................................................................................................... 2.5إطار تقني عام لإلدارة األمنية 47 ..................................................................................................................... 2.5.1نموذج األمن السيبراني أيزو (47 ....................................................................................................... )ISO 2.5.2استخدام نموذج األمن السيبراني أيزو (50 ............................................................................................ )ISO ملخص الفصل الثاني52 ................................................................................................................................. : الفصل الثالث 53........................................................................................................................................ الهجمات السيبرانية الخبيثة 53........................................................................................................................ 3.1البرمجيات الخبيثة 53 .................................................................................................................................... 3.1.1أنواع البرمجيات الخبيثة 53 ..................................................................................................................... 3.1.2هجمات البريد اإللكتروني والمتصفح 56 ...................................................................................................... 3.2الخداع 60 .................................................................................................................................................. 3.2.1فن الخداع 60 ....................................................................................................................................... 3.2.2طرق الخداع 62 ................................................................................................................................... 3.3الهجمات 64 ............................................................................................................................................... 3.3.1أنواع الهجمات السيبرانية 64 .................................................................................................................... 3.3.2هجمات األجهزة الالسلكية والنقالة 69 ......................................................................................................... 3.3.3هجمات التطبيقات 71 ............................................................................................................................. ملخص الفصل الثالث 74 .................................................................................................................................. الفصل الرابع 75........................................................................................................................................ فن حماية األسرار 75................................................................................................................................... 4.1علم التشفير 75 ............................................................................................................................................ 4.1.1مقدمة في التشفير 75 .............................................................................................................................. 4.1.2التشفير المتماثل -التشفير بالمفتاح الخاص 79 ................................................................................................ 4.1.3التشفير الغير متماثل – التشفير بالمفتاح العام 82 ............................................................................................ 4.1.4المقارنة بين نظم التشفير المتماثلة والغير متماثلة 83 ....................................................................................... 4.2التحكم بالوصول 87 ...................................................................................................................................... 4.2.1أنواع نظم التحكم في الوصول 87 .............................................................................................................. 4.2.2استراتيجيات التحكم بالوصول 88 .............................................................................................................. 2.3.4التعريف بالهوية 90 ............................................................................................................................... 4.2.4طرق المصادقة 91 ................................................................................................................................ 4.2.5التفويض 92 ........................................................................................................................................ 4.2.6المسائلة 93 ......................................................................................................................................... 5
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2.7أدوات التحكم باألمن 94 .......................................................................................................................... 4.3تعتيم البيانات 96 ........................................................................................................................ Obscuring 4.3.1تقنع البيانات 96 ..................................................................................................................... Masking 4.3.2االستخفاء96 ............................................................................................................... Steganography 4.3.3تشويش البيانات98 ............................................................................................................ Obfuscation ملخص الفصل الرابع 98 .................................................................................................................................. الفصل الخامس 99...................................................................................................................................... فن حفظ التماسك 99.................................................................................................................................... 5.1أنواع أدوات التحكم في تماسك البيانات 99 .......................................................................................................... 5.1.1خوارزميات الهاش 99 ............................................................................................................................ 5.1.2التمليح 104 ......................................................................................................................................... 5.1.3الهاش ذا المفتاح ،إتشماك (106 ....................................................................................................)HMAC 5.2التوقيع الرقمي 108 ...................................................................................................................................... 5.2.1القوانين والتوقيعات 108 ......................................................................................................................... 5.2.2كيف تعمل تقنية التوقيع الرقمي109 ........................................................................................................... 5.3الشهادات الرقمية 112 ................................................................................................................................... 5.3.1أساسيات الشهادات الرقمية 112 ................................................................................................................ 5.3.2بناء الشهادات الرقمية 114 ...................................................................................................................... 5.4فرض سالمة قواعد البيانات 116 ..................................................................................................................... 5.4.1تماسك قواعد البيانات116 ....................................................................................................................... 5.4.2التحقق من قاعدة البيانات 118 .................................................................................................................. 5.4.3متطلبات تكامل قواعد البيانات 120 ............................................................................................................ ملخص الفصل الخامس121 .............................................................................................................................. الفصل السادس 122 .................................................................................................................................... فن الحفاظ على استمرارية التوافر 122 .............................................................................................................. 6.1التوافر الدائم122 ......................................................................................................................................... 6.1.1مبدأ التسعات الخمس 122 ....................................................................................................................... 6.2معايير زيادة التوافر 125 ............................................................................................................................... 6.2.1إدارة الممتلكات 125 .............................................................................................................................. 6.2.2الدفاع بعمق 130 .................................................................................................................................. 6.2.3الزيادة 131 ......................................................................................................................................... 6.2.4رجوعية النظم 136 ............................................................................................................................... 6
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
6.3االستجابة لألحداث 138 ................................................................................................................................. 6.3.1مراحل االستجابة لألحداث 138 ................................................................................................................ 6.3.2تقنيات االستجابة لألحداث 139 ................................................................................................................. 6.4التعافي من الكوارث 144 ............................................................................................................................... 6.4.1التخطيط للتعافي من الكوارث 144 ............................................................................................................. 6.4.2التخطيط الستمرارية األعمال 146 ............................................................................................................. ملخص الفصل السادس 147 .............................................................................................................................. الفصل السابع 149 ...................................................................................................................................... حماية النطاق السيبراني 149 .......................................................................................................................... 7.1حماية النظم واألجهزة 149 ............................................................................................................................. 7.1.1تقوية الجهاز المضيف 149 ...................................................................................................................... 7.1.2تقوية األجهزة المحمولة والالسلكية 154 ...................................................................................................... 7.1.3حماية بيانات المضيف 156 ..................................................................................................................... 7.1.4التحكم في المحتوى والصور 159 .............................................................................................................. 7.1.5الحماية المادية لمحطات العمل 160 ............................................................................................................ 7.2تقوية الخادم 162 ......................................................................................................................................... 7.2.1الوصول اآلمن عن بعد 162 .................................................................................................................... 7.2.2تدابير إدارة النظم 163 ........................................................................................................................... 7.3تقوية الشبكة 169 ......................................................................................................................................... 7.3.1تأمين أجهزة الشبكة 169 ......................................................................................................................... 7.3.2معدات الصوت والفيديو 177 .................................................................................................................... 7.4األمن الفيزيائي 179 ..................................................................................................................................... 7.4.1التحكم في الوصول الفيزيائي 179 ............................................................................................................. 7.4.2نظم المراقبة 182 .................................................................................................................................. ملخص الفصل السابع183 .................................................................................................................................... المصطلحات المستخدمة 184 ....................................................................................................................................
7
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل األول األمن السيبراني :عالم من المحترفين والقراصنة الكثير من قراصنة الحاسب القدامى بدأوا كهواه أو مبرمجين أو طالب .وكانت البداية في فترة الستينيات .مبدئيا ،كلمة "قرصان" أو "هاكر" كانت تعني األفراد ذوي المهارات البرمجية المتقدمة (لم تأخذ المعنى السيئ بعد) .والقراصنة كانوا يستخدمون مهاراتهم البرمجية المتقدمة في فحص إمكانات وقدرات نظم الحاسب البدائية .وقد انخرط القراصنة في برمجة وتطوير األلعاب في بداياتها .وكانت معظم هذه األلعاب تحتوي على معالج اإلعدادات بنوعية التلقائي ( )wizardryأو الذي يتدخل فيه اختيار المستخدم ( .) wizardوبمرور الوقت وبتطور القرصنة ،تم دمج مفردات هذه األلعاب ومعالجاتها في ثقافة القرصنة .حتى العالم الخارجي (غير عالم المبرمجين) بدأ في إسقاط تلك المعالجات القوية في ثقافة القرصنة المزعومة هذه .فكتاب مثل "أين توقفت معالجات اإلعدادات -بدايات اإلنترنت" Where wizards stay up late- The origins of the Internet والذي تم نشره في عام 1996تم إضافته كمرجع أللغاز القرصنة .واستمرت فكرة استخدام معالجات اإلعدادات في القرصنة حتى يومنا هذا .فكثير من مجموعات القراصنة ال يزالون يستخدمون ذلك التصور القديم .من المهم جدا أن تستطيع فهم الثقافة السيبرانية ليتسنى لك فهم مجرمي العالم السيبراني ومحفزاتهم. سن تزو هو فيلسوف صيني ومحارب عاش في القرن السادس قبل الميالد .وقد كتب تزو كتابه الشهير "فن الحرب" ،وقد كان كتابا نمطيا عن الخطط الحربية لتجنب العدو .وقد أعطي كتابه إرشادات عامة للمحاربين على مر العصور .من اإلرشادات والمبادئ الحربية الهامة التي قدمها تزو مبدأ "اعرف عدوك" .وعلى الرغم من أن تلك المبادئ واإلرشادات كانت في الحروب إال أنه تم تطبيقها في معظم مجاالت الحياة ومنها مجال األمن السيبراني .يبدأ هذا الفصل بشرح بنية عالم األمن السيبراني واألسباب وراء نموه المستمر .ويشرح أيضا هذا الفصل دور مجرمي األمن السيبراني ومحفزاتهم اإلجرامية .وأخي ار يقدم الفصل إرشادات لكيف تصبح متخصص أمن سيبراني (ضابط أمن سيبراني) .فضباط األمن السيبراني دورهم الرئيسي هو محاربة مجرمي األمن السيبراني الذي يهددون العالم السيبراني عبر اإلنترنت.
1.1عالم األمن السيبراني 1.1.1نطاقات األمن السيبراني تعريف النطاق السيبراني :هناك العديد من مجموعات البيانات والتي تكون جزءا مختلفا من العالم السيبراني .عندما تكون المجموعة قادرة على جمع ومعالجة كميات ضخمة من البيانات ،تتزايد لديها تباعا القوة والنفوذ .تلك البيانات من الممكن أن تأخذ شكل الصور ،الفيديو ،الصوت ،أو أي شكل من أشكال البيانات الرقمية .يمكن لتلك المجموعات أن تكون ذا سيطرة تكون نطاق سيبراني جديد. ونفوذ بحيث تستطيع أن تكون كقوة منفصلة والتي ّ
8
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشركات مثل جوجل ،فيسبوك ،ولينكد إن ،ممكن اعتبارها نطاق بيانات في العالم السيبراني .وتباعا يمكن اعتبار األشخاص ذوي الخبرة الذين يعملون في هذه الشركات خبراء أو محترفي األمن السيبراني .وكلمة نطاق تشمل معاني كثيرة ،فالمكان الذي توجد فيه السلطة أو النفوذ أو الحماية يمكن اعتباره نطاق حماية .فكر كيف تحمي الحيوانات البرية منطقة نفوذها "نطاقها" المزعوم .في هذه الدراسة سنشير إلى النطاق على أنه المساحة المراد حمايتها .وتلك المساحة يمكن تحديدها منطقيا أو فيزيائيا. وذلك يعتمد على حجم النظام محل الدراسة .وفي كل األحوال يجب على خبراء األمن السيبراني أن يقوموا بحماية نطاقهم مع اعتبار قوانين الدولة التي يقطنونها. أمثلة على النطاقات السيبرانية :الخبراء في شركة جوجل قاموا بتكوين اعظم نطاق على مستوى عالم اإلنترنت .فماليين األشخاص يستخدمون "جوجل" للبحث في اإلنترنت بصفة يومية .وبذلك تملك جوجل أكبر وأضخم هيكل بياني على مستوى العالم .وجوجل هي المبتكرة لنظام أندرويد والمثبت على أكثر من % 80من األجهزة المتنقلة والمتصلة باألنترنت .وكل جهاز متنقل يطلب من المستخدمين إنشاء حساب إلكتروني على جوجل لكي يتمكن من تسجيل عناوين الزيارة ومعلومات الحساب ويخزن
أيضا
نتائج
البحث
السابقة
ويحدد
الموقع
الجغرافي
للجهاز
المتنقل.
انقر
( )/https://www.google.com/intl/en/about/productsلالطالع على بعض الخدمات التي تقدمها جوجل في الوقت الحالي. فيسبوك هو نطاق آخر قوي في عالم اإلنترنت .وقد أدرك الخبراء في فيسبوك أن المستخدمين من األصدقاء والعائالت يتواصلون فيما بينهم بصفة يومية باستخدام حسابهم الخاص .ولذلك فهم يضعون كمية ال بأس بها من المعلومات الشخصية على حساباتهم الخاصة في فيسبوك .وقد قام الخبراء في فيسبوك بعمل نطاق هائل من البيانات لتمكين المستخدمين من التواصل بسهولة .ويؤثر فيسبوك على حياة ماليين المستخدمين بصفة يومية ويمكن الشركات والمؤسسات من التواصل مع األشخاص والوصول إليهم بصفة شخصية وبشكل مركز. وثالث اكبر هذه النطاقات على اإلنترنت نطاق لينكد إن ،وقد أدرك الخبراء في لينكد إن بأن المستخدمين يشاركون معلوماتهم وسيرتهم الذاتية لإلسهام في بناء شبكة أعمال واسعة النطاق .والمستخدمون يقومون بإنشاء حساب إلكتروني على هذه الشبكة للتواصل مع المستخدمين اآلخرين .فنطاق لنكد إن ييسر للموظفين التواصل مع أصحاب األعمال وللشركات بالتواصل مع شركات أخرى محلية أو حول العالم .ويوجد تشابه كبير بين فيسبوك ولينكد إن. وبالنظر عن كثب لهذه النطاقات يمكن تخمين كيف تم بناءها .فبشكل أساسي ،هذه النطاقات قوية بسبب أن لديها القدرة على جمع أكبر قدر من المعلومات عن المستخدمين من خالل المستخدمين أنفسهم .وهذه البيانات عادة ما تحتوى على خلفية المستخدم (الخلفية الثقافية واالجتماعية) ،المناقشات ،اإلعجاب ،المواقع التي زارها ،الرحالت التي قام بها ،االهتمامات
9
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشخصية ،األصدقاء وأفراد العائلة ،المهن والوظائف ،الهوايات ،جدول األعمال الشخصي .والخبراء في هذه النطاقات يقومون بتوفير هذه المعلومات للمؤسسات والشركات التي تريد أن تفهم زبائنها وموظفيها لتستطيع التواصل والتفاهم معهم بشكل أيسر.
نمو النطاقات السيبرانية :البيانات التي يتم جمعها في اإلنترنت ليست فقط مجرد البيانات التي يدلي بها المستخدمون عن أنفسهم تطوعا .فالنطاقات السيبرانية تستمر في النمو مع استمرار التقدم العلمي والتكنولوجي ،مما يمكن الخبراء وشركاتهم ( جوجل ،فيسبوك ،لينكد إن ،إلخ ) ...من جمع صور أخرى من البيانات .فخبراء األمن السيبراني لديهم األدوات التي تمكنهم من تتبع االتجاهات العالمية للطقس ،مراقبة المحيطات ،ومراقبة حركة وسلوك األشخاص و الحيوانات و األشياء في الوقت الفعلي .وقد تم ابتكار تقنيات جديدة مثل نظم المعلومات الجغرافية GISوإنترنت األشياء ،IoTوهذه التقنيات تستطيع تتبع حالة األشجار التي بالجوار .وتستطيع أيضا هذه التقنيات أن تعطي الموقع الحالي للمركبات ،واألجهزة ،واألفراد والمعدات .وهذا النوع من المعلومات يمكن أن يوفر الطاقة ،ويحسن األداء ،ويقلل المخاطر األمنية .وينتج عن هذه التقنيات زيادة مطردة لحجم البيانات التي يتم جمعها وتحليلها لفهم طبيعة العالم .وهذه البيانات الضخمة التي يتم جمعها بتقنيات GIS, IoTتعطي تحد أكبر لخبراء األمن السيبراني في المستقبل .حيث تمكن هذه التقنيات القراصنة من الوصول السهل والعبث بمقدرات األشخاص في حياتهم اليومية.
1.2مهنيو األمن ضد القراصنة (الشرطي ضد السارق) 1.2.1المجرمون السيبرانيون من هم القراصنة :في السنوات األولى من عالم األمن السيبراني ،كان القراصنة صغار السن وهواه يتسللون من خالل كمبيوتر شخصي بمنازلهم وكان الهدف األساسي من التسلل المضايقة أو التخريب المتعمد .أما اآلن ،أصبح عالم المجرمين السيبرانيين أكثر خطورة .فالمهاجمون القراصنة هم أفراد أو مجموعة متخصصة يقومون بمحاولة استغالل الثغرات األمنية للمنفعة المالية 10
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
أو الشخصية .المجرمون السيبرانيون يهتمون بكل شيء بداية من بطاقة االئتمان مرو ار بتصاميم المنتجات وبراءات االختراع وانتهاء بأي شيء له قيمة.
•
صغار القراصنة – يسمون أحيانا صغار المبرمجين ( )script kiddiesنقصد بصغار هنا ليس صغار السن ولكن صغار الخبرة .فهم عديمو أو قليلو الخبرة ،وهم يستخدمون األدوات والتعليمات المتاحة على اإلنترنت في تحقيق الهجوم .بعض منهم يدفعه الفضول والبعض اآلخر يريد أن يظهر براعته في االختراق والقرصنة .مع أنهم يستخدمون أدوات بدائية ولكن تأثيرها من المحتمل أن يكون شديد الضرر.
•
القراصنة المحترفون : Hackersهم مجموعة من المهاجمين المحترفين يتسللون إلى الجهاز أو الشبكة الضحية بهدف معين .يتم تقسيمهم حسب مقصدهم إلى ثالث أنواع القبعة البيضاء :وفيها يستخدم المهاجم خبرته البرمجية ليقوم بالولوج إلى النظام األمني لشركة إليجاد الثغرات األمنية ،وهذا النوع من الهجمات مصرح به ومعلوم من قبل الشركة الضحية .وهو غالبا ما يؤتي ثماره في زيادة قوة الشركة بعد أن يقوم المهاج م بإخبار الشركة عن نقاط ضعفها األمنية .وأحيانا تقوم الشركة بتوزيع الجوائز مقابل اإلدالء بالثغرات األمنية القبعة السوداء :وهذا النوع من القراصنة يستغل معرفته بالثغرات لمصلحته الشخصية كالسرقة واالبتزاز. القبعة الرمادية :وهي خليط بين النوع األول والنوع الثاني وفيها يقوم المهاجم بالوصول إلى الثغرات (أحيانا عشوائيا) ونشرها ليستفيد بها اآلخرون أو عدم نشرها أساسا .وأحيانا يقوم صاحب القبعة الرمادية بإعالم الشركة عن ثغراتها األمنية لتقوم بتقوية نظامها األمني.
11
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
المنظمات اإلجرامية :وهي عبارة عن مجموعات من القراصنة المنظمين من النشطاء واإلرهابيين وأحيانا يتم دعمهم من قبل الدولة. المجرمون السيبرانيون :هم مجموعة من المجرمين المحترفين يركزون على التحكم والسيطرة والثروة .هم محترفون للغاية ومنظمون جدا .ومن الممكن أن يقوموا بعرض خدماتهم اإلجرامية لغيرهم من المجرمين مقابل المال. المخترقون النشطاء :يقومون بالدفاع عن موقف سياسي لجلب االنتباه لهم ودعم موقفهم السياسي. المخترقون الدوليون :يتم تبنيهم من قبل الدول وتدريبهم على اعلى درجة من التدريب والتعقيد مع تمويلهم بما يلزم من عتاد وبرمجيات .وهجماتهم موجهة لتستفيد بها الدولة الراعية.
محفزات اإلجرام السيبراني (السارق) :المحفزات اإلجرامية للقراصنة تغيرت بمرور السنوات .فقد بدأت القرصنة في الستينات بعملية تشوية الهاتف ( )phone freaking or phreakingوفي هذه العملية يقوم المهاجم باستخدام ترددات صوتية مختلفة للتالعب بنظام الهاتف والتصنت على المحادثات .وفي منتصف الثمانينات ،قام المهاجمون باستخدام مودم االتصال الهاتفي لتوصيل الحاسب بالشبكات واستخدام برنامج تخمين كلمات المرور للوصول الغير مصرح به للبيانات .أما في هذه األيام ،فقد تخطت طموحات القراصنة مجرد سرقة المعلومات .فهم يستخدمون البرمجيات الخبيثة والفيروسات كأسلحة عالية التقنية .ومع ذلك فالمحفز األعظم لكثير من المهاجمين هو المال .وقد لمعت مهنة اإلجرام السيبراني لما تحققه من كسب سريع للمال وفاقت مهنة تهريب المخدرات .وقد تغيرت ملفات المجرمين السيبرانين ومحفزاتهم بشكل ملحوظ .وفيما يلي نعطي تفصيال عن المجرمين السيبرانيون ونوعياتهم المختلفة. •
صغار المبرمجين :وقد لمع هذا المصطلح في سنة 1990ويرجع إلى الشباب أو المراهقين قليلو أو عديمو الخبرة والذين يستخدمون األدوات المتاحة على اإلنترنت في تحقيق الهجمات ،وغالبا ما يكون الدافع هو الفضول وليس كسب المال.
•
المتطوعون :وغالبا ما يكونوا من ذوي القبعات الرمادية والذين يحاولون الوصول إلى الثغرات األمنية في البنوك والمؤسسات بغرض عمل تقرير بالثغرات األمنية في مقابل الجائزة أو المال.
•
النشطاء السياسيون :Hacktivistsوهم قراصنة ذو قبعة رمادية ويحاولون التجمع والتظاهر ضد موقف سياسي أو فكرة اجتماعية .والنشطاء السياسيون يعترضون على الشركات والحكومات بنشر مقاالت وملفات فيديو وتسريب معلومات حساسة .وفي بعض األحيان يقومون بالهجمة الموزعة لقطع الخدمة (.)DDoS
•
القراصنة (مجرمي األمن السيبراني) :Hackersهم أصحاب قبعة سوداء يعملون لحساباتهم الشخصية أو يعملون في مجموعات منظمة .وفي كل عام يقوم القراصنة بسرقة ماليين الدوالرات من المستخدمين والشركات.
12
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
المجرمون الدوليون :من خالل توجه كل شخص ،فمن الممكن أن يكون الشخص في هذا النوع إما ذا قبعة بيضاء أو ذا قبعة سوداء .فهم يحاولون سرقة األسرار الحكومية وتخريب الشبكات .وهدفهم األوحد هو الحكومات األجنبية ،أو المجموعات اإلرهابية ،أو المؤسسات الكبيرة.
1.2.2محترفي األمن السيبراني محفزات العمل كمتخصص أمن سيبراني (الشرطي) :زاد الطلب على مهنة األمن السيبراني مؤخ ار كوظيفة براتب عال مقارنة بالمهن األخرى في مجال تقنية المعلومات ( .)ITوكل التقنيات التي تقوم بعمل نقلة حضارية لألشخاص وتحسين طرق معيشتهم تقوم أيضا بالمقابل بتعريضهم للهجمات .والتقنيات وحدها ال تستطيع منع أو كشف أو الرد أو المعافاة من الحوادث والهجمات اإلجرامية .العوامل التالية تعطي محف ازت المتهان وظيفة ضابط أمن سيبراني: •
المرتبات المرتفعة :المستوى المهارى المطلوب لمتخصص أمن سيبراني جيد ،والقصور في عدد متخصصي األمن السيبراني المحترفين يترجم ذلك كله إلى مرتبات مرتفعة.
•
التنافسية العالية :تكنولوجيا المعلومات دائما في تغير .وهذا التغير يمتد أيضا لمجال األمن السيبراني .والتغير الديناميكي الدائم والمتواصل لمجال األمن السيبراني يعطي تنافسية وتشويق بين طالبي ذلك النوع من الوظائف.
•
عدم االعتماد على المكان :فمتخصص األمن السيبراني يستطيع العمل في أماكن مختلفة ،تحديدا في أي شركة تحتوى على شبكة إلكترونية وبيانات رقمية ،فتلك الوظيفة موجودة عادة في معظم المواقع الجغرافية.
•
ارتباطها بالمجتمع :فمتخصصي األمن السيبراني يستطيعون تقديم الخدمات لمؤسساتهم وبلدانهم ومجتمعاتهم بشكل عام. كما لو كانوا هم أبطال ينقذون الناس من براثن القراصنة ويسعفون في حالة الكوارث.
بشكل عام وظيفة متخصص أمن سيبراني هي وظيفة تنافسية ومربحة ومرتبطة بالمجتمع. ردع القراصنة :إيقاف المهاجمين والمجرمين السيبرانيين عمل شاق إذا ال توجد طريقة موحدة أو سالح محدد لردعهم .وبرغم ذلك فالشركات والحكومات والمؤسسات الدولية بدأت في أخذ خطوات فعالة ومنظمة لتحجيم وإيقاف المجرمين السيبرانيين .وفيما يلي نعرض تلك الجهود الدولية للحد من اإلجرام السيبراني •
قاعدة بيانات الثغرات األمنية :تم عمل قاعدة بيانات شاملة لكل الثغرات المعروفة وبصمات الهجمات (وبصمات الهجمات هي معلومة موحدة يتم تسجيلها عند محاولة الهجوم باستغالل ثغرة أمنية معينة) .تتشارك المؤسسات عالميا قواعد البيانات تلك للحد من الهجمات المعروفة أو محاولة تفاديها أو التقليل من أثرها .ومثال على ذلك (قاعدة بيانات الثغرات واالختراقات الدولية) ) National Common Vulnerabilities and Exposures (CVEوتم إتاحة قاعدة البيانات هذه عالميا وتحمل معظم الثغرات األمنية التي مرت بها الشركات من قبل .يمكن االطالع على قاعدة البيانات على الرابط التالي http://www.cvedetails.com/ 13
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
نظم االكتشاف المبكر :حيث تقوم المؤسسات بإنشاء نظام اكتشاف مبكر من خالل حساسات وأدوات إنذار على الشبكات .وتراقب المؤسسات األهداف الحيوية على الشبكة ،أو تعطي معلومة مزيفة عن األماكن الحيوية أو تفرض وجود أماكن حيوية مزيفة .وهذه األماكن الحيوية عادة ما تكون محل اهتمام القراصنة ،وعندما يتم مهاجمة تلك األماكن الحيوية تق وم تلك األماكن الحيوية بإنذار اآلخرين عن وجود هجوم على الشبكة .ومشروع شبكة العسل ( )Honeynetمثال على خلق نظام إنذار مبكر .والمشروع يوفر خريطة العسل ( )HoneyMapوالتي تعرض خريطة لتمثل الهجمات بالبث الحي. والتسمية بالعسل ترجع إلى فكرة أن العسل يجذب الذباب والناموس فيلتصق به ويموت ،فالقراصنة كالذباب والناموس ينجذبون إلى األماكن الحيوية (المزيفة أحيانا) ويقعون في الفخ لمعرفة كيف يقومون بالهجوم .لرؤية خريطة العسل بالبث المباشر للهجمات يمكن الرجوع إلى الرابط التالي https://www.honeynet.org/node/960
•
مشاركة المعرفة :وتتم فيه مشاركة المعرفة السيبرانية .قطاع األعمال ،والمؤسسات الحكومية ،والدولية تتعاون فيما بينها بمشاركة المعلومات عن الهجمات الحرجة لألماكن الحيوية في البالد من أجل تجنب مزيد من الهجمات في أماكن أخرى من العالم .وكثير من الدول قامت بإنشاء مؤسسات معرفية سيبرانية للتعاون عالميا في ردع الهجمات السيبرانية الرئيسية. وبرنامج InfraGardهو مثال حي لنموذج مشاركة المعرفة السيبرانية .وهو عبارة عن برنامج تعاون بين مكتب التحقيقات الفيدرالي FBIوالقطاع الخاص .والمشتركون ملتزمون بمشاركة المعلومات والخبرات لمنع الهجمات السيبرانية الغاشمة مستقبليا .لمزيد من المعلومات عن هذا البرنامج قم بزيارة الصفحة التالية www.infragard.org
•
بناء معايير مشتركة :يتم بناء معايير إلدارة نظم المعلومات األمنية وتلك المعايير تكون عالمية أو دولية .كمثال على ذلك ISO 27000هو معيار يمثل نموذجا هاما للجهود الدولية في هذا الصدد .وهذا المعيار يعطي إطار عمل لبناء نظام سيبراني آمن داخل المؤسسات/http://www.27000.org .
•
سن قوانين جديدة :فبناء قوانين جديدة يحد من الهجمات السيبرانية واختراقات البيانات .وهذه القوانين تحمل في طياتها عقوبات صارمة لمحاكمة أي مهاجم يقوم بتنفيذ اختراقات غير قانونية .على سبيل المثال مجموعة ISACAتقوم بمتابعة القوانين الموجودة والمتعلقة باألمن السيبراني.
1.3التهديدات الشائعة 1.3.1ساحات التهديد التهديدات التي تواجه المستخدمين :كما قلنا سابقا فإن هناك خبراء مخترعين ذو خيال عال يقومون ببناء نطاقات البيانات على شبكة اإلنترنت .ولديهم المقدرة على اإلحساس بأهمية البيانات والقوة التي تأتي من جمعها .ومن ثم يقومون بهيكلة مؤسساتهم لتقديم الخدمات كما يقومون بحماية المستخدمين من الهجمات السيبرانية .وعادة ما يدرك مهنيو األمن السيبراني خطورة وقوع بيانات المستخدمين في األيدي الخاطئة .التهديدات والثغرات هما أهم عاملين يتم االهتمام بها من قبل محترفي األمن السيبراني .وتوجد حالتان ذا أهمية خاصة:
14
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
عندما يكون التهديد هو احتمال إحداث الضرر من قبل المهاجمين.
•
عندما تكون الثغرة مدخال للهجوم السيبراني.
فمثال ،إذا وقعت البيانات في اليد الخطأ يمكن أن تؤثر بشكل مباشر على خصوصية األفراد ،ويمكن أن تؤثر في رصيدهم البنكي ،أو تعرقل وظيفتهم أو عالقاتهم االجتماعية .سرقة الهوية هو عمل مربح لدى القراصنة ،ومع هذا فإن شركات كبرى مثل جوجل وفيسبوك ليست عرضه للخطر .فالمدارس والمستشفيات والمؤسسات المالية والمؤسسات الحكومية ومقر العمل والتجارة اإللكترونية أكثر عرضة للخطر .ذلك ألن المؤسسات الكبرى مثل جوجل وفيسبوك لديها الموارد لتوظيف خبراء األمن السيبراني على درجة عالية من التدريب والكفاءة بهدف حماية نطاقاتهم .وكلما زادت المؤسسات التي تحمل قواعد بيانات كبيرة للمستخدمين يزيد الطلب تباعا لوجود محترفي أمن سيبراني .ونظ ار ألن معظم المحترفين يتم توظيفهم في الشركات الكبرى، يتبقى القليل منهم لتوظيفهم في المؤسسات الصغرى .ولذلك فإن التهديدات في الشركات الصغرى خطير للغاية فهو يعرض الشركة للخسارة الفادحة في حالة وجود اختراقات أمنية. التهديدات لخدمات اإلنترنت :يوجد العديد من الخدمات األساسية في أي شبكة لكي تعمل ويستفاد منها وباألخص اإلنترنت. من هذه الخدمات ،التوجيه ،والعنونة ،وتسمية نطاقات اإلنترنت ،وإدارة قواعد البيانات .وهذه الخدمات تكون الهدف الرئيسي ألي مهاجم على اإلنترنت .فالمهاجمون يستخدمون تقنية "غربلة الحزم" packet sniffingللتفتيش في سيل البيانات عبر الشبكة .وهذا يعني أن البيانات الحساسة مثل اسم المستخدم ،وكلمة المرور أو رقم البطاقة االئتمانية يكون عرضه للخطر. ومغربلو الشبكة يقومون بمتابعة سيل البيانات على الشبكة بكامله حتى يعثروا على بيانات حساسة .يمكن أن يستخدم المهاجمون نقاط وصول مخادعة وغير آمنة تستخدم لتصفح اإلنترنت عن طريق .WiFiفلو قام المهاجم بوضع تلك النقطة بالقرب من مكان عام مثل مقهى فمن الممكن أن يستخدمه األشخاص بال دراية ويعرضوا بياناتهم ومعلوماتهم الحساسة للخطر عن طريق أن يقوم المهاجم بغربلة بياناتهم عند تصفح اإلنترنت. خدمة اسم النطاق ( )DNSهي خدمة تستخدم لتحويل اسم النطاق مثل www.facebook.comإلى رقم معرف لإلنترنت يسمى IPمثل ،112.132.12.11باختصار تحويل االسم إلى رقم من خالل جدول موجود على خادم أسماء النطاقات، والجدول يوجد به عامودين فقط العمود األول لالسم والثاني لرقم اإلنترنت .IPفلو كان االسم غير موجود في جدول الخادم سيقوم بالتواصل مع خادم نطاقات آخر لمعرفة الرقم المقابل لهذا االسم .وتوجد هجمة صممها المهاجمون موجهة فقط لخوادم اسم النطاق تسمى "تسمم الجداول" حيث يقوم المهاجم بالتالعب في جداول الخوادم ويعدل رقم اإلنترنت IPليكون موجها نحو الجهاز الضحية .وعندما يقوم بتعديل أسماء نطاقات كثيرة لتكون كلها لنفس الرقم (رقم الجهاز الضحية) فتقوم الخوادم جميعها بإغراق جهاز الضحية بالطلبات .فيتعطل الجهاز الضحية وتسقط خدمته.
15
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تقوم الحزم بنقل البيانات على شبكة اإلنترنت .فعنما يتم االتصال بين جهاز مرسل وجهاز مستقبل ،يقوم المهاجم بالتالعب في الحزم المتنقلة بين الطرفين .فإما أن يقوم بتغيير حزمة البيانات الموجودة وإما أن يقوم بحقن حزم بيانات جديدة كجزء من االتصال بين الطرفين .حيث يستفيد المهاجم قطع االتصال أو التصنت عليه .ولذلك يتمكن المهاجم من االستيالء على االتصال والتصنت الغير مصرح به أو يقوم بتعطيل الضحية بحيث ال يستفيد من الخدمة التي تقدمها الشبكة التي يستخدما للتواصل .ويسمي محترفو األمن السيبراني هذا النوع من الهجمات باسم "هجمة الرجل الوسيط" Man-in-the-middle .attack قدمنا هنا فقط نبذه قليلة للغاية عما يتعرض له المستخدمون عند استخدام الخدمات المتوفرة على شبكة اإلنترنت. التهديدات لقطاعات الصناعة :قطاعات الصناعة دائما ما تحتوى على بنية شبكية كاملة ،القطاعات مثل قطاع التصنيع وقطاع الطاقة وقطاع االتصاالت وقطاع المواصالت مبنية على نظام شبكي متكامل .فمثال "الشبكة الذكية" smart grid تحسن من أداء نظم إنتاج وتوزيع الكهرباء .فالشبكة الذكية تحمل الطاقة من المولدات وتقوم بتوزيعها على عدد كبير من العمالء .وتستخدم الشبكة الذكية نظام معلوماتي لميكنة عملية توزيع الكهرباء .وقادة الدول يدركون أن حماية مؤسساتهم من الهجمات يعني بالتبعية حماية اقتصاد الدولة. وفي العقد السابق ،فإن شبكات الهجمات السيبرانية (مثل هجمات شبكة )Stuxnetأكدت أن هذا النوع من الهجوم من الممكن أن يدمر أو يعطل هياكل البيانات في أي دولة .وخصوصا فإن شبكة Stuxnetكانت تهدف بشكل أساسي الهجوم على نظام التحكم اإلشرافي واكتساب البيانات ( )Supervisory Control and Data Acquisition System SCADAلمراقبة والتحكم في العمليات الصناعية .ويتم دمج نظام SCADAكجزء من العمليات الصناعية كما يحدث في مصانع اإلنتاج، والتصنيع ،والطاقة ،ونظم االتصاالت .يمكن االطالع على المزيد عن شبكة Stuxnetعبر الرابط التالي https://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon?langu . age=en ويمكن للهجمة السيبرانية أن تعرقل أو تعطل القطاعات الصناعية مثل قطاع االتصاالت ،وقطاع النقل ،وقطاع انتاج وتوزيع الكهرباء ،كما يمكن أن تعرقل قطاع الخدمات المالية .من المشاكل الرئيسية للقطاعات التي تقوم بدمج نظام SCADAأن مصممو هذا النظام لم يقوموا باعتبار اتصال نظام SCADAبنظام معلوماتي قائم أو شبكة اإلنترنت .ولذلك ،فإنهم لم يراعوا بناء نظام أمن سيبراني مدمج داخل نظام SCADAفي مرحلة بناء النظام .ومثل أي قطاع صناعي ،فإن المؤسسات أدركت أهمية نظام SCADAفي جمع البيانات وتحسين العمليات وتقليل التكلفة .واالتجاه السائد هو استخدام هذا النظام مع نظام معلوماتي قائم (غير معد لمجابهة الهجمات) .وبناء عليه ،فإن هذا يؤدي إلى زيادة الثغرات لذلك القطاع وزيادة احتمال تعرضه للهجمات السيبرانية. 16
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وإمكانية التهديدات المتقدمة والمعقدة الموجودة هذه األيام تتطلب بالتبعية جيل جديد من الكفاءات والخب ارت في مجال األمن السيبراني.
التهديدات لطريقة معيشة األفراد :األمن السيبراني هو الجهد المتواصل لحماية النظم الشبكية والبيانات من الدخول الغير
مصرح به .على المستوى الفردي ،كل شخص ينبغي عليه حماية بياناته وهويته وأجهزته الحاسوبية .على المستوى المؤسسي، فإن مسئولية حماية البيانات وسمعة الشركة والزبائن ،تقع على عاتق موظفي الشركة .على المستوى الدولي ،فإن األمن الدولي
وحماية الشعب والممتلكات هو هدف رئيسي لحكام الدول .ومحترفي األمن السيبراني دائما ما ينخرطون في العمل مع الحكومات في معرفة وإيجاد مصدر البيانات وتجميعها. وفي الواليات المتحدة ،فإن وكالة األمن القومي ( )National Security Agency NSAهي المسئولة عن جمع المعلومات واإلشراف على األنشطة المؤسسية .وقد قامت الوكالة ببناء مركز بيانات ( )Data Centerفقط لمعالجة البيانات التي تزيد
يوميا بشكل مطرد .وفي عام 2015قام الكونجرس األمريكي بتمرير قانون الحرية ( )Freedom Actإلنهاء عملية جمع
بيانات االتصال الهاتفي للمواطنين .إذ كان يتم جمع البيانات عن االتصاالت المرسلة والمستقبلة لألشخاص .وعادة ما يتم
التعارض بين حماية المعيشة اليومية لألف ارد مع حقهم في وجود الخصوصية .ويوجد جهد مضني لعمل توازن بين تلك الحقوق وتأمين المستخدمين عند تصفح اإلنترنت.
1.4إنشار التهديدات 1.4.1كيف تنتشر التهديدات التهديدات الداخلية والخارجية :يمكن تقسيم المهاجمون بشكل عام إلى نوعين رئيسيين مهاجمون داخليون ومهاجمون خارجيون
17
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المهاجمون الداخليون :تأتي هذه الهجمات من الموظفون بالشركة أو من المتعاقدين بها أو الشركاء .تأتي الهجمات متعمدة أو غير متعمدة من هذه الهجمات •
العبث بالبيانات تحت السيطرة
•
تهديد سير العمل الداخلي بالتأثير على الخوادم أو التالعب بالهيكل الشبكي للشركة.
•
تسهيل الهجمات الخارجية بتوصيل وحدة تخزين معدية إلى أجهزة الشركة
•
جلب الهجمات الخارجية عن طريقة فتح بريد إلكتروني معدي والضغط على الروابط بداخله بال وعي
تم التأكيد بالدراسة على أن الهجمات الداخلية لها بالغ األثر في الضرر مقارنة بالهجمات الخارجية .نظ ار ألن المهاجمين هم موظفو الشركة المصرح لهم بالدخول إلى مبنى الشركة واالحتكاك المباشر بالبنية اإللكترونية للشركة .حيث يطلعون على بنية الشبكة وموارد المعلومات والبيانات الحساسة ولهم صالحيات دخول تؤهلهم بالتالعب المباشر بموارد الشركة. المهاجمون الخارجيون :وهم محترفو الهجمات أو صغار المهاجمين الذين يحاول الوصول لموارد الشركة من خارجها .فيبحثون عن ثغرات في النظام األمني للشركة أو استخدام الهندسة االجتماعية للوصول الغير مصرح به للمعلومات الهامة في الشركة.
التهديدات وثغرات األجهزة المتنقلة :في الماضي ،كان الموظفون يستخدمون أجهزة الحاسب الخاصة بالشركة للتوصيل بشبكة
الشركة المحلية .LANويقوم مراقبو الشبكة باإلشراف وتعديل تلك األجهزة لمواكبة المتطلبات األمنية .أما اليوم ،فاألجهزة
المتنقلة مثل جهاز آي فون ،واألجهزة الذكية ،واألجهزة اللوحية ،وآالف من األجهزة األخرى المتنقلة أصبحت كبديل أو امتداد
ألجهزة الحاسوب الشخصية .الكثير والكثير من األشخاص في تزايد مستمر يستخدمون تلك األجهزة المتنقلة في الوصول لشبكة
الشركة .حيث ينمو ما يسمى باتجاه ( )Bring Your Own Device BYODأو "أحضر جهازك الشخصي" وهذا االتجاه 18
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يتيح للمستخدم الوصول إلى معلومات الشركة باستخدام جهازه الخاص .وعدم المقدرة على التحكم والتعديل المركزي لألجهزة المتنقلة هو عامل رئيسي في تزايد التهديدات على الشركة التي تتيح لموظفيها الوصول لشبكة الشركة باستخدام أجهزتهم المتنقلة الخاصة. ظهور تهديدات أنترنت األشياء :إنترنت األشياء ( )IoTهي مجموعة التقنيات التي تتيح اتصال العديد من األجهزة واألشياء باإلنترنت .والتقدم التكنولوجي المصاحب البتكار إنترنت األشياء قد غير البيئة التجارية واالستهالكية للمستخدمين .فهو يتيح
اتصال مليارات األجهزة واألشياء باإلنترنت .من األمثلة على هذه األشياء ،األجهزة الكهربية ،واألقفال ،والمحركات ،وأجهزة
األلعاب والتسلية ،وهناك الكثير والكثير من األشياء .وهذه التكنولوجي تؤثر على كمية البيانات التي يراد حمايتها ( ستكون
بالطبع ضخمة لكثرة األشياء) .المستخدمون يصلون إلى هذه األشياء عن بعد ،والذي يزيد من عدد الشبكات التي يراد حمايتها. ومع بزوغ عالم إنترنت األشياء ،زادت كمية البيانات التي ينبغي حمايتها وإدارتها .فكل توصيالت األشياء هذه ،وكل سعة
تخزينية متوفرة من خالل الحوسبة السحابية أو من خالل التقنية االفتراضية ،يؤدي كل هذا إلى النمو المطرد لحجم البيانات. ونمو حجم البيانات هذا قادنا إلى علم جديد وإلى مجال جديد في عالم االقتصاد واألعمال يسمى بالبيانات الضخمة ( Big )Dataوهو علم يخص ترتيب ومعالجة البيانات الضخمة التي يتم جمعها من األشياء. تأثير البيانات الضخمة :البيانات الضخمة هي نتاج مجموعات البيانات الكبيرة والمعقدة ،والتي تجعل برامج معالجة البيانات االعتيادية غير مناسبة لمعالجة ذلك النوع من البيانات الضخمة .والبيانات الضخمة تعطي التحدي والفرص على محاور ثالث
رئيسية ،هي •
حجم وكمية البيانات
•
سرعة جمع البيانات
•
تعدد نوعية ومصادر البيانات
ويوجد العديد من المؤسسات الكبرى التي تعرضت للقرصنة كما نرى في األخبار .فشركات مثل شركة تارجت ،Targetوهوم ديبوت ،Home Depotوبي بال PayPalهي هدف عام للقراصنة .ونتيجة لذلك ،تحتاج تلك المؤسسات إلى تغيير جذري
في المنتجات األمنية وتصميمات النظم األمنية التي تستخدمها ،فيجب أن يتم ترقية تلك النظم إلى أحدث التكنولوجيا وأحدث الممارسات األمنية .باإلضافة إلى ذلك ،فإن القطاع الحكومي وقطاع الصناعة يقدم كثي ار من التعليمات والتوجيهات الرسمية
والتي تقوم بتقديم طرق حماية أفضل وأدوات أمنية متقدمة للمساعدة في حماية البيانات الضخمة. 1.4.2التهديدات المعقدة
التهديد باألسلحة المتقدمة :الثغرات البرمجية تنتج بشكل أساسي بسبب أخطاء في البرمجة ،أو البروتوكوالت ،أو التهيئة الغير
صحيحة للنظم .وعلى المجرم السيبراني أن يجد فقط ثغرة واحدة من تلك الثغرات .فعلى سبيل المثال ،فهجوم شائع يستخدم
مدخالت غير صحيحة لبرنامج من البرامج من أجل تخريبه أو جعله يعمل بشكل غير صحيح .وعمل البرنامج بشكل غير صحيح هو بمثابة بوابة للوصول للبرنامج والتي من الممكن أن يتم تسريب المعلومات من خاللها. 19
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ويوجد تعقيدات متزايدة للهجمات السيبرانية في يومنا الحاضر .والهجمات الدائمة المتقدمة ( Advanced Persistent ) Threat APTهي عملية قرصنة طويلة المدى تتم بمراقبة هدف معين .وعادة ما يختار القراصنة هذا النوع من الهجوم ( ) APTفي قطاع األعمال أو السياسة .والهجمات الدائمة المتقدمة تتم على فترات زمنية طويلة وعلى درجة عالية من السرية مستخدمة برمجيات خبيثة على درجة عالية من التعقيد. والخوارزميات المستخدمة في الهجمات "خوارزميات الهجمات" تستطيع أن تتبع الناتجة من التقارير الذاتية لألجهزة ،مثل كم الطاقة الذي ينتجه الحاسب ،وتستخدم تلك المعلومات الختيار األهداف أو إظهار تنبيهات خاطئة .كما يمكن لخوارزميات
الهجمات أن تعطل الحاسب بإرغامه على استخدام الذاكرة أو إنهاك وحدة معالجته المركزية .CPUوخوارزميات الهجمات هي أكثر مراوغة ألنها تستغل التصميمات المخصصة لتحسين استهالك الطاقة ،أو الحد من فشل النظام ،أو تحسين كفاءة التشغيل. وأخيرا ،فإن الجيل الجديد من الهجمات يستخدم طرق ذكية الختيار الضحية .ففي الماضي ،كانت تنصب الهجمات دائما على الضحية الضعيفة أو الضحية الساذجة (في البرية ،مثل الخراف المريضة أو البعيدة عن القطيع) .ومع ذلك ،ومع اعتبار الطرق
المتقدمة لكشف وعزل الهجمات السيبرانية ،فيجب أن يحذر القراصنة أكثر وأكثر .حيث ال يمكنهم التضحية فيتم اكتشافهم باك ار وسيقوم ضباط األمن السيبراني بغلق بوابة القلعة على الفور .ونتيجة لذلك فإن كثي ار من تلك الهجمات المعقدة ستنجح فقط لو استطاع المهاجم مطابقة البصمة الرقمية للهدف المطلوب. النطاق األوسع والتأثير المتالحق :إدارة الهوية الفيدرالية ( )Federated Identity Managementيشير إلى أن عديد من
الشركات(مجموعة من الشركات) تتيح لمستخدميها استخدام نفس معلومات التحقق من الهوية للوصول إلى كل الشبكات
الموجودة في شركات المجموعة .وهذا من شأنه توسعة النطاق وزيادة احتمالية حدوث التأثير المتعاقب .والهوية الفيدرالية تربط الهوية اإللكترونية للكائن من خالل نظم منفصلة إلدارة الهوية .فعلى سبيل المثال ،يستطيع الكائن أن يلج إلى محرك البحث
ياهو Yahooمستخدما معلومات التحقق الخاصة بجوجل أو فيسبوك .وهذا مثال على دخول مواقع التواصل االجتماعي. والهدف من الهوية الموحدة ا لفيدرالية وإدارة التحقق من الهوية هو مشاركة المعلومات بشكل تلقائي عبر أسوار القالع .فمن وجهة نظر المستخدم ،هذا يعني استخدام معلومات الولوج مرة واحدة فقط على الشبكة العنكبوتية. يجب أن تقوم مؤسسات إدارة الهوية الفيدرالية بفحص معلومات التحقق من الهوية مع الشركاء .أرقام الضمان االجتماعي، واألسماء ،والعناوين للمستخدمين تعطي الفرصة لقراصنة الهوية اإللكترونية بسرقة المعلومات من الشركاء وارتكاب عمليات الغش .والطريقة الشائعة لحماية الهوية الفيدرالية هي دمج عملية ولوج المستخدمين مع جهاز تحقق معتمد. التأثير على السالمة :مراكز اتصاالت الطوارئ في الواليات المتحدة عرضة للهجمات السيبرانية والتي من الممكن أن تغلق
شبكة اإلسعافات 911مخاطرة بسالمة المواطنين .الهجمة التليفونية لقطع الخدمة ( Telephone Denial of Service )Attack TDoSتستخدم عدة اتصاالت هاتفيه في نفس الوقت مستهدفة شبكة تليفونية محددة بغرض تقويض الشبكة ومنع المستخدمين األبرياء من االستفادة من خدة االتصاالت المتاحة .الجيل الجديد من اتصاالت اإلسعاف 911عرضه أكثر
20
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
للقرصنة بسبب وجود الثغرات حيث أنهم يستخدمون نظام (االتصال الصوتي عبر اإلنترنت )VoIPبدال من خطوط التليفون
األرضي التقليدية .وباإلضافة إلى "الهجمة التليفونية لقطع الخدمة" تكون مراكز االتصال هذه عرضة لنوع آخر من الهجوم
يسمى الهجمة الموزعة لقطع الخدمة ( )Distributed Denial of Service Attackوالذي يستخدم كثير من الحواسيب
تسمى الزومبي إلغراق هدف معين بالطلبات فتتعطل خدمته وال يستفيد منه المستخدمين األبرياء .هناك عديد من الطرق هذه األيام لالتصال بمسعفات ،911منها استخدام تطبيق على الهاتف الذكي أو استخدام "نظام تأمين المنزل".
الوعي المرتفع بهجمات األمن السيبراني :الدفاع ضد الهجمات السيبرانية في بداية الحقبة السيبرانية كانت منخفضة .فطالب في المدرسة الثانوية أو مبرمج صغير يستطيع الوصول الغير مصرح به إلى النظام .واألقطار حول العالم أصبحت ذا وعي
اكبر بتهديدات الهجمات السيبرانية .فالتهديد الذي ينتج من الهجمات السيبرانية يعتلي قمة قائمة التهديدات التي تحيك باألمن واالقتصاد الوطني في معظم الدول.
5.1الحصول على خبراء أكثر 1.5.1إطار القوى العاملة لألمن السيبراني معالجة النقص في متخصصي األمن السيبراني :قام المعهد الوطني للمعايير والتكنولوجيا ( NISTنست) األمريكي بعمل إطار عمل للشركات والمؤسسات التي تحتاج محترفي أمن سيبراني .يمكن اإلطار الشركات من تحديد أنواع المسئوليات الرئيسية
وأسماء الوظائف والمهارات المطلوبة للقوى العاملة .إطار القوى العاملة لألمن السيبراني يصنف ويصف طبيعة العمل في
األمن السيبراني .وهو يوفر لغة مشتركة تحدد طبيعة األمن السيبراني كما تحدد أيضا مجموعة المهام الشائعة والمهارات المطلوبة لتصبح متخصص أمن سيبراني .واإلطار يساعد في تحديد المتطلبات المهنية في األمن السيبراني. إطار القوى العاملة الوطنية لألمن السيبراني :إطار القوى العاملة يصنف العمل في األمن السيبراني إلى سبعة أصناف: .1التشغيل والصيانة :يشمل توفير الدعم واإل دارة والصيانة المطلوبة للتأكيد على أداء نظام تقنية المعلومات والتأكيد على تأمينه. .2الحماية والدفاع :يشمل تعريف وتحليل وتلطيف التهديدات للنظم الداخلية والشبكات. .3التحقيق :يشمل التحقيق في الحوادث السيبرانية والجرائم السيبرانية التي تستهدف موارد نظام تقنية المعلومات. .4التجميع والتشغيل :يشمل عمليات التنكر والخداع المتخصص وجمع المعلومات األمنية. .5التحليل :يشمل المراجعة عالية التخصص وتقييم معلومات األمن السيبراني المجموعة لمعرفة ما إذا كانت نافعة أم ال. .6الرقابة والتطوير :توفر القيادة واإلدارة والتوجهات ألداء عمل األمن السيبراني بشكل فعال. .7توفير األمن :يشمل التصور والتصميم وبناء نظم تقنية معلومات آمنة.
21
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ويوجد في كل فئة العديد من التخصصات الفرعية .وتحدد مجاالت التخصص نوعيات العمل المتشابهة في كل فرع من فروع األمن السيبراني. 1.5.2مجتمعات األمن السيبراني عبر األنترنت المنظمات المهنية :يجب أن يتعاون متخصصي األمن السيبراني مع زمالء المهنة على الدوام .المنظمات التقنية الدولية عادة
ما ترعى ورشة عمل أو مؤتمر .وهذه المنظمات تجعل ممتهني األمن السيبراني دائما ملهمين ومحفزين .نعرض فيما يلي بعض
منظمات األمن الهامة: •
منظمة سيرت ( :)CERTوهو فريق االستجابة لطوارئ الحاسب .وسيرت هي مبادرة ممولة من الواليات المتحدة موجهة للعمل في مجتمع اإلنترنت الكتشاف والتعامل مع عوارض أمن الحاسب .ومركز التنسيق في سيرت ( )CERT/CCينسق
عمليات التواصل بين الخبراء في حاالت طوارئ األمن للمساعدة في منع حدوث نفس الحوادث في المستقبل .وتقوم سيرت أيضا بالتعامل مع حوادث األمن الرئيسية وتحليل ثغرات المنتجات .تقوم سيرت أيضا بإدارة التغيرات التي تحدث للتقنيات المتقدمة للدخالء وتذليل صعوبة اكتشاف الهجمات والقبض على المهاجمين .وتقوم المنظمة بتطوير وترقية استخدام التقنيات والنظم واإلجراءات اإلدارية بالشكل المناسب لمقاومة الهجمات على نظم الشبكات والحد من التخريب والتأكيد على استم اررية الخدمات. •
معهد سانس ( :)SANSهو اسم معهد يتخصص في إدارة النظم والمراقبة ألمن الشبكة ،تكون موارد المعهد متاحة بشكل كبير مجانا عند الطلب .ويشمل مركز العواصف ) (Storm Centerالمشهور ،ونظام التحذيرات المبكرة لإلنترنت ( ،)NewsBitesوملخص األخبار األسبوعي ( ،)@RISKوملخص أخبار الثغرات األسبوعي ،وإضاءات تنبيهات األمن. باإلضافة ألكثر من 1200أوراق بحثية أصلية حاصلة على جوائز .ويوفر معهد سانس أيضا دورات أمنية.
•
مؤسسة متري ( :)MITREمؤسسة متري لديها قائمة االستغالل والثغرات تسمى ( )CVEتستخدم من قبل المنظمات األمنية المرموقة.
•
منظمة فيرست ( :)FIRSTمنتدى االستجابة للحوادث وفرق األمن ( )FIRSTهو منظمة أمنية تجمع معا العديد من فرق االستجابة لحوادث أمن الحاسب من الحكومات ومن الصناعة ومن المنظمات التعليمية لدعم التعاون وتنظم مشاركة المعلومات ومنع الحوادث وردود األفعال السريعة.
•
منظمة أمن نظم المعلومات ( :)InfoSysSecهي منظمة أمن الشبكات التي تستضيف بوابة األخبار وتوفر آخر األخبار المتعلقة بالتنبيهات واالستغالل والثغرات.
•
االتحاد الدولي لشهادة أمن نظم المعلومات :)ISC(2يعطي هذا االتحاد منتجات تعليمية محايدة (مثال شهادات سيسكو خاصة بسيسكو ومنتجاتها ،اما هذا االتحاد فهو يعطي شهادات غير معتمدة على منتجات شركة معينة) وخدمات توظيف
في أكثر من 135دولة حول العالم ألكثر من 75000محترف .والهدف الرئيسي لهذا االتحاد هو جعل العالم السيبراني 22
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
مكان آمن بنقل أمن المعلومات للمستوى العام ،ودعم وتطوير شبكة محترفي األمن السيبراني حول العالم .كما أن االتحاد يعطي شهادات معتمدة عن امن المعلومات مثل شهادة محترف أمن نظم المعلومات (.)CISSP •
منظمة : MS-ISACتركز المؤسسة بشكل أساسي على الوقاية والحماية والرد والتعافي من التهديدات السيبرانية التي تصيب الحكومات على مستوى المدينة والمحافظة والقرية .مركز عمليات األمن السيبراني MS-ISAC 24x7يوفر إشراف وقتي على الشبكات والتحذيرات والنصح المبكر للتهديدات السيبرانية وتعريف الثغرات والتخفيف والرد على األحداث.
منظمات طالب األمن السيبراني والمنافسات :يجب أن يكون لدى متخصصي األمن السيبراني نفس المهارات التي يمتلكها
المهاجمين ،وخصوصا القراصنة ذوي القبعة السوداء ،وذلك لزيادة المقدرة على صد الهجمات .كيف يمكن للفرد بناء مهاراته
وصقلها بالتدريب؟ تلك المهارات التي يحتاجها ألن يكون متخصص أمن سيبراني .المنافسات المهارية للطالب هي من أفضل الطرق لبناء المهارات والقدرات المعرفية الخاصة باألمن السيبراني .يوجد العديد من المنافسات المهارية الوطنية في األمن
السيبراني متا حة لطالب األمن السيبراني ،فيما يلي قائمة منافسات األمن السيبراني للطالب والمنظمات والنوادي التي تقيم ذلك النوع من المسابقات: •
السيبر الوطني : cyberpatriotعلى الرابط التالي /https://www.uscyberpatriot.org
•
المهارات األمريكية :Skills USعلى الرابط التالي /http://www.skillsusa.org
•
منافسة السيبر :USCCعلى الرابط /http://www.uscyberchallenge.org
•
الدوري السيبراني الوطني :NCLعلى الرابط التالي /https://www.nationalcyberleague.org
1.5.3الشهادات المعتمدة في األمن السيبراني شهادات الصناعة :في عالم تهديدات األمن السيبراني ،تظهر الحاجة الماسة لمحترفي أمن سيبراني ذات معرفة قوية ومهارات عالية .وصناعة تقنية المعلومات أقامت العديد من المعايير لقياس مدى مهارة متخصص األمن السيبراني وذلك بناء على
الحصول على شهادات معينة يمكن من خاللها تحديد المستوى المهاري والمعرفي لمتخصص األمن السيبراني وهذه الشهادات هي: •
شهادة : CompTIA Security+شهادة Security+هي شهادة متخصصة في األمن السيراني تصدر من قبل منظمة . CompTIAوهي منظمة تدعم برنامج اختبارات متخصصة للحصول على شهادات في إدارة نظم تقنية المعلومات وضمان المعلوماـت .يغطي اختبار Security+أهم المبادئ لتأمين الشبكات وإدارة المخاطر ،وتشمل التعريف أيضا بالمخاوف المرتبطة بمجال الحوسبة السحابية.
23
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
شهادة الهاكر الخلوق ( :)CEHمعتمدة من قبل مجلس إك ( .)EC-Councilهذه الشهادة متوسطة المستوى تؤكد على أن متخصص األمن السيبراني الذي حصل على هذه الشهادة يمتلك المهارات والمعرفة لمعظم ممارسات القرصنة .يستخدم
هؤال ء المتخصصين في األمن السيبراني نفس المهارات والتقنيات التي يستخدمها المجرمين الكتشاف ثغرات األنظمة ومناطق الدخول الضعيفة للنظم المختلفة. •
شهادة معهد سانس ألساسيات األمن ( :)GSECشهادة معهد سانس هي االختيار األفضل للمستوى المبتدئ .وتعطي توثيق لمتخصص األمن السيبراني بأنه يستطيع فهم مصطلحات ومفاهيم األمن السيبراني ولديه المهارات والخبرات التي تؤهله لألدوار األساسية في مجال األمن السيراني .وبرنامج معهد سانس المسمى ( )GIACيعطي العديد من الشهادات
األخرى في مجال إدارة أمن المعلومات والتحقيق الجنائي والمراقبة. •
شهادة محترف أمن نظم المعلومات ( :)CISSPوتعطي هذه الشهادة من قبل االتحاد الدولي لشهادات أمن نظم المعلومات . ISC2وشهادة CISSPهي شهادة غير معتمدة على شركة معينة مخصصة لتوثيق احتراف مهارات األمن السيبراني ويمتلك الحاصلون عليها الخبرات التقنية واإلدارية الالزمة الحتراف مجال نظم المعلومات .وقد تم اعتماد هذه الشهادة رسميا من قبل و ازرة الدفاع األمريكية ( )DoDوهي شهادة معروفة دوليا في قطاعات الصناعة.
•
شهادة مدير أمن المعلومات ( :)CISMتقدم هذه الشهادة جمعية إزاكا ( .)ISACAأبطال األمن السيبراني المسئولون عن
إدارة وتطوير واألشراف على نظم أمن المعلومات على المستوى المؤسسي ،أو هؤالء األشخاص الذين يطورون أفضل
الممارسات األمنية ،كل هؤالء مؤهلون لنيل هذه الشهادة .والحاصلين على هذه الشهادة لديهم المهارات المتقدمة في مجال إدارة المخاطر األمنية. الشهادات التي ترعاها شركة :ميزة أخرى هامة جدا لمتخصصي األمن السيبراني هي شهادات الشركات .مثل شهادة أمن المعلومات المقدمة من سيسكو وهواوي وميكروسوفت .وهذه الشهادة تقيس مدى المعرفة والتنافسية في تركيب وتهيئة
وإصالح منتجات الشركة .فشركة سيسكو وشركة ميكروسوفت تعطي شهادات الختبار مدى المعرفة بمنتجاتها .أضغط على الرابط https://learningnetwork.cisco.com/community/certificationsالستعراض مصفوفة الشهادات الموجودة في الشكل •
شهادة مشارك في أمن الشبكات من سيسكو ( :)CCNA Securityوهذه الشهادة تختبر ما إذا كان متخصص األمن السيبراني
لديه
المعرفة
والمهارات
الالزمة
لتأمين
شبكات
سيسكو.
اضغط
على
الرابط
https://learningnetwork.cisco.com/community/certifications/security_ccnaلتتعلم أكثر عن شهادة .CCNA Security
24
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كيف تصبح خبير أمن السيبراني :لكي تصبح متخصصا ناجا في مجال األمن السيبراني ،يجب أن تهتم بالمتطلبات الفريدة.
فأبطال األمن السيبراني يجب أن تكون لديهم المقدرة على الرد على التهديدات عندما تحدث مباشرة .هذا يعني أن ساعات العمل من الممكن أن تكون غير مريحة .يقوم أبطال األمن السيبراني أيضا بتحليل السياسة األمنية واالتجاهات والخطط الذكية
لفهم كيف يفكر القراصنة .وفي معظم األحيان ،هذا يتطلب الكثير من عمل االستكشافات والتحريات .التوصيات التالية ستساعد في زيادة طموح متخصصي األمن السيبراني لتحقيق أهدافهم: •
الدراسة :تعلم األساسيات باستكمال دورات في مجال تقنية المعلومات .اجعل لنفسك خطة حياتية تعليمية .فمجال األمن
•
استكمال الشهادات :الشهادات الصناعية والتي ترعاها شركة معينة مثل ميكروسوفت وسيسكو تثبت أن الشخص يمتلك
السيبراني هو مجال متغير دائما ومتخصصي األمن السيبراني يجب أن يكون يقظين دائما وعلى دراية بآخر المستجدات.
المعرفة الالزمة عند بحثه عن وظيفة في مجال األمن السيبراني. •
البحث عن منح تدريبية :البحث عن منح تدريبية كطالب يمكن أن ينتج عنها فرص عمل تظهر في طريق التدريب.
•
التحق بالمنظمات االحترافية :التحق بمنظمات األمن السيبراني ،احضر االجتماعات والمؤتمرات ،وادخل لمنتدياتهم ومدوناتهم الكتساب الخبرات من الخبراء القدامى.
ملخص الفصل األول: قمنا في هذا الفصل بشرح الهيكل العام لعالم األمن السيبراني واألسباب التي تجعله في نمو متزايد باعتبار البيانات والمعلومات كعملة هامة .وفي هذا الفصل عرضنا أيضا لدور المجرمين السيبرانيين بدراسة المحفزات الرتكاب جرائم األمن السيبراني. وقدمنا النتشار التهديدات بسبب التوسعات والنقالت التقنية التي تحدث حول العالم.
25
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
أخيرا ،قدمنا في هذا الفصل للطرق التي تؤهلك لتكون متخصص أمن سيبراني أو ضابط أمن سيبراني لتساعد في ردع
المجرمين السيبرانيين الذين يقومون بالتهديدات السيبرانية .يجب أن تكون في الجانب الصحيح من القانون ،والخبراء في مجال
األمن السيبراني يجب أن تكون لديهم نفس المهارات التي يملكها القراصنة.
26
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الثاني مكعب األمن السيبراني يمكن وصف محترفي األمن السيبراني بأنهم الخبراء المخولون بحماية الفضاء السيبراني .يعتبر جون ماكومبر John McCumberواحد من أوائل المحترفين في مجال األمن السيبراني ،وقد ابتكر إطار عام يسمى مكعب ماكومبر .ويستخدم هذا ا لمكعب كأداة عند إدارة نظم الحماية للشبكات أو النطاقات أو اإلنترنت بشكل عام .ويشبه مكعب األمن السيبراني إلى حد ما مكعب روبيك. المكعب له ثالثة أبعاد ،البعد األول يحتوى على المبادئ الثالث الرئيسية ألمن المعلومات .ويشير خبراء األمن السيبراني إلى تلك المبادئ الثالث باسم مثلث الحماية األمنية أو " ."CIA Triadوالبعد الثاني يعرف الحاالت الثالث للبيانات أو المعلومات. ويقدم البعد الثالث الخبرات المطلوبة لتوفير الحماية وتلك الخبرات يتم اإلشارة إليها بالثالث فئات من حماة األمن السيبراني. يقدم هذا الفصل أيضا معيار ISOكنموذج أمن سيبراني .وهذا النموذج يمثل إطار دولي كمعيار إلدارة نظم المعلومات.
2.1األبعاد الثالث لمكعب األمن السيبراني البعد األول – مبادئ أمن المعلوماتِ : يعرف البعد األول لمكعب األمن السيبراني األهداف لحماية الفضاء السيبراني .واألهداف التي يقدمها البعد األول هي مبادئ وأهداف أساسية .وهذه المبادئ الثالث الرئيسية هي السرية Confidentiality والتماسك Integrityوالتوافر .Availabilityوهذه المبادئ تزيد من وعي متخصصي األمن االسيبراني وتمكنهم من ترتيب ردود الفعل عند حماية أي نظام شبكي .وتعود السرية إلى منع اإلفصاح عن المعلومات إال لشخص لدية صالحية ،ممكن أن يكون صاحب الصالحية شخصا أو برنامجا أو موردا من الموارد .والتماسك يشير إلى الدقة والتناسق ودرجة الثقة بالبيانات. 27
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وأخي ار التوافر يؤكد على توفير صالحية االستخدام للمستخدمين عند الحاجة .يمكنك استخدام الحروف األوائل من كل اسم وهي "سر تم تو" لتتذكر دائما تلك المبادئ. البعد الثاني – حالة البيانات :الفضاء السيبراني يحتوى على كمية ال بأس بها من البيانات الهامة والحيوية ،لذلك ،فخبراء األمن السيبراني يركزون على حماية البيانات .البعد الثاني من أبعاد مكعب األمن السيبراني يركز على المشاكل الخاصة بحماية البيانات في حاالتها الثالث •
البيانات المتنقلة Transmission
•
البيانات الثابتة أو المخزنة Storage
•
البيانات أثناء المعالجة Processing
وحماية الفضاء السيبراني يتطلب محترفي أمن سيبراني يمكن االعتماد عليهم في حراسة البيانات في حاالتها الثالث. البعد الثالث – حراسة األمن السيبراني :البعد الثالث من أبعاد مكعب األمن السيبراني يعرف المهارات والضوابط والتي يمكن ألي متخصص أمن سيبراني أن يستخدمها في حماية الفضاء السيبراني .ويجب أن يستخدم محترفي األمن السيبراني العديد من الضوابط واإلرشادات ال متاحة لهم عند حماية البيانات في الفضاء السيبراني .ويجب أن يقوموا بذلك مع احتفاظهم في مكانهم على الجانب الصحيح من القانون (عدم تخطي القانون). ومكعب األمن السيبراني يعرف أنواع المهارات والضوابط التي توفر الحماية .أولى هذه المهارات يشمل استخدام التكنولوجيا، واألجهزة ،والمنتجات المتاحة لحماية نظم المعلومات وردع مجرمي الفضاء السيبراني .يشتهر محترفي األمن السيبراني بأنهم محترفي استخدام التكنولوجيا واألدوات الحديثة والمتوفرة تحت تصرفهم .وعلى الرغم من ذلك ،يذكرهم ماكومبر بأن األدوات الحديثة وحدها ليست كافية لردع مجرمي الفضاء السيبراني .إذ يجب أن يقوم محترفي األمن السيبراني ببناء دفاع قوي بوضع سياسات و إجراءات وإرشادات والتي تمكن المستخدمين في الفضاء السيبراني من البقاء بأمان .وأخيرا ،يجب أن يسعى المستخدمين في الفضاء السيبراني ليكونوا أكثر معرفة ودراية بالتهديدات في الفضاء السيبراني بإنشاء ثقافة التعلم والتوعية.
2.2البعد األول -مثلث الحماية األمنية ()CIA Triad 2.2.1السرية السرية تعني منع اإلفصاح عن المعلومات إال لألشخاص أو الموارد أو البرامج ذات الصالحية .يمكن تعريف السرية أيضا بأنها تحجيم الوصول للموارد لتكون مقصورة فقط على المشغلين ذوي الصالحيات حيث يستطيعون استخدام البيانات أو أي مورد آخر من موارد الشبكة .على سبيل المثال ،يجب أن ال تكون لدى المبرمج صالحية الوصول لجميع المعلومات الشخصية للموظفين داخل الشركة .ويجب أن تقوم الشركة بتدريب الموظفين وتعريفهم بأفضل الممارسات لحراسة المعلومات الحساسة وحماية أنفسهم وشركتهم من الهجمات .والطرق المستخدمة لتأكيد السرية هي تشفير البيانات والمصادقة authenticationو التحكم في الوصول access control 28
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حماية السرية :تحمل المؤسسات كمية ضخمة من المعلومات والبيانات .معظم هذه البيانات ليست حساسة وتتم مشاركتها على المأل ،مثل األسماء وأرقام التليفونات .باإلضافة إلى البيانات المتوفرة للجميع ،توجد أيضا بيانات حساسة .البيانات الحساسة يجب حمايتها من الوصول الغير مصرح به لتأمين األفراد وتأمين الشركة بشكل عام .يمكن تقسيم البيانات الحساسة إلى ثالثة أنواع •
المعلومات الشخصية والتي تسمى "معلومات التعرف الشخصية" أو Personally Identifiable Information PIIهي بيانات تخص األفراد .مثل oرقم الحماية االجتماعية social security number o
السجالت الطبية (التاريخ المرضي)
oأرقام بطاقات االئتمان oالسجالت المالية (الرواتب والحوافز والمكافئات والخصومات). •
معلومات األعمال وهي المعلومات التي تشمل أي بيان يشكل خط ار على المؤسسة إذا ما تم توفيره للعامة أو للشركات المنافسة .من األمثلة على ذلك oاألسرار التجارية
oخطط االستحواذ على السوق oالبيانات المالية
oمعلومات العمالء •
المعلومات المصنفة وهي المعلومات التي تخص هيكل حكومي ويتم تصنيف تلك المعلومات إلى عدة مستويات من الحساسية وهذه المستويات هي oسري للغاية oسري
oخاص confidential oمقيد السرية -التحكم في الوصول :يعرف التحكم في الوصول على أنه عدد من مخططات الحماية والتي تمنع الوصول الغير مصرح به إلى جهاز الحاسب أو شبكة الحاسب أو قاعدة البيانات أو أي مورد آخر .ويرجع مبدأ ( AAAسنقوم بتسميته مبدأ "المنح" و "المتابعة" وتلك الخدمات تقدم اإلطار العام للتحكم في "م م م" ) إلى ثالث خدمات أمنية رئيسية وهي "المصادقة" و ْ الوصول. الميم األولى في مبدأ "م م م" تعود إلى كلمة المصادقة .والمصادقة تعني التحقق من هوية المستخدم لمنع الوصول الغير مصرح به .يمكن للمستخدم أن يثبت هويته باستخدام "اسم مستخدم" أو رقم هوية .باإلضافة إلى أن المستخدم يمكنه استخدام طرق أخرى إلثبات شخصيته أو إثبات هويته هذه الطرق (الموجودة في الشكل) هي 29
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
استخدام شيئا يعرفه (مثل كلمة المرور)
•
استخدام شيئا يملكه (مثل المفتاح أو البطاقة)
•
استخدام شيئا بجسده ( مثل بصمة األصابع)
إعداد :أسامة حسام الدين
فعلى سبيل المثال ،إذا ذهبت إلى ماكينة صرف األموال ،يجب أن يكون لديك بطاقة البنك (شيئا تملكه) وأيضا يجب أن تحفظ رقم الم رور (شيئا تعرفه) .ويعرف هذا أيضا بـ "المصادقة بأكثر من عامل" .والمصادقة بأكثر من عامل تتطلب أكثر من طريقة مثل استخدام كلمة السر مع رقم سري للجوال ،وأيضا استخدام رقم سري مع بطاقة وهكذا ....أكثر أنواع المصادقة شهرة هي المصادقة باستخدام كلمات السر.
الميم الثانية في مبدأ "م م م" تعود إلى كلمة المنح ،ويسمى أيضا التفويض ، authorizationوهدفها هو منح أو إعطاء المستخدم صالحيات الدخول على الموارد ،فهي تعرف الموارد التي يستطيع المستخدم الوصول إليها ونوع ذلك الوصول (قراءة، كتابة ،حذف )... ،باإلضافة إلى العمليات التي يستطيع المستخدم القيام بها .وتقوم معظم البرمجيات بإعطاء الصالحيات باستخدام "قائمة التحكم في الوصول" Access Control List ACLكما هو مبين في الشكل .وقائمة التحكم في الوصول ACLتحدد ما إذا كان المستخدم لديه صالحيات أو امتيازات وذلك التحديد يتم مباشرة بعد عملية المصادقة .مثال تعطي القائمة صالحية مثل "ليس معنى انك تستطيع الدخول إلى شبكة الحاسب بالشركة أنه يمكنك استخدام طابعة األلوان عالية السرعة" .يمكن أيضا أن يكون المنح زمانيا ،بمعنى أنه يمكن التحكم في منح الصالحية فقط في أوقات العمل الرسمية .مثال يستطيع الموظفون الوصول إلى قاعدة بيانات المبيعات في الشركة فقط أثناء ساعات العمل الرسمية ويقوم النظام بعمل إقفال (تعطيل الصالحيات) بعد ساعات العمل الرسمية.
30
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الميم الثالثة في مبدأ "م م م " تعود إلى كلمة المتابعة ،Accountingوهي تعني متابعة ما يفعله المستخدمون ،ويشمل ذلك ما يمكن للمستخدمين الوصول إليه ،والوقت الذي استغرقه المستخدم في استخدام مورد ما ،وأي تعديالت أو تغيرات تتم على النظام ومن قام بها .على سبيل المثال ،يقوم البنك بتقصي أثر العمليات التي يقوم بها العميل .ونظام المتابعة يقوم بالكشف عن الوقت وقيمة كل عملية تتم (سحب ،إيداع ،تحويل ....الخ) وهل قام بها موظف البنك أم العميل نفسه .وخدمات المتابعة في األمن السيبراني تعمل بنفس الطريقة .حيث يقوم النظام بتتبع كل العمليات على البيانات ويعطي نتائج المتابعة .يمكن لمدير النظام أن يقوم بإنشاء مجموعة من السياسات التي تمكن النظام من عملية المتابعة (كما هو مبين بالشكل)
مبدأ "م م م" يشبه استخدام البطاقة االئتمانية ،كما نرى في الشكل التالي .حيث تتم "المصادقة" التي تعرف صاحب البطاقة واسمه ورقم البطاقة باستخدام البيانات الموجودة على البطاقة نفسها .ويتم "المنح" باستخدام الرصيد المسجل فلو الرصيد المسجل لتلك البطاقة هو 10آلف دوالر فيتم منح صالحية سحب األموال حتى نفاذ الرصيد بعدها تسحب صالحية السحب. أما عملية "المتابعة" يمكن تعريفها بأنها كشف الحساب الذي يسجل عمليات السحب والشراء على اإلنترنت ووقت وقيمة كل عملية.
31
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يوجد أيضا عمليات للمتابعة واإلشراف في الوقت الفعلي (البث المباشر) .المواقع مثل موقع Norseتقوم بعرض الهجمات بالبث المباشر بناء على بيانات مجمعة كجزء من نظام متابعة أو إشراف .انقر على الرابط التالي لزيارة موقع نورس والذي يعرض نظام تتبع بالبث الحي /http://map.norsecorp.com السرية -القوانين والمسئوليات :Policiesيمكن استخدام كلمتي السرية والخصوصية بشكل مترادف ،ولكن من الناحية القانونية هما شيئين مختلفين .فمعظم بيانات الخصوصية هي سرية ،ولكن ليس كل البيانات السرية خاصة .والوصول للمعلومات السرية يحدث فقط بعد التأكيد على عملية مصادقة ناجحة .المؤسسات المالية والمستشفيات والهيئات الطبية والمؤسسات القانونية وقطاع األعمال لديهم معلومات سرية .والمعلومات السرية ليست متاحة للجميع .وإدارة سرية المعلومات له جانب أخالقي. أما الخصوصية فتعني االستخدام األمثل للبيانات .عندما تجمع المؤسسات معلومات المستخدمين والعمالء والموظفين ،يجب أن تقوم تلك المؤسسات باستخدام البيانات في الغرض المخصصة له فقط .بعض المؤسسات يطلبون من العمالء والموظفين توقيع تصريح استخدام للبيانات قبل أن تقوم الشركة باستخدام تلك البيانات في غرض غير متفق عليه. قائمة القوانين التالية تعطي بديهيات للتعامل مع بيانات الخصوصية والتي تحتوي على قوانين الخصوصية المستخدمة داخل الواليات المتحدة.
32
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
قانون الخصوصية لعام 1974
•
قانون تعليم األسرة وقانون الخصوصية (فيربا)
•
قانون مكافحة االحتيال والتعدي على الكمبيوتر في الواليات المتحدة (كفا)
•
قانون حماية خصوصية األطفال في الواليات المتحدة (كوبا)
•
القواعد واألنظمة المصرفية األمريكية
•
قانون التقارير االئتمانية العادلة (فكرا)
والقائمة التالية تعطي نبذه عن الجهود الدولية والقوانين الدولية الخاصة بحماية الخصوصية .ومعظم القوانين ظهرت بسبب النمو الهائل للبيانات التي يتم جمعها من اإلنترنت. •
قانون حماية المعلومات الشخصية والوثائق اإللكترونية (كندا)
•
قانون حماية الكمبيوتر في معالجة المعلومات الشخصية (الصين)
•
قانون حماية المعلومات الشخصية (اليابان)
•
اتفاقية حماية األفراد فيما يتعلق بالمعالجة اآللية للبيانات الشخصية (روسيا)
•
المادة 8االتفاقية األوروبية لحقوق اإلنسان (المملكة المتحدة)
2.2.2التماسك التماسك يعرف بأنه الدقة أو التناسق أو الثقة في البيانات خالل دورة حياتها الكاملة .يمكن أيضا تعريف التماسك بأنه الجودة. يتم تنفيذ عد د من العمليات على البيانات مثل تجميع البيانات وتخزينها و استرجاعها و تعديلها و نقلها من مكان إلى مكان. يجب أن تحفظ البيانات بال تغيير أثناء كل هذه المراحل حتى لو حاولت الوحدات (أشخاص أو برامج) التي ليس لديها صالحية ،الوصول لتلك البيانات .الطرق المختلفة للتأكيد على وجود التماسك تشمل الهاش ،Hashingنظم التحقق من صحة البيانات ،نظم التحقق من تناسق البيانات ،ونظم التحكم في الوصول .ونظم التماسك للبيانات يمكن أن تحتوي على واحدة أو أكثر من طرق التأكيد على وجود التماسك. الحاجة لتماسك البيانات :تماسك البيانات هو مكون أساسي في نظم أمن المعلومات .وتختلف الحاجة لتماسك البيانات باختالف طريقة استخدام المؤسسة للبيانات .فعلى سبيل المثال ،ال يقوم فيسبوك بالتحقق من صحة البيانات التي يضعها المستخدم في مشاركاته .المؤسسات البنكية والمالية تعطي أهمية لتماسك البيانات أكثر مما تعطيه فيسبوك لعمالئها .المعامالت وحسابات العميل يجب أن تظل صحيحة .وفي المؤسسات الصحية يمكن أن يكون تماسك البيانات مسألة حياة أو موت. فالوصفات الطبية (الروشتة) يجب أن تحفظ وال يتم العبث بها.
33
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حماية تماسك البيانات هو تحد دائم لدى معظم المؤسسات .ففقدان تماسك البيانات يمكن أن يحول البيانات بالكامل لبيانات غير معتمد عليها أو بيانات ليس لها فائدة. يمكن تقسيم البيانات لمستويات مختلفة كما نرى في الشكل ،تكون مستويات أهمية البيانات على النحو التالي •
المستوى الحرج :مثل البيانات الطبية وخدمات الطوارئ والسجالت المالية ،ويتم فيها التحقق من صحة البيانات بشكل دائم ،ويمكن التأكيد على صحتها أيضا إلعطاء درجة للثقة في تلك البيانات.
•
المستوى المرتفع :مثل بيانات التجارة اإللكترونية والتحليالت ،ويتم أيضا التحقق من صحة جميع البيانات .ومثال لذلك النوع من البيانات قواعد البيانات داخل المؤسسة.
•
المستوى المتوسط :مثل المبيعات على الشبكة ومحركات البحث ،ويتم فيها تحقق بسيط ،وال يتم التأكيد على درجة الثقة في البيانات .ويتم جمع البيانات من خالل المشاركات المتاحة للجميع.
•
المستوى المنخفض :مثل المدونات ومواقع النشر والمشاركات الشخصية ،وال يتم االهتمام بالتحقق من صحة البيانات أو درجة الثقة بها ومثال لذلك أيضا االقتراحات العامة والمشاركات المتاحة للجميع.
فحص التماسك :Integrity checkفحص التماسك هو طريقة لقياس تناسق مجموعة البيانات (ملف ،صورة ،سجل) .ويتم فحص التماسك بعملية تسمى دوال الهاش وهذه الدوال تأخذ لقطة لشكل البيانات على فترات زمنية .ويتم فحص التماسك باستخدام تلك اللقطات للتأكيد أن هذه اللقطات متشابهة وأن البيانات لم يتم العبث بها .التدقيق بالمجموع ( )checksumهو أحد األمثلة على دوال الهاش .تقوم دالة التدقيق المجموع بفحص التماسك للملفات أو نص من عدة أحرف ،قبل وبعد أن يتم نقل هذه البيانات من جهاز إلى آخر عبر الشبكة المحلية أو اإلنترنت .عند الجهاز المرسل ،تقوم دالة التجميع ببساطة بتحويل كل قطعة من المعلومة إلى قيمة ثم جمع قيم كل القطع للحصول على القيمة اإلجمالية .والختبار تماسك البيانات ،يقوم الجهاز المستقبل بتكرار تلك العملية ويقارن القيمة اإلجمالية للبيانات بعد النقل بالقيمة اإلجمالية للبيانات قبل النقل ،فإن تساوت فمعنى ذلك أن البيانات لم يتم العبث بها بالطريق .وإن لم تتساوى فهذا يعني أن تغيي ار للبيانات قد حدث في مكان ما على خط النقل(أنظر الشكل).
34
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
من دوال الهاش المشهورة .MD5, SHA-1, SHA-256, Sha-512وهذه الدوال تستخدم خوارزميات رياضية معقدة. وقيمة الهاش مفيدة فقط في المقارنة .فعلى سبيل المثال ،بعد تحميل ملف من اإلنترنت ،يمكن للمستخدم فحص تماسك الملف بمقارنه قيم الهاش من مصدر الملف مع قيم الهاش المحسوبة باستخدام أي برنامج لحساب الهاش. تقوم المؤسسات بعمل ما يسمى بـ "التحكم باإلصدارات" لمنع أي تعديالت غير مقصودة من المستخدمين أصحاب الصالحيات .فال يمكن الثنان من المستخدمين أن يقوموا بتعديل نفس الكائن في نفس الوقت .الكائنات يمكن أن تكون ملفات أو قواعد بيانات أو سجالت أو معامالت .كمثال ،إذا قام المستخدم األول بفتح مستند والذي لديه صالحية عليه بالتعديل ،يتم إعطاء المستخدم الثاني إصدار من الصالحية يسمى "للقراءة فقط". النسخ االحتياطية السليمة تساعد في المحافظة على تماسك البيانات في حالة حدوث عطب بها .ويجب على الشركات فحص نظام النسخ االحتياطي الخاص بها للتأكد من تماسك عملية النسخ االحتياطي قبل أن يتم فقدان البيانات لألبد .وعملية المنح (التفويض) تحدد من له صالحية الوصول لمصادر الشركة بناء على مبدأ "ما يحتاج معرفته فقط" .كمثال ،تصاريح الملف و نظم التحكم في الوصول للمستخدم يتأكدان من أن هناك مجموعة معينة من المستخدمين هم فقط من يستطيعون تعديل البيانات .يمكن لمدير النظام أن يعطي تصاريح الملفات للقراءة فقط .ولذلك فإن المستخدم الذي يستطيع الوصول إلى هذا الملف لن يقوم بالتعديل عليه أو تغييره.
2.2.3التوافر توافر البيانات هو المفهوم المستخدم ليصف الحاجة لالحتفاظ بتوافر نظم المعلومات والخدمات في جميع األوقات .الهجمات السيبرانية وفشل النظام يستطيعان منع الوصول لنظام المعلومات وبالتالي عدم االستفادة من خدماته .كمثال ،إن قرصنة موقع 35
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
إلكتروني لشركة منافسة بالهجوم عليه وتعطيل خدماته يعطي فرصة للشركات األخرى ألخذ األسبقية .فهمجة قطع الخدمة ( ) DoSتهدد توافر النظام وتمنع المستخدمين األبرياء من الوصول لنظام المعلومات واالستفادة من خدماته عند الحاجة. الطرق المستخدمة لعمل توافر دائم تشمل ،النظم المكررة ،نظم النسخ االحتياطي ،زيادة مرونة النظام ،صيانة المعدات، استخدام آخر إصدارات لنظم التشغيل والبرامج المثبتة ،والخطط الجاهزة الستعادة النظام في حالة وجود كوارث غير متوقعة. مبدأ التسعات الخمس :يستخدم الناس نظم معلومات متنوعة في حياتهم اليومية .تتحكم الحواسيب ونظم المعلومات في االتصاالت وفي النقل وفي تصنيع المنتجات .التوافر الدائم لنظم المعلومات هو مطلب حيوي لحياتنا الحديثة .ومصطلح التوافر العالي أو اإلتاحة العالية يعني النظم المصممة لتجنب تعطل النظم .وتؤكد اإلتاحة العالية على وجود مستوى أداء مرتفع ودائم لفترات أطول من المتوقع .تحتوي نظم اإلتاحة العالية على ثالثة تصميمات رئيسية هي •
إزالة نقطة متعطلة :يمكن حصر كل األجهزة التي قد تتسبب في تعطل النظام بالكامل إذا توقفت .ومن الطرق للتأكد على إزالة النقاط المتعطلة ،وجود أجهزة احتياطية جاهزة للعمل ،مكونات إضافية ،وتوفير العديد من التوصيالت والممرات التي تصل األجهزة ببعضها بحيث لو تعطلت توصيلة يتم استخدام توصيلة أخرى.
•
وضع سياسة قوية لتجاوز األعطال :بتوفير مولدات كهرباء إضافية ،وعمل نظم كهرباء احتياطية ونظم اتصاالت احتياطية.
•
اكتشاف التعطل عندما يحدث مباشرة :المراقبة اليقظة لألجهزة والنظم الحيوية تمكن من اكتشاف المشاكل واكتشاف األعطال .ومراقبة النظام من الممكن أن يفيد في استرجاع النظام من النسخ االحتياطية قبل فشل النظام بالكامل.
والهدف الرئيسي هو أن يظل النظام يعمل حتى في الظروف الصعبة مثال عند وجود محاولة للهجوم أو القرصنة .ومن أشهر التوصيا ت الخاصة بالتوافر مبدأ التسعات الخمس إشارة إلى الخمس تسعات الموجودة في الرقم الذي يعبر عن نسبة التوافر التي يطمح إليها الجميع وهي .%99.999هذا يعني أن مدة تعطل النظام تكون أقل من 5.26دقيقة في كامل السنة. ويوضح شكل 1ثالثة مقترحات للوصول للتسعات الخمس .المقترحات هي •
توحيد النظم :وتوحيد النظم يوفر أمكانية استخدام نفس المكون في أكثر من مكان .مثال قطع الغيار يمكن بسهولة التعامل معها وتغييرها أثناء حالة الطوارئ في حالة لو كانت قطع الغيار تتبع نفس المعايير أثناء التصنيع.
•
مشاركة المعلومات مع نظم النسخ االحتياطي :وهذا يؤكد على ضرورة أنه عند فشل النظام ،فإنه سيعمل بالكامل كما كان سابقا باستخدام النسخ االحتياطية.
•
العنقدة :clusteringوهي تعني تكاتف مجموعة من األجهزة لتقديم خدمة ما .وتظهر للمستخدم كما لو كانت جها از واحدا وليس مجموعة من األجهزة المتعاونة .فلو تعطل جهاز ،تقوم األجهزة األخرى بتعويض غيابه والعمل عوضا عنه.
36
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التأكيد على وجود التوافر :تستخدم المؤسسات عدة طرق للتحقق من وجود التوافر ومن هذه الطرق •
صيانة المعدات :يمكن للصيانة الدورية للمعدات أن يكون لها بالغ األثر في إتاحة النظام .وصيانة المعدات تشمل تغيير المكونات ،والتنظيف والتركيب.
•
ترقية األجهزة ونظم التشغيل :نظم التشغيل الحديثة ،والتطبيقات والبرامج يتم ترقيتها بشكل دائم إلزالة األخطاء وغلق الثغرات .وكل النظم ،والتطبيقات والبرامج يجب أن يتم ترقيتها بشكل دوري .يجب أن يشترك ضباط األمن السيبراني في التنبيهات التي تعلن عن توفر نسخ جديدة أو ترقيات جديدة.
•
اختبار النسخ االحتياطي :النسخ االحتياطي لبيانات الشركة وبيانات التصنيع والبيانات الشخصية من شأنه التأكيد على توافر النظام .ويجب أن يتم اختبار نظم النسخ االحتياطي للتأكد من أنها تعمل بشكل مناسب وأن البيانات يمكن استرجاعها في حالة فقدانها أو تخريبها.
•
التخطيط للكوارث :التخطيط للكوارث هو جزء حيوي من شأنه زيادة التوافر .يجب أن يعرف الموظفون والعمالء كيف يمكنهم االستجابة في حالة الكوارث .ويجب أن يتمرن فريق األمن السيبراني على كيفية عمل رد فعل مناسب ،ويجب أن يختبروا عملية النسخ االحتياطي ويكونوا على دراية باإلجراءات الستعادة األجزاء الحيوية من النظام.
•
استخدام التقنيات الحديثة :التوافر العالي يتطلب التقييم واالختبار الدائم للتقنيات الحديثة وذلك لتفادي التهديدات والهجمات الجديدة .والمجرمون السيبرانيون يستخدمون أحدث األدوات والخدع .لذا يجب أن يستخدم ضباط األمن السيبراني التقنيات والمنتجات واألجهزة الحديثة.
•
مراقبة األنشطة الغريبة :المراقبة المستمرة للنظام تزيد من توافر النظام .متابعة سجل األحداث ،وتنبيهات النظام و سجالت الوصول للموارد تعطي لضابط األمن السيبراني معلومات على مدار الساعة .هذه المعلومات يمكنها أن تحدد الهجمات ومصدرها بعد حدوثها وتمكن ضابط األمن السيبراني من ردع الهجمات أثناء حدوثها.
37
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
اختبار النظم :يجب أن يتم اختبار النظم والتأكد من عدم وجود ثغرات .من نظم االختبار ،مسح المنافذ ،مسح الثغرات، واختبار االختراق.
2.3حاالت البيانات 2.3.1البيانات الثابتة البيانات المخزنة تسمى البيانات الثابتة .والبيانات الثابتة تعني أن جهاز التخزين يحتفظ بالبيانات بال تغيير عندما ال يوجد مستخدم أو برنامج يستعمل تلك البيانات .يمكن أن يكون جهاز التخزين محليا (على جهاز حاسوب) أو مركزيا ( على الشبكة) .وتوجد العديد من الخيارات للتخزين منها •
تخزين موصل مباشرة أو وحدات التخزين المباشر :وهو وحدة تخزين موصلة بالحاسب ومرفقة به بشكل مباشر .فالقرص الصلب أو ذاكرة الفالش هي أمثلة على وحدات تخزين موصل مباشرة .وافتراضيا ،تكون النظم غير معدة لمشاركة البيانات على الوحدات الموصلة مباشرة.
•
مجموعة متكررة من األقراص المستقلة ( :)RAIDحيث تستخدم مجموعة من األقراص الصلبة في شكل مصفوفة ،ويتم الترابط بين تلك األقراص حتى يراها نظام التشغيل كقرص صلب واحد .و RAIDتوفر أداء افضل بتقنية "تحمل الخلل" وهي تقنيه تتيح للنظام االستمرار في العمل على الرغم من وجود أجزاء عاطلة به.
•
تخزين موصل بالشبكة Network Attached Storage NAS :وهو وحدة تخزين موصلة بالشبكة والتي تتيح للمستخدمين ذوي الصالحيات تخزين واسترجاع البيانات من موقع مركزي في الشبكة .والتخزين الموصل بالشبكة مرن ولديه قدرة على التوسع ،بمعنى أنه يمكن لمدراء النظام زيادة سعة التخزين على حسب رغبتهم.
•
شبكة التخزين المحلية Storage Area Network SAN :هو هيكل شبكي معد لتخزين البيانات .ونظم التخزين المحلية توصل بالشبكة عن طريق موائمات سريعة للغاية والتي توفر أداء محسن كما توفر القدرة على توصيل العديد من الخوادم بمستودع مركزي ألقراص تخزينية.
•
خدمة التخزين السحابية :وهي وحدات تخزين بعيدة تتيح للمستخدم حجز مساحة تخزينية على شبكة اإلنترنت من مركز بيانات ،يمكن الوصول إلى تلك المساحة التخزينية من أي مكان في العالم عن طريق االتصال باإلنترنت .جوجل درايف Google Driveو iCloudو دروب بوكس Dropboxكلها أمثلة على موفري خدمة التخزين السحابية.
التحديات لحماية البيانات الثابتة :الشركات والمؤسسات لديها تحد كبير لحماية البيانات الثابتة .ولتحسين تخزين البيانات يمكن للشركات أن تقوم بميكنة ومركزية النسخ االحتياطية للبيانات .والوحدات التخزينية الموصلة مباشرة هي من أكثر الوحدات تعقيدا في عمليات اإلدارة والتحكم مقارنة بالوحدات التخزينية األخرى .إذ تكون الوحدات التخزينية المباشرة عرضة للهجمات الخبيثة على جهاز الحاسوب المحلي .أحيانا تحتوي البيانات المخزنة على نسخ احتياطية مخزنة .بالتحديد ،ال تقوم معظم الشركات بتخزين البيانات الحساسة على وحدات التخزين المباشر. 38
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تعتبر نظم التخزين الشبكي اختيا ار أكثر أمانا .وتوفر نظم التخزين الشبكي مثل RAID, NAS, SANأداء محسنا وتك ار ار أعظم للبيانات .وعلى الرغم من ذلك فإن تهيئة وإدارة نظم التخزين الشبكي هي مهمة معقدة وصعبة للغاية .وتعالج نظم التخزين الشبكي كمية أكثر من البيانات مما يعرض الشركة للخطر في حالة توقف أي من األجهزة .والتحديات الخاصة لنظم التخزين الشبكي هي ،التهيئة واالختبار و مراقبة النظام. 2.3.2البيانات المتنقلة طرق نقل البيانات :نقل البيانات يعني إرسال المعلومات من جهاز إلى جهاز آخر .وهناك العديد من طرق نقل المعلومات بين األجهزة منها •
الشبكة الرياضية – وهي تعني استخدام وحدات التخزين في نقل البيانات فيزيائيا من كمبيوتر إلى آخر ،مثل رياضة كرة القدم عندما تنتقل الكرة من العب إلى آخر.
•
الشبكة السلكية –Wired Networkوتستخدم كابالت في نقل البيانات
•
الشبكة الالسلكية –Wireless Networkوتستخدم موجات الراديو في نقل البيانات.
والمؤسسات والشركات لن تستطيع االستغناء عن النقل باستخدام الشبكة الرياضية .وتشمل نظم النقل في الشبكات السلكية استخدام األسالك النحاسية وكابالت األلياف الضوئية .وتغطي الشبكة السلكية منطقة جغرافية محلية ( Local Area )Networkويمكن أيضا أن تتوسع لمساحات كبيرة ( .)Wide Area Networkيتم استبدال الشبكات السلكية بالشبكات الالسلكية .إذ أصبحت الشبكات الالسلكية أكثر سرعة وأكثر معالجة للنقل وتوفر نطاق ترددي عال .وتقوم الشبكات الالسلكية أيضا بتوسعة عدد المستخدمين الزوار بأجهزتهم المتنقلة في الشبكات المنزلية المكتبية الصغيرة ( )SOHOوشبكات الشركة. والشبكات السلكية والالسلكية يستخدمان وحدات لنقل البيانات التي تسمى الحزم .والحزم وحدة البيانات التي تستطيع أن تسافر من المصدر إلى الوجهة عبر شبكة الحاسب .ويتم تعريف شكل وتركيب الحزم عن طريقة بروتوكوالت الشبكة مثل بروتوكول اإلنترنت ( )IPوبروتوكول نقل النص التشعبي ( .)HTTPوهذه المعايير والبروتوكوالت مفتوحة المصدر بمعنى أن شيفرتها متاحة للجميع .وحماية السرية والتماسك والتوافر للبيانات المتنقلة هو واحد من أهم المسئوليات ألي ضابط أمن سيبراني. التحديات لحماية البيانات المتنقلة :من أصعب التحديات الوظيفية التي تواجه محترفي األمن السيبراني هو حماية البيانات المتنقلة .ومع نمو استخدام األ جهزة المتنقلة والالسلكية ،تظهر لدى مهنيو األمن السيبراني صعوبة حماية الكميات الضخمة من البيانات التي تمر عبر الشبكة بصفة يومية .ويجب أن يتعامل ضابط األمن السيبراني مع التحديات التالية لحماية تلك البيانات •
حماية سرية البيانات – مجرمي األمن السيبراني يقومون بالتقاط وحفظ وسرقة البيانات المتنقلة .وعلى ضباط األمن السيبراني أن يتخذوا خطوات يقظة لتنجب تلك األفعال اإلجرامية.
39
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
حماية تماسك البيانات – يقوم المجرمون السيبرانيون بالتعرض للبيانات وتغييرها أثناء النقل .وعلى مهنيو األمن السيبراني أن يستخدموا نظم التحقق من التماسك والتي تختبر تماسك وصحة وموثوقية البيانات المتنقلة وذلك لتجنب تعديل البيانات أثناء النقل.
•
حماية توافر البيانات – يستخدم القراصنة أجهزة مخادعة أو أجهزة مستولى عليها إليقاف الخدمات وتحقيق عدم التوافر. يمكن توفير جهاز السلكي بسيط ليبدو كأنه نقطة وصول ال سلكية محلية ،ويستخدم في خداع المستخدمين األبرياء فيستخدمونه في تصفح اإلنترنت أو الوصول للشبكة .ويستطيع المجرم السيبراني االستيالء على وصلة (سلكية أو ال سلكية) لكي تربطه بجهاز أو خدمة في الشركة .ويستطيع محترفي األمن السيبراني مكافحة ذلك النوع من الهجوم با ستخدام طريقة التوثيق المتبادل .والتوثيق المتبادل يجبر المستخدم على المصادقة مع الخادم ،ويجبر الخادم المصادقة مع المستخدم.
2.3.3البيانات أثناء المعالجة الحالة الثالثة للبيانات هي حالة البيانات أثناء معالجتها .وتمر البيانات بثالث مراحل أثناء المعالجة .المرحلة األولى هي مرحلة إدخال البيانات ،المرحلة الثانية هي مرحلة عمل حسابات رياضية أو منطقية على البيانات أو التعديل عليها ،والمرحلة الثالثة هي مرحلة إخراج البيانات وعرضها. •
المرحلة األولى ،البيانات أثناء إدخالها – تبدأ عملية الحفاظ على التماسك بمرحلة إدخال البيانات .تستخدم الشركات طرق كثيرة ومتنوعة لجمع البيانات مثل إدخال البيانات يدويا ،أو مسح النماذج أو تحميل الملفات ،أو جمع البيانات من الحساسات .كل طريقة من هذه الطرق تعطي تهديد محتمل لتماسك البيانات .كمثال على تخريب البيانات أثناء عملية اإلدخال يمكن للمدخالت أن يتم إدخالها بشكل خاطئ أو يتم قطع عملية اإلدخال فتدخل بيانات ناقصة أو تحدث أعطال في الحساسات .ومثال آخر ،يمكن للمدخالت أال تنطبق على النمط المراد إدخاله ،مثال إدخال نص في حالة توقع إدخال رقم.
•
المرحلة الثانية ،تعديل البيانات ومعالجتها – وتشير تلك المرحلة إلى مرحلة تغيير البيانات األصلية كأن يقوم المستخدمون بتعديل البيانات يدويا .كما يمكن أيضا استخدام البرامج والعمليات واألجهزة في تعديل البيانات .عمليات مثل التشفير/فك التشفير والضغط /فك الضغط والترميز /وفك الترميز جميعها أمثلة على تعديل البيانات .والترميز يعني تحويل البيانات من صورة إلى صورة كتحويل النص إلى رقم أو تحويل البيانات المراد نقلها من بيانات رقمية إلى موجات السلكية وهكذا. والبرمجيات الخبيثة يمكن أيضا أن تخرب البيانات.
•
المرحلة الثالثة ،إخراج البيانات وعرضها – يحدث العطب للبيانات أيضا أثناء عمليات إخراج البيانات .وإخراج البيانات يعني إخراج البيانات على الطابعة أو العوارض اإللكترونية (الشاشات مثال) أو إخراجها مباشرة لجهاز آخر .ودقة البيانات المخرجة هام جدا ألن البيانات المعروضة والمخرجة تعطي معلومات وتؤثر في اتخاذ القرار .وأمثلة على تخريب البيانات
40
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المخرجة تشمل االستخدام السيئ لمحاذات البيانات ،أو خطأ في تهيئة االتصاالت ،أو التهيئة الغير مناسبة للطابعات. ومحاذات البيانات تهتم ببدايات ونهايات وحدات البيانات أثناء إخراجها. التحديات لحماية البيانات أثناء المعالجة :الحماية ضد التعديالت الغير صحيحة للبيانات أثناء المعالجة من الممكن أن يكون له تأثي ار سلبيا .فعلى سبيل المثال ،قبل عيد الكريسماس بأسبوعين فقط ،حدث لشركة تجزئة مشتركة مع أمازون مشكلة كبيرة. الحظت الشركة أن سعر المنتج الذي أعلنته على أمازون قد تعدل إلى 1سنت فقط .واستمر هذا التغيير لمدة ساعة .وقد تسبب هذا الخطأ في حصول آالف العمالء على صفقة حياتهم التي لن تتكرر مرة أخري ،وتسبب الخطأ في خسارة الشركة أموال طائلة .وفي عام ، 2016تعطل منظم الح اررة (الترموستات) المسمى نست( )Nestوترك المستخدمين بال تدفئة .ومنظم الح اررة نست هو جهاز بتكنولوجيا ذكية انتجته جوجل .وعطل صغير في برنامجه قد تسبب حرفيا في ترك المستخدمين باردين في العراء .وقد حدث العطل بسبب تحديث خاطئ للبرنامج والذي أثر على البطارية وسحب الطاقة منها وترك الجهاز بال تحكم في درجة الح اررة .ونتيجة لذلك ،لم يستطع العمالء تدفئة منازلهم أو الحصول على مياه ساخنة في عطلة نهاية األسبوع وكان يوما من أصعب أيام السنة برودة. نحتاج أنظمة مصممة بشكل جيد لحماية البيانات أثناء المعالجة .ويجب أن يقوم مهنيو األمن السيبراني بتصميم سياسات وإجراءات الختبار وصيانة وتحديث النظم وجعل تلك النظم في حالة مستمرة من التشغيل مع الوصول ألقل القليل من األخطاء.
2.4طرق وأدوات الحماية أو الحراسة 2.4.1التقنيات المستخدمة في الحماية الحماية البرمجية :تشمل برمجيات الحماية البرامج والتطبيقات والخدمات التي تحمي نظم التشغيل وقواعد البيانات والخدمات األخرى المشغلة على الحاسوب أو الجهاز النقال أو الخادم .يقوم مديري الشبكة بتثبيت دروع وحماية برمجية على الجهاز المضيف أو الخوادم .ويوجد العديد من التقنيات البرمجية المستخدمة في تأمين ممتلكات الشركة ،منها •
الجدار الناري Firewallالبرمجي وهو يراقب الدخول عن بعد إلى النظام .وتحتوى نظم التشغيل عادة على جدار ناري. ويمكن للمستخدم أن يقوم بتحميل جدار ناري بشرائه أو تحميله من طرف ثالث.
•
محلالت البروتوكول ومحلالت البصمة الرقمية هي أجهزة تجمع وتفحص المرور الشبكي .وتحدد مشاكل األداء ،وتكتشف التهيئة الغير سليمة ،وتكتشف أيضا البرامج التي تعمل بشكل غير صحيح وتقوم أيضا بعمل خط مرجعي لنمط المرور الطبيعي (لتعرف الشاذ) ،وتقوم أخي ار بمعالجة مشاكل االتصال.
•
ماسحات الثغ ارت هي برامج حاسوبية مصممة لتقييم نقاط الضعف في الحاسب والشبكة.
•
نظم اكتشاف الدخالء على الجهاز المضيف ) Host-based intrusion detection systems (IDSتقوم بفحص األنشطة على الجهاز المضيف فقط .وتقوم تلك األنظمة أيضا بعمل سجل أحداث ( )logمطبق على الملفات ويعطي 41
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
رسائل تحذيرية في حالة اكتشاف نشاط غير عادي .يجب أن يوصل أي نظام يحمل بيانات حساسة أو يوفر خدمة حيوية بتقنيات اكتشاف الدخالء. الحماية بالعتاد :يوجد العديد من التقنيات التي تستخدم العتاد لحراسة ممتلكات الشركة: •
أجهزة الجدران النارية توقف المرور الغير مرغوب فيه .ويحتوى جهاز الجدار الناري على عدة قواعد تحدد نوعية سيل البيانات المسموح به والغير مسموح به على الشبكة.
•
أجهزة كشف الدخالء ) Intrusion Detection System IDSأنظر الشكل) مصممة الكتشاف بوادر الهجمات أو سيل البيانات الغير عادي على الشبكة وتعطي رسائل تحذيرية.
•
أجهزة منع الدخالء ( )Intrusion Prevention Systems IPSمصممة الكتشاف بوادر الهجمات أو األنشطة الشبكية الغير طبيعية وتقوم بإرسال تحذيرات باإلضافة إلى عمل خطوات تصحيحية.
•
خدمات ترشيح المحتوى تقوم بالتحكم في الوصول و التحكم في نقل البيانات الغير الئقة والمحتوى العدواني.
الحماية بالتقنيات الشبكية :توجد العديد من التقنيات الشبكية التي تقتنيها المؤسسات لحماية ممتلكاتها: •
الشبكات االفتراضية الخاصة Virtual Private Network VPNوهي شبكة افتراضية آمنة تستخدم الشبكات العامة مثل اإلنترنت في التوصيل بين أفرع الشبكات المحلية المنتشرة في منطقة جغرافية واسعة .ويكمن السر في المحافظة على أمن البيانات في الشبكات االفتراضية الخاصة أن البيانات يتم تشفيرها أثناء نقلها في هذه الشبكة.
•
التحكم في الوصول الشبكي Network Access Control NACيطلب مجموعة من الفحوصات قبل أن يسمح لجهاز أن يتصل بالشبكة .ومن الفحوصات المشهورة تثبيت أحدث إصدارات برامج مكافحات الفيروسات وأحدث اإلصدارات والتحديثات من نظم التشغيل.
•
تأمين نقاط االتصال الالسلكية يشمل استخدام المصادقة والتشفير. 42
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الحماية بالتقنيات السحابية :التقنيات السحابية تنقل المكونات التقنية من الشركة إلى مقدمي الخدمات السحابية .يوجد ثالث خدمات سحابية متوفرة •
البرمجيات كخدمة Software as a Service SaaSوتسمح للمستخدمين بالدخول والوصول إلى البرامج وقواعد البيانات .يقوم مقدمي الخدمة بإدارة البنية التحتية .يتم تخزين البيانات والملفات التي تخص المستخدمين على خوادم موفري الخدمات السحابية.
•
البنية التحتية كخدمة Infrastructure as a Service IaaSتوفر موارد حوسبة افتراضية على االنترنت .ويملك مقدم الخدمة العتاد والبرمجيات والخوادم والمكونات التخزينية.
•
المنصة كخدمة Platform as a Service PaaSتوفر الوصول إلى برمجيات تطوير التطبيقات والخدمات .يمكن من خالل هذه الخدمة برمجة تطبيقات جديدة دون الحاجة لبرامج تطوير في الشركة.
قامت الشركات المقدمة للخدمات السحابية بإضافة خدمة سحابية تسمى "تقنية المعلومات كخدمة" IT as a Service ITaaS والتي توفر الدعم الفني لنماذج الخدمات السحابية IaaSو PaaSو .SaaSوفي نموذج ITaaSتتعاقد الشركات مع موفري الخدمة السحابية على خدمة معينة أو مجموعة من الخدمات .تقوم الشركات المقدمة للخدمات السحابية باستخدام أجهزة أمن افتراضية والتي تعمل بداخل البيئات االفتراضية ويثبت عليها نظم تشغيل قوية. 2.4.2التعلم والتوعية والتدريب إن استثمار أموال طائلة في شراء التقنيات الحديثة لن يكون ذا أهمية في حال عدم وعي األشخاص داخل الشركة حيث يكون الشخص هو أضعف الوصالت الموجودة في سلسلة الحماية السيبرانية .وبرامج التوعية األمنية هي من أهم البرامج ألي مؤسسة .وفي حاالت عدة يكون الموظف غير متعمد التخريب ولكنه ال يعي اإلجراءات المناسبة التي يجب أن يفعلها في حالة وجود مشكلة .يوجد طرق عدة لعمل برنامج قياسي للتدريب •
يمكن جعل التوعية األمنية جزء من التدريبات الهامة للموظف الحديث.
•
يمكن ربط الوعي األمني وجعله متطلب وظيفي أو جزء من تقييم أداء الموظفين.
•
يمكن إجراء دورات تدريبية بصفة شخصية.
•
يمكن توجيه الموظفين نحو الحصول على شهادات من دورات في األمن السيبراني.
يجب أن تكون عملية التوعية األمنية مستمرة حيث أن التهديدات والتقنيات الجديدة للهجمات موجودة على الدوام. بناء ثقافة الوعي السيبراني :يجب على فريق العمل في الشركة أن يكون على دراية بالسياسات األمنية كما يجب على الفريق أن يلم بالمعرفة التي يحتاجها لتفادي الهجمات اليومية .ويعتمد برنامج الوعي األمني الفعال على اآلتي
43
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
بيئة الشركة
•
مستوى التهديد
إعداد :أسامة حسام الدين
إن خلق ثقافة الوعي السيبراني في الشركة هو جهد متواصل من قبل قيادة الشركة اإلدارية العليا ويجب أن يقابله التزام كل المستخدمين والموظفين .ولكي تزيد ثقافة الوعي السيبراني لشركة ما يجب أن تبدأ الشركة بإقامة السياسات واإلجراءات اإلدارية. على سبيل المثال ،معظم الشركات تخصص يوم في السنة يسمى يوم التوعية األمنية .ويمكن للشركة أن تزيد الوعي بعمل ملصقات ونشرات وتوزعها على أعضاء فريق العمل بالشركة .وأيضا تنظيم ورش عمل للتوعية األمنية وندوات قصيرة يزيد من الوعي األمني في الشركة. 2.4.3سياسات وإجراءات األمن السيبراني السياسات :السياسة األمنية هي مجموعة من األهداف األمنية للشركة والتي تشمل قواعد السلوك الوظيفي للمستخدمين ومدراء النظم وتحدد متطلبات النظام .وهذه األهداف والقواعد والمتطلبات جميعها تؤكد على تأمين شبكة الحاسب والبيانات ونظم الحاسب بداخل الشركة .والسياسة األمنية الشاملة يجب أن تشمل القيام المهام التالية: •
عرض التزام الشركة تجاه النواحي األمنية.
•
وضع القوانين الخاصة بالسلوك المتوقع والمرغوب.
•
التأكيد على تناسق العمليات داخل النظم وانسجام عملية جلب واستخدام البرمجيات والعتاد وصيانتهما.
•
تحديد العواقب القانونية في حالة مخالفة القوانين.
•
توفير الدعم اإلداري المطلوب لموظفي األمن.
السياسات األمنية تخبر المستخدمين وفريق العمل والمدراء بالمتطلبات التي تحتاجها الشركة لحماية ممتلكاتها التقنية والمعلوماتية .وتحدد السياسة األمنية أيضا اآلليات الالزمة لتلبية االحتياجات األمنية .وكما نرى في الشكل ،فإن السياسة األمنية عادة ما تتضمن اآلتي: •
سياسات تعريف الهوية والمصادقة – وتحدد األشخاص أصحاب الصالحيات وهم من يستطيعون الوصول لموارد الشبكة، وتعطي هذا النوع من السياسات أيضا إجراءات التحقق من الصالحيات.
•
سياسات كلمة المرور – تؤكد على أن كلمات المرور تحقق الحد األدنى من المتطلبات ويتم تغيرها بشكل دوري.
•
سياسة االستخدام المقبول – تحدد موارد الشبكة وكيفية استخدامها بالطريقة المقبولة لدى الشركة .ويمكن أن تحدد أيضا عواقب مخالفة السياسات.
•
سياسات االتصال عن بعد – تحدد كيف يمكن للمستخدمين الوصول لشبكة الشركة عن بعد وما هي الموارد التي يمكن الوصول إليها عن بعد. 44
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
سياسات صيانة الشبكة – تحدد إجراءات ترقية وتعديل نظم التشغيل على األجهزة الشبكية والتطبيقات الخاصة بالمستخدمين.
•
التعامل مع الحوادث – وتصف كيف يمكن التصرف في حالة وجود حادث كهجوم شبكي أو اختراق امني.
من أهم المكونات في السياسات األمنية مكون "سياسة االستخدام المقبول" .Acceptable Use Policy AUPوهذا المكون يعرف ما الذي يمكن ان يفعله وما الذي ال يمكن أن يفعله المستخدم تجاه مختلف مكونات النظام .و يجب أن تكون سياسة االستخدام المقبول واضحة لتجنب أي سوء تفاهم مستقبلي .على سبيل المثال ،تقوم هذه السياسة بسرد كل المواقع ومجموعات األخبار والبرامج التي تسحب عرض النطاق وتبطئ االنترنت والتي يمنع المستخدمين من الوصول إليها باستخدام أجهزة الحاسب في الشركة أو شبكة الشركة. المعايير :Standardsالمعايير لها دور في مساعدة موظفي تقنية المعلومات في الشركة في الحفاظ على التناسق عند تشغيل شبكة الحاسب .تحتوي وثائق المعايير على التقنيات التي يحتاجها مستخدم أو برنامج ما باإلضافة إلى أي متطلب لبرنامج معين أو الضوابط التي يجب ان تتبعها الشركة .وهذا يساعد موظفي تقنية المعلومات في تحسين الكفاءة وتحقيق البساطة في التصميم والصيانة واكتشاف األخطاء. من أهم المبادئ الرئيسية في األمن هو مبدأ التناسق .ولهذا السبب ،تكون المؤسسة في حاجة ملحة لعمل المعايير .فكل شركة تقوم بعمل المعايير الخاصة بها والتي تدعم بيئة العمل لديها .فعلى سبيل المثال ،تقوم الشركة بإنشاء سياسة كلمة المرور. ومعيار كلمة المرور يكون باستخدام ثمانية أحرف كبيرة وصغيرة شاملة أرقام وشاملة على األقل حرف واحد من الحروف
45
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الخاصة ( مثال !@ .)#ويجب أن يقوم المستخدم بتغيير كلمة المرور كل 30يوما ،وسجل كلمات السر يتم االحتفاظ به 12 مرة وبذلك يتم التأكد بأن المستخدم يستخدم كلمات سر منفردة لمدة عام كامل. اإلرشادات :اإلرشادات عبارة عن اقتراحات لكيفية إجراء العمليات بشكل أكثر كفاءة وسرية .وتشبه إلى حد كبير المعايير، ولكنها أكثر مرونة وغالبا ماال تكون اجبارية .وتعرف اإلرشادات كيف يتم تطوير المعايير وتضمن االنصياع للسياسات األمنية العامة .بعض اإلرشادات الهامة في المؤسسة تكون بمثابة "أفضل الممارسات" لدى الشركة .باإلضافة إلى أفضل الممارسات لدى الشركة ،يمكن أخذ اإلرشادات من بعض الهيئات من مواقعها على اإلنترنت. •
المعهد الوطني للمعايير والتقنية ( ،)NISTمركز موارد أمن الحاسبات.
•
وكالة األمن الوطني ( ،)NSAإرشادات التهيئة األمنية.
•
معيار اسمه "المعايير المشتركة".
وباستخدام المثال السابق على سياسة كلمة المرور ،فاإلرشادات هي عبارة عن اقتراحات لجعل كلمة السر قوية ،مثل اختيار عبارة السر .يختار المستخدم عبارة مثل " "I have a dreamويقوم بتحويلها إلى كملة سر قوية ،مثال .Ihv@dr3@mيقوم المستخدم بعمل كلمة سر من هذه العبارة بتغيير األرقام بحروف أو الحروف بأرقام أو رموز خاصة أو تحريك الرموز أو تحريك عالمات الترقيم.
اإلجراءات :Proceduresوثائق اإلجراءات والممارسات تكون أطول ومفصلة بشكل أكبر مقارنة بمستندات المعايير واإلرشادات .وتحتوي وثائق اإلجراءات على تفاصيل التطوير والتي غالبا ما تحتوى على تعليمات خطوة بخطوة مدعمة بالرسومات التوضيحية.
46
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يوضح الشكل مثال على اإلجراءات المستخدمة في تغيير كلمة السر .يجب أن تقوم المؤسسات الكبرى باستخدام وثائق اإلجراءات للحفاظ على التناسق لعملية تركيب مكون جديد وهذه العملية لها دور كبير في الحفاظ على بيئة آمنة.
2.5إطار تقني عام لإلدارة األمنية 2.5.1نموذج األمن السيبراني أيزو ()ISO يحتاج محترفي األمن السيبراني إلى تأمين نقل المعلومات من طرف إلى طرف بداخل الشركة .وهذه مهمة هائلة ،ومن غير المعقول ان تتوقع أن يكون الفرد لديه المعرفة المطلوبة بصورتها الكاملة .ونتيجة لذلك طورت المنظمة الدولية للتوحيد القياسي (أيزو / )ISOاللجنة الكهروتقنية الدولية ( )IECإطار شامل كنموذج ارشادي إلدارة أمن المعلومات .ونموذج ISO/IECهو نموذج أمن سيبراني خاص بالمحترفين السيبرانيين مثل النموذج المرجعي للشبكات OSIالذي يخص مهندسي الشبكات. وكالهما يعطي إطا ار عاما لفهم وتحقيق المهام المعقدة. مجاالت األمن السيبراني :تم نشر معيار ISO/IEC 27000سنة 2005وتم مراجعته سنة 2013وهو معيار دولي يخص أمن المعلومات .وقد نشرت مؤسسة ISOمعايير .ISO 27000وعلى الرغم من أن هذه المعايير ليست إجبارية ،إال أن معظم الدول تقوم باستخدامها كأحدث إطار واقعي لبناء نظم أمن المعلومات .ويصف معيار ISO 27000كيفية بناء النظام الشامل إلدارة نظم أمن المعلومات ) .information security management system (ISMSوإدارة نظم أمن المعلومات تشمل كل نظم التحكم اإلدارية والتقنية والتشغيلية لتأمين المعلومات داخل الشركات .يحتوى معيار ISO 27000على 12 مجاال مستقال وهي تعتبر محتويات المعيار .وتلك المجاالت االثني عشر تساهم على مستوى عال جدا في تنظيم النطاق الشاسع للمعلومات الموجودة تحت مظلة أمن المعلومات .ويختلف الهيكل التركيبي لنموذج ISOلألمن عن نموذج OSI للشبكات ،حيث يستخدم نموذج ISOالمجاالت بينما يستخدم النموذج OSIالطبقات .ويرجع ذلك إلى أن نموذج ISOاألمني ال يحتوى على عالقة هرمية بل يحتوى على عالقة ندية ( .)peer to peerبمعنى أن كل مكون من مكونات هذا النموذج له عالقة مباشرة بباقي المكونات .ونموذج ISO 27000األمني يشبه كثي ار نموذج OSIالمرجعي في أنهما مهمان جدا لضباط األمن السيبران ي فلكي يكونوا متخصصين ناجحين يجب عليهم أن يفهموا بدقة هذين النموذجين (الشكل التالي يوضح 12مجال في األمن السيبراني) ومجاالت األمن السيبراني كما هو موجود بمعيار ISO 27000هي كالتالي: .1تقييم المخاطر :وهي أول خطوة من خطوات عملية إدارة المخاطر .وهي تحدد القيم الكمية والكيفية للخطر المتعلق بموقف معين أو تهديد معين. .2السياسة األمنية :وهي وثيقة تشير إلى القيود والسلوك الوظيفي لألفراد داخل المؤسسة .وعادة ما تحدد كيفية الوصول للبيانات وما هي البيانات المصرح استخدمها ومن المصرح له باالستخدام. .3تنظيم أمن المعلومات :وهو نموذج للحكومة يتم وضعه داخل المؤسسة ويتعلق بأمن المعلومات. 47
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.4إدارة الممتلكات :وهي عبارة عن نظام مخازن يصنف أصول وممتلكات النظام المعلوماتي. .5أمن الموارد البشرية :ويشير إلى اإلجراءات األمنية التي تخص الموظفين الذي يلتحقون بالشركة أو ينتقلون وظيفيا فيها أو يغادرونها.
.6األمن المادي (الفيزيائي) والبيئي :يصف حماية مرافق الكمبيوتر بداخل الشركة. .7إدارة االتصاالت والعمليات :وهي تصف كيف يتم إدارة موارد التحكم في التقنيات األمنية الخاصة بالنظم أو الشبكات. .8تطوير نظم المعلومات والصيانة :وهو يصف عملية دمج النظم األمنية في التطبيقات وتحقيق التكامل بين النظم األمنية والتطبيقات. .9التحكم في الوصول :وهو يصف القيود المطبقة على المستخدمين للوصول إلى الشبكات والنظم والتطبيقات والوظائف التطبيقية والبيانات. .10إدارة حوادث نظم المعلومات :وتصف كيفية توقع الحوادث والرد المناسب في حالة وجود اختراقات لنظام أمن المعلومات. .11إدارة استم اررية العمل :وهي تصف الحماية ،والصيانة والتعافي للعمليات الحيوية والنظم الحيوية والتي تؤثر بشكل مباشر في استم اررية عمل الشركة. .12االلتزام :وهو يصف عملية ضمان التوافق مع سياسات ومعايير وقوانين أمن المعلومات. وهذه المجاالت االثني عشر تعتبر قاعدة أساسية لتطوير المعايير األمنية للشركات وتحقيق أفضل الممارسات لإلدارة األمنية. وهي أيضا تسهل عملية التواصل بين المؤسسات المختلفة.
48
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
أهداف الضوابط :يحتوي االثني عشر مجاال السابقة على أهداف الضوابط التي تم تعريفها في الجزء 27001من المعيار. وأهداف الضوابط تحدد باختصار ومن مستوى عال متطلبات الحصول على نظام شامل إلدارة نظم المعلومات ( .)ISMوفريق اإلدارة بالشركة يستخدم أهداف الضوابط في المعيار ISO 27001لتحديد ونشر السياسات األمنية للشركة .أهداف الضوابط تعطي قائمة مختصرة لالستخ دام أثناء عمل التدقيق (الجرد) الخاص بإدارة النظم األمنية .يجب أن تمر كثير من المؤسسات على عملية التدقيق هذه لتحصل على رخصة .ISO 27001
الشهادة واإلذعان يعطيان الثقة لمؤسستين يريدان تحقيق الثقة بينهما لتبادل البيانات والعمليات السرية .اإلذعان والتدقيق األمني يثبتان أن الشركة تحسن باستمرار من نظام إدارة أمن المعلومات الخاص بها. وهذا مثال على هدف ضابط " ،للتحكم في الوصول للشبكات باستخدام آليات مناسبة لمصادقة المستخدمين والمعدات" الضوابط :يحدد معيار ISO/IEC 27002الضوابط الخاصة بنظام إدارة أمن المعلومات .الضوابط مفصلة أكثر من أهداف الضوابط .فأهداف الضوابط تعرف الشركة ما الذي تفعله أو ما هو الهدف ،أما الضوابط فتعرف كيفية تحقيق الهدف .بناء على الهدف الضابط التالي “ للتحكم في الوصول للشبكات باستخدام آليات مناسبة لمصادقة المستخدمين والمعدات" فالضابط يكون
كالتالي "استخدم كلمات مرور قوية .كلمة المرور القوية تحتوى على األقل على ثمانية أحرف مشكلة من مجموعة حروف أبجدية ،وأرقام ورموز مثل )( (@, #, $, %, etc.لو الرموز متاحة) .كلمات المرور حساسة لحالة األحرف ،ولذا يجب أن تحتوى كلمة المرور على األحرف بنوعيها (األحرف الكبيرة واألحرف الصغيرة)" مهنيو األمن السيبراني يدركون اآلتي (كما هو مبين بالشكل): •
الضوابط ليست متطلب أساسي أو إجباري ،على الرغم من ذلك فهي عامة مقبولة ومعتمدة.
•
الضوابط يجب أن تكتب بحيادية لتجنب مظهر إقرار منتج أو شركة معينة.
•
الضوابط تشبه اإلرشادات .وهذا يعني احتمالية وجود أكثر من طريقة لتحقيق نفس الهدف الضابط.
49
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
2.5.2استخدام نموذج األمن السيبراني أيزو ()ISO نموذج أيزو ومثلث األمن :إن معيار ISO 27000هو إطار عالمي يناسب أي نوع من المؤسسات .ولكي يتم استخدام هذا اإلطار بشكل فعال ،يجب أن تقوم المؤسسة بتقليص أو تركيز مجاالتها وأهداف الضوابط والضوابط لديها والتي تناسب بيئتها وعملياتها .ويستخدم مرجع ISO 27001الخاص بأهداف الضوابط كقائمة تدقيق .وأول خطوة تقوم بها المؤسسة هي تحديد ما إذا كانت أهداف الضوابط تلك تنطبق عليها أم ال .ومعظم الشركات تقوم بكتابة مستند يسمى بيان قابلية التطبيق Statement . of Applicability SOAو يعرف بيان قابلية التطبيق ما هي أهداف الضوابط التي تحتاج أن تستخدمها الشركة (يوجد مثال في الشكل التالي) تقوم مختلف المؤسسات بوضع أولويات لمكونات مثلث األمن وهي السرية والتماسك والتوافر أو اإلتاحة ،وتلك األولويات تعتمد على نوع الصناعة أو نوع النشاط .على سبيل المثال ،تقوم شركة جوجل بوضع أولوية عالية لسرية وإتاحة بيانات المستخدمين وأولوية أقل للتماسك .فجوجل ال تتأكد من صحة بيانات المستخدمين .بينما تركز شركة أمازون أكثر على التوافر ،فلو لم يكن الموقع متاحا (كان معطال مثال) فلن تقوم أمازون بعمليات البيع والشراء .فليس معنى ذلك أن أمازون تتجاهل السرية في ظل وجود اإلتاحة ،ولكن أمازون تعطي فقط أولوية أكثر لإلتاحة .ولذلك ،يمكن ألمازون أن توفر مصادر أكثر للتأكيد على أن هناك خوادم كثيرة متاحة للتعامل مع مبيعات المستخدمين. تقوم المؤسسات عامة بتكييف استخدامها ألهداف الضوابط والضوابط المتاحة لتناسب أولوياتها فيما يخص السرية والتماسك والتوافر.
50
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
نموذج أيزو وحاالت البيانات :المجموعات المختلفة بداخل كل مؤسسة تكون مسئولة كل فيما يخصه عن البيانات في حاالتها الثالث .فعلى سب يل المثال ،فريق أمن الشبكات مسئول عن البيانات أثناء النقل .والمبرمجين ومدخلي البيانات مسئولين عن البيانات أثناء المعالجة واإلدخال .ومتخصصي تقنية المعلومات ودعم الخوادم مسئولون عن البيانات الثابتة أو المخزنة .تقوم ضوابط ISOبتحديد أهداف الضوابط للبيانات أثناء حاالتها الثالث.
نموذج أيزو وأدوات الحراسة :أهداف الضوابط الموجودة في نموذج ISO 27001تتعلق بشكل مباشر بالسياسات األمنية واإلجراءات واإلرشادات المتعلقة بالشركة والتي تحددها اإلدارة العليا .أما ضوابط النموذج ISO 27002فتعطي توجيهات تقنية .على سبيل المث ال ،يمكن لإلدارة العليا أن تبني سياسة معينة تخص حماية جميع البيانات التي تأتي أو تخرج من وإلى
51
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشركة .وبناء وتطوير التقنيات التي توافق أهداف تلك السياسات ال تتدخل فيه اإلدارة العليا .بل هو مسئولية محترفي تقنية المعلومات حيث يقومون بتطوير وبناء وتهيئة المعدات بالشكل المناسب الذي يلبي توجيهات السياسة التي وضعتها اإلدارة العليا .ويوجد في الشكل التالي بعض الضوابط وأدوات الحراسة التي تناسبها. ملخص الفصل الثاني: ناقشنا في هذا الفصل األبعاد الثالثة لمكعب األمن السيبراني .والمهمة األساسية ألي مهني أمن سيبراني هي حماية البيانات والنظم داخل الشركات .وقد فصلنا في هذا الفصل كيف لكل بعد من أبعاد مكعب األمن السيبراني أن يساهم في هذا الجهد. وقد ناقشنا أيضا في هذا الفصل نموذج أيزو لألمن السيبراني .وهذا النموذج يمثل إطار دولي لمعايرة (جعلها على نسق واحد) إدارة نظم المعلوم ات .وقد شرحنا االثني عشر مجاال .وهذا النموذج يوفر أهداف الضوابط التي تساعد في التصميم عال المستوى وبناء نظام شامل إلدارة أمن المعلومات ) . information security management system (ISMSوقد فصلنا في هذا الفصل كيف يستخدم مهنيو األمن السيبراني الضوابط لتعريف التقنيات ،واألجهزة والمنتجات المناسبة للشركة.
52
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الثالث الهجمات السيبرانية الخبيثة يركز محترفي األمن السيبراني بشكل أساسي على كل من التهديدات والثغرات والهجمات .والتهديد معناه احتمالية وجود حدث ضار مثل الهجوم على البيانات .أما الثغرات فهي ضعف في النظام يجعله عرضة للهجوم .والهجوم هو االستغالل المتعمد لنقاط الضعف المكتشفة والموجودة في نظم المعلومات الحاسوبية ،ونقاط الضعف تكون إما مقصودة وإما ظهرت أثناء الهجوم بمحض الصدفة .وللمجرمين السيبرانيين دوافع مختلفة الختيار هدف لعمل هجوم عليه .وينجح المجرمون السيبرانيون في الهجوم غالبا بمتابعة البحث عن الثغرات المعروفة لدى النظم والتي يكون فيها نقاط ضعف معروفة .الضحايا دائما هم نظم مثبت عليها برامج أو نظم تشغيل ضعيفة أو نظم ال يوجد لديها مكافح فيروسات أو فاحص للبريد المزعج. وهذا الفصل يعرض أكثر الهجمات السيبرانية شيوعا .ويجب أن يفهم محترفي األمن السيبراني كيف يحدث الهجوم ،وما الذي يستغل ،وكيف يؤثر على الضحية .يبدأ الفصل بشرح التهديدات البرمجية مثل البرمجيات الخبيثة والشفرات الخبيثة ثم يعرض بعدها أنواع الخداع المتعلقة بتقنيات الهندسة االجتماعية .الهجمة السيبرانية هي أي نوع من أنواع المناورة العدوانية التي يستخدمها المجرمون السيبرانيون لمهاجمة نظم المعلومات الحاسوبية .ويقوم المجرمون السيبرانيون بالمناورات العدوانية ضد نوعي الشبكات سواء السلكي أو الالسلكي.
3.1البرمجيات الخبيثة 3.1.1أنواع البرمجيات الخبيثة البرمجيات الخبيثة Malwareأو البرامج الخبيثة Malicious Softwareهو مصطلح يصف البرنامج المصمم لتعطيل خدمات الحاسب ،أو الوصول لنظم الحاسب بدون علم المستخدم أو تصريح منه .وأصبحت البرمجيات الخبيثة مظلة تحوي جميع أنواع البرمجيات العدوانية أو برمجيات التطفل .ويوجد العديد من أنواع البرمجيات الخبيثة مثل ،فيروسات الحاسب، الديدان ،أحصنة طروادة ،برمجيات الفدية ،برمجيات التجسس ،برمجيات الدعاية واإلعالن ،برمجيات الذعر والعديد من البرمجيات الخبيثة األخرى .يمكن للبرنامج الخبيث أن يكون واضحا وبسيطا وسهال في االكتشاف أو أن يكون متخف بشكل عالي المهارة ويستحيل في بعض األحيان اكتشافه. الفيروسات والديدان وأحصنة طروادة :Viruses and Trojansيستهدف المجرمون السيبرانيون األجهزة الطرفية للمستخدم عن طريق تثبيت برنامج خبيث على جهاز المستخدم .يوضح الشكل التالي الثالث أنواع المختلفة المشهورة من البرامج الخبيثة
53
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الفيروسات :الفيروس virusهو عبارة عن شيفرة تنفيذية خبيثة تلتصق بملف تنفيذي مثل برنامج أو تطبيق .مثل الفيروس الذي يصيب البشر فهو متطفل على الخلية ،ينقسم معها ويتكاثر بتكاثرها .وعادة ما يحتاج الفيروس إلى فعل من المستخدم أو حدث ما لكي يبدأ في نشاطه مثل أن ينشط عند تاريخ أو وقت معين .تنتشر الفيروسات بواحدة من ثالث طرق مختلفة ،إما عن طريق وسائط التخزين المتنقلة أو التحميل من اإلنترنت أو مرفقات البريد اإللكتروني .أحيانا تكون الفيروسات غير ضارة مثل أن تقوم بعرض صورة وأحيانا تكون شديدة الضرر مثل تلك الفيروسات التي تقوم بإزالة أو تعديل البيانات .ولكيال تكتشف الفيروسات فهي تقوم بعملية التحور .يمكن لعملية بسيطة مثل فتح ملف أن تكون ش اررة البداية للفيروس .وفيروسات قطاع اإلقالع ،أو فيروس ملفات النظام يصيب وحدات تخزين USBوالمسماة ذاكرة الفالش ثم ينتشر من خاللها إلى األقراص الصلبة األخرى الموجودة على النظام .وتنفيذ برنامج معين ممكن أن ينشط الفيروس. وعندما ينشط الفيروس ،سيقوم بالتبعية بإصابة برامج أخرى على أجهزة أخرى سواء انتقل إليها بالذاكرات المتنقلة أو عن طريق الشبكة .وقد أثر فيروس "ميليسا" على عشرات اآلالف من األجهزة وتسبب في خسائر تقارب 1.2مليون دوالر .قم بالنقر
على
الرابط
لتتعرف
التالي
أكثر
على
الفيروسات
/http://www.whoishostingthis.com/blog/2015/06/01/8-worst-viruses •
الديدان :الديدان wormsهي برمجيات خبيثة تتكاثر وتنتشر بشكل مستقل من خالل استغالل الثغرات في نظم شبكات الحاسب .وتقوم الديدان غالبا بإبطاء عمل الشبكة .كما قلنا فإن الفيروس يحتاج إلى عائل ينتشر ويتكاثر معه ولكن الديدان تنتشر وتتكاثر بنفسها وال تحتاج إلى عائل .وال تحتاج الديدان لتدخل المستخدم إال في ش اررة االنطالق فقط .عندما تصيب الديدان جهاز معين ،تنطلق بدءا من هذا الجهاز لتنتشر بسرعة كبيرة جدا وتعدي باقي األجهزة على الشبكة. وتتشارك الديدان في الخصائص ويكون لها نفس الهدف .فكل الديدان من نفس النوع لها نفس الشفرة التي تمكنها من 54
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
استغالل ثغرة معينة ،ولها نفس طريقة االنتشار وتحمل نفس تعليمات الهجوم .تسببت الديدان في أكثر الهجمات تدمي ار على اإلنترنت .على سبيل المثال ديدان "الشفرة الحمراء" أو Code Redأصابت في لمح البصر 658خادما ،وفي خالل 19ساعة فقط اصابت 300000جهاز حول العالم. •
أحصنة طروادة :حصان طروادة Trojan horseهو برنامج خبيث يحمل في طياته تعليمات خبيثة متخف في عمليات مسموح بها مثل اللعب على االنترنت .ويستغل هذا النوع من البرمجيات الخبيثة الميزات والصالحيات التي يملكها المستخدم الذي قام بتفعيل الحصان .ويختلف حصان طروادة عن الفيروس ،إذ يقوم الحصان بإلصاق نفسه بملفات غير تنفيذيه مثل ملفات الصور ،أو ملفات الصوت أو األلعاب.
القنابل المنطقية :القنبلة المنطقية logic bombعبارة عن برنامج خبيث يستخدم ش اررة بدء لتنشيط الشفرة الخبيثة .على سبيل المثال ،تكون ش اررة البدء إما الوصول لتاريخ معين ،أو وقت معين ،أو تشغيل برنامج آخر ،أو حذف حساب للمستخدم .وتظل القنبلة المنطقية كامنة حتى تحدث ش اررة البدء .وعندما تنشط القنبلة المنطقية تقوم على الفور بتنفيذ تعليمات برمجية من شأنها إحداث الضرر لنظم الحاسب .يمكن للقنبلة المنطقية أن تدمر قواعد البيانات ،أو تزيل الملفات ،أو تهاجم وتعرقل عمل نظم التشغيل أو التطبيقات .اكتشف خبراء األمن السيبراني مؤخ ار أن القنابل المنطقية تصيب وتهاجم المكونات الفيزيائية لجهاز حاسب أو خادم ،فقد تصيب مراوح التبريد أو الشريحة اإللكترونية للمعالج الدقيق أو شرائح الذاكرة أو األقراص الصلبة أو مزود الطاقة الكهربية ،فالقنابل المنطقية تنهك هذه األجهزة حتى تسخن جدا وتخرب. برمجيات الفدية :تقوم برامج الفدية ransomwareباالستيالء على نظام الكمبيوتر أو البيانات التي بداخله ،وال تحرر البيانات مرة أخرى للمستخدم المراد حتى يقوم بدفع الفدية .والتقنية الشائعة لبرمجة الفدية هي الوصول للبيانات على الحاسب الضحية وتشفيرها بمفتاح تشفير غير معروف للمستخدم .ويقوم المستخدم بعدها بدفع األموال إلزالة التشفير واسترجاع البيانات. تقوم بعض برامج الفدية األخرى باستغالل نقاط الضعف والثغرات في جهاز الحاسب إلقفال النظام .تنتشر برمجيات الفدية عن طريق أحصنة طروادة وعادة ما تحدث نتيجة لتحميل ملف أو نقاط ضعف في البرامج .يقوم المستخدم بدفع الفدية في نظام دفع على االنترنت ال يمكن تتبعه ،وعندما يدفع الضحية أموال الفدية يقوم المهاجم بإرسال البرامج التي تفك تشفير الملفات أو يقوم بإرسال شفرة فك القفل .يمكن االطالع على معلومات اكثر عن برمجيات الفدية عبر الرابط التالي . http://www.exterminate-it.com/malpedia/ransomware-category األبواب الخلفية والجذور الخفية :يشير الباب الخلفي backdoorإلى البرنامج الذي ثبته المهاجم السيبراني على نظام معين بعد قدرته على تخطي الحواجز األمنية للنظام .إذ يستطيع الباب الخلفي أن يتخطى نظم المصادقة التي تتحكم في دخول النظام .ومن أشهر برامج الباب الخلفي برنامج Netbusو Back Orificeوالذين يتيحان الوصول عن بعد للمستخدمين الغير مصرح لهم بالدخول .ويساعد الباب الخلفي المهاجم السيبراني على االحتفاظ بعيون داخل النظام تراقب النظام وترسل له بيانات
55
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التجسس .فحتى لو تم اكتشاف الثغرة التي دخل الباب الخلفي من خاللها ،فسيظل البرنامج يراسل المهاجم بمعلومات التجسس. وعادة ما يقوم المستخدمين عن جهل بتشغيل حصان طروادة ،ثم يقوم الحصان بتثبيت برنامج الباب الخلفي. أما الجذور الخفية rootkitفتقوم بالتالعب بنظام التشغيل على الحاسب لعمل باب خلفي .ثم يستخدم المهاجم الباب الخلفي لدخول الحاسب عن بعد .معظم الجذور الخفية تقوم باالستفادة من نقاط الضعف في نظام التشغيل لتزيد من صالحياتها ثم تعدل ملفات النظام .ويتم االستفادة من األخطاء البرمجية أو عيوب التصميم للحصول على صالحيات مميزة للوصول لموارد الشبكة والبيانات .ومن الشائع أن تقوم الجذور الخفية بتعديل نظم التحليل الجنائي ونظم المراقبة لدى النظام ،لذلك يصعب اكتشافها .وعادة ،يقوم المستخدم بإعادة التهيئة الكاملة للقرص الصلب وتثبيت نسخة جديدة من نظام التشغيل إذا تمت العدوى باستخدام الجذور الخفية. محاربة البرمجيات الخبيثة :يمكن اتخاذ خطوات بسيطة ولكن فعالة للدفاع ضد كل البرمجيات الخبيثة: •
برنامج مكافح الفيروسات – تحتوى معظم برمجيات المكافحة للفيروسات على دروع لصد الهجمات الصادرة من معظم البرمجيات الخبيثة .على الرغم من ذلك ،يقوم القراصنة بصفة يومية بتطوير وخلق تهديدات جديدة .ولذلك ،فإن مفتاح الحصول على مكافح فيروسات ناجح هو متابعة تحديث قاعدة بيانات البصمات الرقمية للفيروسات والسلوك البرمجي الخبيث .والبصمة الرقمية مثل بصمة األصبع فهي تحدد شكل وخصائص أجزاء البرنامج الخبيث.
•
تطبيقات محدثة -معظم أشكال البرمجيات الخبيثة تحقق أهدافها باستغالل الثغرات األمنية في التطبيقات والبرامج، بالتحديد في كل من نظام التشغيل والبرنامج المثبت عليه .وعلى الرغم من أن الثغرات األمنية في نظام التشغيل كانت المصدر األول للمشاكل ،إال أنه وفي هذه األيام أصبحت ثغرات التطبيقات أكثر تهديدا وخطورة .ولسوء الحظ وبينما يتم سد الرقع والثغرات الجديدة من قبل منتجي نظم التشغيل إال أن منتجي البرامج ال يلقون لها باال.
3.1.2هجمات البريد اإللكتروني والمتصفح البريد المزعج :خدمة البريد اإللكتروني هي خدمة عالمية يستخدمها المليارات من البشر حول العالم .ونظ ار ألنها أشهر الخدمات في عالم األنترنت ،أصبحت خدمة البريد اإللكتروني مصدر أساسي للثغرات األمنية للمستخدمين والشركات .البريد المزعج ،Spamويسمى أيضا البريد المهمل ،هو عبارة عن رسائل بريدية من مصدر غير معروف .وفي معظم الحاالت تكون الرسائل من هذا النوع بغرض الدعاية واإلعالن .وعلى الرغم من ذلك يمكن للبريد المزعج أن يحتوى على روابط خبيثة ضارة أو برنامج خبيث أو محتوى مخادع (يدعي أنه من مصدر موثوق وهو غير ذلك) .ويكون الهدف في تلك الحاالت هو الحصول على المعلومات الحساسة للمستخدم ككلمات المرور أو رقم بطاقة االئتمان .تأتي الرسائل المزعجة عادة من أجهزة حاسوب على الشب كة أصيب بفيروس أو ديدان .إذ تقوم هذه األجهزة بإرسال حزم أو مجموعة من الرسائل المزعجة بقدر ما تستطيع .حتى مع وجود مكافحات الفيروسات ومكافحات البريد المزعج مازالت الرسائل المزعجة تجد طريقها إلى صندوق الوارد
56
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
لديك ،ولتجنب ذلك يجب أن تفحص بريدك اإللكتروني بالعالمات التالية لتعرف إن كان مصابا بذلك النوع من البرمجيات الخبيثة أم ال. •
رسالة بدون ذكر الموضوع
•
رسالة تطلب تعديل على حساب خاص بك
•
نص الرسالة يحتوي على كلمات ناقصة أو مكتوبة بشكل غير صحيح أو تحتوى على عالمات ترقيم غير مرتبة.
•
الروابط داخل الرسالة طويلة وخفية.
•
رسالة تبدو وكأنها من شركة معروفة.
•
يطلب في الرسالة أن تفتح المرفقات.
اضغط على الرابط التالي لمعرفة المزيد عن البريد المزعج https://www.onguardonline.gov/articles/0038-spam إذا استقبل المستخدم رسالة تحتوى على واحدة أو أكثر من هذه العالمات ،فيجب أن ال يقوم بفتح البريد أو تنزيل المرفقات أو الضغط على الروابط .ومن السياسات الشائعة داخل المؤسسات أن المستخدم داخل الشركة إذا صادفه بريد من هذا النوع أن يعطي تقرير به لطاقم أمن الحاسب .معظم موفري خدمة البريد اإللكتروني يقومون بتصفية البريد المزعج .ولسوء الحظ ،مازال البريد المزعج يستهلك جزء من عرض النطاق ،ويقوم الخادم المستقبل للرسالة بمعالجتها رغما عنه. برمجيات التجسس والدعاية والذعر :برمجيات التجسس Spywareتمكن المهاجمين من الحصول على معلومات عن أنشطة المستخدم على الحاسب .غالبا ما يحتوي برنامج التجسس على متتبع األنشطة وحافظ نقرات المفاتيح وملتقط البيانات .وفي محاولة لتخطي الحواجز األمنية ،تقوم برمجيات الذعر بالتعديل في اإلعدادات األمنية .وغالبا ما يدمج برنامج التجسس نفسه مع برامج معتمدة أو مع أحصنة طروادة .كثي ار من مواقع البرامج التجريبية sharewareمليئة ببرمجيات التجسس. برمجيات الدعاية Adwareتقوم بتنشيط رسائل منبثقة تظهر للمستخدم أثناء استخدامه للحاسب تحمل معلومات عن منتج أو خدمة أو سلعة لجلب الربح للمهاجم .ويمكن لبرمجيات الدعاية أن تحلل ميول ورغبات المستخدم عن طريق تتبع المواقع اإللكترونية التي زارها .وبعدها تقوم البرمجية بإظهار رسائل محتواها له صلة برغبات المستخدم .وبعض اإلصدارات من البرامج تقوم تلقائيا بتثبيت برمجيات دعاية .بعض منها فقط لعرض اإلعالنات وكثير منها يأتي مع نسخة من برمجيات التجسس. برمجيات الذعر Scarewareتجبر المستخدم على أخذ قرار بناء على تخويفه من شيء أو حدث ما .تقوم تلك البرمجيات بعمل مربع حواري أو نافذه منبثقة مزيفه شبيهة لمربعات الحوار الخاصة بنظام التشغيل .تقوم هذه النوافذ بعرض رسائل مزيفة تعلم المستخدم بأن هناك خطر على استمرار عمل الجهاز ويتطلب تنزيل برنامج معين ليعود النظام لحالته الطبيعية .وفي
57
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الواقع ،ال توجد مشكلة أو خطر على الجهاز ،ولو وافق المستخدم على تنزيل البرنامج المذكور وتنفيذه ،سيتم إصابة جهازه على الفور ببرمجية خبيثة. االصطياد :Phishingوفيها يرسل المهاجم رسالة بريد إلكتروني مدعيا أنها من مصدر موثوق .والرسالة تقنع المستقبل وتكسب ثقته فيتم انزال برنامج خبيث على جهازه ،أو مشاركة معلوماته المالية .على سبيل المثال يتم تصميم رسالة بريد الكتروني لتظهر كأنها مرسلة من متجر يطلب منك الضغط على رابط بداخل الرسالة لطلب جائزة .من الممكن ان يحولك الرابط إلى موقع الم هاجم ليطلب منك معلومات شخصية .وفي بعض األحيان بمجرد الضغط على الرابط يتم تنزيل برنامج خبيث. االصطياد الرمحي Spear Phishingهو نوع من االصطياد ولكنه مركز على شخص بعينه .ويصل أيضا إلى الضحية عن طريق رسائل البريد االلكتروني .ولكن في هذه الحالة يتم دراسة الشخص ومعرفة ميوله من خالل الشبكات االجتماعية .ثم يتم إرسال رسالة بريد الكتروني جاذبه له بناء على اهتماماته .على سبيل المثال لو عرفنا أن الضحية تحب نوع معين من السيارات وتريد أن تشتريه .وحينها يتم تصميم رسالة بريد إلكتروني بها صورة لموديل السيارة المرغوبة .والصورة تحتوى على رابط ويطلب من الضحية أن يضغط على الرابط فيتم انزال برنامج خبيث على جهاز الضحية دون علمه.
التصيد ،التنصيص ،التزييف والحواتة :والتصيد Vishingيشبه االصطياد ولكن التصيد يستخدم تقنية االتصال الصوتي .يقوم المهاجم بالخداع عن طريق االتصال كمصدر أو شخص معتمد لهيئة أو بنك مستخدما تقنية االتصال الصوتي عبر االنترنت ( .)VoIPكما يمكن للضحية أن تستقبل تسجيل صوتي يبدو رسميا .يريد المجرمون الحصول على معلومات شخصية مثل رقم بطاقة االئتمان أو أي رقم يحدد هويتهم .التصيد يستغل حقيقة أن الناس يثقون بشبكة االتصال الهاتفي. التنصيص Smishing :يعني استخدام خدمة الرسائل النصية القصيرة ( )SMSلالصطياد عن طريق الهاتف النقال .يقوم المهاجمون بانتحال شخصية المصادر الموثوقة لمحاولة كسب ثقة الضحية .على سبيل المثال يمكن أن يتم التنصيص بإرسال 58
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
رسالة نصية قصيرة تحتوى على رابط لموقع إلكتروني وعندما يزور الضحية الموقع يتم تنزيل برنامج خبيث على الهاتف النقال. التزييف Pharming :معناه انتحال شكل الموقع اإللكتروني كمحاولة إليهام المستخدمين بأن الموقع رسمي فيقوموا بإدخال بيانات صالحياتهم .في التزييف ،يتم إعادة توجيه المستخدمين للمواقع المزيفة التي تظهر كأنها رسمية .بعدها يقوم المستخدم بإدخال معلوماته الشخصية ظنا منه أنه متصل بموقع معتمد. الحواتة Whaling :أصل الكلمة تعود إلى مهنة صيد الحيتان .وفي هجوم الحواتة يقوم المهاجم باستهداف الرموز الكبيرة داخل الشركة مثل المدير التنفيذي .ويمكن أيضا استهداف السياسيين أو المشاهير. يوجد في الرابط التالي معلومات أكثر عن التصيد ،التنصيص ،التزييف والحواتة. https://www.rsa.com/content/dam/rsa/PDF/h11933-wp-phishing-vishing-smishing.pdf المكونات اإلضافية وتسمم المتصفح :يمكن أن تؤثر االختراقات على مستعرضات االنترنت فتقوم بعرض اإلعالنات المنبثقة أو جمع المعلومات التي تعرف شخصية المستخدم أو تثبت برمجية خبيثة كفيروس او برنامج تجسس .يستطيع المهاجم أن يقوم بقرصنة الملف التنفيذي للمتصفح ،أو مكون من مكونات المتصفح أو المكون اإلضافي .plugin المكونات اإلضافية :المكونات اإلضافية كالفالش ومشغل الوسائط Shockwaveمن شركة أدوبي سهلت من تطوير رسومات شيقة ورسوم متحركة والتي حسنت من المظهر العام لصفحات الويب .والمكونات اإلضافية تعرض المحتوى مستخدمة البرمجية المناسبة لذلك المحتوى .حتى وقت قريب ،كانت للمكونات اإلضافية سمعة أمنية طيبة .وعندما تزايد استخدام المحتوى المعتمد على الفالش وأصبح أكثر شهرة ،قام المجرمون بفحص مكونات الفالش اإلضافية والبرمجيات اإلضافية ،وقاموا بتحديد الثغرات في ها ،وقاموا باستغالل تلك الثغرات الموجودة في مشغل الفالش .االستغالل الناجح للثغرات يمكن أن يسبب تخريب النظام أو يسمح للقراصنة االستيالء والسيطرة الكاملة على النظام المتأثر .توقع أن تزداد حاالت فقدان البيانات كلما استمر القراصنة في فحص المكونات اإلضافية والبروتوكوالت المشهورة للبحث عن ثغرات بها. تسمم Poisoningمحركات البحث :محركات البحث مثل جوجل تعمل بتقنية ترتيب الصفحات page rankingوهو إعطاء كل صفحة رتبة منفصلة .وتحسب رتبة الصفحة على حسب عدد الصفحات األخرى التي أشارت إليها .ويتم اإلشارة ألي صفحة باستخدام رابط لها .وعندما يقوم المستخدم بالبحث ،يتم إظهار الصفحات مرتبة حسب الرتب ،الرتبة األعلى أوال .وعلى حسب محتوى الصفحة ورتبتها ،يكون ترتيبها في نتائج البحث .ويوجد تقنيات لتحسين ظهور صفحات الويب منها تقنية "تحسين محرك البحث" Search Engine Optimization SEOوفيها يتم تحسين رتبة الموقع ليظهر من أوائل نتائج البحث .على الرغم من أن شركات شرعية وظيفتها تحسين المواقع لتبدو أكثر أهمية وأعلى رتبة في محركات البحث ،إال أن
59
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
هناك هجوم يسمم عملية التحسين هذه لتظهر الصفحة الخبيثة في أوائل نتائج البحث .والهدف الغالب في عملية تسمم محركات البحث هو زيادة عدد الزيارات للموقع الخبيثة والتي تحوي كثي ار من البرمجيات الخبيثة أو تهاجم باستخدام تقنية الهندسة االجتماعية .ولجعل الموقع الخبيث يظهر في أوائل نتائج البحث ،يقوم المهاجمون باستخدام نصوص بحث مشهورة ودمجها في محتوى الموقع الخبيث. خاطف المتصفحات :خاطف المتصفحات هو برنامج خبيث يقوم بتغيير إعدادات متصفح االنترنت ليعيد توجيه المستخدمين نحو موقع محدد .هذا الموقع لزبائن يؤجرون القراصنة لعمل ذلك التوجيه اإلجباري للمستخدمين .وعادة ما يقوم برنامج خطف المتصفحات النزول على الجهاز الضحية بدون تصريح من المستخدم وعادة ما يكون جزء من برامج "التنشيط بالتحميل" . وبرامج التنشيط بالتحميل تقوم بتحميل ملف معين عندما يقوم المستخدم بزيارة موقع ما أو فتح رسالة بريدية .وكإجراء تحرزي، قم بقراءة اتفاقية المستخدم بعناية عندما ترغب في تحميل البرامج لتجنب هذا النوع من البرمجيات الخبيثة. الدفاع ضد هجمات المتصفح والبريد االلكتروني :للتعامل مع البريد المزعج يمكن استخدام طريقة تصفية البريد ،أو تدريب المستخدم ليكون لديه الوعي الكافي لتجنب البريد المجهول ،أو استخدام الخوادم لتصفية البريد .إنه من الصعب للغاية إيقاف البريد المزعج ،ولكن هناك طرق للحد من أثره .على سبيل المثال ،معظم مزودي خدمة االنترنت ISPيقومون بترشيح البريد المزعج قبل أن يصل صندوق الوارد الخاص بالمستخدم .والعديد من مكافحات الفيروسات وبرامج البريد اإللكتروني تقوم تلقائيا بعمل تنقية للبريد .بمعنى أنه يمكن لتلك البرامج اكتشاف وإزالة البريد المزعج من صندوق الوارد. يجب على المؤسسات أن تزيد من وعي موظفيها لتجنب خطر تنزيل مرفقات البريد المزعج والتي قد تحتوي على فيروسات أو ديدان .على تفترض نقاء مرفقات البريد اإللكتروني ،حتى إذا أتتك من مصدر اتصال موثوق .فأحيانا يقوم الفيروس باالنتشار من خالل جهاز الحاسب الخاص بالمرسل .قم بمسح مرفقات البريد اإللكتروني قبل فتحها لتتأكد من خلوها من الفيروسات. مجموعة العمل ضد االصطياد ( )APWGهي هيئة صناعية تركز على منع سرقة الهوية والتزوير باستخدام االصطياد وتزييف البريد اإللكتروني .الحفاظ على ترقية البرامج يؤكد على أن النظام لديه رقع سد الثغرات الحديثة والتي تجنب النظام الكثير
من
الهجمات.
اضغط
على
الرابط
التالي
لتتعرف
أكثر
على
هجمات
المتصفح
، /http://www.howtogeek.com/228828/7-ways-to-secure-your-web-browser-against-attacks
3.2الخداع 3.2.1فن الخداع الهندسة االجتماعية :هي وسيلة غير تقنية بالمرة يستخدمها المهاجم لجمع المعلومات عن الضحية .الهندسة االجتماعية هي هجوم يحاول التالعب باألشخاص للقيام بحدث معين أو اإلفصاح عن معلومات سرية .الهندسة االجتماعية غالبا ما تعتمد اعتماد كلي على رغبة الناس الفطرية في المساعدة وأيضا تقتنص نقاط الضعف في األفراد .على سبيل المثال ،يقوم المهاجم 60
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
باالتصال بموظف معتمد ليخبره بأن هناك مشكلة طارئة تحتاج الدخول العاجل على شبكة الحاسب .يمكن للمهاجم ان يستغل غرور الموظف ،فيستدعي سلطة الموظف باستخدام تقنية أسماء التعظيم .أو يستغل طمع الموظف .والتالي هو بعض هجمات الهندسة االجتماعية: •
التستر :وتتم بأن يقوم المهاجم باالتصال بالضحية ويكذب عليه في محاولة ألخذ صالحيات الوصول للبيانات منه .مثال لذلك أن يقوم المهاجم بالتظاهر أنه يحتاج لمعلومات شخصية أو بيانات مالية لكي يتحقق من هوية المستخدم.
•
شيء من أجل شيء :وفيها يقوم المهاجم بطلب معلومات شخصية مقابل شيء ما مثل الهدية.
تكتيكات الهندسة االجتماعية :تعتمد الهندسة االجتماعية على خطط وتكتيكات مختلفة ،من هذه التكتيكات اخترنا اآلتي على سبيل المثال: •
استغالل السلطة :الناس غالبا ما ينقادون للتعليمات في حالة معرفتهم أن التعليمات من سلطة عليا .مثل ،أن يقوم الشخص بفتح ملف PDFوالذي يبدو وكأنه ملف استدعاء رسمي للمحكمة.
•
التخويف :يتم الضغط على الضحية للقيام بفعل ما .مثال ،تلقت سكرتيرة المدير التنفيذي اتصاال يفيد بأن مديرها على وشك أن يعطي عرض تقديمي هام ،ولكن الملف عاطب .يقوم المهاجم (من يقوم باالتصال) بطلب إرسال الملفات له على الفور.
•
الميول المشتركة :سيقوم الناس باالستجابة إذا تم إقناعهم بأن اآلخرون يستجيبون أيضا .مثال ،يقوم المهاجم ببناء موقع إلكتروني يحتوي على دالئل مزيفة تخص منتج ،حيث تؤكد الدالئل بأنه منتج آمن.
•
االحتياج :سيقوم الناس باالستجابة على الفور في حالة معرفتهم أن الكمية محدودة .مثال يقوم المهاجمون بعرض فرصة محدودة لن تستمر على أمل إغراء الضحية ألخذ رد فعل فوري.
•
العجلة :سيقوم الناس باالستجابة على الفور في حال معرفتهم محدودية الوقت ،مثال يقوم المهاجم بتحديد الموعد النهائي للشراء بناء على سعر محدد. 61
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
األلفة :يقوم المهاجمون ببناء صلة بالضحية إلقامة عالقة ودية معه .وعادة ما يستجيب الناس لطلبات اآلخرون في حالة اعجابهم بهم.
•
الثقة :يقوم المهاجم بإقامة عالقة مع الضحية مبنية على الثقة المتبادلة والتي عادة ما تحتاج للوقت لكي تتم .على سبيل المثال يقوم "خبير األمن" بالتواصل مع الضحية إلعطاء النصيحة في حل مشكلة ما ،ويطلب تفويضات من الضحية لتسهيل ذلك .وبعد مساعدة الضحية بأيام ،يكتشف المهاجم وجود خلل ما يحتاج إلى رد فعل فوري ،فيستخدم التفويضات التي أخذها سالفا من الضحية ليحقق هجومه الخبيث.
محترفي األمن السيبراني مسئولون عن تثقيف وتدريب الموظفين في الشركة وتعريفهم بتكتيكات الهندسة االجتماعية .يمكن االستزادة عن الهندسة االجتماعية عبر الرابط التالي ، http://www.informit.com/articles/article.aspx?p=1350956 3.2.2طرق الخداع استراق النظر واسترجاع المهمالت :استراق النظر يتم ،على سبيل المثال ،بالنظر من فوق الكتف على ما يكتبه الضحية ،يقوم المهاجم باستراق النظر لجلب األرقام السرية لبطاقة الصراف اآللي أو شفرات الدخول أو أرقام البطاقات االئتمانية .عادة ما يكون المهاجم على مقربة من الضحية وأحيانا يستخدم نظارات معظمة أو منظار عن بعد الستراق النظر .ولهذا السبب عند الذهاب لصرف األموال من ماكينة الصرف اآللي ،يتم تغطية لوحة األرقام لكيال يتم استراق النظر من قبل األشخاص المجاورون .وتلك إحدى تقنيات الحماية التي تصعب من عملية استراق النظر. "مهمالت شخص هي كنز لشخص آخر" ،وهذه العبارة تكون صحيحة جدا وخصوصا في هجمة استرجاع المهمالت .واسترجاع المهمالت هي عملية التفتيش في مهمالت الضحية (ما يوضع في سلة المهمالت) للبحث عن المعلومات الموجودة في تلك الفضاالت .يجب االهتمام بتنظيف وعاء المهمالت ،فأي مستند يحتوى على معلومات حساسة يجب أن يتم التخلص منه عن طريق تمزيقه بماكينات التمزيق أو حرقه باستخدام حقائب النار .وحقيبة النار هي وعاء توضع فيه المستندات الزائدة ذات المعلومات الهامة لحرقها بالنار فيما بعد. انتحال الشخصية ونشر اإلشاعات :انتحال الشخصية يعني التظاهر بأنك شخص آخر .على سبيل المثال ،مؤخ ار تم استخدام الهاتف في عملية االحتيال تجاه دافعي الضرائب .يتظاهر المهاجم بأنه موظف هيئة ضريبة الدخل األمريكية ،ثم يخبر الضحية بأنه مديون للهيئة .ويجب أن يدفع الضحية األموال من خالل حوالة مصرفية .ثم يقوم منتحل الشخصية بتهديد الضحية بالقبض عليه في حال عدم الدفع .يتم معرفة المعلومات المتعلقة بالضحية مثل دافعي الضرائب من خالل مواقعهم الشخصية أو من مشاركاتهم على مواقع التواصل االجتماعي.
62
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ونشر اإلشاعة هو فعل من شأنه الخداع والتضليل .اإلشاعة السيبرانية يمكن أن تحدث تخريبا يقارب التخريب الذي تحدثه عملية قرصنة كاملة .واإلشاعة تثير رد فعل المستخدم .ويمكن لرد الفعل أن يوجد الخوف بال داعي أو يجر المستخدم بأن يقوم بسلوك غير منطقي .يقوم المهاجمون بنشر اإلشاعات من خالل البريد اإللكتروني وشبكات التواصل االجتماعي .يمكن االطالع على الرابط التالي لرؤية موقع إلكتروني يسرد أشهر نصوص اإلشاعات. /http://www.hoax-slayer.com . الحمل الظهري والتتبع الظهري :يحدث الحمل الظهري (الحمل فوق الظهر) عندما يلتصق المهاجم بشخص معتمد ليتمكن من الدخول لألماكن المؤمنة أو األماكن المحظورة .يستخدم المجرمون عدة طرق لتحقيق الحمل الظهري •
يعطي مظهر أنه مرافق للشخص المعتمد
•
ينضم لمجموعة مدعيا أنه واحد منهم
•
يستهدف ضحية غير مهتمة بقواعد المنشأة.
التتبع الظهري هو مصطلح آخر يصف نفس طريقة الحمل الظهري ،يمكن منع الحمل الظهري باستخدام نوعين من األبواب، فبعد أن يدخل الفرد من الباب الخارجي يجب أن يتم غلق هذا الباب قبل الدخول من الباب الداخلي .الباب الداخلي غالبا ما يكتب عليه "منطقة محظورة ،يدخل الموظفون فقط" كما نرى في الصورة التالية
الخداع بتقنيات الويب :إن مشاركة البريد اإللكتروني المحتوى على اإلشاعات والنكات أو األفالم الكوميدية أو أي بريد إلكتروني ال يمت للعمل بصلة ،يخالف سياسة االستخدام المقبول AUPويقابل بردود فعل صارمة .يمكن الضغط على الرابط التالي لزيارة موقع يقوم بنشر مشاركات تحتوى على شائعات وطرق التحقق من حقيقة تلك الشائعات. /http://www.snopes.com الدفاع ضد عمليات الخداع :يجب على المؤسسة أن تزيد من وعي موظفيها تجاه هجمات الهندسة االجتماعية وتكتيكاتها. ويجب تدريب الموظفين على طرق منع حدوثها مثل اآلتي •
يحظر إرسال معلومات سرية أو بيانات تحقيق الهوية باستخدام البريد اإللكتروني أو جلسات الدردشة أو بصفة شخصية أو من خالل الهاتف ألشخاص غير معروفين. 63
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
قاوم اإلغراء الذي يأتيك عند رؤية رابط لموقع شيق أو صورة جذابة .فال تضغط على الروابط إال إذا تحققت من صحتها.
•
راقب عمليات التحميل التي تتم تلقائيا أو بدون رغبة منك.
•
قم بإقرار سياسات االستخدام ودرب الموظفين عليها.
•
أعط الموظف اإلحساس بأنه المالك ،ألنه بذلك سيحمي ممتلكات الشركة كحفاظه على شيء يخصه.
•
ال تستجيب للضغوطات التي تأتيك من أشخاص مجهولين.
قم بالضغط على الرابط التالي لتعرف أكثر عن الوعي السيبراني https://niccs.us-cert.gov/awareness/protect- yourself-against-cyber-threats
3.3الهجمات 3.3.1أنواع الهجمات السيبرانية هجمة قطع الخدمة :هجمة قطع الخدمة ) Denial-of-Service (DoSهي نواع من هجمات الشبكة .وهجمة قطع الخدمة ينت ج عنها نوع من أنواع قطع الخدمة الشبكية من المستخدم او من جهاز او من تطبيق .يوجد نوعان هامان من هجمات قطع الخدمة: •
المرور المتضخم :يقوم المهاجم بإرسال كمية هائلة من البيانات بمعدل مرتفع ال تستطيع الشبكات أو األجهزة أو التطبيقات تحمله .وهذا يسبب بطء في النقل أو االستجابة ،كما يسبب في كثير من األحيان تعطيل الجهاز أو إيقاف الخدمة.
•
الحزم المعدلة :يقوم المهاجم بإرسال حزم معدلة لهدف خبيث هو أنه عندما تصل الحزمة للمستقبل سواء كان جهاز أو تطبيق سيقوم بالتعامل معها ولكن لن يستطيع معالجتها .على سبيل المثال ،ال تستطيع التطبيقات تعريف إن كانت الحزمة تحتوى على أخطاء أو مهيأة بشكل غير سليم .وهذا يسبب بطء أو تخريب الجهاز المستقبل.
هجمات قطع الخدمة خطيرة على المؤسسات نظ ار ألنها تعرقل االتصاالت وتسبب الخسائر في الوقت والمال .وهي هجمات سهلة التنفيذ إلى حد ما ،ممكن أن يقوم بها أي شخص حتى لو كان مبتدئا .وهدف هجمة قطع الخدمة هو منع وصول المستخدمين للخدمات بجعل الشبكة أو الخدمة غير متاحة .تذكر الثالث مبادئ الرئيسية لألمن ،السرية ،والتماسك والتوافر. فهجمة قطع الخدمة تدمر بشكل أساسي التوافر .أنظر الشكل التالي لتوضيح هجمة قطع الخدمة. أما الهجمة الموزعة لقطع الخدمة Distributed Denial of Service (DDoS) :تشبه هجمة قطع الخدمة ،ولكن الهجمة الموزعة تكون من كثير من المصادر الموجهة نحو الضحية .على سبيل المثال ،يمكن أن تجري هجمة قطع الخدمة على النحو التالي:
64
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يقوم المهاجم ببناء شبكة من الحواسيب المصابة تسمى هذه الشبكة "شبكة البوت" وتتكون من مجموعة من أجهزة الحاسب المسماة "زومبي" .والزومبي هي األجهزة المصابة .يقوم المهاجم بإنزال برنامج التحكم في الزومبي .إذ تقوم حواسيب الزومبي بمسح الشبكة إلصابة أجهزة جديدة لخلق حواسيب زومبي أخرى .وعندما يتم عمل شبكة الزومبي المطلوبة يبدأ المهاجم بإرسال تعليماته لبرنامج التحكم لتسخير شبكة الزومبي للقيام بالهجوم الموزع لقطع الخدمة .الشكل التالي يوضح كيف تتم الهجمة الموزعة لقطع الخدمة ،والشكل يوضح أيضا كيف يتم تسخير كثير من حواسيب الزومبي لتحقيق الهجمة وإغراق الضحية.
غربلة الحزم sniffing :يشبه هجوم غربلة الحزم هجوم التصنت على شخص ما .ويحدث عندما يقوم المهاجم بفحص كل المرور الشبكي الذي يمر ببطاقة التوصيل الشبكي ) Network Interface Card (NICوالذي يوصل جهاز المهاجم بالشبكة ،هذا بغض النظر عن كون المرور موجه له أو لغيره .يحقق القراصنة هجوم الغربلة باستخدام تطبيقات برمجية أو جهاز عتاد أو كالهما معا .وكما نرى في الشكل ،تتم الغربلة بعرض كل سيل البيانات الشبكي وتستهدف بروتوكول معين أو خدمة أو حتى نص من مجموعة حروف مثل معلومات الدخول أو كلمة المرور .كما يقوم المغربلون بمالحظة سيل البيانات
65
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وتعديل بعض أو كل البيانات التي تمر عبر الشبكة .وللغربلة أيضا جوانب إيجابية ،إذ يقوم مديرو الشبكات باستخدام المغربالت (البرامج المستخدمة في الغربلة) لتحليل ومراقبة المرور الشبكي وتحديد مشاكل عرض النطاق و معالجة األمور األخرى المتعلقة بالشبكة .ويعتبر األمن الفيزيائي هام جدا لمنع وجود المغربالت البرمجية أو العتاد على الشبكات الداخلية.
االنتحال spoofing :يعتبر االنتحال نوع من أنواع سرقة الهوية والتظاهر بملكيتها ،ويستغل االنتحال درجة الثقة المتبادلة بين نظامين .فلو تم قبول طريقة المصادقة المتبادلة بين الطرفين ،ثم دخل الفرد للنظام االول فإنه أحيانا لن يحتاج الستخدام الصالحيات ولن يمر بعملية مصادقة لدخول النظام الثاني .يمكن للمهاجم أن يستغل هذا الترتيب فيقوم بإرسال حزمة بيانات للنظام األول والتي تظهر كأنها آتية من النظام الثاني الموثوق فيه .وحيث أن درجة الثقة متبادلة بين الطرفين ،سيقوم النظام المستهدف بعمل المهمة المطلوبة بدون إجراء عملية المصادقة .يوجد عدة أنواع لهجوم االنتحال: َ •
االنتحال بعنوان الماك ( )MAC addressويحدث عندما يقبل جهاز حاسب الحزم اآلتية من جهاز حاسوب آخر بناء عنوان الماك الخاص به.
•
االنتحال بالرقم المعرف للشبكة ( )IPحيث يقوم المهاجم باستخدام رقم معرف للشبكة غير الرقم الحقيقي له ليقوم بالهجوم متخفيا.
•
انتحال آرب :وآرب ) Address Resolution Protocol (ARPهو بروتوكول تحليل العنوان ،بالتحديد يقوم آرب بتحويل الرقم المعرف للشبكة IPإلى عنواك الماك إلجراء عملية نقل البيانات .انتحال آرب يقوم بإرسال رسائل آرب منتحلة عبر الشبكة المحلية ليتم ربط الماك الخاص بالمهاجم مع رقم معرف الشبكة الخاص بشخص موثوق فيه داخل الشركة.
•
نظام أسماء النطاقات ) Domain Name System (DNSيحول األسماء إلى رقم معرف الشبكة مثل تحويل www.cisco.comإلى .102.23.211.2وانتحال أسماء النطاقات يتم بتعديل خادم أسماء النطاقات إلعادة ربط اسم النطاق برقم معرف للشبكة والخاص بجهاز يتحكم فيه المهاجم. 66
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
هجمة الرجل الوسيط Man-in-the-Middle :يقوم المهاجم بعمل هجمة الرجل الوسيط عن طريق التعرض لالتصال بين الحواسيب بهدف سرقة المعلومات التي تمر عبر الشبكة .يمكن للمهاجم أيضا أن يقوم بالتالعب في الرسائل وتوصيل معلومات غير صحيحة بين األجهزة .وألن األجهزة المضيفة لن تكون على دراية بحدوث تعديل في الرسائل ،لذا يقوم المهاجم بالسيطرة على األجهزة بدون علم المستخدم .وخطوات عمل هجمة الرجل الوسيط موجودة في الشكل وهي كالتالي: •
عندما تطلب الضحية فتح صفحة من صفحات الويب ،يتم توجيه الطلب نحو جهاز المهاجم.
•
يستقبل جهاز المهاجم الطلب ثم يسحب صفحة الويب الحقيقية من الموقع المعتمد.
•
يمكن للمهاجم أن يقوم بالتالعب ل صالحة في صفحة الويب بحيث تسمح له بنقل المعلومات من جهاز الضحية.
•
يقوم المهاجم بإرسال الصفحة للجهاز الضحية.
الرجل في الجوال – Man-in-the-Mobileهجمة الرجل في الجوال هي نسخة من نسخ هجمة الرجل الوسيط .تتم هجمة الرجل في الجوال بسيطرة المهاجم على الهاتف النقال لشخص ما .ثم يقوم الهاتف بإرسال المعلومات الحساسة للمهاجم .ويعتبر برنامج ZeuSمن أشهر البرامج لتحقيق تلك الهجمة .ويسمح للمهاجم بسرقة المصادقة ذات العاملين التي تتم بإرسال كود للموبايل .على سبيل المثال ،عندما يقوم المستخدم بإنشاء حساب جديد على شركة آبل ،Appleيجب أن يقوم بإدخال رقم هاتف حقيقي ليستقبل به رسالة نصية تحتوي على رقم دخول للتحقق من هوية المستخدم وأنه شخص حقيقي .والبرمجيات الخبيثة تتلصص على هذا النوع من االتصال وترسل المعلومات للمهاجم. الرد – replyتحدث هجمة الرد بأن يقوم المهاجم بالتقاط جزء من االتصال بين جهازين مضيفين ،ثم يقوم بإعادة أرسال الرسائل الملتقطة بعد ذلك .هجمات الرد تدور حول نظم المصادقة بين الطرفين.
67
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
هجمة ساعة الصفر Zero Day :وفي بعض األحيان تسمى تهديد ساعة الصفر أو تهديد اليوم الصفري .وهي عبارة عن محاولة استغالل الثغرات الموجودة في البرمجيات والغير معروفة أو لم تفصح عنها الشركة المصنعة .وتشير ساعة الصفر إلى اللحظة التي يتم اكتشاف الهجوم فيها .و خالل الوقت التي تستغرقه الشركة المصنعة في تطوير وتوزيع الرقع للثغرات ،تكون الشبكة عرضة للهجوم من خالل تلك الثغرات كما نرى في الشكل .الدفاع ضد هذه الهجمات ذات الوقع السريع يتطلب من محترفي األمن السيبراني أن يستخدموا شكال أكثر تعقيدا للهيكل الشبكي .لذا فلن يمكن وجود نقاط دخول للشبكة بعد ذلك.
تسجيل لوحة المفاتيح Keyboard Logging :مسجل لوحة المفاتيح هو برنامج يسجل نقرات المفاتيح لمستخدم النظام .يمكن للقراصنة االستفادة من برنامج المسجل من خالل تثبيته على نظام الحاسب أو من خالل جهاز مادي موصل فيزيائيا بالحاسوب .يقوم المهاجم بتهيئة برنامج المسجل ليقوم بإرسال ملف سجل النقرات إلى المهاجم عن طريق البريد اإللكتروني. يمكن لتلك النقرات أن تفصح عن معلومات هامة مثل اسم المستخدم ،كلمات المرور ،المواقع التي زارها ،ومعلومات سرية أخرى كثيرة. يمكن لمسجالت لوحة المفاتيح أن تستخدم بشكل مشروع كبرنامج تجاري .على سبيل المثال ،يستخدم اآلباء مسجل المفاتيح في تعقب سلوك أطفالهم على اإلنترنت .تقوم برامج مكافحة التجسس باكتشاف وإيقاف تسجيالت لوحة المفاتيح الغير مشروعة. وعلى الرغم من شرعية استخدام برامج مسجالت المفاتيح إال أن القراصنة يستخدمونها في أغراضهم الخبيثة. الحماية من الهجمات :يمكن للشركة أن تقوم بعدة خطوات لتجنب الهجمات السيبرانية .يجب تهيئة الجدران النارية لتجاهل ا لحزم التي تأتي من خارج الشبكة وتحمل عنوان من عناوين الشبكة الداخلية .حيث أن هذا الموقف غير منطقي وهو ال يحدث بشكل طبيعي ،بل يوضح أن هناك مهاجم يحاول تحقيق هجوم االنتحال. وللحماية من هجمتي قطع الخدمة الموزعة والعادية ،DoS, DDoSيجب التأكد من وجود آخر التحديثات والرقع للبرامج. ويجب توزيع المهام البرمجية على الخوادم المختلفة .ويجب تجاهل أو منع الحزم التي تأتي ببروتوكول رسائل التحكم باإلنترنت ( ) ICMPعلى حدود الشبكة .تستخدم أجهزة الشبكة هذا البروتوكول لتراسل األخطاء فيما بينها .على سبيل المثال ،يستخدم األمر pingحزم بروتوكول التحكم برسائل االنترنت للتأكد من أن جهاز يستطيع التواصل مع جهاز آخر على الشبكة. 68
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستطيع النظام منع نفسه من الوقع ضحية لهجمة الرد عن طريق تشفير سيل البيانات الذي يمر عبر الشبكة وعمل مصادقة مشفرة وتضمين الوقت والتاريخ على كل الرسائل المتبادلة .أنقر على الرابط التالي لتعرف أكثر عن أنواع الهجمات السيبرانية المختلفةhttp://www.theguardian.com/public-leaders-network/2015/oct/14/how-to-stop-cyber- . attacks-on-your-organisation 3.3.2هجمات األجهزة الالسلكية والنقالة البرامج الرمادية Grayware :أصبحت البرامج الرمادية مشكلة كبيرة في مجال أمن الهواتف النقالة نظ ار النتشار األجهزة الذكية .والبرمجيات الرمادية هي برمجيات بغرض المضايقة واإلزعاج ،ولذا لم تسمى مثال برامج سوداء أو خبيثة وانما سميت رمادية نظ ار ألنها تحتوي على تطبيقات تتصرف بشكل مزعج أو غير مرغوب فيه ،كما أنها على الغالب ال تحوي برمجيات خبيثة .ومع ذلك فمن الممكن أن تمثل خط ار على المستخدم ،على سبيل المثال تقوم بعض هذه البرمجيات بتتبع الموقع الجغرافي للمستخدم .ومطوري البرمجيات الرمادية يحصلون على شرعية التوزيع بإدراج قدرات برمجياتهم في اتفاقية الترخيص المكتوبة بشكل صغير وغير ملفت للنظر .وعادة ما يقوم المستخدمون بتحميل برامج الموبايل دون االكتراث بقراءة تلك االتفاقيات أو معرفة قدرات البرامج. أما التنصيص فهي هجمة تستخدم فيها الرسائل النصية القصيرة SMSفي االحتيال .حيث يتم إرسال رسالة نصية مزيفة إلى الضحية ويتم خداع المستخدم لزيارة موقع إلكتروني أو االتصال برقم هاتف .نتيجة لذلك غالبا ما يستجيب المستخدم المستهدف ويدلي بمعلوماته الحس اسة كرقم البطاقة االئتمانية الخاصة به .وزيارة المواقع اإللكترونية الغير موثوقة ممكن أن يتسبب في تنزيل برمجيات خبيثة وإصابة الجهاز دون علم المستخدم. نقاط الوصول المخادعة :نقطة الوصول المخادعة هي نقاط وصول السلكي مثبتة على شبكة محمية بدون تصريح أو مصادقة .يمكن تركيب نقطة الوصول المخادعة بإحدى طريقتين ،الطريقة األولى هي أن يقوم موظف في الشركة بمحاولة مساعدة زمالئه وتوفير نقطة اتصال السلكية باإلنترنت بشكل مجاني .الطريقة الثانية ،أن يقوم المهاجم باالقتحام الجسدي للشركة ثم يقوم بزرع نقاط اتصال السلكي مخادعة .ونظ ار ألن كال الطريقتين بهدف الخداع فإنهما يمثالن خط ار كبي ار على الشركة .يمكن اإلشارة لنقاط الوصول المخادعة باسم نقاط الوصول الهجومية ،إذ يقوم المهاجم بزرع نقاط اتصال مخادعة ويستخدمها كجهاز وسيط ثم يستخدم تقنية هجمة الرجل الوسيط اللتقاط معلومات دخول النظم من المستخدمين. هجمة "توأم الشر" تستخدم فيها نقاط الوصول الهجومية كنقاط اتصال السلكي تمتاز بقوتها في اإلشارة والتغطية والسرعة لتبدو كخيار أفضل لالتصال بالشبكة أو االنترنت .بعد أن يتصل المستخدمون بنقاط توأم الشر ،يستطيع المهاجمون تحليل سيل المرور الشبكي وعمل هجمات الرجل الوسيط.
69
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التشويش بالراديو RF Jamming :الموجات الالسلكية سريعة التأثر بتداخل الموجات الكهرومغناطيسية Electromagnetic ) Inference (EMIأو تداخل موجات الراديو ) Radio-frequency inference (RFIوتتأثر أيضا في بعض األحيان بالصواعق والومضات الضوئية أو حتى ضوء لمبات الفلورسنت .وتكون الموجات الالسلكية عرضة أيضا للتشويش المتعمد. التشويش بالراديو يقطع سبل االتصال باستخدام موجات الراديو او محطات األقمار الصناعية ولذلك ال تصل اإلشارة إلى المحطات أو األجهزة المستقبلة. لتحقيق تشويش ناجح لإلشارة الالسلكية ،يجب أن تتساوى الطاقة والتردد وشكل التضمين Modulationالموجود في مشوش الراديو والجهاز الذي يريد المهاجم تعطيل خدمته. رفع البلوتوث ومسح البلوتوث Bluejacking and Bluesnarfing :البلوتوث بروتوكول اتصال له أشاره ضعيفة تغطي مساحة صغيرة .يقوم البلوتوث بنقل البيانات في الشبكات الشخصية المحلية ) Personal Area Network (PANويمكن أرفاق أجهزة كالطابعات واألجهزة النقالة وأجهزة الحاسب المحمولة بتلك الشبكات .تطور البلوتوث وكل فترة يتم انتاج إصدار حديث منه .يتميز البلوتوث بسهولة التهيئة واالستخدام فهو ال يحتاج إلى عنوان شبكة لالتصال .يستخدم تقنية االزدواج إلقامة عالقة اتصال بين جهازين .وعند عمل االزدواج ،يستخدم الجهازين نفس المفتاح الخاص. ظهرت في البلوتوث ثغرات ،ولكن نظ ار لنطاق التغطية المحدود للبلوتوث ،يحتاج المهاجم أن يكون قريبا جدا من الضحية كي يحقق الهجوم الناجح. •
رفع البلوت وث :يتم رفع الرسائل الغير موثوقة من جهاز بلوتوث إلى جهاز بلوتوث آخر .كنوع من هذا الهجوم يتم ارسال صورة جذابة إلى الجهاز اآلخر.
•
مسح البلوتوث :يحدث هذا الهجوم عندما يقوم المهاجم بأخذ نسخة من المعلومات الشخصية والموجودة على جهاز الضحية .من الممكن أن تحتوى هذه المعلومات على رسائل بريد إلكتروني أو قائمة االتصال.
الهجوم على تقنيات التشفير خصوصية السلكي و وحامي الواي فاي :تقنية تشفير "خصوصية السلكي" WEPهي عبارة عن بروتوكول أمني يهدف لحماية الشبكة المحلية الالسلكية WLANبنفس كفاءة الحماية الخاصة بالشبكة المحلية السلكية . LANنظ ار ألن الحماية الفيزيائية تساعد في حماية الشبكة المحلية السلكية ،قدم بروتوكول خصوصية السلكي نظاما مشابها لحماية البيانات عند نقلها على الشبكة الالسلكية عن طريق استخدام التشفير. خصوصية السلكي يستخدم مفتاحا للتشفير وال يوجد إدارة للمفاتيح فيه ،ولذلك فإن عدد األفراد الذين يستخدمون نفس المفتاح في تزايد دائم .وحيث أن جميع األشخاص يستخدمون نفس المفتاح ،تكون فرصة المهاجم أعظم في الوصول لعدد أكبر من المستهدفين وبالتالي كمية أكبر من سيل البيانات .يستطيع المهاجم استخدام تقنيات تحليل سيل البيانات الستخراج المعلومات
70
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الحساسة منه .وخصوصية السلكي لدية مشاكل عديدة في متجه التهيئة ) Initialization Vector (IVالخاص به .ومتجه التهيئة هو جزء من نظام التشفير وله المساوئ التالية: •
هو حقل طوله 24بت ،وهو قصير للغاية.
•
هو نص صريح غير مشفر ،بمعنى أنه سهل االطالع عليه وقراءته.
•
هو ثابت وال يتغير ولذا فإن مفاتيح متشابهة سيتم تكرار استخدامها في الشبكات المزدحمة.
أما التشفير بتقنية "حامي الواي فاي" WPAوبعده حامي الواي فاي WPA2 2ظهرت كتقنيات تشفير متطورة الستبدال استخدام "خصوصية السلكي" .حامي الواي فاي 2ال توجد لديه المشاكل التي وجدت في خصوصية السلكي ألن المهاجم ال يستطيع استنباط مفتاح التشفير بمراقبة فيض البيانات في الشبكة .وعلى الرغم من ذلك فحامي الواي فاي 2عرضة للهجمات ألن المهاجمين يستطيعون تحليل البيانات التي تنتقل بين نقطة االتصال الالسلكي والمستخدم البريء .يستطيع المهاجمين استخدام مغربالت الحزم ثم بعدها يمكن تحقيق الهجوم المعزول عن الشبكة الستخراج كلمة المرور. الدفاع ضد هجمات األجهزة الالسلكية والنقالة :يوجد العديد من الخطوات التي يمكن اتخاذها لحماية األجهزة النقالة والهواتف الذكية ضد الهجمات السيبرانية .غالب منتجات الشبكات الالسلكية تستخدم اإلعدادات االفتراضية أو إعدادات المصنع .قم باالستفادة من اإلمكانيات األساسية المتوفرة لتلك المنتجات لحماية الشبكة الالسلكية ،من تلك اإلمكانات المصادقة والتشفير على األقل قم بتغيير االعدادات االفتراضية لالستفادة من هذه اإلمكانات .قم بحصر الوصول لنقاط االتصال الالسلكي الخاصة بالشبكة بوضع تلك األجهزة خارج إطار الجدار الناري أو بداخل المنطقة الغير محمية Demilitarized zone ) (DMZوالتي تحتوى على كثير من األجهزة األخرى الغير ثقة مثل خوادم البريد اإللكتروني وخوادم التصفح. توجد أدوات مثل NetStumblerتستخدم الكتشاف نقاط االتصال المخادعة أو محطات العمل الغير موثوقة .استخدم سياسة خاصة بالضيوف لكي تعرف حاجة الضيوف االتصال بشبكة االنترنت عند زيارتهم ويسهل بعدها تحديد الغرباء .وبالنسبة للموظف الموثوق ،استخدم تقنية الشبكة االفتراضية الخاصة VPNعند طلبهم الوصول لإلنترنت من خالل الشبكة الالسلكية .WLAN 3.3.3هجمات التطبيقات البرمجة عبر المواقع :البرمجة عبر المواقع Cross-site scripting XSSهي ثغرة لتطبيقات شبكة االنترنت .فالبرامج عبر االنترنت تسمح للمهاجمين بحقن ملفات التعليمات البرمجية في صفحات المواقع والتي يزورها كثير من المستخدمين .وعادة ما يحتوي هذا الملف على شفرة خبيثة .تلك الهجمة لها ثالث مشاركين :المهاجم والضحية والموقع اإللكتروني .ال يقوم المهاجم باستهداف الضحية بشكل مباشر ،بدال من ذلك يقوم المهاجم باستغالل ثغرة موجودة في موقع إلكتروني أو تطبيق إنترنت .ثم يقوم بحقن ملفات التعليمات البرمجية الموجهة للعميل في صفحات الموقع اإللكتروني والتي يستخدمها كثير من المستخدمين 71
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ومنهم الضحايا .وبدون علم الضحية يقوم ملف التعليمات بتحميل نفسه إلى مستعرض الويب الخاص بالضحية .وهذا النوع من البرمجيات الخبيثة يمكنه الوصول لملفات االرتباط ورموز الجلسة والعديد من المعلومات السرية األخرى .فلو حصل المهاجم على ملفات االرتباط للضحية ،يمكنه على الفور انتحال شخصية المستخدم. حقن التعليمات البرمجية :من الطرق المستخدمة في حفظ البيانات على مواقع االنترنت استخدام قواعد البيانات .يوجد العديد من أنواع قواعد البيانات مثل قواعد بيانات لغة االستعالم الهيكلية SQLوأيضا قواعد بيانات لغة التوصيف الموسعة .XML كال من الهجمتين على لغة االستعالم ولغة التوصيف تستغالن نقاط الضعف في البرنامج ،على سبيل المثال تكون نقطة الضعف بأن يقوم البرنامج بالتأكد من صحة البيانات المدخلة تأكيدا ضعيفا. حقن لغة التوصيف :XMLعند استخدام قاعدة بيانات بلغة التوصيف ،فإن هجمة لغة التوصيف يمكنها تخريب البيانات .ففي التشغيل الطبيعي ،وبعد أن يقوم المستخدم بإدخال المدخالت ،يتم الوصول للبيانات عن طريق استعالم .وتحدث المشكلة الكبرى عندما ال يتم التمحيص الجيد للمدخالت التي يتم بها االستعالم (الشفرة التي يكتب بها االستعالم ال تظهر للمستخدم). حيث يقوم المهاجم بتعديل البيانات التي يدخلها المستخدم لتكون جمل استعالمية .المدخالت المعدلة لتصبح استعالم مخصصة لغرض يحتاجه المهاج م كأن يسحب بيانات من قاعدة البيانات .وكل المعلومات الحساسة بداخل الموقع والمخزنة على قاعدة بياناته تكون عرضة للتخريب والسرقة كما يمكن للمجرمين تعديل الموقع اإللكتروني كما يحتاجون .هجمة حقن لغة التوصيف هي هجمة خبيثة تهدد أمن المواقع اإللكترونية. حقن لغة االستعالم :SQLيقوم المهاجمون باستغالل الثغرات عن طريق حقن جمل استعالمية SQLفي أي حقل مدخالت يستخدمه المستخدم في الموقع اإللكتروني .وفي هذه الحالة أيضا كما رأينا في حقن لغة التوصيف ،فإن النظام ال يقوم بترشيح المدخالت بشكل صحيح وال ينتبه للمدخالت وال يفحص الحروف ليتأكد من خلو المدخالت من جمل االستعالم .SQLيقوم المهاجمون باستخدام هجوم حقن لغة االستعالم مع قواعد البيانات أو أي موقع إلكتروني .يمكن للمجرمين أن يقوم بسرقة الهوية أو تعديل البيانات أو تدميرها أو حتى يصيروا مديرين لقاعدة البيانات التي سرقوها. فيض الصوان Buffer Overflow :تحدث هذه الهجمة عندما يكون حجم البيانات التي يراد تخزينها في الصوان أكبر منه هو ،فتنسكب البيانات في األماكن الغير مخصصة لها .الصوان هو عبارة عن ذاكرة مؤقته محجوزة للتطبيقات .فبتعديل البيانات خارج نطاق الصوان ،تكون التطبيقات عرضة الستعمال أماكن في الذاكرة ليست مخصصة لها وإنما مخصصة لتطبيقات أخرى .فيؤدي هذا إلى تخريب النظام ،أو تعرية البيانات أو رفع الصالحيات. تقرير CERT/CCالخاص بجامعة كارنجي ميلون يقول بأن ما يقارب نصف الثغرات في برامج الحاسب تنبع أساسا من نوع من أنواع فيض الصوان .يقسم فيض الصوان للعديد من األنواع ،مثل تجاوز المخزن المؤقت الثابت ،أخطاء العنونة ،مشكالت
72
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
في تنسيق سلسلة األحرف ،عدم تطابق حجم الصوان الخاص بالحروف من نوعي ،Unicode, ANSIأو تجاوز كومة الذاكرة .Heap تنفيذ التعليمات البرمجية عن بعد :تعطي الثغرات الفرصة للمهاجمين لتنفيذ برمجيات خبيثة والتحكم في النظم وجلب الصالحيات للمستخدم الذي يشغل التطبيق .تنفيد التعليمات عن بعد يعني أن يقوم المهاجم بتنفيذ أي أمر من األوامر التي يحتاجها على الجهاز المستهدف. على سبيل المثال برنامج Metasploitهو أداه لتطوير وتنفيذ االستغالل لشفرة برمجية ضد هدف بعيد Meterpreter .هو وحدة برمجية استغاللية بداخل Metasploitوالتي توفر خصائص متقدمة .و Meterpreterيسمح للمهاجمين بكتابة امتداداتهم البرمجية وعملها ككائن للمشاركة .يقوم المهاجم بتحميل وحقن هذه الملفات في العمليات البرمجية الجارية على الجهاز المستهدف .ويقوم Meterpreterبتحميل وتنفيذ كل االمتدادات من الذاكرة ،ولذلك ال يقترب من القرص الصلب .وهذا أيضا يعني أن Meterpreterيطير بعيدا عن رادار مكافح الفيروسات .ولدى Meterpreterوحدة برمجية للتحكم عن بعد في كامي ار الويب الخاصة بالضحية .فبعد أن يتم تثبيت Meterpreterعلى الجهاز الضحية ،يمكن للمهاجم أن يأخذ لقطة من شاشة الضحية أو يعرض ما تراه الكاميرا. عناصر تحكم اكتيف إكس وجافا :عند تصفح اإلنترنت ،بعض العناصر لن تعمل بشكل جيد إال إذا قام المستخدم بتثبت عنصر تحكم أكتيف اكس .وهي عناصر تحكم توفر إمكانيات المكون اإلضافي pluginلمستعرض االنترنت .عناصر تحكم اكتيف اكس هي قطع برمجية يتم تثبيتها من قبل المستخدم لتوفر إمكانيات إضافية .والشركات األخرى تقوم بكتابة برمجيات لبعض عناصر اكتيف اكس وأحيانا تكون البرمجيات خبيثة .مثال يستطيع المهاجم أن يراقب نشاط التصفح الخاص بالمستخدم أو يقوم بتثبيت برمجية خبيثة أو يسجل لوحة المفاتيح .وعناصر أكتيف اكس تعمل أيضا مع برامج ومنتجات شركة ميكروسوفت. تعمل الشفرات البرمجية للجافا من خالل مترجم ،واسمه الماكينة الظاهرية لجافا ) .Java Virtual Machine (JVMوهذا المترجم يتيح استخد ام برامج وإمكانيات الجافا .والمترجم يقوم بعمل واقي للشفرات البرمجية المكتوبة بلغة الجافا فيعزلها عن باقي نظام التشغيل .وتوجد ثغرات تسمح للشفرات البرمجية الغير موثوقة بالمراوغة حول القيود التي يفرضها ذلك الواقي .وتوجد أيضا ثغرات في مكتبة فئات الجافا ،والتي يستخدمها البرنامج للتأمين .وتعتبر جافا ثاني أكبر مصادر الهجمات والثغرات األمنية ،وفي المرتبة األولى البرامج اإلضافية للفالش. الدفاع ضد هجمات التطبيقات :الخط األول للدفاع ضد هجمات التطبيقات يكون بكتابة شفرة برمجية قوية .بغض النظر عن لغة البرمجة المستخدمة ،أو شكل المدخالت الخارجية ،فإنه من االحت ارزات البرمجية الهامة معاملة كل المدخالت التي ترد من خارج البرنامج كأنها عدائية .لذا قم بالتحقق من جميع المدخالت وكأنها كلها عدائية .حافظ على ترقية كل البرامج وخاصة 73
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
نظام التشغيل لتكون في أحدث حاالتها وال تتجاهل رسائل طلب التحديث حيث أنه ليس كل البرامج تقوم بالتحديث التلقائي. ولكن يفضل التحديث اليدوي حيث يستطيع المستخدم رؤية التحديثات قبل تثبيتها. ملخص الفصل الثالث التهديدات والثغرات والهجمات هي محور التركيز الرئيسي لمحترفي األمن السيبراني .تم في هذا الفصل بمناقشة العديد من الهجمات السيبراني التي يقوم بها معظم المهاجمين .وقد تم توضيح تهديدات البرمجيات الخبيثة .وتم مناقشة أنواع هجمات الخداع والتي تخص الهندسة االجتماعية .وتم تغطية أنواع الهجمات السلكية والالسلكية .وأخي ار تم مناقشة الثغرات التي تقدمها برامج وتطبيقات االنترنت. فهم طبيعة وأنواع التهديدات المحتملة يعطي للمؤسسة المقدرة على تحديد الثغرات ومجابهتها .ويعطيها أيضا مقدرة على التفكير في كيفية حماية العمليات داخل الشركة من التهديدات المحتملة كالخداع والمراوغة للوصول للبيانات.
74
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الرابع فن حماية األسرار إن حماية األسرار التي يتم تبادلها من خالل االتصاالت ترتكز بشكل أساسي على مبادئ التشفير كالخوارزميات والبروتوكوالت الحديثة .والتعمية هو علم بناء وتحطيم الشفرات البرمجية السرية .وعلم تطوير وصناعة واستخدام هذه الشفرات البرمجية يسمى علم التعمية .أما دراسة وتحليل واستنباط البيانات األصلية من البيانات المشفرة يسمى علم استخراج المعمى .والتشفير هو تقنية من تقنيات التعمية ،وفك التشفير هو تقنية من تقنيات استخراج المعمى .تستخدم المجتمعات تقنيات التشفير منذ عدة قرون لحماية المستندات .على سبيل المثال ،استخدم يوليوس قيصر ملك الروم شيفرة بسيطة عن طريق تغيير مكان األحرف في النص بهدف التراسل بين جنراالت الحرب في ميدان القتال .وهؤالء الجنراالت كان لديهم معرفة مسبقة بمفتاح فك الشفرة والذي يمكنهم من الحصول على النص األصلي .وفي هذه األيام ،فإن طرق التشفير الحديثة تحقق اتصاال آمنها بدرجة عالية مقارنة بذي قبل. التحكم في الوصول ،كما نفهم من اسمه ،هو طريقة للتحكم في الدخول إلى مبنى أو حجرة أو نظام أو قاعدة بيانات أو ملف أو معلومة .يتم تبنى تقنيات تحكم في الوصول مختلفة من قبل الشركة لحماية سرية معلوماتها .وفي هذا الفصل سيتم التركيز على الخطوات األربع لعملية التحكم في الوصول )1 .تعريف الهوية )2المصادقة )3التفويض )4المسائلة أو المتابعة. وأيضا يشرح هذا الفصل النماذج واألنواع المختلفة للتحكم في الوصول. ثم ينتهي الفصل بمناقشة الطرق المختلفة لعمل تعتيم البيانات .االستخفاء والتشويش هما علمان متخصصان في عمل قناع للبيانات.
4.1علم التشفير 4.1.1مقدمة في التشفير ما هو التشفير : Cryptographyعلم التشفير هو علم صناعة وكسر الشفرات السرية .التشفير هو طريقة لتخزين ونقل البيانات بحيث يتمكن فقط المتلقون من قراءة ومعالجة البيانات .يستخدم التشفير الحديث خوارزميات حاسوبية سرية للتأكد من أن القراصنة ال يستطيعون كشف البيانات المحمية .سرية البيانات هي عملية التأكيد على الخصوصية بحيث يتمكن فقط المتلقي المطلوب باستقبال وقراءة الرسالة ويتم تحقيق ذلك باستخدام التشفير .والتشفير يعني عملية خلط أو تشويش البيانات بطريقة منظمة بحيث ال يتمكن األشخاص الغير مخولون من قراءة البيانات بسهولة .وعند عمل تشفير ،تسمى البيانات المقروءة بالنص الصريح أما النسخة التي ال يسهل قراءتها تسمى النص المشفر .و طريقة التشفير هي عملية تحويل النص الصريح سهل القراءة إلى نص مشفر ال يسهل قراءته .وطريقة فك الشفرة هي العملية العكسية أو عملية تحويل النص المشفر
75
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
إلى نص صريح .وتتطلب عملية التشفير مفتاح يسمى مفتاح التشفير والذي يلعب دو ار هاما في عملية تشفير وفك تشفير الرسائل .والشخص الذي يملك مفتاح التشفير يستطيع الحصول على النص الصريح من النص المشفر. وتاريخيا ،تم استخدام طرق كثيرة وخوارزميات كثيرة لعمل تشفير للبيانات .والخوارزمية هي مجموعة تعليمات برمجية لحل مشكلة ما .وقد استخدم يوليوس قيصر ملك الروم طريقة مشهورة باسمه تسمى شيفرة قيصر ،وفيها يتم مجاورة صفين من األحرف الهجائية .الصف األعلى تكون فيه الحروف األبجدية مرتبة من األلف إلى الياء أم الصف السفلي ففيه الحروف مرتبة أيضا ولكن تم تحريكها لليمين بمسافة معينة ،كما نرى في الشكل تم تحريك األحرف لليمين مسافة ثالثة مواضع.
هذا العدد من المواضع يكون بمثابة المفتاح .وكان يقوم القيصر بتحويل النص الصريح إلى نص مشفر باستخدام هذا المفتاح، وفقط الجنراالت يملكون نفس المفتاح ولذا يستطيعون فك شفرة النص وتحويله إلى نص صريح مرة أخرى. تاريخ علم التشفير :بدأ علم التشفير من آالف السنوات في الدوائر الملكية .حيث كانت تقوم الرسل في البالط الملكي بنقل الرسائل بين الملوك .ومن حين آلخر ،كانت الممالك األخرى والتي ليست طرفا في المراسلة تحاول سرقة الرسائل المرسلة للمملكة التي تعتبرها عدوا لها .وبعدها بفترة وجيزة ،بدأ جنراالت الجيش باستخدام التشفير للتراسل بسرية تامة. وعلى مر العصور ،وجد العديد من الطرق واألجهزة إلجراء عملية التشفير منها •
سكيتال Scytale
•
شيفرة قيصر
•
شيفرة فيجينار
•
آلة أنجما Enigma
كل طرق التشفير بشكل عام تستخدم مفتاح التشفير وفك التشفير .والمفتاح هذا هو أهم مكون في خوارزمية التشفير .وتقاس جودة عملية التشفير بجودة استخدام وسرية المفتاح .وكلما زاد التعقيد في معرفة المفتاح ،كلما زادت سرية الخوارزمية .وهناك إدارة تسمى "إدارة المفاتيح" وهي وظيفة مهمة في نظام التشفير.
76
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الحصول على نص مشفر :تستخدم كل طريقة من طرق التشفير خوارزمية تسمى الشيفرة لتشفير وفك تشفير الرسائل .الشيفرة هي عبارة عن عدة خطوات محددة تستخدم لتشفير وفك تشفير الرسائل .يوجد العديد من الطرق للحصول على نص مشفر من هذه الطرق: •
النقل : Transpositionوفيه يتم تغيير أماكن األحرف أو بمعنى آخر لخبطة األحرف ،مثال يتم تنظيم النص في صورة صفوف وأعمدة ثم يتم اختيار األعمدة كأنها الكلمات المشفرة ،مثال النص I HATE MY BOSS OSAMAيتم تشفيرها بتحويلها مثال إلى أربعة أعمدة كما بالشكل ،ويكون النص المشفر هو الكلمات في األعمدة IEOS HMSA AYSM .TBOA H
T
A
B
E M Y
S O
O S
A M A
•
I
S
التعويض : Substitutionوفيه يتم تبديل األحرف بأحرف أخرى ،كما ذكرنا في شيفرة قيصر ،فإن األحرف األبجدية يتم ترتيبها بوضع نسختين منها في صفين .الصف األول يحتوى على الحروف األبجدية دون تغيير ،الصف الثاني يحتوى على الحروف ولكن يتم تغيير موضع االحرف لليسار بمسافة محددة (ثالثة حروف) كما بالشكل (الجزء األوسط من الشكل) .فيتم مثال تغيير موضع الحرف Aليقابل حرف Dوحرف Bليقابل حرف Eوهكذا .فإذا كان النص الصريح هو كلمة FLANKفإن النص المشفر يتم حسابه بالنظر إلى الشكل لمعرفة الحرف المقابل لكل من األحرف Fو Lو Aو Nو .Kبالنظر للشكل في الجزء األوسط منه (الصف األعلى) نجد أن حرف Fيقابله حرف Iوحرف Lيقابله حرف O وحرف Aيقابله حرف Dوحرف Nيقابله حرف Qوحرف Kيقابله حرف Nوبذلك يكون النص المشفر هو .IODQN
77
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
غالف المرة الواحدة : One-time padيتم دمج النص الصريح مع مفتاح سري عشوائي يستخدم مرة واحدة فقط لعمل حرف جديد .ثم يتم إجراء عملية منطقية تسمى XORبين الحرف الجديد وبين النص الصريح للحصول على النص المشفر كما هو موجود بالصورة.
الخوارزميات القديمة ،مثل شيفرة قيصر أو آلة أنجما تعتمد سريتها بشكل أساسي على الخوارزمية المستخدمة لتحقيق السرية. ومع تطور التقنيات الحديثة ،والتي أصبح من السهل فيها استخدام الهندسة العكسية ،تستخدم الشركات ما يسمى بخوارزميات المجال العام .وهذا يعني أن سرية التشفير تعتمد اعتمادا كليا على سرية مفتاح التشفير وليس الخوارزمية نفسها كما في السابق .وتستخدم الطرق الحديثة في التشفير نفس المبادئ القديمة ضمن خوارزمياتها مثل استخدام النقل أو التعويض. أصعب المهام في نظام التشفير هي "إدارة المفاتيح" .فمعظم نظم التشفير تفشل بسبب أخطا في عملية إدارة المفاتيح .وكل نظم التشفير الحديثة تتطلب نظام إلدارة المفاتيح .وبشكل عملي ،معظم الهجمات على نظم التشفير تتم عن طريق مهاجمة إدارة المفاتيح وال يتم الهجوم على خوارزمية التشفير نفسها. فئات التشفير :يمكن تحقيق السرية باستخدام نظم التشفير التي بدورها تستخدم أدوات وبروتوكوالت متنوعة .يوجد منهاجين لتأكيد سرية البيانات عند استخدام التشفير .المنهاج األول هو حماية خوارزمية التشفير .فإذا كانت سرية الخوارزمية تعتمد اعتمادا كليا على الخوارزمية نفسها ،فيجب حمايتها بشتى الطرق الممكنة .فكلما توصل شخص لتفاصيل خوارزمية ،يمكن ألي طرف مهتم أن يقوم بالتالعب في الخوارزمية .وهذا المنهاج ال يبدو سريا بشكل كاف وال يمكن إدارته بسهولة .أما المنهاج الثاني هو حماية مفاتيح التشفير .مع نظم التشفير الحديثة ،تكون الخوارزمية معروفة للجميع .ومفاتيح التشفير هي التي تؤكد على سرية البيانات .ومفاتيح التشفير هي كلمات المرور التي تكون جزء من المدخالت ألي خوارزمية تشفير والجزء الثاني يكون النص الصريح المراد تشفيره .توجد فئتين من خوارزميات التشفير:
78
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الخوارزميات المتماثلة :Symmetricوهذه الخوارزميات تستخدم نفس المفتاح المشترك في عمليتي التشفير وفك التشفير .ويجب أن يتم تشارك المفتاح بين المرسل والمستقبل قبل البدء في أي عملية اتصال .كما نرى في الشكل، تستخدم الخوارزميات المتماثلة نفس المفتاح في تشفير وفي فك تشفير النص الصريح .وخوارزميات التشفير التي تستخدم مفتاح مشترك تكون أبسط وتحتاج إلى طاقة حاسوبية بسيطة.
•
الخوارزميات الغير متماثلة :Asymmetricتستخدم الخوارزميات الغير متماثلة مفتاح للتشفير ومفتاح مختلف لفك التشفير .المفتاح األول يكون مفتاح عام والثاني يكون مفتاح خاص .وفي نظم التشفير بالمفتاح العام ،يمكن ألي شخص أن يقوم بتشفير الرسالة باستخدام المفتاح العام الخاص بمتلقي الرسالة ،ولكن متلقي الرسالة هو الوحيد الذي يستطيع فك شفرة الرسالة باستخدام المفتاح الخاص .يتم تراسل الرسائل بين األطراف دون احتياج لمفتاح مشترك ،كما نرى في الشكل .فالخوارزميات الغير متماثلة أكثر تعقيدا .وهذه الخوارزميات تستخدم موارد أكثر وتحتاج لوقت أطول في التنفيذ.
4.1.2التشفير المتماثل -التشفير بالمفتاح الخاص Private Key Encryption عملية التشفير المتماثلة :تستخدم خوارزميات التشفير المتماثل مفتاحا مشتركا لتشفير وفك تشفير البيانات ،وتسمى أيضا هذه الطريقة ط ريقة "التشفير بالمفتاح الخاص" .على سبيل المثال إليسا وبوب هم أشخاص يعيشان في منطقتين جغرافيتين مختلفتين ويريدان تبادل رسائل سرية بينهما باستخدام نظام بريدي .وإليسا هي التي تريد إرسال رسالة سرية لبوب.
79
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستخدم نظام التشفير بالمفتاح الخاص خوارزمية متماثلة .كما نرى في الشكل ،يتم استخدام مفتاح واحد فقط .فإليسا وبوب يمتلكان نسختين من نفس المفتاح لقفل واحد .تحدث عملية مراسلة المفتاح قبل البدء في إرسال أي رسالة سرية .تقوم إليسا بكتابة الرسالة السرية وتضع الرسالة في صندوق صغير والذي تقوم بغلقة بالقفل .ثم تقوم بإرسال الرسالة بالبريد إلى بوب. وتكون الرسالة آمنة بداخل الصندوق أثناء قطعها للطريق نحو بوب بالتنقل في نظام البريد .وعندما يستقبل بوب الصندوق، يستخدم مفتاحه لفك القفل واستخراج الرسالة .ويمكن لبوب أن يرسل ردا سريا إلى إليسا باستخدام نفس الصندوق. وإذا أراد بوب م ارسلة كارال سيحتاج إلى مفتاح جديد مشترك بينه وبين كارال لكي يخفي مراسلته الجديدة مع كارال بعيدا عن إليسا .وبالقياس على ذلك ،إذا أراد بوب مراسلة العديد من الفتيات بشكل سري سيحتاج إلى عدد من المفاتيح يساوي عدد الفتيات .وستظهر حينها مشكلة إدارة مفاتيح المراسلة.
أنواع التشفير :أكثر أنواع التشفير شهرة النوعين المسميان شيفرة الكتل وشيفرة التدفق .وتختلف الشيفرتان في الطريقة التي يتم فيها تجميع البتات bitsلتشفيرها. •
شيفرة الكتل :Block Ciphersتقوم شيفرة الكتل بتحويل كتلة من البتات بطول ثابت إلى كتلة معروفة الطول مثال 64 بت أو 128بت .وحجم الكتلة هنا يعبر عن كمية البيانات التي يتم تشفيرها في المرة الواحدة .ولفك تشفير النص ،يتم تطبيق عملية التحويل العكسية على كتلة النص المشفر (كتلة كتلة) ،باستخدام نفس المفتاح السري .في شيفرة الكتل ،عادة ما يكون الناتج من عملية التشفير أكبر من الكتلة المدخلة ،حيث أن حجم النص المشفر يجب أن يكون بحجم عدة كتل من النص الصريح .على سبيل المثال خوارزمية معيار تشفير البيانات (دياس )DESهي خوارزمية متماثلة تقوم بتشفير كتلة بحجم 64بت مستخدمة مفتاح بطول 56بت .ولتحقيق ذلك ،تقوم الخوارزمية بأخذ تجميعه واحدة من البيانات في كل مرة ،على سبيل المثال 8 ،بايت لكل تجميعه حتى يتم ملئ الكتلة .إن انتهت البيانات المدخلة قبل ملئ الكتلة ،يتم إضافة بيانات مصطنعة او مسافات فارغة حتى يتم ملئ البلوك الكامل بحجم 64بت ،كما هو موضح بالشكل التالي:
80
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
شيفرة التدفق :Stream cipherعلى عكس شيفرة الكتل ،تقوم شيفرة التدفق بتشفير النص الصريح بأخذ بايت واحد أو بت واحد في المرة الواحدة كما هو موضح بالشكل .وباستخدام شيفرة التدفق ،فإن عملية تحويل هذه البيانات الصغيرة الطول ( بت واحد في الغالب) إلى نص مشفر تختلف بناء على الوقت الذي ستأتي فيه إلى خوارزمية التشفير .شيفرة التدفق ممكن أن تكون أسرع بكثير من شيفرة الكتل ،وعادة ال يتم زيادة حجم الرسالة ،حيث أنه يمكن تشفير عدد اعتباطي البتات.
من
A5هي شيفرة تدفقية تعطي خصوصية لالتصال الصوتي حيث تقوم بتشفير جميع االتصاالت الصوتية .ويمكن أيضا استخدام خوارزمية دياس في شكلها التدفقي .وفي نظم التشفير المعقدة يتم الدمج بين نوعي التشفير الكتلي والتدفقي.
خوارزميات التشفير المتماثل :يوجد العديد من نظم التشفير التي تستخدم الطريقة المتماثلة .بعض من الطرق الشائعة والقياسية للتشفير تستخدم التشفير المتماثل مثل: •
3DESأو دياس الثالثي :دياس هو نظام تشفير كتلي متماثل يستخدم كتل بحجم 64بت ومفتاح بطول 56بت .حيث يأخذ الكتلة بحجم 64بت من النص الصريح ويحولها إلى كتلة مشفرة بحجم 64بت أيضا .وعادة ما يعمل على كتل متساوية الحجم ويستخدم التباديل والتعويض في خوارزميته .والتباديل معناه إيجاد كل الطرق لترتيب عناصر داخل مجموعة .ودياس الثالثي يقوم بتشفير البيانات ثالث مرات باستخدام دياس ،ويستخدم مفتاح مختلف على األقل في مرحلة واحدة من دوراته الثالث ،معطيا إياه طوال تراكميا لمفتاحه ،بطول 112إلى 168بت .ودياس الثالثي مقاوم للهجمات، ولكنه أبطأ بكثير من نظيره القديم دياس .ودورات دياس التشفيرية الثالث هي كاالتي: oيتم تشفير البيانات باستخدام أول دياس oيتم فك التشفير باستخدام ثاني دياس oيتم إعادة التشفير مرة أخرى باستخدام ثالث دياس. 81
والعملية العكسية تقوم بفك تشفير النص.
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
IDEAإيديا :خوارزمية تشفير البيانات الدولية (إيديا) تستخدم كتلة بحجم 64بت ومفتاح بطول 128بت .يقوم إيديا بعمل ثمان دورات من التحويالت لـ 16كتلة ناتجة من تقسيم الكتلة األصلية التي بحجم 64بت إلى 8كتل .إيديا جاء الستبدال دياس ويستخدمه برنامج PGPللخصوصية .وبرنامج PGPيعطي خصوصية وتوثيق لبيانات االتصال GPG .هو برنامج بديل لـ PGPوله ترخيص GNUالمجاني.
•
AESإياس :معيار التشفير المتقدم (إياس) له حجم كتله ثابت بطول 128بت ومفتاح بطول 128و 192و 256 بت .أقر المعهد الوطني للمعاير والتكنولوجيا (نيست )NISTخوارزمية إياس في ديسمبر .2001وتستخدم الحكومة األمريكية إياس لحماية معلوماتها المصنفة .إياس هو خوارزمية قوية تستخدم مفاتيح طويلة .إياس أسرع من دياس موجه .ويوجد ودياس الثالثي ،ولذا فإنه يعطي حلوال لكل من التطبيقات البرمجية والعتاد المستخدم كجدار ناري أو َ أنواع أخرى من طرق التشفير الكتلي مثل سكيب جاك Skipjackوتم تطويره من قبل وكالة الفضاء األمريكية (ناسا) ،ويوجد أيضا بلوفيش Blowfishو توفيش .Twofish
4.1.3التشفير الغير متماثل – التشفير بالمفتاح العام عملية التشفير الغير متماثل :وتسمى أيضا عملية التشفير بالمفتاح العام ،تستخدم مفتاحا للتشفير مختلفا عن مفتاح فك التشفير .بحيث ال يمكن لسارق المعلومات أن يخمن مفتاح فك التشفير بناء على معرفته لمفتاح التشفير ،والعكس بالعكس في وقت معقول .بمعنى أنه حتى لو تمكن السارق من معرفة كيفية حساب مفتاح التشفير ستأخذ العملية وقتا طويال مثال سنوات. فإذا أراد بوب وإليسا تبادل الرسائل السرية باستخدام طريقة المفتاح العام ،فعليهما أن يستخدما خوارزمية غير متماثلة .وفي هذه الحالة لن يتم تبادل المفاتيح قبل المراسلة السرية .بدال من ذلك ،يكون لدى بوب قفل و مفتاح مختلف عن القفل والمفتاح الذين يخصان إليسا .فإذا أرادت إليسا إرسال رسالة سرية لبوب ،يجب أن تتصل به ليرسل لها قفله مفتوحا ،يقوم بوب بإرسال قفله المفتوح إلليسا ولكن يحتفظ بالمفتاح .وعندما تستقبل إليسا القفل المفتوح ،تقوم بكتابة الرسالة السرية ووضعها في الصندوق الصغير وتضع أيضا قفلها المفتوح في الصندوق ولكن تحتفظ بمفتاحها الخاص ثم تغلق الصندوق بقفل بوب .الحظ أنه عندما تقوم إليسا بغلق الصندوق فلن تستطيع فتحه مرة أخرى ألنها ال تملك مفتاح بوب .ثم ترسل الصندوق بالبريد لبوب ،وأثناء سفر الصندوق في طريقه إلى بوب لن يستطيع أحد فتحه .وعندما يستقبل بوب الصندوق ،سيقوم باستخدام مفتاحه لفتح القفل وقراءة الرسالة السرية التي أرسلتها إليسا .إذا أراد بوب الرد على الرسالة برد سري ،سيقوم بوضع الرسالة السرية في الصندوق ويضع أيضا في الصندوق قفله المفتوح ،ثم يقفل الصندوق بقفل إليسا .بعدها يرسل الصندوق بالبريد إلليسا. على سبيل المثال في ا لشكل األعلى ،إليسا تتقدم بطلب للحصول على مفتاح بوب العام (القفل في المثال) .وفي الشكل السفلي تقوم إليسا باستخدام مفتاح بوب العام لتشفير الرسالة باستخدام خوارزمية متفق عليها .تقوم إليسا بإرسال الرسالة المشفرة لبوب، ثم يقوم بوب باستخدام مفتاحه الخاص لفك تشفير الرسالة.
82
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خوارزميات التشفير الغير متماثل :تستخدم خوارزميات التشفير الغير متماثل نماذج برمجية سهل االطالع عليها ومعرفتها. زوج المفاتيح الغير متشابه هو ما يجعل هذه الخوارزميات سرية .من األمثلة على خوارزميات التشفير الغير متماثل اآلتي: •
ريشاد :RSAيأتي االسم من أسماء العلماء الثالثة الذين ابتكروا هذه الخوارزمية وهم (ريفست ،شامير ،وأديلمان) لعمل االسم العربي أخذنا أول حرفين من كل اسم .يتم استخدام حاصل ضرب عددين أوليين كبيرين بطول ثابت بين 100و 200رقم .تستخدم متصفحات االنترنت خوارزمية ريشاد إلقامة اتصال آمن.
•
ديفي هيلمان :يستخدم طريقة إلكترونية لتبادل ومشاركة المفاتيح السرية .والبروتوكوالت السرية مثل بروتوكول SSLو TSLو SSHو IPSecجميعها تستخدم خوارزمية ديفي هيلمان.
•
الجمل :يستخدم معيار الحكومة األمريكية للبصمات الرقمية .هذه الخوارزمية مفتوحة المصدر ومجانية نظ ار ألنه ال يملك أحد براءة اختراع لها.
•
تشفير المنحنى البيضاوي :يستخدم المنحنيات البيضاوية كجزء من الخوارزمية .ووكالة األمن الوطني ( )NSAفي أمريكا تستخدم تشفير المنحنى البيضاوي لعمل بصمات رقمية ولتبادل المفاتيح السرية.
4.1.4المقارنة بين نظم التشفير المتماثلة والغير متماثلة إدارة المفاتيح :تتكون إدارة المفاتيح من العمليات التالية ،التخليق ،والتبادل ،والتخزين ،واالستخدام ،واستبدال المفاتيح المستخدمة في خوارزميات التشفير .إن أصعب المهام في نظام التشفير هي "إدارة المفاتيح" .فمعظم نظم التشفير تفشل بسبب خطأ في عملية إدارة المفاتيح .وكل نظم التشفير الحديثة تتطلب نظام إلدارة المفاتيح .وبشكل عملي ،معظم الهجمات على نظم 83
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التشفير تتم عن طريق مهاجمة إدارة المفاتيح وال يتم الهجوم على خوارزمية التشفير نفسها .وكما نرى في الشكل ،هناك العديد من الخصائص التي تخص إدارة المفاتيح والتي يجب أن تأخذ في االعتبار.
هناك مصطلحان هامان يصفان المفاتيح •
طول المفتاح – يسمى أيضا حجم المفتاح ،ويقاس بالبت
•
فضاء المفتاح – هو عدد التباديل الممكنة المستخرجة من مفتاح بطول ثابت.
كلما زاد طول المفتاح ،كلما زاد فضاء المفتاح زيادة مضطردة .وفضاء المفتاح لخوارزمية معينة هو مجموعة القيم الممكنة لذلك المفتاح .المفاتيح األطول أكثر أمانا ،وعلى الرغم من ذلك ،فالمفاتيح الطويلة تستهلك الموارد .وغالبا ما يكون في كل خوارزمية بعض المفاتيح في فضاء المفتاح ضعيفة وتتيح للمهاجم كسر الشفرة والحصول على المعلومات بطريق مختصر. مراحل إدارة المفاتيح هي كالتالي: •
تخليق المفتاح :قديما وحتى شيفرة قيصر وشيفرة فيجنار يمكن للمرسل والمستقبل اختيار المفتاح .أما في نظم التشفير الحديثة ،يتم عادة ميكنة عملية تخليق المفاتيح وال يتم تركها للمستخدم .فالحاجة ملحة الستخدام ميكنة أرقام عشوائية جيدة للتأكيد على تخليق كل المفاتيح بحيث ال يستطيع المهاجم توقع المفاتيح المحتمل استخدامها اكثر من األخرى.
•
التحقق من المفتاح :وتسمى أيضا التحقق من جودة المفتاح .بعض المفاتيح أفضل من األخرى .غالبا فإن معظم نظم التشفير بها بعض المفاتيح الضعيفة والتي يجب أال يتم استخدامها .بمساعدة عملية التحقق من جودة المفتاح ،يمكن تعريف المفاتيح الضعيفة وإعادة تخليقها من جديد للحصول على تشفير أكثر سرية .على سبيل المثال استخدام مفتاح بطول 0و 25في شيفرة قيصر لن يشفر النص ولذلك يجب أن يستبعد هذين المفتاحين.
•
تبادل المفتاح :نظم إدارة المفاتيح يجب أن توجد آلية تبادل للمفاتيح والتي تسمح باالتفاق على التراسل السري بين المرسل والمستقبل ،وعادة ما يتم التراسل في وسط غير آمن. 84
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
تخزين المفتاح :نظم التشغيل الحديثة متعددة المستخدمين تستخدم نظم التشفير وتخزن المفاتيح في الذاكرة .وهذا يمثل مشكلة وخصوصا عندما يتم نقل المفاتيح للقرص الصلب .حيث أن برنامج حصان طروادة إذا تم تثبيته على جهاز المستخدم قد يستطيع الوصول للمفاتيح السرية للمستخدم.
•
عمر المفتاح :يجب أن يتم استخدام مفتاح بعمر قصير حتى تزيد سرية الشيفرات االعتيادية والتي تستخدم في التواصل على قناة تواصل سريعة .وفي بروتوكول IPsecيتم استخدام مفتاح بعمر 24ساعة .ومع ذلك ،فإن تغيير العمر لـ 30 دقيقة يحسن من أمن الخوارزمية.
•
إلغاء وتدمير المفتاح :عملية اإللغاء تعني إخبار كل أطراف االتصال بأن مفتاح معين تم كشفه وال يجب استخدامه مرة أخرى .أما عملية تدمير المفتاح فتقوم بإزالة المفتاح بحيث ال يتم ترك أثر يمكن تتبعه من قبل القراصنة.
مقارنة أنواع التشفير :من المهم جدا فهم الفرق بين نظم التشفير المتماثلة والغير متماثلة .نظم التشفير المتماثلة اكثر كفاءة وتستطيع التعامل مع كمية أكبر من البيانا ت .مع ذلك ،نجد إشكالية في إدارة المفاتيح في نظم التشفير المتماثل .التشفير الغير متماثل تظهر كفاءته عند حماية السرية لكمية صغيرة من البيانات ،وحجمه وسرعته تجعله أكثر سرية عند استخدامه في مهام مثل تبادل المفاتيح اإللكترونية والتي هي عبارة عن كمية صغيرة من البيانات. من المهم جدا تحقيق السرية لكل من البيانات الثابتة والبيانات المتنقلة .ففي كلتا الحالتين ،يفضل استخدام التشفير المتماثل نظ ار لسرعته وسهولة خوارزميته .بعض الخوارزميات الغير متماثلة يمكن أن تتسبب في زيادة كبيرة لحجم الكائن المشفر. ولذلك ،في حالة البي انات المتنقلة ،يفضل استخدام التشفير بالمفتاح العام لتبادل المفاتيح ،ثم استخدام التشفير المتماثل لحماية سرية البيانات المتنقلة. التشفير المتماثل والغير متماثل التشفير الغير متماثل
التشفير المتماثل مشهور باسم خوارزميات المفاتيح الخاصة السرية والمشتركة
مشهور باسم خوارزميات المفاتيح العامة
طول المفتاح عادة يتراوح بين 80و 256بت
طول المفتاح يتراوح بين 512و 4096بت
المرسل والمستقبل يجب أن يتشاركان نفس المفتاح
المرسل والمستقبل ال يتشاركان في مفتاح محدد
خوارزمياته دائما سريعة (سرعة وسط النقل) ألن الخوارزمية
خوارزمياته بطيئة نسبيا ألنها تعتمد على عمليات حسابية
تعتمد على عمليات حسابية بسيطة.
أكثر تعقيدا.
من األمثلة عليه ،دياس ،إياس ،إياس الثالثي ،إديا ،بلوفيش
من األمثلة عليه ،ريشاد RSAو الجمل و المنحنى البيضاوي
التطبيقات :يوجد العديد من التطبيقات تستخدم كال من التشفير المتماثل والتشفير الغير متماثل .فوحدة تخليق كلمة السر الموحدة هي وحدة فيزيائية تستخدم التشفير لعمل كلمة مرور عشوائية تستخدم مرة واحدة فقط .وكلمة السر الموحدة هي عبارة 85
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عن حروف وأرقام تم تخليقها بشكل آلي وتستخدم في مصادقة المستخدم لمعاملة واحدة في جلسة واحدة .ويتم تغيير الرقم كل 30ثانية تقريبا .تظهر كلمة المرور على شاشة الوحدة والمستخدم يقوم بإدخالها .وصناعة المبيعات على األنترنت تستخدم دياس الثالثي .ونظم التشغيل تستخدم إياس مع كلمة مرور لحماية ملفات المستخدمين وبيانات النظام .معظم نظم الملفات ذات الخواص السرية مثل NTFSتستخدم إياس .هناك أربعة بروتوكوالت تستخدم خوارزميات المفاتيح الغير متماثلة: .1بروتوكول تبادل مفتاح اإلنترنت ( ،)IKEهو مكون أساسي في IPsecوفي الشبكات االفتراضية الخاصة ()VPN .2طبقة الحزم اآلمنة ( ،)SSLهي وسيلة لبناء نظام تشفير في متصفحات اإلنترنت. .3الهيكل اآلمن ( ،)SSHوهو بروتوكول يوفر اتصاال سريا عن بعد للتوصيل بأجهزة الشبكة. .4الخصوصية المقبولة ( ،)PGPهو برنامج حاسوبي يوفر خصوصية تشفيريه ومصادقة لزيادة تأمين مراسلة البريد اإللكتروني. الشبكة االفتراضية الخاصة (موجودة بالشكل) هي شبكة خاصة تستخدم الشبكات العامة بالتحديد تستخدم شبكة اإلنترنت لعمل قناة اتصال آمنة .تقوم الشبكة االفتراضية بتوصيل نقطتين ،مثل مكتبين بعيدين جغرافيا ،مستخدمة اإلنترنت لعمل وصلة بينهما .وتستخدم الشبكة االفتراضية برمجية IPsecوهو عبارة عن مجموعة بروتوكوالت تم تطويرها لتحقيق خدمات سرية عبر الشبكات .خدمات IPsecتوفر المصادقة والتماسك والتحكم في الوصول والسرية .وباستخدامه ،يمكن للمواقع البعيدة أن تتبادل معلومات مشفرة ومحققة.
البيانات المستخدمة هي محط اهتمام العديد من المؤسسات .عند االستخدام ،ال يكون للبيانات أي حماية ألن المستخدم يحتاج إلى فتح وتعديل البيانات .وتحمل الذاكرة البيانات المستخدمة التي تحتوي في بعض األحيان على بيانات حساسة مثل مفاتيح فك التشفير .فلو استطاع القراصنة كشف البيانات أثناء استخدامها ،سيكون لهم المقدرة على الوصول للبيانات الثابتة والبيانات المتنقلة.
86
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2التحكم بالوصول 4.2.1أنواع نظم التحكم في الوصول التحكم في الوصول الفيزيائي :أدوات التحكم في الوصول الفيزيائي هي عبارة عن حواجز حقيقية مهمتها هي منع الوصول المباشر للنظم المختلفة .الهدف هو منع المستخدمين الغير مفوضين من الدخول بأجسامهم والوصول إلى المرافق أو المعدات أو ممتلكات الشركة .تحدد نظم صالحيات الوصول الفيزيائي من يستطيع الدخول أو الخروج ،متى يمكن دخولهم أو خروجهم، وأين يمكنهم الدخول .أمثلة على أدوات التحكم في الوصول الفيزيائي التالي: •
الحرس :مراقبة المرافق
•
السياج :لحماية إطار النظام
•
حساسات الحركة :تكشف األجسام المتحركة
•
أقفال األجهزة المحمولة :تحفظ األجهزة المتنقلة
•
اقفال األبواب :تمنع الوصول الغير مصدق
•
مسح البطاقات :يسمح بدخول المناطق السرية
•
كالب الحراسة :حماية المرافق
•
كاميرات التصوير :مراقبة المرافق بجمع وتسجيل الصور والفيديو
•
الشرك أو الفخ :يسمح بدخول المنطقة المحظورة بعد غلق الباب األول (انظر الشكل)
•
أجهزة اإلنذار :تفحص الدخالء.
التحكم المنطقي في الوصول :أدوات التحكم المنطقي هو عبارة عن حلول عتاد وبرمجيات تستخدم إلدارة الوصول للموارد والنظم .وهذه الحلول المعتمدة على التكنولوجيا تشمل أدوات وبروتوكوالت يستخدمها نظام الحاسب لتعريف الهوية و المصادقة والتفويض والمسائلة .تشمل نظم التحكم في الوصول المنطقي االتي: 87
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
التشفير هي عملية تحويل النص الصريح إلى نص مشفر
•
البطاقة الذكية تحمل بداخلها شرائح إلكترونية من معالج وذاكرة.
•
كلمات المرور هي كلمة من عدة حروف محمية.
•
القياسات الحيوية هي الخصائص الجسدية للمستخدم مثل بصمة اليد وشكل القزحية.
•
قوائم التحكم بالوصول ( )ACLتعرف نوع فيض حزم البيانات المسموح به والممنوع في الشبكات.
•
البروتوكول هو مجموعة من القواعد التي تحكم طريقة تبادل البيانات بين األجهزة.
•
الجدران النارية تمنع فيض البيانات الغير مسموح به على مستويات عدة ،مثال مستوى التطبيق ومستوى الحزم وهكذا..
•
الموجهات تصل شبكتي حاسب على األقل .وتقوم بتوجيه الحزم لطريق الوصول لمتلقي البيانات.
•
نظم فحص الدخالء تراقب الشبكة لألنشطة المشتبه بها.
•
مستويات التقليم هي العتبات المسموح بها عند الوصول لحد معين من األخطاء قبل إصدار العلم األحمر (علم وجود الخطر) .مثال لو حاول المستخدم الدخول للنظام وفشل في كتابة كلمة المرور أكثر من ثالث مرات.
األدوات اإلدارية للتحكم في الوصول :األدوات اإلدارية هي مجموعة السياسات واإلجراءات التي تنشئها المؤسسة لبناء وفرض كل أنواع التحكم بالوصول المصرح به .وتركز األدوات اإلدارية على العمالة وإجراءات العمل .تشمل أدوات التحكم اإلداري اآلتي: •
السياسات هي جمل يتم كتابتها لمعرفة نوايا الشركة.
•
اإلجراءات هي الخطوات المفصلة المطلوبة لعمل نشاط ما في الشركة.
•
عملية التوظيف هي الخطوات التي تتخذها المؤسسة إليجاد موظف كفء.
•
فحص الخبرة هي عبارة عن البحث في معلومات الموظف وتاريخه الوظيفي لمعرفه الوظائف السابقة وتاريخه المالي وتاريخه اإلجرامي إن وجد.
•
تصنيف البيانات عبارة عن تقسيم البيانات بناء على مستوى حساسيتها.
•
نظام التدريب للموظفين على نظم األمن يبصرهم بالسياسات األمنية داخل الشركة.
•
المراجعات يتم من خاللها معرفة وتقييم األداء الوظيفي للموظف.
4.2.2استراتيجيات التحكم بالوصول التحكم اإللزامي بالوصول (ماك) :التحكم اإللزامي بالوصول ) Mandatory Access Control (MACيقيد األفعال التي يقوم بها الفاعل تجاه أي كائن .الفاعل يمكن أن يكون مستخدم أو إجراء .والكائن يمكن أن يكون ملف أو منفذ أو جهاز مدخالت أو مخرجات .قاعدة التفويض تفرض على الفاعل إما أن يصل إلى الكائن أو ال .تستخدم المؤسسات النظام اإللزامي
88
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عندما يوجد عدة مستويات للتصنيفات األمنية .فكل كائن له عالمة وكل فاعل له تصريح .والنظام اإللزامي يحكم وصول الفاعل بناء على التصنيف األمني للكائن وللتصريح المعطى للمستخدم. على سبيل المثال ،نظام التصنيف األمني الحربي يصنف المستندات عموما لسري وسري للغاية .فإذا كان ملف له العالمة سري للغاية ،فإن األشخاص (الفاعلون) الذين يمكنهم عرض هذا الملف هم من يملكون تصريح من النوع سري للغاية .ويرجع هذا آللية التحكم بالوصول المستخدمة التي تؤكد أن الفاعلون ذوي التصريحات سري فقط ال يمكنهم الوصول لكائن بالعالمة سري للغاية .وبنفس الطريقة ،فإن مستخدم (فاعل) مصرح له بسري للغاية ال يمكنه تعديل تصنيف ملف من سري للغاية إلى سري فقط .باإلضافة إلى ذلك ،فإن فاعل ذو تصريح سري للغاية ال يمكنه إرسال ملف سري للغاية لمستخدم يحمل تصريح سري فقط. التحكم التقديري بالوصول (داك) Discretionary Access Control (DAC) :ومن اسمه يتم التحكم بالوصول حسب تقدير وتصرف مالك الكائن .فمالك الكائن يحدد ما إذا كان مسموح الوصول للكائن أم ال .التحكم التقديري يمنح أو يمنع الوصول للكائ ن المحدد من قبل مالك الكائن .إذا كان لمالك الكائن صالحيات وصول معينة يمكنه إعطاء هذه الصالحيات ونقلها لفاعل آخر .وفي النظم التي تستخدم أدوات التحكم التقديري ،فمالك الكائن يمكن أن يقرر من هم الفاعلون الذين يمكنهم الوصول للكائن وما شكل هذا الوصول .من الطرق المشهورة لتحقيق ذلك هو استخدام الصالحيات ،كما هو مبين بالشكل. فمالك الملف يستطيع تحديد الصالحيات (قراء /كتابة /تنفيذ) التي يمكن للمستخدمين اآلخرين أخذها .هناك آلية أخرى لتحقيق نظام الوصول التقديري وهي استخدام قوائم التحكم بالوصول ( .)ACLوتستخدم قوائم التحكم بالوصول قواعد منطقية لتحديد ما هو المرور الشبكي المسموح به أو المرور الممنوع.
التحكم بالوصول بناء على األدوار(أرباك) :التحكم بالوصول بناء على األدوار )Role-based access control (RBAC يعتمد على دور أو وظيفة الفاعل .األدوار هي المهام الوظيفية بداخل المؤسسات ،واألدوار المحددة تتطلب تصريحات لتنفيذ أي معاملة .يكتسب المستخدمين صالحيات بناء على دورهم في الشركة .نظام أرباك يستطيع العمل بدمج داك أو ماك، 89
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
ويستطيع أرباك المساعدة في بناء إدارة أمنية ناجحة في المؤسسات الكبرى والتي بها مئات المستخدمين وآالف الصالحيات المحتملة .كأفضل الممارسات ،عادة ما تختار المؤسسة نظام أرباك إلدارة صالحيات الحاسب داخل النظام أو داخل تطبيق. التحكم بالوصول بناء على القواعد (قرباك) :يستخدم نظام قرباك قوائم التحكم بالوصول ACLللمساعدة في تحديد إمكانية منح الوصول .يتم دمج أكثر من قاعدة في قائمة التحكم بالوصول ،ويمكن بناء القواعد على اآلتي: •
الوقت :يمكن منع أو منح الوصول في أوقات محددة ،مثل أوقات العمل الرسمية.
•
العضوية :فإذا كان المستخدم عضوا في مجموعة ما يمكنه الحصول على صالحياتها.
•
أقل الحاجة :يمكن إعطاء المستخدم فقط الصالحيات التي يحتاجها لعمل مهمة ما.
•
خصائص الكائن :يمكن منع المستخدمين أو منحهم الوصول ألنواع معينة من الملفات
•
تصنيف الفاعل :يمكن إعطاء الصالحيات األعلى لمستخدم له دور أعلى في الشركة.
يعتمد إعطاء أو منع الصالحية عن المستخدمين على هذه القواعد .كمثال قاعدة الوقت التي تقرر أنه ال يمكن ألي موظف الوصول لملف الرواتب بعد انتهاء العمل أو في اإلجازة األسبوعية .كما رأينا في ماك ،ال يمكن للمستخدمين تغيير قواعد الوصول .تستطيع المؤسسات دمج قرباك مع االستراتيجيات األخرى لبناء قيود الوصول .على سبيل المثال ،يمكن لنظام ماك أن ينتفع بمنهجية قرباك في البناء ،بمعنى أنه يمكن بناء نظام ماك باستخدام منهجية قرباك. 2.3.4التعريف بالهوية ما هو التعريف بالهوية :تعريف الهوية يقر القواعد التي توجد في سياسات التفويض .الفاعل يطلب الوصول لمورد من موارد النظام .وفي كل مرة يطلب فيها الفاعل الوصول لمورد من الموارد ،فإن نظم التحكم تحدد إمكانية منح أو منع هذا الوصول. على سبيل المثال ،فإن سياسات التفويض تحدد األنشطة التي يستطيع المستخدم القيام بها تجاه مورد معين. المعرف الفريد يؤكد على العالقة الصحيحة بين األنشطة والفاعل .وأكثر المعرفات الفريدة شهرة هو اسم المستخدم الذي يحدد شخصية المستخدم .واسم المستخدم يمكن أن يكون نص من أرقام وحروف أو رقم المعرف الشخصي ( )PINأو بطاقة ذكية أو مقياس حيوي مثل بصمة األصبع أو مسح الشبكية أو بصمة الصوت .المعرف الفريد يوفر للنظام طريقة لتحديد المستخدمين كل على حدة .وعليه ،يسمح للمستخدم الموثوق بأداء المهام المناسبة على مورد محدد. أدوات تعريف الهوية :تحدد سياسات األمن السيبراني أدوات تعريف الهوية التي يجب استخدامها .حساسية المعلومات ونظم المعلومات تحدد مدى صرامة أدوات التحكم .زيادة االختراقات األمنية أجبر المؤسسات على تقوية أدوات التعريف بالهوية التي يستخدمونها .على سبيل المثال ،صناعة البطاقات االئتمانية في الواليات المتحدة طلب من كل الباعة التحويل لنظام التعريف بالهوية باستخدام البطاقة الذكية.
90
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2.4طرق المصادقة شيئا تعرفة :كلمات السر وعبارات السر و PINكلها أمثلة على أشياء يعرفها المستخدم .كلمات السر هو أكثر طرق المصادقة استخداما .ومصطلحات ،عبارة السر ،شفرة المرور ،مفتاح المرور ،أو رمز التعريف الشخصي يتم اإلشارة إليها بكلمة المرور. وكلمة المرور هي عبارة عن سلسلة من األحرف تستخدم إلثبات هوية المستخدم .إذا تم ربط كلمة المرور بمعلومات المستخدم مثل ( اسمه ،أو تاريخ ميالده أو عنوانه) ،سيكون من السهل على القراصنة تخمين كلمة السر .معظم األبحاث في هذا المجال توصي دائما باستخدام كلمة مرور بطول 8أحرف على األقل .يجب أيضا على المستخدمين أال يقوموا بعمل كلمة سر طويلة لدرجة أنهم ال يستطيعون حفظها ،والعكس بالعكس ،أي أنهم يجب عليهم أن ال يجعلوها قصيرة جدا فتكون عرضة للتخمين. يجب أن تحتوى كلمة سر على خليط من الحروف الكبيرة والحروف الصغيرة واألرقام والرموز الخاصة .اضغط على الرابط /https://howsecureismypassword.netلتختبر قوة كلمة السر التي تستخدمها. يجب أيضا على المستخدمين التعامل بكلمة سر مختلفة للنظم المختلفة .فلو استطاع المهاجم تخمين كلمة سر واحدة، سيستطيع بعدها دخول كل حسابات نفس المستخدم .مدير كلمات السر هو برنامج يتيح للمستخدم حفظ كلمات السر الخاصة به بشكل سري .اضغط على الرابط /http://strongpasswordgenerator.comلعرض صانع لكلمات السر القوية. شيئا تعرفه
شيئا تملكه
شيئا بجسدك
شيئا تملكه :البطاقات الذكية والمفاتيح السرية الفيزيائية مثل الفوب أو الدونجل هي أمثلة على شيء يمتلكه المستخدم. •
البطاقات الذكية :البطاقة الذكية هي بطاقة بالستيكية صغيرة ،بحجم بطاقة االئتمان تقريبا ،ولها شريحة إلكترونية مدمجة .والشريحة هي حامل ذكي للبيانات قادر على المعالجة والتخزين وحماية البيانات .البطاقات الذكية تقوم بتخزين المعلومات الخاصة مثل أرقام الحسابات البنكية ،التعريف الشخصي ،السجالت الطبية و البصمات الرقمية. توفر البطاقات الذكية نظام تشفير ومصادقة لحفظ البيانات آمنة.
•
ميدالية مفتاح األمان(الفوب) :الشكل السابق في المنتصف ،هو عبارة عن جهاز صغير جدا لدرجة أنه يمكن تعليقة في ميدالية المفاتيح .تستخدم ميدالية األمان طريقة المصادقة ذات العاملين ،وهي أكثر أمانا من استخدام كلمة السر مع اسم المستخدم .أوال ،يقوم المستخدم بإدخال رقم المعرف الشخصي ( .)PINإذا تم إدخاله بشكل صحيح ستقوم
91
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الميدالية بعرض رقم عشوائي .وهذا يكون العامل الثاني ،وهو الذي يجب أن يدخله المستخدم للولوج للجهاز أو الشبكة. شيئا بجسدك :الخصائص الجسدية الفريدة مثل بصمة األصابع وشكل الشبكية والصوت التي تعرف مستخدم ما تسمى القياسات الحيوية للشخص .يقارن األمن الحيوي الخصائص الجسدية مع الملف الشخصي للمستخدم لعمل مصادقة .والملف الشخصي هو ملف بيانات يحتوى على خصائص الفرد ،مثل اسمه وعنوانه وبصمة اصبعه وهكذا .ويقوم النظام بمنح دخول النظام إذا كانت خصائص الشخص تنطبق على خصائصه المخزنة سابقا .قارئ البصمات هو من اشهر القياسات الحيوية المستخدمة .يوجد نوعين من المعرفات الحيوية: •
الخصائص الجسدية – وتشمل بصمة األصابع ،الشريط النووي ،DNAالوجه ،اليد ،الشبكية ،شكل األذن.
•
الخصائص السلوكية – مثل نمط سلوكي معين ،مثال إشارة أو الصوت أو التوقيع أو الطريقة التي يسير بها المستخدم.
اشتهرت القياسات الحيوية شيئا فشيئا حتى كثر استخدامها في اآلونة األخيرة في نظم التأمين العامة واإللكترونيات ونقاط البيع. لبناء وحدة قياس حيوي يجب أن يتم استخدام جهاز قارئ أو ماسح ،وأيضا استخدام برنامج لتحويل المعلومات الممسوحة إلى معلومات رقمية ،وأيضا قاعدة بيانات لتخزين القياسات الحيوية للمقارنة. المصادقة بأكثر من عامل :تستخدم المصادقة بأكثر من عامل طريقتين على األقل للتحقق .ميدالية مفتاح األمان هو مثال جيد على ذلك .والعاملين هما شيئا تعرفه مثل كلمة المرور وشيئا تملكه مثل ميدالية مفتاح األمان .يمكن إضافة عامل ثالث مثال شيئا بجسدك كبصمة األ صبع .المصادقة بأكثر من عامل يمكنها أن تقلل من حوادث سرقة الهوية على اإلنترنت ،ألن معرفة كلمة المرور فقط ال يكفي إلعطاء الهاكر الفرصة للوصول للمعلومات .على سبيل المثال ،اإلنترنت البنكي يطلب غالبا كلمة مرور يعقبها إدخال رقم معرف يستقبله المستخدم على جواله .ومثال آخر على نظم التحقق بأكثر من عامل ،سحب األموال من ماكينة الصرف اآللي ،إذ يجب على المستخدم أن يكون لديه البطاقة البنكية ويعرف رقم سري خاص قبل أن تشرع الماكينة في إخراج األموال له. 4.2.5التفويض ما هو التفويض :تتحكم عملية التفويض فيما يمكن أن يفعله أو ال يفعله المستخدم على الشبكة بعد إجراء عملية مصادقة ناجحة .فبعد أن يتم التأكد من هوية المستخدم ،يقوم النظام بمعرفة ما هي موارد النظام التي يسمح للمستخدم الوصول إليها وما هي الصالحيات التي يمكنه فعلها تجاه هذه الموارد .بشكل عام ،فإن التفويض يجيب على السؤال " هل للمستخدم امتيازات معينة مثل القراءة والكتابة واإلنشاء والحذف؟" تستخدم عملية التفويض مجموعة من الخصائص التي تصف وصول المستخدم للشبكة .يقوم النظام بمقارنة تلك الخصائص بالمعلومات الموجودة في قاعدة بيانات المصادقة ،وتحدد عدة قيود لذلك
92
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المستخدم ،وتوصل هذه القيود للموجه المحلي الذي يوصل المستخدم بالشبكة .عملية التفويض آلية وال تحتاج تدخل أو قيام المستخدم بخطوات إضافية بعد عملية المصادقة .إذ يتم عمل التفويض بعد عملية المصادقة مباشرة. استخدام التفويض :أول خطوات التفويض هي معرفة القواعد التي تحكم عملية الوصول .وعادة ما يتم استنباطها من سياسات التفويض .وتوجد سياستان هامتان: •
سياسة العضوية في مجموعة – وتحدد التفويض بناء على العضوية في مجموعة معينة .على سبيل المثال ،يملك كل الموظفين في الشركة بطاقة ممغنطة ،والتي تعطي صالحية الوصول لمرافق الشركة .فإذا كانت وظيفة أحد العاملين ال تسمح له بدخول غرفة الخوادم الرئيسية ،فإن البطاقة األمنية الممغنطة لن تسمح له بدخول تلك الغرفة.
•
سياسة التفويض بناء على السلطة – وتحدد صالحيات الوصول بناء على مكانة الموظف في المؤسسة .على سبيل المثال ،فكبار الموظفين في قسم تقنية المعلومات فقط من يستطيعون دخول غرفة الخوادم الرئيسية.
4.2.6المسائلة ما هي المسائلة :المسائلة تعطي مسئولية حدث معين مثل التعديل في النظام وتربطه بشخص ما أو عملية ما وتجمع تلك المعلومات ثم تعطي تقري ار يسمى تقرير استخدام البيانات .يمكن للمؤسسة أن تستخدم تلك البيانات في عملية الجرد أو دفع الفواتير .والبيانات المجمعة تحتوي على سجل األحداث بالوقت والتاريخ لمستخدم بعينه سواء تم الحدث بنجاح أم فشل ،وأيضا ما استخدمه من موارد لعمل ذلك الحدث .وهذا يسمح للمؤسسة بمتابعة األحداث ومعرفة األخطاء واألخطاء البشرية أثناء عمل جرد أو تحقيق. إنشاء المسائلة :تشمل عملية إنشاء المسائلة استخدام تقنيات وسياسات وإجراءات وعمل تدريب .ويوفر ملف سجل األحداث (لوج) معلومات تفصيلية بناء على المتغيرات المختارة .على سبيل المثال ،تقوم المؤسسة باالهتمام بعملية دخول النظام بتسجيل عدد مرات الدخول الناجحة والفاشلة .الدخول الفاشل يوضح في غالب األحيان أن هناك سارقا يحاول اختراق الحساب. وعمليات الدخول الناجحة تعرف المؤسسة من المستخدمين الذين استخدموا الموارد ومتى تم االستخدام .فهل يكون من الطبيعي أن يحاول المستخدم صاحب الصالحيات الولوج لشبكة النظام الساعة 3بعد منتصف الليل؟ سياسات المؤسسة وإجراءاتها توضح ما األفعال التي يجب تسجيلها في ملف سجل األحداث وكيف يتم عمل هذا الملف وكيف يتم مراجعته وتخزينه. االحتفاظ بالبيانات والتخلص من الوسائط ومتطلبات التوافق كلها تعطي مسائلة .غالب القوانين تطلب إنشاء قياسات لتأمين مختلف أنواع البيانات .وهذه القوانين ترشد المؤسسة إلى الطريق الصحيح للتعامل مع أو تخزين أو التخلص من البيانات. والتعليم والوعي بقوانين وسياسات وإرشادات المؤسسة يساهم بشكل أساسي في تحقيق المسائلة.
93
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.2.7أدوات التحكم باألمن األدوات الوقائية :وأحيانا تسمى األدوات الرادعة ،الوقاية معناها منع حدوث شيء .واألدوات الوقائية الخاصة بنظم التحكم بالوصول توقف حدوث النشاط الغير مرغوب أو الغير مصرح .وبالنسبة للمستخدم صاحب الصالحية ،األدوات الوقائية للتحكم بالوصول تعني القيود على الصالحيات .فإعطاء المستخدم ميزات معينة على النظام هي مثال على أداه وقائية .وعلى الرغم من أن المستخدم له الصالحية ،ولكن النظام يضع المستخدم في حدود معينه ليمنعه من الوصول الغير مصرح به أو أداء أفعال غير مصرح بها .الجدار الناري الذي يعرقل عملية الوصول لمنفذ أو خدمة يستطيع القراصنة استغاللها هو مثال آخر على أداه وقائية. أدوات الزجر :الزجر عكس المكافئة .المكافئة تشجع األفراد على عمل الشيء الصحيح ،أما الزجر يثبط محاوالتهم عمل الشيء الخاطئ .يستخدم مهنيو األمن السيبراني والمؤسسات أدوات الزجر للحد أو التخفيف من الفعل أو السلوك الخاطئ ،حيث أن أدوات الزجر ال تضمن إيقاف هذا السلوك الغير مرغوب فيه ،على أقل تقدير تحد من منه .أدوات التحكم بالوصول الزاجرة تثبط القراصنة من الحصول على وصول غير مصرح به للمعلومات والبيانات الحساسة .وتقوم تلك األدوات بتثبط محاوالت الهجوم على النظم أو سرقة البيانات أو نشر شفرة خبيثة .تستخدم المؤسسات األدوات الزاجرة لفرض سياسات األمن السيبراني. أدوات الزجر تجعل القراصنة يفكرون أكثر من مرة قبل تنفيذ الجريمة .وفي الشكل نجد قائمة بأدوات الزجر الشائعة المستخدمة في عالم األمن السيبراني .كمثال على أدوات الزجر ،كلما ولج المستخدم بحسابة لجهاز الحاسب ،يظهر له شريط يعرض العواقب السلبية لمخالفة سياسة الشركة. أمثلة على األدوات الزاجرة للتحكم في الوصول األقفال
السياج
الشارة
الحراس
الشرك
الكاميرات
إنذارات الدخالء فصل الخدمات التدريب والوعي التشفير
الجدران النارية
الجرد
أدوات التحري :التحري هو عملية مالحظة واكتشاف شيء ما .تحريات التحكم في الوصول تعرف األنواع المختلفة من األنشطة الغير مصرح بها .يمكن أن تكون أدوات االكتشاف بسيطة جدا مثل حساس الحركة أو حارس األمن .كما يمكن أيضا أن تكون معقدة للغاية مثل نظم فحص الدخالء .وكل نظم االكتشاف لها العديد من الصفات المشتركة ،حيث جميعها تبحث عن نشاط غير اعتيادي أو ممنوع .وهذه النظم تعطي أيضا طرق تسجيل أو إنذار مشغلي النظام من احتمال وجود وصول غير مصرح به .وأدوات الكشف أو التحري ال تمنع أي شيء من الحدوث ،ولكن تلك األدوات تظهر أهميتها أكثر عند التحري عن سبب
94
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حدوث مشكلة .من هذه األدوات ،تدوير الوظائف ،اإلجازات اإللزامية ،الجرد ،نظم فحص الدخالء ،جرات العسل ،مراجعة أحداث مسجل الكاميرا ،حساسات الحركة ،كالب الحراسة ،حراس األمن .تم تجميعهم في الشكل اآلتي
أدوات التصحيح :أدوات التصحيح هي لمجابهة الشيء الغير مرغوب فيه .تضع المؤسسات أدوات التصحيح بعد حصول اختراق للنظام .أدوات التصحيح تسترجع النظام لحالته السابقة وخصوصا استرجاع السرية والتماسك والتوافر للنظام .ويمكن لتلك األدوات أيضا أن ترجع النظام تماما لما كان عليه قبل الهجوم .وأدوات التصحيح منها ،نظم فحص الدخالء ،الشرك، خطط استم اررية العمل ،مكافح الفيروسات ،أجهزة اإلنذار ،السياسات األمنية. أدوات التعافي :التعافي يعني العودة للوضع الطبيعي .أما أدوات التعافي المستخدمة في التحكم بالوصول تسترجع الموارد واإلمكانيات بعد حدوث اختراق للسياسة األمنية .كما يمكن لتلك األدوات أن تصلح العطب ،أو إيقاف أي تخريب مستقبلي. وتملك أدوات التعافي أمكانيات أعلى مقارنة بأدوات التصحيح. من هذه األدوات ،عمليات النسخ االحتياطي ،نظم تحمل الخطأ بمعنى العمل مع وجود الخطأ ،عنقدة الخوادم بمعنى استخدام اكثر من خادم ليظهر للمستخدم كأنهم خادم واحد فقط ،تضليل قاعدة البيانات بمعنى تقسيم قاعدة البيانات ألجزاء صغيرة لقطع العالقة بين البيانات .برامج مكافحة الفيروسات. أدوات التعويض :التعويض معناه إيجاد بديل لشيء ما .األدوات التعويضية في نظم التحكم بالوصول تعطي خيارات ألدوات التحكم األخرى لتعزيز تنفيذ السياسات األمنية .كما يمكن ألدوات التعويض أن تستخدم بدال من أداة أخرى ال يمكن استخدامها
95
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
في الظروف الحالية .على سبيل المثال ،أحيانا ال تقدر الشركة على اقتناء كلب حراسة ،ولذلك فهي تستخدم حساس للحركة موصل بمصباح وجهاز صوتي للنباح عوضا عن كلب الحراسة. وأدوات التعويض تشمل ،السياسات األمنية ،مراقبة العمالة ،اإلشراف ،إجراءات تحديد مهام العمل.
4.3تعتيم البيانات Obscuring 4.3.1تقنع البيانات Masking ماذا يعني تقنع البيانات :عملية تقنع البيانات هي تقنية تؤمن البيانات بتبديل البيانات الحساسة بنسخة أخرى غير حساسة. النسخة الغير حساسة تبدو كالنسخة األصلية تماما .هذا يعني أن العمليات تستطيع استخدام البيانات الغير حساسة دون تغيير البرمجيات والتطبيقات ووحدات التخزين المصاحبة .وفي أشهر حاالت االستخدام ،فإن تقنع البيانات يحد من انتشار المعلومات الحساسة داخل نظم تقنية المعلومات بتوزيع بيانات بديلة لالختبار والتحليل .يمكن تقنع البيانات بشكل فعال إذا استطاع النظام أو التطبيق معرفة أن طلب المستخدم لبيانات حساسة يعرض المؤسسة للخطر. تقنيات تقنع البيانات :نظام تقنع البيانات يستطيع استبدال البيانات الحساسة في بيئات غير إنتاجية لحماية المعلومات المعنية. يوجد العديد من أدوات تقنع البيانات التي تؤكد على أن تظل البيانات ذات معنى ولكن يتم تعديلها بشكل كاف لحمايتها. •
التعويض يستبدل البيانات الحساسة ببيانات تبدو كالمصدقة لجعل سجالت البيانات مجهولة.
•
اللخبطة تنشئ مجموعة تعويضية من نفس حقل البيانات الذي يريد المستخدم تقنعه .وهذه التقنية تعمل جيدا على سبيل المثال في المعلومات المالية عند اختبار قاعدة بيانات.
•
التفريغ معناه جعل حقل البيانات فارغا ،Nullوهذه العملية تمنع بشكل تام ظهور البيانات.
4.3.2االستخفاء Steganography ما معنى االستخفاء :االستخفاء يعني إخفاء البيانات (الرسالة) في ملف آخر مثل ملف صورة أو صوت أو ملف نصي آخر. ويميز االستخفاء عن التشفير أن الرسالة السرية ال تجذب انتباه أي أحد .فلن يعرف أحد مطلقا أن الصورة التي بين يديه بعد عرضها أو طباعتها في الواقع تحتوي على رسالة سرية .االستخفاء به العديد من المكونات إلخفاء البيانات .أوال توجد البيانات المراد اخفائها وهي الرسالة السرية .والغطاء يكون الغطاء على شكل ملف صوت أو صورة أو نص أو غيره ،والغطاء يخفي البيانات السرية لينتج ملف صورة-اإلخفاء أو نص-اإلخفاء أو صوت-اإلخفاء .مفتاح اإلخفاء يتحكم في عملية اإلخفاء ويؤمنها. تقنيات االستخفاء :يوجد منهجية تخفي البيانات في الغطاء الصوري باستخدام طريقة البتات األقل أهمية ( .)LSBهذه الطريقة تستخدم البتات التي تعبر برقم ثنائي عن نقطة ضوئية (بكسل) في الصورة .بكسل هو الوحدة األساسية للون المبرمج في الصور المعروضة والمخزنة على الحاسوب .اللون المحدد لكل بكسل هو عبارة عن خليط من ثالثة ألوان ،األحمر واألخضر 96
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
واألزرق ( .)RGBيمكن استخدام ثالث بايت لتحديد اللون االجمالي ،بايت واحد لكل من األحمر واألخضر واألزرق .كل بايت عبارة عن 8بت .يستخدم نظام األلوان ذا 24بت كل البايتات الثالثة .االستخفاء بالبتات األقل أهمية يستخدم بت واحد فقط من كل لون من المكون األحمر واألخضر واألزرق .بمعنى أنه يمكن إخفاء 3بت في كل بكسل. يعرض الشكل التالي ثالث نقاط ضوئية (بكسل) في صورة بنظام األلوان ذا 24بت .حرف من األحرف المراد إخفاءها هو الحرف ،Tوإضافة الحرف Tيغير بت واحد فقط من كل لون .والعين البشرية ال تستطيع إدراك التغيير الذي تم للبت األقل أهمية حيث أن تغييره يعني تغيير طفيف في اللون ،على سبيل المثال التغيير من الرمادي إلى الرمادي (اللون الرمادي قيمته 128فإذا تغير إلى 127فسيكون رمادي أيضا) إذا علمنا أن اللون األبيض قيمته 255واألسود قيمته .0وبذلك نكون قد أخفينا حرف Tعن األنظار.
االستخفاء االجتماعي :االستخفاء االجتماعي يخفي المعلومات أمام األعين بعمل رسالة يمكن للبعض قراءتها بطريقة محددة لفهم المحتوى السري للرسالة .أما اآلخرون الذين يرون الرسالة بالطريقة الطبيعية لن يستطيعون فهم الرسالة السرية .والشباب على شبكات التواصل االجتماعي يستخدمون هذا التكتيك في إرسال الرسائل للتواصل مع قرنائهم مع إبقاء اآلخرون كاآلباء غير مدركين للمعنى الحقيقي للرسائل .على سبيل المثال ،العبارة "نذهب إلى السينما" يمكن أن تعني "نذهب إلى الشاطئ". واألفراد في بعض البلدان الذي يراقبون اإلعالم يستخدمون االستخفاء االجتماعي لتوصيل رسائلهم للخارج ،بالخطأ في هجاء الكلمة عن عمد ،أو عمل إشارات غامضة .وبشكل فعلي ،هم يتواصلون مع كثير من المشاهدين في نفس الوقت. االستنباط : Steganalysisاالستنباط يعني اكتشاف ما إذا كان هناك معلومات سرية أم ال .وهدف االستنباط هو اكتشاف المعلومات المخفية .األنماط التي تنشأ بسبب االستخفاء تعطي اشتباه في وجود بيانات مخفية .على سبيل المثال ،في بعض األحيان يكون في القرص الصلب أماكن غير مستخدمة للتخزين وتستخدم إلخفاء البيانات .وأدوات تحليل القرص الصلب تستطيع اكتشاف البيانات المخفية الموجودة في قطاعات القرص الغير مستخدمة .أما المرشحات فتستطيع التقاط حزم البيانات التي تحتوى على معلومات مخفية في رؤوس الحزم .كال الطريقتين يستخدمان البصمات الرقمية لالستخفاء .بمقارنة الصورة األصلية بملف صورة-اإلخفاء ،فمن الممكن لمحلل الصور أن يرى بعينه أنماطا متكررة.
97
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
4.3.3تشويش البيانات Obfuscation التشويش :تشويش البيانات يعني استخدام وممارسة تقنيات تقنع البيانات واالستخفاء في مهنة األمن السيبراني والذكاء السيبراني .التشويش هو التف نن في جعل الرسالة ،مشوشة أو غامضة أو صعبة الفهم .فالنظام في بعض األحيان يقوم بمزج الرسائل لمنع الوصول الغير مصرح به للمعلومات السرية. التطبيقات :وسم البرمجيات بالعالمات المائية يحمي البرنامج من االستعمال الغير مصرح به أو التعديل الغير مصرح به .وسم البرمجي ات بالعالمات المائية يتم بدمج رسالة سرية في البرنامج كإثبات للملكية .والرسالة السرية هي العالمة المائية للبرنامج أو الوسم المائي للبرنامج .فإذا حاول شخص ما إزالة الوسم المائي سينتج عنه برنامج غير نافع .أي أن إزالة العالمة المائية سيشوش البرنامج ويلغي فاعليته. عملية تشويش التطبيقات تحول البرنامج لنسخة مساوية للنسخة األصلية ولكن يصعب تحليلها من قبل المهاجمين .فمحاولة استرجاع البرنامج بالهندسة العكسية ينتج عنه برنامج يعمل ولكن يعطي نتائج غير واقعية. ملخص الفصل الرابع في هذا الفصل تم مناقشة المبادئ األساسية لعلم التشفير المستخدم في االتصاالت .وقدم الفصل توضيحا لكل من خوارزميات التشفير المتماثل والغير متماثل ،وتم مقارنة نوعي الخوارزميات وتوضيح استخدامهما باألمثلة. وفي الفصل تم شرح كيف يمكن لنظم التحكم في الوصول منع الوصول الغير مصرح به لمبنى أو حجرة أو نظام أو ملف باستخدام عمليات تعريف بالهوية والمصادقة والتفويض والمسائلة .باإلضافة إلى ذلك ،هذا الفصل وصف النظم المختلفة للتحكم في الوصول وأنواع التحكم في الوصول. وانتهى الفصل بمناقشة األنواع المختلفة لتقنع البيانات .تشويش البيانات واالستخفاء هما تقنيتان تستخدمان لتحقيق تقنع البيانات.
98
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل الخامس فن حفظ التماسك يؤكد التماسك على أن البيانات ال تتغير وموثوق بها من أي أحد خالل الدورة الكاملة لحياة البيانات .تماسك البيانات هو جزء حيوي في تصميم وبناء واستخدام أي نظام يخزن ويعالج وينقل البيانات .يبدأ هذا الفصل بمناقشة أنواع أدوات التحكم في تماسك البيانات مثل خوارزميات الهاش والتمليح و"شيفرة مصادقة الرسالة بالهاش ذا المفتاح" ( .)HMACتتضمن التوقيعات الرقمية والشهادات وظائف التحكم في التماسك لتوفر للمستخدم طريقة للتحقق من مدى صحة مصدر الرسائل والمستندات. وينتهي الفصل بمناقشة تماسك قواعد البيانات اإللزامي .عند وجود تحكم جيد وتعريف جيد لنظام تماسك للبيانات ،يكون لدى نظام قواعد البيانات زيادة في الثبات وكفاءة في واألداء وسهولة في الصيانة.
5.1أنواع أدوات التحكم في تماسك البيانات 5.1.1خوارزميات الهاش Hash Algorithms ما هو الهاش :يريد المستخدمون معرفة أن بياناتهم ستظل متماسكة ولن يتم العبث بها سواء كانت متحركة أو ثابتة .والهاش هي أداة لتحقيق تماسك البيانات بأخذ البيانات الثنائية (الرسالة) ثم إنتاج قيمة للرسالة بطول ثابت ،هذه القيمة تسمى قيمة الهاش أو ملخص الرسالة .تستخدم أدوات الهاش دوال تشفير الهاش وذلك لتأكيد وضمان تماسك البيانات .ويمكن أيضا لهذه الدوال أن تحقق المصادقة .تقوم دوال الهاش باستبدال كلمة السر التي في شكل نص صريح أو مفاتيح التشفير بقيمة ملخص الرسالة .حيث أنها ذا اتجاه واحد فقط ،بمعنى أنه إذا تم تطبيق الهاش على كلمة المرور بخوارزمية هاش معينة أكثر من مرة فإن الناتج دائما يكون نفس ملخص الرسالة .ودوال الهاش لها اتجاه واحد لسببين ،األول أنه ال يمكن استرجاع النص الصريح من قيمة الهاش .والثاني أنه من المستحيل أن تكون قيمة الهاش هي نفسها لمجموعتين مختلفتين من البيانات. كلما تم تغيير أو ت عديل البيانات تتغير بالتبعية قيمة الهاش .ولهذا السبب ،قيم تشفير الهاش تسمى عادة البصمات الرقمية. يمكن لهذه القيم معرفة الملفات المتماثلة أو تغيرات إصدار الملف والتطبيقات الشبيهة .وهذه الدوال تحمي من تعديل البيانات المقصود والغير مقصود والتخريب العارض للبيانات .والهاش أيضا ذا كفاءة عالية ،حيث أن نص صغير أو ملف ضخم أو حتى محتوى قرص صلب كامل ينتج عنه قيم هاش بنفس الطول إذا استخدمت نفس خوارزمية الهاش. خصائص الهاش :عملية الهاش هي دالة رياضية ذا اتجاه واحد وهي عادة سهلة الحساب ولكنها عكسها صعب للغاية .طحن القهوة هو مثال جيد لدوال االتجاه الواحد .حيث أنه من السهل طحن بذور القهوة إلى قطع صغيرة ،ولكن من المستحيل وضع كل هذه القطع الصغيرة بجوار بعضها السترجاع البذور األصلية .ولدوال تشفير الهاش الخواص التالية •
يمكن أن تكون المدخالت بأي طول (أنظر الشكل) 99
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
المخرجات لها نفس الطول
•
دوال الهاش لها اتجاه واحد وليس لها اتجاه عكسي
•
للمدخالت المختلفة تكون دائما قيمة الهاش مختلفة تماما حتى لو االختالف طفيف.
خوارزميات الهاش :تساعد دوال الهاش في التأكد من أن أخطاء المستخدم العارضة أو أخطاء النقل العارضة يمكن اكتشافها بسهولة .على س بيل المثال ،يرغب المستخدم عادة في التأكد أنه ال أحد قد عدل الرسالة في طريقها للمستقبل .لذا يقوم المرسل بوضع الرسالة كمدخل لدالة الهاش لحساب البصمة الرقمية للرسالة. خوارزمية هاش بسيطة (التدقيق بالمجموع 8بت :)8bit Checksumالتدقيق بالمجموع بطول 8بت هو من أوائل خوارزميات الهاش ،وهو أبسط نماذج دوال الهاش .تقوم دالة التدقيق بالمجموع بحساب الهاش عن طريق تحويل الرسالة إلى قيمتها الثنائية وبعدها يتم تنظيم خط البيانات الثنائية إلى كتل بطول 8بت .ثم تقوم الخوارزمية بجمع كل القيم التي بطول 8 بت .والخطوة األخيرة هي تحويل الناتج باستخدام عملية تسمى المكمل الثنائي ( .)2’s complementيحسب المكمل الثنائي بتحويل الرقم الثنائي لقيمته العكسية (كل صفر يتحول إلى واحد وكل واحد يتحول إلى صفر) ثم إضافة ،1والناتج يكون قيمة الهاش المطلوبة. انقر هنا http://easyonlineconverter.com/converters/checksum_converter.html للرسالة "." BOB .1احسب القيمة الثنائية ASCIIالخاصة بالرسالة " "BOBكما هو معروض بالشكل. .2حول القيم الثنائية إلى نظيرها السادس عشري ،كما نرى في الشكل التالي. .3أدخل القيم السادس عشرية إلى الحاسبة في الرابط األعلى (القيم هي )42 4F 42
100
لحساب 8بت هاش
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.4اضغط زر "حساب" .Calculateستكون النتيجة قيمة الهاش هي .2D حاول حل األمثلة التالية باستخدام الحاسبة في الرابط: •
الرسالة السرية “S”=53 “E”=45 “C”=43 “R”=52 “E”=45 “T”=54وقيمة الهاش لها 3A
•
الرسالة السرية “M”=4D “E”=45 “S”=53 “S”=53 “A”=41 “G”=47 “E”=45وقيمة الهاش لها FB 101
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خوارزميات الهاش المتقدمة :يوجد العديد من خوارزميات الهاش المستخدمة هذه األيام .ومن أشهر الخوارزميات MD5و SHAبالعربية مد 5وشا. •
خوارزمية مد :)MD5( 5قام رون ريفست بابتكار خوارزمية مد 5باإلضافة إلى العديد من تطبيقات اإلنترنت المستخدمة في هذه األيام .مد 5هي دالة ذات اتجاه واحد من السهل جدا حساب قيمة الهاش للبيانات المدخلة ولكن من الصعب جدا حساب البيانات المدخلة باستخدام قيمة الهاش .تنتج خوارزمية مد 5قيمة هاش بطول 128بت .قامت البرمجية الخبيثة المسماة الشعلة Flameعام 2012بكشف سر الخوارزمية مد .5فقد استخدم مؤلفو الشعلة نقطة ضعف في خوارزمية مد 5تسمى نقطة ضعف التصادم .وقد استغلوها لتزوير شهادات توقيع رقمية في نظام النوافذ .اضغط على ال اربط لشرح كيفية
عمل
البرمجية
وكيف
الخبيثة
يتم
استغالل
ثغرة
التصادم
https://blogs.technet.microsoft.com/srd/2012/06/06/flame-malware-collision-attack. /explained •
خوارزمية شا ( :)SHAقام المعهد الوطني للمعايير والتكنولوجيا ،نست ( )NISTببناء خوارزمية شا .وتم تضمين الخوارزمية ضمن معيار الهاش السري ( .)SHSقامت نست بنشر خوارزمية شا 1سنة .1994ثم استبدلت شا 1بشا2 مع أربعة دوال هاش إضافية ضمن عائلة شا والدوال هي oشا 224( 224بت) oشا 256( 256بت) oشا 384( 384بت) oشا 512( 512بت) شا 2هي خوارزمية أقوى واستبدلت مد .5وشا 256وشا 384وشا 512هي خوارزميات الجيل القادم.
تطبيق الهاش على الملفات والوسائط الرقمية :يؤكد التماسك عند اكتساب البيانات أن البيانات والمعلومات كاملة وسليمة. ومعرفة تماسك البيانات هام جدا وخصوصا عندما يرغب المستخدم في تنزيل ملف من اإلنترنت أو في حالة رغبة المحقق الجنائي في البحث عن دليل على الوسائط الرقمية. وللتأكد من سالمة كل ملفات نظم التشغيل ،IOSتوفر سيسكو خوارزميات تدقيق المجموع بمد 5وشا على الموقع اإللكتروني لسيسكو الخاص بتحميل البرامج .ويستطيع المستخدم مقارنة مختصر مد( 5قيمة الهاش لـ مد )5الموجودة على الموقع مع قيمة مختصر مد 5الخاص بنظام تشغيل مركب على جهاز شبكي .سيشعر المستخدم حينئذ بالثقة في أنه ال أحد عبث أو عدل بملف نظام التشغيل IOSالمثبت على األجهزة الشبكية.
102
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستخدم مجال التحليل الجنائي الرقمي الهاش لفحص كل الوسائط الرقمية التي تحتوى على ملفات .على سبيل المثال ،يقوم المحقق بعمل هاش ونسخة على مستوى البت للوسائط التي تحوي الملفات للحصول على مستنسخ رقمي .ثم يقوم المحقق بمقارنة الهاش الخاصة بالوسط األصلي مع المستنسخ الرقمي .فإذا حصل تطابق في القيم ،فإن النسخ متساوية .والحقيقة أنه عندما تتساوى مجموعة من البتات مع مجموعة البتات األصلية فإن هذا يخلق نوع من الثبات أو االستقرار .ويساعد الثبات في اإلجابة على العديد من األسئلة: •
هل يملك المحقق الملفات المتوقعة؟
•
هل تم تخريب أو تعديل البيانات؟
•
هل يستطيع المحقق أن يثبت أن الملفات غير مخربة؟
وحاليا يستطيع الخبير الجنائي فحص النسخة الخاصة بأي برهان رقمي مع االحتفاظ بالبيانات األصلية سليمة لم تمس. تطبيق الهاش على كلمات المرور :تقوم خوارزميات الهاش بتحويل أي كمية من البيانات لبصمة رقمية أو هاش رقمي ثابت الطول .وال يستطيع المجرم عكس عملية الهاش الرقمي الكتشاف البيانات األصلية .فلو حصل تغير طفيف في البيانات سيتم الحصول على هاش مختلف تماما .وهذا جيد جدا في حالة الرغبة في حماية كلمات المرور .فالنظام يحتاج لتخزين كلمات السر في شكل محمي ويكون بإمكانه التحقق من أن كلمات المرور للمستخدمين صحيحة. يعرض الشكل التالي رسم تخطيطي لخطوات تسجيل حساب جديد للمستخدم وعملية مصادقة كلمات السر الموجودة كل هذا باستخدام نظام معتمد على التشفير .والمبدأ انه يمنع على النظام أن يحفظ كلمات السر بالشكل الصريح على القرص الصلب، ولكنه يقوم بتخزين قيمة الهاش فقط.
103
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تطبيقات الهاش :يتم استخدام الدوال التشفير للهاش في المواقف اآلتية: •
إلثبات هوية المصدر عند استخدام المصادقة السرية بالمفتاح المتماثل ،مثل مصادقة برمجية IPSecأو مصادقة بروتوكوالت التوجيه.
•
لتوفير المصادقة بتخليق استجابات فريدة ووحيدة االتجاه للتحديات في بروتوكوالت المصادقة.
•
لتوفير برهان على فحص تماسك الرسالة ،مثل ذلك المستخدم في العقود التي توقع رقميا ،وشهادات البنية التحتية للمفتاح العام ( )PKIوهي الشهادات التي تقبل عند التعامل السري مع موقع إلكتروني باستخدام المتصفح.
وعند اختيار خوارزمية الهاش ،يمكن استخدام شا 256أو أعلى ألنهم حاليا األكثر سرية .وتجنب استخدام شا 1ومد 5بسبب اكتشاف عيوب امنية فيهما .وفي شبكات الحاسب اإلنتاجية ،استخدم شا 256أو أعلى .مع أن الهاش يمكنه اكتشاف التغيرات العا رضة إال انه ال يستطيع الحماية ضد التغير المتعمد للبيانات .إذا ال توجد لدوال الهاش معلومة فريدة ملتصقة بقيمة الهاش يستدل بها على مرسل الرسالة .لذا فإن أي شخص يستطيع حساب الهاش ألي بيانات دون رقيب ،طالما أنهم يعرفون دالة الهاش المستخدمة .على سبيل المثال ،عندما تبحر الرسالة في الشبكة ،يستطيع مهاجم متربص استقبال الرسالة وتعديلها ثم إعادة حساب الهاش ثم لصق الهاش بالرسالة .وسيقوم الجهاز المستقبل بالتأكد من تماسك الرسالة عن طريق المقارنة بأي قيمة هاش ملتصقة بالرسالة .على ذلك يكون الهاش عرضة لهجمات الرجل الوسيط وال يعطي سرية للبيانات المتنقلة. كسر شفرة الهاش :لكسر الهاش يجب على المهاجم أن يخمن كلمة المرور .وأشهر هجومين لتخمين كلمات المرور هما هجمة القاموس والهجوم الغاشم. هجمة القاموس وأحيانا تسمى هجمة جدول قوس قزح rainbow tableتتم باستخدام ملف يحتوى على الكلمات الشائعة والعبارات وكلمات المرور .ويحتوى الملف على قيم محسوبة للهاش .وتتم الهجمة بمقارنة قيم الهاش الموجودة في الملف مع قيمة الهاش الخاص بكلمة السر .فإذا وجد تطابق ،سيقوم المهاجم بمعرفة مجموعة من كلمات السر المتوقعة والجيدة. أما هجمة التخمين الغاشم فتتم بمحاولة كل التباديل الممكنة لعدد معين من الحروف ،مناظر لعدد حروف كلمة السر المطلوبة. على سبيل المثال لو علمنا أن رقم المرور مكون من أربعة أرقام ،لذا يمكن تجربة 9999تبديلة لألرقام حتى نصل إلى الرقم السري .وهجمة التخمين الغاشم تستهلك كمية ال بأس بها من وقت المعالج ،ولكن المشكلة مشكلة وقت فقط حتى تصل هذه الطريقة إلى كلمة السر المطلوبة .يجب أن تكون كلمات السر طويلة بما فيه الكفاية إلطالة الوقت الذي تمكثه عملية التخمين الغاشم حتى يكون الهجوم غير مجدي .تطبيق الهاش على كلمات المرور يجعلها أكثر صعوبة في التخمين من قبل القراصنة. 5.1.2التمليح ما هو التمليح :المعنى االصطالحي للتمليح هو وضع الملح على الطعام وكلما زاد الملح كلما صعب األكل .أما هنا فيعني جعل عملية الهاش لكلمات السر أكثر سرية .فكلما زاد طول قيمة الملح كلما صعب على المهاجم تخمين كلمات المرور .إذا 104
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كان لمستخ دمين نفس كلمة المرور ،سينتج عنهما بالطبع نفس قيمة الهاش .الملح هو عبارة عن نص من األحرف العشوائية وهو مدخل أضافي لكلمة المرور يتم لصقه بكلمة المرور قبل إجراء الهاش .وبذلك يتم عمل هاش مختلف لكلمتي السر المتشابهتين كما هو موضح بالشكل .قواعد البيانات تحفظ قيمة الهاش وقيمة الملح المرتبط بها .وفي الشكل نرى أن كلمات السر المتشابهة تنتج هاش مختلف ألن الملح في كل نسخة من كلمات السر له قيمة مختلفة .وال يجب االهتمام بسرية الملح ألنه في األصل رقم عشوائي.
التمليح يوقف الهجمات :يمنع التمليح المهاجم من استخدام هجمة القاموس ومحاولة تخمين كلمة المرور .ويمنع التمليح أيضا إمكانية استخدام جداول البحث أو جداول قوس قزح في كسر الهاش. •
الجدول البحثي – جدول البحث يخزن قيم هاش لكلمات السر محسوبة مسبقا ،ويخزن أيضا كلمة المرور الصريحة بجانب الهاش .وجدول البحث هو عبارة عن تركيب بيانات يعالج مئات الهاش في الثانية .اضغط على الرابط /https://crackstation.netلترى سرعة جدول البحث في كسر الهاش.
•
جدول البحث العكسي – تسمح هذه الطريقة للمهاجم بعمل هجوم بالقاموس أو هجوم غاشم على كثير من قيم الهاش دون ح سابها مسبقا في جدول بحث .إذ يقوم المهاجم بعمل جدول بحثي ويضع فيه قاعدة بيانات الهاش لكلمات مرور في حساب مخترق ثم يربطها باسم المستخدم للحساب المخترق .ثم يقوم المهاجم بعمل تخمينات لكلمات المرور ويطبق عليها الهاش ثم يستخدم الجدول البحثي للحصول على قائمة المستخدمين الذين لديهم مطابقة لتخمين المهاجم .ونظ ار ألن كثير من المستخدمين لهم نفس كلمة السر ،ينجح الهجوم في العادة.
•
جدول قوس قزح – جداول قزح تضحي بميزة السرعة في كسر الهاش لجعل الجداول البحثية أصغر .وجدول صغير يعني أن الجدول يستطيع تخزين حلول لعدد أكبر من قيم الهاش في نفس مساحة التخزين.
105
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
بناء عملية التمليح :تستخدم برمجية خلق أرقام عشوائية تسمى "صانع األرقام العشوائية والسرية تشفيريا" ويختصر بالرمز ( )CSPRNGويعتبر من أفضل الحلول لعمل الملح .وصانع األرقام العشوائية يقوم بتخليق رقم عشوائي له مستوى عال من العشوائية وال يمكن أبدا توقع قيمته ،ولذلك فهو سري من الناحية التشفيرية. ولبناء عملية التمليح بشكل ناجح ،يجب استخدام التوصيات التالية: •
قيمة الملح يجب أن تكون مختلفة لكل مستخدم جديد.
•
يمنع منعا باتا إعادة استخدام قيمة الملح.
•
طول قيمة الملح يجب أن تطابق طول مخرجات دالة الهاش.
•
قم بعمل الهاش على الخادم في حالة استخدام تطبيقات الويب.
إن استخدام تقنية "استطالة المفتاح" سيساعد في الحماية ضد الهجمات .واستطالة المفتاح تجعل دالة الهاش تعمل ببطء .وهذا يمنع العتاد السريع والذي يحسب مليارات الهاش في الثانية من الوصول لقيمة الهاش بسهولة.
5.1.3الهاش ذا المفتاح ،إتشماك ()HMAC ماذا يعني إتشماك :الخطوة التالية لمنع القراصنة من عمل هجوم قاموس أو هجوم غاشم على الهاش هو إضافة مفتاح سري للهاش .الشخص الذي يعرف المفتاح فقط هو من يستطيع التحقق من الهاش .من الطرق المشهورة لتحقيق ذلك هو تضمين مفتاح سري في الهاش باستخدام خوارزمية هاش تسمى شيفرة مصادقة الرسالة بالهاش ذا المفتاح ( )HMACإتشماك .شيفرة إتشماك تستخدم مفتاح إضافي كمدخل لدالة الهاش .وشيفرة إتشماك تزيد خطوة إضافية على ضمان التماسك والذي يوفره الهاش بإضافة عملية مصادقة مضمنة بداخل الهاش .وتستخدم شيفرة اتشماك خوارزمية تشفير معينة تستطيع ربط دالة الهاش التشفيرية بالمفتاح السري .كما هو موضح بالشكل .المستقبل والمرسل فقط هم من يعرفان المفتاح .ومخرجات دالة الهاش أصبح يعتمد حاليا ليس فقط على المدخالت ولكن على المدخالت والمفتاح السري .واألطراف التي لها صالحية وصول للمفتاح هي فقط من تستطيع حساب تلخيص الهاش لدالة اإلتشماك .وهذه الخاصية تحارب مشكلة هجوم الرجل الوسيط وتوفر مصادقة لمصدر البيانات (معرفة صاحب البيانات). 106
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كيف يعمل إتشماك :افترض أن المرسل يريد التحقق من أن الرسالة ستظل سليمة في طريق نقلها للمستقبل ،ويريد طريقة ما ليتأكد المستقبل من مصدر الرسالة (عمل مصادقة للرسالة) .كما نرى في الشكل،
يقوم الجهاز المرسل بإدخال البيانات اآلتية ( مثل ادفع لجون سميث مبلغ 100دوالر ،المفتاح السري) إلى خوارزمية الهاش ثم يحسب الملخص التشفيري الثابت الطول اتشماك لتلك البيانات ،والملخص التشفيري يكون بمثابة البصمة الرقمية .يقوم المستقبل باستقبال البصمة الرقمية المصدقة والمرفقة بالرسالة .وفي الشكل الثاني ،يقوم الجهاز المستقبل بإزالة البصمة الرقمية من الرسالة ويستخدم نص الرسالة الصريح مع المفتاح السري كمدخالت لنفس دالة الهاش .إذا كانت البصمة المحسوبة عند الجهاز المستقبل تساوي البصمة المرسلة فإن الرسالة لم تمس في الطريق .باإلضافة إلى ذلك ،سيتأكد المستقبل من مصدر
107
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الرسالة ألن المرسل هو الوحيد الذي يمتلك نسخة من المفتاح المشترك .ولذا فإن دالة إتشماك تثبت مصادقة الرسالة ،أو تثبت هوية صاحب الرسالة. تطبيقات استخدام إتشماك :يمكن إلتشماك أن يقوم بعملية تصديق لمستخدم ويب .معظم خدمات الويب تستخدم مصادقة بدائية ،والتي ال يتم فيها تشفير اسم المستخدم وكلمة المرور أثناء النقل .أما في خوارزمية إتشماك ،يقوم المستخدم بإرسال معرف على شكل مفتاح خاص مع هاش اإلتشماك .يقوم المستخدم بالبحث عن المفتاح الخاص للمستخدم ثم يقوم بعمل هاش اتشماك .ويجب أن يتطابق هاش اإلتشماك الخاص بالمستخدم مع الذي تم حسابه على الخادم. الشبكة االفتراضية ( )VPNتستخدم IPsecمعتمدا على دوال إتشماك لمصادقة مصدر كل حزمة ويوفر أيضا فحص تماسك البيانات .ومنتجات سيسكو تستخدم الهاش لعمل مصادقة للوحدات وفحص تماسك البيانات والتأكد من هوية مرسل البيانات، بشكل عام يتم استخدام الهاش وخصوصا اتشماك في سيسكو كاآلتي: •
موجهات سيسكو والمثبت عليها نظام التشغيل IOSتستخدم الهاش مع مفتاح سري بنفس طريقة اإلتشماك إلضافة معلومات مصادقة لمراسالت بروتوكوالت التوجيه.
•
أجهزة وبوابات IPsecيستخدمان خوارزميات الهاش ،مثل مد 5وشا 1في وضع اإلتشماك لتوفير تماسك ومصادقة للحزم.
•
ملفات البرمجيات الخاصة بسيسكو والموجودة على موقع سيسكو دوت كوم cisco.comلديها تدقيق مجموع معتمد على مد 5ومتاح لكي يقوم العمالء بفحص تماسك الملفات التي يرغبون في تحميلها من الموقع.
ملحوظة :كلمة وحدة يمكن أن تشير إلى جهاز أو نظام داخل المؤسسة.
5.2التوقيع الرقمي 5.2.1القوانين والتوقيعات ماهي التوقيعات الرقمية :تثبت التوقيعات اليدوية واألختام ملكية المحتوى لمستند ما .والتوقيعات الرقمية تستطيع عمل نفس الوظيفية تماما مثل التوقيعات اليدوية .الوثائق الغير محمية عرضة للتعديل من أي أحد بسهولة .تستطيع التوقيعات الرقمية معرفة ما إذا قام مستخدم بالتعديل على المستند بعد توقيعه من صاحبه .التوقيع الرقمي هو عبارة عن طريقة حسابية تستخدم لفحص مصادقة وتماسك الرسالة أو المستند الرقمي أو البرنامج .في معظم األقطار ،تعطي التوقيعات الرقمية نفس األهمية التي تعطيها التوقيعات اليدوية .وتستخدم التوقيعات اإللكترونية في التعاقدات والتفاوض أو أي مستند إلكتروني يتطلب توقيع يدوي .ويتم الجرد المتتابع لتاريخ المستند اإللكتروني بغرض التنظيم وأغراض الدفاع القانونية .والتوقيعات الرقمية تساعد في إقامة مصادقة وتماسك وعدم إنكار .وللتوقيعات الرقمية خصائص محددة توافر مصادقة الوحدات وتماسك البيانات وخصائص التوقيع الرقمي هي كالتالي: 108
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
مصادق :ال يمكن تزوير التوقيع ،و يجب توفير إثبات بأن الموقع وليس أحد غيره هو الذي وقع المستند. َ
•
متماسك :فبعد توقيع المستند ال يمكن تعديل المستند أو التوقيع.
•
ال يعاد استخدامه :فالتوقيع جزء من المستند وال يمكن نقله لمستند آخر.
•
ال يمكن إنكاره :ألغراض قانونية ،التوقيع والمستند يعتبران أشياء حسية .وال يمكن للموقعين بعدها ادعاء انهم لم يقعوا على المستند.
التوقيعات الرقمية هي بديلة إلتشماك. التوقيع وعدم اإلنكار :التخلي عن المسئولية يعني اإلنكار .وعدم اإلنكار هي طريقة للتأكد من أن مرسل الرسالة او المستند ال يمكنه إنكار أنه أرسل الرسالة أو المستند والمستقبل أيضا ال يمكنه أنكار أنه استقبل الرسالة أو المستند. تؤكد التوقيعات الرقمية أن المرسل قد وقع الرسالة أو المستند إلكترونيا .وحيث أن التوقيع وحيد وفريد بالنسبة للمستخدم الذي أنشأه ،لذا فإن هذا الشخص ال يمكنه الحقا إنكار أنه الشخص الذي وقع. 5.2.2كيف تعمل تقنية التوقيع الرقمي عملية إنشاء توقيع رقمي :تأتي الفكرة األساسية للتوقيع الرقمي من التشفير الغير متماثل .فخوارزمية ذات مفتاح عام مثل خوارزمية ريشاد ( )RSAتنتج مفتاحين ،واحد خاص وواحد عام .والمفتاحين يكونان مرتبطان حسابيا.
تريد إليسا إرسال بريد إلكتروني لبوب يحتوى على معلومات هامة عن طرح منتج جديد .وتريد إليسا أن تتأكد أن بوب يعرف أن الرسالة هي التي أرسلتها وليست فتاه أخرى ،وتريد أيضا أن تتأكد بأن الرسالة وصلت لبوب دون تعديل في الطريق .لعمل ذلك تقوم إليسا بتجهيز الرسالة وتجهيز هاش الرسالة .ثم تقوم بتشفير الهاش مستخدمة مفتاحها الخاص ،كما هو موضح بالشكل األول ،ثم تقوم إليسا بتجميع كل من الرسالة و الهاش المشفر ومفتاحها العام لتقوم بتركيب المستند النهائي الموقع .وترسل ذلك المستند لبوب كما هو موضح بالشكل الثاني.
109
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يستقبل بوب الرسالة ويقرأها .وليتأكد من أن الرسالة أتت من إليسا ،يقوم بحساب هاش الرسالة (هاش .)1ثم يقوم بأخذ هاش الرسالة المشفر والمرسل مع رسالة إليسا ويقوم بفك تشفيره مستخدما المفتاح العام إلليسا (هاش .)2ثم يقارن الهاش الذي استقبله من إليسا (هاش )2مع الهاش الذي حسبه هو (هاش .)1إذا وجد تطابق يعرف بعدها أن تلك رسالة إليسا وأنها لم يتم التالعب بالرسالة في الطريق .كما هو موضح بالشكل
اضغط على الرابط https://www.youtube.com/watch?v=E5FEqGYLL0oلعرض فيديو يشرح عملية تصنيع الشهادات الرقمية. استخدامات التوقيع الرقمي :توقيع الهاش بدال من كامل المستند يعطي كفاءة وتوافق وتماسك لعملية التوقيع .أحيانا تريد المؤسسات تبديل المستندات الورقية وتوقيعات الحبر بحل يضمن أن المستندات اإللكترونية تتماشي مع كل المتطلبات القانونية واإلدارية .وفيما يلي حالتين الستخدام التوقيعات الرقمية: 110
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
توقيع البرامج – ويستخدم في إثبات تماسك الملفات التنفيذية التي يتم تحميلها من موقع بيع تلك الملفات .ويستخدم توقيع البرامج شهادات رقمية موقعة لمصادقة وإثبات هوية الموقع.
•
الشهادات الرقمية – وتستخدم في تحديد هوية المؤسسة أو الفرد لمصادقة موقع البيع وإقامة قناة اتصال لتبادل المعلومات المصنفة والسرية .الشهادات الرقمية موضحة في الشكل التالي:
مقارنة خوارزميات التوقيع الرقمي :أشهر ثالث خوارزميات للتوقيع الرقمي هي خوارزمية التوقيع الرقمي ،داسا (.)DSA وريشاد ( )RSAوخوارزمية التوقيع الرقمي بالمنحنى البيضاوي ،إكداسا ( .)ECDSAوكل الثالث خوارزميات تقوم بتصنيع والتحقق من التوقيعات الرقمية .وكل الخوارزميات الثالث تعتمد على تقنية التشفير بالمفتاح العام .ويتطلب التوقيع الرقمي اآلتي: •
تصنيع المفتاح
•
التحقق من المفتاح
وكال الوظيفتين يتطلبان عمليتي تشفير وفك تشفير. داسا يستخدم عملية تحليل ألرقام كبيرة ،تستخدم الحكومات داسا للتوقيع ولعمل توقيعات رقمية .وال يمتد داسا خارج توقيع الرسالة نفسها .ريشاد هو أكثر خوارزميات تشفير المفتاح العام شيوعا هذه األيام .ريشاد هو مختصر أسماء الثالثة علماء الذين ابتكروه عام 1977م :ريفست وشامير وأدلمان .ويعتمد ريشاد على عملية تشفير غير متماثل .يقوم ريشاد بتغطية التوقيع وأيضا يشفر محتوى الرسالة .داسا أسرع من ريشاد في خدمة توقيع المستندات الرقمية .يفضل استخدام ريشاد في التطبيقات التي تتطلب توقيع وتحقق المستندات اإللكترونية وتشفير الرسالة. 111
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
كمعظم المجاالت في التشفير ،فإن خوارزمية ريشاد تعتمد اعتمادا كليا على مبدأين في الرياضيات هما ،حسابات باقي القسمة وتحليل األعداد األولية .اضغط هنا https://www.youtube.com/watch?v=wXB-V_Keiu8
لتعرف أكثر كيف
يستخدم ريشاد كال من باقي القسمة وتحليل األعداد األولية .إكداسا هو أحدث خوارزمية توقيع رقمي والتي يتم استبدال ريشاد بها بشكل تدريجي .والميزة لهذه الخوارزمية الجديدة أنها تستخدم أحجام مفاتيح صغيرة تعطي نفس المناعة ضد الهجمات، وأيضا تحتاج حسابات أقل من ريشاد.
5.3الشهادات الرقمية 5.3.1أساسيات الشهادات الرقمية ماهي الشهادة الرقمية :الشهادة الرقمية تمثل جواز السفر اإللكتروني .فهي تمكن المستخدم واألجهزة المضيفة والمؤسسات من تبادل المعلومات بطريقة سرية عبر اإلنترنت .وبشكل خاص ،فإن الشهادة الرقمية تصادق المصدر وتقوم بالتحقق من أن المستخدمين الذين أرسلوا الرسالة هم فعال من يدعون ذلك .وتستطيع الشهادات الرقمية تحقيق السرية للمستقبل بتشفير رسالة رد للمرسل.
تشبه الشهادات الرقمية الشهادات الحقيقية المطبوعة .على سبيل المثال ،فشهادة "مشارك أمني في الشبكات معتمد من سيسكو" تختصر لـ ( )CCNA-Sوالمطبوعة كما بالشكل تعرف الفرد باسمه وتعرف سلطة االعتماد (من اعتمد الشهادة) وتعرف أيضا فترة صالحية الشهادة .الحظ كيف أن الشهادات الرقمية (الموجودة بالشكل) تعرف نفس العناصر. استخدام الشهادات الرقمية :الستيعاب كيفية استخدام الشهادة الرقمية انظر الشكل ،ففي هذا السيناريو ،يريد بوب تأكيد طلب شراء مع إليسا .يستخدم خادم الويب الخاص بإليسا الشهادات الرقمية لتأكيد التراسل اآلمن .يتم عمل تأكيد طلب الشراء بالخطوات التالية،
112
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.1يقوم بوب بتصفح الموقع اإللكتروني إلليسا .والمتصفح عند بوب يخبر بوب بأن االتصال آمن عن طريق عرض رمز قفل في شريط الحالة األمنية. .2يرسل خادم ويب إليسا شهادة رقمية لمتصفح بوب. .3يقوم متصفح بوب بفحص الشهادة المخزنة في إعدادات المتصفح .والشهادات الموثوق فيها فقط هي التي تسمح لعملية االتصال أن تكتمل. .4ال يزال بوب محتاجا للمصادقة فيعطي كلمة مرور .وفي هذه الحالة يتم عمل جلسة سرية في الخلفية بين حاسب بوب وخادم ويب إليسا. .5يقوم متصفح بوب بخلق مفتاح جلسة فريد لمرة-واحدة. .6يس تخدم متصفح بوب المفتاح العام الخاص بخادم الويب والموجود على شهادة الخادم الرقمية لتشفير الجلسة .ونتيجة لذلك نجد أن خادم إليسا هو الوحيد الذي يستطيع قراءة المعاملة التي أرسلها متصفح بوب.
ماهي سلطة إصدار الشهادة ( :)CAفي عالم اإلنترنت ،االستمرار في تبادل معرفات الهوية بين األطراف العديدة غير عملي بالمرة .على ذلك ،يتفق األفراد على قبول كلمة من طرف ثالث محايد .والمفترض أن الطرف الثالث يقوم بعمل فحص شامل قبل إصدار االعتمادات .بعد هذا الفحص العميق ،يقوم الطرف الثالث بإصدار االعتمادات والشهادات التي ال يمكن تزويرها. وانطالقا من هذه النقطة ،فكل األفراد التي تثق في الطرف الثالث يقبلون ببساطة تلك االعتمادات التي أصدرها الطرف الثالث. على سبيل المثال ،كما في الشكل ،تقدم إليسا طلب إصدار رخصة قيادة .في هذه العملية ،تقوم إليسا بتقديم دليل على هويتها، مثل شهادة الميالد وصورتها وصورة بطاقتها وغيره لقسم الرخص بإدارة المرور .يقوم القسم بالتحقق من هوية إليسا ويسمح لها باستكمال اختبار القيادة .وبعد نجاحها في القيادة ،يقوم قسم الرخص بإصدار رخصة قيادة إلليسا .بعدها ،إذا أرادت إليسا صرف شيك من البنك ،فإنها تعطي الشيك لموظف الصرف .يطلب منها الموظف إثبات هوية .وحيث أن البنك يثق في إدارة المرور فإنه يصدق على رخصة القيادة كهوية لها ويصرف لها الشيك.
113
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وسلطة إصدار الشهادة ( )CAتعمل بنفس المبدأ الذي تعمل به إدارة المرور .حيث تقوم السلطة بإصدار شهادات رقمية والتي تصادق هوية الشركات والمستخدمين .وهذه الشهادات تقوم بتوقيع الرسائل للتأكد من أنه ال أحد قد عبث بمحتوى الرسالة أثناء نقلها.
5.3.2بناء الشهادات الرقمية ماذا يوجد بداخل الشهادات الرقمية :طالما أن الشهادة الرقمية تتبع معيار معين ،فإن أي وحدة تستطيع أن تق أر الرسالة وتفهمها بغض النظر عن معطي الشهادة .يعتبر إكس (X.509) 509معيار ل "البينة التحتية للمفتاح العام" ( PKIبيكاي) و بيكاي يدير عملية إصدار وتوزيع الشهادات الرقمية .وبتفصيل أكثر ،فإن البيكاي عبارة عن مجموعة سياسات وأدوار وإجراءات هامة لتحقيق إدارة وتوزيع واستخدام وتخزين والتخلص من الشهادة الرقمية .أما معيار إكس 509يحدد مكونات الشهادات الرقمية لتحتوي على المعلومات المعيارية التالية: .1رقم اإلصدار – وهو رقم إصدار معيار إكس 509 .2الرقم التسلسلي – وهو رقم وحيد معرف للشهادة .3معرف خوارزمية الشهادة – وهو اسم خوارزمية المفتاح العام التي تستخدمها سلطة إصدار الشهادة ( )CAلتوقيع الشهادة الرقمية. .4اسم معطي الشهادة – رقم هوية سلطة اإلصدار ()CA .5فترة الصالحية – تحتوي على تاريخ بدء وانتهاء الصالحية للشهادة .6اسم المالك – اسم مالك الشهادة .7المفتاح العام للمالك – المفتاح العام للمالك وخوارزمية المفتاح العام المستخدمة. .8معرف لمانح الشهادة – هو رقم فريد يعرف معطي الشهادة. 114
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.9معرف للمالك – هو رقم فريد يعرف صاحب الشهادة. .10أخرى – المعلومات اإلضافية التي تخص استخدام الشهادة. .11التوقيع الرقمي لسلطة اإلصدار – التوقيع الرقمي الذي تم عمله بمساعدة المفتاح الخاص بسلطة اإلصدار وباستخدام الخوارزمية المحددة في خانة معرف خوارزمية الشهادة. التحقق من صالحية الشهادة :تقوم المتصفحات والتطبيقات بعمل تحقق من الصالحية قبل الوثوق في الشهادة للتأكد أنها صالحة االستخدام .يتم التحقق عن طريق الثالث عمليات اآلتية: •
مستكشف الشهادة يقوم بالتحقق من صالحية خطوات إصدار الشهادة ،وذلك بفحص كل سلسة الشهادات بدءا من سلطة اإلصدار الجذعية .root CA
•
تحقق المسار يختار شهادة لسلطة اإلصدار التي منحت الشهادة لكل مرحلة في المسار.
•
سحب الشهادة يتحقق من أن الشهادة قد سحبت بالفعل ولماذا سحبت.
مسار الشهادة الرقمية :يحصل الفرد على الشهادة والمفتاح العام من سلطة إصدار تجارية .والشهادة تنتمي لسلسة من الشهادات تسمى سلسلة الثقة .عدد الشهادات في سلسلة الثقة يعتمد على التركيب الهرمي لسلطة اإلصدار ( .)CAيعطي الشكل التالي معلومات عن سلسلة الشهادات في مستويين فقط.
يوجد في العادة جهازين لسلطة اإلصدار جهاز جذعي متصل وجهاز تابع منفصل .والسبب في اتخاذ التركيب الهرمي ذا المستويين أن توقيع إكس 509يسهل عملية التعافي في حالة االختراق .إذا وجد جهاز تابع منفصل ،يمكنه حينها توقيع
115
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشهادات التي أصدرها الجهاز الجذعي المتصل .وإذا لم يوجد جهاز منفصل ،فعلى المستخدم أن يقوم بتثبيت شهادة رقمية جذعية جديدة لكل جهاز عميل أو تليفون أو لوح كفي.
5.4فرض سالمة قواعد البيانات 5.4.1تماسك قواعد البيانات تماسك البيانات :ويسمى أيضا تكامل البيانات .تعطي قواعد البيانات طريقة ذات كفاءة عالية لتخزين واسترجاع وتحليل البيانات .تتكون قاعدة البيانات من مجموعة من الكائنات مثل الجداول واالستعالمات والتقارير وغيرها .كلما زاد حجم البيانات المجمعة ،تزيد بالتبعية حساسية البيانات ،ومن المهم جدا ألي محترف أمني أن يتمكن من حماية قواعد البيانات المتنامية العدد .فكر في قاعدة البيانات كأنها نظام ملفات إلكتروني .تكامل البيانات يتحقق بالدقة واالنسجام واعتمادية البيانات المخزنة في قاعدة البيانات .مسئولية تماسك البيانات تقع على عاتق كل من مصممي قواعد البيانات والمطورين وإدارة المؤسسات. واألربع قواعد أو القيود الخاصة بتكامل البيانات هي كاآلتي: .1تكامل الكائن :كل الصفوف يجب أن يكون لها معرف فريد يسمى المفتاح األساسي ،في الشكل ID ،هو مفتاح أساسي حيث أن القيم بداخله ال تتكرر. .2تكامل النطاق :البيانات المخزنة في عمود ما يجب أن تتبع نفس النمط والتعريف ،مثال العمود First Nameالموجود بالشكل يأخذ قيم نصية وال يأخذ قيم تاريخ أو عملة مثال. .3التكامل المرجعي :العالقة بين الجداول المختلفة يجب أن تظل متناسقة .على ذلك ،إذا تم حذف مستخدم من جدول يجب أن يتم حذفه من كل الجداول التي تشير إلى نفس المستخدم ،على سبيل المثال إذا تم حذف مشترك في خدمة الهاتف من جدول المشتركين ،يجب أن يتم حذف المشترك من الجداول األخرى مثل جدول المكالمات وجدول الفواتير وغيرها. .4تكامل يحدده المستخدم :وهي مجموعة قواعد تحدد من قبل المستخدم والتي ال يمكن ضمها ألي قيد آخر من قيود تكامل البيانات .على سبيل المثال ،يقوم العميل بإصدار طلب شراء ،يقوم المستخدم أوال بالتأكد من أن العميل جديد أم ال .فإذا كان العميل جديد يتم إضافته لجدول العمالء.
أدوات إدخال البيانات :إدخال البيانات يعني توصيل البيانات للنظام للمعالجة ،ويجب إدخال البيانات بالشكل الصحيح .ويوجد عدة أدوات للتحكم في عملية إدخال البيانات والتي تجبر مدخل البيانات على إدخال بيانات صحيحة. 116
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
القائمة المنسدلة للبيانات الرئيسة :من األفضل الحصول على قائمة منسدلة للجداول الرئيسة بدال من جعل األفراد يدخلون البيانات .كمثال على التحكم في اإلدخال عن طريق القائمة المنسدلة ،استخدام قائمة المدن المأخوذة من النظام األمريكي للعناوين البريدية لمعايرة العناوين.
•
أدوات التحكم في حقل البيانات :وهو يعطي عدة قواعد الختبار صحة البيانات منها: oالمدخالت اإلجبارية تؤكد أن الحقل المطلوب يحتوي على بيانات .في الشكل ،المدخالت اإلجبارية يرمز لها بالرمز * (تعرض باللون األحمر) oقناع المدخالت ،يمنع المستخدمين من إدخال بيانات غير صحيحة أو المساعدة في ضمان إدخالهم للبيانات بشكل متناسق (مثل أرقام التليفونات) ،أو عنوان البريد اإللكتروني ،مثال يجب أن يحتوي على العالمة @ oقيم مالية موجبه. oمدى البيانات ،يؤكد أن المستخدم يدخل البيانات في المدى المحدد (مثال هل يعقل أن يكون تاريخ الميالد -01-01 1780م !!!) oالموافقة اإلجبارية لطرف ثاني ،على سيبل المثال إذا استلم موظف البنك عملية إيداع أو سحب لمبلغ كبير أكبر من قيمة معينة ،على الفور يتم إعالم شخص ثاني أو ثالث للموافقة. oإن ذار أقصى عدد للتعديالت ،إذا زاد عدد السجالت التي تم تعديلها عن حد معين في فترة زمنية معينة يتم تجاهل المستخدم بعدها حتى يتمكن المدير من معرفة ما إذا كانت عمليات التعديل مصرح بها ام ال. oإنذار النشاط الغير اعتيادي ،يتم قفل النظام اوتوماتيكيا إذا أدرك وجود نشاط غير اعتيادي.
117
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
5.4.2التحقق من قاعدة البيانات قواعد التحقق :قاعدة التحقق تتأكد من أن البيانات تقع في نطاق المعامالت التي أقرها مصمم قاعدة البيانات .تساعد قاعدة التحقق في التأكيد على اكتمال ودقة وانسجام البيانات .يتم استخدام المقاييس اآلتية في قاعدة التحقق: •
الحجم – يفحص عدد األحرف في عنصر البيانات.
•
النمط – يفحص ما إذا كانت البيانات تتبع النمط المحدد.
•
االنسجام – يفحص انسجام الشفرات في عنصر بيانات ذا عالقة.
•
المدى – يتأكد من أن البيانات تقع في مدى معين له قيمة عظمى وقيمة صغرى.
•
عدد الفحص–لعمل حسابات إضافية لتخليق عدد الفحص والذي يضاف في نهاية الرقم بغرض اكتشاف األخطاء.
الشكل التالي يبين كيفية تكوين عدد الفحص ،نفرض أن الرقم المراد حساب عدد الفحص له هو رقم اإليداع لكتاب كاآلتي ( )158714373ويتكون من 10خانات ،يوجد في الرقم تسعة أعداد ،الخانة العاشرة يتم حسابها بالخطوات التالية: •
نضرب العدد األول في 10والعدد الثاني في 9والعدد الثالث في .... 8وهكذا .يصير الناتج ، 7x8 ، 8x9 ،5x10 1x2 ، 3x3 ، 7x4 ، 3x5 ، 4x6 ،1x7
•
نجمع نواتج الضرب في الخطوة السابقة يكون الناتج 233
•
نحسب الفرق بين 233وأقرب رقم يقبل القسمة على ،11أقرب رقم بهذه المواصفات هو 242والفرق بينه وبين 233 يساوي 9لذا فإن عدد الفحص يساوي .9ويتم اضافته في نهاية رقم اإليداع ليكون كاالتي ()1587143739
118
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التحقق من نوع البيانات :التحقق من نوع البيانات هو ابسط عملية تحقق في قواعد البيانات والتي تتحقق من أن البيانات التي أدخلها المستخدم بيانات متناسقة وتناسب نوع البيانات المطلوب .على سبيل المثال ،رقم الهاتف يجب أال يحتوي على حروف التينية (الفا بيتا جاما) .تتحمل قواعد البيانات ثالث أنواع من البيانات ،العدد الصحيح والنصيص (تصغير نص) والرقم العشري. التحقق من المدخالت :من أكثر الثغرات التي توجد في إدارة سالمة قواعد البيانات هو التحكم في عملية إدخال البيانات. العديد من الهجمات المعروفة تحاول اختراق قواعد البيانات بإدخال بيانات مشوهة .ويستطيع الهجوم عمل إرباك وتخريب أو استغالل التطبيق ليكشف للمهاجم الكثير من المعلومات .ويستخدم المهاجمون طرق آلية للهجوم عن طريق المدخالت. على سبيل المثال ،يمأل المستخدمون نموذج عبر تطبيق ويب لالشتراك في رسائل النشرات اإلخبارية .يقوم تطبيق قواعد البيانات أوتوماتيكيا بتركيب وإرسال تأكيدات البريد اإللكتروني .وعندما يستقبل المستخدمون رسائل التأكيد متضمنة رابط مرجعي URLلتأكيد اشتراكهم ،يقوم المهاجمون بتعديل الرابط المرجعي .هذا التعديالت تتضمن تغيير اسم المستخدم وعنوان البريد اإللكتروني وحالة االشتراك .يرجع البريد اإللكتروني إلى خادم الويب الذي يستضيف التطبيق .فإذا لم يقم خادم الويب بتأكيد أن عنوان البريد اإللكتروني أو معلومات الحساب المقدمة للخادم تطابق معلومات االشتراك ،سيستقبل الخادم معلومات زائفة .يستطيع المهاجمون ميكنة الهجوم إلغراق تطبيق الويب بآالف طلبات االشتراك الغير محققة والتي تطلب االشتراك في خدمة رسائل النشرات اإلخبارية. فحص السلوك الشاذ :فحص الشذوذ يعني معرفة النمط الموجود في البيانات الذي ال يطابق السلوك المتوقع .من السلوك الغير مالئم وجود أنماط شاذه أو أنماط متطرفة أو االستثناء أو انحرافات أو مفاجئات في مختلف تطبيقات قواعد البيانات .فحص الشذوذ والتحقق منه هو رادع للهجمات وحارس لقواعد البيانات ،وعند وجوده يسهل اكتشاف التزوير .يمكن لنظم فحص الشذوذ أن تكتشف التزوير في بطاقة االئتمان والتأمين .كما يمكن أن تحمي البيانات من التخريب الهائل أو التعديل الغير مصرح به. يحتاج فحص الشذوذ طلبات تحقيق البيانات أو طلبات تعديل وذلك في حال اكتشاف النظام لنمط مفاجئ أو غير معتاد .على سبيل المثال ،صدور طلبين لصفقتي شراء ببطاقة ائتمانية من مكانين جغرافيين بعيدين في وقت صغير جدا .فإذا صدر طلب الصفقة األولى من الرياض الساعة 10:30صباحا والثاني صدر من جدة الساعة 10:35صباحا ،يجب أن يصدر النظام على الفور طلب اعتماد للطلب الثاني. مثال آخر يحدث عندما تتم تعديالت لعدد غير معتاد من عناوين البريد اإللكتروني لعدد غير معتاد من سجالت قواعد البيانات .حيث أنه من الممكن أن تصبح بيانات البريد اإللكتروني مصدر لهجمة قطع الخدمة ،DoSفإن تعديل البريد اإللكتروني لمئات السجالت يشير إلى أن المهاجم يستخدم قاعدة بيانات الشركة كأداة لتحقيق هجمته لقطع الخدمة.
119
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
5.4.3متطلبات تكامل قواعد البيانات تكامل وحدات قاعدة البيانات :وأحيانا تسمى الكائنات ،قاعدة البيانات تشبه نظام الملفات اإللكتروني .فالحصول على تنظيم مناسب للملفات هو جزء حيوي في رفع الثقة وتحقيق المنفعة المرجوة من البيانات الموجودة بقاعدة البيانات.
الجداول والسجالت والحقول ،والبيانات بداخل كل حقل ،كلها هي وحدات بناء قاعدة البيانات .وللحصول على تكامل لقاعدة البيانات في نظام الملفات اإللكتروني ،يجب على المستخدمين إتباع قواعد محددة .تكامل الوحدات هو قاعدة تكامل ،والتي تفرض وجود مفتاح أساسي لكل جدول ،ويجب أن يكون العامود أو األعمدة المختارة لتكون مفتاح أساسي ذات خاصية عدم التكرار وعدم الفراغ .عدم التكرار يعني أن يكون لكل سجل معرف منفرد وغير متكرر .وعدم الفراغ معناه أال يترك السجل فارغا .قواعد البيانات تعطي قيمة NULLللقيم الفارغة وعادة ما تكون هذه القيم مفقودة أو غير معروفة .وتكامل الوحدات يعطي تنظيما أفضل للبيانات في كل سجل كما هو موجود بالشكل. التكامل المرجعي :مبدأ آخر هام هو العالقة بين نظم الملفات المختلفة أو الجداول في قاعدة البيانات .وأساس الحفاظ على التكامل المرجعي هو المفاتيح األجنبية .والمفتاح األجنبي في جدول ما يشير إلى مفتاح أساسي في جدول آخر .المفتاح األساسي في الجدول يعطي معرف موحد للسجالت ليسهل الرجوع إليها .التكامل المرجعي يحافظ على تكامل المفاتيح األجنبية. كما نرى في الشكل جدول المخازن وجدول العمالء ،يقوم المشتري بشراء قطعة برقم معرف من المخزن .ثم تضاف عملية الشراء في جدول العمالء .فإذا تم إزالة القطعة من جدول المخازن فال معنى ألن تظل في جدول العمالء ،إذ أنه من غير المنطقي أن يشتري العميل قطعة غير موجودة في المخزن من األساس!!!.
120
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تكامل نطاق البيانات :تكامل النطاق يتأكد من أن جميع عناصر البيانات في عامود كلها تقع في المجموعة المحددة للقيم المقبولة .يتم تحديد مجموعة من القيم لكل عامود في الجدول ،مثل مجموعة أرقام بطاقات االئتمان ،أرقام الضمان االجتماعي، أو عناوين البريد اإللكتروني .الحد من القيمة التي تخص سجل معين لهذا العامود (الصفة) تفرض وجود تكامال مرجعيا .فرض التكامل المرجعي يمكن أن يكون بسيطا كاختيار نوع البيانات الصحيح ،أو الطول أو النمط المقبول لقيم العامود .يوجد بالشكل ثالث حقول محددة النطاق .مثال رقم SSNيجب أن يحتوى على 9أعداد. ملخص الفصل الخامس ناقش هذا الفصل كيف أن فن حفظ التماسك يؤكد على أن تظل البيانات غير قابلة للتعديل من أي شخص أو أي شيء خالل فترة حياة البيانات الكاملة .بدأ الفصل بمناقشة أنواع أدوات حفظ تماسك البيانات .خوارزميات الهاش ،وتمليح كلمة المرور، وشيفرة مصادقة الرسالة بالهاش ذا المفتاح (إتشماك )HMACكلها مبادئ هامة ألبطال السيبر حيث يمكن استخدامها في بناء التوقيع الرقمي والشهادات الرقمية .هذه األدوات تعطي طريقة لمتخصصي األمن السيبراني لتأكيد مصدر الرسالة والمستندات المرسلة .وانتهي هذا الفصل بمناقشة فرض تكامل قواعد البيانات .فالحصول على نظام تكامل بيانات معرف-جيدا ومتحكم- فيه-جيدا يزيد من الثبات ويحسن األداء ويسهل صيانة نظام قواعد البيانات. 121
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل السادس فن الحفاظ على استمرارية التوافر المؤسسات التي ترغب في الحصول على أقصى توافر للنظم والبيانات ،غالبا ما تتخذ معايير معينة لتقليل أو منع فقدان البيانات .والهدف الرئيسي هو تقليل تعطيل العمليات الهادفة والحرجة .فإذا لم يستطع الموظفون عمل أشغالهم المعتادة ،فإن المؤسسة تصبح على شفا خطر فقدان األرباح .وتقيس المؤسسات عملية التوافر بالنسبة المئوية لوقت التشغيل .هذا الفصل يبدأ بشرح مفهوم التسعات الخمس .يجب أن تحافظ الشركات على أعلى معايير التوافر ألن التعطل من الممكن أن يعني حرفيا الفرق بين الحياة والموت. يناقش هذا الفصل مختلف المنهجيات التي تتخذها المؤسسة لتحقيق أهدافها من التوافر .زيادة المعدات توفر احتياطي من المكونات اإلضافية مثل أجهزة الحاسب وأجهزة الشبكة بهدف التأكيد على توافر النظام .من الممكن أن تكون المكونات الزائدة عتاد مثل األقراص الصلبة والخوادم والمحوالت والموجهات ،ومن الممكن أيضا أن تكون برامج مثل نظم التشغيل والتطبيقات وقواعد البيانات .وهذا الفصل يناقش الرجوعية ،وهو مقدرة الخادم أو الشبكة أو مركز البيانات على التعافي بسرعة والرجوع إلى االستم اررية في العمل .يجب أن تجهز المؤسسات العدة للرد على االحداث بعمل إجراءات يتم اتباعها بعد حدوث عارض. ويختم الفصل بمناقشة التعافي من الكوارث وتخطيط استمرارية العمل والذين يمثال جزءا حيويا في حفاظ الشركة على توافر مواردها.
6.1التوافر الدائم 6.1.1مبدأ التسعات الخمس ما هو مبدأ التسعات الخمس :مبدأ التسعات الخمس يعني أن تتوافر النظم والخدمات بنسبة %99.999من الوقت .وتعني أيضا أن تكون مدة التعطيل سواء مخطط له أو غير مخطط له تساوي 5.26دقائق في السنة .ويشير التوافر الدائم إلى النظم والمكونات التي تستمر في العمل لفترة معينة .وللتأكيد على التوافر الدائم: •
إزالة النقاط المتعطلة
•
تصميم االعتمادية
•
اكتشاف التعطل عندما يحدث مباشرة.
الحفاظ على التوافر بمبدأ التسعات الخمس يحتاج لتكلفة عالية ويستهلك كثير من الموارد .والتكلفة العالية تأتي بسبب شراء عتاد إضافي كالخوادم والمكونات .وعندما تضيف المؤسسة مكون من المكونات ،تزيد بالتبعية صعوبة التهيئة والهيمنة على
122
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المكونات .ولسوء الحظ ،فإن زيادة صعوبة التهيئة يعني زيادة عوامل المخاطرة .فكلما زاد عدد األجزاء المتحركة كلما زادت احتمالية فشل المكونات. البيئات التي تتطلب التسعات الخمس :على الرغم من أن تكلفة استم اررية التوافر من الممكن أن تكون مرتفعة لبعض الصناعات ،إال إن هناك بيئات يجب إلزاميا أن يتوفر فيها مبدأ التسعات الخمس ،تم تجميعها في الشكل ،وهي:
•
الهيئات المالية :فالهيئات المالية يجب أن تحافظ على التوافر الستمرار التجارة وتحقيق االلتزام وزيادة ثقة العميل .اضغط على الرابط التالي http://www.datacenterdynamics.com/it-networks/new-york-stock-exchange- fails-due-to-configuration-problems/94401.articleلتق أر عن حادثة انقطاع التيار الكهربي أربع ساعات في بورصة نيويورك 2015والخسائر الفادحة التي صاحبت ذلك.
•
المرافق الطبية :المرافق الطبية تتطلب توافر دائم لتوفر العناية للمرضى على مدار الساعة .أضغط هنا http://www.fiercehealthit.com/story/data-center-downtime-cost-averages-7900 minute/2013-12-05لتق أر أكثر على متوسط التكلفة التي تكلفها تعطيل مركز بيانات في الهيئات الصحية.
•
الدفاع المدني :الدفاع المدني يشمل عدة بنايات توفر األمن والخدمات للمجتمع أو المقاطعة أو الدولة بشكل عام .أضغط هنا
http://www.nextgov.com/defense/2014/05/pentagon-police-agency-hit-catastrophic-
/network-outage/83842لتق أر أكثر على انقطاع شبكة الكهرباء في وكالة شرطة البنتاجون االمريكية. •
أسواق التجزئة :تعتمد أسواق التجزئة على سالسل توريد ذات كفاءة عالية وتوصيل المنتجات للمستهلك .االضطراب في سوق التجزئة يمكن أن يكون مخربا ،بشكل خاص في أوقات الذروة مثل اإلجازات والعطل الرسمية.
•
اإلعالم :يعتمد العامة على أن وسائل اإلعالم ستوصل المعلومة عن األحداث فور وقوعها .والنشرات اإلخبارية أصبحت على مدار الساعة ()7/24 123
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تهديدات التوافر :التهديدات اآلتية تشكل خط ار كبي ار على توافر البيانات والمعلومات: •
مستخدم غير مخول ينجح في اختراق وكشف قاعدة البيانات األساسية للمؤسسة.
•
عملية هجوم لقطع الخدمة DoSناجحة تؤثر بشكل جوهر على سير العمليات داخل الشركة.
•
المؤسسة تفقد بيانات حساسة جدا.
•
تعطل تطبيق هام معد لهدف حيوي في الشركة
•
االستيالء على حساب المدير أو حساب المستخدم الجذري.
•
اكتشاف وجود شيفرة برنامج عبر المواقع أو مشاركة ملف على الخادم بشكل غير قانوني.
•
تشويه الموقع اإللكتروني للشركة يؤثر على العالقات العامة.
•
عاصفة شديدة كاإلعصار والزوبعة.
•
األحداث المدمرة مثل الهجوم اإلرهابي وتفجير المبنى والحريق.
•
انقطاع طويل األمد لمرفق أو خدمة.
•
تدمير بالمياه بسبب الفيضانات أو بسبب تسريب في بخاخات الحريق.
وتقسيم التهديد على حسب مستوى التأثير يساعد المؤسسة في إدراك التأثير الدوالري للتهديد .في الجدول التالي نقسم التهديدات حسب مستوى التأثير لكل نوع مثال
التهديد الكوارث الطبيعية
الزالزل ،األعاصير ،الزوابع ،الفيضانات ،الحرائق
الخطأ البشري
يقوم الموظف بعمل خطأ غير مقصود ،مثال اسقاط حاسوب من يده
فشل العتاد
تخريب القرص الصلب ،التهيئة الخاطئة للجدار الناري
التخريب المتعمد
المهاجم يقوم بتثبيت باب خلف أو دودة بغرض مسح الملفات
الهجمات البرمجية
الفيروسات ،الديدان ،هجمة قطع الخدمة DoS
الخطأ البرمجي
بق البرامج يمنع البرنامج من التحميل بشكل صحيح
السرقة انقطاع المرافق
الحواسيب المحمولة أو المعدات تسرق من حجرات غير مقفلة. فشل في الطاقة الكهربية.
تصميم نظام بتوافر دائم :التوافر الدائم يدمج ثالث مبادئ رئيسية لتحقيق الهدف من عدم انقطاع الوصول للبيانات والخدمات: •
إزالة أو تقليل نقاط التعطل :وحدة أو نقطة حرجة في النظام تؤدي عملية حرجة وإذا تعطلت ستعطل باقي العمليات ،هل يمكن تركها تتعطل؟ من الهام جدا فهم طريقة الحل لمشكلة نقاط التعطل .نقاط التعطل ممكن أن تكون موجه مركزي أو 124
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
محول أو خدمات شبكة أو حتى شخص مدرب جدا من فريق تقنية المعلومات .المهم هنا أن فقدان النظام أو العملية أو الشخص يمكن أن يكون له تأثير تخريبي على النظام بالكامل .والحل أن نقتني عمليات وموارد ومكونات والتي من شأنها تقليل تعطل وفشل النقاط .عناقيد التوافر الدائم هي الحل لعمل الزيادة .هذه العناقيد تحتوي على مجموعة من الحواسيب ا لخوادم والتي لها وصول لنفس وحدات التخزين المشتركة ولها نفس التهيئة .وكل الخوادم تشارك في المعالجة والخدمة في نفس الوقت .من الخارج ،تبدو مجموعة الخوادم كأنهم جهاز واحد .فإذا تعطل جهاز في العنقود ،فإن األجهزة األخرى تستمر في المعالجة بتقديم نفس الخدمة لتغطية غياب الجهاز المتعطل. •
رجوعية النظام ،المقدرة على الحفاظ على البيانات وعمليات المعالجة رغم الهجوم أو األحداث التخريبية .بشكل عام ،هذا يتطلب أنظمة زائدة في الطاقة والمعالجة ،فإذا تعطل أحد األنظمة فإن األنظمة األخرى تحل محلة وتقوم بالعمليات والخدمات دون التوقف المؤقت للخدمة .رجوعية النظام ال تعني فقط زيادة مقاومة الجهاز ولكنها تتطلب توفير البيانات والخدمات حتى عند وجود الهجوم.
•
تحمل الخطأ ،المقدرة على العمل مع وجود الخطأ تمكن النظام من االستمرار في العمل أثناء فشل مكون أو عدة مكونات. كمثال على ذلك ،نسخة المرآة من البيانات .فإذا حدث الخطأ وسبب في حدوث تعطل الجهاز كمتحكم القرص الصلب، فإن النظام المرآة سيوفر البيانات المطلوبة وذلك بال إزعاج ظاهر للمستخدم.
6.2معايير زيادة التوافر 6.2.1إدارة الممتلكات تحديد الممتلكات :تحتاج المؤسسة لمعرفة العتاد والبرمجيات الموجودة كمتطلب مبدئي لمعرفة متغيرات التهيئة المطلوبة .إدارة الممتلكات تشمل نظام مخازن كامل للعتاد والبرمجيات .وهذا يعني أن المؤسسة تحتاج لمعرفة كل المكونات التي من الممكن أن تتعرض للخطر ،وتشمل هذه المكونات: •
كل نظم العتاد 125
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
كل نظم التشغيل
•
كل جهاز شبكي
•
كل نظام تشغيل لجهاز شبكي
•
كل تطبيق برمجي
•
البرمجيات الثابتة -Firmwareمثل البرامج على الذاكرة الدائمة ROM
•
كل لغات وبيئات التشغيل
•
كل المكتبات (البرمجية أو غيره) API
يمكن أن تختار المؤسسة نظام آلي لتتبع وتنظيم الممتلكات .ومدير هذا النظام يجب أن يحقق في أي تعديل للتهيئة ألنه من الممكن أن يعني أن التهيئة ليست محدثة آلخر تحديث .كما يمكن أن يعني أنه يوجد تعديالت غير مصدقة تحدث. تصنيف الممتلكات :تصنيف الممتلكات يضع كل مورد في الشركة في مجموعة بناء على الصفات المشتركة لموارد نفس المجموعة .يجب أن تطبق الشركة نظام تصنيف ممتلكات للمستندات وسجالت البيانات وملفات البيانات واألقراص الصلبة. والمعلومات الحساسة للغاية تحتاج أعلى مستوى من الحماية وأحيانا ستحتاج إلى معاملة خاصة .تستطيع المؤسسة تبني نظام العالمات والمورد يأخذ عالمة معينة بناء على قيمته ودرجة حساسيته ومدى أن يكون حرجا .يمكن تتبع الخطوات التالية لتعريف وتصنيف الممتلكات الخاصة بالشركة: خطوات تعريف وتصنيف الممتلكات الخطوة األولى
الخطوة الثانية
تعريف فئات التصنيف للممتلكات
تعريف مسائلة الممتلكات
•
ممتلكات معلوماتية
•
عرف كل مالك للممتلكات المعلوماتية
•
ممتلكات فيزيائية
•
عرف كل مالك للتطبيقات البرمجية
•
ممتلكات برمجية
•
خدمات
الخطوة الثالثة
الخطوة الرابعة
تحديد معيار التصنيف
بناء خطة التصنيف
•
السرية
•
القيمة
•
الوقت
•
الصالحيات
•
قم بتبني طريقة منتظمة لتعريف المعلومة للتأكيد
على وجود حماية منتظمة.
.1حدد الفئات المناسبة للتعريف بالممتلكات. 126
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.2قم بعمل مسائلة الممتلكات بتعريف المالك لكل ممتلك معلوماتي وتطبيق برمجي. .3قم بتحديد معيار التصنيف. .4قم ببناء مخطط التصنيف. على سبيل المثال ،تستخدم الحكومة األمريكية درجة حساسية المعلومة لتصنيف البيانات كاآلتي :سري للغاية ،سري ،مصنف، عام ،غير مصنف .الجدول يوضح تفصيل أكثر لتلك الخطوات. معايرة الممتلكات :إدارة الممتلكات تدير نظام المخازن ودورة حياة الممتلكات كاألجهزة والبرامج .كجزء من نظام تقنية المعلومات إلدارة الممتلكات ،تقوم المؤسسة بتحديد الممتلكات المقبولة والتي تتماشى مع أهدافها ،فهذه الممتلكات هي التي تقبل فقط .وهذا اإلجراء يقلل بشدة أنواع الممتلكات المختلفة .على سبيل المثال ،تقوم المؤسسة فقط بتثبيت التطبيقات التي تتماشى مع سياساتها .عندما يقوم مدراء النظم بإزالة التطبيقات التي ال تتماشى مع الخطوط العريضة للشركة ،فإنهم بذلك يزيدون من سرية المنظومة بشكل فعال .معايير الممتلكات تحدد منتجات معينة من العتاد والبرمجيات ،وهي التي تتقبلها الشركة في االستخدام والدعم .عندما يحدث فشل ،يساعد رد الفعل الفوري في الحفاظ على الوصول والسرية .فإذا لم تعاير الشركة مختاراتها من العتاد وعند حدوث الفشل ،سيحتاج العاملون إلى التدافع والعجلة للبحث عن مكون بديل .البيئات غير المعايرة تحتاج لخبرات أكثر لإلدارة وسيزيد ذلك من تكاليف عقود الصيانة والمخازن .اضغط الرابط التالي http://mil- /embedded.com/articles/the-cots-systems-playلتق أر عن كيف أن الجيش انتقل على العتاد المعاير الستخدامه في التواصل. تحديد التهديدات للممتلكات :فريق االستعداد لطوارئ الكمبيوتر في الواليات المتحدة األمريكية ( )US-CERTوو ازرة األمن الداخلي األمريكية يرعان قاموس الثغرات و التعرض ( .)CVEيحتوي قاموس الثغرات على معيار لمعرف رقمي مع وصف مختصر ،ومرجعيات لتقارير الثغرة والتحذيرات .مؤسسة MIRTEتقوم بتحديث قائمة الثغرات CVEعلى موقعها اإللكتروني المتاح للجميع .تبدأ عملية تحديد التهديدات بعملية بتخليق معرف لـ قائمة الثغرات CVEللثغرات األمن السيبراني المعلومة بشكل عام .وكل معرف في القائمة يحتوى على اآلتي: •
رقم معرف CVE
•
وصف مختصر للثغرة األمنية
•
أي مراجع هامة
اضغط هنا لتق أر أكثر عن معرفات CVEأو معرفات قائمة الثغرات.
127
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تحليل المخاطر :تحليل المخاطر هي عملة تحليل الخطر الذي تجلبه األحداث التي سببها البشر واألحداث الطبيعية التي تؤثر على ممتلكات المؤسسة .يقوم المستخدم بتعريف الممتلكات لتحديد الممتلكات التي يجب حمايتها أكثر .يوجد أربعة أهداف رئيسية لتحليل المخاطر: .1تحديد الممتلكات وقيمته .2تحديد الثغرات والتهديدات. .3تحديد كمية االحتمال والتأثير للتهديدات المعرفة. .4الموازنة بين التأثير وتكلفة شراء المضاد. يوجد منهاجين رئيسيين لتحليل المخاطر: •
تحليل المخاطر الكمي :كما نرى في الشكل األول ،تحليل المخاطر يعطي أرقام لعملية تحليل المخاطر .وقيمة الممتلك تعبر عن تكلفة استبدال الممتلك .و قيمة الممتلك يمكن قياسها أيضا بالدخل المكتسب من استخدام الممتلك .عامل التعرض ( ) EFهو قيمة ذاتيه يعبر عنها بالنسبة المئوية الحتمال فقدان الممتلك بسبب تهديد محدد .وإذا حدثت خسارة كاملة للممتلك فإن عامل التعرض يكون 1أو .%100وفي المثال الكمي ،الخادم له قيمة امتالكية تساوي 15000 دوالر .وعندما يخرب الخادم ،تحدث خسارة كاملة ( .)EF=1قيمة الممتلك ( 15الف دوالر) مضروبة في عامل التعرض 1يكون الناتج هو الخسارة الواحدة المتوقعة ( )SLEيساوي 15000دوالر .معدل الحدوث السنوي ( )AROهو احتمال حدوث خسارة خالل السنة ويتم التعبير عنه بالنسبة المئوية .ويمكن لمعدل الحدوث السنوي أن يكون أعلى من %100إذا حدثت الخسارة أكثر من مرة في السنة الواحدة .وحساب الخسارة السنوية المتوقعة ( )ALEيعطي لإلدارة بعض التوجيه لما يمكن صرفه لحماية الممتلك.
128
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
تحليل المخاطر النوعي :تحليل المخاطر النوعي يستخدم اآلراء والسيناريوهات .الشكل يعطي مثال على جدول مستخدم في تحليل المخاطر النوعي ،ويقوم الجدول بعرض احتمال وجود التهديد بالنسبة لـ تأثيره .على سبيل المثال ،فإن تهديد تعطل الخادم يمكن أن يكون محتمال ،ولكن تأثيره يكون مهمش .يقوم الفريق بتقييم كل تهديد لكل ممتلك ويضعه في جدول .ويقيم الفريق النتائج ويستخدم النتائج في التوجيه .يمكنهم أن يأخذوا خطوات فعلية فقط إذا وقع التهديد في المنطقة الحمراء .األرقام المستخدمة في الجدول ال تتعلق بشكل مباشر بجانب تحليلي معين .على سبيل المثال ،التأثير الكارثي بقيمة 4ال يعني أن قيمته ضعف التأثير الهامشي الذي قيمته .2وهي طريقة ذاتيه في طبيعتها بمعنى أنها خاصة بالشركة ويمكن أن تتبنى الشركات األخرى طرق مختلفة.
التلطيف :التلطيف يعني تقليل حدوث الخسارة أو تقليل احتمالية الخسارة .يوجد تقنيات كثيرة لتلطيف الخطر من هذه التقنيات، نظم المصادقة ،صالحيات الملف ،والجدران النارية .يجب أن يفهم كل من المؤسسة ومتخصصو األمن السيبراني أن تقليل الخطر يمكن أن يكون له إما تأثير إيجابي وإما تأثير سلبي على المؤسسة .والتلطيف الجيد للخطر يوجد اتزان بين التأثير السلبي للمضادات وأدوات التحكم وبين مدى االستفادة من تلطيف الخطر .يوجد أربعة طرق لتقليل الخطر هي: •
القبول :قبول المخاطرة وإعادة تقييم الخطر الذي قبل بشكل دوري كعملية مستمرة محتسبة كأنها جزء من العمليات التجارية ،مع تعديل مقاييس التلطيف.
•
التقليل :يتم تقليل الخطر باستخدام أدوات التحكم .إبدا من جديد بتصميم عمليات تجارية وضع لها أداة التحكم المناسبة وضع لها أسلوب قياس مخصص.
•
التجنب :التجنب يعني تغيير المنهجية بشكل كامل .لتجنب الخطر بشكل كامل يمكن أن يشمل على سبيل المثال االنفصال بشكل مطلق عن اإلنترنت.
•
النقل :يعني نقل الخطر لطرف ثالث ،نقل الخطر لشركة أو وكالة خارجية (مثال شركات خدمات أو شركات تأمين)
االستراتيجية القصيرة األمد هي قبول الخطر مع االهتمام ببناء خطط طوارئ لهذا الخطر .يجب أن يقبل األشخاص والمؤسسات الخطر بشكل يومي .والطرق الحديثة تقلل الخطر بتطوير البرامج بشكل تزايدي وتوفير التحديثات والرقع بشكل منتظم للوقوف على الثغرات وأخطاء التهيئة .تعهيد الخدمات ،التأمينات ،أو شراء عقود الصيانة كلها أمثلة على نقل الخطر.
129
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
استئجار اشخاص ألداء المهام الحرجة لتقليل الخطر يمكن أن يكون ق ار ار جيدا بنتائج عظيمة في وجود استثمار قصير األمد. يمكن استخدام أكثر من طريقة لتلطيف الخطر .مثال (النقل مع القبول). 6.2.2الدفاع بعمق عمل طبقات :Layeringعملية الدفاع بعمق لن تضمن وجود عازل سيبراني غير قابل لالختراق ،ولكنه يساعد المؤسسة في تقليل الخطر باالحتفاظ الدائم بخطوة واحدة أمام المجرم السيبراني (السبق بخطوة) .إذا كان هناك دفاع وحيد موجود لحماية البيانات والمعلومات ،ستكون مهمة المجرم السيبراني فقط التحايل على هذا الدفاع الوحيد .وللتأكد من االحتفاظ بتوافر البيانات والمعلومات ،يجب على المؤسسة توفير مستويات مختلفة من الحماية. المنهجية الطبقية تعطي أعلى مستويات الحماية وتكون الحماية شاملة .فإذا اخترق المهاجم طبقة من الطبقات ،اليزال عليه أن يناضل العديد من الطبقات األخرى وكل طبقة تكون أعقد من سابقتها .الطبقية تعني بناء حاجز من دفاعات متعددة تعمل معا لمنع الهجمات .على سبيل المثال ،من الممكن أن تقوم المؤسسة بحفظ مستنداتها عالية السرية على خادم في بناية محاطة بسياج إلكتروني.
القصر : Limitingقصر الوصول للبيانات والمعلومات يقلل احتمالية التهديد .يجب أن تقوم المؤسسة بتقليل الوصول للمستخدمين بحيث يكون للمستخدم مستوى الوصول الذي يحتاجه فقط لعمل وظيفته .على سبيل المثال ،الموظفين في قسم التسويق ال يحتاجون في العادة لفتح سجالت المرتبات ألداء وظيفتهم .الحلول المعتمدة على التقنية مثل صالحيات الملف هي طريقة للحد من الوصول .ويجب أن تقوم المؤسسة بعمل مقاييس إجرائية ،على سبيل المثال يجب وضع إجراء يمنع الموظف من إزالة المستندات الحساسة من المبنى. التنويع :Diversityإذا كانت كل طبقات الحماية متشابهة ،فلن يكون من الصعب على المجرمين النجاح في تحقيق الهجوم. على ذلك ،يجب أن تكون الطبقات مختلفة .إذا استطاع المجرم تخطي طبقة من الطبقات ،فلن تعمل التقنية التي يهاجم بها 130
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
على باقي الطبقات .اختراق طبقة أمنية واحدة ال يعني تكشف كامل النظام .يمكن أن تستخدم المؤسسة نظم تشفير وخوا رزميات تشفير مختلفة أو نظم مصادقة مختلفة لحماية بياناتها في مدن مختلفة .ولتحقيق هدف التنوع ،يمكن أن تستخدم المؤسسة منتجات مصنعة من شركات مختلفة لعمل المصادقة ذات المعاملين .على سبيل المثال ،الخادم الذي يحتوى على مستندات عالية السرية يوضع في حجرة مقفلة ولفتحها نحتاج إلى بطاقة ممغنطة تم تصنيعها من شركة ونحتاج أيضا إلى جهاز مصادقة ببصمة األصبع والذي يتم تصنيعه من قبل شركة أخرى. الغموض :Obscurityالغموض يمكن أن يحمي أيضا البيانات والمعلومات .يجب أال تقوم المؤسسة بالبوح بأي معلومات يمكن أن يستخدمها المهاجمون لمعرفة نظام التشغيل للخادم أو نوع الجهاز الذي يستخدم نظام التشغيل .على سبيل المثال، رسائل الخطأ يجب أال تحتوى على تفاصيل يمكن أن يستخدمها المهاجم لمعرفة الثغرات الموجودة .إخفاء نوعيات معينة من البيانات والمعلومات تجعل من الصعب على المهاجم اختراق النظام. التبسيط :Simplicityدرجة تعقيد النظام ال تضمن بالضرورة تأمين النظام .إذا قامت المؤسسة بتبني نظم معقدة صعبة الفهم والصيانة ،يمكن أن تصير فخا لها بأن تعطي نتائج عكسية .إذا لم يستطيع الموظفون فهم كيفية تهيئة حل معقد ومناسب، فيمكن أن يكون األمر سهل جدا للقراصنة الختراق تلك األنظمة المعقدة .للحفاظ على التوافر ،يجب أن يكون الحل األمني سهل وبسيط جدا للداخل (الموظفون داخل الشركة) ومعقد للخارج (المهاجمون من خارج الشركة). 6.2.3الزيادة Redundancy نقطة التعطل الوحيدة :فشل نقطة التعطل هي عملية متكررة داخل المؤسسة .فبعض العمليات األخرى يمكن أن تعتمد عليها ولكن في حالة فشلها تتعطل العملية بالكامل .يمكن أن تكون النقطة قطعة من العتاد أو إجراء أو قطعة معينة من البيانات أو حتى مرفق مهم .نقاط التعطل الوحيدة هي الحلقة الضعيفة في السلسلة التي يمكن أن تتسبب في ارباك عمليات المؤسسة. بشكل عام ،الحل المتبع في نقاط التعطل هو تعديل العمليات الحرجة لتصبح غير معتمدة على عنصر وحيد .كما يمكن للمؤسسة أن تبني نظام زيادة في المعدات للعمليات الحرجة بحيث لو تعطلت النقطة يكون فيه نقاط احتياطية تأخذ مكانها لكي ال تتعطل العملية برمتها. الزيادة بطريقة ن :1+زيادة ن 1+تؤكد على توافر النظام في حال تعطل مكون من المكونات .المكونات المتعددة (ن) تحتاج ألن يكون لها على األقل مكون احتياطي واحد ( .)1+على سبيل المثال السيارة لها أربعة إطارات (ن) ولها أيضا إطار احتياطي مربوط بالسيارة يساعد في حال فقدان اإلطار للهواء ( ،)1+أنظر الشكل .في مراكز البيانات ،زيادة ن 1+تعني تصميم النظام بحيث يتحمل فقدان مكون من المكونات .و ن في هذه الحالة تعني العديد من المكونات المختلفة التي يبنى عليها مركز البيانات مثل الخوادم ومزود الطاقة والمحوالت والموجهات .و 1+هو المكون اإلضافي أو النظام اإلضافي الذي ينتظر على جانب حتى يتم االحتياج إليه .كمثال على زيادة ن 1+في مركز البيانات ،مولد الكهرباء االحتياطي الذي يعمل
131
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عند حدوث عارض للمصدر الرئيسي للطاقة .على الرغم من أن نظام ن 1+يحتوى على مكونات زائدة إال انه ال يمثل نظام زيادة كامل.
المجموعة المتكررة من األقراص المستقلة ( )RAIDريد :المجموعة المتكررة من األقراص المستقلة (ريد) تدمج العديد من األقراص الصلبة الفيزيائية في وحدة منطقية وحيدة لتوفير زيادة البيانات وتحسين األداء .يأخذ نظام األقراص ريد البيانات والتي تخزن افتراضيا في قرص صلب واحد ويقوم بنشر تلك البيانات لباقي األقراص .إذا فقط أحد األقراص ،يمكن للمستخدم استرجاع البيانات من األقراص األخرى والتي تحتوي أيضا على نسخة من البيانات .يمكن أيضا أن يزيد نظام ريد من سرعة التعافي .استخدام العديد من سواقات األقراص يجعل النظام اسرع في استرجاع البيانات المطلوبة بدال من االعتماد على قرص واحد فقط لعمل الوظيفة .يمكن أن يكون نظام ريد برمجي أو عتادي .النظام العتادي يتطلب تثبيت متحكم عتادي خاص على النظام الذي يحتوى أقراص ريد .المصطلحات التالية تبين كيف يخزن ريد البيانات على العديد من األقراص: •
المساواة – يكشف الخطأ في نشر البيانات .يتأكد ان جميع النسخ متساوية.
•
النشر – كتابة البيانات عبر العديد من األقراص.
•
المرآة – تخزين نسخة مزدوجة من البيانات على قرص آخر.
يوجد العديد من أنظمة ريد متاحة في الشكل التالي ،اضغط هنا http://www.acnc.com/raidلعرض تعليمية لمستويات ريد والتي تشرح تقنية ريد. الشجرة الممتدة : Spanning Treeالزيادة تديم التوافر للبنية التحتية ،ويتم إدامة التوافر عن طريق حماية الشبكة من تعطل النقاط الوحيدة ،مثل تعطل كابل أو محول .وعند تصميم وبناء الزيادة الفيزيائية للشبكة ،تحدث مشكلة الحلقات وتك ارر الحزم. والحلقات يقصد بها أن تدور حزم البيانات في حلقات إلى األبد .الحلقات والحزم المكررة لها عواقب وخيمة على شبكات التحويل.
132
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وبروتكول الشجرة الممتدة ( )STPيركز على هذه المشاكل .الوظيفة الرئيسية للشجرة الممتدة هو منع الحلقات على الشبكة عند توصيل المحوال ت بأكثر من مسار .ويؤكد البروتوكول على أن روابط الزيادة الفيزيائية خالية من الحلقات .ويتأكد بروتوكول الشجرة الممتدة من أن هناك مسار منطقي وحيد بين كل الوجهات على الشبكات .ويقوم البروتوكول عن قصد بمنع المسارات الزائدة والتي قد تتسبب في عمل حلقات .ومنع المسارات الزائدة هو عمل هام جدا للشبكة لمنع حدوث الحلقات في الشبكة. والمعضلة هو منع المسار منطقيا لكن وجوده فيزيائيا بحيث يمكن استخدامه كمسار احتياطي .فإذا تعطل كابل أو محول ،يقوم البروتوكول بإعادة حساب المسارات وإزالة الحظر عن المنافذ الهامة للسماح للمسارات الزائدة بأن تصبح فعالة. يوجد في الشكل مثال على تشغيل بروتوكول الشجرة الممتدة عند وجود عطل في مسار من مسارات الشبكة ،توجد وصلة ترنك بين S1و S2هي التي تعمل حاليا ،والمسار الثاني االحتياطي بين S2و S3تم منعه منطقيا. •
الجهاز PC1يرسل رسالة بث إلى كامل الشبكة. 133
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
تعطل رابط الترنك بين S2و S1تعطل فيزيائي ،وتسبب في تعطيل المسار األصلي.
•
يقوم S2بتشغيل المنفذ الذي كان مغلقا لوصلة الترنك الثانية Trunk2وينشر رسالة بث إلخبار جميع األجهزة التي في الشبكة بالمسار الجديد ،والحفاظ على استم اررية االتصال.
•
وإذا عادت الوصلة بين S1و S2للعمل ،يقوم بروتوكول الشجرة الممتدة بوقف الوصلة بين S2و .S3
زيادة الموجهات :Router Redundancyالعبارة االفتراضية هي الموجة الذي يوفر وصول شبكة ما إلى شبكة أخرى أو توفير توصيل جميع الشبكات باإلنترنت .فإذا كان هناك جهاز موجه وحيد يقوم بدور العبارة االفتراضية ،يكون حينها نقطة تعطل وحيدة .وأحيانا تختار المؤسسة تركيب جهاز موجه احتياطي على أهبة االستعداد.
134
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
في الشكل األول ،موجه اإلرسال والموجه االحتياطي يستخدمان بروتكول الزيادة لمعرفة الموجه الذي سيقوم بالدور الفعال في إرسال الحزم .كل موجه تم تهيئته بعنوان إنترنت فيزيائي وعنوان إنترنت وهمي .تستخدم األجهزة الطرفية عنوان اإلنترنت الوهمي للموجه كعنوان للعبارة االفتراضية .ينتظر موجه اإلرسال الحزم الموجه للعنوان .192.0.2.100يستخدم موجه اإلرسال والموجه االحتياطي عناوين اإلنترنت الفيزيائية الخاصة بهم إلرسال رسائل بشكل دوري .والهدف من هذه الرسائل هو التأكيد على أن كال الموجهين متاحان وموصالن .إذا لم يعد يستقبل الموجه االحتياطي الرسائل الدورية من موجه اإلرسال ،فإن الموجه االحتياطي سيقوم بدور اإلرسال .كما نري في الشكل الثاني .مقدرة الشبكة على التعافي من تعطل جهاز يلعب دور العبارة االفتراضية يسمى بزيادة القفزة-األولى .First-Hop redundancy
طرق زيادة الموجهات :القائمة التالية تعرف االختيارات المتاحة لزيادة الموجهات اعتمادا على البروتوكول الذي يعرف شكل االتصال بين أجهزة الشبكة: •
بروتوكول الموجه على أهبة االستعداد ( :)HSRPبروتوكول HSRPيعطي توافر دائم للشبكة بتوفير الزيادة للتوجيه من نوع القفزة-األولى .يستخدم مجموعة من الموجهات هذا البروتوكول الختيار موجه نشط وموجه احتياطي .وفي مجموعة الموائمات للموجه ،الجهاز النشط يكون هو الجهاز الذي يوجه الحزم؛ والجهاز االحتياطي هو الجهاز الذي يعمل بديال عن الجهاز النشط في حالة تعطله .ووظيفة الجهاز االحتياطي هو مراقبة حالة العمليات لمجموعة بروتوكول HSRP والذي يلعب بسرعة دور مرسل الحزم إذا تعطل الجهاز النشط.
•
بروتوكول الزيادة للموجه الوهمي ( :)VRRPالموجه من نوع VRRPيعمل ببروتوكول VRRPجنبا إلى جنب مع واحد أو أكثر من الموجهات الموصلة بالشبكة المحلية .LANعند تهيئة ،VRRPفإن الموجه المنتخب هو الموجه الوهمي المسيطر ،وباقي الموجهات تعمل كاحتياطي لتغطية تعطل ذلك الموجه الوهمي المسيطر. 135
أساسيات األمن السيبراني ()Cybersecurity Essentials •
إعداد :أسامة حسام الدين
بروتوكول عبارة موازنة األحمال ( :)GLBPيقوم هذا البروتوكول بحماية سيل البيانات في الشبكة من تعطل موجه أو دائرة إلكترونية تماما مثل HSRPو VRRPوفي نفس الوقت يسمح بوجود موازنة لألحمال (يسمى أيضا مشاركة األحمال) بين مجموعة من الموجهات الزائدة.
زيادة المواقع :يمكن أن تقرر الشركة استخدام مواقع جغرافية زائدة بناء على احتياجاتها .فيما يلي نبين ثالث أشكال من زيادة المواقع: •
المتماثل :وبه الخصائص التالية oيتم تحديث الموقعين في الوقت الفعلي. oيحتاج إلى عرض نطاق أكبر oيجب أن تكون المواقع قريبة من بعضها جغرافيا لتجنب تأخير وقت االستجابة.
•
الغير متماثل :وبه الخصائص التالية: oال يتم التحديث في الوقت الفعلي ولكن يكون التحديث بسرعة أقل من الوقت الفعلي. oيحتاج لعرض نطاق اقل. oيمكن للمواقع الجغرافية أن تكون بعيدة عن بعضها ألن وقت االستجابة ليس مهما.
•
نسخ نقطة كل مرة :وبه الخصائص التالية: oتحديث البيانات االحتياطية في المواقع المختلفة بشكل دوري. oأكثر الطرق حفاظا على عرض النطاق حيث أنه ال يحتاج اتصال دائم.
الموازنة الصحيحة بين التكلفة والتوافر هي التي تحدد االختيار األمثل للمؤسسة. 6.2.4رجوعية النظم Resiliency تصميم الرجوعية :الرجوعية هي الطرق وعمليات التهيئة المستخدمة لجعل النظام أو الشبكة تتحمل وجود المشاكل .على سبيل المثال ،يمكن أن تحمل الشبكة روابط زائدة بين الموجهات تشغل بروتوكول الشجرة الممتدة .STPعلى الرغم من أن بروتوكول الشجرة الممتدة ال يعطي مسا ار بديال بداخل الشبكة في حال تعطل الروابط ،فإن عملية االنقالب من الممكن أال تحدث على الفور إذا لم توجد ته يئة مثلى .عملية االنقالب يقصد بها أن يأخذ الجهاز االحتياطي دور الجهاز المتعطل .تعطي أيضا بروتوكوالت التوجيه رجوعية للنظام ،ولكن التوليف الناعم يمكن أن يحسن عملية االنقالب لكيال يالحظ مستخدمي الشبكة عملية االنقالب .يجب على مديري الشبكة أن يقوموا بمراجعة االعدادات الغير افتراضية في شبكة االختبار لمعرفة ما إذا كان يمكنهم تحسين وقت التعافي للشبكة .تصميم الرجوعية ال يأخذ فقط اتجاه إضافة األجهزة الزائدة وتصميم طرق االنقالب .إذ يجب فهم االحتياجات التجارية للمؤسسة ،ثم دمج الزيادة لعمل شبكة ذات خاصية الرجوعية. 136
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
رجوعية التطبيق :رجوعية التطبيق هي مقدرة التطبيق على التعامل مع المشاكل في مكون من مكوناته مع استم اررية عمله. وقت التعطل يحدث بسبب الفشل الذي ينتج عن أخطاء التطبيق أو مشاكل البنية التحتية .وعلى مدير النظام في النهاية أن يغلق التطبيق للترقيع أو ترقية اإلصدار أو اعتماد ميزات جديدة .وقت التعطل يحدث أيضا بسبب العطب أو فشل المعدات أو أخطاء التطبيقات أو األخطاء البشرية. أغلب المؤسسات تحاول عمل موازنة بين تكلفة تحقيق الرجوعية للبنية التحتية للتطبيق وبين تكلفة فقدان العمالء أو األرباح بسبب فشل التطبيق .تحقيق التوافر الدائم للتطبيق هي عملية معقدة ومكلفة .وفي الشكل نعرض ثالثة مقترحات لتحقيق التوافر لحل مشكلة رجوعية التطبيق .وكلما زاد معامل التوافر لكل حل ،تزيد بالتبعية درجة التعقيد والتكلفة. •
العتاد ذا القدرة على تحمل األخطاء :Fault Tolerant Hardwareيتم تصميم النظام ببناء العديد من المكونات الحرجة في نفس الحاسب.
•
بناية العناقيد :clusteringمجموعة من الخوادم تعمل كأنها نظام واحد فقط.
•
النسخ االحتياطي واالسترجاع :Backupنسخ الملفات بغرض المقدرة على االسترجاع في حالة فقدان البيانات.
رجوعية نظام التشغيل :IOSنظام التشغيل البيني ( )IOSوالمثبت على أجهزة التوجيه والمحوالت الخاصة بشركة سيسكو تحمل ميزة التهيئة بغرض تحقيق الرجوعية .وهي تسمح بالتعافي السريع إذا قام شخص بإعادة تهيئة (مسح) ذاكرة الفالش أو أزال ملف إعدادات بدء التشغيل سواء قام الشخص بعمل ذلك عن عمد أو قام بالهجوم.
137
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وهذه الميزة تحافظ على وجود نسخة سليمة وآمنة من صورة ملف نظام التشغيل والحفاظ أيضا على نسخة من ملف إعدادات بدء التشغيل .ال يمكن للمستخدم مسح هذه الملفات الحساسة وتسمى أيضا هذه الملفات بمجموعة التمهيد األساسية .األوامر في الصورة تقوم بتأمين صورة ملف نظام التشغيل وتأمين ملف بدء التشغيل.
6.3االستجابة لألحداث 6.3.1مراحل االستجابة لألحداث اإلعداد والتجهيز :االستجابة لألحداث هي اإلجراءات التي تتبعها المؤسسة بعد حدوث عارض خارج النطاق الطبيعي .قرصنة البيانات يحدث خرق يتسبب في توفير معلومات للبيئات الغير موثوقة .خرق البيانات من الممكن أن يحدث نتيجة لعمل مفتعل أو عارض .ويحدث خرق البيانات في أي وقعت يقوم فيه الشخص الغير مخول بنسخ أو نقل أو عرض أو سرقة أو الوصول للبيانات الحساسة. عندما يحدث عارض ،يجب أن تعرف المؤسسة كيف تستجيب .تحتاج المؤسسة لتطوير خطة استجابة لألحداث ووضع الخطة بيد فريق االستجابة ألحداث األمن الحاسوبي ( )CSIRTسيسرت إلدارة االستجابة .يقوم فريق سيسرت بعمل الوظائف التالية: •
تطوير خطة االستجابة لألحداث
•
التأكيد على أن جميع أعضاء الفريق لديهم معرفة تامة بالخطة.
•
اختبار الخطة
•
الحصول على موافقة اإلدارة على الخطة.
ونظام سيسرت يمكن اختيار مجموعته من داخل الشركة أو من خارج الشركة .ويتتبع الفريق مجموعة من الخطوات المعروفة مسبقا للتأكد من أن المنهجية الخاصة بهم منتظمة وأنهم ال يتجاوزون أي خطوة .ويقوم سيسرت الوطني بالرد على األحداث في دولة كاملة. االكتشاف والتحليل :عملية االكتشاف تبدأ عندما يكتشف شخص ما وجود عارض غير معتاد .تستطيع المؤسسة شراء اعقد نظم االكتشاف والتحليل؛ وعلى الرغم من ذلك ،إذا لم يقم مدراء النظم بعرض ملف سجل األحداث ومراقبة التنبيهات ،ستكون تلك النظم غير مجدية .الكشف الجيد يشمل أيضا معرفة كيف حدث العارض ،ما هي البيانات المقصودة ،وما هي النظم المتأثرة .التنبيه باالختراق يجب أن يذهب لإلدارة العليا والمدراء المسئولون عن البيانات والنظم لضمهم في عملية اإلصالح والمعالجة .االكتشاف والتحليل يشمل اآلتي: •
التنبيهات واإلشعارات
•
المراقبة والمتابعة. 138
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تساعد عملية تحليل العارض في تعريف المصدر والمدى والتأثير والتفاصيل الخاصة بحالة اختراق البيانات .تحتاج المؤسسة أحيانا إلقرار االستعانة بفريق من الخبراء لمباشرة عملية التحقيق الجنائي. االحتواء واالستئصال والتعافي :جهود االحتواء تشمل رد الفعل الفوري الذي يتم كفصل النظام من الشبكة لوقف تسريب المعلومات .بعد تعريف اال ختراق ،تحتاج المؤسسة الحتواء االختراق والقضاء عليه (استئصاله) .يمكن أن يحتاج هذا وقت تعطيل إضافي للنظم .ومرحلة التعافي تشمل الخطوات التي تتخذها المؤسسة من أجل التخلص من آثار االختراق واستعادة النظم المتأثرة .وبعد التعافي والعالج ،تحتاج المؤسسة الستعادة كل النظم لحالتهم األصلية التي كانت موجودة قبل حدوث االختراق. متابعة ما بعد الحادث :بعد استعادة كل العمليات لحالتها األصلية ،يجب أن تفحص المؤسسة سبب الحادث ويجب أن تسأل هذه األسئلة: •
ما هي الخطوات الواضحة التي يمكن اتخاذها لكيال يتكرر نفس الحادث؟
•
ما هي آليات منع األحداث التي يجب تقويتها؟
•
كيف يمكن تحسين مراقبة النظام؟
•
كيف يمكن تقليل وقت التعطل أثناء مراحل االحتواء واالستئصال و التعافي؟
•
كيف تستطيع اإلدارة تقليل تأثير الحادث على التجارة.
مراجعة الدروس المستفادة من الخبرات السابقة يمكن أن يساعد المؤسسة للتحضير الجيد بتحسين طرق االستجابة لألحداث الخاصة بالمؤسسة. 6.3.2تقنيات االستجابة لألحداث شبكة التحكم في القبول :الغرض من شبكة التحكم في القبول ( )NACهو السماح بالوصول للشبكة من قبل المستخدمين المخولين في النظم المتوافقة .والنظام المتوافق هو النظام الذي يتماشى مع كل متطلبات السياسات للشركة .على سبيل المثال، الحاسب المحمول الذي هو جزء من الشبكة الالسلكية المنزلية من الممكن أال يستطيع الوصول عن بعد لشبكة الشركة .تقوم شبكة القبول بتقييم الجهاز الداخل باستخدام سياسات الشبكة .تقوم أيضا شبكة القبول بالعزل اإللزامي للنظم التي ال تتوافق مع السياسات وتدير عملية المعالجة للنظم الغير متوافقة. يستطيع إطار العمل لشبكة القبول أن يستخدم الشبكة الموجودة والبينة التحتية الموجودة والبرامج من طرف ثالث الموجودة لفرض السياسة األمنية وااللتزام من كل نقاط التواصل .وبدال من استخدام األجهزة العتاد الموجود ،يوجد جهاز NACيتحكم في الوصول للشبكة ويقيم االلتزام ويفرض السياسة األمنية .الفحوصات التي يقوم بها نظام NACهي كالتالي: 139
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.1اكتشاف الفيروسات الجديدة .2تحديث وترقيع نظم التشغيل. .3فرض كلمات مرور معقدة.
نظم اكتشاف الدخالء :نظم فحص الدخالء ( )IDSتقوم بالمراقبة السلبية للمرور الشبكي .والسلبية هنا تعني أن المراقبة تحدث دون تدخل نظام الفحص فال يوقف الدخيل بل فقط يعطي تنبه وتقرير ان هناك دخيل ،وهذا يعني أن جهاز فحص الدخالء يعمل في الوضع الالأخالقي ( .)promiscuous modeيعرض الشكل الجهاز الذي يحتوي على نظام IDSرقم ( )2يأخذ هذا الجهاز نسخة من الفيض الشبكي ثم يحلل الفيض المنسوخ بدال من تحليل الحزم المرسلة فعليا .بعمله بال اتصال ،هو يقوم بمقارنة فيض المرور الملتقط بتوقيعات الشيفرات الخبيثة ،ويشبه إلى حد ما عمل البرامج التي تكتشف الفيروسات .والعمل بال اتصال يعني أشياء كثيرة: •
يعمل IDSبشكل سلبي
•
يوضع جهاز IDSماديا في الشبكة بحيث يأخذ نسخة مرآة من سيل البيانات لكي يستطيع فحص هذا السيل.
•
ال يعبر الفيض الشبكي من IDSحتى يتم أخذ نسخة مرآة.
وميزة العمل مع نسخة من المرور الشبكي أن جهاز IDSال يؤثر بشكل سلبي على سرعة تدفق فيضان الحزم المرسلة .وعيب العمل بنسخة من المرور الشبكي أن IDSال يوقف هجوم الحزمة الخبيثة الواحدة وال يمنعها من الوصل للهدف قبل الرد فعليا
140
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
على الهجوم .يحتاج دائما IDSإلى االستعانة بأجهزة شبكية أخرى مثل الجدران النارية والموجهات للرد على الهجوم .والحل األمثل هو استخدام جهاز يكتشف على الفور الهجمة ويصدها أيضا على الفور .يقوم نظام منع الدخالء ( )IPSبهذه الوظيفة.
نظم منع الدخالء :يتم بناء نظام منع الدخالء ( )IPSاعتمادا على تقنية .IDSمع ذلك ،يعمل نظام منع الدخالء في وضع يسمى وضع (داخل الطابور) .وهذا يعني أن كل المرور الداخل والخارج يجب أن يتدفق من خالله للمعالجة .كما نرى في الشكل ،جهاز IPSال يسمح للحزم بدخول الجانب الموثوق من الشبكة حتى يتم تحليل الحزم .إذ يستطيع اكتشاف وحل المشكلة في الشبكة على الفور .نظام IPSيراقب مرور الشبكة .يحلل المحتوى واألحمال للحزم الكتشاف الهجمات المدمجة والمعقدة والتي من الممكن أن تحمل الحزم في طياتها شيفرات تلك الهجمات. بعض النظم تستخدم خليط من تقنيات االكتشاف ،منها المعتمدة على التوقيع الرقمي ومنها المعتمد على الملف الشخصي للبرمجية الخبيثة ومنها المعتمد على البروتوكول .والتحليل العميق يمكن نظم IPSمن تحديد و إيقاف و منع الهجمات التي من الممكن أن تمر بسهولة من أجهزة الجدران النارية العادية .عندما تمر حزمة من خالل منفذ دخول في نظام ،IPSفلن يستقبل منفذ الخروج تلك الحزمة حتى يتم تحليلها .ميزة العمل في وضع الطابور أن نظام IPSيستطيع إيقاف هجمة الحزمة الواحدة من وصول النظام المستهدف .وعيب هذا النظام أنه إذا تم تهيئة IPSبشكل غير سليم يمكن أن يؤثر على تدفق الحزم
141
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
للمرور المرسل ،على سبيل المثال يبطئ المرور .الفارق األكبر بين IDSو IPSان نظام IPSيرد على الفور وال يسمح بمرور أي مرور خبيث ،أما IDSيسمح بمرور الصالح والطالح من المرور الشبكي قبل مجابهة المرور الطالح.
تدفق الشبكة NetFlowو :IPFIXتقنية تدفق الشبكة ( )NetFlowهي تقنية خاصة بأجهزة سيسكو المثبت عليها نظام التشغيل IOSوالتي توفر احصائيات على الحزم التي تمر من موجهات سيسكو أو المحوالت متعددة الطبقات .تقنية التدفق هي معيار لجمع بيانات التشغيل من الشبكات .وفرقة عمل هندسة االنترنت ( )IETFتستخدم تقنية تدفق سيسكو اإلصدار 9 كقاعدة لعمل معيار تدفق معلومات التصدير .)IPFIX( IP معيار IPFIXهو نمط معياري لتصدير المعلومات التي تجمعها الموجهات عن المرور الشبكي ألجهزة جمع البيانات .يعمل IPFIXعلى الموجهات والتطبيقات اإلدارية التي تدعم نفس البروتوكول .يستطيع مديري الشبكة تصدير معلومات تدفق الشبكة من الموجه واستخدام تلك المعلومات لتحسين أداء الشبكة .التطبيقات التي تدعم IPFIXيمكنها أن تعرض إحصائيات عن أي موجه يدعم نفس المعيار .جمع وتخزين وتحليل المعلومات المجمعة والتي تقوم بها األجهزة التي تدعم IPFIXيوفر الميزات اآلتية: •
تأمين الشبكة ضد الهجمات الداخلية والخارجية.
•
معالجة مشاكل الشبكة بسرعة وبدقة. 142
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
تحليل التدفق الشبكي لخطط السعة (ما تتحمله الشبكة من تدفق للحزم)
اضغط
على
الرابط
http://video.cisco.com
/detail/videos/products
/video/2534277650001
in-campus-access by-flexible-netflow- -enabled- /cybersecurityلعرض فيديو يشرح كيف تقوم تقنية NetFlowالخاصة بسيسكو بالمساعدة في اكتشاف التهديدات األمنية.
ذكاء التهديدات المتقدمة :يستطيع ذكاء التهديدات المتقدمة ( )Advanced threat intelligenceمساعدة المنظمات في اكتشاف الهجمات خالل أي مرحلة من مراحل الهجمة السيبرانية وفي بعض األحيان قبل الهجمة .يمكن أن تتمكن المنظمات من اكتشاف بوادر الهجمات في ملف سجل األحداث وتقارير النظام عند العمل التنبيهات اآلتية: •
قفل الحساب
•
كل أحداث قواعد البيانات
•
إضافة أصول جديدة أو إزالتها.
•
تغيير التهيئة للنظم.
ذكاء التهديدات المتقدمة هو نوع الحدث أو البيان التعريفي والذي يستطيع المساهمة في مراقبة األمن والرد على األحداث. وكلما أصبح المجرمون السيبرانيون أكثر تعقيدا ،كلما زادت الحاجة إلى فهم مناورات البرمجيات الخبيثة .كلما زاد الوعي بنظم الهجمات الجديدة ،تستطيع المؤسسة الرد على األحداث بسرعة.
143
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
6.4التعافي من الكوارث 6.4.1التخطيط للتعافي من الكوارث أنواع الكوارث :من المهم جدا الحفاظ على تشغيل الشركة حتى عند وجود الكوارث .والكوارث ممكن أن تكون طبيعية أو حدث بشري من شأنه تخريب الممتلكات أو األصول وإعاقة مقدرة المنظمة على االستمرار في العمل. •
الكوارث الطبيعية :تختلف الكوارث الطبيعية حسب الموقع الجغرافي .بعض هذه الكوارث يصعب توقعها .يمكن تقسيم الكوارث الطبيعية إلى الفئات التالية: oالكوارث الجيولوجية مثل الزلزال والهبوط األرضي والبراكين وتسونامي. oكوارث األرصاد الجوية مثل األعاصير والزوابع واألعاصير الثلجية والصواعق والبرد (بفتح الباء والراء) oالكوارث الصحية مثل المرض المنتشر والحجر الصحي واألوبئة. oكوارث متنوعة مثل الحرائق والسيول والعواصف الشمسية واالنهيارات الثلجية.
•
الكوارث البشرية :الكوارث البشرية يسببها األشخاص والمنظمات وتقع ضمن أحد األقسام التالية: oأحداث العمالة ،مثل العراك واإلضراب والتباطؤ. oاألحداث االجتماعية والسياسية مثل التخريب المتعمد ،الحصار ،المظاهرات ،األعمال التخريبية ،اإلرهاب ،والحرب. oتعطل المرافق ،مثل انقطاع الكهرباء وقطع االتصاالت ونقص الوقود والتسرب اإلشعاعي.
144
أساسيات األمن السيبراني ()Cybersecurity Essentials
اضغط
هنا
إعداد :أسامة حسام الدين
http://www.nytimes.com/interactive/2011/03/13/world/asia/satellite-photos-japan-
before-and-after-tsunami.htmlلترى صور بالقمر الصناعي لليابان قبل وبعد زلزال 2011وتسونامي. خطة التعافي من الكوارث :تضع المؤسسة خطة التعافي من الكوارث الخاصة بها في مرحلة التشغيل أثناء حدوث الكارثة عندما يتكاتف الموظفون للتأكد من أن النظم الحيوية بالشركة رجعت للتشغيل مرة أخرى .والخطة تشمل األنشطة التي تتخذها المنظمة لتقييم وإنقاذ وإصالح واستعادة المرافق والممتلكات المخربة .ولعمل خطة تعافي من الكوارث يجب اإلجابة على األسئلة التالية: •
من المسئول عن هذه العملية؟
•
ما الذي يحتاجه الفرد للقيام بتلك العملية؟
•
أين يقوم الفرد بتلك العملية؟
•
ما هي العملية؟
•
لماذا توصف العملية بأنها حرجة؟
يجب أن تحدد الخطة بدقة العمليات في المؤسسة التي تعتبرها المؤسسة عمليات حيوية وحرجة أكثر من غيرها .وأثناء عملية التعافي ،يجب أن تقوم المنظمة باستعادة نظم المهمات الحرجة أوال. بناء أدوات تحكم للتعافي من الكوارث :أدوات التحكم بالكوارث تقلل تأثير الكارثة للتأكيد أن الموارد والعمليات التجارية تستطيع العودة للعمل .يوجد ثالث أنواع من أدوات تحكم تقنية تستخدم في التعافي من الكوارث: •
أدوات الوقاية :وتشمل األدوات التي تمنع حدوث الكارثة من األساس .وهي مقاييس تستخدم في معرفة واكتشاف الخطر. على سبيل المثال ،يمكن اتباع المعايير التالية للوقاية من حدوث الكارثة: oداوم على عمل نسخة احتياطية من البيانات. oدوام على عمل نسخة احتياطية مفصولة عن الشبكة. oاستخدم أدوات حماية من الكهرباء العالية. oقم بتوصيل واستخدام المولدات الكهربائية.
•
أدوات االكتشاف :وتشمل األدوات التي تكتشف وجود عمليات غير مطلوبة أو عمليات خبيثة .وهذه القياسات واألدوات تستخدم في كشف التهديدات الحاصلة .االكتشاف مهم حيث يمكن ان تكون المشكلة موجودة وال نعرف انها موجودة .على سبيل المثال ،يمكن استخدام المعايير التالية الكتشاف حدوث الكوارث: oاستخدم برنامج مكافح فيروسات محدث آلخر تحديث.
145
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
oقم بتثبيت برمجيات مراقبة للخوادم والشبكة. •
أدوات العالج :تذكر دائما أن الوقاية خير من العالج .أدوات العالج تشمل األدوات التي تقوم باسترجاع النظام بعد حدوث عارض أو كارثة ،على سبيل المثال ،يمكن عمل اآلتي للعالج: oقم بوضع المستندات الحرجة في خطة التعافي من الكوارث.
6.4.2التخطيط الستمرارية األعمال الحاجة الستم اررية األعمال :استم اررية العمل هو من أهم المبادئ في أمن الحاسب .على الرغم من أن الشركات تبذل قصارى جهدها لمنع الكوارث وفقدان البيانات ،إال انه من المستحيل توقع أي سيناريو محتمل .من المهم جدا أن تكون لدى الشركة خطط موضوعة للتأكيد على استم اررية األعمال بغض النظر عما سيحدث .وخطة استم اررية األعمال هي خطة أوسع بكثير من خطة التعافي من الكوارث حيث أن األولى تشمل وضع النظم الحرجة في مواقع جغرافية مختلفة أثناء اصالح المرافق األصلية .تستمر العمالة في أداء كل العمليات التجارية بطريقة بديلة حتى يتم معاودة تشغيل العمليات والرجوع للوضع الطبيعي مرة أخرى. عملية توفير اإلتاحة تؤكد على أن الموارد المطلوبة للحفاظ على استم اررية المنظمة ستكون متوفرة بشكل مستمر للعمالة وللنظم التي تعتمد عليها. اعتبارات استمرارية األعمال :استم اررية األعمال تتحكم في أكثر من مجرد عمل نسخة احتياطية للبيانات وتوفير العتاد الزائد. فالمنظمات تحتاج ألن يقوم الموظفون بالتهيئة السليمة لنظم التشغيل .البيانات تكون غير نافعة حتى يستفاد منها بالمعلومة. يجب أن تقوم الشركة باالهتمام باآلتي: •
وضع الشخص الصحيح في المكان الصحيح.
•
توثيق التهيئة واالعدادات.
•
إقامة قنوات اتصال بديلة للصوت والبيانات.
•
توفير الكهرباء
•
يجب تعريف وفهم االعتمادات ،بمعنى فهم كيف يعتمد تطبيق أو عملية على تطبيقات أخرى أو عمليات أخرى.
•
الفهم الجيد لكيفية تنفيذ العمل اآللي بشكل يدوي.
أفضل الممارسات الستمرارية األعمال :كما نرى في الشكل ،قام المعهد الوطني للتكنولوجيا والمعايير (نست )NISTبتطوير الثمان ممارسات األتية: .1اكتب السياسة األمنية التي ترشد إلى كيفية تطوير خطة استم اررية األعمال والتي تعين األدوار لتنفيذ المهام المختلفة. 146
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.2قم بتحديد النظم الحرجة والعمليات الحرجة وقم بترتيب أولوياتهم حسب األهمية. .3حدد الثغرات والتهديدات واحسب احتمالية المخاطرة. .4عرف وقم ببناء أدوات تحكم ومضادات لتقليل الخطر. .5اقترح طرق السترجاع النظم الحرجة بسرعة. .6اكتب إجراءات الحفاظ على استم اررية الشركة في العمل في الظروف العشوائية. .7اختبر الخطة. .8قم بتعديل الخطة بشكل دوري.
ملخص الفصل السادس بدأ هذا الفصل بشرح مبدأ التسعات الخمس ،وهو مبدأ اإلتاحة المستدامة الذي يسمح بالتعطل للنظام فقط 5.26دقائق في العام .وناقش الفصل الطرق المختلفة التي تتخذها الشركة للحفاظ على التوافر .تصميم نظم صلبة يشمل توفير أدوات الرفاهية مثل توفير األدوات ال ازئدة والنظم االحتياطية ،وتلك األدوات تساعد في رجوعية النظام لتتعافى الشركة بسرعة ويستمر عملها.
147
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وقد ناقش الفصل أيضا كيف تقوم الشركة باالستجابة لألحداث بتحديد إجراءات معينة يتم تتبعها في حال حدوث عارض .وختم الفصل بمناقشة خطط التعافي من الكوارث وخطط استم اررية األعمال.
148
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الفصل السابع حماية النطاق السيبراني إن حماية النطاق السيبراني هي عملية مستمرة تهدف للحفاظ على البنية التحتية لشبكة الشركة .وهذا يتطلب اليقظة الدائمة لألفراد لمجابهة التهديدات وألخذ ردود الفعل لمقاومة الهجمات وقت حدوثها .في هذا الفصل نناقش التقنيات والعمليات واإلجراءات التي يستخدمها ممتهن األمن السيبراني للدفاع عن النظم واألجهزة والبيانات التي تكون البنية التحتية للشبكة. والشبكة اآلمنة تعني أن تكون كل تفاصيلها آمنة حتى أضعف رابط فيها .ومن المهم جدا تأمين األجهزة الطرفية التي توجد في إطار الشبكة .تأمين نقاط النهاية يشمل تأمين أجهزة البنية الشبكية التحتية بتأمين الشبكة المحلية LANوالنظم الطرفية مثل محطات العمل والخوادم وأجهزة الهاتف الشبكي ونقاط الوصول الالسلكي .إن عملية تقوية األجهزة Device Hardeningهي عملية حرجة لتأمين الشبكة .وهذا يشمل بناء طرق حماية فيزيائية هدفها تأمين أجهزة الشبكة .بعض من هذه الطرق يشمل التحكم في الوصول اإلداري وعمل كلمات مرور وبناء وسائل اتصال مؤمنة.
7.1حماية النظم واألجهزة 7.1.1تقوية الجهاز المضيف تأمين نظام التشغيل :يلعب نظام التشغيل دو ار هاما في تشغيل نظام الحاسب بشكل عام وعادة ما يكون هدفا لمعظم الهجمات. تأمين نظام التشغيل له تأثير متتالي على أمن نظام الحاسب بشكل عام .يقوم مدير النظام بتقوية نظام التشغيل عن طريق تعديل التهيئة االفتراضية لجعل نظام التشغيل أكثر تأمينا ضد التهديدات الخارجية .وهذه العملية تشمل أيضا التخلص من أي برامج أو خدمات غير ضرورية .يوجد متطلب حيوي آخر لتقوية نظام التشغيل وهو تطبيق الترقيات والرقع األمنية على نظام التشغيل بشكل دوري .الترقيات والرقع هي إصالحات تطلقها الشركة في محاولة لتخفيف أو تقليل الثغرات األمنية وتصحيح األخطاء البرمجية في منتجاتها .يجب على المؤسسة أن يكون لديها منهجية نظامية موضوعة لحل مشاكل الترقيات وذلك بعمل اآلتي: •
بناء إجراءات لمراقبة المعلومات األمنية
•
تقييم الترقيات لمعرفة مدى إمكانية تطبيقها.
•
التخطيط لتثبيت الترقيات والرقع الخاصة بالتطبيقات.
•
تثبيت الترقيات بخطة مكتوبة.
149
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
متطلب آخر هام لتأمين نظام التشغيل هو تحديد وتعريف الثغرات المحتملة .ويمكن تحقيق ذلك عن طريق عمل ما يسمى بخط األساس . baselineوعمل خط األساس يمكن مدير النظام من مقارنة كيف يعمل النظام مقارنة بما هو متوقع في خط األساس. المحلل األمني لخط األساس من ميكروسوفت ( )MBSAيفرض وجود الترقيات األمنية والتهيئة الخاطئة لألمن في نظام النوافذ من ميكروسوفت .فالمحلل األمني يفحص كلمات المرور الفارغة أو البسيطة أو الغير موجودة ويفحص أيضا إعدادات الجدار الناري وحالة حساب الضيف وتفاصيل حساب مدير النظام ونظام المتابعة لألحداث والخدمات الغير ضرورية والمشاركات على الشبكة وإعدادات السجل .registryبعد تقوية نظام التشغيل يقوم مدير النظام بعمل السياسات واإلجراءات للحفاظ على مستوى أمني مرتفع.
مضاد البرمجيات الخبيثة :تشمل البرمجيات الخبيثة الفيروسات والديدان وأحصنة طروادة ومسجالت نقرات المفاتيح وبرمجيات التجسس وبرمجيات الدعاية .وكل هذه البرمجيات تهدف إلى هدم الخصوصية وسرقة المعلومات وتدمير النظم ومسح أو تخريب البيانات .ومن األهمية بمكان حماية أجهزة الحاسب واألجهزة النقالة باستخدام مضادات للبرمجيات الخبيثة ذات سمعة جيدة ،القائمة التالية من ب ارمج مضادات البرمجيات الخبيثة متاحة لالستخدام: •
حماية مضاد الفيروسات :البرنامج يراقب الفيروسات بشكل مستمر .وعندما يكتشف فيروس ،يقوم بتحذير المستخدم، ويحاول البرنامج حجر أو حذف الفيروس.
•
الحماية ضد برمجيات الدعاية :يقوم البرنامج بالبحث عن البرامج التي تعرض اإلعالنات على الحاسب.
•
الحماية ضد االصطياد :يمنع البرنامج عناوين االنترنت IPلمواقع اإلنترنت المعروفة بتوجهاتها في االصطياد ،ويحذر المستخدم عن المواقع االلكترونية المشتبه بها.
150
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الحماية ضد برمجيات التجسس :يقوم البرنامج بالمسح الشامل للبحث عن مسجالت نقرات لوحة المفاتيح أو أي برنامج تجسسي آخر.
•
المصادر الموثوقة والغير موثوقة :يقوم البرنامج بتحذير المستخدم إذا وجد برامج غير آمنة التي تحاول تثبيت نفسها أو مواقع إلكترونية غير آمنة يحاول المستخدم تصفحها.
يمكن أن تحتاج ألكثر من برنامج مختلف والعديد من برامج المسح إلزالة كل البرامج الخبيثة بشكل تام .قم بتشغيل برنامج حماية من البرمجيات الخبيثة واحد فقط في كل مرة .كبرى الشركات ذات السمعة الجيدة في أمن الحاسب مثل مكافي McFee و سيمانتك Symantecو كاسبرسكي Kasperskyتعرض كل أنواع البرمجيات المدمجة لحماية أجهزة الحاسب واألجهزة المتنقلة من البرمجيات الخبيثة .كن حذ ار من منتجات مكافح الفيروسات المخادعة التي تظهر اثناء تصفح االنترنت .معظم منتجات مكافحة الفيروسات المخادعة هذه تعرض إعالن أو نافذه منبثقة تشبه تماما تنبيهات النوافذ الخاصة بنظام تشغيل النوافذ ،كما نرى في الشكل .عادة ما تقول الرسالة أن هناك برمجية خبيثة قد أصابت الحاسب وتظهر الرسالة ليقوم المستخدم بمسح البرمجية الخبيثة .الضغط على أي مكان في داخل النافذة من الممكن أن يكون البداية الفعلية لعملية التنزيل والتثبيت للبرمجية الخبيثة.
البرمجيات الغير مطابقة أو الغير معتمدة ليس فقط البرنامج الذي يقوم المستخدم بإنزاله عن غير قصد على حاسبه .حيث أنه من الممكن أن يكون البرنامج أتى عن طريق مستخدمين يرغبون بإنزاله عن قصد .يجوز أن يكون البرنامج غير ضار ،ولكنه على أقل تخطى السياسة األمنية .هذا النوع من البرمجيات الغير مطابقة يمكن أن تتعارض مع منتجات الشركة او خدمات الشبكة .يجب على المستخدمين إزالة البرمجيات الغير مطابقة على الفور.
151
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
إدارة الرقع :الرقع هي تحديثات الشفرات البرمجية التي توفرها الشركات المصنعة لمنع الديدان والفيروسات المكتشفة حديثة من عمل هجمات ناجحة .من وقت آلخر ،تقوم الشركات المصنعة بجمع الرقع معا وترقيتها إلى تحديث عبارة عن تطبيق شامل يسمى حزمة الخدمة ( .)Service Packالعديد من الهجمات الفيروسية المدمرة كان يمكن أن تكون أخف أث ار إذا قام المستخدم بتحميل وتنزيل أحدث حزمة خدمة .يفحص نظام تشغيل النوافذ بشكل دوري الموقع اإللكتروني لتحديثات الويندوز للبحث عن التحديثات ذات األولوية العالية والتي تستطيع المساعدة في حماية الجهاز من أخر التهديدات األمنية .تشمل هذه التحديثات ،تحديثات أمنية ،تحديثات حرجة وحزم خدمة .كما نرى في الشكل ،واعتمادا على اإلعدادات المهيأة ،يقوم نظام النوافذ بت حميل وتثبيت التحديثات ذات األولية العالية التي يحتاجها الحاسب بشكل آلي ،أو يقوم بتنبيه المستخدم أن هذه التحديثات الجديدة أصبحت متاحة للتنزيل والتثبيت. بعض الشركات تحتاج في بعض األحيان إلى اختبار الرقعة قبل تثبيتها ونشرها على الشبكة .والشركة تستخدم غالبا خدمة (برنامج) إلدارة الرقع محليا بدال من استخدام خدمات الشركات المنتجة للرقع المتوفرة من خالل اإلنترنت .وميزة استخدام خدمة تحديث الرقم اآللية يشمل اآلتي: •
يستطيع مدراء النظم قبول أو رفض التحديثات
•
يستطيع مدراء النظم تحديد تاريخ معين لتنزيل التحديثات.
•
يستطيع مدراء النظم الحصول على تقارير عن التحديثات التي يحتاجها كل نظام.
•
ال يتوجب على الحاسب أن يتصل مع الشركة المقدمة للتحديث لتحميل الرقع؛ حيث أن التحديث يقدم من قبل خدمة محلية.
•
ال يمكن للمستخدمين تجاهل او منع التحديث.
خدمة الرقع اآللية توفر لمدراء النظم تحكم أكثر باإلعدادات. الجدران النارية ونظم اكتشاف الدخالء للمضيف :البرنامج للمضيف هو تطبيق برمجي يتم تشغيله على حاسب مضيف محلي بهدف حمايته .ويعمل البرنامج مع نظام التشغيل للمساعدة في منع الهجمات. •
الجدران النارية للمضيف :برنامج الجدار الناري يعمل على الحاسب للسماح أو منع المرور بين الحاسب والحواسيب األخرى المتصلة به .يقوم الجدار الناري بتطبيق مجموعة قواعد على البيانات المتنقلة بفحصها جيدا وعمل مصفاه لحزم البيانات .الجدار الناري لنظام النوافذ هو مثال على برنامج جدار ناري .يقوم نظام تشغيل النوافذ بتثبيته بشكل افتراضي عند عملية تثبيت نظام التشغيل .يمكن للمستخدم أن يتحكم في نوع البيانات المرسلة من وإلى الحاسب بفتح أو غلق المنافذ المختارة .يقوم الجدار الناري بمنع االتصاالت الداخلة والخارجة حتى يتم تعريف االستثناءات Exceptionsلفتح
152
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
وغلق المنافذ التي يحتاجها التطبيق .نرى في الشكل ،المستخدم اختار Inbound Rulesأو قواعد الدخول لتهيئة أنواع المرور المسموح مروره من النظام .تهيئة قواعد الدخول يحم النظام من المرور الغير مرغوب به.
•
نظام اكتشاف الدخالء للمضيف :نظام اكتشاف الدخالء للمضيف ( )HIDSهو برنامج يعمل على الجهاز المضيف لمراقبة األنشطة المشتبه بها .كل خادم أو نظام سطح مكتب يحتاج للحماية يجب أن يثبت عليه برنامج HIDSكما هو موضح بالشكل .يقوم HIDSبمراقبة رسائل النظم ونظام الوصول للملفات للتأكد أن الطلبات ليست ناتجة عن نشاط خبيث .يستطيع أيضا مراقبة إعدادات السجل registryللنظام .والسجل يحتوى على معلومات عن التهيئة الخاصة بالحاسب .تقوم HIDSبتخزين ملف سجل األحداث logمحليا .يمكن أيضا أن يؤثر على أداء النظام ألنه يستهلك موارد كثيرة .وال يستطيع نظام اكتشاف الدخالء للمضيف مراقبة أي مرور شبكي ال يصل إلى نظام المضيف ،ولكنه يراقب نظام التشغيل و العمليات الحرجة للنظام والخاصة بذلك المضيف.
153
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
االتصاالت اآلمنة :عند االتصال بالشبكة المحلية ومشاركة الملفات ،تظل االتصاالت بين الحواسيب داخل الشبكة .تظل البيانات آمنة طالما أنها بعيدة عن الشبكات األخرى وخصوصا اإلنترنت .ولالتصال ومشاركة الموارد على شبكة غير آمنة، يحتاج المستخدمون لالستعانة بخدمات الشبكات االفتراضية (.)VPN والشبكة االفتراضية هي شبكة خاصة تسمح باتصال المواقع أو األشخاص البعيدين مع بعضهم عبر الشبكات العامة مثل اإلنترنت .وأشهر أنواع الشبكات االفتراضية VPNهو النوع الذي يوصل بالشبكة الخاصة للشركة .يستخدم VPNوصالت مخصصة ومؤمنة موجهة خالل اإلنترنت من شبكة الشركة الخاصة إلى المستخدم البعيد .وعند االتصال بشبكة الشركة ،فإن المستخدمين يصبحون جزءا من الشبكة ويستطيعون الوصول لكل خدمات وموارد الشبكة كأنهم موصلون فيزيائيا بالشبكة المحلية للشركة .المستخدمين الذي يصلون عن بعد يجب أن يكون لديهم برنامج العميل VPN clientمثبت على أجهزت الحاسب الخاصة بهم لعمل وصلة آمنة مع الشبكة الخاصة للشركة .يقوم برنامج العميل بتشفير البيانات قبل إرسالها على اإلنترنت ثم من اإلنترنت إلى العبارة الموجودة بالشبكة الخاصة للشركة .تقوم عبارات الشبكة االفتراضية بعمل وإدارة والتحكم في وصالت الشبكة االفتراضية وتسمى هذه الوصالت أيضا االنفاق .يحتوي نظام التشغيل على برنامج العميل والذي يستطيع المستخدم تهيئته لعمل وصلة شبكة افتراضية. 7.1.2تقوية األجهزة المحمولة والالسلكية خصوصية السلكي :WEPمن أهم المكونات للحوسبة الحديثة هو األجهزة المتنقلة .معظم األجهزة الموجودة على الشبكات الحديثة هي األجهزة المحمولة واللوح الكفي والهواتف الذكية وغيرها من األجهزة الالسلكية .تقوم األجهزة المتنقلة بنقل البيانات باستخدام إشارات راديو والتي يستطيع أي جهاز له هوائي متوافق أن يستقبل تلك البيانات .ولهذا السبب قامت شركات التصنيع بتطوير مجموعة من المعايير الخاصة لتأمين األجهزة الالسلكية أو المتنقلة وأيضا مجموعة من المنتجات واألجهزة المتوافقة. هذه المعايير تقوم بتشفير المعلومات التي ترسلها األجهزة المتنقلة في الوسط الهوائي. خصوصية مكافئ السلكي ( )WEPهو من أوائل وأشهر معاير تأمين الواي فاي والتي استخدمت على نطاق واسع. وخصوصية السلكي يوفر حماية جيدة عن طريق استخدام المصادقة والتشفير .معيار خصوصية السلكي أصبح قديما ومع ذلك مازالت العديد من األجهزة الحديثة تدعم وجوده لتتوافق مع األجهزة القديمة .معيار خصوصية السلكي أصبح معيار رسمي لتأمين الواي فاي في سنة 1999م عند بداية نمو االتصاالت الالسلكية .على الرغم من بعض التعديالت التي تمت عليه لتحسينه وعلى حجم مفتاحه الكبير ،إال أن معيار خصوصية السلكي عانى من نقاط ضعف أمنية كثيرة .يستطيع القراصنة كسر شفرة WEPومعرفة كلمة المرور في دقائق باستخدام برامج متاحة مجانا .وعلى الرغم من التحسينات ،يظل معيار خصوصية السلكي ضعيفا ويجب على المستخدمين ترقية النظم التي تعتمد عليه.
154
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
حامي الواي فاي :WPA2التحسين التالي الهام لنظم التأمين الالسلكية كان بتقديم معيار جديد اسمه معيار حامي الوصول للواي فاي ( )WPAواإلصدار المحسن منه ( .)WPA2وكان حامي الواي فاي قد قدمته الشركات المصنعة في محاولة لتفادي نقاط الضعف الموجودة في المعيار السابق .WEPومن أشهر االشكال التي قدمها WPAهو الشكل WPA-PSKويعني حامي الواي فاي ذا المفتاح المشترك مسبقا 256 .بت هو طول المفتاح المستخدم في حامي الواي فاي وهي زيادة كبيرة مقارنة بحجم المفاتيح 64بت و 128بت التي استخدمت في معيار خصوصية السلكي. قدم معيار حامي الواي فاي العديد من التحسينات .أوال ،قدم المعيار برمجية فحص تماسك الرسالة ( )MICوالتي تستطيع اكتشاف ما إذا قام المهاجم بالتقاط وتعديل البيانات المتنقلة بين نقطة الوصول الالسلكية وبين العميل الالسلكي .وقدم أيضا تحسين ألمن المفاتيح والمسمى بروتوكول تماسك المفتاح المؤقت ( .)TKIPوبروتوكول TKIPيوفر المقدرة على التعامل بشكل أفضل مع المفاتيح وحمايتها وتبديلها .توقف العمل ببروتوكول TKIPليحل محله معيار التشفير المتقدم إياس ()AES والذي لديه إدارة أفضل للمفاتيح وحماية تشفيرية أعلى .معيار حامي الوافي يشبه معيار سابقه خصوصية السلكي في أنه اشتمل على نقاط ضعف معروفة على نطاق واسع .ونتيجة لذلك ،تم إصدار معيار حامي الواي فاي 2الجديد ( )WPA2في سنة .2006من أهم التحسينات األمنية الستخدام WPA2بدال من WPAهو االستخدام اإلجباري لخوارزمية إياس ()AES وتقديم وضع الشيفرة المضادة ( )CCMوالتي حلت محل .TKIP
المصادقة المتبادلة :من أكثر نقاط الضعف في الشبكات الالسلكية هو استخدام نقاط الوصول المخادعة .نقاط الوصول هي األجهزة التي تتصل مع األجهزة الالسلكية وتوصلها بالشبكة السلكية .وأي جهاز له خاصية االرسال الالسلكي وله اتصال مباشر بالشبكة يمكنه العمل كنقطة اتصال مخادعة أو نقطة اتصال غير مخولة .كما نرى في الشكل ،النقاط المخادعة تستطيع التظاهر كأنها نقطة اتصال مخولة .والنتيجة أن األجهزة الالسلكية على الشبكة الالسلكية تقيم اتصاال مع نقاط الوصول المخادعة بدال من نقاط الوصول الحقيقية والمخولة .يستطيع المخادع استقبال طلبات االتصال ،ونسخ البيانات في الطلب ثم توجيه البيانات نحو نقطة الوصول الشبكي المخولة .وهذا النوع من هجوم الرجل-في-الوسط صعب االكتشاف ويمكن أن ينتج عنه سرقة الصالحيات والبيانات برمتها. 155
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
لمنع نقط الوصول المخادعة ،قامت مصانع الحاسب بتطوير ما يسمى بالمصادقة المتبادلة .والمصادقة المتبادلة تسمى أيضا المصادقة ذات االتجاهين ،هي عملية أو تقنية فيها تتم المصادقة خالل وصلة االتصال بأن يقوم كال الطرفين بمصادقة الطرف اآلخر .في بيئات الشبكات الالسلكية ،يقوم الجهاز العميل بالمصادقة لنقطة الوصول وتقوم نقطة الوصول بمصادقة الجهاز العميل .وهذه الطريقة مكنت العمالء من اكتشاف نقاط الوصول المخادعة قبل االتصال باألجهزة الغير مخولة.
7.1.3حماية بيانات المضيف التحكم بالوصول للملفات :الصالحيات هي القواعد التي تحكم الوصول من قبل األفراد أو المجموعات للملفات أو المجلدات. ويعرض الجدول الصالحيات الموجودة للملفات والمجلدات: •
مبدأ اقل االمتيازات :يجب أن يتم تحجيم وصول المستخدمين ليصلوا فقط للموارد التي يحتاجونها على نظام الحاسب أو على الشبكة .على سبيل المثال ،ال يصرح للمستخدمين بالوصول لكل الملفات على الخادم إذا كانوا يريدون الوصول فقط لمجلد وحيد .من السه ل إعطاء الصالحيات للمستخدمين على كامل القرص الصلب ،ولكنه من األفضل أمنيا تحجيم الوصول للملفات فال يصل المستخدمون فقط إال للمجلد الذي يحتاجونه ألداء وظيفتهم .وهذا هو مبدأ أقل االمتيازات وأحيانا يسمى أقل الصالحيات .تحجيم الوصول للموارد يمنع البرامج الخبيثة من الوصول للموارد إذا ما تم الهجوم على جهاز الحاسب الخاص بالمستخدم.
•
تقييد صالحيات المستخدم :إذا قام مدير النظام بإلغاء الصالحيات عن فرد أو مجموعة لمجلد تم مشاركته على الشبكة، هذا اإللغاء يحل محل الصالحيات السابقة .على سبيل المثال ،إذا قام مدير النظام بإنكار الصالحيات عن شخص ما لمجلد تم مشاركته على الشبكة ،ال يمكن لذلك الشخص الوصول لهذه المشاركة ،حتى أذا كان هذا الشخص مدير لنظام أو جزء من مجموعة مدراء النظام .يجب أن تحدد سياسات األمن المحلية الموارد ونوع الوصول المسموح لكل مستخدم ومجموعة .عندما يقوم المستخدم بتغيير الصالحيات عن مجلد ،يكون لدى المستخدم الخيار بتطبيق نفس الصالحيات على كل المجلدات الفرعية .انتشار الصالحيات هذا هو طريقة سهلة لتطبيق الصالحيات للعديد من الملفات والمجلدات 156
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
بشكل سريع .بعد إعطاء الصالحيات للمجلد ،كل المجلدات والملفات التي تم إنشاؤها بداخل المجلد ترث كل الصالحيات التي يمتلكها المجلد األب .باإلضافة إلى ذلك ،موقع البيانات وكيفية استخدامها يوضح كيف يتم نشر الصالحيات: oالبيانات التي تنتقل في نفس القسم من القرص الصلب ستحتفظ بالصالحيات األصلية o
البيانات التي تنسخ على نفس القسم سترث صالحيات جديدة.
oالبيانات التي تنتقل لقسم مختلف سترث صالحيات جديدة. oالبيانات التي تنسخ لقسم مختلف سترث صالحيات جديدة.
تشفير الملفات :التشفير هي أداة من أدوات حماية البيانات .التشفير يغير شكل البيانات باستخدام خوارزمية معقدة لجعل البيانات غير قابلة للقراءة .المفتاح الخاص يرجع البيانات الغير قابلة للقراءة إلى بيانات قابلة للقراءة .التطبيقات البرمجية تقوم بتشفير الملفات والمجلدات وحتى كامل القرص الصلب .نظام تشفير الملفات ( )EFSهي إمكانية موجودة في نظام النوافذ (ويندوز) ويمكن استخدام هذا النظام لتشفير البيانات .تم بناء نظام تشفير الملفات في نظام النوافذ ليكون مرتبط مباشرة بحساب مستخدم معين .فقط المستخدم الذي قام بتشفير البيانات هو الوحيد الذي يستطيع الوصول للملفات والمجلدات المشفرة. مستخدم نظام التشغيل ويندوز يمكنه اختيار تشفير كامل القرص الصلب باستخدام خاصية تسمى قفل البت (.)BitLocker والستخدام قفل البت ،يجب أن يكون هناك قسمان على األقل موجودان في القرص الصلب (القرص الصلب مقسم إلى قسمان على األقل) .قبل استخدام قفل البت ،يجب أن يقوم المستخدم أوال بتمكين وحدة المنصة الموثوق بها Trusted Platform Module TPMالموجودة في .BIOSو TPMهي شريحة متخصصة مثبتة على اللوحة األم .يقوم TPMبتخزين المعلومات الخاصة بنظام مضيف معين مثل مفاتيح التشفير والشهادات الرقمية وكلمات المرور .التطبيقات مثل قفل البت الذي يستخدم التشفير يمكنه االستفادة من شريحة .TPMاضغط على إدارة TPMلعرض تفاصيل TMPكما هو معروض بالشكل. النسخ االحتياطي للنظام والبيانات :يمكن أن تفقد الشركة بياناتها إذا استطاع المجرم السيبراني سرقة البيانات ،أو تعطلت المعدات أو حدثت كارثة .ولهذا السبب ،يجب عمل نسخ احتياطي للبيانات بشكل دوري .النسخ االحتياطي للبيانات يخزن نسخة من المعلوم ات من الحاسب إلى وسط احتياطي متنقل .ويقوم المشغل بتخزين وسط النسخ االحتياطي في مكان آمن. 157
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عمل نسخة احتياطية من البيانات هي أكثر الطرق فاعلية لحماية البيانات من الفقدان .فإذا تعطل عتاد الحاسب ،يستطيع المستخدم استرجاع البيانات من النسخ االحتياطية بعد عودة النظام للعمل مباشرة .السياسة األمنية للشركة يجب أن تحتوى على عمليات النسخ االحتياطي .إذا يجب أن يقوم المستخدمون بعمل نسخ احتياطي بشكل منتظم .يتم حفظ النسخ االحتياطية عادة بشكل منفصل عن النظام لحماية وسط حفظ النسخ االحتياطية من أي شيء يحدث لمرافق النظام الرئيسية .ويجب مراعاة االعتبارات اآلتية عند عمل نسخ احتياطي:
•
التتابع – يمكن أن تستغرق عمليات النسخ االحتياطي وقتا طويال .في بعض األحيان من األسهل عمل نسخ احتياطي كامل كل شهر أو كل أسبوع ،ثم تكرار عمل نسخ احتياطي جزئي على فترات قصيرة أو بقياس التغيرات التي تمت على البيانات منذ آخر نسخ احتياطي كامل .على الرغم من ذلك ،عمل كثير من النسخ االحتياطي الجزئي يزيد من الوقت الالزم السترجاع البيانات.
•
التخزين – لزيادة تأمين البيانات ،يجب نقل النسخ االحتياطية إلى مكان منفصل موثوق فيه ومؤمن ،وعملية النقل يجب أن تتم يوميا أو أسبوعيا أو شهريا كما هو موجود في السياسة األمنية للشركة.
•
األمن – يجب حماية النسخ االحتياطية بكلمة مرور .يقوم المشغل بإدخال كلمة المرور قبل استرجاع البيانات من وسط تخزين النسخ االحتياطية.
•
التحقق – يجب التحقق من صالحية النسخ االحتياطية والتأكد من تماسك البيانات وانه لم يتم العبث بها .ويجب أيضا اختبار عملية االسترجاع هل تتم بشكل صحيح ام ال .إذ من الممكن أن تتعطل هذه العملية وال يتم اكتشاف ذلك إال وقت حدوث الكارثة! 158
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
7.1.4التحكم في المحتوى والصور مسح المحتوى ومنع المحتوى :برمجيات التحكم في المحتوى تقيد المحتوى الذي يستطيع المستخدم الوصول إليه باستخدام مستعرض الويب عند الدخول إلى اإلنترنت .تستطيع برامج التحكم في المحتوى إيقاف المواقع اإللكترونية التي تحتوى على أنواع من المواد اإلباحية أو الجدال السيسي أو الديني .يستطيع الوالد تثبيت برنامج للتحكم في المحتوى الذي يستخدمه الطفل. المكتبات والمدارس تقوم أيضا بعمل برامج هدفها منع الوصول للمحتوى الذي يعتبر كريها أو بغيضا .يستطيع مدير النظام بناء النوعيات التالية من المرشحات: •
المرشحات المعتمدة على المتصفح باستخدام امتدادات المتصفح والمصنعة من قبل طرف ثالث.
•
مرشحات البريد اإللكتروني باستخدام مرشح خادم أو مرشح عميل.
•
مرشحات للعميل ويتم تثبيتها على حاسب معين.
•
مرشحات معتمدة على الموجه ،إذ يمكن للموجه أن يمنع المرور الغير مرغوب فيه من دخول الشبكة.
•
مرشحات جهاز الكتروني وتشبه مرشحات الموجه.
•
منع المحتوى اعتمادا على الحوسبة السحابية.
محركات البحث مثل جوجل تعرض اختيار تفعيل مرشح األمان الستبعاد الروابط الغير مناسبة من نتائج البحث .اضغط هنا https://en.wikipedia.org/wiki/Comparison_of_content-control_software_and_providersللمقارنة بين أنواع برامج التحكم في المحتوى والشركات الموفرة لها. استنساخ القرص الصلب والتجميد :يوجد العديد من تطبيقات الطرف الثالث والمتاحة السترجاع النظام إلى حالته االفتراضية. وهذا يتيح لمدير النظام حماية نظام التشغيل والملف التهيئة للنظام .استنساخ القرص Disk Cloningينسخ محتويات القرص الصلب الخاص بالحاسب ويضعها جميعا في ملف صوري .على سبيل المثال ،يقوم مدير النظام بعمل األقسام المطلوبة على القرص الصلب ،ثم يقوم بتهيئة األقسام ثم تثبيت نظام التشغيل .ثم يقوم بتثبيت كل البرامج المطلوب تثبيتها على الحاسب مثل برامج اوفيس وغيرها ثم يقوم بتهيئة العتاد عن طريق تبيت سواقات العتاد .وأخي ار يقوم مدير النظام باستخدام برنامج استنساخ القرص الصلب لعمل ملف صوري .يستطيع مدير النظام استخدام الصوري المستنسخ بالشكل التالي: •
لمسح النظام بشكل آلي واسترجاع النظام من ملف صوري رئيسي نظيف.
•
لتشغيل حواسيب جديدة داخل الشركة.
•
لعمل نسخ احتياطي لكامل النظام.
اضغط هنا https://en.wikipedia.org/wiki/Comparison_of_disk_cloning_softwareلمقارنة برامج االستنساخ.
159
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
والتجميد العالي Deep Freezeيجمد قسم من أقسام القرص الصلب .وعندما يقوم المستخدم بإعادة تشغيل النظام ،يرجع النظام لحالته المجمدة مرة أخرى .النظام ال يحفظ أي تعديالت يقوم بها المستخدم ،ولذلك فإن أي تطبيق تم تثبيته أو ملف تم حفظه سيفقد عندما يتم إعادة تشغيل النظام .إذا أراد مدير النظام تغيير تهيئة النظام ،فيجب عليه أوال "إذابة" القسم المحمي بإلغاء تمكين التجميد العالي .بعد عمل التعديالت المطلوبة ،يجب علي المدير إعادة تمكين التجميد .يمكن لمدير النظام أن يقوم بتهيئة الت جميد العالي ليعاد تشغيله بعد خروج المستخدم من النظام ،أو تهيئته ليتم قفله بعد فترة من عدم الركود ،أو قفله بعد وقت محدد .هذه المنتجات ال تقدم حماية الوقت الفعلي .يظل النظام عرضة للهجوم حتى يقوم المستخدم أو حدث محدد بإعادة تشغيل النظام .وعلى الرغم من ذلك ،فإن النظام المصاب ببرمجية خبيثة ،سيبدأ بداية جديدة (كأنه لم يصب) عندما يتم إعادة تشغيل النظام. 7.1.5الحماية المادية لمحطات العمل كابالت وأقفال األمن :يوجد العديد من الطرق للحماية الفيزيائية لمعدات الحاسب اآللي: •
استخدم أقفال الكابالت مع المعدات كما هو موجود بالشكل.
•
اقفل غرف االتصاالت بشكل دائم.
•
استخدم اقفاص التأمين حول المعدات.
العديد من األجهزة المحمولة وشاشات الحاسبات المرتفعة الثمن لها كتيفة صلب كمدخل أمني مدمج يتم استخدامه بتوصيل أقفال الكابالت به .أشهر أنواع اقفال األبواب هو النوع األقفال القياسي .إذ ال يقوم بالقفل اآللي عندما يغلق الباب .باإلضافة لذلك ،يستطيع الفرد حشر طبقة بالستيكية رفيعة مثل بطاقة االئتمان بين القفل وجسم الباب إلجبار الباب على الفتح .أقفال األبواب في المباني التجارية تختلف عن األقفال في المباني السكنية .لعمل تأمين إضافي ،القفل المركب يعطي تأمين إضافي. ومع ذلك فإن أي قفل يحتاج إلى مفتاح يكون له نقطة ضعف مثل فقدان المفتاح أو سرقته أو نسخه. قفل الشيفرة الموجود في الشكل الثاني ،يستخدم ازرار يقوم المستخدم بالضغط عليها بترتيب معين لفتح الباب .ويمكن برمجة قفل الشيفرة .وهذا يعني أن الرقم السري للمستخدم يمكن التحكم فيه ليفعل فقط في أيام أو أوقات محددة .على سبيل المثال ،من الممكن برمجة قفل الشيفرة ليسمح لبوب بدخول غرفة الخادم بين الساعة 7صباحا والساعة 6مساءا من يوم األحد إلى يوم الخميس .يمكن ألقفال الشيفرة أن تحفظ سجل بمواعيد فتح الباب والرقم السري المستخدم لفتحه. عداد لوقت سكون النظام :إذا قام الموظف من على مكتبه وترك جهازه ألخذ استراحة قصيرة .إذا لم يقم الموظف بعمل أي شيء لتأمين محطة عمله ،فإن أي معلومات على جهازه تكون عرضة للسرقة من قبل المستخدمين الغير مخولين .يمكن أن تقوم المؤسسة بأخذ المعايير التالية في االعتبار إليقاف الدخول الغير مصرح به:
160
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
وقت السكون وقفل الشاشة :يمكن أن يقوم الموظفون بالخروج من نظام الحاسب عند مغادرتهم لمكتبهم لحماية جهازهم واحتمال أيضا أنهم لن يقوموا بذلك .ولذلك ،فإن أفضل الممارسات األمنية هو تهيئة عداد لوقت سكون النظام والذي يجبر النظام على الخروج آليا ويقفل الشاشة إذا استمر النظام في السكون لفترة معينة .ويجب على الموظف الولوج مرة أخرى لفك قفل الشاشة.
•
أوقات الدخول :في بعض المواقف ،ترغب المؤسسة من موظفيها الدخول للنظام في ساعات محددة ،مثال من الساعة 7 صباحا حتى 6مساءا .يمكن عمل ذلك بتهيئة النظام ليمنع أي محاولة لدخول النظام في الساعات خارج أوقات الدوام.
التتبع بالقمر الصناعي :نظام تحديد المواقع العالمي ( )GPSيستخدم األقمار الصناعية والحواسيب لمعرفة موقع جهاز .تقنية GPSهي ميزة موجودة تقريبا على جميع الهواتف الذكية والتي تتيح تتبع الجهاز بالبث المباشر .يستطيع نظام تحديد المواقع تحديد موقع الجهاز حتى مساحة 100متر مربع .وهذه التقنية متاحة لتتبع األطفال وكبار السن والحيوانات األليفة والمركبات. واستخدام GPSلتحديد موقع الهاتف دون تصريح من المستخدم يعد انتهاكا لخصوصية المستخدم ويعتبر عمل غير قانوني. العديد من تطبيقات الهواتف الذكية تستخدم GPSلتتبع مكان الهاتف .على سبيل المثال ،يسمح فيسبوك للمستخدمين بتمكين دخولهم لموقع معين على الهاتف (فندق أو مطار) ،بعد ذلك يظهر لكل األشخاص على شبكته. المخازن ووسم :RFIDتحديد الهوية بتردد الراديو ( )RFIDيستخدم موجات الراديو في تعريف وتتبع األشياء .نظام المخازن باستخدام RFIDيستخدم وسوم ملصقة بكل األشياء التي تريد الشركة تتبعها .الوسوم تحتوى على شريحة مدمجة موصلة بهوائي .وسوم RFIDصغيرة وتحتاج لطاقة قليلة جدا لتعمل ،ولذلك فهي ال تحتاج لبطارية لتخزين المعلومات التي تتبادلها من القارئ .تساعد RFIDفي ميكنة عملية تتبع الممتلكات وتساعد أيضا في القفل أو فك القفل أو حتى تهيئة جهاز إلكتروني ال سلكيا.
161
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
تعمل نظم RFIDفي ترددات مختلفة .نظم التردد المنخفض لها مدى تغطية قليل ومعدل بطئ لقراءة البيانات ،ولكنها ليست حساسة بدرجة عالية للتداخالت الموجية التي تسببها السوائل والمعادن الموجودة .نظم الترددات المرتفعة لها معدل نقل مرتفع وسريع ولها مساحة تغطية أوسع ،ولكن يعيبها أنها حساسة جدا لتداخالت الموجات.
7.2تقوية الخادم 7.2.1الوصول اآلمن عن بعد إدارة الوصول عن بعد :الوصول عن بعد يعني أي اقتران بين عتاد وبرمجيات يسمح للمستخدمين بالوصول عند بعد للشبكة المحلية الداخلية .في نظام النوافذ ويندوز ،يستخدم التقنيين سطح المكتب عن بعد Remote Desktopوالمساعد عن بعد Remote Assistantإلصالح وترقية الحواسيب .سطح المكتب عن بعد يسمح للتقنيين بالعرض والتحكم في جهاز حاسب موجود في مكان نائي .أما المساعد عن بعد يسمح للتقنيين بمساعدة العمالء الموجودون في مكان نائي لحل المشكالت. المساعد عن بعد يسمح للعمالء بالعرض أو اإلصالح أو الترقية بالوقت الفعلي على شاشة الحاسب. عملية تثبيت نظام الويندوز ال تقوم بتمكين سطح المكتب عن بعد كإعداد افتراضي .فتمكين تلك الخاصية تفتح المنفذ رقم 3389وقد ينتج عن ثغرة يدخل من خاللها المهاجمين ،ويفضل عدم تمكين تلك الخدمة إذا لم يكن المستخدم يحتاج إليها. برمجيات Telnetو SSHو :SCPالطبقة اآلمنة ( )SSHهو عبارة عن بروتوكول يوفر اتصاال مشف ار وآمنا إلدارة وتهيئة األجهزة البعيدة .يستبدل SSHنظيره القديم Telnetللتوصيل بهدف اإلشراف والتحكم .و Telnetهو بروتوكول أقدم من SSHيستخدم اتصال غير آمن ينقل البيانات في شكلها الصريح الغير مشفر ،وتكون البيانات عادة بيانات المصادقة لدخول النظام (اسم المستخدم وكلمة المرور) والبيانات المرسلة بين األجهزة المتصلة .يقدم SSHتأمينا لوصالت االتصال عن بعد بعمل تشفير قوي عندما يصادق الجهاز مستخدما كلمة المرور وعندما تنقل البيانات بين األجهزة المتصلة .يستخدم SSH المنفذ TCPرقم 22أما Telnetفيستخدم المنفذ TCPرقم .23 في الشكل اليسار يقوم المهاجمين بمراقبة الحزم باستخدام برنامج .Wiresharkويلتقط المهاجمين اسم المستخدم وكلمة المرور لمدير النظام في شكلها النصي الصريح ،حيث يستخدم مدير النظام Telnetفي االتصال باألجهزة. في الشكل اليمين يوجد شاشة من برنامج Wiresharkلجلسة اتصال باستخدام .SSHيقوم المهاجمين بتتبع الجلسة باستخدام العنوان المنطقي لإلنترنت IPلجهاز مدير النظام .وفي أسفل الشكل نرى أن الجلسة قد شفرت اسم المستخدم وكلمة المرور لذا يصعب على المهاجمين معرفتهما. النسخ اآلمن ( )SCPيقوم بنقل الملفات بين األجهزة المتباعدة بشكل سري .يستخدم SCPبروتوكول SSHلنقل البيانات (يشمل ذلك عنصر المصادقة) ،لذا فإن SCPيتأكد من مصادقة مصدر البيانات وسريتها عند النقل.
162
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
SSH
Telnet
7.2.2تدابير إدارة النظم تأمين المنافذ والخدمات :يستغل المهاجمون الخدمات الجارية على النظام ألنهم يعرفون أن معظم األجهزة يشغلون خدمات أو برامج أكثر من حاجتهم الفعلية .وعلى مدير النظام أن يفحص كل خدمة ويتأكد من أهميتها ويقيم مدى خطورة تشغيلها .ويزيل كل الخدمات الغير ضرورية .طريقة سهلة لدى عديد من مديري النظم يتم استخدامها للمساعدة في تأمين الشبكة من الدخول الغير مصرح به ،هذه الطريقة هي تعطيل كل المنافذ الغير مستخدمة على المحول .على سبيل المثال ،إذا كان المحول له 24 منفذ وهناك عدد 3توصيالت إيثرنت سريع قيد االستخدام .فإنه من أفضل الممارسات تعطيل الـ 21منفذ الغير مستخدمين. عملية تمكين وإلغاء التمكين للمنافذ في بعض األحيان تأخذ وقتا كبيرا ،ولكنها تقوم بتحسين الناحية األمنية على الشبكة وتستحق الوقت والجهد. الحسابات المميزة :يستغل المهاجمون الحسابات المميزة أو الحسابات الخاصة ألنها أقوى الحسابات في الشركة .الحسابات الخاصة لها مميزات الوصول المطلق للنظام ،الحسابات المميزة تعطي صالحية وصول رفيعة وغير مقيدة .يستخدم مديري النظم هذه الحسابات لتوزيع وتثبيت وإدارة نظم التشغيل والتطبيقات وأجهزة الشبكة .يعطي الشكل ملخصا ألنواع الحسابات المميزة.
163
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
.1الحسابات المحلية إلدارة النظم :تعطي هذه الحسابات وصول غير مقيد لمضيف المحلي ،وتستخدم ألداء الصيانة لمحطات العمل والخوادم وقواعد البيانات وأجهزة الشبكة .ومشاركة هذا النوع من الحسابات على أكثر من مضيف يعرض األجهزة المضيفة لتكون هدفا للقراصنة. .2الحسابات المميزة للمستخدم :الصالحيات إلعطاء مميزات إدارية على واحد أو أكثر من النظم .ويستخدم عبر كل النظم التي تدار .ومن األفضل مراقبة استخدام هذا النوع من الحسابات. .3الحسابات المميزة للنطاق :تعطي صالحيات اإلدارة لكل محطات العمل والخوادم داخل نطاق ويندوز .وتعطي وصول مكثف عبر الشبكة .تعطي تحكم على كل متحكمات النطاق األخرى لتعديل عضويتها في النطاق. .4حسابات الطوارئ :تعطي المستخدم العادي وصول إداري لتأمين النظم ،ويستخدم في حالة الطوارئ. .5حسابات الخدمات :تستخدم من قبل تطبيق أو خدمة للتفاعل مع نظام التشغيل .ويمكن أن يكون لها صالحيات إدارية في داخل النطاق .تغيير كلمة المرور هو التحدي في هذا النوع من الحسابات حيث أنه يتعامل مع العديد من مكونات نظام التشغيل ويندوز. .6حسابات التطبيقات :يستخدم من قبل التطبيقات للوصول لقواعد البيانات أو تشغيل مخطوطة برمجية أو إعطاء صالحية الوصول لتطبيقات أخرى .له وصول موسع لمعلومات الشركة التي توجد بداخل التطبيقات وقواعد البيانات. يجب أن تتبنى الشركة أفضل الممارسات التالية لتأمين حساباتها المميزة: •
تحديد وتقليل عدد الحسابات المميزة.
164
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
فرض مبدأ أقل الميزات أو أقل الصالحيات.
•
يجب بناء عملية لسحب الصالحيات آليا عندما يغادر الموظف الشركة أو يغير وظيفته في الشركة.
•
قم بإزالة الحسابات التي لها كلمات مرور غير منتهية الصالحية.
•
قم بتأمين مكان تخزين كلمات المرور.
•
قم بإزالة الصالحيات المشتركة ألكثر من مدير للنظام.
•
قم بتغيير كلمات المرور للحسابات المميزة بشكل آلي كل 30أو 60يوم.
•
قم بتسجيل جلسات الحسابات المميزة.
•
قم ببناء عملية لتغيير كلمات السر المضمنة في حسابات المخطوطات البرمجية والخدمات.
•
قم بتسجيل كل أنشطة المستخدمين.
•
صمم نظام تنبيهات للسلوك الغير معتاد.
•
قم بتعطيل الحسابات الغير نشطة.
•
استخدم المصادقة بأكثر من عامل لكل الوصول اإلداري.
•
استخدم عبارة بين المستخدم الطرفي والعتاد الحساس لتحجيم تعرض الشبكة للبرمجيات الخبيثة.
قفل الحسابات المميزة هي عملية حيوية لضمان سرية المؤسسة .تأمين تلك الحسابات يحتاج لجهد مستمر .ويجب على المؤسسة تقييم هذه العملية لعمل أي تعديالت مطلوبة لتحسين األمن. سياسات المجموعة :في معظم الشبكات التي تستخدم حاسبات ويندوز ،يقوم مدير النظام بتهيئة الدليل النشط ( Active )Directoryبنطاقات على نظام التشغيل نوافذ الخادم ( .)Windows Serverحاسبات الويندوز هي أعضاء في النطاق. مدير النظام يقوم بعمل تهيئة لسياسة أمن النطاق والتي تطبق على كل األجهزة التي تدخل النطاق .يتم إعداد سياسات الحساب تلقائيا عندما يدخل المستخدم لنظام ويندوز .عندما ال يكون الجهاز جزء من نطاق الدليل النشط ،يقوم المستخدم بتهيئة السياسات باستخدام السياسة األمنية المحلية في ويندوز .في كل إصدارات ويندوز معا عدا النسخة المنزلية ،قم بكتابة secpol.mscفي سطر األوامر Runلفتح أداة السياسة األمنية المحلية. يقوم مدير النظام بتهيئة سياسات حساب المستخدم مثل سياسات كلمة المرور وسياسات القفل باستعراض Account .Policies-> Password Policyكما نرى في الشكل ،يجب أن يقوم المستخدمون بتغير كلمة المرور كل 90يوم ويستخدمون الكلمة الجديدة ليوم واحد فقط .كلمات المرور يجب أن تحتوي على 8حروف وتشمل ثالث أنواع من الحروف، الحروف الكبيرة ،والحروف الصغيرة و األرقام والرموز الخاصة .وأخيرا ،يمكن استخدام نفس كلمة السر مرة أخرى بعد استخدام 24كلمة سر مختلفة أوال.
165
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
سياسات قفل الحساب يقفل الحاسب لفترة محددة في التهيئة عندما يقوم المستخدم بمحاولة الدخول الخاطئ لعدد معين من المرات .على سبيل المثال ،يم كن السماح للمستخدم بإدخال كلمة المرور بشكل خاطئ بحد أقصى خمس محاوالت .بعد المحاولة الخامسة ،يقوم الحساب بالغلق واستبعاد المستخدم لمدة 30دقيقة .بعد 30دقيقة ،يتم إعادة تعيين عدد مرات المحاوالت الخاطئة من 0إلى 5مرة أخرى ،بعدها يمكن للمستخدم المحاولة خمس مرات أخرى وهكذا .العديد من اإلعدادات األمنية يمكن عرضها باستخدام المجلد السياسات المحلية Local Policiesالموجود بالشكل .وتوجد سياسة تسمى سياسة الجرد تقوم بعمل ملف سجل لألحداث logيستخدم في تتبع األحداث التي يقوم بها المستخدم.
تمكين سجالت األحداث والتنبيهات :ملف سجل األحداث logيقوم بتسجيل كل األحداث عندما تحدث مباشرة .عناصر سجل األحداث هي مكونات ملف سجل األحداث ،وكل عنصر من العناصر يحتوي جل المعلومات التي تتعلق بالحدث .أصبح ملف سجالت األحداث المتعلق بأمن الحاسب ذا أهمية كبيرة .على سبيل المثال ،ملف سجالت التتبع يتتبع عدد محاوالت المصادقة للمستخدم ،وملف سجالت الدخول يعطي كل التفاصيل عن طلبات الوصول لملف معين على النظام .متابعة سجالت األحداث تمكن مدير النظام من معرفة كيف تم الهجوم وهل الدفاعات المستخدمة كانت كافية أم ال. مع الزيادة الهائلة في عدد ملفات سجالت األحداث التي تنشأ ألغراض تأمين الحاسبات ،يجب أن تقوم المؤسسة بإنشاء نظام إدارة لملفات السجالت .إدارة ملفات السجالت تحدد عمليات إنشاء ونقل وتخزين وتحليل والتخلص من ملفات سجالت األحداث الخاصة بأمن بيانات الحاسب .يوجد نوعان من سجالت األحداث:
166
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
سجالت أحداث نظام التشغيل :سجالت أحداث نظام التشغيل تسجل األحداث التي تنشأ بسبب العمليات التي تتم على نظام التشغيل ،يمكن عرض سجالت األحداث من عارض األحدث Event Viewerكما بالشكل .على سبيل المثال، االحداث اآلتية يتم تسجيلها: oطلبات العميل واستجابات الخادم مثل مصادقة المستخدم الناجحة. oمعلومات االستخدام التي تحتوي على عدد وحجم المعامالت في وقت محدد.
•
تطبيق برمجي يسجل األحداث :تستخدم المؤسسات برامج أمنية تهدف لتأمين الشبكة أو لتأمين النظام ،وذلك بغرض اكتشاف األنشطة الخبيثة .هذه البرمجيات تنشئ ملفات سجل األحداث لتوفير بيانات أمن الحاسب .سجالت األحداث نافعة لعمل المراجعة التحليلية وتحديد االتجاهات وحل المشكالت طويلة األمد .تمكن سجالت األحداث أيضا المؤسسة من توفير توثيق يبين أن المؤسسة متوافقة مع القوانين والتنظيمات المطلوبة.
7.2.3الحماية الفيزيائية للخوادم مصدر الكهرباء :هناك جزء حيوي في حماية نظم المعلومات أال وهو نظم الطاقة الكهربائية .فالتوصيل المستمر للتيار الكهربائي أصبح أم ار حيويا وحرجا وخصوصا في هذه األيام مع كثرة الخوادم ومرافق التخزين المتعددة .فيما يلي نقدم قواعد عامة لبناء نظم امداد الكهرباء الفعالة: •
مراكز البيانات يجب أن تأخذ الكهرباء من مصدر آخر غير باقي المبنى.
•
تعددية مصادر الكهرباء :يجب االعتماد على أكثر من مصدر للطاقة وأخذ امداد الكهرباء من محطتين أو أكثر.
•
تبريد عتاد الكهرباء
167
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
نظم الكهرباء االحتياطية عادة ما يتم االحتياج اليها.
•
يجب توفير جهاز مصدر الطاقة الغير منقطع ( )UPSلكي يتم غلق النظم بشكل لطيف.
يجب على المؤسسة حماية نفسها من عديد من األمور عند تصميم نظم امدادات طاقة الكهرباء: •
الكهرباء الزائدة :مثل الجهد العالي اللحظي ،والجهد العالي المستمر لفترة.
•
انقطاع الكهرباء :إما انقطاع لحظي أو انقطاع مستمر.
•
ضعف الكهرباء :مثل الجهد المنخفض لحظيا ،أو الجهد المنخفض لمدة أطول ،أو الجهد العالي نتيجة لتشغيل الكهرباء.
الحرارة والتهوية ومكيف الهواء (نظم التكييف) :نظم التكييف تعتبر من النظم الحرجة لتأمين الناس ونظم المعلومات بداخل الشركة .عندما يتم تصميم مرافق نظم تقنية المعلومات الحديثة ،تلعب نظم التكييف دو ار هاما في األمن العام للشركة .نظم التكييف تتحكم في البيئة المحيطة (الح اررة ،الرطوبة ،تدفق الهواء ،تصفية الهواء) ويجب أن يتم التخطيط لها لتعمل جنبا إلى جنب مع مكونات مراكز المعلومات األخرى مثل العتاد الحاسوبي ،والكابالت ،ومخزنات البيانات ،ومكافحة النيران ،ونظم الحماية الفيزيائية والطاقة .غالب أجهزة الحاسوب المادية تأتي بشروط تشغيل بيئية والتي تشمل درجة ح اررة التشغيل المناسبة ومستويات الرطوبة المقبولة .تظهر متطلبات التشغيل البيئية في وثيقة مواصفات المنتج أو عن طريق التدريب .والحفاظ على هذه المتطلبات البيئية هو من األمور الهامة لمنع فشل األنظمة ولتمديد فترة حياة نظم تقنية المعلومات .نظم التكييف التجارية ونظم إدارة المبنى األخرى أصبحت جميعها موصلة باإلنترنت للتحكم واألشراف عن بعد .األحداث العالمية األخيرة تبين أن مثل هذه النظم والمسماة "النظم الذكية" أيضا تثير مخاوف أمنية كبيرة. من المخاطر المقترنة باستخدام النظم الذكية أن األفراد الذين لهم حق الوصول وإدارة النظام يعملون لدى مقاول أو لشركة التصنيع .وألن تقنيي نظم التكييف يحتاجون المقدرة على إيجاد المعلومات بسرعة ،تكون البيانات الهامة عرضة للتخزين في أماكن مختلفة ،والذي يجعلها سهلة الوصول ألشخاص آخرين .مثل هذا الموقف يتيح لشبكة واسعة من األفراد ،شاملة حتى مساعدي المقاول ،الوصول لصالحيات نظام التكييف .تعطيل نظم التكييف الذكية يثير مخاطر ومخاوف على نظم تأمين المعلومات داخل الشركة. مراقبة العتاد :عادة ما يوجد نظام مراقبة العتاد في مزرعة كبيرة من الخوادم .مزرعة الخوادم هي مرفق يضم المئات أو اآلالف من الخوادم للشركات .تملك شركة جوجل العديد من مزارع الخوادم حول العالم لتقديم أفضل الخدمات .حتى الشركات الصغيرة تقوم ببناء مزرعة خوادم محلية لضم مجموعة الخوادم التي يحتاجها سير العمل .نظم مراقبة العتاد تستخدم في اإلشراف على صحة هذه النظم لتقليل وقت تعطل الخوادم والتطبيقات .نظم مراقبة العتاد الحديثة تستخدم مخارج USBومنافذ الشبكة لنقل حالة الح اررة في وحدة المعالجة المركزية ،وتنقل حالة مصدر الطاقة وسرعة المراوح والح اررة وحالة الذاكرة ومساحة القرص
168
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الصلب وحالة بطاقة توصيل الشبكة .نظم مراقبة العتاد تمكن الفنيين من مراقبة مئات أو آالف النظم من خالل شاشة واحدة. كلما استمر عدد مزارع الخوادم في النمو ،تصبح نظم مراقبة العتاد هامة كرادع للهجمات األمنية.
7.3تقوية الشبكة 7.3.1تأمين أجهزة الشبكة مراكز العمليات :مركز عمليات الشبكة ( نوك )NOCهو موقع جغرافي أو أكثر يحتوي على األدوات التي تمد مدراء النظم بالحالة المفصلة لشبكة الشركة .ونوك هو المصدر الوحيد للمعلومات التي بناء عليها يتخذ ق ار ار مثال صيانة الشبكة ،أو اإلشراف على األداء ويمكن أيضا استخدامها في توزيع وترقية البرامج ،وفي إدارة االتصاالت أو إدارة األجهزة. مركز عمليات األمن ( SOCسوك) هو موقع جغرافي مكرس للمراقبة والتقييم والدفاع عن نظم معلومات الشركة مثل المواقع اإللكترونية للشركة والتطبيقات وقواعد البيانات ومراكز البيانات والشبكات والخوادم ونظم المستخدم .سوك هو فريق من محللي النظم األمنية الذين يقومون بكشف وتحليل النظم والرد على الهجمات وعمل التقارير والحماية من األحداث األمنية الغير مرغوبة. كال الوحدتين (نوك وسوك) يستخدمان بناية من طبقات هرمية للتعامل مع األحداث .الطبقة األولى تتعامل مع كل األحداث وترفع أي حدث لم تتمكن من التعامل معه إلى الطبقة الثانية .يقوم فريق العمل بالطبقة الثانية بمراجعة الحدث بالتفصيل في محاولة للتعامل معه .فإذا لم يستطيعوا التعامل معه فإنهم يرفعون األمر إلى الطبقة الثالثة .والطبقة الثالثة يكون فيها الخبراء المتخصصين فقط في النقطة المعنية .لقياس مدى كفاءة وتأثير مركز العمليات ،تحتاج المؤسسة للقيام بتمارين وتدريبات واقعية .تمرين محاكاة الطاولة ( )tabletop simulationهو عبارة عن السير بشكل منظم لفريق العمل بغرض محاكاة حدث ما وتقييم كفاءة المركز .والتدبير األقوى من ذلك هو محاكاة مهاجم دخيل بصالحيات عليا وبال تحذير .وهذ يتطلب استخدام "الفريق األحمر" ،والفريق األحمر هو مجموعة من األفراد التي تتحدى العمليات داخل المؤسسة بغرض تقييم كفاءة المؤسسة. 169
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
على سبيل المثال ،يجب على الفريق األحمر مهاجمة نظام لمهمة حرجة شاملة عمليات االستطالع والهجوم ،وامتالك الصالحيات والوصول عن بعد. المحوالت والموجهات وأجهزة الشبكة :تأتي أجهزة الشبكة مبدئيا بال كلمات سر أو بكلمات سر افتراضية .يجب تغيير كلمة السر قبل توصيل الجهاز بالشبكة .ثم توثيق التعديالت على أجهزة الشبكة وعمل سجل احداث للتغيرات .وأخيرا ،افحص كل ملفات سجالت األحداث الخاصة بالتهيئة .فيما يلي نناقش العديد من التدابير التي يجب أن يأخذها مدير النظام في االعتبار لحماية أجهزة الشبكة: •
المحوالت :محوالت الشبكة هي القلب النابض للشبكات الحديثة لتوصيل البيانات .والتهديد الرئيسي لمحوالت الشبكة هو السرقة ،والقرصنة والوصول عن بعد ،والهجوم ضد بروتوكول شبكي معين مثل ARP/STPأو الهجوم لتقليل أداء وإتاحة الشبكة .العديد من المضادات وأدوات التحكم يمكنها أن تحمي محوالت الشبكة مثل الطرق الحديثة للحماية الفيزيائية والتهيئة المتقدمة وبناء نظام تحديثات وترقيع مناسب عند الحاجة .يوجد أداة تحكم أخرى وهي عمل ما يسمى بأمن المنافذ .على مدير النظام تأمين كل منافذ المحول (الموائمات) قبل تركيب المحول للعمل على الشبكة فعليا .والطريقة الفعالة لتأمين المنافذ هي بناء خاصية التأمين الفيزيائي للمنافذ .وتأمين المنافذ يحكم عدد العناوين الفيزيائية التي تستطيع استخدام المنفذ .ويسمح المحول لوصول األجهزة التي لها عنوان فيزيائي مصرح به ويمنع باقي العناوين الفيزيائية.
•
الشبكات المحلية االفتراضية ( :)VLANsالشبكات االفتراضية هي طريقة لتجميع األجهزة من محوالت مختلفة وموجودة في مواقع فيزيائية مختلفة بهدف تكوين شبكة محلية افتراضية .تستخدم الشبكات االفتراضية توصيالت منطقية بدال من توصيالت فيزيائية .المنافذ الموجودة على المحول يمكن تعيين بعض منها ألكثر من شبكة افتراضية .والبعض اآلخر يستخدم للتوصيل الفيزيائي للمحوالت للسماح بتوصيل العديد من مرور الشبكات االفتراضية بين المحوالت .وتسمى هذه المنافذ بال ـ " ترنك" .trunkعلى سبيل المثال ،يحتاج قسم الموارد البشرية لحماية المعلومات الحساسة .الشبكات االفتراضية تمكن مدير النظام من تقسيم الشبكة بناء على عوامل مثل نوع الوظيفة أو فريق المشروع أو التطبيق بغض النظر عن الموقع الفيزيائي للمستخدم أو الجهاز كما في الشكل .األجهزة داخل الشبكة االفتراضية الواحدة تعمل كأنها بداخل شبكتها المستقلة ،حتى إذا كان هناك مشاركة لنفس البنية التحتية مع الشبكات االفتراضية األخرى .تستطيع الشبكات االفتراضية فصل المجموعات التي لها بيانات حساسة عن باقي الشبكة ،وبذلك تقل فرصة تسريب المعلومات السرية .الترنك يسمح لألفراد في الشبكة االفتراضية للموارد البشرية بالتوصيل فيزيائي بأكثر من محول .هناك العديد من أنوع الثغرات والهجمات للشبكات االفتراضية .وهذه الهجمات تشمل الهجوم على بروتوكول الترنك .يستطيع المخربون مهاجمة أداء وإتاحة الشبكة االفتراضية .المضادات الشائعة تشمل االشراف والمراقبة للتغيرات واألداء للشبكة االفتراضية، وأيضا عمل تهيئة متقدمة وترقيع وتحديث نظام التشغيل IOSبشكل دوري.
170
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
الجدران النارية :هي عبارة عن عتاد أو برمجيات تفرض السياسات األمنية للشركة .والجدار الناري يعمل كمصفاه للمرور يوقف المرور الغير مصرح به والمرور المحتمل وجود خطر من ورائه من الدخول للشبكة ،انظر الشكل .الجدار الناري البسيط يوفر قدرات الترشيح األساسية باستخدام قائمة التحكم بالوصول ( .)ACLيستخدم مدراء النظم قوائم التحكم بالوصول لمنع المرور أو للسماح بمرور من نوع معين بالتنقل في شبكاتهم .وقائمة التحكم في الوصول هي عبارة عن قائمة تسلسلية من جمل السماح والمنع التي يتم تطبيقها على عنوان منطقي معين أو بروتوكول معين .تعطي قوائم التحكم بالوصول طريقة قوية للتحكم في المرور الداخل والخارج من والى الشبكة .تفصل الجدران النارية الهجمات بعيدا عن الشبكة الخاصة ومن الهجمات الشائعة للقراصنة هو محاولة التغلب على حماية الجدران النارية .والتهديد الرئيسي للجدران الناري هو السرقة أو القرصنة أو الوصول عن بعد أو الهجوم ضد قوائم التحكم بالوصول أو الهجوم لتقليل األداء أو لمنع
171
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
التوافر .العديد من المضادات وأدوات التحكم يمكنها حماية الجدران النارية وتشمل األمن الفيزيائي والتهيئة المتقدمة والوصول عن بعد بشكل سري مع التحقق من المصادقة ،وأيضا التحديث والترقيع المناسب للنظام.
•
الموجهات :تعتبر الموجهات بمثابة الهيكل العظمي لإلنترنت ولالتصاالت بين الشبكات .تتواصل الموجهات مع بعضها البعض لمعرفة أفضل المسارات الممكنة لتوصيل المرور لشبكة مختلفة .تستخدم الموجهات بروتوكوالت التوجيه ألخذ ق اررات التوجيه .كما يمكن للموجهات ان تدمج الخدمات األخرى مثل قدرات التحويل والجدران النارية .وهذه العمليات تجعل الموجهات هدفا أوليا للقراصنة .التهديد الرئيسي لموجهات الشبكة هو السرقة والقرصنة والوصول عن بعد ،والهجوم ضد بروتوكول معين مثل RIP/OSPFأو الهجوم ضد األداء واإلتاحة .العديد من المضادات وأدوات التحكم تستطيع حماية موجهات الشبكة مثل الحماية الفيزيائية المحسنة ،وإعدادات التهيئة المتقدمة واستخدام بروتوكول توجيه بسرية عالية مع المصادقة ،باإلضافة إلى التحديثات والرقع المناسبة.
الشبكات الالسلكية واألجهزة المتنقلة :أصبح النوع المتنقل من األجهزة هو النوع الغالب على معظم الشبكات الحديثة .فهي توفر الحرية في التنقل وسهولة االستخدام ولكنها تضيف الكثير من الثغرات .هذه الثغرات تشمل السرقة والقرصنة والوصول عن بعد الغير مصرح به وغربلة الحزم وهجمات الرجل-في-الوسط والهجمات ضد األداء واإلتاحة .وأفضل الطرق لتأمين الشبكات الالسلكية هو استخدام المصادقة والتشفير .المعيار الالسلكي األصلي رقم 801.11يقدم نوعين من المصادقة كما هو موجود بالشكل: •
نظام المصادقة المتاح للجميع :أي جهاز السلكي يستطيع االتصال بالشبكة الالسلكية .استخدم هذه الطريقة في المواقف التي يكون فيها األمن غير مهم. 172
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
نظام المصادقة بالمفتاح المشترك :يعطي آلية للمصادقة ويشفر البيانات بين العميل الالسلكي ونقطة الوصول الالسلكية أو الموجه الالسلكي.
يوجد ثالث تقنيات مستخدمة في الشبكات المحلية الالسلكية للمصادقة بالمفتاح المشترك وهي: .1خصوصية مكافئ السلكي ( -)WEPهذه مواصفات المعيار األصلي 802.11لتأمين الشبكات الالسلكية .ومع ذلك، مشكلة خصوصية السلكي أن مفتاح التشفير ال يتغير أبدا أثناء الجلسة الواحدة وأثناء تبادل الحزم ،وهذا يجعل من السهل قرصنة البيانات. .2حامي الوصول للواي فاي ( – )WPAهذا المعيار يستخدم خصوصية السلكي ( )WEPولكنه يؤمن البيانات باستخدام خوارزمية تشفير أقوى بكثير تسمى بروتوكول تماسك المفتاح المؤقت ( .)TKIPيقوم TKIPبتغيير المفتاح لكل حزمة منفصلة ،مما يجعل األمر صعبا جدا على القراصنة. .3حامي الوصول للواي فاي – )WPA2( 2ويوجد معيار أيضا قرين له هو .IEEE 802.11iأصبح هذا المعيار أساسيا في الصناعة لتأمين الشبكات الالسلكية .و WPA2مع IEEE 802.11iكالهما يستخدمان طريقة التشفير إياس ()AES والتي تعتبر حاليا من أقوى بروتوكوالت التشفير. منذ عام 2006أي جهاز يحمل العالمة التجارية المعتمدة للواي فاي يكون بالتبعية به نسخة معتمدة من .WPA2على ذلك فإن الشبكات الالسلكية يجب أن تستخدم دائما معايير 802.11iو .WPA2المضادات األخرى تشمل نظام تأمين فيزيائي محسن والترقية والترقيع الدائم للنظم واألجهزة.
173
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خدمات الشبكة وخدمات التوجيه :يستخدم المجرمون السيبرانيون خدمات الشبكة الضعيفة للهجوم على الجهاز أو استخدام الجهاز كجزء من هجوم موسع .للتأكد من تأمين خدمات الشبكة ،يجب مراجعة الجهاز للبحث عن المنافذ المفتوحة باستخدام ماسح للمنافذ .ماسح المنافذ هو تطبيق يجس الجهاز للبحث عن المنافذ المفتوحة عن طريق ارسال رسالة لكل منفذ وينتظر الرد .والرد يكون هو المؤشر عن كيف يتم حاليا استخدام المنفذ .يستخدم القراصنة أيضا ماسح المنافذ لنفس الغرض .تأمين خدمات الشبكة يؤكد أن المنافذ الضرورية فقط هي المكشوفة والمتاحة. •
خدمة العنونة اآللية ( :)DHCPتعمل خدمة العنونة اآللية على خادم لتعيين عناوين انترنت IPوتعيين أيضا أنواع أخرى من التهيئة واإلعدادات بشكل آلي ألجهزة الشبكة .وبشكل فعلي ،فإن الجهاز يحصل على ورقة صالحية من خادم العنونة الستخدام الشبكة .يستطيع المهاجمين استهداف خوادم العنونة بهدف حجب الوصول لألجهزة على الشبكة .الشكل التالي يعطي قائمة التدقيق لخادم العنونة ()DHCP
•
نظام أسماء النطاقات( :)DNSهذا النظام يحول محدد المواقع الموحد ( )URLأو عنوان الموقع اإللكتروني ( )http://www.cisco.comإلى عنوان اإلنترنت IPالمقابل للموقع اإللكتروني .عندما يقوم المستخدمون بكتابة العنوان في شريط العنوان فهم يعتمدون على نظام أسماء النطاقات لتحويل ذلك العنوان إلى رقم معرف للموقع اإللكتروني المراد على اإلنترنت DNS .IPيشبه االتصال الهاتفي ،حيث يحفظ المستخدم أرقام الهاتف ألصدقائه بأسمائهم وعندما يرغب في االتصال فهو يبحث عن االسم في جهات االتصال ،وعند الضغط على "اتصال" يقوم الهاتف باستخدام الرقم لالتصال .يستطيع المهاجمون استهداف خوادم أسماء النطاقات بهدف منع الوصول لموارد الشبكة أو إعادة توجيه المرور الشبكي لمواقع إلكترونية مخادعة .في الشكل التالي توجد قائمة التدقيق لتأمين خوادم أسماء النطاق .قم بتشغيل خدمات مؤمنة ومصادقة قوية بين خوادم DNSالمختلفة لحمايتها من هذه الهجمات. 174
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
بروتوكول التراسل عبر اإلنترنت( :)ICMPتستخدم األجهزة بروتوكول التراسل إلرسال رسائل األخطاء مثل الطلب لخدمة غير متاحة أو كون المضيف ال يستطيع الوصول للموجه .أمر pingهو أداة شبكية تستخدم بروتوكول التراسل الختبار إمكانية التواصل بين األجهزة المضيفة على الشبكة .يقوم pingبإرسال رسائل ICMPللجهاز المضيف وينتظر الرد. يستطيع القراصنة تغيير استخدام بروتوكول التراسل ألغراض خبيثة منها الموجود في الشكل وهي oاالستكشاف oهجمة قطع الخدمة oعمل قناة اتصال سرية. تستخدم هجمة قطع الخدمة بروتوكول التراسل ،ولذلك فإن معظم الشبكات توقف بعض طلبات ICMPلمنع مثل هذه الهجمات.
175
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
إعداد :أسامة حسام الدين
بروتوكول معلومات التوجيه ريب ( :)RIPيقوم بروتوكول ريب بالحد من عدد القفزات المسموح بها في المسار الموجود على الشبكة والذي يبدأ من المصدر وينتهي عند الهدف .أقصى عدد للقفزات في بروتوكول ريب هو .15ريب هو بروتوكول توجيه يستخدم لتبادل المعلومات التوجيهية عن الشبكات التي يستطيع كل موجه الوصول إليها والمسافة للوصول لهذه الشبكات .يقوم ريب بحساب افضل مسار بناء ع لى عدد القفزات .يعرض الشكل التالي نقاط الضعف في ريب والدفاعات الممكنة ضد هجماته .يستطيع المهاجمون استهداف الموجهات وبروتوكول ريب .الهجمات على خدمات التوجيه تستطيع التأثير على األداء واإلتاحة .بعض الهجمات تستطيع أيضا التسبب في إعادة توجيه المرور الشبكي. است خدم خدمات مؤمنة بالمصادقة وتابع ترقيع النظم وترقيتها لحماية خدمات التوجيه مثل ريب.
•
بروتوكول وقت الشبكة ( :)NTPالحصول على الوقت الصحيح بداخل الشبكات هو أمر ضروري .أختام الوقت الصحيحة تتبع بشكل دقيق األحداث الشبكية مثل الخروقات األمنية .باإلضافة إلى ذلك ،تزامن الساعة هو مطلب حيوي للترجمة 176
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الصحيحة لألحداث بداخل ملف سجل األحداث للنظام ( )syslogوأيضا مهم لعمل الشهادات الرقمية .بروتوكول وقت الشبكة هو بروتوكول لتزامن ساعات نظم الحاسب على شبكات البيانات .يسمح البروتوكول ألجهزة الشبكة بتزامن إعدادات الوقت مع خادم .NTPيوضح الشكل التالي قائمة من الطرق المتنوعة المستخدمة لتأمين نظام دقات الساعة على الشبكة .يهاجم القراصنة خوادم الساعة لتعطيل االتصاالت اآلمنة والتي تعتمد على الشهادات الرقمية وإلخفاء معلومات الهجوم مثل تغيير أختام األوقات الصحيحة. 7.3.2معدات الصوت والفيديو عدة هاتف :VoIPنقل الصوت على بروتوكول اإلنترنت أو ما يسمى ( )VoIPيستخدم الشبكات مثل اإلنترنت لعمل واستقبال االتصاالت .والعتاد المطلوب لتحقيق VoIPهو وصلة اإلنترنت و عدة هاتف .ويوجد العديد من الخيارات لمجموعة الهاتف: •
عدة هاتف مركب فيها محول (المحول هو الموائم الفيزيائي بين الهاتف التناظري المعتاد والهاتف الرقمي) ،يحول اإلشارة من تناظرية إلى رقمية.
•
عدة هاتف بها خاصية .VoIP
•
تطبيق برمجي للصوت VoIPمثبت على الحاسب.
معظم عمالء خدمات VoIPيستخدمون اإلنترنت لعمل اتصاالتهم الهاتفية .العديد من الشركات ،مع ذلك تستخدم شبكتها الخاصة ألنها تعطي تأمين أقوى وجودة في الخدمة .تأمين VoIPيعتمد اعتماد كلي على تأمين الشبكة المثبت عليها. يستهدف القراصنة هذه النظم بهدف استغالل خدمات االتصال مجانا ،أو التصنت على اتصاالت الهاتف او التأثير على األداء واإلتاحة .قم بعمل المضادات اآلتية لتجنب الهجمات على خدمات :VoIP •
قم بتشفير حزم رسائل الصوت لتجنب التصنت على المكالمات.
•
استخدم بروتوكول SSHلحماية العبارات والمحوالت.
•
قم بتغيير كل كلمات المرور االفتراضية.
•
استخدم نظام كشف الدخالء الكتشاف الهجمات مثل هجمة تسمم .ARP
•
استخدم مصادق ة قوية للتخفيف من هجمة خداع التسجيل (وفيها يقوم المهاجم بتوجيه كل االتصاالت الخاصة بالضحية لنفسه) أو انتحال شخصية البروكسي (التالعب بالضحية ليتصل باستخدام بروكسي مخادع تم وضعه من قبل المهاجم) أو السيطرة على االتصاالت (يتم مقاطعة االتصال وإعادة توجيهه لمسار مختلف قبل الوصول للهدف).
•
قم باستخدام الجدران النارية التي تعرف VoIPلإلشراف على سيل البيانات وتصفية اإلشارات الغير طبيعية.
عندما تعطل الشبكة تعطل معها خدمة الصوت.
177
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الكاميرات :كاميرات اإلنترنت ترسل وتستقبل البيانات على الشبكة المحلية .ويتم توصيلها بكابل الشبكة مثلها مثل الطابعة الشبكية واألجهزة الشبكية األخرى .يستطيع المستخدم عرض الفيديو بالبث الحي عن بعد باستخدام متصفحات الويب على العديد من األجهزة مثل نظم الحاسب واألجهزة المحمولة واللوح الكفي والهواتف الذكية .تأتي الكاميرات في أشكال متنوعة ،من هذه األشكال كاميرات المراقبة الكالسيكية .والخيارات األخرى تشمل كاميرات اإلنترنت المخفية س ار في راديوهات الساعة والكتب ومشغالت دي في دي .تنقل كاميرات اإلنترنت الفيديو الرقمي عبر وصلة بيانات .يتم توصيل الكاميرات بشكل مباشر بالشبكة ويتم توفير كل اإلمكانيات التي تحتاجها لنقل الصور عبر الشبكة .يعرض الشكل التالي أفضل الممارسات لنظم الكاميرات.
معدات مؤتمرات الفيديو :مؤتمر الفيديو يسمح الثنان أو أكثر من المواقع الجغرافية االتصال بشكل متزامن باستخدام تقنية االتصال عن بعد .تستفيد هذه التقنيات من المعايير الحديثة للفيديو عالي الوضوح ( .)HDمنتجات شركة سيسكو مثل TelePresenseيمكن مجموعة من األشخاص في موقع واحد لعمل مؤتمر بالبث الحي مع مجموعة أخرى من األشخاص في مواقع مختلفة حول العالم .مؤتمرات الفيديو أصبحت جزءا من الحياة الطبيعية اليومية للعمليات الصناعية مثل المجال الطبي .فاألطباء يستطيعون الكشف على المرضى لمعرفة األعراض ثم استشارة الخبراء لتحديد العالجات المطلوبة .والعديد من الصيدليات المحلية تستعين بمساعدي األطباء الذين يمكن تواصلهم بشكل مباشر مع األطباء باستخدام تقنية مؤتمر الفيديو لتحديد ميعاد زيارة أو الرد على الطوارئ .العديد من المؤسسات التصنيعية تستخدم مؤتمر الفيديو لمساعدة المهندسين والفنيين ألداء عمليات معقدة أو بغرض عمليات الصيانة .معدات مؤتمر الفيديو غالية الثمن وتكون هدفا مرتفع القيمة بالنسبة للصوص 178
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
والقراصنة .اضغط هنا https://youtu.be/WlDkiwzzv3Mلعرض فيديو يشرح اإلمكانيات الجبارة لنظم مؤتمرات الفيديو. يستهدف القراصنة هذه النظم للتصنت على اتصاالت الفيديو أو التأثير على األداء والتوافر. حساسات شبكة إنترنت األشياء :من أسرع القطاعات في مجال تقنية المعلومات هو استخدام أجهزة الذكاء االصطناعي والحساسات .ومجال صناعة الحاسبات تسمي هذ القطاع باسم إنترنت األشياء ( .)IoTوفي مجال التجارة فإن العمالء يستخدمون أجهزة األشياء لميكنة العمليات أو مراقبة الظروف البيئية أو تنبيه المستخدم بالحاالت الهجومية .معظم أجهزة األشياء تتصل بالشبكة باست خدام تقنيات االتصال الالسلكي وتشمل الكاميرات وأقفال األبواب والحساسات المتجاورة واألضواء واألنواع األخرى من األجهزة التي تستخدم لجمع المعلومات عن البيئة المحيطة أو حالة جهاز .العديد من مصنعي األجهزة يستخدمون انترنت األشياء إلعالم المستخدمين بأن هناك أجزاء في الجهاز تحتاج إلى تغيير أو أن مكون من المكونات عاطب أو أن البطاريات قارب شحنها على االنتهاء .التجاريين يستخدمون هذه األجهزة لتتبع المخازن والمركبات والعمالة .أجهزة األشياء تحتوى على حساسات مكانية .يستطيع المستخدم تحديد الموقع العالمي أو اإلشراف أو التحكم في متغيرات البيئة مثل الح اررة والرطوبة واإلضاءة .تثير صناعة انترنت األشياء تحد كبير لمحترفي امن المعلومات ألن العديد من أجهزة األشياء تلتقط وتنقل البيانات الحساسة .يستهدف القراصنة هذه النظم بهدف االستيالء على البيانات أو التأثير على أداء أو توافر النظام.
7.4األمن الفيزيائي 7.4.1التحكم في الوصول الفيزيائي السياج والحواجز األمنية :أول ما يخطر بالبال عند الحديث عن األمن الفيزيائي هو الحواجز الفيزيائية .وهذه هي الطبقة الخارجية للحماية ،وهي أكثر الحلول األمنية التي يراها الجميع .نظام تأمين المحيط أو تأمين الحدود الخارجية عادة ما يشمل المكونات اآلتية: •
نظام سياج على محيط الشركة.
•
نظام البوابات األمنية
•
األوتاد ،وهي أعمدة قصيرة وسميكة تحمي من دخول السيارات الغريبة .كما بالشكل.
•
حواجز دخول السيارات.
•
غرف الحراسة.
السياج هو حاجز يحيط بالمناطق المحظورة ويعين حدود الملكية .كل الحواجز يجب أن تتبع متطلبات تصميم معينة ومواصفات تصنيعية محددة .المناطق شديدة الحظر تتطلب في العادة حراسة من نوع خاص مثل األسالك الشائكة أو األسالك الملتوية .عند تصميم أمن المحيط ،نظم السياج يجب أن تتبع القواعد التالية: •
ارتفاع 1متر ،يوقف فقط الشخص المتخطي العادي. 179
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
•
ارتفاع 2متر ،مرتفع جدا لتسلق الشخص العادي.
•
ارتفاع 2.5متر ،سيعطل المتخطي المحترف بعض الوقت.
•
الحراسات المشددة تزيد من ردع المتخطين وعرقلتهم عن طريق جرحهم باألسالك الشائكة أو الزجاج المكسور ،انظر الشكل ،على الرغم من ذلك ،يستخدم المهاجمون بطانية أو مرتبة لتجاوز هذا التهديد.
القوانين المحلية أحيانا تحدد نوع نظام السياج المستخدم من قبل المؤسسة .يحتاج السياج لصيانة منتظمة .يمكن للحيوانات أن تحفر األرض تحت السياج أو أن األرضية تحت السياج يتم تعريتها بالرياح أو األمطار مما يجعل السياج غير ثابت ويكون عرضه للتخطي السهل من قبل الدخالء .قم بمعاينة نظام السياج بشكل منتظم .ال تسمح بإيقاف المركبات بجوار السياج. فالمركبة المتوقفة بجوار السياج يمكن أن تساعد الدخيل في العبور من فوق السياج أو تحطيمه .أضغط هنا /http://www.chainlinkinfo.org/security-fencing-guidelinesلتوصيات إضافية حول السياج.
القياسات الحيوية :القياسات الحيوية تصف الطرق اآللية للتعرف على الفرد بناء على خصائصه الجسمية أو السلوكية .تشمل المصادقة بالقياسات الحيوية شكل الوجه أو مالمح الوجه الموحدة للشخص ،أو بصمة األصابع أو هندسة الوجه أو شكل القزحية أو الشبكية أو التوقيع أو الصوت .تقنيات القياسات الحيوية تعد أساس التأمين القوي لنظم التعرف والمصادقة لألشخاص .وقد زادت شهرة استخدام نظم القياسات الحيوية نظ ار للزيادة الكبيرة في عدد الخروقات األمنية وتزوير المعامالت. توفر القياسات الحيوية معامالت مالية سرية وخصوصية لبيانات الفرد .على سبيل المثال ،تستخدم شركة أبل تقنية بصمة األصابع مع األجهزة الذكية التي تصنعها .يستخدم مالك الجهاز بصمة اصبعه لفتح الجهاز والوصول للتطبيقات المختلفة مثل الخدمات المصرفية عبر النت وخدمات دفع األموال.
180
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
عند مقارنة نظم القياسات الحيوية يجب األخذ في االعتبار عوامل مهمة مثل الدقة والسرعة و معدل الخرج ومدى القبول لدى المستخدمين والتفرد في خصائص عضو القياس الحيوي والتفرد في فعل الشخص ،والمقاومة للتزوير واالعتمادية ومتطلبات التخزين والوقت الالزم لتسجيل المستخدمين ونسبة قبول الماسح للدخالء .العامل األقوى هنا هو الدقة .يتم التعبير عن الدقة باستخدام أنواع الخطأ ومعدل الخطأ. النوع األول من الخطأ يسمى (خطأ )1أو الرفض الخاطئ .خطأ 1يرفض المستخدم المسجل لدى النظام والمخول لدخول النظام ،ويسمى أيضا بخطأ (منع دخول األخيار) .في نظم التحكم بالدخول ،فإن الهدف األول هو منع المجرمين من الدخول، ولذلك فإن خطأ الرفض الخاطئ اقل أهمية .مع ذلك في الكثير من تطبيقات القياسات الحيوية ،فإن الرفض الخاطئ من الممكن أن يؤثر بشدة وبشكل سلبي على التجارة .على سبيل المثال ،إذا كان البنك أو محل التجزئة يريد مصادقة هوية الزبون ورصيده البنكي ،فإن الرفض الخاطئ يعني أن المعاملة ستضيع أو على األقل سترفض ،وسيغضب الزبون جدا .والعديد من الخدمات المصرفية وتجار التجزئة على استعداد لتقبل عدد قليل من الرفض الخاطئ طالما أن عدد مرات الرفض الخاطئ تكون دائما قليلة .معدل القبول يقاس بالنسبة المئوية وهو المعدل الذي يقبل فيه النظام الغرباء كأنهم أشخاص مخولون .القبول الخاطئ هو النوع الثاني من الخطأ (خطأ .)2يسمح خطأ 2بدخول األشرار (السماح بدخول األشرار) ولذلك يعتبر النوع الثاني من الخطأ أهم خطأ في نظم التحكم في الوصول اعتمادا على القياسات الحيوية .وأشهر الطرق المستخدمة على نطاق واسع لقياس دقة المصادقة للقياسات الحيوية يسمى معدل الخطأ المتقاطع ( )CERمبين بالشكل .ومعدل الخطأ المتقاطع هو المعدل الذي يتساوى فيه معدل الرفض الخاطئ مع معدل القبول الخاطئ.
181
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
الشارات وسجالت الدخول :شارة الدخول اإللكترونية تسمح للفرد بالدخول في المناطق التي لها نقطة دخول آلية .ونقاط الدخول يمكن أن تكون باب أو باب دوار او بوابة أو أي حاجز آخر .تستخدم شارات الدخول اإللكترونية تقنيات مختلفة مثل الشريط الممغنط أو الباركود أو القياسات الحيوية .قارئ البطاقات يق أر عدد مسجل على شارة الدخول .يرسل النظام الرقم إلى الحاسب الذي يعطي صالحيات الدخول بناء على المميزات المعطاة للمستخدم .ثم يقوم النظام بتسجيل مرات الدخول الستخدامها فيما بعد .تحدد التقارير من الذي دخل من نقطة معينة ،ومتى دخل. 7.4.2نظم المراقبة الحرس والموكب المرافق :كل النظم الفيزيائية للتحكم بالوصول والتي تشمل نظم المنع واالكتشاف تعتمد بشكل نهائي على تدخل العمالة إليقاف الهجوم الحقيقي أو إيقاف الدخالء .لتأمين المرافق في نظم المعلومات عالية السرية ،يتحكم الحرس في دخول األماكن المحظورة في الشركة .وميزة استخدام الحرس هي أنهم يستطيعون التكيف مع الحدث أكثر من النظم اآللية. يستطيع الحرس التعلم والتمييز بين الظروف والمواقف المختلفة وأخذ ق اررات فورية ونافذة .الحرس األمني هو الحل األمثل لنظم التحكم عندما يتطلب الموقف رد الفعل الفوري والمناسب .على الرغم من ذلك ،فالحرس ليسوا دائما الحل األمثل .فهناك العديد من العيوب الستخدام حرس االمن منها التكلفة العالية وعدم المقدرة على تسجيل المرور المزدحم للمعلومات .ويضيف استخدام الحرس األمني عيب األخطاء البشرية إلى خليط العيوب السابق. المراقبة اإللكترونية ومراقبة الفيديو :مراقبة الفيديو والمراقبة اإللكترونية تدعم ،وفي بعض األحيان ،تستبدل حرس األمن .وميزة المراقبة اإللكترونية هو المقدرة على مراقبة األماكن حتى إذا لم يوجد فيها حراس أو عمال ،وأيضا يميزها المقدرة على تسجيل وعمل سجل أحداث لفيديوهات المراقبة والملفات ،كل هذا يتم عملة لفترات طويلة .باإلضافة إلى المقدرة على دمج نظم اكتشاف الحركة والتنبيهات .المراقبة اإللكترونية تكون أكثر دقة في التقاط وتسجيل األحداث حتى بعد حدوثها .وميزة أخرى هامة هي أن مراقبة الفيديو تعطي زوايا مختلفة للنظر والتي من الصعب تحقيقها مع الحرس .ويمكن أيضا أن تكون عملية تأمين ومراقبة المحيط الكامل للشركة رخيصة جدا مقارنة بالحرس .وفي بيئات التأمين الهامة ،يجب أن تضع الشركة كاميرات المراقبة على كل المداخل والمخارج أماكن التحميل وآبار الساللم .في معظم األحيان ،مراقبة الفيديو اإللكترونية تعين الحرس البشري. المراقبة الالسلكية وتحديد الهوية بتردد الراديو ( :)RFIDإدارة وتحديد المواقع الفيزيائية ألصول نظام المعلومات هو تحد كبير بالنسبة لكثر من المؤسسات .النمو الكبير في عدد األجهزة المتنقلة وأجهزة األشياء جعل هذه الوظيفة أعقد وأعقد .الوقت الذي يستهلك في البحث عن عتاد هام يمكن أن يتسبب في التأخير أو في زيادة وقت التعطل .استخدام وسوم تحديد الهوية بتردد الراديو ( ) RFIDله أهمية وقيمة كبيرة للفريق األمني بالشركة .تستطيع الشركة وضع قارئي وسم RFIDفي براويز األبواب في المناطق المحظورة لكيال تظهر لألفراد.
182
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
يميز استخدام وسوم RFIDمع أجهزة وأشياء الشركة أنها تستطيع تتبع أي شيء يترك فيزيائيا المكان المؤمن .الوسوم الجديدة ألشياء الشركة يمكنها قراءة أكثر من وسم في نفس الوقت .نظام RFIDال يتطلب خط بصري لمسح الوسوم .وميزة أخرى لنظام RFIDهو المقدرة على قراءة الوسوم الغير مرئية .على عكس الباركود والوسوم الظاهرة للعيان التي يجب أن توجد فيزيائيا في المكان ويجب إظهارها ليسهل مسحها ،فإن وسوم RFIDال يجب أن تكون ظاهرة لمسحها .على سبيل المثال ،وسم جهاز الحاسب الموجود تحت المكتب بالباركود يتطلب أن يقوم العامل بالزحف تحت المكتب لتعيين مكان الوسم فيزيائيا وعرضه عند استخدام المسح اليدوي أو المسح بالباركود .استخدام وسوم RFIDيسمح للعمالة بمسح الوسم حتى بدون رؤيته.
ملخص الفصل السابع ناقش هذا الفصل التقنيات والعمليات واإلجراءات التي يستخدمها محترف األمن السيبراني في حماية النظام واألجهزة والبيانات التي تكون البنية التحتية للشبكة .تقوية المضيف يشمل تأمين نظام التشغيل وتثبيت مكافح للفيروسات واستخدام حلول للمضيف مثل الجدار الناري للمضيف ونظام اكتشاف الدخالء للمضيف. تقوية الخادم تشمل إدارة الوصول عن بعد وتأمين الحسابات المميزة ومراقبة الخدمات .حماية البيانات تشمل نظم التحكم في الوصول للملفات وبناء تدابير أمنية للتأكيد على سرية وتماسك وتوافر البيانات. تقوية األجهزة تشمل بناء طرق معتمدة للتأمين الفيزيائي ألجهز الشبكة .حماية النطاق السيبراني الخاص بك هو عملية متتابعة ومستمرة لحماية البنية التحتية للشبكة ويتطلب اليقظة الدائمة عند مراقبة التهديدات.
183
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
المصطلحات المستخدمة المصطلح اإلنجليزي
المعنى العربي
Cryptanalysis
علم تحليل الشفرات
Cryptography
علم التشفير
Cipher
شيفرة
Access Control
التحكم في الوصول
Accountability
المسائلة
Identification
التعرف على الهوية
Authorization
التفويض
Authentication
المصادقة
Steganography
االستخفاء
Obfuscation
التشويش
plaintext
النص الصريح
Ciphertext
النص المشفر
Public Domain
المجال العام
Approach
منهاج
مالحظات
برنامج بعدة تعليمات برمجية يخص التشفير
اخترت كلمة استخفاء النها تحتوي على نطق بداية استيجانوجرافي
184
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
Computational Power
الطاقة الحاسوبية
Block cipher
شيفرة الكتل
Stream Cipher
شيفرة التدفق
Data Encryption Standard )(DES
Advanced Encryption )Standard (EAS
معيار تشفير البيانات (دياس) معيار التشفير المتقدم (إياس)
RSA
ريشاد
Unique Identifier
المعرف الفريد
Biometric
مقياس حيوي
Role-based Access Control )(RBAC Mandatory Access Control )(MAC Discretionary Access Control )(DAC
Rule-Based Access Control
التحكم بالوصول بناء على األدوار (أرباك) التحكم اإللزامي في الوصول (ماك) التحكم التقديري في الوصول (داك) نظم التحكم في الوصول بناء على القواعد (قرباك)
Identification
التعريف بالهوية
Verification
التحقق
Privilages
إمتيازات
Mantrap
الشرك
stego-image
صورة-اإلخفاء 185
اليتم االختصار ل ،RBAC وتم استخدام أول حرف في كلمة قواعد
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
shuffling
اللخبطة
Obscuring Signs
إشارات غامضة
Watermarking
الوسم بالماء
HMAC
شيفرة مصادقة الرسالة بالهاش ذا المفتاح ، إتشماك
Integrity
التماسك
Message Digest
ملخص الرسالة
Checksum
التدقيق بالمجموع
SHA
شا
MD5
مد5
man-in-the-middle
الرجل الوسيط
brute-force
الغاشم
Salting
التمليح
Lookup table
جدول بحثي
PRNG
صانع األرقام العشوائية
CSPRNG
صانع األرقام العشوائية والسرية تشفيريا
PKI
)بيكاي " (PKIالبينة التحتية للمفتاح العام"
CA
سلطة اإلصدار
Integer
عدد صحيح
digit
عدد
number
رقم
Consistent
متناسق
Text
نص
String
نصيص (تصغير نص)
186
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
Outlier
متطرف
Redundancy
الزيادة
Resiliance
الرجوعية
high availablity
التوافر الدائم
Mitigation
التلطيف
Outsourcing
التعهيد
RAID
مجموعة متكررة من األقراص المستقلة
)Spanning Tree Protocol(STP
بروتوكول الشجرة الممتدة
Latency
وقت االستجابة
HSRP
بروتوكول الموجه على أهبة االستعداد
VRRP
بروتوكول الزيادة للموجه الوهمي
GLBP
بروتوكول عبارة موازنة األحمال
Gateway
العبارة
switchover
االنقالب
IOS
نظام التشغيل البيني
Startup
بدء التشغيل
Bootset
مجموعة التمهيد
Alert
التنبية
Notification
اإلشعار
Service Pack
حزمة الخدمة
Patch
الرقع
Updates
التحديثات
baseline
خط األساس
Device Hardening
تقوية األجهزة 187
أساسيات األمن السيبراني ()Cybersecurity Essentials
Host-based WEP WPA
إعداد :أسامة حسام الدين
للمضيف خصوصية مكافئ السلكي (خصوصية السلكي) حامي الوصول للواي فاي (حامي الواي فاي)
third party
طرف ثالث
image file
ملف صوري
measures
تدابير
scripts
المخطوطات البرمجية
الدليل النشط
Active Directory
نوافذ الخادم
Windows Server
TKIP
بروتوكول تماسك المفتاح المؤقت
RFID
تحديد الهوية بتردد الراديو
188
إعداد :أسامة حسام الدين
أساسيات األمن السيبراني ()Cybersecurity Essentials
خاتمة رجاء التواصل معي عبر البريد اإللكتروني [email protected]في حالة وجود أي مالحظات أو تعليقات تخص المادة العلمية لتحسينها في اإلصدارات القادمة.
تحياتي أسامة حسام الدين
189
Related Documents
Case Digest
February 2021 0
Administrative Law Case Digest
February 2021 0
Bank Secrecy Case Digest
February 2021 1
Ltd Case Digest
January 2021 1
Statcon Case Digest
January 2021 0
Kukan International - Case Digest
March 2021 0More Documents from "anailabuca"
Case Digest
February 2021 0
Chapter_24.pdf
February 2021 0
Agriculture Problems In Pakistan And Their Solutions
January 2021 0
The Principles Of Mathematics 1000097701
March 2021 0