الفصل السادس : Explain common threat vectors
and attack surfaces
الجزء الأول : #1
شرح مسارات التهديد الشائعة وأساليب الهجوم (Explain common threat vectors
and attack surfaces):
يغطي هذا الفصل الهدف الثاني من (مجال 2.0 تهديدات، ثغرات، وتقنيات التخفيف ) في امتحان Security ، Plus ، وفي هذا الفصل، سنتناول مسارات التهديد الشائعة التي نواجهها في حياتنا اليومية وكيفية تأمين أسطح الهجوم المقابلة ضمن شبكاتنا ضد هذه التهديدات، وسيتضمن ذلك استكشاف الشبكات غير الآمنة، سواء كانت سلكية أو لاسلكية، الثغرات في نقاط مثل منافذ الخدمات، بيانات الاعتماد الافتراضية، وسلسلة التوريد، بالإضافة إلى الهجمات الناشئة من مسارات بشرية مثل التصيد الإلكتروني (phishing)، والانتحال، المعلومات الخاطئة، والهندسة الاجتماعية.
سيقدم لك هذا الفصل نظرة عامة حول سبب اعتماد الشركات على هذه العمليات للحفاظ على أمان بيئتها، وسيضمن استعدادك للإجابة بنجاح على جميع أسئلة الامتحان المتعلقة بهذه المفاهيم للحصول على شهادتك.
المسارات المعتمدة على الرسائل (Message-Based):
تشمل المسارات المعتمدة على الرسائل مجموعة واسعة من أساليب الهجوم، وبدءًا من التصيد الإلكتروني عبر البريد الإلكتروني وصولاً إلى عمليات الاحتيال عبر الرسائل النصية وحتى الرسائل على وسائل التواصل الاجتماعي، وما يميزها هو استخدامها لمنصات تواصل تبدو غير ضارة كوسائل لنقل برمجيات خبيثة، ويستغل المهاجمون الثقة التي نضعها في هذه الوسائل لاستغلال دفاعاتنا.
تشمل هذه المسارات ما يلي:
- البريد الإلكتروني (Email): يعد هذا الأداة الأساسية في التواصل الحديث ولكنه يخفي مجموعة من التهديدات السيبرانية، وعلى الرغم من مظهره كوسيلة تواصل غير ضارة، إلا أن رسائل البريد الإلكتروني التي تستخدم في التصيد تقدم نفسها على أنها مراسلات مشروعة بينما تخفي نوايا خبيثة. تقوم هذه الرسائل بخداع المستخدمين لفتح البريد الإلكتروني أو النقر على روابط ضارة، مما يؤدي بشكل غير مقصود إلى فتح الباب أمام اختراق البيانات، حقن البرمجيات الخبيثة، والأضرار المالية.
- الرسائل القصيرة (SMS): مع تزايد اعتمادنا على الأجهزة المحمولة، تظهر الثغرات في الرسائل القصيرة كتهديد بارز، وعلى الرغم من أن الرسائل القصيرة قد تبدو غير مؤذية، إلا أن دورها في نقل المعلومات الحساسة وأكواد المصادقة يجعلها هدفاً رئيسياً للمهاجمين، ويستخدم التصيد عبر الرسائل النصية (smishing) الرسائل النصية لخداع المستخدمين للكشف عن معلومات شخصية أو تحميل مرفقات ضارة. الرسالة القصيرة التي تبدو غير ضارة والتي تصل إلى هاتفك قد تكون مفتاحاً للاختراق.
- الرسائل الفورية (IM): غالباً ما تتمتع مسارات الهجوم عبر الرسائل الفورية بمستوى أعلى من الأمان مقارنة بالرسائل القصيرة التقليدية، وذلك بفضل الانتشار الواسع للتشفير من النهاية إلى النهاية في العديد من منصات الرسائل الفورية الشهيرة. تتنوع الثغرات في الرسائل الفورية بين توزيع مرفقات مليئة بالبرمجيات الخبيثة والرسائل المصممة بخداع اجتماعي والتي تدفع المستخدمين للنقر على روابط ضارة.
المبنية على الصور (Image-Based):
يمكن أن تحمل الصور أكثر مما تراه العين. يستغل المهاجمون الثغرات المبنية على الصور لدمج الشيفرات الضارة أو الروابط فيها، وهذه الصور التي تبدو غير ضارة قد تؤدي إلى الوصول غير المصرح به، هجمات الفدية (ransomware)، وتعريض الأنظمة للخطر، والحماية ضد الهجمات المبنية على الصور تتطلب أدوات تحليل متقدمة للكشف عن الشيفرات أو البرمجيات الخبيثة المخفية، مما يضمن بقاء بيئتك الرقمية محصنة ضد التلاعب البصري.
المبنية على الملفات (File-Based):
يمكن أن تنقل الملفات، وهي وسائطنا الرقمية، التهديدات دون قصد، وتستغل الملفات الضارة ثغرات البرمجيات، وتطلق هجمات إلكترونية عند فتحها، وتقوم هذه الملفات بتنفيذ شيفرات ضارة، مما يتيح للقراصنة اختراق الأنظمة، وسرقة البيانات، أو السيطرة عن بُعد، ويمكننا الدفاع ضد الهجمات المبنية على الملفات من خلال تنفيذ إجراءات فحص صارمة للملفات وحظر المرفقات لصد التهديدات قبل أن تتمكن من اختراق شبكة الشركة.
مكالمات الصوت (Voice Call):
تعتبر المكالمات الصوتية، وهي وسيلة أساسية للتواصل، عرضة لمجموعة من الثغرات، ويمكن للمهاجمين التلاعب بالمكالمات الصوتية لخداع المستخدمين لكشف معلومات شخصية، والحصول على وصول غير مصرح به، أو تنفيذ احتيال مالي، ومثال على ذلك هو التلاعب في تعريف المتصل، حيث يقوم المهاجم بتغيير مصدر المكالمة لتبدو وكأن شخصًا آخر يتصل بك. وهذا يسمح للأعداء الإلكترونيين بالتلاعب بالثقة وخلق محادثات خادعة. مثال آخر هو الـ "vishing"، وحيث يُخدع الشخص ليعتقد أنه يتحدث إلى جهة شرعية ثم يتم إقناعه بالكشف عن معلومات حساسة عبر الهاتف. يمكن لهؤلاء المهاجمين أيضًا ترك رسالة صوتية.
الأجهزة القابلة للإزالة (Removable Device):
توفر الأجهزة القابلة للإزالة، من محركات "USB" إلى الأقراص الصلبة الخارجية، وسيلة مريحة لنقل البيانات، ومع ذلك، يمكن أن تكون هذه الأجهزة التي تبدو غير ضارة وسيلة لنقل البرمجيات الخبيثة، وعندما يتم إدخالها في شبكة أو نظام، يمكن للأجهزة القابلة للإزالة المصابة أن تنشر البرمجيات الخبيثة، وتعرض الأمان للخطر، وتتيح الوصول غير المصرح به.
في مثال على هذا النوع من الهجوم، يمكن إسقاط محرك "USB" ضار في منطقة الاستقبال حيث يمكن العثور عليه بسهولة، وعندما يقوم الشخص الذي يجده بتوصيله إلى جهاز الكمبيوتر الخاص به لمحاولة معرفة مالكه، يقوم دون علم بتفعيل ملف يحتوي على شيفرة خبيثة، وبمجرد تفعيل هذه الشيفرة، تمنح المهاجم السيطرة على جهاز الكمبيوتر الخاص بالضحية. يجب تسليم أي ملفات "USB" تم العثور عليها إلى فريق الأمان، الذي سيفتحها في بيئة آمنة (sandbox)، مما يمنع تنفيذ أي شيفرة خبيثة على الشبكة.
البرمجيات الضعيفة (Vulnerable Software):
تشير البرمجيات الضعيفة إلى البرامج أو التطبيقات التي تحتوي على نقاط ضعف أو عيوب يمكن استغلالها من قبل المهاجمين للحصول على وصول غير مصرح به، أو التأثير على البيانات، أو تعطيل وظائف النظام، وتنشأ هذه الثغرات عادةً من أخطاء في الترميز، أو عيوب في التصميم، أو مكونات قديمة ضمن البرمجيات، مما يجعلها عرضة لمجموعة متنوعة من التهديدات الإلكترونية مثل الفيروسات، والبرمجيات الخبيثة، والهجمات الإلكترونية.
لتقليل المخاطر المرتبطة بالبرمجيات الضعيفة، من الضروري تنفيذ تحديثات أمان دورية، وإدارة التصحيحات، والالتزام بأفضل ممارسات الترميز، وعدم معالجة هذه الثغرات يمكن أن يؤدي إلى عواقب وخيمة، بما في ذلك اختراقات للبيانات، والخسائر المالية، والأضرار بالسمعة بالنسبة للمنظمات والأفراد على حد سواء، ولذلك، يعد تحديد ومعالجة البرمجيات الضعيفة أمرًا حيويًا للحفاظ على نظام رقمي آمن ومرن.
عند النظر إلى فحص البرمجيات الضعيفة، أحد الجوانب الأساسية هو تحديد وتقييم البرمجيات الضعيفة، وتتضمن هذه العملية فحص الأنظمة لاكتشاف الثغرات المحتملة التي قد يستغلها المهاجمون، وفي هذا الصدد، عادةً ما يكون لدى المنظمات طريقتان أساسيتان للاختيار من بينها: الفحص المعتمد على العملاء والفحص بدون عملاء، وكل طريقة توفر مزايا وطرق تشغيل مختلفة، وهو أمر ضروري لفهمه لإدارة الثغرات بفعالية. الفروقات الرئيسية بين هذين النوعين من الفحص موضحة أدناه:
- الفحص المعتمد على العملاء (Client-based scanning): يعمل الفحص المعتمد على العملاء (حيث يقيم عميل على كل جهاز) كأداة لأتمتة اكتشاف وتصنيف الثغرات، وإبلاغها بكفاءة إلى خادم إدارة مركزي.
- الفحص بدون عملاء (Agentless scanning): من ناحية أخرى، يُفضل المهاجمون خلال عملية الاستطلاع استخدام الفحص بدون عملاء، حيث يتم الفحص بدون الحاجة إلى أي تثبيتات، ومن أمثلة الفحص بدون عملاء هي "NMAP" و "WIRESHARK".
الأنظمة والتطبيقات غير المدعومة (Unsupported Systems and Applications):
الثغرات في الأنظمة والتطبيقات غير المدعومة، بما في ذلك البرمجيات القديمة والبرمجيات من الأطراف الثالثة، تُعتبر أهدافًا رئيسية للمهاجمين، والمخاطر المرتبطة بهذه المكونات البرمجية القديمة تشكل بيئة خصبة للتهديدات الإلكترونية المحتملة، والمهاجمون ماهرون في استغلال الثغرات المعروفة التي لم يتم تطبيق التصحيحات أو التحديثات عليها، ومن خلال استهداف هذه الفجوات البرمجية، يمكن للمهاجمين الحصول على وصول غير مصرح به، أو سرقة بيانات حساسة، أو شن هجمات واسعة النطاق مثل هجمات "ransomeware".
الشبكات غير المؤمنة (Unsecure Networks):
الشبكات غير المؤمنة تكون عرضة للخطر لأنها تسمح للمستخدمين غير المصرح لهم بالاتصال بها، وفي الوقت الحاضر، نستخدم تقنيات شبكية متنوعة، بما في ذلك الاتصالات اللاسلكية والسلكية وتقنية "Bluetooth"، والتي يمكن أن تعمل كبوابات محتملة للتهديدات التي تعرض بياناتنا وخصوصيتنا للخطر. وفيما يلي توضيح لهذه الأنواع:
- الشبكات اللاسلكية (Wireless networks): شبكة لاسلكية تستخدم نظام مصادقة مفتوح تفتقر إلى التشفير، وهذا يعني أن أي بيانات يتم تبادلها بين جهاز الضيف وشبكة الفندق، على سبيل المثال، تُرسل كنص غير مشفر يمكن للمجرمين الإلكترونيين اعتراضه باستخدام الأدوات المناسبة للتنصت على هذه البيانات، مما يمكنهم من الوصول إلى معلومات حساسة مثل بيانات الدخول والرسائل الشخصية والتفاصيل المالية، وتشمل استراتيجيات حماية الشبكات اللاسلكية استخدام التشفير وتعطيل بث معرّف مجموعة الخدمة (SSID)، والذي يعمل كاسم الشبكة، ومن خلال تعطيل هذا البث، يخفي مدراء الشبكة وجود الشبكة، مما يجعلها أقل وضوحًا للمهاجمين العاديين، وهناك خيار آخر هو تصفية "MAC"، التي تؤمن الشبكة من خلال التأكد من إضافة عنوان MAC للمستخدمين المعتمدين فقط إلى نقطة الوصول اللاسلكية.
- Bluetooth: شبكة المنطقة الشخصية (PAN) هي شبكة "Bluetooth"، ومن ميزات Bluetooth، مثل الاقتران السهل، يمكن أن تفتح الباب للثغرات الأمنية، وبينما تم تصميمها لتبسيط توصيل الأجهزة، يمكنها أيضًا السماح بالوصول غير المصرح به عن غير قصد عند تركها دون مراقبة، ويمكن للمهاجمين المجهزين بأدوات متخصصة استغلال عملية الاقتران السهلة، مما يمكنهم من اختراق الأجهزة والتأثير على البيانات الحساسة، وللتخفيف من هذه المخاطر، يجب على المستخدمين تبني نهج استباقي بتفعيل "Bluetooth" فقط عند الحاجة الفعلية لتقليل نافذة الضعف. هذه الخطوة البسيطة تمنع الأجهزة من بث وجودها باستمرار وتحد من الفرص المتاحة للمهاجمين لاستغلال الاقتران السهل. بالإضافة إلى ذلك، يجب على المستخدمين تحديث أجهزتهم بانتظام بأحدث التصحيحات الأمنية لإغلاق أي ثغرات محتملة.
منافذ الخدمة المفتوحة (Open Service Ports):
منافذ الخدمة المفتوحة وغير المؤمنة تشبه الأبواب غير المغلقة للمجرمين الإلكترونيين. توفر هذه المنافذ نقاط دخول إلى الأنظمة والتطبيقات المتصلة بالشبكات. يقوم المهاجمون بمسح هذه الفتحات واستغلالها للوصول غير المصرح به أو لتنفيذ تعليمات برمجية خبيثة. لذلك، يُعد فحص المنافذ بانتظام وإغلاق المنافذ غير الضرورية خطوات حيوية لتقليل سطح الهجوم.
بيانات الاعتماد الافتراضية (Default Credentials):
بيانات الاعتماد الافتراضية (التي يتم تعيينها غالبًا من قبل الشركات المصنعة لتسهيل التثبيت) تعتبر نقطة ضعف واضحة. يستغل المهاجمون أسماء المستخدمين وكلمات المرور الافتراضية للوصول غير المصرح به إلى الأنظمة والتطبيقات، وهذه البيانات الافتراضية منشورة على العديد من المواقع الإلكترونية.
سلسلة التوريد (Supply Chain):
تشير سلسلة التوريد (Supply Chain) إلى تحويل المواد الخام إلى منتجات نهائية وجعلها متاحة للمستهلكين، تتألف سلسلة التوريد من الموردين، والمصنعين، والموزعين، وتجار التجزئة، مما يضمن انتقال المنتجات بسلاسة من الإنتاج إلى الاستهلاك، وتشارك الشركات في هذه العملية من خلال إدارة المشتريات، وفي إدارة المشتريات، يكون من المفيد تصنيف الأنواع المختلفة من الاتصالات. وفيما يلي مقارنة بين الأطراف المختلفة في إدارة سلسلة التوريد:
- Managed service providers (MSPs): هو منظمة طرف ثالث تلبي جميع احتياجات تقنية المعلومات الخاصة بالشركة، ويمكن أن يؤدي أي اختراق في بنية "MSP" التحتية إلى تأثيرات متتالية على عدة عملاء، ولتقليل هذا الخطر، يجب على الشركات المطالبة بمعايير أمان صارمة من MSPs، وبما في ذلك إجراء عمليات تدقيق منتظمة، وضوابط وصول قوية، والالتزام بتحديث أي ثغرات أمنية بسرعة.
- الموردون (Vendors): الموردون، وغالبًا ما يُشار إليهم بالأطراف الثالثة الذين يقدمون السلع أو الخدمات، هم جزء أساسي من العملية ولكن يمكنهم أيضًا تقديم مخاطر، ولذلك، من المهم فحص ممارسات الأمان الخاصة بالموردين كجزء من استراتيجية شاملة لإدارة مخاطر سلسلة التوريد.
تمتد ثغرات سلسلة التوريد إلى أصول المنتجات والمكونات، ويدرك المجرمون الإلكترونيون أن استهداف مورد بإجراءات أمان ضعيفة يمكن أن يوفر نقطة دخول إلى شبكات أكبر، ولذلك يجب على الشركات القيام بالعناية الواجبة عند اختيار ومراقبة الموردين، والتأكد من التزامهم بممارسات أمان قوية، ويمكن أن يساعد وضع توقعات أمان واضحة ضمن عقود الموردين وتعزيز الوعي الأمني داخل سلسلة التوريد بأكملها في إحباط الهجمات المحتملة.
الأساليب البشرية والهندسة الاجتماعية (Human Vectors/Social Engineering):
في مجال الأساليب البشرية والهندسة الاجتماعية، يستغل المهاجمون نقاط الضعف في النفس البشرية لاختراق الدفاعات الرقمية. يمكن وصف هذا بأنه "اختراق البشر"، حيث يحاول المهاجم إيقاع الضحية في الفخ من خلال التلاعب بالاحتياجات المتعلقة بالمال أو الأمان أو التظاهر بأنه شخص أو شركة يثق بها الضحية للحصول على الوصول غير المصرح به أو المعلومات ،فيما يلي قائمة بالأساليب التي يستخدمها المجرمون الإلكترونيون للتلاعب والخداع، واستعراض الاستراتيجيات التي يمكننا اعتمادها للتغلب على هذه التلاعبات النفسية:
- Phishing: التصيد هو هجوم غير مستهدف يعتمد بشكل كبير على الخداع. يستخدم المهاجمون رسائل بريد إلكتروني أو رسائل أو مواقع ويب تبدو حقيقية لجذب الضحايا للكشف عن بيانات شخصية أو كلمات مرور أو تفاصيل مالية. يستغل المهاجمون الفضول البشري والإلحاح والثقة، مما يؤدي بالضحايا في كثير من الأحيان إلى النقر على روابط ضارة أو تقديم معلومات سرية دون قصد.
- Smishing: هو امتداد للتصيد الإلكتروني إلى الرسائل النصية، حيث يتم خداع الضحايا للنقر على روابط ضارة في الرسائل النصية، والتي قد تؤدي إلى تحميل برامج ضارة على أجهزتهم.
- Misinformation/Disinformation: يشير إلى نشر معلومات زائفة أو مضللة عن قصد أو بدون قصد. يمكن للمعلومات الخاطئة أن تؤثر على الرأي العام وتسبب الفوضى، خاصة في أوقات الأزمات.
- Impersonation: يتظاهر المهاجم بهوية مزيفة مثل عضو في الشرطة أو فريق الدعم الفني لكسب الثقة.
- Business email compromise: يتورط المهاجم في حساب بريد إلكتروني شرعي للشركة لتنفيذ عمليات احتيال مالية، مثل تغيير تفاصيل الدفع في فواتير حقيقية.
- Pretexting: يعتمد هذا الأسلوب على اختلاق سيناريو للحصول على معلومات من الضحية، مثل الادعاء بأنه دعم فني يحتاج إلى بيانات حساسة لحل مشكلة ما.
- Watering hole attacks: هي هجمات يقوم فيها المهاجمون بزرع تعليمات برمجية ضارة في مواقع ويب موثوقة لتصيب أجهزة الزوار بالبرامج الضارة.
- Brand impersonation: يقوم المهاجمون بتقليد علامات تجارية موثوقة لخداع المستخدمين غير المشتبهين للكشف عن معلومات حساسة أو التفاعل مع مواقع احتيالية.
- Typosquatting: يستغل هذا الأسلوب أخطاء الطباعة حيث يسجل المهاجمون نطاقات تشبه النطاقات الحقيقية مع تغييرات طفيفة مثل أخطاء في التهجئة أو نقص في الرموز، ويأملون أن يرتكب المستخدمون هذه الأخطاء عن غير قصد.
الملخص (SUMMARY):
تناول هذا الفصل الشرح لكيفية التصدي لأساليب الهجوم الشائعة والأسطح المستهدفة، بدءًا من الأساليب المستندة إلى الرسائل وحتى المكالمات الصوتية، كما استعرضنا الأنواع المختلفة من الشبكات غير المؤمنة وتهديدات سلسلة التوريد، بما في ذلك هجمات الهندسة الاجتماعية مثل التصيد وانتحال العلامات التجارية.
النهاية:
وهكذا أكون قد أنتهيت من الفصل السادس ، أتمنى أن يكون نال أعجابكم وكان بسيط ومناسب ، تستطيع الأنضمام إلينا وتشاركنا برأيك في مجتمعنا من خلال الرابط التالي.
