الفصل التاسع من شهاده Security Plus 701 بعنوان: Explain the purpose of mitigation techniques used to secure the enterprise الجزء ألاول : #1

Safely LocK
0

 الفصل التاسع: Explain the purpose of mitigation techniques used to secure the enterprise


الجزء الأول : #1



 شرح الغرض من تقنيات التخفيف المستخدمة لتأمين المؤسسة (Explain the purpose of mitigation techniques used to secure the enterprise):



يغطي هذا الفصل الهدف الخامس من مجال الثاني، التهديدات، الثغرات، وتقنيات التخفيف، في امتحان CompTIA Security Plus ، في هذا الفصل، سنستعرض الغرض من عدة تقنيات تخفيفية تستخدم لتأمين المؤسسة، بما في ذلك segmentation، monitoring، و encryption ، وستتناول الأقسام الأخيرة إيقاف تشغيل الأنظمة وتقنيات تعزيز الأمان التي يمكننا استخدامها لمنع الثغرات ، وسيوفر لك هذا الفصل نظرة عامة حول سبب اعتماد الشركات على هذه العمليات للحفاظ على أمان بيئاتها وضمان استعدادك للإجابة بنجاح على جميع أسئلة الامتحان المتعلقة بهذه المفاهيم للحصول على شهادتك.


ملاحظة:

 سيتم تقديم شرح كامل الخاص بالفصل التاسع 



 التقسيم (Segmentation):


يُستخدم التقسيم داخل بنية الشبكة في المؤسسة، ويهدف إلى تجزئة الشبكة إلى أجزاء معزولة لمنع الحركة الجانبية للمهاجمين المحتملين. من خلال القيام بذلك، يقلل التقسيم من تأثير الاختراق، مما يمنع المتسللين من التحرك بحرية عبر الشبكة. يضمن التقسيم أنه حتى إذا تم اختراق طبقة واحدة، فإن المتسلل يبقى محصورًا في منطقة معينة، غير قادر على الوصول إلى الأصول الحيوية أو التعمق في الشبكة. القائمة التالية تشرح كل نوع رئيسي من التقسيم:


  • التقسيم المادي (Physical segmentation): هذه الطريقة تفصل الشبكة إلى أجزاء أصغر باستخدام أجهزة مثل الموجهات (routers)، المحولات (switches)، والجدران النارية (firewalls)، يشبه ذلك بناء غرف مختلفة داخل قلعة، لكل منها نظام تحكم في الوصول، ويعتبر التقسيم المادي مثاليًا للمؤسسات الكبيرة ذات الاحتياجات الشبكية المتنوعة، حيث يسمح بعزل البيانات الحساسة والأنظمة الحيوية.


  • الشبكات المحلية الافتراضية (VLANs): تقوم VLANs بإنشاء تقسيمات منطقية للشبكة داخل محول واحد. تُستخدم VLANs عادةً لتجميع الأجهزة بناءً على الوظيفة أو القسم، مما يقلل من حركة البث (broadcast) ويعزز كفاءة الشبكة.


  • التقسيم إلى شبكات فرعية (Subnetting): يُقسِّم تقسيم الشبكات الفرعية الشبكة إلى شبكات فرعية أصغر، كل منها يحتوي على قناع شبكة فرعية (subnet mask)، يُبسط هذا النوع من التقسيم إدارة الشبكة والأمان من خلال تجميع الأجهزة ذات الأغراض أو المتطلبات الأمنية المتشابهة. يضمن ذلك الاستخدام الفعال لعناوين IP ويحسن أداء الشبكة.


  • التقسيم الدقيق (Micro-segmentation): يأخذ التقسيم الدقيق عملية التقسيم إلى مستوى أكثر تفصيلًا، حيث يطبق سياسات الأمان على الأعمال أو الأجهزة الفردية، ويعتبر التقسيم الدقيق ضروريًا في بيئات السحابة ومراكز البيانات، حيث يوفر تحكمًا دقيقًا في تدفقات البيانات ويمنع الحركة الجانبية للتهديدات السيبرانية. يشبه ذلك وجود خزائن فردية لكل قطعة كنز.


دعونا نلقي نظرة على بعض الأسباب التي تدعو لاستخدام التقسيم:


  • تعزيز الأمان: يجعل التقسيم من الصعب على المهاجمين الوصول إلى البيانات الحساسة أو الأنظمة الحيوية، وإذا تعرضت شبكتنا لهجوم برمجي خبيث، فإن استخدام التقسيم سيحد من عدد أجهزة الكمبيوتر المتأثرة.


  • التحكم في الوصول: من خلال تقسيم الشبكات، يمكن للمؤسسات تنفيذ ضوابط الوصول بشكل أكثر فعالية. يضمن ذلك أن المستخدمين أو الأجهزة المصرح لهم فقط يمكنهم الوصول إلى موارد معينة، مما يقلل من مساحة الهجوم.


  • متطلبات الامتثال: العديد من الصناعات لديها لوائح ومعايير امتثال، مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) الذي يتعلق بالدفع ببطاقات الائتمان في بيئة آمنة. هناك أيضًا لوائح أخرى مهمة مثل قانون قابلية نقل وتأمين التأمين الصحي (HIPAA) الذي يتعلق بسرية وسلامة وتوافر المعلومات الصحية المحمية (PHI)، ويحمي هذا القانون حقوق الأفراد في معلوماتهم الصحية ويسهل تبادل البيانات الصحية بشكل آمن. نحتاج إلى تقسيم الأنظمة التي تحتوي على هذه البيانات لضمان الامتثال.


  • تحسين الأداء: يمكن أن يؤدي التقسيم إلى تحسين أداء الشبكة من خلال تقليل نطاقات البث (broadcast domains) والازدحام. يضمن ذلك استخدام موارد الشبكة بكفاءة، مما يعزز تجربة المستخدم بشكل عام.


  • عزل الأنظمة الحيوية: غالبًا ما تمتلك المؤسسات أنظمة حيوية تحتاج إلى طبقة إضافية من الحماية. يقوم التقسيم بعزل هذه الأنظمة، مما يحميها من التهديدات المحتملة.


  • القابلية للتوسع والمرونة: مع نمو المؤسسات، تتغير احتياجات الشبكة الخاصة بها. يوفر التقسيم القابلية للتوسع والمرونة، مما يسمح لها بالتكيف مع الاحتياجات المتطورة دون المساس بالأمان.


في أمان الشبكات، لا يُعتبر التقسيم مجرد استراتيجية؛ بل هو ضرورة، وإذا تم استهداف نظام غير مقسم بواسطة فيروس سريع الانتشار، فلن يستغرق الأمر وقتًا طويلًا حتى تتأثر المؤسسة بأكملها. ومع ذلك، إذا تم تقسيم الشبكة نفسها إلى ستة شبكات فرعية منفصلة، فيمكن احتواء الفيروس في الشبكة الفرعية المصابة فقط، دون أن ينتشر إلى بقية النظام.


التحكم في الوصول (Access Control):


يشير التحكم في الوصول إلى عملية السماح أو تقييد وصول الأطراف المختلفة إلى بيانات المؤسسة أو تطبيقاتها أو شبكتها أو السحابة، وذلك بناءً على سياسات المؤسسة. هناك عاملان يستخدمان لتحقيق هذه المهمة: "قائمة التحكم في الوصول (ACL)" و "الصلاحيات" .


قوائم التحكم في الوصول (ACLs) هي قوائم تستخدمها أجهزة الموجهات (routers) والجدران النارية (firewalls) لمنح أو منع حركة المرور في الشبكة بناءً على مجموعة من القواعد. هناك نوعان مختلفان من قوائم التحكم في الوصول: أحدهما للملفات والمجلدات، والآخر لحركة المرور القادمة إلى الشبكة.


يتم تنفيذ النوع الأول في بيئة الوصول إلى الملفات والبيانات للتحكم في من يحصل على حق الوصول إلى أنواع البيانات المختلفة وتقييد مستوى الوصول الذي يحصلون عليه. على سبيل المثال، إذا كان هناك عضوين في فريق المبيعات (بيل، مدير المبيعات، وبن، مسؤول المبيعات) وهناك مجلدين على خادم الملفات، أحدهما لبيانات المبيعات والآخر لبيانات التسويق، نظرًا لأن بيل وبن يعملان في المبيعات، سيتم منحهم الوصول إلى بيانات المبيعات، ولكن ليس إلى بيانات التسويق. هذا هو نوع بياناتهم.


يتم تخصيص مستويات الوصول وفقًا لمبدأ "أقل الامتيازات"، مما يعني أنهما يحصلان فقط على الصلاحيات الكافية لتلبية متطلبات دورهم الوظيفي، وهذا يعني أن بن، الذي يحتاج إلى إضافة وتحديث أرقام المبيعات في ملف Excel لأداء دوره كمسؤول مبيعات، سيحصل على حق القراءة والكتابة لهذا الملف، أما بيل، بصفته مدير المبيعات، فسيُمنح حق القراءة فقط، حيث أن دوره يتطلب فقط عرض أرقام المبيعات.


النوع الثاني من قوائم التحكم في الوصول يتم تنفيذه في بيئة الشبكة، وتوضع هذه القائمة على الجدار الناري (Firewall) أو الموجه (Router)، وتكون وظيفتها تحديد متى يمكن للمستخدم الوصول إلى تلك الشبكة، وعند تثبيت جدار ناري أو موجه جديد، سيحتوي فقط على قاعدة واحدة وهي "منع الجميع"، مما يعني أن جميع حركة المرور في الشبكة سيتم حظرها بشكل افتراضي، وللسماح بأي وصول، يجب إضافة استثناءات لهذه القاعدة. هذه الاستثناءات تسمى "قواعد السماح".


بالإضافة إلى قوائم التحكم في الوصول (ACLs)، يتضمن التحكم الفعال في الوصول أيضًا استخدام "الصلاحيات" لتحديد مستوى الوصول المسموح به للمستخدمين أو الأنظمة على مورد معين، وهذه الصلاحيات تشمل عادةً القراءة، الكتابة، التنفيذ، والحذف، من بين أخرى، تُمنح الصلاحيات بناءً على الأدوار الوظيفية واحتياجات العمل، وتُستخدم لحماية البيانات الحساسة من التلاعب غير المصرح به، والحذف، والسرقة، مما يضمن أمن المعلومات الحساسة.


قائمة التطبيقات المسموح بها (Application Allow List):


قائمة التطبيقات المسموح بها لها غرض واضح وهو تحديد قائمة بالتطبيقات المعتمدة التي يُسمح بتشغيلها، وبينما يتم حظر البرامج غير المصرح بها أو التي قد تكون ضارة من الحصول على موطئ قدم في النظام، ويمكن تحقيق ذلك من خلال إنشاء قائمة بيضاء، وهي قائمة بالتطبيقات المسموح بها والتي ستمنع أي تطبيق غير موجود في القائمة من الوصول أو التشغيل.


على سبيل المثال، لنفترض أن لدينا مشكلتين في شبكتنا: المستخدم محمد الذي يستمر في تثبيت الألعاب على جهاز الكمبيوتر الخاص به في العمل، وهجوم ransomware الذي قام بتثبيت malware وقام بتشفير البيانات الحساسة، ولمنع حدوث ذلك مرة أخرى، نحتاج إلى إنشاء قائمة مسموح بها (تسمى أيضًا القائمة البيضاء)، وهي قائمة بالتطبيقات المسموح بها، مع وجود قائمة مسموح بها فعّالة، ستعرف شبكتك تلقائيًا منع جميع التطبيقات غير المصرح بها صراحةً، مما يعني أنه سيتم حظر أي تطبيقات أخرى أو malware يحاول بوب أو أي مستخدم آخر تثبيتها فورًا.



 قائمة حظر التطبيقات (Application Block List):


قائمة حظر التطبيقات، التي تُعرف أحيانًا بقائمة المنع، تساعد المؤسسات في تعزيز أمان الشبكات والبيانات عن طريق منع تشغيل تطبيقات محددة، وأحد الأدوات التي تُستخدم لإنشاء وإدارة مثل هذه القوائم هو AppLocker من مايكروسوفت. يُمكّن هذا البرنامج المسؤولين من وضع سياسات تحد من تشغيل تطبيقات معينة، مضيفًا طبقة إضافية من الحماية ضد التهديدات الأمنية المحتملة.


هناك عدة أسباب لتطبيق حظر على التطبيقات، أولاً، يساعد في تقليل المخاطر الأمنية من خلال منع تشغيل التطبيقات المعروفة بأنها ضعيفة أو ضارة، وهذا يقلل من فرص الهجمات السيبرانية وإصابات البرمجيات الضارة، وكما يمكن استخدام قوائم حظر التطبيقات لتطبيق سياسات الامتثال والإنتاجية، وعلى سبيل المثال، يمكن استخدامها لمنع تثبيت البرمجيات غير المصرح بها أو لتقييد استخدام التطبيقات غير الضرورية لأعمال الشركة خلال ساعات العمل.


تُنشأ قوائم حظر التطبيقات باستخدام قائمة غير معتمدة، وهي في الأساس قائمة بالتطبيقات التي تعتبرها غير آمنة أو غير مناسبة لمؤسستك. تحتوي القائمة على أسماء التطبيقات أو مسارات الملفات التي يُحظر استخدامها. يشكل هذا آلية دفاعية تقوم تلقائيًا بمنع تشغيل هذه التطبيقات، مما يقلل من خطر الانتهاكات العرضية أو المتعمدة الناتجة عن استخدامها.


 العزل (Isolation):


العزل هو ممارسة إنشاء بيئات آمنة ومغلقة داخل شبكة المؤسسة، ويهدف إلى احتواء الأنظمة الحساسة أو البيانات الهامة، وعند عزل الأصول الحرجة، تضمن المؤسسات أنه حتى في حالة اختراق الدفاعات الخارجية، تظل الأصول الحرجة محمية، ويمكن أيضًا استخدام العزل للسيطرة على هجمات البرمجيات الضارة من خلال عزل الأجهزة المصابة.


 التصحيح (Patching):

الغرض الأساسي من التصحيح هو تعزيز الأنظمة والتطبيقات ضد التهديدات الأمنية من خلال تطبيق التحديثات والإصلاحات بشكل منتظم، مما يزيد من مقاومتها للثغرات الأمنية الناشئة، ومن خلال الحفاظ على تحديث البرمجيات، تقلل المؤسسات من خطر الاستغلال، مما يضمن أن تظل أصولها الرقمية آمنة ومحميّة في مواجهة التهديدات السيبرانية المتطورة. التصحيح ليس اختيارياً؛ بل هو إلزامي لحماية الأنظمة من الثغرات الأمنية.


التشفير (Encryption):

الغرض من التشفير هو تحويل البيانات الحساسة إلى رمز غير قابل للقراءة لحمايتها من الاعتراض من قبل جهات ضارة. يضمن التشفير سرية وسلامة البيانات أثناء نقلها وتخزينها، وسواء كان الهدف حماية المعاملات المالية، أو حماية الرسائل الشخصية، أو تأمين البيانات الحساسة للشركات، فإن التشفير هو الدرع الخفي الذي يضمن بقاء المعلومات غير قابلة للاختراق.


 المراقبة (Monitoring):

الغرض من المراقبة هو مراقبة أنشطة الشبكات والأنظمة بشكل مستمر، وفحص أي سلوك غير طبيعي أو مشبوه، وتضمن المراقبة اكتشاف أي انحرافات عن الوضع الطبيعي ومعالجتها بسرعة، ومراقبة السجلات، وأنماط حركة المرور، وسلوك النظام لا تساعد فقط في اكتشاف التهديدات، بل تقوم أيضًا بتنبيه مركز عمليات الأمن (SOC)، في هذا القسم، سنلقي نظرة على نظامي مراقبة يعملان في الوقت الفعلي وهما SIEM و SOAR، ويتم تعريفهما كالتالي:


  • Security Information and Event Management (SIEM): تعمل أنظمة SIEM في الوقت الفعلي على مركزية وربط السجلات من الخوادم وأجهزة الشبكة، والتقاط حركة مرور الشبكة. بعد ربط السجلات، تقدم هذه الأنظمة تقارير عن التهديدات إلى مركز عمليات الأمن، والذي يمكنه بعد ذلك اتخاذ الإجراءات اللازمة للقضاء على الهجوم.


  • Security Orchestration, Automation, and Response (SOAR): يعمل SOAR في الوقت الفعلي لمواجهة التهديدات. تستخدم هذه الأنظمة الذكاء الاصطناعي (AI) وخوارزميات التعلم الآلي (ML) مع قدرتها على فك الشيفرات، واكتشاف الأنماط، واتخاذ قرارات مبنية على البيانات بسرعة فائقة. تعد Playbooks مجموعات محددة مسبقًا من الإجراءات وسير العمل التي توجه استجابة النظام لحوادث أو أحداث أمنية محددة. نظام SOAR يساعد فريق تكنولوجيا المعلومات على التفرغ لمهام أكثر أهمية، حيث يقوم بفحص السجلات الروتينية بشكل أسرع من البشر.


أقل قدر من الامتيازات (Least Privilege): 


مبدأ "أقل قدر من الامتيازات" يعد استراتيجية حيوية لتعزيز الأمن، ويهدف هذا المبدأ إلى تقييد حسابات المستخدمين والأنظمة بحيث يكون لديها الحد الأدنى من الأذونات اللازمة لأداء وظائفها فقط، ويساهم هذا النهج في تقليل فرص الاستغلال من قبل الجهات الضارة التي قد تحصل على وصول غير مصرح به، ومن خلال تطبيق هذا المبدأ، تقلل المؤسسات من تعرضها للهجمات وتخفض بشكل فعال احتمالية حدوث تهديدات داخلية تسبب ضررًا. إنها استراتيجية أمنية تدرك أن ليس كل المستخدمين أو الأنظمة بحاجة إلى وصول كامل إلى الأصول الرقمية، مما يعزز الموقف الأمني العام للمؤسسة ويؤمنها من الاختراقات المحتملة.




 فرض التكوينات (Configuration Enforcement):


في مجال الأمن السيبراني، يشمل فرض التكوينات تنفيذ وصيانة قواعد وسياسات صارمة لضمان أن الأنظمة والأصول الرقمية تلتزم بتكوينات آمنة ومحددة مسبقًا، مما يقلل من مخاطر الثغرات والاختراقات المحتملة ، وتشمل طرق فرض التكوينات داخل المؤسسة ما يلي:


  •  التوحيد القياسي :  يشكل معيار CIS Benchmarks الأساس لخط أساس موحد، ويُستخدم هذا الخط لتأسيس مجموعة متسقة من تكوينات الأمان عبر الأجهزة والبرمجيات والأنظمة داخل المنظمة. يقلل هذا التوحيد القياسي من التباينات ويسهّل إدارة الأمان.


  •  تخفيف الثغرات (Vulnerability mitigation) : من خلال فرض تكوينات تتماشى مع أفضل الممارسات والمعايير الأمنية، يمكن للمؤسسة معالجة الثغرات المعروفة بشكل استباقي. هذا النهج الاستباقي يقلل بشكل كبير من مخاطر الاستغلال وتسريبات البيانات.


  •  الامتثال للمتطلبات (Compliance adherence): تتطلب العديد من الصناعات متطلبات تنظيمية صارمة تستلزم تكوينات أمنية محددة. يساعد فرض التكوينات المؤسسات على تحقيق الامتثال والحفاظ عليه، وبالتالي تجنب الغرامات الباهظة والأضرار السمعة.


  •  الأتمتة (Automation): تعتبر الأتمتة محورًا أساسيًا في فرض التكوينات، حيث تُمكّن من الكشف والتصحيح الفوري للانحرافات عن السياسات الأمنية.


 إيقاف التشغيل (Decommissioning):


إيقاف التشغيل هو عملية سحب الأصول التي لم تعد ضرورية داخل بنية المنظمة التحتية، وقد تشمل هذه الأصول الأجهزة القديمة التي تعمل بأنظمة تشغيل قديمة أو أجهزة عتاد غير محدثة. قد تكون بعض هذه الأجهزة القديمة قد استُخدمت لتخزين بيانات حساسة، ولذلك من الضروري التأكد من تنظيف هذه البيانات بشكل صحيح.


يجب تنفيذ الخطوات التالية لإيقاف تشغيل الأجهزة القديمة بفعالية:


  •  الوثائق:  سجل الأصول هو جرد شامل لجميع الأصول داخل المنظمة، بما في ذلك الأجهزة والبرمجيات والموارد الرقمية الأخرى. عند إيقاف تشغيل الأصول، يجب تحديث سجل الأصول بحيث يتم حساب جميع الأصول. يحتاج الفريق الذي يقوم بعملية الإيقاف إلى سجلات مفصلة للعملية، بما في ذلك التواريخ والأسباب والأطراف المسؤولة. تعتبر هذه الوثائق ضرورية لأغراض الامتثال والتدقيق.


  •  تنظيف البيانات: أهم جانب في إيقاف تشغيل الأصول هو التأكد من أنها قد تم مسحها أو تدميرها بشكل آمن لمنع تسرب البيانات. يجب أن يتوافق تنظيف البيانات مع معايير الصناعة والمتطلبات التنظيمية. ستختلف عملية تنظيف البيانات بناءً على نوع البيانات المعنية. دعونا نلقي نظرة على طرق التنظيف المختلفة:

      •  تنظيف الورق: أفضل طريقة لتدمير نفايات الورق هي الحرق. الطريقة الثانية الأفضل هي التقطيع إلى لب، حيث يتم تفتيت الورق إلى لب عن طريق نقعه في الماء ومعالجته ميكانيكيًا، مما ينتج عنه slurry من الألياف. أقل الطرق فعالية هي التقطيع باستخدام المقطعات، ولكن إذا كنت تستخدم هذه الطريقة، فيفضل استخدام جهاز تقطيع بشكل تقاطع لأنه يقطع الورق إلى قطع أصغر من النماذج الأخرى.

      •  تنظيف الوسائط: أفضل طريقة لتدمير بيانات الوسائط هي تقطيع الوسائط عن طريق إدخال القرص الصلب المعدني في جهاز تقطيع. الطريقة الثانية الأفضل هي سحقه باستخدام مطرقة هيدروليكية. الأقل أمانًا هو degaussing، وهو عملية مسح أو تحييد الحقول المغناطيسية على وسط التخزين، مثل القرص الصلب أو الشريط المغناطيسي، مما يجعله غير قابل للقراءة ويضمن أمان البيانات. جميع هذه الطرق تدمر الوسائط وتجعلها غير صالحة للاستخدام. لإعادة استخدام الوسائط، ستحتاج إلى إما الكتابة فوقها أو تنسيقها أو مسحها.


إن الإيقاف الفعال هو جزء لا غنى عنه من استراتيجية الأمان للمؤسسة. فهو لا يقلل فقط من سطح الهجوم والتكاليف التشغيلية، بل يساعد أيضًا المؤسسات على تلبية متطلبات الامتثال التنظيمي.


 تقنيات تعزيز الأمان (Hardening Techniques):


التهديد المستمر للهجمات الإلكترونية يتطلب اتباع نهج قوي لحماية المعلومات الحساسة. تعزيز الأمان هو عملية تحويل نظام أو شبكة عرضة للخطر إلى قلعة محصنة وقوية، مما يقلل من المخاطر الأمنية ويقلص الأسطح المحتملة للهجمات لحماية فعالة ضد التهديدات الإلكترونية. تشمل التقنيات المستخدمة في ذلك التشفير، وتثبيت حماية نقاط النهاية، وتعطيل المنافذ والبروتوكولات، وتغيير كلمات المرور الافتراضية، وإزالة البرمجيات غير الضرورية.

التشفير هو حجر الزاوية في أمان البيانات، ويشمل تحويل البيانات من نص واضح إلى تنسيق غير قابل للقراءة (نص مشفر) لا يمكن فك تشفيره إلا باستخدام مفتاح التشفير المناسب، من خلال تنفيذ التشفير، تضمن المؤسسات أنه حتى إذا تم اعتراض البيانات، فإنها ستظل غير قابلة للقراءة من قبل الأطراف غير المصرح بها، مما يحافظ على سرية وسلامة المعلومات الحساسة.


على الرغم من أن التشفير يمكن أن يحمي الرسالة بمجرد اعتراضها، فإن تثبيت حماية نقاط النهاية يمكن أن يمنع المهاجمين من الوصول إلى النظام. تم تصميم حلول حماية نقاط النهاية لتأمين الأجهزة الفردية (نقاط النهاية) المتصلة بشبكة. تكتشف هذه الحلول وتخفف من التهديدات في الوقت الفعلي، مما يوفر طبقة دفاعية حاسمة ضد البرمجيات الخبيثة وبرامج الفدية وغيرها من الكيانات الضارة التي قد تستهدف نقاط النهاية داخل المؤسسة. ثلاث من هذه الحلول موصوفة هنا:


  • الـ  Endpoint Detection and Response (EDR) : هو حل في الوقت الفعلي يستخدم تقنيات الذكاء الاصطناعي (AI) والتعلم الآلي (ML) كجزء من قدراته. تم تصميم هذا الحل الشامل للأمن السيبراني بشكل خاص لمراقبة وتحديد والرد على الحوادث الأمنية والتهديدات المحتملة عبر بنية المؤسسة التحتية ونقاط النهاية للشبكة، والتي تشمل أجهزة الكمبيوتر والخوادم والأجهزة المحمولة. تشمل بعض وظائف EDR ما يلي:



  • **المراقبة المستمرة:** تتيح حلول EDR المراقبة المستمرة لنقاط النهاية، مما يلتقط البيانات المتعلقة بالأنشطة والعمليات والسلوكيات على هذه الأجهزة. يضمن هذا اليقظة المستمرة تحديد أي أنشطة مشبوهة أو غير طبيعية على الفور.


  • **تحليل السلوك:** يستخدم EDR تحليل السلوك المتقدم لتحديد الأسس للسلوك الطبيعي لنقاط النهاية. يتم تمييز أي انحرافات عن هذه الأسس على أنها تهديدات أمنية محتملة. يتيح هذا النهج لـ EDR اكتشاف التهديدات المعروفة وغير المعروفة.


  • كشف التهديدات: تستخدم حلول EDR مصادر معلومات التهديد وقواعد البيانات لتحديد بصمات البرمجيات الخبيثة المعروفة، ومؤشرات الاختراق (IoCs)، والأنماط المرتبطة بأنواع مختلفة من الهجمات، بما في ذلك إصابات البرمجيات الخبيثة، ومحاولات التصيد، والمزيد.


  • توليد التنبيهات: عند اكتشاف EDR لحادث أمني محتمل، فإنه يولد تنبيهات تُرسل إلى مركز العمليات الأمنية للتحقيق. غالبًا ما تتضمن هذه التنبيهات معلومات مفصلة حول الأنشطة المشبوهة.


  • الاستجابة والإصلاح: يتجاوز EDR عملية الكشف لتمكين الاستجابة السريعة والإصلاح. يمكن لفرق الأمن اتخاذ إجراءات فورية لعزل نقاط النهاية المتأثرة، وحظر العمليات الخبيثة، واحتواء التهديد، مما يقلل من الأضرار المحتملة.


  • التحليل الجنائي: توفر أدوات EDR القدرة على إجراء تحليل جنائي مفصل على الحوادث الأمنية، مما يوفر رؤى حول طريقة الهجوم، وأثره، وأي اختراقات بيانات قد تكون حدثت.


  • التخفيف من التهديدات في الوقت الفعلي: قدرة EDR على اكتشاف والاستجابة للتهديدات في الوقت الفعلي لا تقدر بثمن. تساعد المؤسسات على منع انتشار الهجمات وتسبب الأضرار الواسعة.


  • تحسين استجابة الحوادث: يبسط EDR جهود الاستجابة للحوادث، ويزود فرق الأمن برؤى وأدوات قابلة للتنفيذ لاحتواء وتخفيف التهديدات بفعالية.


  • رؤية نقاط النهاية: يوفر EDR رؤية شاملة لنقاط النهاية في المؤسسة، مما يتيح فهمًا أعمق للوضع الأمني ونقاط الضعف المحتملة.


  •  نظام منع التسلل القائم على المضيف (HIPS) : الـ HIPS هو حل أمني مصمم لحماية أنظمة الحواسيب الفردية أو المضيفات من الوصول غير المصرح به، والأنشطة الخبيثة، والتهديدات الإلكترونية. يعمل **HIPS** على مستوى المضيف، حيث يقوم بمراقبة وتحليل الأنشطة والسلوكيات للتطبيقات والعمليات التي تعمل على الكمبيوتر بشكل مستمر.


  • جدار الحماية القائم على المضيف: جدران الحماية القائم على المضيف هي جدران حماية برمجية تعمل على الأجهزة الفردية، تقوم بمراقبة والتحكم في حركة مرور الشبكة الواردة والصادرة على مستوى الجهاز، مما يمنع الوصول غير المصرح به والأنشطة الخبيثة. يمكن لهذه الجدران حماية أجهزة الكمبيوتر المحمولة عندما يكون المستخدم يعمل بعيدًا عن المنزل.


بالإضافة إلى حماية نقاط النهاية، يعد تعطيل المنافذ/ البروتوكولات تدبيرًا استباقيًا آخر لتقليل سطح الهجوم لشبكة ما. من خلال إغلاق طرق الاتصال غير المستخدمة أو غير الضرورية، تقوم المؤسسات بتقليل الطرق التي يمكن أن يتسلل من خلالها المهاجمون إلى أنظمتها. يجب على المسؤولين عدم استخدام Telnet (الذي يستخدم المنفذ TCP 23) للوصول عن بُعد لأن كلمات المرور تكون بنص عادي، ولتعزيز الأمان، نقوم بتقييد الوصول إلى البروتوكولات والمنافذ، كما هو موضح في الجدول التالي، لحركة مرور الإنترنت الواردة نظرًا لأن هذه البروتوكولات تُستخدم عادةً داخليًا وقد تشكل خطرًا أمنيًا محتملاً.


البروتوكولات تُستخدم عادةً داخليًا وقد تشكل خطرًا أمنيًا محتملاً:

الجدول الأول من الفصل


رغم بساطته مقارنةً ببعض التدابير المذكورة في هذا القسم، فإن تغيير كلمات المرور الافتراضية هو ممارسة أمنية أساسية، كلمات المرور الافتراضية غالبًا ما تكون معروفة على نطاق واسع ويستغلها المهاجمون حيث تكون هذه الكلمات متاحة علنًا على الإنترنت، لذا فإن تغيير كلمات المرور الافتراضية على أي جهاز جديد يساعد في منع الوصول غير المصرح به ويعزز الأمان، وبالمثل، بما أن كل تطبيق برمجي يقدم قناة هجوم محتملة، فإن إزالة البرامج غير الضرورية يقلل من عدد الثغرات المحتملة في بيئة المؤسسة، مما يبسط جهود الأمان ويعزز المرونة العامة.


الملخص (SUMMARY):

ناقش هذا الفصل الغرض من تقنيات التخفيف المستخدمة لتأمين المؤسسة، وشمل هذا النقاش استكشاف العديد من هذه الطرق، مثل التقسيم (الذي يستخدم لتقليل سطح الهجوم)، وACL، الذي من خلاله يمكننا التحكم في الوصول إلى أنظمتنا، وإيقاف تشغيل الأنظمة القديمة، وتقنيات تعزيز الأمان لحماية بيئتنا.


النهاية: 

وهكذا لقد أنتهى الفصل التاسع ، أتمنى انه لاقى أعجابكم وأن الشرح كان مناسب لكم ، أتمنى من الجميع ان يتم مشاركه العلم مع كل شخص يريد أن يتعلم ويدرس ، الشرح مبسط وجيد أتمنى ، ان يتم مشاركته ، فهذا شيء يسعد فريقنا كثيراً شكراً لكم. 

الفصل التالي هو الفصل 10، والذي يتناول مقارنة وتباين تداعيات الأمان لنماذج الهندسة المختلفة.



إرسال تعليق

0 تعليقات

إرسال تعليق (0)

#buttons=(اوافق) #days=(20)

موقعنا يستخدم ملفات تعريف الارتباط (Cookies) لتحسين تجربتك. تحقق الآن
Ok, Go it!