الفصل التاسع: Network Security
الجزء الثاني: #2
العنوان: Common Networking Attacks
الهجمات الشبكية الشائعة (Common Networking Attacks):
البرمجيات الخبيثة (Malicious software أو Malware) هي مشكلة خطيرة في بيئات الحوسبة اليوم، غالباً ما يُفترض أن البرمجيات الخبيثة تتكون من الفيروسات، على الرغم من أن هذا صحيح في الغالب، فإن العديد من الأشكال الأخرى للبرمجيات الخبيثة ليست فيروسات ولكنها غير مرغوب فيها بنفس القدر، بالرغم من أننا نربطها عادةً بالتهديدات الخارجية، لا تتغاضى عن إمكانية قدومها من تهديدات داخلية أيضاً (خصوصاً الموظفين الخبثاء الذين يشعرون بالضغينة لأنهم لم يحصلوا على زيادة في الراتب أو الاعتراف الذي يعتقدون أنهم يستحقونه وأصبحوا الآن تهديدات داخلية).
تشمل البرمجيات الخبيثة العديد من أنواع البرمجيات الضارة وكلها تهدف من قبل مطورها إلى إحداث تأثير سلبي على الشبكة. الفقرات التالية تنظر إلى بعض الأنواع الأكثر خبثاً.
الهجمات على رفض الخدمة ورفض الخدمة الموزعة (Denial-of-Service and Distributed Denial-of-Service Attacks):
هجمات رفض الخدمة (Denial-of-Service أو DoS) مصممة لربط عرض نطاق الشبكة والموارد وتجعل الشبكة بالكامل تتوقف عن العمل، يتم هذا النوع من الهجمات ببساطة عن طريق إغراق الشبكة بحركات مرور أكثر مما يمكنها التعامل معه، عندما يتم استخدام أكثر من جهاز كمبيوتر في الهجوم، يُعرف ذلك تقنيًا بأنه هجوم رفض الخدمة الموزعة (Distributed DoS أو DDoS)، تستخدم هذه الهجمات عادةً botnet لشن هجوم القيادة والسيطرة من خلال زيادة حركة المرور. تقريباً كل هجوم من هذا النوع اليوم هو DDoS، وسنستخدم DoS للإشارة إلى كليهما.
لا يُصمم هجوم DoS لسرقة البيانات بل لشل الشبكة وبهذا يكلف الشركة مبالغ ضخمة من المال، في الواقع، من الممكن أن يكون الهجوم غير مقصود، أو "رفض خدمة صديق" قادم من الداخل، وتمامًا مثل النيران الصديقة في القتال، لا يهم أن الهجوم كان غير مقصود؛ فإنه يحدث نفس الضرر.
تشمل آثار هجمات DoS ما يلي:
- تشبع موارد الشبكة، مما يجعل هذه الخدمات غير قابلة للاستخدام
- إغراق وسائط الشبكة، مما يمنع الاتصال بين أجهزة الكمبيوتر على الشبكة
- تسبب توقف المستخدمين عن العمل بسبب عدم القدرة على الوصول إلى الخدمات المطلوبة
- تسبب خسائر مالية ضخمة للشركة بسبب توقف الشبكة والخدمات
أنواع هجمات DoS
هناك عدة أنواع من هجمات DoS، ويبدو أن كل منها يستهدف منطقة مختلفة، وعلى سبيل المثال، قد تستهدف عرض النطاق الترددي أو خدمة الشبكة أو الذاكرة أو وحدة المعالجة المركزية أو مساحة القرص الصلب. عندما يتم إغراق الخادم أو النظام الآخر بطلبات ضارة، فإن واحدًا أو أكثر من هذه الموارد الأساسية ينكسر، ومما يتسبب في تعطل النظام أو توقفه عن الاستجابة، يستمر هجوم DoS الدائم لأكثر من فترة قصيرة ويطلب منك تغيير التوجيه أو عناوين IP أو تكوينات أخرى لتجاوزه.
Fraggle:
في هجوم Fraggle، يتم إرسال حزم UDP المزيفة إلى عنوان البث للشبكة، وتُوجه هذه الحزم إلى منافذ محددة، مثل المنفذ 7 أو المنفذ 19، وبعد الاتصال، يمكنها إغراق النظام.
Smurfing:
هجوم Smurf مشابه لهجوم Fraggle. ولكن يتم إرسال طلب ping إلى عنوان البث الشبكي، مع تزييف عنوان الإرسال بحيث تفرط العديد من ردود ping في تحميل الضحية وتمنعها من معالجة الردود.
Ping of Death:
في هجوم Ping of Death، يتم استخدام حزمة بيانات ICMP ضخمة لتعطيل أجهزة IP التي تم تصنيعها قبل عام 1996.
SYN Flood:
في جلسة TCP النموذجية، يتم إنشاء الاتصال بين جهازي كمبيوتر في البداية عبر مصافحة ثلاثية تُعرف بـ SYN، SYN/ACK، ACK. في بداية الجلسة، يرسل العميل رسالة SYN إلى الخادم. يعترف الخادم بالطلب عن طريق إرسال رسالة SYN/ACK إلى العميل. يتم إنشاء الاتصال عندما يستجيب العميل برسالة ACK.
في هجوم SYN، يتم إغراق الضحية بطوفان من حزم SYN، تجبر كل حزمة SYN الخادم المستهدف على إنتاج استجابة SYN/ACK ثم الانتظار لتلقي تأكيد ACK، ومع ذلك، لا يستجيب المهاجم بـ ACK، أو يزيف عنوان IP الوجهة بعنوان غير موجود بحيث لا يحدث استجابة ACK. والنتيجة هي أن الخادم يبدأ بالامتلاء بالاتصالات نصف المفتوحة. عندما تكون جميع موارد الخادم المتاحة مشغولة بالاتصالات نصف المفتوحة، يتوقف عن الاعتراف بطلبات SYN الجديدة الواردة، بما في ذلك الشرعية منها.
Buffer Overflow:
الهجوم الفائض عن المخزن المؤقت هو نوع من هجمات DoS التي تحدث عندما يتم إدخال بيانات أكثر في المخزن المؤقت (عادةً مخزن مؤقت للذاكرة) مما يمكنه استيعابه، مما يجعله يفيض (كما يوحي الاسم).
Distributed Reflective DoS
هجوم DRDoS هو أيضًا يسمى هجوم التضخيم، ويستهدف خوادم UDP العامة، اثنان من أكثر البروتوكولات/الخوادم شيوعًا التي يستهدفها هجوم DRDoS عادةً هما خادم DNS وخادم NTP، ولكن بروتوكول SNMP وNetBIOS وبروتوكولات UDP الأخرى تكون أيضًا عرضة للهجوم.
هجوم ICMP Flood:
هجوم ICMP Flood، المعروف أيضًا بهجوم ping flood، هو هجوم DoS يتم فيه إرسال عدد كبير من رسائل ICMP إلى نظام الكمبيوتر لإرهاقه.
والنتيجة هي فشل بروتوكول TCP/IP، الذي لا يمكنه التعامل مع الطلبات الأخرى.
الهجمات الشائعة الأخرى (Other Common Attacks):
توضح هذه الفقرة بعض الهجمات الأكثر شيوعاً المستخدمة اليوم.
تنبيه اختبار
في هجوم Fraggle، يتم إرسال حزم UDP المزيفة إلى عنوان البث للشبكة، وتُوجه هذه الحزم إلى منافذ محددة، مثل المنفذ 7 أو المنفذ 19، وبعد الاتصال، يمكنها إغراق النظام.
Smurfing:
هجوم Smurf مشابه لهجوم Fraggle. ولكن يتم إرسال طلب ping إلى عنوان البث الشبكي، مع تزييف عنوان الإرسال بحيث تفرط العديد من ردود ping في تحميل الضحية وتمنعها من معالجة الردود.
Ping of Death:
في هجوم Ping of Death، يتم استخدام حزمة بيانات ICMP ضخمة لتعطيل أجهزة IP التي تم تصنيعها قبل عام 1996.
SYN Flood:
في جلسة TCP النموذجية، يتم إنشاء الاتصال بين جهازي كمبيوتر في البداية عبر مصافحة ثلاثية تُعرف بـ SYN، SYN/ACK، ACK. في بداية الجلسة، يرسل العميل رسالة SYN إلى الخادم. يعترف الخادم بالطلب عن طريق إرسال رسالة SYN/ACK إلى العميل. يتم إنشاء الاتصال عندما يستجيب العميل برسالة ACK.
في هجوم SYN، يتم إغراق الضحية بطوفان من حزم SYN، تجبر كل حزمة SYN الخادم المستهدف على إنتاج استجابة SYN/ACK ثم الانتظار لتلقي تأكيد ACK، ومع ذلك، لا يستجيب المهاجم بـ ACK، أو يزيف عنوان IP الوجهة بعنوان غير موجود بحيث لا يحدث استجابة ACK. والنتيجة هي أن الخادم يبدأ بالامتلاء بالاتصالات نصف المفتوحة. عندما تكون جميع موارد الخادم المتاحة مشغولة بالاتصالات نصف المفتوحة، يتوقف عن الاعتراف بطلبات SYN الجديدة الواردة، بما في ذلك الشرعية منها.
Buffer Overflow:
الهجوم الفائض عن المخزن المؤقت هو نوع من هجمات DoS التي تحدث عندما يتم إدخال بيانات أكثر في المخزن المؤقت (عادةً مخزن مؤقت للذاكرة) مما يمكنه استيعابه، مما يجعله يفيض (كما يوحي الاسم).
Distributed Reflective DoS
هجوم DRDoS هو أيضًا يسمى هجوم التضخيم، ويستهدف خوادم UDP العامة، اثنان من أكثر البروتوكولات/الخوادم شيوعًا التي يستهدفها هجوم DRDoS عادةً هما خادم DNS وخادم NTP، ولكن بروتوكول SNMP وNetBIOS وبروتوكولات UDP الأخرى تكون أيضًا عرضة للهجوم.
هجوم ICMP Flood:
هجوم ICMP Flood، المعروف أيضًا بهجوم ping flood، هو هجوم DoS يتم فيه إرسال عدد كبير من رسائل ICMP إلى نظام الكمبيوتر لإرهاقه.
والنتيجة هي فشل بروتوكول TCP/IP، الذي لا يمكنه التعامل مع الطلبات الأخرى.
الهجمات الشائعة الأخرى (Other Common Attacks):
توضح هذه الفقرة بعض الهجمات الأكثر شيوعاً المستخدمة اليوم.
تنبيه اختبار
تعرف على جميع الأنواع الشائعة من الهجمات المفصلة في هذه الفقرة، من المحتمل جداً أن يضمن امتحان Network Plus وأن معرفتك هنا هي ما يجب أن يعرفه المسؤول.
الهندسة الاجتماعية (Social Engineering):
الهندسة الاجتماعية هي شكل شائع من القرصنة، يمكن استخدامها من قبل الغرباء وأيضًا من الأشخاص داخل المنظمة، الهندسة الاجتماعية هو مصطلح يستخدمه القراصنة للإشارة إلى خداع الناس لكشف كلمات المرور أو بعض المعلومات الأمنية، قد يشمل ذلك محاولة الحصول على كلمات المرور أو معلومات أخرى عبر البريد الإلكتروني، أو اتباع شخص عن كثب إلى منطقة مؤمنة (المعروفة بـ tailgating)، أو الدخول معه (المعروفة بـ piggybacking)، أو النظر فوق كتف شخص ما على شاشته (المعروفة بـ shoulder surfing)، أو أي طريقة أخرى تخدع المستخدمين لكشف المعلومات. الهندسة الاجتماعية هي هجوم يحاول استغلال سلوك الإنسان.
قنبلة المنطق (Locgic bomb):
برامج أو أجزاء من الشفرات التي تنفذ عند حدوث حدث معين مسبق التعريف تُعرف بـ logic bombs، وقد يرسل مثل هذا القنبلة رسالة إلى المهاجم عند تسجيل دخول المستخدم إلى الإنترنت واستخدام تطبيق معين، ويمكن لهذه الرسالة إبلاغ المهاجم بأن المستخدم جاهز للهجوم وفتح ثغرة خلفية، بشكل مشابه، يمكن للمبرمج إنشاء برنامج يضمن دائمًا ظهور اسمه في قائمة الرواتب؛ إذا لم يحدث ذلك، تبدأ الملفات الرئيسية في الحذف. أي شفرة مخفية داخل تطبيق وتتسبب في حدوث شيء غير متوقع تعتبر logic bomb.
Rogue DHCP:
خادم DHCP خبيث يُضاف إلى الشبكة لديه القدرة على إصدار عنوان إلى عميل وعزله على شبكة غير مصرح بها حيث يمكن التقاط بياناته، على الرغم من أن هذا يبدو شيئًا سيئًا، إلا أن DHCP snooping هو العكس تمامًا. إنه القدرة على مفتاح الشبكة للنظر في الحزم وإسقاط حركة مرور DHCP التي يحددها على أنها غير مقبولة بناءً على القواعد المحددة، الغرض هو منع خوادم DHCP الخبيثة من تقديم عناوين IP لعملاء DHCP.
Rogue Access Points وEvil Twins:
نقطة وصول خبيثة هي نقطة وصول لاسلكية تم وضعها على الشبكة دون علم المسؤول، والنتيجة هي أنه من الممكن الوصول عن بعد إلى نقطة الوصول الخبيثة لأنها على الأرجح لا تلتزم بسياسات أمان الشركة، لذلك، يمكن أن تتعرض كل الأمان للخطر من خلال موجه لاسلكي رخيص تم وضعه على الشبكة الخاصة بالشركة. هجوم Evil Twin هو هجوم تتظاهر فيه نقطة وصول لاسلكية خبيثة بأنها موفر خدمة لاسلكية شرعية لاعتراض المعلومات التي يرسلها المستخدمون.
إعلان ضعف الشبكات اللاسلكية (Advertising Wireless Weaknesses):
الهجمات التي تعلن عن ضعف الشبكات اللاسلكية تبدأ بـ war driving، وهي القيادة حول جهاز محمول للبحث عن نقاط وصول لاسلكية مفتوحة للتواصل معها والبحث عن تطبيقات ضعيفة يمكن اختراقها (المعروفة بـ WEP cracking أو WPA cracking)، وثم يؤدي ذلك إلى war chalking، وهو عندما يكتشف الأشخاص طريقة للدخول إلى الشبكة ويتركون إشارات (غالباً مكتوبة بالطباشير) على أو خارج الموقع لإبلاغ الآخرين بأن هناك ضعفًا. يمكن أن تكون العلامات على الرصيف أو جانب المبنى أو عمود قريب وما إلى ذلك.
التصيد (Phishing):
غالبًا ما يتلقى المستخدمون مجموعة متنوعة من الرسائل الإلكترونية التي تعرض منتجات أو خدمات أو معلومات أو فرصًا، والبريد الإلكتروني غير المرغوب فيه من هذا النوع يُعرف بـ phishing (تُنطق "fishing")، تتضمن هذه التقنية عرضًا زائفًا يتم إرساله إلى مئات الآلاف أو حتى ملايين عناوين البريد الإلكتروني، الاستراتيجية تعتمد على الاحتمالات. من بين كل 1000 بريد إلكتروني يتم إرساله، ربما يرد شخص واحد. يمكن أن يكون phishing خطيرًا لأن المستخدمين يمكن خداعهم للكشف عن معلومات شخصية مثل أرقام بطاقات الائتمان أو معلومات الحساب البنكي. اليوم، يتم تنفيذ phishing بطرق متعددة. مواقع الويب والمكالمات الهاتفية الخاصة بالـ phishing أيضًا مصممة لسرقة الأموال أو المعلومات الشخصية.
Ransomware:
في هجوم ransomware، يتم التحكم في النظام بواسطة برامج يتم تسليمها غالبًا عبر Trojan horse وتطلب دفع مبلغ لطرف ثالث. يتم تحقيق "التحكم" عن طريق تشفير القرص الصلب، أو تغيير معلومات كلمة مرور المستخدم، أو عبر عدد من الطرق الإبداعية الأخرى، يُطمئن المستخدمون عادةً بأنه من خلال دفع مبلغ الفدية (ransom)، سيتم إعطاؤهم الشفرة اللازمة لإعادة أنظمتهم إلى العمل العادي.
DNS Poisoning:
في هجوم DNS poisoning، يتم تزويد خادم DNS بمعلومات حول خادم اسم يعتقد أنها شرعية بينما هي ليست كذلك. يمكن لهذا النوع من الهجمات أن يرسل المستخدمين إلى موقع ويب غير الذي يرغبون في الذهاب إليه، أو يعيد توجيه البريد، أو يقوم بأي نوع آخر من إعادة التوجيه حيث تُستخدم البيانات من خادم DNS لتحديد الوجهة، اسم آخر لهذا هو DNS spoofing، وfast flux هو أحد التقنيات الأكثر شيوعًا، تستخدم botnets هذه التقنية لإخفاء مواقع التسليم وراء شبكة متغيرة من المضيفين المخترقين الذين يعملون كوكلاء.
ARP Cache Poisoning:
يحاول هجوم ARP poisoning إقناع الشبكة بأن عنوان MAC الخاص بالمهاجم هو العنوان المرتبط بعنوان IP بحيث يتم إرسال الحركة إلى عنوان IP هذا بشكل خاطئ إلى جهاز المهاجم.
Spoofing:
Spoofing هي تقنية يتم فيها إخفاء المصدر الحقيقي للإرسال، الملف، أو البريد الإلكتروني أو استبداله بمصدر مزيف، تتيح هذه التقنية للمهاجم، على سبيل المثال، تمويه المصدر الأصلي لملف متاح للتنزيل، ثم يمكنه خداع المستخدمين لقبول ملف من مصدر غير موثوق به، معتقدين أنه يأتي من مصدر موثوق به. يعد MAC spoofing تزييف عنوان MAC لجهاز - تزييف هويته الفيزيائية. في حين أن عنوان MAC الحقيقي لا يمكن تغييره، فمن الممكن للسائقين إعطاء القيم المقدمة لهم وخداع النظام ليعتقد أن NIC الذي يتحدث معه يحمل عنوان MAC لجهاز معترف به / مصرح به. يعمل IP spoofing بشكل مشابه مع عنوان IP بدلاً من عنوان MAC.
Deauthentication:
تُعرف Deauthentication أيضًا بهجوم disassociation، في هذا النوع من الهجمات، يقوم المتطفل بإرسال إطار إلى الـAP بعنوان مزيّف ليجعله يبدو وكأنه جاء من الضحية ولكن يقوم بفصل المستخدم عن الشبكة، نظرًا لأن الضحية غير قادرة على الحفاظ على الاتصال مع الـAP، يزيد هذا الهجوم من فرص الضحية في اختيار استخدام AP آخر، قد يكون خبيثًا أو في فندق أو مكان آخر يتطلب دفع رسوم إضافية لاستخدامه، لقد رفعت لجنة التجارة الفيدرالية دعاوى ضد عدد من الفنادق لإطلاق هجمات من هذا النوع وتوليد الإيرادات عن طريق فرض رسوم على ضيوفهم لاستخدام خدمات "متميزة" بدلاً من استخدام الـWi-Fi المجاني.
Brute Force:
هناك العديد من الطرق للحصول على كلمة مرور، لكن واحدة من أكثرها شيوعًا هي هجوم brute-force حيث يتم تخمين قيمة واحدة بعد الأخرى حتى يتم العثور على القيمة الصحيحة، رغم أن ذلك قد يستغرق وقتًا طويلاً إذا تم يدويًا، إلا أن برامج الحاسوب يمكنها تجربة العديد من القيم في فترة زمنية قصيرة بشكل ملحوظ. على سبيل المثال، أصبحت هجمات Wi-Fi Protected Setup (WPS) أكثر شيوعًا لأن التكنولوجيا عرضة لهجمات brute-force التي تُستخدم لتخمين PIN المستخدم، وعندما يحصل المهاجم على الوصول، يكون المهاجم حينها على شبكة الـWi-Fi.
On-Path Attack:
في هجوم on-path (المعروف سابقًا بهجوم man-in-the-middle)، يقوم المتطفل بوضع نفسه بين الأجهزة المرسلة والمستقبلة ويقوم بالتقاط الاتصال أثناء مروره. يكون اعتراض البيانات غير مرئي لأولئك الذين يرسلون ويستقبلون البيانات. يمكن للمتطفل التقاط بيانات الشبكة والتلاعب بها وتغييرها وفحصها ثم إرسالها، تكون الاتصالات اللاسلكية عرضة بشكل خاص لهذا النوع من الهجوم. نقطة الوصول الخبيثة، وهي AP لاسلكية تم تثبيتها بدون إذن، هي مثال على هجوم on-path، إذا تم الهجوم باستخدام FTP (باستخدام أمر port)، يُعرف ذلك بهجوم FTP bounce.
VLAN Hopping:
كما يشير الاسم، VLAN hopping هو استغلال موارد على VLAN افتراضي يتم تحقيقه لأن الموارد موجودة على VLAN المذكور، هناك أكثر من طريقة لحدوث ذلك، ولكن في جميعها تكون النتيجة نفسها: يقوم مضيف مهاجم على VLAN بالحصول على الوصول إلى موارد على VLANs أخرى التي لا يُفترض أن تكون متاحة لهم (لتصبح نظامًا مخترقًا)، ومرة أخرى، بغض النظر عن الطريقة المستخدمة، الحل هو تكوين المفاتيح بشكل صحيح لمنع حدوث ذلك.
نصيحة أختبار:
النظام المخترق هو أي نظام تم التأثير عليه سلبًا (بشكل متعمد أو غير متعمد) من قبل مصدر غير موثوق. قد تتعلق الاختراقات بالسرية أو النزاهة أو التوافر (CIA).
ARP Spoofing:
في ARP spoofing (المعروف أيضًا بـARP poisoning)، يتم تزييف عنوان Media Access Control (MAC) للبيانات، عند تزييف هذه القيمة، يمكن جعله يبدو كما لو أن البيانات جاءت من شبكة لم تأت منها فعليًا، يمكن استخدام هذه التقنية للوصول إلى الشبكة أو خداع الراوتر لإرسال البيانات إلى هنا التي كانت موجهة إلى مضيف آخر، أو إطلاق هجوم DoS، في جميع الحالات، العنوان الذي يتم تزييفه هو عنوان مستخدم شرعي، مما يجعل من الممكن الالتفاف حول إجراءات مثل قوائم السماح/الحظر.
Vulnerabilities and Prevention:
التهديد من الشفرات الخبيثة هو مصدر قلق حقيقي. تحتاج إلى اتخاذ احتياطات لحماية أنظمتك. رغم أنه قد لا يكون ممكنًا القضاء على التهديد، إلا أنه يمكنك تقليله بشكل كبير.
واحدة من الأدوات الأساسية المستخدمة في مكافحة البرمجيات الخبيثة هي برامج مكافحة الفيروسات/مكافحة البرمجيات الخبيثة. برامج مكافحة البرمجيات الخبيثة (التي تشمل برامج مكافحة الفيروسات والمزيد) متاحة من عدد من الشركات، وكل منها تقدم ميزات وقدرات مشابهة. يمكنك العثور على حلول تستند إلى المضيف أو السحابة/الخادم أو الشبكة. الميزات والخصائص الشائعة لبرامج مكافحة الفيروسات هي كما يلي:
في ARP spoofing (المعروف أيضًا بـARP poisoning)، يتم تزييف عنوان Media Access Control (MAC) للبيانات، عند تزييف هذه القيمة، يمكن جعله يبدو كما لو أن البيانات جاءت من شبكة لم تأت منها فعليًا، يمكن استخدام هذه التقنية للوصول إلى الشبكة أو خداع الراوتر لإرسال البيانات إلى هنا التي كانت موجهة إلى مضيف آخر، أو إطلاق هجوم DoS، في جميع الحالات، العنوان الذي يتم تزييفه هو عنوان مستخدم شرعي، مما يجعل من الممكن الالتفاف حول إجراءات مثل قوائم السماح/الحظر.
Vulnerabilities and Prevention:
التهديد من الشفرات الخبيثة هو مصدر قلق حقيقي. تحتاج إلى اتخاذ احتياطات لحماية أنظمتك. رغم أنه قد لا يكون ممكنًا القضاء على التهديد، إلا أنه يمكنك تقليله بشكل كبير.
واحدة من الأدوات الأساسية المستخدمة في مكافحة البرمجيات الخبيثة هي برامج مكافحة الفيروسات/مكافحة البرمجيات الخبيثة. برامج مكافحة البرمجيات الخبيثة (التي تشمل برامج مكافحة الفيروسات والمزيد) متاحة من عدد من الشركات، وكل منها تقدم ميزات وقدرات مشابهة. يمكنك العثور على حلول تستند إلى المضيف أو السحابة/الخادم أو الشبكة. الميزات والخصائص الشائعة لبرامج مكافحة الفيروسات هي كما يلي:
- الحماية في الوقت الحقيقي: يجب أن يراقب برنامج مكافحة الفيروسات المثبت النظام باستمرار بحثًا عن الفيروسات. إذا تم تنزيل برنامج، فتح تطبيق، أو استلام بريد إلكتروني مشبوه، يكتشف ويراقب المراقب الفوري للفيروسات التهديد ويزيله. يجلس تطبيق الفيروسات في الخلفية، إلى حد كبير دون أن يلاحظه المستخدم.
- فحص الفيروسات: يجب أن يقوم برنامج مكافحة الفيروسات بفحص الأقراص والمحركات المحددة، سواء كانت محلية أو بعيدة. يمكنك تشغيل الفحص يدويًا أو جدولته للتشغيل في وقت معين.
- الجدولة: من الأفضل جدولة فحص الفيروسات ليحدث تلقائيًا في وقت محدد مسبقًا. في بيئة الشبكة، يكون هذا الوقت عادةً خارج ساعات العمل، عندما لا يؤثر عبء عملية الفحص على المستخدمين.
- التحديثات الحية: يتم إصدار فيروسات وبرمجيات خبيثة جديدة بتواتر مثير للقلق. يُنصح بتكوين برنامج مكافحة الفيروسات لتلقي تحديثات الفيروسات بانتظام.
- فحص البريد الإلكتروني: تمثل رسائل البريد الإلكتروني واحدة من المصادر الرئيسية لتسليم الفيروسات. من الضروري استخدام برنامج مكافحة الفيروسات الذي يوفر فحص البريد الإلكتروني للبريد الوارد والصادر.
- الإدارة المركزية: إذا تم استخدام برامج مكافحة الفيروسات أو مكافحة البرمجيات الخبيثة في بيئة الشبكة، من الجيد استخدام برامج تدعم إدارة برنامج الفيروسات من الخادم. لا تحتاج تحديثات الفيروسات وتكويناتها إلى أن تتم على كل محطة عمل، بل على الخادم فقط.
إدارة التهديد من الفيروسات تعتبر إجراءً استباقيًا، مع كون برامج مكافحة الفيروسات جزءًا فقط من الحل، وتتطلب استراتيجية الحماية الأمنية الكاملة العديد من الجوانب للمساعدة في تقليل خطر البرمجيات الخبيثة والفيروسات وغيرها من التهديدات.
تطوير السياسات والقواعد الداخلية(Develop in-house policies and rules):
في بيئة الشركات أو حتى في مكتب صغير، تحتاج إلى وضع سياسات وقواعد داخلية تحدد المعلومات التي يمكن وضعها على النظام، وعلى سبيل المثال، هل يجب على المستخدمين تنزيل البرامج من الإنترنت؟ هل يمكن للمستخدمين جلب وسائط التخزين الخاصة بهم، مثل USB flash drives؟ هل هناك سياسة BYOD للشركة تحد من استخدام الهواتف الذكية الشخصية والأجهزة المحمولة الأخرى؟
مراقبة تهديدات الفيروسات (Monitor virus threats):
مع ظهور فيروسات جديدة باستمرار، تحتاج إلى التحقق من ما إذا كانت هناك فيروسات جديدة قد تم إصدارها وما هي الأضرار التي يمكن أن تسببها.
تثقيف المستخدمين (Educate users):
واحدة من المفاتيح لحل متكامل لمكافحة الفيروسات هي تدريب المستخدمين على تقنيات الوقاية والتعرف على الفيروسات، إذا عرف المستخدمون ما يجب البحث عنه، يمكنهم منع دخول الفيروسات إلى النظام أو الشبكة، يجب أخذ نسخ احتياطية من الوثائق الهامة، ضع في اعتبارك أنه لا توجد حلول مطلقة، لذا يجب الحرص على أن تكون البيانات مضمونة بشكل احتياطي، في حالة حدوث هجوم خبيث، تكون المعلومات الاحتياطية متاحة في موقع آمن.
تلقائية فحص الفيروسات والتحديثات (Automate virus scanning and updates):
يمكنك تكوين برامج مكافحة الفيروسات الحديثة لفحص وتحديث نفسها تلقائيًا. نظرًا لأن هذه المهام يمكن نسيانها وتجاوزها، يُوصى بأن تكون هذه العمليات مجدولة لتعمل في أوقات محددة مسبقًا.
لا تقم بتشغيل الخدمات غير الضرورية (Don’t run unnecessary services):
يجب معرفة كل خدمة تعمل على شبكتك وسبب تشغيلها، وإذا كان بإمكانك تجنب تشغيل الخدمة، فاعتبره كإضافة قفل آخر على الباب وقم بذلك.
تتبع المنافذ المفتوحة (Keep track of open ports):
تمامًا كما لا تريد تشغيل الخدمات غير الضرورية، لا تريد ترك المنافذ غير الضرورية مفتوحة. كل منها هو باب غير محروس يمكن للمتطفل الدخول من خلاله.
تجنب القنوات غير المشفرة وبيانات اعتماد النص الواضح (Avoid unencrypted channels and clear-text credentials):
لقد انتهت الأيام التي كانت فيها هذه الأمور مقبولة. استمرار استخدامها يعادل دعوة للهجوم.
تجنب البروتوكولات غير الآمنة (Shun unsecure protocols):
في الماضي، كانت كلمات المرور النصية الواضحة مقبولة للاستخدام لأن مخاطر دخول أي شخص غير مرغوب فيه إلى شبكتك كانت ضئيلة، خلال تلك الأيام، كان من المقبول استخدام البروتوكولات غير الآمنة أيضًا لأن الأولوية كانت لسهولة الاستخدام بدلاً من حماية البيانات. هذه الممارسات انتهت منذ عقود، لذا يجب عليك – من أجل الأمان – أن تكون حذرًا مع البروتوكولات غير الآمنة التالية: Telnet, HTTP, SLIP, FTP, TFTP, وSNMP (v1 وv2)، هناك بدائل آمنة – تقدم نفس الوظائف ولكن تضيف مستويات مقبولة من الأمان – متاحة لكل منها، حيثما أمكن، اختر بدلاً من ذلك SSH, SNMPv3, TLS/SSL, SFTP, HTTPS, وIPSec.
تثبيت التصحيحات والتحديثات (Install patches and updates):
جميع التطبيقات، بما في ذلك برامج الإنتاجية، برامج مكافحة الفيروسات، وخاصة نظام التشغيل، تصدر تصحيحات وتحديثات بشكل متكرر، تهدف إلى معالجة الثغرات الأمنية المحتملة، ويجب على المسؤولين مراقبة هذه التصحيحات وتثبيتها عند إصدارها، انتبه بشكل خاص للأنظمة غير المرقعة/القديمة وحافظ عليها بأمان قدر الإمكان.
أحد أفضل الأدوات التي يمكن استخدامها عند التعامل مع المشكلات هو المعرفة، وفي عدة مواقع، تؤكد CompTIA على أهمية تعليم المستخدم، ولكن الأكثر أهمية هو أن يعرف المسؤولون ما يحدث وأن يستمروا في التعلم من ما يحدث الآن وما حدث في الماضي، كمثال، TEMPEST هو اسم مشروع بدأته الحكومة الأمريكية في أواخر الخمسينيات يجب أن يكون كل المسؤولين على دراية به، كان مشروع TEMPEST معنيًا بتقليل الضوضاء الإلكترونية من الأجهزة التي يمكن أن تكشف معلومات استخباراتية عن الأنظمة والمعلومات، أصبح هذا البرنامج معيارًا لشهادات أنظمة الحاسوب، تعني حماية TEMPEST shielding أن نظام الحاسوب لا يصدر أي كميات كبيرة من التداخل الكهرومغناطيسي (EMI) أو التداخل الترددي الراديوي (RFI) (RF emanation)، للحصول على موافقة جهاز كـ TEMPEST، يجب أن يخضع لاختبارات مكثفة تُجرى وفقًا للمعايير الدقيقة التي تمليها الحكومة الأمريكية. اليوم، يتم استخدام المناطق المسيطر عليها والضوضاء البيضاء لتحقيق التغطية. غالبًا ما تكون تكلفة المعدات المعتمدة من TEMPEST ضعف تكلفة المعدات غير المعتمدة من TEMPEST.
نصيحة أختبار:
اعرف بعض الطرق لمنع هجمات الشبكة وتخفيف الثغرات الأمنية.
النهاية:
وها قد أنتهى الشق الثاني من الفصل التاسع ، إن أردت أن تعطينا رأيك عن المحتوى المقدم من هنا.
وها قد أنتهى الشق الثاني من الفصل التاسع ، إن أردت أن تعطينا رأيك عن المحتوى المقدم من هنا.
