Explain Security Concerns Vulnerability Types 11

Explain Security Concerns Vulnerability Types

لا يتم إجراء تقييم الأمان بشكل فعال عن طريق اختيار الأدوات المناسبة فقط. بل تحتاج إلى فهم أنواع الثغرات التي تؤثر على أنظمة المعلومات والشبكات. كما يجب عليك أن تكون قادراً على تقييم وشرح التأثيرات التي يمكن أن تنشأ من الثغرات، حتى يمكن تحديد أولويات الأنشطة المتعلقة بالتقييم والتصحيح حيثما تكون الحاجة إليها أكثر.

Software Vulnerabilities and Patch Management

تعني استغلال البرمجيات هجومًا يستهدف الثغرة في رمز البرنامج. وتعد الثغرة في التطبيق تصميمًا خاطئًا يمكن أن يتسبب في تجاوز نظام الأمان أو تتسبب في تعطل التطبيق. وعادةً ما يمكن استغلال الثغرات في ظروف محددة لكن بسبب تعقيد البرمجيات الحديثة وسرعة إطلاق إصدارات جديدة في السوق، فإنه لا يوجد برنامج يخلو من الثغرات تقريبًا.

ولتوضيح ذلك، يمكن النظر في ثغرات تؤثر على برنامج قارئ مستندات PDF من Adobe مقابل ثغرة في برنامج الخادم الذي يدعم أمان النقل. يمكن أن يعطي الأول فرصة للمهاجمين للوصول إلى شبكة الشركة عبر جهاز العمل؛ بينما يمكن أن يكشف الثاني عن المفاتيح الرمزية المستخدمة لتوفير خدمات الويب الآمنة وتعريضها للخطر. وكلاهما يمكن أن يتسبب في تأثير كبير لأسباب مختلفة.
ومن المهم أيضًا أن ندرك أن الثغرات الأمنية تؤثر على جميع أنواع الرموز، وليس فقط التطبيقات.

• Operating system (OS): يتم تشغيل استغلال التطبيق بصلاحيات المستخدم المسجل، والتي يجب أن تكون محدودة. ومن المرجح أن تسمح الثغرة في ملف نواة نظام التشغيل أو المكتبة المشتركة بتصعيد الامتيازات، حيث يتم تشغيل رمز البرامج الضارة بصلاحيات وصول أعلى (system أو root). وهناك مثال على ذلك هو ثغرة Dirty COW في نواة Linux
• Firmware: يمكن أن توجد ثغرات في برامج الإدارة الأساسية (BIOS / UEFI) التي تتحكم في عملية الإقلاع للحواسيب الشخصية. كما يمكن أن توجد أخطاء في برامج الإدارة الأساسية للأجهزة، مثل بطاقات الشبكة ومتحكمات الأقراص. وأخيرًا، تعمل أجهزة الشبكة وأجهزة الإنترنت من الأشياء (IoT) برمز نظام التشغيل كنوع من البرامج الثابتة. ومثل ثغرات نواة النظام، يمكن أن تكون استغلالات البرامج الثابتة صعبة التحديد، لأن رمز الاستغلال يمكن أن يعمل بأعلى مستويات الامتيازات. وتوضح ثغرة Intel AMT تأثيرات ثغرة البرامج الثابتة.

تكتشف معظم الثغرات الأمنية من قبل خبراء البرمجيات والأمن السيبراني، الذين يخطرون بائع البرمجيات ليتيح له وقتًا لإصلاح الثغرة قبل إفصاح التفاصيل للجمهور العام. إدارة التحديثات غير الناجحة أو الضعيفة هي طبقة إضافية من الضعف حيث لا يتم تطبيق تلك التحديثات الأمنية على الأنظمة، مما يتركها مفتوحة للاستغلال من قبل المهاجمين.

Zero-Day and Legacy Platform Vulnerabilities

حتى إذا كانت إجراءات إدارة التحديثات الفعالة موجودة، لا يزال المهاجمون قادرين على استخدام ثغرات البرامج كناقل للهجوم. وتسمى الثغرة التي يتم استغلالها قبل أن يعرف المطور عنها أو يتمكن من إصدار تحديث، “Zero-Day“. ويمكن أن تكون هذه الثغرات مدمرة للغاية، حيث يمكن أن يستغرق من البائع بعض الوقت لتطوير تحديث، مما يترك الأنظمة عرضة للاختراق في الفترة الانتقالية.

• Zero-day: تمتلك ثغرات الـ Zero-Day قيمة مالية كبيرة. فمثلاً، يمكن أن تصل قيمة استغلال ثغرة Zero-Day في نظام التشغيل الخاص بالهواتف الذكية إلى ملايين الدولارات. وبالتالي، يقتصر استخدام الخصم لثغرة Zero-Day على الهجمات التي تحمل قيمة عالية. ومن المعروف أن وكالات الأمن وإنفاذ القانون تجمع ثغرات الـ Zero-Day لتسهيل تحقيق الجرائم.
• A legacy platform: تعد المنصات القديمة هي تلك التي لم يعد مطورها أو بائعها يدعمها بتحديثات الأمان. ويمكن أن تكون هذه المنصات عبارة عن حواسيب شخصية/أجهزة كمبيوتر محمولة/هواتف ذكية، أجهزة الشبكات، أجهزة الإدخال والإخراج، أجهزة الإنترنت الأشياء، أنظمة التشغيل، بيئات البرمجة/قواعد البيانات، أو تطبيقات البرمجيات. وبالتعريف، فإن المنصات القديمة لا يمكن إصلاحها بالتحديثات. ومن المرجح بشدة أن تكون هذه الأنظمة عرضة للاختراق، ويجب حمايتها بواسطة ضوابط أمنية أخرى غير إصلاح الثغرات، مثل عزلها عن الشبكات التي لا يمكن للمهاجم الاتصال بها بشكل فيزيائي.

Weak Host Configurations

تشير مصطلح “Weak Host Configurations” إلى إعدادات أجهزة الكمبيوتر أو الشبكات التي تفتقر إلى الإجراءات الأمنية اللازمة لحمايتها من الهجمات الإلكترونية. ومن أمثلة هذه الإعدادات الضعيفة هي عدم تحديث برامج الحماية بانتظام، وعدم اتباع الممارسات الأمنية القياسية، وعدم تكوين الأجهزة والشبكات بشكل صحيح. وتتسبب هذه الإعدادات الضعيفة في تعريض الأجهزة والشبكات للخطر وجعلها سهلة الاختراق للمهاجمين. ويمكن تجنب هذا النوع من الضعف الأمني عن طريق تنفيذ الإجراءات الأمنية اللازمة وتحديث البرامج بانتظام وتطبيق الممارسات الأمنية القياسية وتكوين الأجهزة والشبكات بشكل صحيح.

• Default Settings: الاعتماد على إعدادات المصنع الافتراضية عند نشر جهاز أو تطبيق برمجيات هو مثال آخر على التكوين الضعيف. وليس من الكافي الاعتماد على المورد لشحن المنتجات في تكوين آمن افتراضيًا، على الرغم من أن العديد من الشركات الآن تفعل ذلك. وقد تترك الإعدادات الافتراضية واجهات غير آمنة مفعلة، مما يسمح للمهاجمين باختراق الجهاز. ويمكن لأجهزة الشبكات التي تحتوي على إعدادات ضعيفة أن تسمح للمهاجمين بالتحرك دون عوائق في الشبكة والتنصت على حركة المرور. لذلك، يجب عدم الاعتماد على الإعدادات الافتراضية وتكوين الأجهزة والتطبيقات بشكل صحيح.
• Unsecured Root Accounts: يشير حساب الجذر، المعروف باسم حساب المسؤول الافتراضي في نظام التشغيل Windows أو بشكل عام باسم المستخدم الخارق، إلى أنه لا توجد قيود مفروضة على الوصول إلى النظام. يتم استخدام حساب المستخدم الخارق لتثبيت نظام التشغيل. ويعد حساب الجذر غير المؤمن ، هو تلك الحسابات التي يمكن للخصم الحصول عليها، سواءً عن طريق تخمين كلمة المرور الضعيفة أو عن طريق استخدام بعض الهجمات المحلية لتعيين أو تغيير كلمة المرور. ويمكن أيضًا أن تسمح الثغرات البرمجية بالحصول على صلاحيات الجذر، مثل الثغرة التي تؤثر على نظام MacOS. وتعد هذه الثغرات ضعيفة أمنية خطيرة للغاية لأنها تمنح المهاجم السيطرة الكاملة على النظام.
• Open Permissions: الأذونات المفتوحة تشير إلى توفير ملفات البيانات أو التطبيقات دون تمييز حقوق الوصول لمجموعات المستخدمين. تكون أنظمة الأذونات معقدة ومن السهل cometer أخطاء، مثل السماح للضيوف غير المصرح لهم بعرض ملفات البيانات السرية، أو السماح بالوصول للكتابة عندما يكون الوصول للقراءة فقط هو المناسب. يتميز هذا المشكل بشكل خاص على تخزين السحابة، حيث قد يكون المسؤولون المستخدمون للتحكم في قوائم تحكم الوصول إلى دلائل ويندوز ولينكس غير ملمين بالمكافآت المعادلة في السحابة مثال.

Weak Network Configurations

تشير مصطلح “تكوينات الشبكة الضعيفة” إلى وجود نقاط ضعف في تصميم الشبكة الحاسوبية يمكن أن تتيح للمهاجمين الوصول غير المصرح به إلى الموارد الحاسوبية أو البيانات السرية. يمكن أن تشمل هذه النقاط الضعف تشغيل الخدمات غير الضرورية، وعدم استخدام التشفير القوي، وعدم تحديث البرامج بانتظام، وعدم تطبيق سياسات قوية للمصادقة والتراخيص. ويتعين على المؤسسات تنفيذ إجراءات أمنية فعالة للتأكد من تكوين الشبكة بشكل صحيح وتقليل نقاط الضعف التي يمكن استغلالها من قبل المهاجمين.

Open Ports and Services

تسمح تطبيقات الشبكة والخدمات باتصالات العميل عبر أرقام منافذ بروتوكول التحكم في النقل (TCP) أو بروتوكول بيانات المستخدم (UDP). يتم تحديد العملاء والخوادم بواسطة عناوين بروتوكول الإنترنت (IP). يجب على الخوادم التشغيل بما لا يقل عن بعض المنافذ المفتوحة، ولكن تنص الممارسات الأمنية الجيدة على ضرورة تقييد هذه المنافذ للخدمات اللازمة فقط. يزيد تشغيل المنافذ والخدمات المفتوحة غير الضرورية من سطح الهجوم. وتشمل بعض الخطوات العامة لتعزيز الخدمات لتلبية دور محدد ما:

إذا كانت الخدمة حيوية للأمن (مثل واجهة الإدارة عن بعد)، فيجب تقييد نقاط النهاية المسموح لها بالوصول إلى الخدمة حسب عناوين بروتوكول الإنترنت (IP) أو نطاق العناوين. بديلاً عن ذلك، يمكن إدراج نقاط النهاية المشبوهة في القائمة السوداء ومنعها من الاتصال، ولكن يسمح بالوصول لنقاط النهاية الأخرى.

يجب تعطيل الخدمات التي تم تثبيتها بشكل افتراضي ولكنها غير ضرورية. في الواقع، يجب تعطيل الخدمة على الخادم نفسه إذا أمكن ذلك، ولكن في بعض الحالات قد يكون من الضروري حظر المنفذ باستخدام جدار الحماية بدلاً من ذلك.

بالنسبة للخدمات التي يجب أن تكون متاحة فقط على الشبكة الخاصة، يجب حظر الوصول إلى المنافذ عند حدود جدران الحماية أو تقسيم الشبكة بحيث لا يمكن الوصول إلى الخوادم من الشبكات الخارجية.

Unsecure Protocols

البروتوكول غير الآمن هو الذي ينقل البيانات بصورة نصية واضحة، ويعني هذا أن البروتوكول لا يستخدم التشفير لحماية البيانات. وعدم وجود التشفير يعني أيضًا عدم وجود طريقة آمنة للمصادقة على نقاط النهاية. وهذا يتيح للمهاجم اعتراض وتعديل الاتصالات، والتصرف كـ “رجل في الوسط” (MITM).

Weak Encryption

تحمي خوارزميات التشفير البيانات عند تخزينها على القرص أو نقلها عبر الشبكة. يجب أن يكون الوصول إلى البيانات المشفرة متاحًا فقط للشخص الذي يملك مفتاح فك التشفير الصحيح. تسمح الثغرات في التشفير الضعيف بالوصول غير المصرح به إلى البيانات. تنشأ مثل هذه الثغرات في الحالات التالية:

• يتم إنشاء المفتاح من كلمة مرور بسيطة، مما يجعله عرضة لمحاولات التخمين بالتدرج القوي (إذا كانت كلمة المرور قصيرة جدًا) أو التدرج بالقاموس (إذا لم تكن كلمة المرور معقدة).
• الخوارزمية أو الشفرة المستخدمة للتشفير لديها ثغرات معروفة تتيح التدرج بالتدرج القوي.
• المفتاح لم يتم توزيعه بشكل آمن ويمكن أن ينتهي به الأمر بسهولة في أيدي أشخاص ليس لديهم الصلاحية لفك تشفير البيانات.

Errors

قد تعرض التطبيقات المُكونة بشكل ضعيف رسائل خطأ غير مُنسّقة في ظروف معينة. يمكن أن تكشف هذه الرسائل عن ثغرات وأخطاء في البرمجة للمهاجمين الذين يبحثون عن الضعف. يجب أن تضمن ممارسات البرمجة الآمنة عدم الكشف عن معلومات تساعد في تطوير استغلال ثغرات إذا فشل التطبيق، ويجب أن يفشل بشكل “أنيق” دون الكشف عن أي معلومات تساعد على استغلال هذا الفشل.

Impacts from Vulnerabilities

تأثيرات الثغرات الأمنية تتعدد وتشمل:

1. فقدان السرية: إذا كان المهاجم قادرًا على استغلال الثغرة، فقد يتمكن من الوصول إلى المعلومات الحساسة أو البيانات الشخصية، وبالتالي يتم فقدان السرية.
2. فقدان الانتماء: يمكن للمهاجم أن يستغل الثغرة لتعديل البيانات أو الإضرار بالملفات، وبالتالي يتم فقدان الانتماء.
3. فقدان التوافر: يمكن للمهاجم أن يستغل الثغرة لإعاقة النظام أو الشبكة، وبالتالي يتم فقدان التوافر.
4. الأضرار المالية: يمكن للثغرات الأمنية أن تتسبب في الأضرار المالية، سواء كان ذلك عن طريق الاحتيال أو سرقة المعلومات البنكية أو غيرها.
5. فقدان الثقة: إذا تعرضت المؤسسة للثغرات الأمنية بشكل متكرر، فإن ذلك يمكن أن يؤدي إلى فقدان الثقة لدى العملاء والمستخدمين.
6. الأضرار القانونية: قد يتعرض المؤسسة للمسؤولية القانونية إذا تعرضت للثغرات الأمنية وتم الكشف عن أنها لم تتبع الممارسات الأمنية اللازمة.

Data Breaches and Data Exfiltration Impacts

يجب جمع جميع المعلومات وتخزينها ومعالجتها بواسطة مستخدمين مصرح لهم ومضيفين خاضعين للأذونات (التراخيص) التي تخصص لهم من قبل مالك البيانات.
تصف الانتهاكات الأمنية والتسرب الإلكتروني للبيانات نوعين من الأحداث التي يحدث فيها استخدام غير مصرح به للمعلومات:

1. data breach: حدوث انتهاك للبيانات هو عندما يتم قراءة أو نقل البيانات السرية دون إذن. ويحدث انتهاك للخصوصية عندما لا يتم جمع البيانات الشخصية وتخزينها ومعالجتها بالامتثال الكامل للقوانين أو اللوائح المتعلقة بالمعلومات الشخصية. ويمكن وصف الانتهاك بأنه تسرب للبيانات. يمكن أن يكون الانتهاك عن طريق العمد/التسبب الخبيث أو الغير مقصود/الصدفي.
2. Data exfiltration: التسرب الإلكتروني للبيانات هو الأساليب والأدوات التي يستخدمها المهاجم لنقل البيانات دون إذن من أنظمة الضحية إلى شبكة خارجية أو وسائط أخرى. على عكس الانتهاك الأمني للبيانات، يكون حدث التسرب الإلكتروني للبيانات دائمًا عمدًا ومتعمدًا. ويعتبر الانتهاك الأمني للبيانات نتيجة لحدث التسرب الإلكتروني للبيانات.

يشمل انتهاك البيانات مجموعة واسعة من السيناريوهات مع مستويات مختلفة من التأثير. ويتمثل أكثر أنواع انتهاك البيانات الخطيرة في المساس بالملكية الفكرية الثمينة أو بالمعلومات الشخصية لحاملي الحسابات.

Identity Theft Impacts

قد يسمح انتهاك الخصوصية للمهاجم بأداء عملية سرقة الهوية أو بيع البيانات لأطراف غير ملتزمة. وقد يحصل المهاجم على بيانات اعتماد الحسابات أو يمكنه استخدام التفاصيل الشخصية والمعلومات المالية لتقديم طلبات ائتمانية ومشتريات مزورة.

Data Loss and Availability Loss Impacts

بالمقارنة مع انتهاكات البيانات، يحدث فقدان البيانات عندما تصبح المعلومات غير متاحة إما بشكل دائم أو مؤقت. وعادة ما يتم تجاهل التوفر كسمة أمان بالمقارنة مع السرية والنزاهة، لكن يمكن أن يكون له تأثيرات خطيرة على سير العمل في الشركات. إذا تم إسقاط أنظمة المعالجة بسبب حوادث الكوارث العرضية أو الخبيثة، قد لا يتمكن الموظفون من القيام بسير العمل الحيوي مثل معالجة الطلبات والوفاء بها.

Financial and Reputation Impacts

يمكن أن تؤدي كل هذه التأثيرات إلى تأثيرات مالية مباشرة بسبب الأضرار والغرامات وفقدان الأعمال. كما أن حوادث انتهاك البيانات/الخصوصية وفقدان التوفر ستتسبب في تراجع سمعة الشركة بين العملاء المباشرين. وقد تؤدي الأحداث الكبرى إلى إثارة العديد من الانتقادات في وسائل التواصل الاجتماعي ووسائل الإعلام الرئيسية. وعلى ضوء هذه التأثيرات المتوقعة، يجب أن تضم فرق معالجة الحوادث الخبرات العلاقات العامة (PR) والتسويق لتقليل الأضرار التي يمكن أن تلحق بالسمعة.

Third-Party Risks

أدى حدوث الانتهاكات الشهيرة إلى تقدير أكبر لأهمية سلسلة التوريد في إدارة الضعف الأمني. يمكن أن يحتوي المنتج أو الخدمة حتى على مكونات يتم إنشاؤها وصيانتها بواسطة سلسلة طويلة من الشركات المختلفة. ويعتمد كل شركة في السلسلة على قيام مورديها بإجراء الاستدلال الدقيق على مورديهم. ويمكن أن يتسبب الشريان الضعيف في السلسلة في تأثيرات على توفر الخدمة والأداء، أو في أسوأ الحالات يؤدي إلى حدوث انتهاكات للبيانات.

Vendor Management

إدارة الموردين هي عملية لاختيار شركات الموردين وتقييم المخاطر المترتبة على الاعتماد على منتج أو خدمة من جهة خارجية. وعندما يتعلق الأمر بالبيانات والأمان السيبراني، يجب أن تفهم أنه لا يمكن نقل المخاطر بالكامل إلى المورد. إذا تعرض مورد تخزين البيانات لانتهاك بيانات، فقد يمكنك المطالبة بالتكاليف منه، ولكن ستتحمل شركتك مسؤولية العقوبات القانونية والأضرار بالسمعة. وإذا تعرض متجر الويب الخاص بك للانقطاع التكراري بسبب فشل مزود الاستضافة، فستتضرر سمعة شركتك وستفقد الطلبات لأن العملاء يبحثون عن خيارات أخرى.

Outsourced Code Development

يتعلق مشكلة الرقابة الفعالة بشكل خاص بتطوير الشفرة المستعارة. فإن العديد من الشركات لا تملك خبرة في البرمجة داخل الشركة، ولكن من دون مثل هذه الخبرة فمن الصعب ضمان تقديم المقاولين لشفرة آمنة. والحل هو استخدام مورد واحد للتطوير ومورد آخر لاختبار الضعف واختبار الاختراق.

Data Storage

هناك سيناريوهان رئيسيان للمخاطر التي تتعرض لها البيانات عند استخدام الجهات الخارجية. أولاً، قد تحتاج إلى منح موفر الخدمة الخارجي إمكانية الوصول إلى بياناتك، وثانيًا، قد تستخدم موفر خدمة خارجي لاستضافة البيانات أو نسخ الاحتياطية والأرشيفات. يجب اتخاذ الاحتياطات العامة التالية:

1. يجب ضمان نفس مستوى الحماية للبيانات كما لو كانت مخزنة داخل المؤسسة، بما في ذلك إدارة التفويض والوصول والتشفير.
2. يجب مراقبة ومراجعة الوصول من الجهات الخارجية إلى تخزين البيانات للتأكد من استخدامها وفقًا لاتفاقيات مشاركة البيانات واتفاقيات عدم الإفصاح.
3. يجب تقييم تأثير الامتثال عند تخزين البيانات الشخصية على نظام جهة خارجية، مثل مزود خدمة السحابة أو خدمة إدارة النسخ الاحتياطية/الأرشيفات.

Cloud-Based versus On-Premises Risks

تشير مخاطر التركيب المحلي إلى ثغرات البرامج والتكوينات الضعيفة وقضايا الطرف الثالث التي تنشأ من المضيفين والخوادم وجهاز التوجيه ومفاتيح التبديل ونقاط الوصول وجدران الحماية الموجودة على شبكة خاصة مثبتة في المكاتب الخاصة أو المباني الجامعية. تستخدم العديد من الشركات خدمات الحوسبة السحابية لدعم سير عمل الأعمال بالكامل أو جزئيًا.

تنطبق المخاطر المتعلقة بإدارة أطراف الثالثة والشفرة وتخزين البيانات التي تمت مناقشتها سابقًا مباشرة على الحوسبة السحابية وكذلك على التركيب المحلي. يمكن أيضًا تطبيق مخاطر البرامج والتكوينات الضعيفة، ومع ذلك، فهي ليست مسؤولية الشركة المزودة لخدمة الحوسبة السحابية (CSP) وحدها.

تعمل السحب بنموذج مسؤولية مشتركة، وهذا يعني أن مزود خدمة الحوسبة السحابية مسؤول عن أمان السحابة، بينما يتحمل مستهلك السحابة مسؤولية الأمان في السحابة. يختلف أنواع ثغرات البرمجيات والتكوينات التي يجب عليك تقييمها ومراقبتها وفقًا لطبيعة الخدمة.