يوجد ثلاث محاور رئيسية للشق الدفاعي (Defensive Security) فيما يتعلق بتأمين وحماية الشبكات وهى:
المحور الأول (Prevention) يشمل كل الإجراءات التي نقوم باتخاذها لمنع نجاح الهجمات الموجهة إلى الشبكة المسؤولين عن حمايتها. كمثال اعتبر أن لديك مدينة أنت مسئول عن حمايتها من الهجمات الخارجية...ما هي الإجراءات التي ستتخذها لكي تحمي مدينتك ؟
يمكننا التفكير في بناء أسوار عالية حول المدينة أو تحصين أبواب المدينة وتقويتها كي لا تكون سهلة الكسر أو حفر خندق حول المدينة لمنع المهاجمين من الوصول إلى المدينة وغيرها الكثير من الإجراءات التي لا حصر لها ولكن أهم نقطة نريد التركيز عليها هنا هي العامل المشترك بينها جميعا وهو منع المهاجمين من الوصول لمدينتك عن طريق دراسة كل الطرق التي قد تستخدم للوصول إليك (Attack Vectors) وتطبيق الإجراءات التي تضمن منع إستخدام أي من هذه الطرق للهجوم على مدينتك.
المحور الثاني (Detection) ويختص برصد تحركات المهاجمين سواء كانت هذه التحركات قبل نجاحهم فى اختراق الدفاعات أو بعدها. لنفترض أن المهاجمين نجحوا في إيجاد وسيلة لتخطي الخندق المحيط بالمدينة فستكون النتائج كارثية إن لم يكن لدينا وسائل مراقبة تمكننا من معرفة ذلك وتدارك ما حدث. ومن الأهمية أن نذكر أنه مهما كانت الإجراءات التي قمنا باتخاذها قوية وفعالة في الجزء المتعلق بال Prevention, فإن المهاجمين لديهم القدرة دائما على تخطي هذه الدفاعات لتوفر عنصر الوقت لديهم ولعدم تكافئ طرفي المعادلة فوجود ثغرة واحدة هي كل ما يحتاجون إليه لينجحوا هم في عملية الإختراق ونفشل نحن في عملية التأمين.
لكن لا يجب أن نجعل ذلك يثنينا عن الإهتمام بالـ Prevention لأنه ببساطة لا يمكن للـ Detection أن ينجح ويكون فعال إلا إذا بني على أساس متين من Prevention فالخلاصة أن هذين المحورين يكمل بعضهم بعضا ولا يمكن لأحدهما أن يقوم بدون وجود الأخر.
المحور الثالث (Response) وفيه يتم دراسة الأساليب والخطط التي يجب إتباعها في حالة اكتشاف وجود اختراق في مرحلة متأخرة لم ننجح في رصدها خلال Detection. كمثال ماذا يجب أن نفعل في حالة نجح المهاجمون في تخطي دفاعاتنا وقيامهم بالهجوم علينا ؟ هل يجب أن نهاجمهم أم نركز على محاولة معرفة الثغرة التي دخلوا من خلالها وإغلاقها؟ ما هي الأهداف الأكثر أهمية التي يجب أن نركز جهودنا على حمايتها في هذه المرحلة؟ ما هي وسيلة التواصل الآمنة في هذا التوقيت فقد يكون المهاجمون نجحوا في اختراق الـ Email Server وبالتالي يعرفون ما سنقوم بفعله مقدما ويعدلون خططهم بناءا على هذه المعلومات المتوفرة لديهم. هنالك الكثير والكثير مما سنتعرض له لاحقا إن شاء ولكن يكفينا أن ندرك الآن أننا قد نجد أنفسنا في أي لحظة في هذه المرحلة بدون سابق إنذار لذلك يجب علينا الاستعداد لها مسبقا أو كما يقولون Hope For The Best, Plan For The Worst.
من المعلوم أيضا أن المعلومات المستخرجة من كل مرحلة تستخدم لتحسين وتطوير المراحل الأخرى فإذا وجدنا مثلا خلال مرحلة Response وجود ثغرة لم نكن على دراية بها وكانت هي السبب في فشل مرحلة Prevention فسنقوم بمعالجتها للتأكد من فعالية مرحلة الـ Prevention وضمان عدم استخدامها مجددا كما سنقوم بالتحقق من السبب وراء فشل الـ Detection من رصد هذه الهجمة في مراحلها المتقدمة وبناءا عليه سنستحدث أساليب مراقبة جديدة تمكننا من رصد ذلك في المستقبل.
بناءا على ما سبق سنحاول خلال هذه السلسلة بإذن الله المرور سريعا على الأساليب العملية (Non-Theoretical) الأكثر فعالية في كل مرحلة فقد تكون مفيدة لمن تولى مهمة تأمين الشبكة وحمايتها ويريد خطوات عملية بطريقة مبسطة ومنهجية للسير عليها. كذلك وجب التنبيه أن الهدف من هذه السلسلة ليست تغطية شاملة لكل الطرق والأساليب ولكنها ستركز على الخطوات ذات التأثير الأكبر. هناك قاعدة مشهورة في مجال أمن المعلومات يطلق عليها Cyber Security 80/20 Rule: وتنص على الآتي:
ومعناها أنه يمكنك تحقيق مستوى حماية يتجاوز ٨٠٪ فقط عن طريق تطبيق ٢٠٪ من أساليب الحماية ولكن ما يميز هذا الجزء من أساليب الحماية عن غيرها هو أثرها الكبير أو ما يطلق عليه أحيانا Quick Wins وهو ما يتماشى مع ما ننبه عليه دائما من الحاجة للعمل بذكاء بدلا من العمل باجتهاد أو ما يعرف ب Work Smart Not Hard فبقليل من التركيز والإبداع يمكنك تحقيق نتائج أفضل من العمل سنوات عديدة بالطرق التقليدية.
بداية...ما هي الطرق التي قد يسلكها المهاجم خلال عملية الإختراق ؟ قبل الإجابة على هذا السؤال يجب أن ننتبه إلى وجود نوعين فقط من المهاجمين وهما Outsider و Insider. كما يتضح من الإسم فالأول يمثل أي شخص يمثل تهديد خارجي وليس له أي صلاحيات على الشبكة ويرى الشبكة من الخارج مثله مثل أي مستخدم على الإنترنت وبالتالي ليس لديه أي سابق معرفة بالشبكة التي سيهاجمها أما الثاني فهو أخطر بكثير من الأول لأنه قد يكون أحد موظفي الشركة ويعمل لحساب الغير ويعمل على مهاجمة الشبكة من الداخل وتكمن خطورته في أنه بعيد عن الشبهات وكذلك لتوفر قدر صغير أو كبير من الصلاحيات له على الشبكة يمكنه من الهجوم بطرق لا حصر لها.
فيما يتعلق بال Outsider فيمكننا تلخيص الطرق التي قد يستخدمها للهجوم كما يلي:
أما بالنسبة لل Insider فللأسف لا يمكن حصر الطرق التي قد يستخدمها للهجوم لكثرتها وتنوعها واختلافها حسب موقع المهاجم والصلاحيات المتاحة له ولكن مع ذلك سنتعرض باذن الله لخطوات الحماية التي يمكن اتخاذها مسبقا لمنع هذا النوع من الهجمات.
كما نرى الوضع قد يكون أسهل لنا في حالة Outsider حيث يمكننا توقع External Entry Points / Attack Vectors وتطبيق عدد من إجراءات الحماية لمنع استخدام هذه الطرق/القنوات في الهجوم على الشبكة التي نقوم بحمايتها. فيما يلي نبذة سريعة عن هذه الطرق/القنوات وكيف يمكن استخدامها للهجوم:
المدخل الأول (Email): قد يحاول المهاجم ارسال Email لأحد موظفي الشركة إما لسرقة كلمة المرور الخاصة بهذا الموظف عن طريق Phishing أو إرفاق Malware مع الـ Email يتيح للمهاجم التحكم في جهاز الضحية بعد تشغيل الملف.
المدخل الثاني (Web): عن طريق إيجاد ثغرة في الموقع(مثل XSS, LFI,RFI, SQL Injection, Session Hijacking) تمكن المهاجم من التحكم في Server أو الحصول على بيانات مهمة ككلمات المرور.
المدخل الثالث(USB): يحاول المهاجم التسلل إلى مقر الشركة وتوصيل USB Drive أو ما يعرف بـ Raspberry Pi بأحد الأجهزة المتصلة بالشبكة بهدف الحصول على نقطة هجوم داخلية يستطيع التواصل والتحكم بها من خارج الشبكة.
المدخل الرابع (Remote Code Execution): يتمثل هذا المدخل في نجاح المهاجم في إكتشاف ثغرة من نوع RCE في أحد Servers المعرضة للإنترنت مثل Email Server أو Web Server والتي يستطيع عن طريقها تنفيذ أوامر بصورة مباشرة على الـ Server والتحكم به عن طريق Exploit.
المدخل الخامس (Password Guessing): يقوم المهاجم بمحاولة تخمين كلمة السر لبعض المستخدمين عن باستخدام طرق متعددة مثل الحصول عليها من التسريبات(ما يعرف بـ Leaks) أو عن طريق تخمين كلمات السر ذات الصلة بالضحية (ما يعرف بـ Password Dictionaries)
سنتناول في الدرس القادم بإذن الله المدخل الأول Email و سنناقش بعض الطرق العملية والفعالة في كيفية تأمين هذا المدخل بطريقة توفر لنا حماية جيدة.
المراجع:
http://securityresponse.symantec.co...y.articles/fundamentals.of.info.security.html
http://searchwindowsserver.techtarget.com/definition/remote-code-execution-RCE
https://www.wired.com/2016/11/wickedly-clever-usb-stick-installs-backdoor-locked-pcs/
