un

guest
1 / ?
back to lessons

ترحيب

مرحبًا بكم في التصدي للمخاطر: الدفاع في العمق.

كل أسبوع، رأسو: مستشفى محروم من نظامه الخاص بالأنظمة بسبب الفيروسات الخبيثة، وملايين كلمات السر المفتاحية التي سرقت من قاعدة بيانات مُفترضة، ونزول خط أنابيب بسبب ضربة من المهاجمين الذين استطاعوا الدخول من خلال كلمة مرور مُضطربة واحدة.

الأمن السيبراني ليس عن كونه مُحاكيًا يرتدي قبعة. إنها عن فهم كيفية إخفاق أنظمة وأبناءها وبناء دفاعات تحمل عندما: ليس عندما: يحدث شيء خاطئ.

ستتعلم هذه الدرس من المفاهيم الأساسية حتى نموذج التهديد، والأمن في الشبكة، والأمن في التطبيقات، والإجابة على الحوادث، وultimately إلى مسارات المهنة حيث يتمتع هذا المعرفة بالدفع.

مثل المثلث

المثلث CIA

تُستدل كل قرار أمني على ثلاث مبادئ. يُسمى هذا في الصناعة مثلث CIA: لا علاقة له بالوكالة الأمنية.


السرية: يمكن فقط للأشخاص المصرح لهم الوصول إلى البيانات. يجب أن يكون سجل المريض مرئيًا للمريض وطبيبه، وليس للإنترنت بأكمله.


الصحة: لم يتم تغيير البيانات. عندما يقول بنكك أن توازنك هو 500 دولار، عليك أن تثق أن لا أحد غيره من 5000 دولار.


التوافر: أنظمة وبيانات متاحة عند الضرورة. سجل المرضى في مستشفى لا يزال مفيدًا إذا كان شبكة الإنترنت مُنقطِعًا خلال حالة الطوارئ.


تُخترق معظم الهجمات على الأقل واحدًا من هذه المبادئ. يهاجم هجمات الرansomware التوافر. تسرب البيانات يهاجم السرية. هجوم في منتصف الطريق على المعاملات المالية يهاجم الصحة.

الأمن في الواقع العالمي هو عن التضحيات بين جميع الثلاثة. تتمتع نظام محفوظ في خزانة بالسرية المثالية ولكنها توافر صفر.

مثلث CIA: السرية، الصحة، التوافر

هل الشركة تخزن أرقام بطاقات الائتمان الخاصة بالمستخدمين في قاعدة بيانات. في الأسبوع الماضي، قام مهاجم بتعديل بعض الأرقام المخزنة بدون أن يلاحظ ذلك. أي جزء من المثلث CIA تم انتهاكه، ولماذا يهم هذا انتهاك محدد أكثر من خسارة الوصول إلى البيانات؟

أذرع الهجوم

كيف يحدث الهجوم في الواقع

يظهر المخترعون في هوليوود كمن يضغطون على لوحة المفاتيح بسرعة مع كود أخضر في وحدة التحكم. الواقع أقل لفتًا للانتباه. يبدأ معظم الاختراقات من أحد أذرع الهجوم الشائعة:


السماح: خداع إنسان بالضغط على رابط، فتح ملخص، أو إدخال معلومات التعريف على موقع مزيف. هذا لا يزال أهم طريقة الوصول الأولية. التهرب الموجه يوجه شخص محدد بنشاط مخصص.


الفيروسات: برمجيات مصممة لتلف أو الوصول غير القانوني: يحشرون ملفاتك بالكامل ويطلبون دفع الرسوم، والترجمان يخفي أنفسهم كبرمجيات قانونية، والفيروسات تنتشر تلقائيًا عبر شبكات.


هجوم سلسلة التوريد: إخلال بإحدى شركات التوريد الموثوقة أو الاعتماديات البرمجية. تم إجراء هجوم SolarWinds في عام 2020 بتعريض كود مخرب إلى تحديث البرمجيات العادي الذي تم توزيعه على 18,000 مؤسسة، بما في ذلك الوكالات الحكومية الأمريكية.


هجوم على معلومات الدخول: الضغط بقوة على كلمات المرور، وتحميل كلمات المرور المخترقة (استخدام كلمات المرور من الاختراقات السابقة) أو استغلال كلمات المرور الافتراضية التي لم يتم تغييرها على الإطلاق.


استغلال يوم صفر: الهجوم على ضعف في البرمجيات الذي لا يعرف المطور عنه بعد. هذه النادرة ولكنها مدمرة لأنه لا يوجد ترخيص متاح.

أذرع الهجوم الشائعة: السماح، الفيروسات، سلسلة التوريد، هجوم على معلومات الدخول، يوم صفر

المتسللون وميتري

من وراء الهجوم؟

ليس جميع المهاجمين متساوين. يصنف المختصون في مجال الأمنهم حسب الدافع والقدرة:


المتسللون: متسللون منخفض المهارة يستخدمون الأدوات الموجودة مسبقًا.他们造成 الضرر الفعلي ولكنهم ليسوا مبتكرون.


المتسللون: متسللون متأثرون سياسياً أو اجتماعياً.他们 يهاجمون ويخترقون ويقومون بتفريغ المواقع أو إطلاق الهجمات بالرفض بالخدمات لصالحهم.


المجرمون الإلكترونيون: محبطون ماليون. عصابات الرansomware، وجماعات الفساد، ومكتشفات البيانات. هذا هو الجريمة المنظمة المعدلة للاستخدام على الإنترنت.


أدوات التهديد المتقدمة المدعومة من قبل الحكومات (APTs): التهديدات المتحكمة الدائمة المدعومة من الحكومات. لديهم ميزانيات كبيرة، وأدوات مخصصة، ومرونة تتميز بالسنوات. فكر في التجسس، وتدمير البنية التحتية، وسرقة الملكية الفكرية.


المتطفلون: الموظفون أو المقاولون الذين لديهم حق الوصول المشروع ويستخدمونه بشكل غير قانوني، سواء كان ذلك بشكل عمد أو بسبب عدم الاهتمام.


إطار عمل MITRE ATT&CK

MITRE ATT&CK هو قاعدة المعرفة المتاحة للجمهور التي تُحتفظ بها وتُصنف عمليات التهديد الحقيقية بتنسيقها بالمراحل: الوصول الأولي، والتنفيذ، والحفاظ على وجود التهديد، وتسجيل الصلاحيات، والانتقال الأفقي، والاستخراج، وغيرها. يستخدم المدافعون هذا الإطار للتفهم مما يفعله المهاجمون في كل مرحلة وبناء التبصيرات وفقًا لذلك.

تصنيف متطفلي الأخطاء: الأطفال، والمجتمعات، والكriminels، والحكومات، والمتطفلون

شركة محاسبة متوسطة الحجم تتعرض لهجوم بالفيروسات. تم الحصول على الوصول من خلال بريد ترويجي تم إرساله إلى موظف في دفة المدفوعات. الطلب بالدفعة هو 200,000 دولار في cryptocurrency. بناءً على طريقة الهجوم & الطلب، أي نوع من المتسللين الأكثر احتمالا المسؤولية؟ وشرح تفكيرك.

النافذات النارية، VPNs، وIDS/IPS

طبقات الدفاع عن الشبكة

دفاع متعدد الطبقات: طبقات أمن الشبكة

أمن الشبكة يتعلق بالتحكم في حركة المرور التي تدخلها، تخرجها، وتنقلها داخل شبكتك. لا يفعل أي جهاز ذلك بمفردة: الدفاع في العمق يعني تطبيق التحكمات المتعددة الطبقات.


نافذات النارية: الخط الأمامي للدفاع. تقوم نافذة النار بفحص حركة المرور في الشبكة وتسمح بها أو ترفضها وفقًا للقواعد. نافذة النار الأساسية تُفلتر حسب عنوان IP والرقم المخصص. نافذة النار الجديدة الجيل (NGFW) تُفحص محتوى حركة المرور الفعلية وتتمكن من تحديد تطبيقات محددة.


VPNs (شبكات خاصة افتراضية): تشفير حركة المرور بين نقطتين، مما يؤدي إلى إنشاء تون آمن عبر شبكة غير موثوقة مثل الإنترنت العامة. يستخدم العاملون عن بُعد VPNs للوصول إلى موارد الشركة الداخلية كما لو كانوا على الموقع.


IDS/IPS (أنظمة مكافحة الاعتداء/مكافحة التسلل): يراقب IDS حركة المرور ويعلم عندما يرى شيء مشكوك فيه. يفعل IPS نفس الشيء لكن يمكنه منع حركة المرور تلقائيًا. فكر في IDS كمكيف أمني وIPS كمكيف أمني مع حراس يمكنهم قفل الباب.


تجزئة الشبكة: تقسيم الشبكة إلى مناطق منعزلة بحيث لا يمكن أن تنتشر أي ثغرة في منطقة واحدة بسهولة إلى أخرى. قد يكون جهاز الكمبيوتر المضطرب في قسم التسويق لا يمكنه الوصول إلى خوادم قواعد البيانات في قسم المالية.

Zero Trust and DNS Security

نظام Zero Trust

تبعثُ الشبكات الأمن التقليدية على نموذج القلعة والخنادق: دفاعات قوية على الحدود، لكن بمجرد دخولك، أنت موثوق به. هذا يخفق بشكل كارثي عندما يفوت المهاجم الحدود: أو عندما تختفي الحدود بسبب أن الجميع يعملون من المنزل.


Zero Trust يقلب النموذج: لا تثق أبداً، تحقق دائمًا. كل طلب: سواء جاء من داخل الشبكة أو خارجها: يجب أن يكون محددًا، مصرحًا به، ومتشفَّر. المبادئ الرئيسية:

- التحقق بشكل مباشر: تحديد الهوية والموافقة بناءً على جميع البيانات المتاحة: الهوية والموقع وصحة الجهاز والخدمة أو العملload، وتصنيف البيانات.

- وصول الحق الأدنى: منح المستخدمين والأنظمة فقط الحقوق اللازمة لهم، لمدة لا تزيد عن الحاجة.

- توقع ثغرة: تصميم الأنظمة كما لو كان المهاجم قد دخل بالفعل. تقليل نطاق الانفجار للثغرة.


أمن DNS

DNS يترجم الأسماء الدومين إلى أرقام IP. يستغل المهاجمون هذا في عدة طرق: التزوير DNS يوجه المستخدمين إلى مواقع مهاجمة، والاتصال DNS يخفي نقل البيانات داخل طلبات DNS، وهجرة الدومين تسيطر على دومين قانوني. يضيف DNSSEC توقيعات كрипتوغرافية إلى إجابات DNS لمنع التلاعب.

Zero Trust vs Castle-and-Moat Architecture and DNS Security

تستخدم الشركة الحالية نموذج الشاطئ والخنادق للشبكة: جدار حماية قوي على الحدود، لكن بمجرد أن يلتقي الموظفون بالشبكة الداخلية، يمكنهم الوصول إلى كل شيء تقريبًا. يرغب الرئيس التنفيذي في معرفة لماذا ت提ح تركيب نظام zero trust سيجعل تكلفة أكبر وسيزيد الصعوبة على الموظفين. أعطِ حجتك: ما الخطر المحدد الناتج عن النموذج الحالي؟

هجمات التسليل

عندما تصبح التطبيقات مساحة هجوم

يمكن أن يكون دفاعات الشبكة مثالية ، لكن إذا كان التطبيق نفسه يحتوي على ثغرات أمنية ، يمكن للمهاجم أن يدخل بسهولة من الباب الأمامي.


SQL Injection: يُدخل من قبل المهاجم كود SQL شرغوف في حقل الإدخال. إذا بنى التطبيق طلبات قواعد البيانات بإلغاء تركيب مدخلات المستخدم ، يمكن للمهاجم قراءة أو تعديل أو حذف قاعدة البيانات بأكملها. مثال: إدخال ' OR 1=1 -- في صورة دخول قد يبقى التمكين تماماً.


Cross-Site Scripting (XSS): يدخل المهاجم كود JavaScript شرغوف في صفحة ويب سيشاهدها مستخدمون آخرين. عندما تشغل ضحية الصفحة ، يتم تشغيل النص البرمجي في متصفحها ويمكنه سرقة ملفات تعريف الجلسة ، توجيههم إلى مواقع التزوير أو تعديل ما يرونه على الصفحة.


The OWASP Top 10: يُنشَر مشروع أمن التطبيقات المفتوح المصدر قائمة منتقاة بشكل دوري لأهم مخاطر التطبيقات على الإنترنت. وقد ظهرت التسليل والـ XSS في القائمة منذ أكثر من عقد. تتضمن العناصر الأخرى التحكم غير الصحيح في الوصول ، والخطأ الأمني في التصميم ، والتصميم الأمني غير الآمن.


الإصلاح لهجمات التسليل ليس فقط تنفيذ تصفية المدخلات: هو استخدام عبارات الدوال المعدلة (تسمى أيضا إجراءات جاهزة). بدلاً من بناء سلسلة SQL مع مدخلات المستخدم ، يتم تمرير المدخول كمتغير مستقل يتمتع بقاعدة البيانات معاملة كبيانات وليس ككود.

هجوم التسليل باستخدام SQL مقابل إصلاح عبارات الدوال المعدلة

التحقق من هوية المستخدم وتطوير التطبيقات الآمنة

التحقق من هوية المستخدم بشكل صحيح

التحقق من هوية المستخدم هو إثبات أنك أنت الذي تقول أنت. التصريح بالوصول هو تحديد ما يمكنك فعله. الخلط بينهما هو مصدر شائع للثغرات الأمنية.


التوثيق متعدد العوامل (MFA): يتطلب أكثر من عامل: شيء تعرفه (كلمة السر)، شيء لديك (هاتف أو مفتاح سختي)، شيء أنت عليه (بصمة الأصابع). يمنع MFA غالبية الهجمات المتعلقة بالبطاقات لأن كسر كلمة السر وحدها لا يكفي.


OAuth 2.0 و OpenID Connect: معايير للترخيص المندمج والتوثيق. عندما تنتقل إلى 'تسجيل الدخول باستخدام جوجل'، يسمح OAuth للاپليكيشن بتحقق من هويتك من خلال جوجل دون رؤية كلمة السر الخاصة بـ جوجل.


دورة حياة التطوير الآمن للبرمجيات (SDLC)

لا يمكن إضافة الأمان بعد تطوير البرنامج. يجب دمج الأمان في جميع مراحل دورة حياة التطوير الآمن:

- التصميم: نمذجة الخطر: ما الذي يمكن أن يحدث؟

- التطوير: معايير كتابة الكود الآمن، مراجعة الكود، أدوات التحليل الإحصائي

- الاختبار: التحليل الديناميكي، اختبار الاختراق، اختبار التلوث

- الإطلاق: تكوين محروس، إدارة الأسرار

- صيانة: ترقية الأمان، فحص الحساسية، تحديث الاعتمادية

عوامل MFA ومراحل دورة حياة SDLC الآمنة

يكتب مطور في فريقك صيغة دخول تستقبل اسم المستخدم وكلمة المرور ثم بناءً على ذلك تقوم ببناء طلب SQL مثل هذا: SELECT * FROM users WHERE username = '[مدخل المستخدم]' AND password = '[مدخل المستخدم]'. يقولون إنها تعمل بشكل جيد في الاختبار. توضح المشكلة الأمنية ووصف النهج الصحيح.

دورة حياة الرد على الحوادث

عندما تفشل الوقاية

لا توجد حماية مثالية. عندما يحدث ثغرة، الفرق بين حادث صغير وكatastrophe هو مدى السرعة والفعالية في الرد.


يحتوي دورة حياة الرد على الحوادث القياسي على ست مراحل:


1. التجهيز: بناء الفريق، تعريف الأدوار، إنشاء مخططات اللعب، إجراء ممارسات الطاولة. يحدث هذا قبل أي حادث. الفريق غير المتجهيز يضيع ساعات مهمة في تحديد من يفعل ماذا.


2. الكشف والتحليل: تحديد أن الحادث يحدث وتحديد نطاقه. حيث تجمع أنظمة SIEM (إدارة الأحداث والأمن المعلوماتية) سجلات من جميع أنحاء البيئة وتشير إلى الأنماط المريب. يتصرف محللوا مركز الأمن (SOC) على هذه التنبيهات 24/7.


3. Containment: إيقاف النزيف. قد يعني الإقامة القصيرة إزالة العدوى من شبكة الإنترنت. قد يعني الإقامة الطويلة بناء بيئة نظيفة جديدة أثناء التحقيق.


4. إزالة العدوى: إزالة وجود العدوى تمامًا: البرمجيات المخترقة والخروج الخبيثة وال حسابات المضبوطة والميكانزمات الحفاظ على الاستمرارية.


5. إعادة التأهيل: استعادة أنظمة العمل إلى التشغيل الطبيعي. التحقق مما إذا كانت البيئة نظيفة. المتابعة بعناية بحثًا عن أي علامة على أن العدوى ما زالت موجودة.


6. دراسة التجارب: أهم مرحلة نسيها. إجراء دراسة بعد الموت بلا ذنب: ما الذي حدث، وكيف تم الكشف عنه، ما الذي كان يعمل بشكل جيد وما الذي لم يكن يعمل بشكل جيد، وما التغييرات التي ستمنع تكرار الحادث.

مرحلة الاستجابة للincident: 6 مراحل من التجهيز إلى دراسة التجارب

سيناريو الاستجابة للincident

السيناريو: الرansomware في الساعة الثانية منتصف الليل

كنت محلل الأمان المتصل. في الساعة 2:14 ص، طار تحذير من جهاز SIEM: تظهر خوادم الملفات غير العادية من النشاط التشفير. في دقائق قليلة، يبلغ موظفو المكتب الأوروبي أن ملفاتهم قد استبدلت بـ ransom notes مطالبين بـ 50 Bitcoin.


يقول خبير الأمن أنه يجب الارتقاء إلى قائد فريق الاستجابة للincident & اتباع دليل الاستجابة للransomware. تريد الشركة التنفيذية أن تعرف ما إذا كان لديك التزامات إبلاغ. تريد مديرة التكنولوجيا المعلومات أن تعرف إذا كانت النسخ الاحتياطية نظيفة.

اتبعه في ثلاثة إجراءات في الساعة الأولى والثلاثين. будь دقيقًا: ما الذي تفعله، في ترتيب ما، ولماذا؟ فكر في الإقامة والتواصل والحفاظ على أدلة الإجراء.

دراسة التجارب

المرحلة التي ينسى الجميع

بعد حل الأزمة الفورية، تحدد مرحلة تعلم الدرسات ما إذا كان المنظم قد تحسن حقًا. تقوم الاستبيان غير المسببة للذنب بطرح:

- ما كان محور الوصول الأول؟

- لماذا كان المهاجم في البيئة قبل الكشف عنه (زمن الوجود)?

- أي سياسات وضوابط فشلت، ولماذا؟

- أي سياسات وضوابط نجحت؟

- أي تغييرات محددة ومقاسة ستمنع التكرار؟


تؤتي كلمة غير المسببة للذنب أهمية. إذا كان الناس يخشون العقاب، سيكتومون عن الأخطاء. إذا كانوا يكتمون الأخطاء، لن يتعلم المنظم أبدًا. الهدف هو تصحيح الأنظمة، وليس عقاب الأفراد.


انخفض متوسط زمن الوجود للهجمات بالرنمو الإجباري في السنوات الأخيرة، لكن في أنواع الهجمات الأخرى، يظل المهاجم غير مكتشف لأسابيع أو أشهر. سرعة الكشف عن الهجمات إحدى أهم المعايير في عمليات الأمن.

بعد حل حادث الرansomware، كشفت التحقيقات أن المهاجم حصل على الوصول الأولي ثلاثة أسابيع مضت من خلال رسالة إعلانية phishing، ثم بقي في سكون يختبأ ويخترق شبكة المهاجم قبل تفعيل الرansomware. ما التغييرات الفعالة التي ستقترح لتقليل احتمال الوصول الأولي والدور الزمني؟

مسارات الوظائف في الأمن السيبراني

أين يذهب هذا المعرفة

لدي الأمن السيبراني نقص كبير في المهارات: مئات الآلاف من الوظائف الفارغة على مستوى العالم. يتيح المجال مسارات مهنية مختلفة مع شخصيات وثقافات مهنية مختلفة:


مستخدم SOC: الجبهة. يعمل مستخدمي SOC في دورات مشاهدة التنبيهات وتriage الحوادث وترقية الأخطار. إنه الدخول الأكثر شيوعًا إلى الأمن السيبراني. توقع العمل في دورات واكتساب إرهاق كبير من التنبيهات، لكنه يبني معرفة عملياتية عميقة بسرعة.


فحص الاختراق (Pentester): تتلقى أجرًا لتفريغ المنظمات بموافقتهم. تكتشف الثغرات قبل أن يفعلها المهاجمون. يتطلب مهارات فنية عميقة في الشبكات وتطبيقات الويب ونظم التشغيل. الابتكار ضروري لل حل المشاكل.


مهندس أمن: تصميم وإنشاء البنية الدفاعية: جدارات الحماية و시ستيمات SIEM ومنصات التعريف والأنظمة المشفرة. هذا الدور البنائي. هناك تشابك قوي مع DevOps و الهندسة السحابية.


الforensics الرقمية والاستجابة للأحداث (DFIR): المختصون في التحقيق. عندما يحدث خرق، يبني المختصون في DFIR ما حدث وكيف وقام به. يتطلب الانتباه الدقيق للتفاصيل والراحة مع العمليات القانونية وتعامل مع الأدلة.


الشهادات

الشهادات ليست مطلوبة، لكنها تفتح الباب:

- CompTIA Security+: شهادة دخول سوقية الأساس. تغطي المفاهيم الأساسية للأمن. نقطة انطلاق جيدة.

- OSCP (Offensive Security Certified Professional): شهادة الاختبار التطبيقي لاختبار الاختراق. يجب عليك اختراق العديد من الحاسوب في المختبر في 24 ساعة. يتم تقديرها بشدة وإن كانت حقيقيا صعبة.

- CISSP (Certified Information Systems Security Professional): شهادة إدارة مستوى للمعلوماتية الأمنية تغطي استراتيجية الأمن وإدارة المخاطر والحوكمة. تتطلب خمسة أعوام من الخبرة. يتم الطلب منها على نطاق واسع في الوظائف الرئيسية والقيادية.

مسارات المهنة في الأمن السيبراني ودرج الشهادات

منطقيتك الأمنية

الختام

لقد غطيت الكثير من الأراضي: المبادئ الثلاثة للامن، والمفترين والمجالات الهجوم، والأمن الشبكي وعدم الثقة، والأمن التطبيقي والهجوم بالتنسج، والإجابة عن الحوادث من الكشف عنها إلى التعلم من ذلك، ومسارات المهنة التي تضع كل هذا إلى العمل.


原则 أساسي من defense in depth هو أن لا يحتاج أي سيطرة واحدة. تُستخدم الحواجز بإضافة على تجزئة الشبكة مع المراقبة، والتجزئة مع المراقبة، والمراقبة مع الاستجابة للحوادث، وجميع ذلك مع الأشخاص المدربين الذين يعرفون ماذا يفعلون عندما تفشل شيء ما.


يفترض المهاجمون أن يجدوا فجوة واحدة. يجب على المدافعين تغطيتها جميعًا. هذا التماثل هو ما يجعل هذا المجال معقدًا ومتحمسًا.

بناءً على كل ما تعلمته في هذا الدرس، أي مسار مهني في الأمن السيبراني يهتم بك أكثر، وما هي شيء محدد واحد ستقوم به في 30 يومًا لبدء بناء المهارات في هذا الاتجاه؟ будь واضحًا.