الأنواع الشائعة من نقاط الضعف الأمنية وطرق إصلاحها

نشرت: 2022-07-11

ساهمت إحدى نقاط الضعف في خادم Microsoft Exchange Server في حدوث سلسلة كبيرة من الهجمات الإلكترونية التي أثرت على أكثر من 60.000 شركة خاصة في الولايات المتحدة. وقبل شهر واحد فقط ، تعرضت شركة طيران ، بومباردييه ، لخرق بيانات موظفيها ومورديها بسبب نقاط الضعف في تطبيق نقل الملفات التابع لجهة خارجية.

هناك العديد من أنواع الثغرات الأمنية التي يمكن أن تضع نظام تكنولوجيا المعلومات الخاص بك على رادار المتسللين. من ممارسات الترميز السيئة إلى المكونات الخارجية المعيبة ، بغض النظر عن السبب ، ينتهي الأمر بالعديد من الشركات للانكشاف. للتخفيف من هذه المشكلة ، تستفيد الشركات من خدمات ضمان الجودة والاختبار لتقييم البرامج والشبكات الخاصة بها وتقييم المخاطر الأمنية لمكونات البائعين الخارجيين.

إذن ، ما أنواع الثغرات الأمنية التي قد تعرض نظامك للتهديدات الإلكترونية في هذه اللحظة بالذات؟ كيف تظهر نقاط الضعف؟ وكيف يمكننا التخفيف منها؟

ما هي ثغرة البرمجيات ، ومن أين تنشأ؟

الثغرة الأمنية هي نظام غير مقصود أو خاصية مكونة تزيد من خطر التطفل أو فقدان البيانات ، إما عن طريق التعرض العرضي أو الهجوم المتعمد أو التعارض مع المكونات الجديدة. يمكن أن تكون هذه الثغرة عيبًا في التصميم ، أو خطأ في التنفيذ ، أو تكوينًا خاطئًا ، وما إلى ذلك.

قبل المضي قدمًا ، دعنا نوضح الفرق بين الثغرة الأمنية ، وبرمجيات إكسبلويت ، والتهديد.

  • توجد ثغرة أمنية في النظام دون أي جهود من الخارج
  • الثغرة هي الطريقة التي يستخدم بها المتسللون نقطة ضعف موجودة في النظام لشن هجوم
  • التهديد هو الحادث الفعلي عندما تستخدم واحدة أو عدة برمجيات إكسبلويت ثغرة أمنية لاختراق النظام

يمكن لخبراء الأمن القضاء على الثغرات الأمنية عند اكتشافها باستخدام تصحيحات البرامج واستبدال الأجهزة وإعادة تكوين النظام. إن تدريب المستخدمين النهائيين على ممارسات الأمان والحفاظ على تحديث جميع المكونات سيؤدي أيضًا إلى منع وتقليل نقاط الضعف. بالإضافة إلى ذلك ، يتعين على فرق الأمن أن تضع في اعتبارها أنه مع تطور الأنظمة ، تظهر نقاط ضعف جديدة. لذلك ، تحتاج الشركات إلى فحص برامجها وأجهزتها وشبكاتها بشكل منهجي بحثًا عن نقاط الضعف الناشئة وإصلاحها قبل اكتشافها واستغلالها.

تستمر الثغرات الأمنية الجديدة في الظهور بسرعة ، حيث نشرت قاعدة بيانات الثغرات الأمنية الوطنية (NVD) التابعة للحكومة الأمريكية أكثر من 8000 إدخال جديد في الربع الأول من عام 2022. مع هذه الوتيرة السريعة ، لا تستطيع العديد من الشركات مواكبة نقاط الضعف وتركها مفتوحة لسنوات ، مما يعرضها الأنظمة. كشفت دراسة عن ثغرات البرمجيات أن 75٪ من الهجمات التي حدثت في عام 2020 استغلت عمليات تعريض عمرها عامين على الأقل ، بينما اعتمد 18٪ على نقاط ضعف تم الإبلاغ عنها في عام 2013!

كيف تصل الثغرات الأمنية إلى البرامج والشبكات؟

وفقًا للبحث ، فإن 75٪ من التطبيقات التي طورها بائعو البرامج لا تتوافق مع أعلى 10 معايير لمشروع أمان تطبيق الويب المفتوح (OWASP). هذه المعايير متاحة للجمهور. إذن ، لماذا لا يزال الكثيرون يفشلون في إنتاج تطبيق آمن؟ فيما يلي الأسباب الرئيسية:

رمز الطرف الثالث الضعيف والمكونات الأخرى. من الشائع إعادة استخدام مكونات الطرف الثالث ، حيث يؤدي ذلك إلى تسريع عملية التطوير بشكل كبير. ومع ذلك ، يميل المستخدمون إلى الاستخفاف بأمان هذه الأجزاء ، وغالبًا ما ينشرونها دون تقييم شامل. الأمر نفسه ينطبق على نسخ ولصق التعليمات البرمجية من مصادر ، مثل Stack Overflow ، دون تقييم سلامتها.

ممارسات الترميز غير الآمنة. تظهر الدراسات الحديثة أن الأمن ليس على الرادار حتى بالنسبة لمعظم المطورين. في تجربة لاستكشاف موقف 1200 مطور ، خلص الباحثون إلى أن 14٪ فقط ينظرون إلى الأمن على أنه أولوية عند كتابة التعليمات البرمجية. لاحظ أيضًا أن العديد من المؤسسات تطلب من مطوريها إنتاج التعليمات البرمجية بسرعة في ظل مواعيد نهائية ضيقة ، الأمر الذي لا يترك مجالًا لتقييم الأمان الشامل وينتج عنه ثغرات في التعليمات البرمجية.

مشهد الهجوم الإلكتروني سريع التغير. يكتشف المهاجمون باستمرار طرقًا جديدة لاختراق أمان التطبيقات. لذلك ، يمكن أن تصبح الأجزاء التي كانت تعتبر محصنة من قبل ضعيفة اليوم. إذا لم يقم فريق تكنولوجيا المعلومات بتقييم التطبيقات والشبكات بشكل منهجي بحثًا عن نقاط الضعف ولم يحافظ على تحديث جميع البرامج ، فهذه مسألة وقت فقط حتى تبدأ نقاط الضعف في الظهور.

تصنيف أنواع الثغرات الأمنية

هناك نظامان أساسيان ، OWASP و CWE ، يقدمان قائمة ثغرات أمنية موثوقة ومفصلة. يقومون بتحديث قوائمهم لتشمل أي نقاط ضعف ناشئة. يمكن استخدام كلا المصدرين لتثقيف المبرمجين والمختبرين والمهندسين.

OWASP هو مجتمع عالمي غير ربحي ، وينشر بانتظام قائمة OWASP لأهم 10 ثغرات في البرامج. تعداد نقاط الضعف الشائعة (CWE) عبارة عن تركيبة من ثغرات البرامج والأجهزة التي تم تطويرها أيضًا بواسطة مجتمع مخصص ، وتتضمن 25 إدخالًا.

فيما يلي 18 من أبرز الثغرات الأمنية التي نريد تسليط الضوء عليها في هذه المقالة ، مرتبة حسب المجال. يمكن أن تظهر هذه في أي نظام لتكنولوجيا المعلومات ، مثل السحابة والتكوينات المستندة إلى إنترنت الأشياء وتطبيقات الأجهزة المحمولة.

1. عدم وجود ممارسات تشفير قوية

على الرغم من أن التشفير لن يوقف هجومًا إلكترونيًا ، فمن الضروري التأكد من أن البيانات الحساسة تظل آمنة حتى إذا تم اختراق منصة التخزين الخاصة بها. لا يمكن للمهاجمين إساءة استخدام البيانات المشفرة حتى يقوموا بفك تشفيرها ، مما يمنح العمل المنتهك وقتًا لاتخاذ الإجراءات اللازمة ، مثل إخطار الأطراف المتأثرة وإعداد إجراءات مضادة لسرقة الهوية.

تظهر الأبحاث أن العديد من الشركات ليس لديها خطط فورية لتشفير البيانات على أقراص USB وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية. وبالحديث عن لوائح حماية البيانات ، لا تتطلب اللائحة العامة لحماية البيانات صراحةً التشفير ، ولكنها تصفها بأنها "تدابير تقنية وتنظيمية مناسبة" لسلامة البيانات.

في تقرير تكلفة خرق البيانات ، أشارت شركة IBM إلى أن التشفير هو أحد أكثر العوامل تأثيرًا التي يمكن أن تقلل متوسط ​​تكلفة خروقات البيانات.

2. التعرض للبيانات الحساسة

يمكن الكشف عن البيانات بسبب خطأ بشري عندما يقوم موظف مهمل بتحميلها إلى قاعدة بيانات عامة أو موقع ويب. ولكن يمكن أيضًا دعم هذا النوع من الثغرات الأمنية من خلال العمليات الداخلية التي تسمح في الواقع للموظف غير المصرح له بالوصول إلى البيانات الحساسة والتعامل معها.

أجرت شركة Egress ، وهي شركة للأمن السيبراني ، دراسة استقصائية كشفت أن 83٪ من المؤسسات الأمريكية قد كشفت عن طريق الخطأ بيانات حساسة من خلال البريد الإلكتروني ومشاركة الملفات وبرامج التعاون وتطبيقات المراسلة.

3. حماية طبقة النقل غير كافية

يتعامل هذا النوع من الثغرات الأمنية مع تبادل المعلومات بين العميل وتطبيق الخادم. يمكن أن تحتوي هذه المعلومات على بيانات حساسة ، بما في ذلك بيانات اعتماد المستخدم وتفاصيل بطاقة الائتمان. عندما لا يتم تأمين نقل البيانات ، يمكن اعتراض الاتصال ، ويمكن للمهاجمين الوصول إلى البيانات وفك تشفير التشفير إذا تم استخدام خوارزميات ضعيفة.

4. مكونات النظام التي تم تكوينها بشكل خاطئ والتفاعلات المحفوفة بالمخاطر

يعد التكوين غير الصحيح للمكونات والتفاعلات بينها مشكلة أمنية أخرى نواجهها غالبًا. على سبيل المثال ، أثناء إعداد نظام تكنولوجيا المعلومات ، ينسى المسؤول تجاوز الإعدادات الافتراضية للشركة المصنعة وتعطيل قوائم الدليل ، مما يترك النظام مكشوفًا. مثال آخر هو نسيان تقييد الوصول إلى الأجهزة الخارجية.

عند الحديث عن التفاعلات ، يُنصح بالتطبيقات باعتماد نهج عدم الثقة والنظر إلى كل مدخلات على أنها محفوفة بالمخاطر قبل التحقق منها وإثبات شرعيتها. سيساعد هذا في تجنب الهجمات ، مثل البرمجة النصية عبر المواقع ، حيث يقوم المهاجمون بملء تطبيق ببيانات غير موثوق بها.

هذا الجانب وثيق الصلة بشكل خاص بالحلول المستندة إلى السحابة. أفاد أحد الأبحاث أن التهيئة الخاطئة للخادم ساهمت في 200 اختراق سحابي في غضون عامين. أظهرت دراسة أخرى أن حوالي 70٪ من خروقات الأمان السحابية تبدأ ببنية خاطئة. على سبيل المثال ، كشفت حاوية تخزين AWS التي تمت تهيئتها بشكل خاطئ عن 750.000 طلب شهادة ميلاد في الولايات المتحدة في عام 2019.

5. ضعف التحكم من جانب الخادم

يشير هذا النوع من الثغرات الأمنية إلى كل ما يمكن أن يحدث بشكل خاطئ على جانب الخادم ، من المصادقة الضعيفة إلى التكوينات الأمنية الخاطئة التي تمكن الهجمات ، مثل تزوير الطلبات عبر المواقع حيث يصدر متصفح المستخدم إجراءات غير مصرح بها للخادم دون معرفة ذلك المستخدم.

على سبيل المثال ، يمكن أن يؤدي التهيئة الخاطئة في خادم قاعدة البيانات إلى إمكانية الوصول إلى البيانات من خلال بحث أساسي على الويب. وإذا كان يحتوي على بيانات اعتماد المسؤول ، فيمكن للمتطفلين الوصول إلى بقية النظام.

6. تنفيذ التعليمات البرمجية عن بعد

هذا يعني أن الثغرات الأمنية للبرامج التي يقدمها نظامك تمكن المتسللين من تنفيذ تعليمات برمجية ضارة عبر الإنترنت على أجهزتك. على سبيل المثال ، عندما ينقر موظف على رابط بريد إلكتروني على موقع ويب تابع لجهة خارجية ، يقوم المتسلل وراء هذا الإعداد بحقن كمبيوتر الضحية ببرامج ضارة ويفترض السيطرة من هناك. يمكن للطرف الخارجي الوصول إلى البيانات الحساسة أو قفل الجهاز وطلب فدية.

7. الثغرات الأمنية المعروفة المستندة إلى نظام التشغيل

كل نظام تشغيل له قائمته الخاصة بالثغرات الأمنية. يتم نشر بعض القوائم على الإنترنت ليراها الجميع. على سبيل المثال ، فيما يلي قائمة بأهم 10 نقاط ضعف في نظام التشغيل Windows 10 ، وهنا القائمة المقابلة لنظام التشغيل OS X. الأمر متروك لفرق الأمان لمراجعة هذه النقاط ومعالجتها لتقليل فتحات الهجمات.

8. تشغيل البرامج النصية بدون فحص الفيروسات

هذا نوع شائع من الثغرات الأمنية الموجودة في بعض متصفحات الويب. على سبيل المثال ، يسمح Safari بتشغيل البرامج النصية "الموثوقة" دون إذن صريح من المستخدم. يميل المتسللون إلى استغلال هذا الضعف من خلال محاولة تشغيل جزء خبيث من التعليمات البرمجية يمكن الخلط بينه وبين نص "آمن". لحسن الحظ ، من الممكن غالبًا تعطيل هذه "الميزة".

9. ضعف الاعتماد

يمكن للمتطفلين الوصول إلى بيانات اعتماد المستخدمين بالقسر الغاشم. يكون هذا الأمر سهلاً بشكل خاص عندما يستخدم أكثر من 23 مليون شخص كلمة المرور "123456" وحدها. هذا بالإضافة إلى كلمات المرور ، مثل "admin" و "password" و "qwerty" ، وهي كلمات شائعة ويسهل اختراقها.

يُنظر إلى هذا النوع من الثغرات الأمنية في البرامج على أنه من صنع الإنسان ، ولكن يمكن للشركات تنفيذ تدابير من شأنها إجبار الموظفين على اختيار خيارات أقوى وتغيير بيانات اعتمادهم في كثير من الأحيان بما يكفي. هذا أمر بالغ الأهمية ، بالنظر إلى الدور الذي يلعبه الاعتماد الضعيف في أمان النظام. تشير الإحصائيات إلى أن 80٪ من الاختراقات الأمنية تم تمكينها بواسطة كلمات مرور ضعيفة ، وأن 61٪ من المستخدمين يميلون إلى استخدام عبارة أمان واحدة لخدمات متعددة.

10. استخدام المكونات ذات الثغرات الأمنية المعروفة

يمكن أن يؤدي نشر مكونات الجهات الخارجية ، مثل المكتبات وواجهات برمجة التطبيقات ومجموعات البيانات والأطر ، إلى تقليل الجهد المطلوب لتشغيل نظامك بشكل كبير. لكنها قد تؤدي أيضًا إلى ظهور نقاط ضعف. من المهم أن تظل مجتهدًا وتقييم هذه المكونات للتأكد من أنها لا تترك أي أبواب خلفية مفتوحة للوصول إلى البيانات الحساسة.

حتى تنزيل واستخدام صور الجهات الخارجية قد يكون خطيرًا. في عام 2021 ، تم نشر 30 صورة Docker Hub بحجم تنزيل يبلغ 20 مليونًا لنشر البرامج الضارة الخاصة بالتشفير.

11. تصميم غير آمن

هذا نوع جديد نسبيًا من الثغرات الأمنية التي ظهرت على OWASP في عام 2021. تدعو المنظمة إلى أنماط تصميم آمنة ونمذجة تهديد وبنية مرجعية للقضاء على نقاط الضعف من البداية.

التصميم الآمن هو منهجية تقيم التهديدات باستمرار وتضمن متانة الكود. يشجع على إجراء اختبار منهجي ضد أساليب الهجوم المعروفة. إنها تنظر إلى الأمان على أنه جزء أساسي من تطوير البرامج ، وليس كميزة إضافية أو ميزة لطيفة.

12. الأخطاء الأمنية في واجهات برمجة التطبيقات

تسمح واجهات برمجة التطبيقات (APIs) لمكونات البرامج بالتفاعل مع بعضها البعض ، وهو جزء أساسي من نظام تكنولوجيا المعلومات. ومع ذلك ، يمكن لواجهات برمجة التطبيقات ذات الإجراءات الأمنية الضعيفة أن تفتح ثغرات متعددة ، مثل المصادقة المعطلة والسماح بإدخال الشفرات والممارسات الضارة الأخرى.

على سبيل المثال ، يمكن لواجهة برمجة التطبيقات التي تم إنشاؤها بشكل متهور ، والتي تعتمد على جانب العميل لتصفية المعلومات قبل عرضها على المستخدمين ، أن تعرض البيانات وتجعلها متاحة للاستيلاء عليها. يجب تصفية البيانات الحساسة من جانب الخادم. فيما يلي مثال آخر لنوع الثغرة الأمنية هذا: إذا كانت واجهة برمجة التطبيقات (API) لا تقيد عدد الطلبات الواردة ، فيمكنها فتح الفرصة لهجمات رفض الخدمات (DoS).

فيما يلي قائمة OWASP لأهم 10 ثغرات أمنية متعلقة بواجهة برمجة التطبيقات (API) للنظر فيها. فتحت واجهات برمجة التطبيقات غير الآمنة الباب أمام العديد من الهجمات في السنوات الماضية. يأتي أحد الأمثلة الشائنة من LinkedIn ، حيث استخدم ممثل ضار واجهة برمجة التطبيقات الخالية من المصادقة للمنصة لتنزيل بيانات 700 مليون مستخدم. باستخدام خرق مماثل لواجهة برمجة التطبيقات ، استرجع متطفل معلومات عن 1.3 مليون مستخدم للنادي ونشرها في منتدى للقراصنة.

13. عدم كفاية المصادقة

تسمح إجراءات المصادقة الضعيفة للمتسللين باستغلال خيار "نسيت كلمة المرور" لإعادة تعيين الحسابات أو بدء هجوم الاستيلاء على الحساب. إنه يساعد الدخيل عندما يكون سؤال المصادقة شيئًا مثل تاريخ ميلاد المستخدم أو اسم الحيوان الأليف ، لأن هذه المعلومات متاحة للجمهور بفضل وسائل التواصل الاجتماعي. سيؤدي اتباع عملية مصادقة متعددة العوامل إلى زيادة الأمان. للأسف ، تظهر الأبحاث أن 26٪ فقط من الشركات الأمريكية تستخدم طريقة المصادقة القوية هذه.

14. عدم كفاية الرصد والسجلات

تقوم السجلات بتخزين البيانات حول أحداث النظام وأنشطة الشبكة وإجراءات المستخدم. من خلال مراقبة السجلات ، يمكن لفرق الأمن مراقبة جميع الأنشطة التي حدثت مؤخرًا وتحديد الأحداث المشبوهة. إذا لم تتم مراجعة السجلات بشكل منهجي ، فإن هذا يخلق فجوة في المعلومات حيث تظل نقاط الضعف في البرامج والأنشطة الضارة غير مكتشفة.

15. امتيازات المستخدم المتميز

كلما قلت البيانات التي يمكن للمستخدم الوصول إليها ، قل الضرر الذي يمكن أن يحدثه حسابه في حالة اختراقه. ومع ذلك ، لا تزال بعض الشركات تمنح بإهمال امتيازات المستخدم المتميز إلى اليسار واليمين وتفشل في تقييد وصول الموظفين إلى ما يحتاجون إليه لأداء واجباتهم اليومية. إذا استولى متطفل على حساب على مستوى المسؤول ، فيمكنه تعطيل برامج مكافحة الفيروسات وجدار الحماية ، وتثبيت التطبيقات الضارة ، والحصول على ملكية الملفات ، وما إلى ذلك.

وفقًا للبحث ، تبدأ 74٪ من خروقات البيانات بإساءة استخدام بيانات الاعتماد المميزة.

16. البرمجيات التي عفا عليها الزمن

تدرك معظم الشركات أن تحديث البرنامج في الوقت المناسب هو مفتاح النظام الآمن. ومع ذلك ، يبدو أن القليل فقط هم الذين يتبعون هذه الممارسة. تقارير Cybernews عن دراسة حديثة تبحث في وتيرة تحديث البرامج. تم إجراء هذا البحث على مدار 18 شهرًا ، واكتشف أن 95٪ من مواقع الويب التي تم فحصها تعمل بالفعل على برامج قديمة مع وجود نقاط ضعف معروفة. اكتشف فريق البحث أيضًا أن متوسط ​​منتج البرنامج عادةً ما يكون متأخراً بأربع سنوات عن أحدث تصحيح له.

علاوة على ذلك ، حددت Kaspersky أن الشركات التي تشغل برامج قديمة من المرجح أن تتحمل تكاليف أكثر بنسبة 47٪ في حالة حدوث خرق.

على سبيل المثال ، كان لدى سلسلة فنادق ماريوت 500 مليون سجل بيانات تم اختراقها في خرق أمني نتج عن برنامج غير مصحح.

17. نقاط الضعف في التعليمات البرمجية المصدر

تتسلل نقاط الضعف في التعليمات البرمجية أثناء تطوير البرامج. على سبيل المثال ، قد ينقل أحد البرامج بيانات حساسة بدون تشفير أو يستخدم سلسلة عشوائية ، وهي ليست عشوائية في الواقع. غالبًا ما يتم اكتشاف مثل هذه الأخطاء أثناء مرحلة اختبار البرنامج.

وفقًا لاستطلاع Secure Code Warrior حديثًا ، اعترف 86٪ من المطورين المشاركين بأنهم لا يرون أمان التطبيقات كأولوية قصوى عند كتابة رمز ، حيث عزا 36٪ ذلك إلى ضيق المواعيد النهائية. كشف الاستطلاع أيضًا أن 33٪ من المستجيبين لا يفهمون حتى ما الذي يجعل كودهم ضعيفًا.

18. حقن SQL

هذا النوع من الثغرات الأمنية وثيق الصلة بمواقع الويب والتطبيقات التي تدعمها لغة الاستعلام الهيكلية (SQL). يسمح للمهاجم بتغيير عبارات SQL التي يوفرها المستخدم وخداع المترجم الفوري لتنفيذ أوامر غير مقصودة ومنح الوصول إلى قاعدة البيانات. بهذه الطريقة ، يمكن للمتطفلين معالجة البيانات الحساسة عن طريق استبدال / حذف / تعديل الحقول الحساسة.

هذه ثغرة قديمة نوعًا ما شكلت أكثر من 65٪ من الهجمات على تطبيقات البرامج التي عادت بالفعل في عام 2019.

أنواع الثغرات الأمنية الخاصة بالنظام وكيفية منع هذه الثغرات الأمنية

بعد تسليط الضوء على الثغرات الأمنية الشائعة ، دعنا ننتقل إلى نقاط الضعف الخاصة بالنظام والتطبيق ومعرفة كيفية حماية أنظمتك منها.

الغيمة

توجد قائمة شاملة لأنواع الثغرات الأمنية المحتملة في السحابة ، بصرف النظر عما إذا كانت Azure أو AWS أو GCP أو أي مزود سحابي آخر. يقسم خبير السحابة لدينا ، Alexey Zhadov ، نقاط الضعف هذه حسب الطبقات ويقدم نصائح حول كيفية منعها.

نقاط ضعف طبقة النظام

مهما كانت الخدمة السحابية التي يعمل عليها برنامجك ، فهناك دائمًا نظام تشغيل تحت الغطاء. حتى لو كان بإمكانك فقط الوصول إلى لوحة تحكم لموردك. كل نظام تشغيل له "ثقوب" و "أبواب خلفية". يبحث مطورو أنظمة التشغيل باستمرار عن نقاط الضعف هذه ، في محاولة لتغطية القواعد. لهذا السبب من المهم أن تحافظ على تحديث برنامجك وأن تكون على اتصال بأحدث التطورات في مجال الأمن السيبراني فيما يتعلق بالمشكلات المعروفة.

نقاط ضعف طبقة الشبكة

يتم تشغيل كل مورد سحابي على شبكة سحابية. ومع ذلك تأتي إمكانية الاتصال بالمورد خارجيًا. يحتاج فريق الأمان إلى التأكد من أن تكوين الشبكة مناسب. لا تفتح أبدًا المنافذ التي لا تخطط لنشرها ، واستخدم القائمة البيضاء لعناوين IP التي تعرفها والشبكات التي من المتوقع أن تتصل بالحل الخاص بك. كن حذرًا بشأن فتح اتصال مباشر بمنافذ RDP / SSH من أي مكان آخر غير عناوين IP المعروفة.

نقاط ضعف طبقة التكوين

يجب تكوين السحابة بشكل صحيح وفقًا لمتطلبات المستخدم وأهدافه ، ويجب دائمًا تحديث هذا التكوين. قم بإعداد سياسات وإجراءات إدارة التكوين ومراقبة أي أنشطة مشبوهة.

نقاط ضعف العامل البشري

لا تنس المستخدمين النهائيين والمسؤولين الذين يمكنهم الوصول إلى الحل السحابي. يعد الاستيلاء على الحساب أحد أكثر نقاط الضعف شيوعًا في أي نظام لتكنولوجيا المعلومات. إذا تمكن متطفل من الوصول إلى بيانات اعتماد حساب شخص ما ، فيمكنه الدخول بحرية إلى النظام والتعامل معه ضمن حقوق الحساب ، ولن يوقفه أحد حتى تلقي إشعار من المستخدم المخترق. فيما يلي قائمة بأكثر أنواع الثغرات الأمنية شيوعًا في التطبيقات السحابية:

  • الشبكات والجدران النارية التي تم تكوينها بشكل خاطئ
  • تخزين سحابي مهيأ بشكل خاطئ
  • واجهات برمجة التطبيقات غير الآمنة
  • إدارة وصول سيئة
  • سرقة الحساب
  • المطلعون الضارون
  • نقاط ضعف النظام
  • نقاط ضعف الإيجار المشتركة
  • عدم وجود مصادقة متعددة العوامل للمستخدمين والأجهزة التي ترغب في الانضمام إلى الشبكة

يوصي Alexey ببعض القواعد البسيطة التي يمكن للشركات تنفيذها لحماية أنظمتها السحابية:

  • حافظ على أنظمة التشغيل محدثة
  • حماية شبكاتك
  • استخدم خوادم الحصن للوصول إلى محيطك المغلق
  • تكوين مجموعات أمان الشبكة وقوائم التحكم في الوصول
  • تقييد الوصول إلى المنافذ غير الضرورية
  • تكوين المراقبة والتسجيل عندما يكون ذلك ممكنًا
  • تنفيذ التحكم في الوصول متعدد العوامل لجميع المستخدمين
  • استخدم جدران الحماية وحماية DDoS
  • استخدم أدوات السحابة للتحقق من التوافق مع معايير الأمان ، مثل Azure Security Center

تطبيقات الويب

كما ركز أليكسي على مشكلات أمان البرامج التي تطارد تطبيقات الويب. من خلال استغلال هذه الثغرات الأمنية ، يمكن للمهاجمين التسبب في أضرار جسيمة للتطبيق والمؤسسة ككل. فيما يلي أكثر هجمات تطبيقات الويب شيوعًا الناتجة عن الثغرات الأمنية لتطبيقات الويب:

  • حقن SQL
  • عبر موقع البرمجة
  • اجتياز المسار
  • تنفيذ الأوامر عن بعد

إذا شن المجرمون الإلكترونيون هذه الهجمات بنجاح ، فيمكنهم زرع برامج ضارة ، واختراق حسابات المستخدمين ، والوصول إلى المعلومات المقيدة ، والمزيد. إذن ، كيف تختبر البرامج بحثًا عن نقاط الضعف؟ يوصي أليكسي بإجراء اختبار أمان تطبيقات الويب لتقييم المعلمات التالية:

  • التحقق من صحة الإدخال. كيف يمكن للتطبيق معالجة الإدخال ، وهل يمكنه اكتشاف أي إدخالات ضارة وحظرها؟
  • تكوين الخادم. هل تستخدم طريقة تشفير قوية؟
  • إدارة المصادقة. ما هي أنواع التفويض المطبقة؟ هل يمكن للمستخدمين اختيار كلمات مرور ضعيفة؟
  • خيارات التفويض. هل يمكن للتطبيق حماية نفسه من تصعيد الامتيازات؟
  • منطق الأعمال. هل يمكن للمستخدمين إدخال بيانات غير صالحة؟ هل يمكنهم تخطي خطوات المصادقة؟ هل يمكن للمستخدمين الإضرار بسلامة التطبيق وبياناته؟

تطبيقات الهاتف الجوال

عند الحديث عن أمان تطبيقات الأجهزة المحمولة ، لا يمكننا تجاهل أنواع الثغرات الأمنية التي يقدمها الجهاز نفسه بالإضافة إلى التطبيق. شارك Alexey Zhadov ، خبير السحابة والأجهزة المحمولة لدينا ، أيضًا في المشكلات الشائعة التي تؤثر على تطبيقات الأجهزة المحمولة:

  • ضعف التحكم من جانب الخادم
  • تخزين البيانات غير الآمن
  • حماية طبقة النقل غير كافية
  • تسرب البيانات غير المقصود
  • الإذن والمصادقة ضعيفة
  • تشفير ضعيف
  • الحقن من جانب العميل
  • المدخلات غير الموثوق بها
  • التعامل غير السليم مع الجلسة
  • عدم وجود حماية ثنائية
  • الاستخدام غير السليم لنظام التشغيل
  • حركة مرور غير آمنة ومكالمات API
  • العبث بالشفرات وأجهزة كسر الحماية
  • التسجيل غير الكافي والرصد
  • تكوينات الأمان الخاطئة

لتأمين تطبيقات الهاتف المحمول ، يوصي أليكسي ببعض الممارسات البسيطة التي يمكن للشركات تنفيذها في تصميم التطبيقات وصيانتها:

تقييم الكود مفتوح المصدر: تستخدم معظم تطبيقات الهاتف المحمول مكتبات مفتوحة المصدر تابعة لجهات خارجية متاحة للجميع. يعمل هذا على تبسيط عملية التطوير ، ولكنه يفتح أيضًا أبواب خلفية للمتطفلين المحتملين. لذلك ، من الضروري إجراء اختبار صارم لرمز الجهة الخارجية للثغرات الأمنية للبرامج قبل دمجها في التطبيق.

ممارسات التشفير القوية: تشفير البيانات وفك تشفيرها أثناء النقل. باستخدام تقنية تشفير البيانات القوية وبيانات التطبيق ، مثل كود المصدر ومعلومات المستخدم وبيانات اعتماد تسجيل الدخول ، سيتم تأمين تخزين التطبيق الخاص بك. بمجرد تشفير البيانات ، لن يتمكن المتسللون من تفسيرها حتى لو تمكنوا من الوصول إلى المحتوى الأصلي.

شهادة توقيع الكود: يمكن للمطورين توقيع تطبيقات الهاتف لحمايتها من الهجمات الإلكترونية وكسب ثقة المستخدم. يضمن هذا التوقيع عدم تفسير الكود أو تغييره بعد التوقيع على التطبيق. يمكن لفريق الأمان العثور على العديد من خيارات شهادة توقيع الكود بعلامات أسعار متواضعة. هذه الممارسة فعالة من حيث التكلفة ويمكن الاعتماد عليها.

حماية ذاكرة التخزين المؤقت للبيانات: تحتوي البيانات المخزنة مؤقتًا على معلومات تم استردادها من التطبيق للمساعدة في إعادة فتح أسرع لتحسين أداء التطبيق. يتم تخزين ذاكرة التخزين المؤقت للبيانات بشكل عام بدون إجراءات أمنية إضافية على جهاز المستخدم. يعد إنشاء كلمة مرور وقفل التطبيق ممارسة أكثر أمانًا. علاوة على ذلك ، يوصي Alexey بمسح البيانات المخزنة مؤقتًا بشكل متكرر وتسجيل الدخول باستخدام اتصال شبكة آمن.

التخزين الآمن للبيانات: يحتوي كل تطبيق على بيانات يمكن للمتطفلين إساءة استخدامها. يتضمن معلومات كل من المستخدمين ومطوري التطبيق. لذلك ، من الضروري تخزين هذه البيانات بأمان في تخزين سحابي آمن ، بدلاً من الاعتماد على وحدات التخزين المحلية.

تقنيات المصادقة والترخيص: من الضروري إعداد مصادقة متعددة العوامل لمنع سرقة البيانات. يتضمن معرف المستخدم ، وكلمة المرور ، ورقم التعريف الشخصي ، وكلمة المرور ، وما إلى ذلك. يجب أن يتم التفويض دائمًا على جانب الخادم للتحقق من أدوار وأذونات المستخدمين المصادق عليهم.

مسح البيانات وقفل الجهاز: تُستخدم هذه الميزة بشكل أساسي في التطبيقات التي تحتوي على بيانات سرية ، مثل المعلومات الشخصية والمالية والصحية وما إلى ذلك. إنها طبقة أمان يتم فيها مسح البيانات عن بُعد بعد عدة محاولات تسجيل دخول غير ناجحة من جانب المستخدم ، و تم قفل التطبيق تلقائيًا. كما يمنع المستخدمين من اختيار رقم تسلسلي لكلمات المرور الخاصة بهم بدلاً من الأحرف الكبيرة والأحرف الخاصة والحروف الأبجدية والأرقام وما إلى ذلك.

الرد الهندسي العكسي: يستخدم المتسللون الهندسة العكسية للتلاعب بوظائف التطبيق. من خلال الوصول إلى الكود المصدري للتطبيق ، يمكن للقراصنة التحايل على عملية المصادقة ، وتزييف موقعهم ، وسرقة البيانات. يعد فرض أمان وقت التشغيل أمرًا بالغ الأهمية لمواجهة الهندسة العكسية. يمنع المتسللين من تعديل الوظائف الداخلية للتطبيق عن طريق تغيير هيكل الكود الخاص به للتأثير على سلوك التطبيق.

حلول إنترنت الأشياء

ما يجعل حلول إنترنت الأشياء فريدة من نوعها من وجهة نظر الأمان هو أن قدرات كل جهاز مقيدة بمتطلبات الاستخدام الخاصة به. لا يوجد مجال لتنفيذ أي ميزات أمان خيالية تستهلك سعة إضافية ، أو ذاكرة ، أو طاقة ، مما يجعل أجهزة إنترنت الأشياء عرضة للخطر.

يسلط خبير إنترنت الأشياء لدينا ، ياهور بالويكا ، الضوء على أنواع الثغرات الأمنية التالية في الأجهزة المتصلة:

  • أوراق اعتماد مشفرة. تأتي أجهزة إنترنت الأشياء مع كلمات مرور مشفرة بشكل ثابت ينسى المسؤولون أحيانًا تغييرها ، مما يمنح المتسللين إمكانية اختراق النظام بسهولة باستخدام بيانات الاعتماد المعروفة هذه.
  • شبكات غير محمية. لا تفرض بعض الشبكات مصادقة قوية ، مما يسمح للمتطفلين بإضافة أجهزة ، وإعادة تكوين الإعداد لتغيير تدفق البيانات ، واعتراض البيانات ، وحقن البيانات الخاصة بهم لتقليد قراءات أجهزة الاستشعار.
  • ضعف إدارة التحديث. تعمل العديد من أجهزة إنترنت الأشياء بشكل مستقل ولا تعتمد على التدخل البشري لإجراء التحديثات. في هذه الحالة ، يكون نظام إدارة التحديث مسؤولاً عن التأكد من وصول التحديثات التلقائية عبر قناة مشفرة ، وتنشأ من مصدر تم التحقق منه ، وغير تالفة. إذا كان مثل هذا النظام ضعيفًا ، فسيسمح للمتطفلين بإفساد البرامج والبرامج الثابتة المحدثة ، وتغيير سلوك الجهاز.
  • وحدات التعليمات البرمجية التي عفا عليها الزمن. إن نسيان التخلص من الوحدات القديمة التي لم يتم استخدامها بعد الآن يمنح المتسللين وقتًا كافيًا لاستكشاف مشكلات أمان برامجهم وإيجاد ثغرات لاختراق النظام. يجب إزالة جميع الوحدات التي لا تعد جزءًا من وظائف الأجهزة المتصلة.
  • حماية البيانات. يجب تشفير جميع البيانات المتداولة داخل شبكة إنترنت الأشياء ، ويمكن للمستخدمين المصرح لهم فقط الوصول إليها.

يمكن أن يكون لاختراق أنظمة إنترنت الأشياء تأثير مدمر. على سبيل المثال ، في إحدى التجارب ، تمكن فريق من الباحثين من اختراق برامج أجهزة إنترنت الأشياء في جيب شيروكي وإرسال أوامر خبيثة عبر نظام الترفيه في جيب. لقد عبثوا بتكييف الهواء ، وخفضوا درجة الحرارة ، وشغلوا الزجاج الأمامي ، وبعد ذلك ، قاموا بإيقاف تشغيل المكابح لإثارة رعب السائق. لحسن الحظ ، كانت مجرد تجربة. فيما يلي بعض النصائح التي توصي بها Yahor لحماية أنظمة إنترنت الأشياء:

  • استخدم بروتوكول تشفير حالي كثيف الأمان ، مثل بروتوكول أمان طبقة النقل (TLS) ، لدعم الاتصال في شبكة إنترنت الأشياء والتعويض عن نقص الأمان المدمج
  • امتلاك نظام فرعي حديث متكامل لإدارة الشهادات والمفاتيح ، والذي يوفر مستوى التشفير والأمان المطلوبين. كما توصي ياهور بتحديث المفاتيح والشهادات مرة كل ستة أشهر على الأقل
  • ضع نظام إدارة كلمات مرور موثوقًا به لإنشاء كلمات مرور قوية وتغييرها بشكل منهجي
  • قم بتنفيذ نظام إدارة التحديث الذي سيسمح فقط بالتحديثات الآمنة من مصدر شرعي للوصول ، ومنع أي محاولات لفرض تغييرات تالفة

حلول الذكاء الاصطناعي

هناك جانب واحد يميز بشكل كبير بين حلول الذكاء الاصطناعي (AI) والتعلم الآلي (ML) عن بقية الأنظمة المذكورة في هذه المقالة - إنها حقيقة أن مثل هذه النماذج غالبًا ما يتم تدريبها على إجراء تنبؤات ، وتقدم هذه العملية التدريبية العديد من أنواع الثغرات الأمنية. سلط خبير الذكاء الاصطناعي لدينا ، ماكسيم بوشوك ، الضوء على نقاط الضعف الأكثر شيوعًا:

  • يمكن للمهاجم العبث بمجموعة بيانات التدريب وإجبار النموذج على تعلم القواعد المزيفة والقيام بتنبؤات خاطئة
  • قد يختار مهندسو ML النماذج الحالية المدربة مسبقًا التي يجدونها عبر الإنترنت ، ويمكن أن تكون هذه النماذج ضارة بالفعل. على سبيل المثال ، قد تحتوي على فيروس حصان طروادة أو برامج ضارة أخرى.
  • يمكن للدخيل الحصول على الخوارزمية نفسها وتعديل الكود والأوزان والمعلمات الأخرى لتعديل سلوك النموذج.

علاوة على ذلك ، غالبًا ما يتم دمج الذكاء الاصطناعي مع تقنيات أخرى ، مثل إنترنت الأشياء والسحابة ، مما يجعلها عرضة لأنواع الثغرات الأمنية التي تقدمها تلك الأنظمة.

لتأمين أنظمة الذكاء الاصطناعي ، يوصي خبيرنا بما يلي:

  • عند استخدام نماذج مُدرَّبة مسبقًا ومجموعات بيانات خارجية ، تحقق من أنها لا تحتوي على أي برامج ضارة
  • اختبر خوارزمياتك بشكل منهجي للحصول على المخرجات المرغوبة للتأكد من عدم العبث بقواعد المطابقة أو التحيز المقدم ، وما إلى ذلك.
  • مراقبة انجرافات البيانات (التغييرات في بيانات الإدخال)
  • اكتشف القيم المتطرفة ، حيث يمكن للمتطفلين إدخال بيانات يحتمل أن تكون خطرة لتحريف النموذج إلى الناتج المطلوب
  • ابحث عن أي قيم متطرفة محتملة في مجموعة بيانات التدريب الخاصة بك
  • استخدم أدوات تقييم أمان الذكاء الاصطناعي العامة ، مثل Counterfit. سيساعد على ضمان أن الخوارزميات موثوقة وقوية.
  • الاستفادة من أدوات حماية البيانات الحالية وحماية البيانات السرية عند تخزينها واستخدامها. أحد الأمثلة على ذلك هو أداة Imperva التي يمكن أن تكون بمثابة جدار حماية خارجي.

في ملاحظة أخيرة

إذا كنت مشروعًا تجاريًا ناجحًا ، فهناك فرصة جيدة أن يكون / يحاول شخص ما اختراق نظامك إما لطلب فدية أو إلحاق الضرر بالسمعة. وبما أن المخترقين يبحثون باستمرار عن ثغرات لاستغلالها ، فإن فريق تكنولوجيا المعلومات لديك يعمل على تقليل المخاطر. للتأكد من فوزك في هذا السباق ، استشر إحدى شركات الأمان والاختبار ذات الخبرة التي ستساعدك على تقييم حالة نظامك وتقديم توصيات حول كيفية التحسين.

وفي غضون ذلك ، لمنع أنواع الثغرات الأمنية المختلفة من كشف تطبيقاتك ، انتبه إلى تكوين نظامك ، وتأكد من تحديث جميع برامجك ، وقم بتدريب موظفيك على الممارسات الآمنة.

هل لديك شكوك حول أمان نظامك الحالي؟ أو تريد إنشاء تطبيق مع مراعاة الأمان؟ اترك فريق ITRex خطاً! سيختبر خبراء الأمن لدينا أجهزتك وبرامجك بحثًا عن نقاط الضعف ويقترحون التحسينات.

نُشر في الأصل على https://itrexgroup.com في 6 يوليو 2022.