تطرقنا في سلسلة مقالات "أساليب الحماية التقنية من الهجمات السيبرانية" للحديث عن أدوات تقنية تساعد أصحاب المنشآت ورواد الأعمال في حماية الأصول التقنية من المخاطر والتهديدات السيبرانية على مستويات مختلفة، ومن تلك الأدوات: أدوات حماية البيانات أثناء انتقالها من طرف لطرف آخر، وبروتوكولات قنوات التواصل الآمنة، وأدوات وحلول تقنية تساعد في حماية الشبكات الحوسبية من المخاطر السيبرانية. تلك الأدوات جديرة بالحماية بدرجة كبيرة من كثير من التهديدات السيبرانية، ولكنها لا تضمن الحماية للأجهزة الحاسوبية، سواء كانت أجهزة من نوع عميل (Client) أو خادم (Server). قد تصل البرمجيات الضارة للأجهزة الحاسوبية بطريقة لم تكتشفها وسائل الحماية المشار لها في المقالات السابقة من هذه السلسلة، وقد تصل للأجهزة المستهدفة من طرق لم تمر أصلاً من خلال تلك الوسائل، مثل أن تصل عبر وسيط تخزين مصاب ببرمجيات ضارة ارتبط بأحد الأجهزة داخل الشبكة، فيصاب الجهاز الذي وصلت له ثم تنتقل تلك البرمجيات الضارة للأجهزة الأخرى في الشبكة فتكتشف في وقت تكون فيه قد تفاقمت آثارها. لذلك، نتحدث في هذا المقال عن بعض الممارسات وبعض الأدوات والحلول التقنية التي تحمي الأجهزة الحاسوبية من البرمجيات الضارة بشتى أنواعها، مثل الفيروسات وبرمجيات التجسس وبرمجيات الإعلانات المزعجة، ومن أهم تلك الممارسات: الحرص على تحديث أنظمة التشغيل والبرمجيات المثبتة على الأجهزة، والحد من المنافذ (Ports) في الخوادم التي تكون متاحة على الإنترنت، واستخدام الأدوات المساعدة في الحماية مثل برمجيات الحماية من الفيروسات (Anti-Virus)، وفيما يلي شرح لأهمية كل وسيلة وتوضيح لطريقة عملها:

تشير الكثير من التقارير المتخصصة في تحليل الهجمات السيبرانية إلى أن معظم الهجمات السيبرانية التي نجحت في تحقيق أهدافها كان قد استغل فيها المهاجمون ثغرات أمنية في المكونات البرمجية من أنظمة الضحايا. كثير من تلك الثغرات تكون في الواقع معلومة ومعلن عنها في قواعد البيانات المرجعية المتخصصة بالثغرات الأمنية مثل National Vulnerability Database (NVD) ، فعلى سبيل المال، ما يزيد عن 99% من حوادث تسريب البيانات نتجت عن استغلال ثغرات برمجية كان قد أعلن عنها مسبقاً في تحذيرات أمنية، وقد كان من الممكن معالجتها لتفادي استغلالها من قبل المهاجمين. الثغرات البرمجية هي خلل في بعض المكونات لمنتج برمجي، يكون هذا الخلل قد وقع نتيجة لتفريط بشري، إما بشكل متعمد أو بسبب خطأ في أي مرحلة من مراحل تطوير المنتج، كأن تكون في أثناء تحليل متطلبات المنتج أو متطلبات ترابط مكوناته، أو في تصميمه، أو أثناء برمجته، أو حتى في المراحل المتقدمة من اختباره وإطلاقه. يمكن أن يستغل هذا الخلل بطريقة تعتبر خرقاً للسياسات الأمنية في المنشأة المستضيفة للأنظمة التي تعاني من هذا الخلل. هناك مئات الآلاف من الأمثلة على ثغرات أمنية في البرمجيات، يمكن الوصول لها من المصدر المذكور آنفاً (NVD). ومن أهم وسائل الحماية للأنظمة الحوسبية هي حماية الأجهزة المشغلة للبرمجيات من أن يصل لها المهاجم من خلال استغلال ثغرات في تلك البرمجيات. تتعدد وسائل الحماية من استغلال الثغرات البرمجية وفقاً للقرارات المتخذة حيال طريقة معالجة تلك الثغرات، والتي تعتمد على منهجيات وممارسات يعرفها المتخصصون. ولكن يمكن تلخيص قرارات معالجة الثغرات في ثلاث فئات: (1) المعالجة (remediation)، و(2) التخفيف والحد من الأثر (mitigation)، و(3) الإهمال للثغرات وتقبل المخاطر (ignoring and accepting risk). لن نتحدث في هذا القسم عن قرارات التخفيف والحد من الأثر أو قرارات تقبل المخاطر، لأن الأولى سيتم الإسهاب بها في الأقسام التالية من هذا المقال، والثانية يلجأ إليها محللوا المخاطر السيبرانية في المنشآت التي لديها إدارات للمخاطر تكون قد تجاوزت مراحل النضج الأولية التي تتسم بها الشركات الناشئة التي يقودها فريق صغير من رواد الأعمال. فينصح لتلك الفئة من الشركات الناشئة بمعالجة الثغرات قدر المستطاع وذلك بتحديث أنظمة التشغيل والبرمجيات المثبتة على الأجهزة الحاسوبية بشكل دوري ووفقاً للتحديثات الأمنية التي تطلقها شركات المنتجات البرمجية. وهنا تجدر الإشارة إلى ضرورة رفع مستوى الوعي لدى فريق العمل بأهمية استخدام الأدوات المساعدة على تطبيق التحديثات المتاحة لأنظمة تشغيل الأجهرة الحاسوبية وبرمجياتها، سواء كانت أجهزة شخصية أو خوادم. وهناك الكثير من الأدوات في هذا المجال، منها ما يكون متوفراً في بيئة أنظمة التشغيل المختلفة، ومنها ما يكون أنظمة منفصلةً تخصص لإدارة الأجهزة (Endpoint Management Solutions) مثل أداة (Microsoft Endpoint Manager) التي يمكن من خلالها التحكم بإدراة التحديثات للأجهزة المعرفة على النظام. تعمل تلك الأدوات على متابعة التحديثات التي تطلقها شركات المنتجات البرمجية التي يتم تنصيبها على الأجهزة الحاسوبية وتنصيب التحديثات بطريقة سلسة تحافظ بشكل كبير على ترابط المكونات البرمجية للأجهزة التي يتم تحديثها.

  1. National Vulnerability Database, https://nvd.nist.gov.
  2. Verizon 2015 Data Breach Investigations Report, https://www.verizon.com/about/news/2015-data-breach-report-info.

ذكرنا آنفاً أن أحد فئات قرارات معالجة الثغرات هي التخفيف والحد من الأثر، وهذه الفئة تتسع لقرارات كثيرة ومتنوعة، ومنها الحد من مساحة السطح المعرض للخطر، بحيث تقلل فرص محاولات الوصول للمهاجمين على البيئة الحوسبية للضحية. وهذا القسم بالتحديد يركز على تقليل السطح المعرض للخطر من خلال الحد من الوصول للخدمات البرمجية إذا لم يكن هناك حاجة للوصول لها. يتم ذلك من خلال التحكم بما يعرف ب "منافذ الشبكة". مصطلح "منفذ" أو (Port) هو أحد المصطلحات المستخدمة في شبكات الحاسب، وهو رقم تعريف للخدمات التي تعمل على جهاز محدد، يلحق بعنوان ال (IP) للجهاز المستضيف للخدمة. الغرض من إلحاق رقم المنفذ بالعنوان هو تمييز الطلبات التي تصل عن طريق الشبكة لعنوان الجهاز وتوجيهها للخدمة التي تعمل على ذلك المنفذ من الجهاز الحاسوبي، مثل أن تكون الخدمة HTTP ناقلة لصفحات الويب أو تكون خدمة FTP لنقل الملفات. جميع المراسلات عبر شبكة الانترنت لابد أن يستخدم فيها منافذ الشبكات. رقم المنافذ المتاحة في شبكات الحاسب يمكن أن يقع في المدى من 0 إلى 65536 لكل من بروتوكولي الشبكة TCP و UDP، ولكل منفذ من المنافذ على أي جهاز مرتبط بالشبكة حالتان، فإما أن يكون مفتوحاً بحيث تعمل عليه خدمة توجه لها الحزم من البيانات الطالبة لها، أو مغلقاً لا يعمل عليه أي خدمة ولا يتم التوجيه له. ينصح دائمًا بالحد من المنافذ المفتوحة على الجهاز الحاسوبي المرتبط بالشبكة للحد من مساحة السطح المعرض للخطر، بحيث تحد من محاولات الوصول غير المصرح به للمهاجمين، والذين عادة ما يفضلون الخدمات التي تتيح لهم فرصة أكبر لاختراق الضحية، مثل خدمات برتكون نقل الملفات FTP والتي عادة ما تعمل على منفذي TCP رقم 20 و21، وخدمات برتوكول النقل الآمن SSH والتي عادة ما تعمل على منفذ TCP رقم 22، لذا من الضروري جداً إيقاف الخدمات على الأجهزة المرتبطة بالشبكة إذا لم تعد لها حاجة. يجب مراجعة المنافذ المفتوحة على الشبكة شكل دوري ومراجعة اشتراطات الوصول لها، كأن يتم تقسيم الشبكة وحجب الوصول لبعض الخدمات من خارج المنشأة. وللوصول لحماية أفضل للخدمات المتاحة على الشبكة، يمكن استخدام الأدوات التي تقلل مخاطر الوصول للمنافذ المفتوحة مثل جدر الحماية وقنوات التواصل الآمن، والتي تم التطرق لها في المقالات السابقة من هذه السلسلة.

تساعد برامج الحماية من الفيروسات بالتخفيف والحد من الأثر لمحاولات استغلال الثغرات التي لم يتم معالجتها في الأجهزة الحوسبية للضحية وذلك من خلال التعرف على محاولات الاستغلال وإيقافها. عادة ما يتم استغلال الثغرات من خلال سلسلة من الأوامر، أو سلسة من البيانات، أو برمجيات تعد لهذا الغرض، تسمى جميعاً Exploits. تحد مكافحات الفيروسات من البرمجيات الضارة التي تستغل الثغرات البرمجية بشكل كبير، وهي من الأدوات بالغة الأهمية لحماية الأجهزة الحاسوبية، وخصوصاً الأجهزة التي تعمل عليها الكثير من البرمجيات والتي لا يتم تحديثها بشكل دوري. تعمل برمجيات مكافحة الفيروسات على مسح الملفات القادمة للجهاز من الشبكة والشفر المصدرية التي تعمل على الجهاز للتعرف على ال Exploits بطرق متعددة، من أهمها مقارنة "توقيع" الملفات المتوفرة على جهاز الحاسوب بقائمة كبيرة من "التوقيعات" لملفات خطرة تم التعرف عليها مسبقاً. يتم الحصول على هذه القائمة من خلال التحديثات الدورية على برمجيات الحماية من الفيروسات. لذلك فإنه من الضروري جداً تحديث برمجيات مكافحة الفيروسات شكل دوري.

  1. تحصل المقارنة باستخدام "توقيع" للملف عبر دوال تجزئة (Hash Functions)

وختاماً، فإنه من المهم لأي منشأة الحرص على تبني وتطبيق السياسيات والأدوات التقنية التي تضمن تقليل المخاطر السيبرانية التي تستهدف الثغرات الأمنية في الأجهزة الحاسوبية، سواء كانت خوادم أو أجهزة شخصية. تلك السياسات ستضمن الحد بشكل كبير جداً من الهجمات الضارة وتقليص آثارها في حال وقوعها. واليوم نرى أن وسائل الحماية من الاختراقات التي تستهدف الأجهزة الحوسبية قد تنوعت عدداً ونوعاً استجابة للديناميكية العالية المتأصلة في أي نظام حوسبي، حيث تزداد الثغرات الأمنية التي يتم اكتشافها والإعلان عنها في كل سنة، وتزداد أنواع البرمجيات وطرق الهجمات السيبرانية بشكل سريع.