هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

منهجيات اكتشاف الهجمات الالكترونية يحتاجها فريق Blue team

سوف اشارك بعض المنهجيات المستخدمة لكشف الهجمات الالكترونية والتي يمكن استخدامها في البحث العلمي في امن المعلومات او بناء استراتيجيات الدفاع وكشف الهجمات في الشركات. هذه المنهجيات Models تتميز بانها منهجيات تم كتابتها وتطويرها باستخدام المنهج العلمي. سوف اضع اسماء هذه المنهجيات مع مصادر اقترحتها لكم والتي درستها واستفدت منها.

اقرأ المزيد

صفات هجمات APT

ذكرت في تدوينه سابقة عن تصنيف الهجمات الالكترونية من ناحية التركيز والمهارة وكان احد انواع الهجمات هو Advanced persistent threat والذي سوف يتم الاشارة اليه بـ APT. هذا النوع من الهجمات متقدم تقنيا ويتطلب مهارة عاليه في الاغلب تنفذ من قبل جماعات منظمه او شركات متخصصه. هذه الهجمات ليست كالهجمات العادية والكثيرة على شبكة الانترنت وهذا ما جعل الكثير من الشركات ان تتدعي ان الهجمات التي تتعرض لها عباره APT لكي تبرر اختراقها.

اقرأ المزيد

CVSS لتقييم خطورة الثغرات

في تدوينه سابقة كتبت عن نظام CVSS لتقيم الثغرات ولكن لم اتطرق لكيفية قراءة وحساب التقييم باستخدام هذا النموذج. في هذه التدوينه سوف نتعرف على كيفية قراءة التقييمات مع حساب خطورة الثغرات المكتشفة باستخدام CVSS Base Vectors. وهي تعتبر الجزء الثاني من التدوينه السابقة.

لكي نقوم بحساب خطورة ثغرة تم اكتشافها نقوم بتحليل سته مقاييس تخص الثغرة, الثلاثة المقاييس الاولى تخص استغلال الثغرة وما مدى سهوله استغلالها والثلاث المقاييس الأخرى تخص تأثير الثغرة على بيئة العمل. كل مقياس له تقييم خاص به. هذه التدوينة توضح مقاييس الاصدار الثاني من نظام CVSS. الاصدار الثالث سوف يكون تدوينة خاصه به

اقرأ المزيد

امن المعلومات لطالب في بداية تخصصه الجامعي

اذا كنت طالب في بداية مشوارك الجامعي في تخصص الحاسب ومهتم بأمن المعلومات وتريد التخصص فيه، هناك بعض المواد الدراسة التي يجب عليك التركيز وفهمها جيداً بسبب انها سوف تكون الاساس الذي سوف يساعدك على فهم الكثير من الامور عند انتهائك من الجامعة والتركيز على امن المعلومات بشكل معمق. المواد التي سوف اذكرها هي مواد ربما قد لا يعرف الطالب انها مهمه ويهملها، لن اقوم بذكر المواد التي هي الاساس مثل اساسيات الحاسب، الشبكات، البرمجه فهي امور بديهية سواء لامن المعلومات او غيره من التخصصات.

اقرأ المزيد

فيديوهات من قناة Computerphile تناولت مواضيع امن المعلومات

قناة Computerphile من اروع القنوات على اليوتيوب واكثرها جوده للماده العلمية المطروحه لمواضيع علوم الحاسوب. القناه تحتوي على فيديوهات تناولت العديد من المواضيع المختلفة في علوم الحاسوب وأيضا امن المعلومات, قمت بجمع كل الفيديوهات التي تناولت مواضيع امن المعلومات في هذه التدوينه .

اقرأ المزيد

كيف يتم تقييم خطورة الثغرات

اذا كنت قد عملت على احد ادوات الـ vulnerability scanners مثل nessus او openvas سوف تلاحظ بأن التقارير المنتجه من الادوات تعطي تقييم للثغرات باربع تقييمات حرج , عالي, متوسط, منخفض, هذه التقييمات مخزنة في معلومات كل ثغره بشكل مسبق. التقييمات يتم احتسابها عن طريق معايير دقيقه يستخدمها مجتمع امن المعلومات. التقييمات تشير اذا الثغره خطيرة او مجرد ثغره منخفضه الخطورة.

اقرأ المزيد

10 خطوات يجب اتباعها لزيادة أمن انظمة SCADA

 

الخطوات التي اذا تم اتباعها سوف تزيد من حماية انظمه SCADA والتي هي خطوات بشكل عام صالحة للتنفيذ لاي شبكة حساسة يجب حمايتها ليس فقط انظمه سكادا وانما تم التركيز على انظمه سكادا في هذه التدوينة:

  1. حدد كل شي له اتصال بشبكات انظمه سكادا  : هنا يتم دراسة بنية الشبكة ومعرفة كل شي يمكن ان يتصل بشبكة انظمه سكادا سواء من الشبكه الداخليه او من خارج الشبكه الداخليه (الأنترنت) او من شبكات الوايرلس او غيرها من وسائل الاتصال . يجب معرفتها وتسجيلها لكي يتم التعامل معها في الخطوات القادمة
  2. قم بعزل شبكات انظمه سكادا وامنع اي اتصالات غير ضروريه للانظمه: هنا يتم تحديد من يجب ان يكون له صلاحية بالوصول الى انظمه سكادا ووضع ضوابط صارمه . الموظفين او المهندسين الذي ليس لهم علاقة بانظمه سكادا يجب عزل اجهزتهم من شبكة الانظمه ويجب ان تكون الشبكه على هذا الاساس . مثل ان يتم وضع كل جهاز سكادا او مجموعه في vlan منفصل والسماح للمهندس المختص بالاتصال فقط وابطال كل الاتصالات الاخرى من اي جهاز اخر .
  3. قم بعمل أختبار اختراق وتقييم للثغرات للشبكة بالكامل مع الشبكات المعزولة ايضا : عزل الشبكات عن بعضها لا يعني ان الخطر تم استبعاده تماما . يجب ان يتم عمل اختبار اختراق واكتشاف نقاط الضعف للشبكه بالكامل ( شبكات انظمه سكادا المعزولة والشبكات الاخرى ) .
  4. قم بازالة او تعطيل كل الخدمات الغير ضروريه في الانظمه : انظمه سكادا تاتي بخدمات ومميزات كثيرة مثلها مثل انظمة التشغيل التي نستخدمها . لها العديد من الخدمات مثل ميزه الصيانة عن بعد او ارسال التقارير بالايميل وغيرها . اي خدمه غير ضروريه لبيئة العمل بشكل كبير يجب تعطيلها تماما. الخدمات التي تعمل على اي نظام هي مثل الابواب التي يمكن استخدامها للاختراق وكل ما قلت هذه الابواب كلما قلت فرصة وجود ثغرات استغلالها.
  5. اختيار البروتوكول المستخدم للتواصل بين الانظمه بعناية  : انظمه سكادا تتواصل فيما بعضها وكذلك مع السرفرات المتصلة بها باستخدام بروتوكولات كثيرة ومنها التجاري ومفتوح المصدر . هنا يجب معرفة كل جوانب البروتوكول المستخدم والسرية التي يوفرها من تشفير للاتصال او درجة امانة وعدد الثغرات المكتشفة فيه وغيرها . البروتوكولات التجارية ينصح الابتعاد عنها بشكل عام وعدم ترك الانظمه تعمل بالاعدادات الافتراضية .
  6. استغل كل الخدمات الامنية التي يوفرها النظام : في العادة في انظمه سكادا او غيرها من الانظمه يتم تعطيل الكثير من المميزات والخدمات لتسهيل عملية التنصيب ومن ثم ترك الخيار للمهندس او المستخدم بتفعيل واعداد ما يريد حسب رغبته . انظمه سكادا خاصة الحديثه منها تاتي بخدمات امنية فيها معطلة بشكل افتراضي . استغلال الخدمات وتفعيلها واستغلال هذه الميزات في زيادة الامن خطوة مهمه ومفيده .
  7. قم بتنصيب واعداد خطة مراقبة شاملة للشبكة : يجب ان تكون الشبكة بالكامل معدة باستراتيجيه مراقبة معدة لمراقبة الشبكة بكافة البيانات تمر في الشبكة وذلك عن طريقة اعداد Intrusion Detection Systems ومراقبة تقارير بشكل دوري ودقيق .
  8. قم بعمل تقييم امني للامن المادي للانظمه وموقع العمل : هنا يتم تقييم الامن المادي للانظمه وموقع العمل او اي شبكه لها اتصال بالانظمه . ايضا يتم تحديد وتسجيل كل شي مادي يمكن ان يؤدي الى خرق او تجسس على الانظمه مثل الكيبلات الموزعه او اجهزة Access points الموزعة لشبكات الوايرلس ان وجدت وهذا يتلخص ضمن خطة اختبار الاختراق اذا تم عمل اختبار اختراق كامل سوف يتم ضم الـ physical penetration testing .
  9. تاسيس فريق Red Team لتقييم الأمن ومحاكاة اساليب الاختراق:  هذا الفريق سوف يتولى مهمام محاكاة اساليب الاختراق الفعليه ومحاولة اختراق الشبكة بالاضافة الى الاستجابة للحوادث .
  10. وأهم نقطه وهي عمل نظام backup وخطة لـ disaster recovery : هذه بنظري اهم يجب ان يكون هناك نظام لاخذ نسخ احتياطية للبيانات وجدولتة وحفظه في مكان أمن بعيد عن الشبكة ( أي انه معزول عن اي شبكات سواء شبكة العمل نفسها التي ينتمي اليها او شبكات اخرى ). كذلك خطة للتعامل مع الكوارث مهمه جدا خاصة في حالة انظمه سكادا فكلها معرضة لخطر الكوارث في بيئة العمل بسبب طبيعة عملها لادارة البنية التحتية .

مراحل الأستجابه لحوادث الأختراق

الانظمه الامنية تستخدم للدفاع عن الشركات والموسسات من الجرائم الالكترونية بكافة انواعها واشكالها ولكن حوادث الاختراق لا يمكن ابدا منعها  من الحدوث لذلك يجب على الاقل اذا حدثت هذه الحوادث الامنية  يتم احتوائها وتقليل الخسائر بقدر المستطاع وهذا ما يسمى بالاستجابة للحوادث (Incident response ) .

الاستجابة للحوادث تتم عن طريق تعريف سياسات دقيقه يتم اتباعها في الشركه او الموسسه للحد من اخطار الاختراقات وهذه السياسات كما سوف نعرف في هذه التدوينه لها مراحله قبل حدوث الاختراق وبعده . في العاده يقوم بالتخطيط والتحقيق في الحوادث فريق متخصص يسمى CSIRT اختصار لـ Computer Security Incident Response Team , ايضا يمكن الاستعانه بشركات متخصصه للتحقيق واحتواء الحوادث .
تتكون عملية الاستجابة للحوادث من عدة مراحلة :

هناك سبع مراحلة اساسية للأستجابة لحوادث الاختراق سوف نتعرف عليهم بشكل سريع وسوف اكتب تدوينه منفصلة عن كل مرحله ان شاء الله

ما قبل الحادثه:

وتتلخص في البروتوكولات والسياسات المتبعه في الشركه للتعامل في مثل هذه الحوادث وتحديد فريق الاستجابة قبل حدوث الحادثه والاستعداد بحيث يتم طلبهم في اي لحظه. فريق الاستجابة قد يكون من موظفي الشركة في حالة الشركات الكبيرة او يتم طلبهم من قبل شركات اخرى . بعض الامثلة على سبيل التوضيح ليس الحصر لبعض الممارسات التي يجب ان تكون موجوده للاستعداد لحدوث الاختراقات .

اقرأ المزيد