مقدمة في الأمن السيبراني

Questions and Answers

ما هي المبادئ الأساسية الثلاثة المعروفة باسم نموذج CIA للأمن السيبراني ، وكيف يساهم كل منها في حماية المعلومات؟

السرية، السلامة، والتوافر. السرية تمنع الوصول غير المصرح به، السلامة تضمن دقة البيانات، والتوافر يضمن الوصول عند الحاجة.

اشرح مفهوم نموذج DAD للأمن السيبراني وكيف يختلف عن نموذج CIA.

يعتبر نموذج DAD عكس نموذج CIA ويركز على الإفشاء (Disclosure) والتعديل (Alteration) والإنكار (Denial) كتهديدات رئيسية.

ما هي الفئات الخمس الرئيسية للمخاطر المتعلقة بالأمن السيبراني، وقدم مثالاً لكيفية ظهور كل فئة في سيناريو عملي؟

مالية، سمعة، استراتيجية، تشغيلية، والامتثال. مثال: قد يؤدي خرق البيانات إلى خسائر مالية، وتشويه السمعة، وتعطيل العمليات، وانتهاكات الامتثال.

كيف يؤثر قانون HIPAA على ممارسات الأمن السيبراني في قطاع الرعاية الصحية؟

يتطلب HIPAA حماية المعلومات الصحية الخاصة (PHI) من خلال ضوابط الوصول، التشفير، وتدقيق العمليات، مع فرض عقوبات على الانتهاكات.

ما هي الأهداف الرئيسية لضوابط الأمن السيبراني، وكيف تساهم في تحقيق حالة الأمن المرغوبة للمؤسسة؟

تحديد حالة الأمن المرغوبة وتوجيه اختيار التدابير الأمنية لتحقيق أهداف السرية والسلامة والتوافر (CIA).

قارن بين الضوابط التقنية والإجرائية والإدارية في الأمن السيبراني، وقدم مثالاً لكل نوع.

الضوابط التقنية تستخدم في الفضاء الرقمي (جدران الحماية)، الضوابط الإجرائية تتعلق بالعمليات (مراجعات الوصول)، والضوابط الإدارية تركز على إدارة المخاطر (تقييمات المخاطر).

اشرح الفرق بين الضوابط الوقائية والكاشفة والتصحيحية والمثبطة والفيزيائية في سياق الأمن السيبراني؟

الوقائية تمنع المشاكل، الكاشفة تحددها، التصحيحية تصلحها، المثبطة تثبط الهجمات، والفيزيائية تحمي البيئة المادية.

ما هي الضوابط التعويضية، ومتى يتم استخدامها؟

تدابير أمنية بديلة تستخدم عندما لا تكون الضوابط الأساسية ممكنة، ويجب أن تفي بمعايير PCI DSS.

صف الحالات المختلفة للبيانات (Data States) ووضح المخاطر الأمنية المرتبطة بكل حالة.

البيانات في حالة سكون (في التخزين)، البيانات في حالة تنقل (عبر الشبكة)، البيانات قيد المعالجة (في الذاكرة). المخاطر تشمل السرقة والتنصت والوصول غير المصرح به.

ما هي طرق حماية البيانات الرئيسية، وكيف تساعد في الحفاظ على أمن المعلومات الحساسة؟

التشفير (يجعل البيانات غير قابلة للقراءة)، منع فقدان البيانات (DLP) (يمنع تسرب البيانات)، تقليل البيانات(تقليل البيانات الحساسة)، وتشويه البيانات (إخفاء البيانات).

قارن بين منع فقدان البيانات المعتمد على المضيف (Host-based DLP) ومنع فقدان البيانات المعتمد على الشبكة (Network-based DLP)، وما هي نقاط القوة والضعف لكل منهما؟

يعمل DLP المعتمد على المضيف على الأنظمة الفردية، بينما يراقب DLP المعتمد على الشبكة حركة مرور الشبكة. يوفر DLP المعتمد على المضيف حماية تفصيلية، بينما يتميز DLP المعتمد على الشبكة بالرؤية المركزية.

اشرح الآليات التي تستخدمها أنظمة منع فقدان البيانات (DLP) لتحديد وحماية البيانات الحساسة.

مطابقة الأنماط، العلامات المائية، وإلغاء تعريف البيانات.

صف كيفية عمل تقنيات إخفاء البيانات مثل التجزئة والترميز والإخفاء، ووضح متى يكون كل منها مناسباً؟

التجزئة تحول البيانات بشكل غير قابل للعكس، الترميز يستبدل القيم الحساسة بمعرفات فريدة، والإخفاء يخفي جزئياً البيانات الحساسة. لكل منها استعمال.

ما هي طرق التخفيف التي يمكن للمؤسسات تنفيذها لمنع هجمات جدول قوس قزح على كلمات المرور المخزنة؟

استخدم خوارزميات تجزئة قوية، قم بتنفيذ عملية الـ Salt، وتجنب التجزئة لنطاقات البيانات المحدودة.

ما هي الأنواع الرئيسية من الجهات الفاعلة في مجال التهديدات السيبرانية، وكيف تختلف دوافعها ومواردها ومستويات مهاراتها؟

الأطفال المبرمجون، النشطاء المتسللون، النقابات الإجرامية، والتهديدات المستمرة المتقدمة (APTs). لديهم مهارات ودوافع وموارد متفاوتة.

من هم المتسللون أصحاب القبعات البيضاء، وكيف يساهمون في الأمن السيبراني؟

مهاجمون معتمدون يحددون نقاط الضعف لتصحيحها وتحسين الأمن.

اشرح مفهوم «هندسة الظل لتكنولوجيا المعلومات» (Shadow IT) والمخاطر الأمنية المرتبطة به.

حلول تكنولوجية غير مصرح بها تستخدمها الموظفين دون علم قسم تكنولوجيا المعلومات، مما يؤدي إلى نقص ضوابط الأمان وخرق محتمل للبيانات.

ما هي هجمات اليوم الصفري (Zero-Day Attacks)، ولماذا هي خطيرة جداً؟

تستغل نقاط الضعف غير المعروفة التي لم يتم الكشف عنها أو تصحيحها.

صف خمسة ناقلات تهديد شائعة توضح كيف يمكن لجهات التهديد الوصول إلى الأنظمة أو المعلومات.

البريد الإلكتروني، وسائل التواصل الاجتماعي، الوصول المباشر، الشبكات اللاسلكية، ووسائط قابلة للإزالة.

ما هي هجمات سلسلة التوريد، وكيف يمكن للمؤسسات التخفيف من المخاطر المرتبطة بها؟

يهاجم المجرمون الأجهزة أو البرامج أثناء التصنيع أو العبور. يتطلب التخفيف إدارة قوية للبائعين.

ما هي مصادر معلومات التهديدات الرئيسية التي يمكن للمؤسسات استخدامها للبقاء على اطلاع دائم بالتهديدات السيبرانية المحتملة؟

مصادر أولية، والويب العميق والمظلم، ومصادر مفتوحة.

ما هي أغراض «التصنيف الجغرافي للتهديدات» (Geographic Threat Mapping) وكيف يمكن أن تساعد المؤسسات في فهم مصدر الهجمات؟

استخدم الخرائط الجغرافية للتهديدات لفهم أماكن نشأة الهجمات ولكن كن حذراً بسبب الأخطاء المحتملة.

ما هي الآثار المترتبة على استخدام أدوات فحص البرامج الضارة التي تعطي نتائج إيجابية خاطئة وما هي التدابير اللازمة للتحقق من صحة الإيجابيات الخاطئة؟

يمكن أن تتسبب الإيجابيات الخاطئة في تعطيل سير العمل ورفع مستوى الإنذارات الكاذبة. يجب التحقق من صحة النتائج.

ما هي الأنواع الرئيسية للبرامج الضارة وما هي خصائصها المميزة؟

برامج الفدية (تطالب بالدفع)، وأحصنة طروادة (تتنكر في شكل شرعية)، والديدان (تنتشر ذاتياً)، والجذور الخفية (تخفي النشاط الخبيث)، والروبوتات (الأنظمة المخترقة التي يتم التحكم فيها عن بعد).

اشرح الفرق بين برامج الفدية و البرامج الضارة المعتمدة علي تشفير البيانات، وقدم أمثلة لكيفية عمل كل نوع وبرامج الحماية منه؟

تقوم برامج الفدية بتشفير الملفات والمطالبة بالدفع لاستعادة الوصول، بينما تقفل برامج الفدية الأخرى النظام ببساطة. بعض الحلول مكافحة برامج مكافحة الفيروسات.

ما هي التحديات المرتبطة بالكشف عن حصان طروادة للوصول عن بعد (RATs)، وكيف يمكن للمؤسسات التخفيف من هذه التحديات؟

يمكن الخلط بين RAT وأدوات الوصول عن بعد المشروعة أو تكون لها نتائج إيجابية خاطئة، مما يتطلب تدريب الوعي الأمني للتحليل السلوكي.

صف كيف أن الروبوتات وشبكات الروبوتات تستخدم للقيام بأنشطة ضارة، وكيف يمكن رصدها وإبطالها؟

تستخدم شبكات الروبوتات لإطلاق هجمات DDoS وحملات الرسائل غير المرغوب فيها. للكشف والرصد يجب استخدام أنظمة كشف التسلل في الشبكة (NIDS).

ما هي أنواع أدوات الوصول عن بعد طروادة (RAT) وما هي انواع البرامج الضارة التى تستخدم Remote desktop access؟

Poison Ivy, DarkComet, njRAT و يمكنها الوصول لسطح المكتب عن بعد وادارة المفات و تسجيل لوحة المفاتيح .

صف كيف أن خوارزميات توليد النطاقات (DGAs) تستخدم في شبكات بوتنت وكيف يمكن اكتشافها ومنعها؟

تنشئ DGA أسماء نطاقات ديناميكياً للتواصل، ويمكن اكتشافها عن طريق تحليل أنماط مرور البيانات.

ناقش الغرض من مسجلات لوحة المفاتيح وآليات عملها والدفاعات المضادة التي يمكن استخدامها للتخفيف من مخاطرها.

تسجل ضغطات المفاتيح لسرقة المعلومات الحساسة، ويقلل المصادقة متعددة العوامل من تأثيرها.

اشرح كيف تعمل القنابل المنطقية كتهديد أمني، واصفاً أنواع المشغلات والتدابير المضادة المرتبطة بها.

يتم تضمين القنابل المنطقية في أحد البرامج وينشط في ظل ظروف محددة لإتلاف النظام.

صف كيف تختلف الفيروسات الخالية من الملفات عن الفيروسات التقليدية من حيث آلية العدوى ومكان الإقامة والأساليب الدفاعية.

تقيم الفيروسات الخالية من الملفات في الذاكرة ولا تخزن الملفات على القرص، واكتشافها من خلال تحليل السلوك.

ما هي برامج التجسس، وكيف تجمع المعلومات حول المستخدمين، وما هي التدابير التي يمكن اتخاذها لحماية الخصوصية؟

تجمع معلومات حول أنشطة المستخدمين.

قارن بين البرامج غير المرغوب فيها المحتملة والتطبيقات الضارة، مما يشير إلى كيفية تأثيرها على أجهزة الكمبيوتر وكيف ينبغي للمستخدمين التعامل معها.

البرامج غير المرغوب فيها المحتملة مزعجة ولكنها غير ضارة، في حين أن البرامج الضارة ضارة. قم بإزالتها وتثقيف المستخدم.

كيف يمكن أن يؤدي استخدام ادوات البرمجة النصية ( PowerShell) لأغراض خبيثة إلى تعريض أمن النظام للخطر، وما هي الدفاعات التي يمكن استخدامها للتخفيف من هذه المخاطر؟

يمكن أن تؤدي إلى هجمات ضارة معدومة الملفات أو تنفيذ التعليمات البرمجية عن بعد. يمكن وضع قيود على أوامر PowerShell.

ما هي آليات الدفاع التي يمكن تنفيذها للتخفيف من الهجمات المعارضة للذكاء الاصطناعي وما هي أفضل الممارسات لتعزيز قوة الذكاء الاصطناعي ضد التلاعب الخبيث؟

يمكن للمواقف التحديثية أن تجعل أنظمة الذكاء الاصطناعي أكثر مقاومة للهجمات المعارضة.

اشرح «الهندسة الاجتماعية (Social Engineering) » كمفهوم وكيف يتم استخدامها لاستغلال الافراد بطرق غير مستحبة؟

التأثير على الناس لاتخاذ اجراءات في غير محلها.

وصف المبادئ الأساسية لاستغلال الهندسة الاجتماعية للافراد في المجال السيبراني؟

السلطة والتخويف والاجماع والندرة والألفة والثقة.

توضيح أساليب وتقنيات التصيد الاحتيالي (Phishing) واشرح كيف يستطيع المهاجمون استغلال الأفراد للحصول على معلومات حساسة؟

الاحتيال في جمع المعلومات مثل اسم المستخدم او كلمات المرور او تفاصيل بطاقة الائتمان.

اشرح كيف يمكن للمهاجمين استغلال «ثغرات مواقع الويب» للوصول غير المصرح به للمعلومات؟

إعادة توجيه حركة المرور من المواقع المشروعة إلى المواقع الخبيثة عن طريق تغيير سجلات DNS.

في ظروف الته threats السيبرانية، حدد أهمية فحص «البريد المزعج (Spam) » وما إذا كان يشمل رسائل البريد الإلكتروني أو الرسائل الفورية أو كليهما؟

رسائل البريد الإلكتروني غير المرغوب فيها التي يتم إرسالها عادةً في رسائل كبيرة.

وضح كيف يمكن لمفهوم «البحث في القمامة» أن يشكل تهديدًا للمؤسسات، وما هي التدابير المضادة التي يمكن تنفيذها للتخفيف من هذه المخاطر؟

عبارة عن البحث من خلال القمامة للعثور على معلومات.

حدد ماهية «هجمات القوة الغاشمة». اشرح كيف يحاول المهاجمون تحديد كلمات المرور، وفكر في استراتيجيات لمنع مثل هذه الهجمات؟

محاولة جميع مجموعات كلمات المرور الممكنة حتى يتم العثور على كلمة المرور الصحيحة.

ناقش أهمية الوعي الفعلي بالمخاطر الأمنية وأيضاً بروتوكولات الاستجابة لها وأثرها على الإدارة الناجحة لـ «الهجمات المادية».

تقليل المخاطر.

وضح كيف يمكن لمهاجمي الأجهزة التلاعب بمعلومات بطاقة الائتمان خلال الأزمات، وماهي التدابير الأمنية التي تخفف من ذلك؟

عن طريق نسخ معلومات بطاقة الائتمان.

وضح الغرض من تقييم الثغرات الأمنية واختبار الاختراق، وكيف يساهمان في تحسين الوضع الأمني للمؤسسة.

يوفر اختبار الاختراق رؤى قيمة حول نقاط الضعف التي لا تستطيع الأدوات الأخرى الكشف عنها.

Flashcards

السرية

يمنع الوصول غير المصرح به إلى المعلومات الحساسة

السلامة

يمنع التعديلات غير المصرح بها على المعلومات أو الأنظمة

الإتاحة

يضمن إمكانية الوصول إلى الأنظمة والبيانات عند الحاجة

التهديد الرئيسي للسرية

الكشف غير المصرح به للبيانات الحساسة

التهديد الرئيسي للسلامة

التعديلات غير المصرح بها

التهديد الرئيسي للإتاحة

تعطيل الخدمة

الكشف

معلومات غير مصرح بالوصول إليها

تعديل

معلومات غير مصرح بتعديلها

إنكار

حرمان من الوصول المشروع

مثال على تهديد الحرمان

هجمات رفض الخدمات الموزعة

خطر التدمير/الإنكار

فقدان الإيرادات بسبب التوقف

HIPAA

القانون المصمم لحماية المعلومات الصحية

حماية الهوية

بيانات التعريف الشخصية

ضوابط فنية

عناصر التحكم التي تطبق الأمن في الفضاء الرقمي.

ضوابط التعويض

يجب أن تفي بمعايير PCI DSS(معيار أمان بيانات صناعة بطاقات الدفع).

البيانات في حالة سكون

بيانات مخزنة على محركات الأقراص الصلبة أو أشرطة أو تخزين سحابي أو وسائط أخرى

البيانات قيد الحركة

بيانات في حالة العبور عبر الشبكة

البيانات قيد المعالجة

بيانات قيد الاستخدام الفعلي من قبل نظام الكمبيوتر، بما في ذلك البيانات الموجودة في الذاكرة

إخفاء البيانات

تُجري العمليات الحسابية على البيانات لإخفاء معناها

منع هجوم جدول قوس قزح

هجوم باستخدام جداول تم إنشاؤها مسبقاً لتكسير كلمات المرور

هدف بيئة التهديد السيبراني الحديث

معرفة الأنواع الرئيسية للتهديدات وخصائصها

سكربت كيديز

هواة المتسللين الذين يخترقون للمتعة أو لإظهار مهاراتهم

هاكتفيستس

اختراق بدافع النشاط السياسي

النقابات الإجرامية

مجموعات الجريمة المنظمة التي تنخرط في الجرائم الإلكترونية لتحقيق مكاسب مالية

التهديدات المستمرة المتقدمة

مهاجمون ذوو مهارات عالية وموارد جيدة

المنافسين

المنافسون يتجسسون

هجمات اليوم الصفري

هجمات تستغل الثغرات الأمنية

مهارة المتسللين

المهاجمون يحصلون على مهاراتهم من أدوات متاحة

تهديد الجهات الفاعلة

الأفراد لديهم دوافع

نواقل التهديد

الطرق المستخدمة من قبل الجهات الفاعلة في التهديد لاكتساب الوصول إلى الأنظمة أو المعلومات

هجمات سلسلة التوريد

(التصنيع) أو أثناء النقل

مصادر معلومات التهديد

عملية جمع وتحليل المعلومات حول التهديدات المحتملة وإجراءات

مشترك نظام تسجيل الثغرات الأمنية

قياس شدة نقاط الضعف.

اختبار الاختراق

تحديد وتقييم فعالية

أحصنة طروادة للوصول عن بعد

قم بالوصول عن بعد

مسجلات المفاتيح

البرامج التي تأسر إدخال المستخدم

البرامج غير المرغوب فيها المحتملة

البرامج التي ليست ضارة ولكن غير مرغوب فيها

إيه أي الخصومة

شن هجوم لزرع معلومات خاطئة

التصيد الاحتيالي

الحصول على معلومات احتيالية

يسمم

توجيه حركة المرور

Study Notes

مقدمة في الأمن السيبراني

• منع الوصول غير المصرح به إلى المعلومات الحساسة هو جوهر السرية.
• تتم حماية السرية بواسطة جدران الحماية وقوائم التحكم في الوصول والتشفير.
• التهديد الرئيسي للسرية هو الكشف غير المصرح به للبيانات.
• منع التعديلات غير المصرح بها على المعلومات/الأنظمة هو أساس التكامل.
• تتم حماية التكامل عن طريق التجزئة وحلول مراقبة النزاهة.
• يشمل الإتلاف غير المصرح به والتعديلات غير الخبيثة وأنواع تلف البيانات.
• ضمان إمكانية الوصول إلى الأنظمة/البيانات عند الحاجة هو هدف التوفر.
• يتم حماية التوفر عن طريق التسامح مع الأخطاء والتجميع والنسخ الاحتياطية.
• تشمل التهديدات المحتملة لتوفر الخدمة تعطل الخدمة والكوارث الطبيعية والأعطال.
• تشمل خروقات السرية والسلامة و\أو التوفر حوادث أمنية.
• تشمل الأسباب الرئيسية للحوادث الأمنية النشاط الخبيث أو النشاط العرضي أو الأحداث الطبيعية.
• تشمل مسؤوليات متخصصي الأمن إدارة المخاطر وتقييم الأثر.

ثلاثية DAD (تهديدات الأمن الرئيسية)

• كشف المعلومات ينتهك السرية من خلال التعرض غير المصرح به لمعلومات حساسة.
• يعد سرقة البيانات وتكوينات التحكم بالوصول العرضية والأجهزة المفقودة أمثلة على الكشف.
• انتهاكات النزاهة هي كل أنواع التعديل غير المصرح به الذي يسبب معاملات احتيالية وأخطاء المستخدم وتلف البيانات.
• تحدد ثلاثية DAD (الإفصاح والتعديل والإنكار) العناصر الأساسية لتقييم المخاطر الأمنية.
• تتسبب هجمات DDoS وفشل الأجهزة والكوارث الطبيعية في تعطيل الوصول المشروع، مما يؤثر على التوفر.
• يجب على المؤسسات تحليل المخاطر من خلال فحص ما إذا كان الكشف غير المصرح به للمعلومات يمكن أن يضر بالمؤسسة.
• تشمل أنواع الكشف عن المعلومات تسرب السجلات المالية وتعرض بيانات العملاء واختراق الأسرار التجارية.
• يشمل خطر التعديل تقييم مدى الضرر الذي يمكن أن تحدثه التغييرات غير المصرح بها، مثل تشويه موقع الويب أو فساد قاعدة البيانات.
• يركز خطر التدمير/الإنكار على تأثيرات تعطل الخدمة على العمليات، بما في ذلك فقدان الإيرادات وفقدان ثقة العملاء وشدة التعطيل التشغيلي.
• يساعد تحليل المخاطر الشركات على تحديد الأصول الهامة وتقييم التهديدات المحتملة وتنفيذ الضوابط المناسبة.
• تساعد هذه الضوابط في تحديد الأولويات لاستثمارات السلامة بناء على تحليل المخاطر.

تأثير الاختراق

• تشمل عوامل شدة التأثير في الاختراق نوع الحادث ونوع المؤسسة المتضررة.
• يغطي الخطر المالي التكاليف المباشرة لإعادة بناء مركز بيانات مدمر وتكاليف التوظيف غير المباشرة لفرص الأعمال الضائعة.
• ينطوي الخطر المتعلق بالسمعة على فقدان حسن النية نتيجة للدعاية السلبية، والتي غالبًا ما يكون قياسها صعبًا.
• يؤثر الخطر الاستراتيجي على تحقيق الأهداف التنظيمية، مما قد يؤدي إلى تأخير إطلاق المنتجات الجديدة.
• يعيق الخطر التشغيلي العمليات التجارية اليومية ويمكن أن يؤثر سلبًا على الكفاءة التنظيمية.
• ويشمل خطر الامتثال الفشل في تلبية المتطلبات القانونية أو التنظيمية، كما يتضح من انتهاكات HIPAA في الرعاية الصحية.
• ينظم قانون HIPAA (قانون نقل التأمين الصحي والمساءلة) حماية معلومات الصحة المحمية (PHI).
• يتطلب HIPAA ضمان سرية وسلامة وتوافر PHI، ويتطلب عناصر تحكم مثل قيود الوصول والتشفير ومسارات التدقيق.
• يمكن أن تؤدي انتهاكات HIPAA إلى غرامات وعقوبات قانونية وإضرار بالسمعة.
• في كثير من الأحيان، تتداخل المخاطر، ويمكن لحادث واحد أن يؤثر على فئات متعددة في وقت واحد.
• يمكن أن يؤدي كشف المعلومات بشكل شخصي إلى إنشاء مخاطر كبيرة، مما يعرض المعلومات الحساسة مثل أرقام الضمان الاجتماعي وتفاصيل الحساب المصرفي وتفاصيل بطاقة الائتمان.
• يجب حماية المعلومات التي تكشف الهوية الشخصية، بما في ذلك أرقام رخصة القيادة وتفاصيل جواز السفر وبعض المعرفات الحساسة الأخرى.

أهداف التحكم وعناصر التحكم الأمنية

• تحدد أهداف التحكم حالة الأمان المطلوبة، يحددها القادة الفنيون وقادة الأعمال، ويوجهون اختيار التدابير الأمنية المحددة.

فئات عناصر التحكم الأمنية

• تفرض عناصر التحكم الفنية السرية والسلامة والتوافر في المجال الرقمي، وتشمل جدران الحماية وقوائم التحكم في الوصول (ACLs) وأنظمة منع التسلل.
• تتضمن عناصر التحكم التشغيلية عمليات إدارة التكنولوجيا الآمنة، مثل مراجعات الوصول ومراقبة السجلات.
• تركز عناصر التحكم الإدارية على ميكانيكا عمليات إدارة المخاطر، مثل تقييمات المخاطر والتخطيط الأمني.
• يتضمن تكامل عناصر التحكم الأمني ​​الاختيار الاستراتيجي لعناصر التحكم الأمني ​​التي تلبي أهداف التحكم.
• تدمج عناصر التحكم هذه المستويات المختلفة وتعمل معًا لإنشاء نظام أمان شامل.
• تمنع عناصر التحكم الوقائية مشاكل الأمان قبل حدوثها، ويتم تحقيق ذلك من خلال جدران الحماية والتشفير.
• تحدد عناصر التحكم البوليسية أحداث الأمان بعد وقوعها، وتشمل أمثلة أنظمة الكشف عن التسلل وسجلات الأمان.
• تعالج عناصر التحكم التصحيحية مشاكل الأمان الحالية، ويتضح ذلك في استعادة النسخ الاحتياطي وتصحيح الثغرات الأمنية.
• تثبط عناصر التحكم الرادعة محاولات الهجوم، وتستخدم الكاميرات الأمنية والحواجز المادية.
• توفر الحراسة والحيوات الشائكة وأسلاك الأمان البيئات المادية الآمنة.
• تشمل عناصر التحكم المادية الأسوار والأقفال وأنظمة إخماد الحرائق.
• توفر عناصر التحكم التعويضية تدابير أمنية بديلة عند عدم جدوى عناصر التحكم الأساسية.
• يجب أن تفي عناصر التحكم التعويضية بمعايير PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع).
• تتضمن معايير PCI DSS المطابقة للهدف الأصلي وتوفير دفاع مماثل وضمان أمان إضافي يتجاوز المتطلبات الحالية.
• تشمل الحلول التعويضية تشغيل أنظمة تشغيل قديمة على شبكة معزولة.

حالات البيانات

• البيانات الثابتة هي بيانات مخزنة على محركات الأقراص الصلبة أو الأشرطة أو التخزين السحابي.
• يمكن أن تكون البيانات الثابتة عرضة للسرقة عن طريق المتسللين الداخليين والخارجيين.
• هناك أمثلة على البيانات الثابتة بما في ذلك الملفات الموجودة على جهاز كمبيوتر وملفات النسخ الاحتياطي والتخزين السحابي.
• توجد البيانات المتداوَلة أثناء النقل عبر الشبكة وتعرضها للهجمات بشكل متكرر.
• يمكن أن تكون البيانات في وضع العبور عرضة للتنصت على الشبكات غير الموثوق بها.
• تشمل أمثلة البيانات المتداولة رسائل البريد الإلكتروني وحركة مرور الويب وملفات التحويل.
• توجد البيانات قيد المعالجة، بما في ذلك البيانات الموجودة في ذاكرة الكمبيوتر، وتوجد خلال استخدام نظام الكمبيوتر.
• يمكن للمهاجمين الذين لديهم تحكم في النظام قراءة محتويات الذاكرة وسرقة المعلومات.
• يعد تحليل البيانات وتطبيق البيانات المؤقتة في ذاكرة الوصول العشوائي (RAM) من أمثلة البيانات التي تتم معالجتها.

طرق حماية البيانات

• توفر الخوارزميات الرياضية للتشفير حماية البيانات في وضع العبور وأثناء الراحة.
• يعمل التشفير على جعل البيانات غير قابلة للقراءة بدون مفتاح فك التشفير المناسب.
• يعتمد منع فقدان البيانات (DLP) على نظام الحماية الفردي، القائم على المضيف مع وكلاء البرامج المثبتة.
• DLP المستند إلى المضيف قادر على مراقبة تكوينات النظام وحظر الإجراءات غير المرغوب فيها، مثل منع الوصول إلى محركات أقراص USB.
• تراقب الأجهزة المخصصة DLP المستندة إلى الشبكة حركة مرور الشبكة الصادرة بحثًا عن بيانات مشفّرة حساسة.
• يمكن لـ DLP المستندة إلى الشبكة منع عمليات الإرسال الآمنة أو تشفير المحتوى الحساس تلقائيًا.
• تشمل وظائف DLP المستندة إلى الشبكة البحث عن معلومات حساسة غير آمنة ومراقبة حركة مرور الشبكة وحظر عمليات الإرسال غير المصرح بها.
• من خلال تقليل البيانات الحساسة المخزنة وإزالة المعلومات غير الضرورية وتأمينها، يمكن تقليل مخاطر الخصوصية.
• يزيل إلغاء تحديد الهوية القدرة على ربط البيانات بفرد.

تقنيات إخفاء البيانات

• تقوم العملية بتحويل البيانات إلى تنسيق لا يمكن من خلاله استرجاع المعلومات الأصلية.
• تقوم كل من Hashing والترميز والإخفاء بتحويل البيانات بطريقة لا يمكن أن تساعد في استرجاع المعلومات الأصلية.
• تقوم التجزئة بتحويل القيم إلى قيم تجزئة مقابلة ولكنها عرضة لهجمات جدول قوس قزح.
• يحل الترميز محل القيم الحساسة بمعرفات مميزة باستخدام جدول بحث.
• يجب الحفاظ على أمان جدول البحث.
• إخفاء البيانات له آثار حساسة فقط.
• كمثال، يمكن الاستبدال بجميع الأرقام باستثناء آخر أربعة أرقام في رقم بطاقة الائتمان بأحرف * أو X.

منع هجوم جدول قوس قزح

• تستخدم هذه الطريقة المخترقة المحسوبة مسبقًا لكسر كلمات المرور.
• تعد التخفيفات ضد هجمات جدول الألوان فعالة بشكل خاص ضد البيانات التي يمكن التنبؤ بها.
• ضع في اعتبارك استخدام خوارزميات تجزئة قوية وتنفيذ التعمية لتأمين كلمات المرور.
• يتضمن التنفيذ إضافة بيانات عشوائية إلى كلمات المرور قبل التجزئة.
• تجنب التهافت على البيانات ذات النطاق المحدود لتقليل سهولة اختراق جداول التجزئة.

اختصارات

• تزداد فعالية استخدام المصطلحات والاختصارات التقنية عند استخدام الأجهزة والخوارزميات المحسنة.
• تحدد المصطلحات والاختصارات في مجال الأمن السيبراني وتطبيقاته.
• يساعد استخدام الاختصارات في فهم المصطلحات التي تنظم الأمن السيبراني وتشفيره.
• يوفر فهم الاختصارات سياقًا لضمان أمان الشبكة.

مشهد التهديدات السيبرانية

• فهم الأنواع الرئيسية من التهديدات وخصائصها ضروري لأي استراتيجية فعالة للأمن السيبراني.
• يعد بناء قدرات استخبارات التهديدات التنظيمية أمر بالغ الأهمية للحفاظ على أمان دائم.
• يعد الحفاظ على تحديث التهديدات الأمنية أمر بالغ الأهمية لمشهد التهديدات المتطور.

الجهات المهددة

• الجهات التي تشكل تهديدًا هي الأفراد أو المجموعات الذين لديهم اختلافات في الكفاءات والقدرات والموارد والدوافع.
• يتضمن الجهات المهددة المتعدية ومجموعات القرصنة السيبرانية التي تهدف إلى تحقيق مكاسب مالية ومرتكبي الجرائم السيبرانية المدعومة من الدولة.
• يتضمن البرنامج النصي Kiddies قراصنة هواة يمتلكون مهارات منخفضة يستخدمون أدوات تم إنشاؤها بواسطة الآخرين.
• غالبًا ما يكون الأطفال المولودون مدفوعين بالفضول أو الإثارة.
• يشمل قراصنة الهاكتيفيست قراصنة دوافعهم النضال السياسي أو الأسباب الاجتماعية، ومستويات مهاراتهم تختلف اختلافًا كبيرًا.
• تشمل العصابات الإجرامية مجموعات الجريمة المنظمة التي تشارك في الجرائم السيبرانية لتحقيق مكاسب مالية.
• قد تسرق بطاقات ائتمان أو تطلب فدية أو تبيع بيانات مسروقة على شبكة الإنترنت المظلمة.
• عصابات الجريمة السيبرانية ماهرة وتمول جيدًا ودوافعها المكاسب المالية.
• لدى العصابات الإجرامية فكرة موردية وهي "يستغرق الأمر المال لكسب المال" إنهم يستثمرون الموارد في عمليات القرصنة السيبرانية المربحة.
• التهديدات المستمرة المتقدمة (APTs) هم مهاجمون ماهرون ذوو موارد جيدة يرعاهم في كثير من الأحيان دول.
• تتضمن خصائص APTS هجمات مستمرة على مدى فترات طويلة واستغلال الثغرات الأمنية في اليوم الصفري.
• يشكل المنافسون المتورطون في التجسس الصناعي وسرقة الأسرار خطر تنافسي.
• يركز المنافسون المستهدفون على سرقة معلومات العملاء والبرامج الاحتكارية وخطط تطوير المنتجات.
• تشمل تكتيكاتهم المراقبة المستمرة واستغلال نقاط الضعف أو استخدام شبكة الإنترنت المظلمة لشراء بيانات مسروقة.

تكنولوجيا الظلال

• يمثل استخدام الموظفين لحلول التكنولوجيا غير المصرح بها دون علم قسم تكنولوجيا المعلومات أو موافقته مخاطر Shadow IT.
• يؤدي نقص ضوابط الأمان وعدم وجود عمليات تقييم أمان إلى حدوث انتهاكات محتملة للبيانات.
• يمكن للموظفين استخدام حسابات Dropbox الشخصية لتخزين ملفات العمل ومشاركتها.
• توفر هجمات اليوم الصفري، التي تستغل نقاط الضعف غير المعروفة (نقاط الضعف في اليوم الصفري)، خطورة عالية.
• توجد مخاطر بسبب عدم وجود تصحيحات أو دفاعات متاحة في وقت الهجوم.
• يمكن أن تتسبب في أضرار جسيمة قبل الكشف عنها.
• كشفت Stuxnet عن صفر يوم يستهدف ويقطع منشآت تخصيب اليورانيوم الإيرانية.
• تدعم الولايات المتحدة وحكومات إسرائيلية.

خصائص أنواع التهديدات

• يأتي المهاجمون من نطاقين، من الداخل والخارج، من المنافسين والمجرمين والأفراد الفضوليين في الداخل، الموظفين والمقاولين، إلخ.
• تمتد القدرات من الأطفال الذين يعتمدون على البرامج النصية التي تمت كتابتها مسبقًا.
• تستخدم APTs أدوات مخصصة ولديها مختبرات بحثية.
• قد يكون لدى قراصنة الهواة والناشطين موارد محدودة ويعملون في أوقات فراغهم.
• تسيطر النقابات الإجرامية والدول القومية على موارد كبيرة.
• تختلف النوايا، من إثارة الأطفال إلى المكاسب المالية، والتحقيق في الأهداف السياسية أو التجسس على الشركات.

قبعات الجهات الضارة (تمثل نوايا الجهات الفاعلة)

• يحدد المتسللون ذوو القبعات البيضاء الثغرات الأمنية المصرح بها لتحسين الأمان.
• يؤدي الموظفون أو المقاولون الذين يقومون باختبار الاختراق المهام.
• المهاجمون ذوو القبعات السوداء غير مصرح بهم ولهم نوايا ضارة.
• الأهداف هي تعريض سلامة وسرية وتوفر الأنظمة للخطر.
• يتصرف قراصنة القبعات الرمادية بشكل غير مصرح به لكنهم يتطلعون إلى إبلاغ الأهداف بنقاط الضعف.
• بغض النظر عن النوايا الجيدة، فإن القرصنة بالقبعة الرمادية غير قانونية وغير أخلاقية.
• لا يزال هناك خطر من أن يعاقبوا على المخالفات الإجرامية.

ناقلات التهديد

• ناقلات التهديد هي أساليب تستخدمها الجهات المهددة للوصول إلى الأنظمة أو المعلومات.
• تعتبر رسائل البريد الإلكتروني ناقل تهديد شائع، حيث تُستخدم في عمليات التصيد الاحتيالي وإرفاق البريد العشوائي والبرامج الضارة.
• تعمل الهجمات عبر وسائل التواصل الاجتماعي بنفس طريقة رسائل البريد الإلكتروني لتحصين معلومات المستخدمين.
• يشير الوصول المادي إلى مرافق الدخول إلى الشبكة بمهاجمين جريئين.
• تشمل المخاطر العثور على أجهزة أو محطات غير آمنة يمكن أن تضر الأجهزة أو الأجهزة التي تمت قرصنتها.
• تشمل التدابير الوقائية تدابير أمنية مادية صارمة.
• يمكن للمهاجمين الوصول إلى الشبكات من مواقف السيارات لأن شبكات Wi-Fi اللاسلكية غير آمنة أو سيئة التأمين.
• يمكن أن تؤدي وسائط التخزين القابلة للإزالة مثل USB ذات الأصل غير المعروف إلى إصابة البرامج الضارة.
• تتضمن التدابير المضادة استخدام أمن نقطة النهاية والتحكم في استخدام الوسائط القابلة للإزالة ومراقبتها.
• تنشأ مخاطر حول الخدمات السحابية من ضوابط الوصول ذات التكوين الخاطئ والتعرض لمفاتيح أو كلمات مرور واجهات برمجة التطبيقات.
• تشمل التدابير الوقائية تكوينات سحابة آمنة وخيارات مراقبة.
• تتضمن مخاطر الجهات الخارجية هجمات سلسلة التوريد التي يتلاعب فيها المهاجمون بالجهاز أو البرنامج أثناء الإنتاج (التصنيع).
• تشمل التدابير المضادة إدارة قوية للمورد.
• التدقيق في القضايا وتوفير الحلول المناسبة.
• يتم إدخال الأبواب الخلفية أو تثبيتها في البرامج عند النقل.

مصادر استخبارات التهديدات

• استخبارات التهديد هي عملية جمع وتحليل معلومات حول المخاطر المحتملة باستخدام TTPs (التكتيكات والتقنيات والإجراءات).
• الغرض هو مساعدة المؤسسات على فهم والاستعداد للمخاطر الرقمية التي قد تواجهها.
• تشمل مصادر البحث المصادر الأولية وتحليل TTPs (التكتيكات والتقنيات والإجراءات).
• تتضمن المصادر الأولية تحليل TTPs (التكتيكات والتقنيات والإجراءات) وشركات الحماية والمؤسسات الأكاديمية.
• يختلف الويب العميق والمظلم من حيث إمكانية الوصول والاختفاء والغرض.
• الويب العميق ليس مفهرسًا بواسطة محركات البحث ويتطلب التسجيل، في حين أن الويب المظلم مخفي ويتطلب وصولًا خاصًا عبر أدوات مثل Tor.
• يتم استخدام الويب العميق لأغراض خاصة أو آمنة، بينما يتم تسهيل الأنشطة غير القانونية من خلال الويب المظلم، وهو أمر مهم لمراقبة التهديدات السيبرانية.

موفرو التهديدات

• تغذي التهديدات تفاصيل فنية، مثل عناوين IP وأسماء المضيف وأسطر عناوين البريد الإلكتروني وعناوين URL وتشفير الملفات.
• تساعد قواعد بيانات نقاط الضعف في توجيه جهود الدفاع وتقديم رؤى حول أنواع الهجمات التي كشف عنها الباحثون.
• تشمل مؤشرات الاختراق علامات إضافية للهجوم.
• توجد مؤشرات الاختراق في مستودعات معلومات التهديدات مثل قواعد بيانات الملفات والرموز.

نماذج مقودين معلومات خطيرة

• يتوفر بحث التهديدات كاشتراك مدفوع القيمة.
• يتم نشر بحث تقييم مهد في وقت مبكر من خلال المدونات والمستندات التقنية والندوات عبر الإنترنت.
• يتم توفير معلومات التهديد الاحتكارية كفائدة لعملاء بائعي مواقع الويب.
• تعزز مراكز معلومات التهديدات التي تركز على القطاع أفضل الممارسات وتبادل المعلومات في القطاعات الحاسمة.
• تتاح خدمات معلومات التهديدات بميول مفتوحة للجمهور (OSINT) مجانًا.
• غالبًا ما يتم تمويلها من خلال الاستشارات بدلاً من دخل البحث المباشر.

تقيمات التهديدات

• عوامل التقييم ضرورية في تحديد تقييمات التهديد.
• التحقق المتعدد للمصادر هو تقييم الأهمية من خلال السرعة والإفادة والموثوقية، في حين أن "التوقيت المناسب": السرعة ضرورية.
• تحدد دقة النتائج موثوقية المعلومات.
• التطبيق على تحديد درجة الثقة ومستوى الثقة في الذكاء.
• استخدم خرائط التهديد للمعلومات الهامة التي قد تكون غير دقيقة.
• تتوفر المصادر التعليمية باستمرار والتي تساعد في تطوير المهارات المهنية في هذا المجال.
• تعد مواقع البائع وجودة المهد وتدوين الأكاديمية والمواصفات وسيلة لتحسين المهارات المهنية.
• إن التركيز على فهم TTPs (التكتيكات والتقنيات والإجراءات) وتوجه مهارات المحترفين الفنيين.

البرامج الضارة

• البرامج الضارة هي برامج مصممة لإتلاف أو تعطيل أنظمة الكمبيوتر وشبكاتها والأجهزة.
• تتطور البرامج الضارة باستمرار، مما يجعل من الضروري لمسؤولي تكنولوجيا المعلومات وعمالقة تكنولوجيا المعلومات البقاء على اطلاع بأحدث التقنيات.
• جمع المعلومات وتوفير الوصول غير القانوني وتنفيذ الإجراءات غير المرغوب فيها أهداف البرامج الضارة.
• أنواع البرامج الضارة: برامج انتزاع الفدية وأحصنة طروادة والديدان ومجموعات الجذر والأبواب الخلفية والروبوتات وأجهزة تسجيل ضربات المفاتيح.
• تشمل تقنيات السرقات برامج التجسس وبرامج غير المرغوب فيها.

برامج طلب الفدية

• برامج طلب الفدية هي نوع من البرامج الضارة التي تسيطر على النظام وتطلب الدفع (فدية) لاستعادة الوصول.
• تتضمن الأنواع التدميرية تشفير الملفات، أو إغلاق الجهاز، أو التهديد بالكشف عن المعلومات.
• تشمل التدابير الدفاعية أنظمة النسخ الاحتياطي الفعالة، وتخطيط الاستجابة للحوادث.
• تشمل المخاطر عدم ضمان استعادة الملفات بعد دفع الفدية وزيادة المهاجمين.

أحصنة طروادة

• تتنكر البرامج الضارة كبرامج شرعية.
• إنهم يعتمدون على خداع عدم توقع المستخدمين.
• أمثلة: أحصنة طروادة للوصول عن بعد (RATs).
• توفر البرامج الضارة للمهاجمين تحكماً عن بعد في الأنظمة المصابة.
• تتنكر البرامج الضارة في زي مواقع الويب أو رسائل البريد الإلكتروني أو مثبتات البرامج.
• تحديات الكشف: يمكن الخلط بين أدوات الوصول عن بعد المشروعة وأحصنة طروادة.

الديدان

• تعتبر الديدان عبارة عن برامج ضارة متكررة الذات وتنتشر دون حاجة المستخدمين إلى العمل.
• تشمل الأساليب: الثغرات الأمنية المستغلة ومرفقات البريد الإلكتروني ومشاركة الشبكات.
• تتضمن المخاطر عمليات تثبيت ذاتي وسريع الانتشار.
• تشمل الدفاعات مراقبة الشبكة وإعدادات الأمان.

التهديدات المستمرة للرموز الخبيثة

• توفر مجموعات الأدوات الجذرية للمهاجمين الوصول الخلفي أثناء إخفاء وجودهم.
• قد لا يتم الوثوق بالأنظمة المصابة.
• يتم العثور عليها في التجزئة الداخلية والحماية من النسخ.
• يتطلب إغلاقها إعادة بناء ما تم استرداده في مجموعة الاحتياط.
• تشمل الدفاعات عمليات التحقق من صحة النظام.

الأبواب الخلفية

• تتجاوز الطرق والأدوات المصادقة لتمنح الوصول غير المصرح به.
• الأنواع: التعديلات المادية أو أكواد البرمجة.
• بسيط: تحقق من المنافذ والخدمات المفتوحة غير المتوقعة.
• معقد: استخدام الخدمات الحالية، وتضمين الخدمات الفريدة في مواقع الويب.
• تساعد قنوات التشفير/الحماية في إخفاء حركة المرور مع المضيفات عن بعد.

روبوتات وروبوتات الشبكات

• الروبوتات هي أنظمة مصابة تسيطر عليها عن بعد من قبل المهاجمين.
• شبكات الروبوتات هي روبوتات تستخدم للأنشطة الضارة.
• (C&C) تتحكم الشبكات المركزية بالبوتات لتنفيذ هجمات خبيثة متنوعة.
• نماذج الاتصالات: يتصل العملاء بالخوادم لتنفيذ التعليمات.
• شبكة من نظراء: تتواصل شبكات نظير إلى نظير بسلاسة مع الشبكات القادرة على الصمود أكثر من عمليات الإزالة.
• برامج الوصول عن بعد (RAT) أدوات: البرامج الضارة تسمح للمهاجمين بالتلاعب عن بعد بالأنظمة.

مجالات إنشاء الخوارزميات وكشف روبوت الشبكات

• تقوم الخوارزميات (DGAS) بإنشاء أسماء المجالات ديناميكيًا وأسماء مجالات الاتصالات C & C.
• تهدف الخوارزميات (DGAS) إلى تجنب الكشف عن طريق باحثي الأمن وحظرهم.
• (NIDS) شبكات الكشف عن التسلل لاكتشاف المراقبة المشروعة على الشبكة.
• يؤدي تحليل أنماط C & C واتصالات P2P إلى إحباط أنشطة روبوت الشبكات.

إعداد التقارير عن بيانات الأداء

• تحسين جودة المنتج.
• زيادة الرقابة الإدارية.
• توفير دعم التخصيص.
• تحليل البيانات المنقولة.

أجهزة تسجيل الضربات الأساسية

• تعمل البرامج على التقاط مدخلات المستخدم، وحركات الماوس، والتفاعلات التي تعمل باللمس.
• أنواع مختلفة: تعمل على مستوى نظام التشغيل.
• هناك ثلاثة أنواع، kernel وAPI و memory، وهي تلتقط البيانات.
• الهدف: استخراج البيا