<السابق | المحتويات | التالي>

11.2.1. تقييم الضعف‌

A الضعف تعتبر نقطة ضعف يمكن استخدامها بطريقة ما للمساس بالسرية أو السلامة أو توفر نظام المعلومات. في تقييم الضعف ، يتمثل هدفك في إنشاء قائمة بسيطة لنقاط الضعف المكتشفة داخل البيئة المستهدفة. هذا المفهوم للبيئة المستهدفة مهم للغاية. يجب أن تتأكد من البقاء ضمن نطاق الشبكة المستهدفة للعميل والأهداف المطلوبة. يمكن أن يتسبب الزحف خارج نطاق التقييم في انقطاع الخدمة أو خرق الثقة مع عميلك أو اتخاذ إجراء قانوني ضدك وضد صاحب العمل.

نظرًا لبساطته النسبية ، غالبًا ما يتم إكمال اختبار الضعف في بيئات أكثر نضجًا على أساس منتظم كجزء من إظهار العناية الواجبة. في معظم الحالات ، أداة آلية ، مثل تلك الموجودة في تحليل الضعف7 وتطبيقات الويب8 فئات موقع Kali Tools وقائمة تطبيقات سطح المكتب Kali ، تُستخدم لاكتشاف الأنظمة الحية في بيئة مستهدفة ، وتحديد خدمات الاستماع ، وتعدادها لاكتشاف أكبر قدر ممكن من المعلومات مثل برنامج الخادم والإصدار والنظام الأساسي وما إلى ذلك. .

ثم يتم التحقق من هذه المعلومات بحثًا عن تواقيع معروفة للمشكلات أو الثغرات الأمنية المحتملة. تتكون هذه التواقيع من مجموعات نقاط البيانات التي تهدف إلى تمثيل المشكلات المعروفة. يتم استخدام نقاط بيانات متعددة ، لأنه كلما زاد عدد نقاط البيانات التي تستخدمها ، زادت دقة التعريف. يوجد عدد كبير جدًا من نقاط البيانات المحتملة ، بما في ذلك على سبيل المثال لا الحصر:

• إصدار نظام التشغيل: ليس من غير المألوف أن تكون البرامج عرضة للهجوم في أحد إصدارات نظام التشغيل ولكن ليس في إصدار آخر. لهذا السبب ، سيحاول الماسح الضوئي تحديد إصدار نظام التشغيل الذي يستضيف التطبيق المستهدف بأكبر قدر ممكن من الدقة.

• مستوى التصحيح: في كثير من الأحيان ، يتم إصدار تصحيحات لنظام التشغيل لا تزيد من معلومات الإصدار ، ولكنها تظل تغير طريقة استجابة الثغرة الأمنية ، أو حتى تقضي على الثغرة الأمنية بالكامل.

• هندسة المعالج: تتوفر العديد من تطبيقات البرامج لبنى المعالجات المتعددة مثل Intel x86 و Intel x64 وإصدارات متعددة من ARM و UltraSPARC وما إلى ذلك.

5https://en.wikipedia.org/wiki/Executable_space_protection#Windows 6https://en.wikipedia.org/wiki/Address_space_layout_randomization 7http://tools.kali.org/category/vulnerability-analysis 8http://tools.kali.org/category/web-applications‌‌‌

في بعض الحالات ، لا توجد ثغرة أمنية إلا في بنية معينة ، لذا فإن معرفة هذا الجزء من المعلومات يمكن أن يكون أمرًا بالغ الأهمية للحصول على توقيع دقيق.

• إصدار البرنامج: يعد إصدار البرنامج المستهدف أحد العناصر الأساسية التي يجب التقاطها لتحديد الثغرة الأمنية.

سيتم استخدام نقاط البيانات هذه والعديد من نقاط البيانات الأخرى لعمل توقيع كجزء من فحص الثغرات الأمنية. كما هو متوقع ، كلما زادت نقاط البيانات المطابقة ، كلما كان التوقيع أكثر دقة. عند التعامل مع تطابقات التوقيع ، يمكنك الحصول على بعض النتائج المحتملة المختلفة:

• إيجابي حقيقي: التوقيع مطابق ويلتقط نقطة ضعف حقيقية. هذه النتائج هي تلك التي ستحتاج إلى متابعتها وتصحيحها ، فهذه هي العناصر التي يمكن للأفراد الضارين الاستفادة منها لإيذاء مؤسستك (أو عميلك).

• خطأ إيجابي: التوقيع مطابق. ومع ذلك ، فإن المشكلة المكتشفة ليست نقطة ضعف حقيقية. في التقييم ، غالبًا ما تُعتبر هذه ضوضاء ويمكن أن تكون محبطة للغاية. لا ترغب أبدًا في رفض النتيجة الإيجابية الحقيقية باعتبارها إيجابية خاطئة دون مزيد من التحقق من الصحة.

• سلبي حقيقي: التوقيع غير مطابق ولا توجد ثغرة أمنية. هذا هو السيناريو المثالي ، التحقق من عدم وجود ثغرة أمنية على الهدف.

• سلبي كاذب: التوقيع غير مطابق لكن هناك ثغرة أمنية موجودة. على الرغم من أن النتيجة الإيجابية الكاذبة سيئة ، فإن النتيجة السلبية الكاذبة هي أسوأ بكثير. في هذه الحالة توجد مشكلة ولكن الماسح لم يكتشفها ، لذلك ليس لديك ما يشير إلى وجودها.

كما يمكنك أن تتخيل ، فإن دقة التوقيعات مهمة للغاية للحصول على نتائج دقيقة. كلما تم توفير المزيد من البيانات ، زادت فرصة الحصول على نتائج دقيقة من الفحص الآلي القائم على التوقيع ، وهذا هو السبب في أن عمليات الفحص المصادق عليها تحظى بشعبية كبيرة في كثير من الأحيان.

باستخدام فحص مصدق ، سيستخدم برنامج المسح بيانات الاعتماد المقدمة للمصادقة على الهدف. وهذا يوفر مستوى أعمق من الرؤية للهدف مما قد يكون ممكنا لولا ذلك. على سبيل المثال ، في الفحص العادي ، قد تكتشف فقط معلومات حول النظام يمكن اشتقاقها من خدمات الاستماع والوظائف التي توفرها. قد يكون هذا قدرًا كبيرًا من المعلومات في بعض الأحيان ، لكنه لا يمكن أن ينافس مستوى وعمق البيانات التي سيتم الحصول عليها إذا قمت بالمصادقة على النظام وقمت بمراجعة شاملة لجميع البرامج المثبتة ، والتصحيحات المطبقة ، والعمليات الجارية ، وما إلى ذلك. . إن اتساع نطاق البيانات هذا مفيد في الكشف عن نقاط الضعف التي ربما لم يتم اكتشافها بخلاف ذلك.

يقدم تقييم الضعف الذي يتم إجراؤه بشكل جيد لمحة سريعة عن المشكلات المحتملة في منظمة ويوفر مقاييس لقياس التغيير بمرور الوقت. يعد هذا تقييمًا خفيفًا إلى حد ما ، ولكن حتى مع ذلك ، ستجري العديد من المؤسسات عمليات مسح آلية للثغرات الأمنية بانتظام في غير ساعات العمل لتجنب المشكلات المحتملة خلال اليوم عندما يكون توفر الخدمة وعرض النطاق الترددي أكثر أهمية.

كما ذكرنا سابقًا ، سيتعين على فحص الثغرات الأمنية التحقق من العديد من نقاط البيانات المختلفة للحصول على نتيجة دقيقة. كل هذه الفحوصات المختلفة يمكن أن تخلق حملًا على النظام المستهدف بالإضافة إلى استهلاك النطاق الترددي. لسوء الحظ ، من الصعب معرفة بالضبط عدد الموارد التي سيتم استهلاكها على الهدف حيث يعتمد ذلك على عدد الخدمات المفتوحة وأنواعها

الشيكات التي من شأنها أن ترتبط بهذه الخدمات. هذه هي تكلفة إجراء الفحص ؛ سوف تشغل موارد النظام. من المهم وجود فكرة عامة عن الموارد التي سيتم استهلاكها ومقدار الحمل الذي يمكن أن يتحمله النظام المستهدف عند تشغيل هذه الأدوات.

مسح المواضيع تتضمن معظم أدوات فحص الثغرات الأمنية خيارًا للتعيين المواضيع لكل مسح، وهو ما يعادل عدد عمليات التحقق المتزامنة التي تحدث في وقت واحد. زيادة هذا الرقم سيكون له تأثير مباشر على العبء الواقع على منصة التقييم بالإضافة إلى الشبكات والأهداف التي تتفاعل معها. من المهم أن تضع في اعتبارك عند استخدام هذه الماسحات الضوئية. من المغري زيادة الخيوط من أجل إكمال عمليات المسح بشكل أسرع ولكن تذكر الزيادة الكبيرة في الحمل المرتبطة بالقيام بذلك.

مسح المواضيع تتضمن معظم أدوات فحص الثغرات الأمنية خيارًا للتعيين المواضيع لكل مسح، وهو ما يعادل عدد عمليات التحقق المتزامنة التي تحدث في وقت واحد. زيادة هذا الرقم سيكون له تأثير مباشر على العبء الواقع على منصة التقييم بالإضافة إلى الشبكات والأهداف التي تتفاعل معها. من المهم أن تضع في اعتبارك عند استخدام هذه الماسحات الضوئية. من المغري زيادة الخيوط من أجل إكمال عمليات المسح بشكل أسرع ولكن تذكر الزيادة الكبيرة في الحمل المرتبطة بالقيام بذلك.

عند الانتهاء من فحص الثغرات الأمنية ، عادةً ما يتم ربط المشكلات المكتشفة مرة أخرى بمعرفات معايير الصناعة مثل رقم CVE9، EDB-ID10، وإرشادات البائعين. هذه المعلومات ، إلى جانب نقاط الضعف CVSS11، لتحديد تصنيف المخاطر. إلى جانب السلبيات الكاذبة (والإيجابيات الكاذبة) ، تعد تصنيفات المخاطر التعسفية هذه من المشكلات الشائعة التي يجب أخذها في الاعتبار عند تحليل نتائج الفحص.

نظرًا لأن الأدوات الآلية تستخدم قاعدة بيانات للتوقيعات لاكتشاف الثغرات الأمنية ، فإن أي انحراف طفيف عن توقيع معروف يمكن أن يغير النتيجة وكذلك صحة الثغرة الأمنية المتصورة. تشير النتيجة الإيجابية الخاطئة بشكل غير صحيح إلى ثغرة غير موجودة ، في حين أن السلبية الخاطئة تعمي فعليًا عن الثغرة ولا تبلغ عنها. لهذا السبب ، غالبًا ما يُقال أن الماسح الضوئي يكون جيدًا فقط مثل قاعدة توقيعه. لهذا السبب ، يقدم العديد من البائعين مجموعات ذات طبيعة إشارات متعددة: مجموعة قد تكون مجانية للمستخدمين المنزليين ومجموعة أخرى باهظة الثمن إلى حد ما تكون أكثر شمولاً ، والتي تُباع عمومًا لعملاء الشركات.

المشكلة الأخرى التي غالبًا ما يتم مواجهتها مع عمليات فحص الثغرات الأمنية هي صلاحية تصنيفات المخاطر المقترحة. يتم تحديد تصنيفات المخاطر هذه على أساس عام ، مع مراعاة العديد من العوامل المختلفة مثل مستوى الامتياز ونوع البرنامج والمصادقة المسبقة أو اللاحقة. اعتمادًا على بيئتك ، قد تكون هذه التصنيفات قابلة للتطبيق وقد لا تكون كذلك ، لذا لا ينبغي قبولها بشكل أعمى. فقط أولئك الذين هم على دراية جيدة بالأنظمة ونقاط الضعف يمكنهم التحقق بشكل صحيح من تصنيفات المخاطر.

بينما لا يوجد اتفاق محدد عالميًا بشأن تصنيفات المخاطر ، منشور NIST الخاص 800-3012 يوصى به كخط أساس لتقييم تصنيفات المخاطر ودقتها في بيئتك. يعرّف NIST SP 800-30 الخطر الحقيقي للثغرة المكتشفة على أنها مزيج من احتمالية الحدوث والتأثير المحتمل.

9https://cve.mitre.org 10https://www.exploit-db.com/about/ 11 https://www.first.org/cvss‌‌‌

12http://csrc.nist.gov/publications/PubsSPs.html#800-30

<السابق | المحتويات | التالي>