Clever Geek Handbook

اقرأها وافعلها: افحص شبكتك بنفسك

في ضوء الأحداث الأخيرة في العالم ، تحولت العديد من الشركات إلى التشغيل عن بعد. في الوقت نفسه ، من أجل الحفاظ على كفاءة العمليات التجارية ، تم وضع التطبيقات غير المخصصة لوضعها مباشرة على المحيط ، على سبيل المثال ، تطبيقات الويب الداخلية للشركات ، على محيط الشبكة ؛ تم إجراء بحثنا مؤخرًا حول هذا الموضوع . إذا لم يكن هناك اتصال وثيق بين تكنولوجيا المعلومات وخدمات أمن المعلومات ، تنشأ المواقف عندما يظهر تطبيق أعمال على محيط الشبكة ، والذي لا توجد معلومات عنه لخدمة أمن المعلومات.



يمكن أن يكون حل مثل هذه المشاكل هو الفحص الدوري لمحيط المنظمة. تعد الماسحات الضوئية للشبكات ومحركات البحث في إنترنت الأشياء وأجهزة فحص نقاط الضعف وخدمات تحليل الأمان مناسبة لحل المشكلة. علاوة على ذلك في المقالة ، سننظر في أنواع ومعايير المسح ومزاياها وعيوبها والأدوات التي يتم استخدامها غالبًا وطرق معالجة النتائج.



مسح بينغ



المسح الأول الذي يجب مراعاته هو فحص ping. المهمة الرئيسية هي اكتشاف العقد "الحية" في الشبكة. يشير فحص Ping إلى بث حزم ICMP. يقوم الماسح بإرسال حزم Echo REQUEST إلى عناوين IP المحددة ويتوقع استجابة Echo REPLY. في حالة تلقي استجابة ، يعتبر المضيف موجودًا على الشبكة على عنوان IP المحدد.



يتم استخدام ICMP على نطاق واسع من قبل مسؤولي الشبكة للتشخيص ، لذلك فإن التكوين الصحيح لحماية المحيط مهم لتجنب الكشف عن معلومات حول العقد. بالنسبة لشبكات الشركات ، لا يكون هذا النوع من الفحص مناسبًا للمسح الخارجي ، لأن معظم أدوات الأمان تحظر استجابات ICMP أو ICMP افتراضيًا. في حالة عدم وجود مهام غير قياسية في شبكة الشركة ، يُسمح عادةً للخروج من الأنواع التالية من رسائل ICMP: Destination Unreachable و Echo REQUEST و Bad IP header و Echo REPLY و Destination Unreachable و Source Quench و Time Exceeded و Bad IP header. لا تمتلك الشبكات المحلية مثل هذه السياسة الأمنية الصارمة ، ويمكن للمهاجمين استخدام هذه الطريقة عندما يكونون قد دخلوا بالفعل إلى الشبكة ، ولكن يتم اكتشاف ذلك بسهولة.



فحص المنفذ



دعونا نجمع بين فحص TCP ومسح UDP تحت الاسم العام - فحص المنفذ. يحدد المسح باستخدام هذه الطرق المنافذ المتاحة على العقد ، ثم بناءً على البيانات المستلمة ، يتم وضع افتراض حول نوع نظام التشغيل المستخدم أو التطبيق المحدد الذي يعمل على العقدة الهدف. يشير فحص المنفذ إلى محاولات الاختبار للاتصال بمضيفين خارجيين. لنأخذ في الاعتبار الطرق الرئيسية المطبقة في الماسحات الضوئية الشبكية الآلية:



  1. TCP SYN ،
  2. اتصال TCP ،
  3. مسح UDP.


طريقة TCP SYN هي الأكثر شيوعًا ، فهي تستخدم في 95٪ من الحالات. وهذا ما يسمى بفحص نصف مفتوح لأن الاتصال لم يتم إنشاؤه بشكل كامل. يتم إرسال رسالة SYN إلى المنفذ قيد التحقيق ، ومن ثم يتوقع الرد ، بناءً على تحديد حالة المنفذ. تشير استجابات SYN / ACK إلى أن المنفذ يستمع (مفتوح) ، بينما تشير ردود RST إلى أنه لا يستمع.



إذا لم يتم تلقي أي استجابة بعد عدة طلبات ، فسيتم تصفية حركة مرور الشبكة إلى منفذ الوجهة عن طريق جدران الحماية (من الآن فصاعدًا ، سنستخدم مصطلح "تم تصفية المنفذ"). يتم وضع علامة على المنفذ على أنه تمت تصفيته إذا تم إرجاع رسالة ICMP برسالة Destination Unreachable ورموز وعلامات محددة.



تعتبر طريقة TCP CONNECT أقل شيوعًا من TCP SYN ، لكنها لا تزال شائعة في الممارسة العملية. عند تنفيذ طريقة TCP CONNECT ، يتم إجراء محاولة لإنشاء اتصال TCP بالمنفذ المطلوب باستخدام إجراء المصافحة. يتكون الإجراء من تبادل الرسائل للتفاوض على معلمات الاتصال ، أي رسائل خدمة SYN و SYN / ACK و ACK بين العقد. تم إنشاء الاتصال على مستوى نظام التشغيل ، لذلك هناك احتمال أن يتم حظره بواسطة أداة الحماية وينتهي به الأمر في سجل الأحداث.



يعتبر فحص UDP أبطأ وأكثر تعقيدًا من فحص TCP. نظرًا لخصائص فحص منافذ UDP ، غالبًا ما يتم نسيانها ، لأن الوقت الإجمالي لمسح 65.535 منفذ UDP بمعلمات قياسية لكل عقدة يستغرق ما يصل إلى 18 ساعة لمعظم الماسحات الآلية. يمكن تقليل هذا الوقت من خلال موازاة عملية المسح وعدد من الطرق الأخرى. يجب النظر في العثور على خدمات UDP لأن خدمات UDP تتواصل مع عدد كبير من خدمات البنية التحتية التي تهم المهاجمين عادةً.



غالبًا ما توجد خدمات UDP DNS (53) ، NTP (123) ، SNMP (161) ، VPN (500 ، 1194 ، 4500) ، RDG (3391) في محيط الشبكة. الخدمات الأقل شيوعًا مثل echo (7) ، والتجاهل (9) ، و chargen (19) ، وكذلك DAYTIME (13) ، و TFTP (69) ، و SIP (5060) ، و NFS (2049) ، و RPC (111 ، 137-139) ، 761 ، إلخ) ، نظم إدارة قواعد البيانات (1434).



يتم إرسال رأس UDP فارغ لتحديد حالة المنفذ ، وإذا تم إرجاع خطأ ICMP Destination Unreachable مع رمز تعذر الوصول إلى منفذ الوجهة ، فهذا يعني أن المنفذ مغلق ؛ أخطاء إمكانية الوصول الأخرى لـ ICMP (لا يمكن الوصول إلى مضيف الوجهة ، بروتوكول الوجهة غير قابل للوصول ، الشبكة محظورة إداريًا ، المضيف محظور إداريًا ، الاتصال محظور إداريًا) تشير إلى أن المنفذ قيد التصفية. إذا كان المنفذ يستجيب بحزمة UDP ، فسيكون مفتوحًا. نظرًا لخصائص UDP وفقدان الحزم ، تتكرر الطلبات عدة مرات ، عادةً ثلاث مرات أو أكثر. عادةً ، في حالة عدم تلقي أي استجابة ، يتم تحديد حالة المنفذ على أنها "مفتوحة" أو "مصفاة" لأنه ليس من الواضح سبب حركة المرور - حظر حركة المرور بواسطة أداة الحماية أو فقدان الحزمة.



لتحديد حالة المنفذ بدقة والخدمة نفسها التي تعمل على منفذ UDP ، يتم استخدام حمولة خاصة ، يجب أن يتسبب وجودها في رد فعل معين في التطبيق قيد الدراسة.



طرق مسح نادرة



الطرق التي لا يتم استخدامها عمليا:



  1. TCP ACK ،
  2. TCP NULL و FIN و Xmas و
  3. المسح الكسول.


الغرض المباشر من طريقة فحص ACK هو تحديد قواعد الحماية بالإضافة إلى منافذ التصفية. يتم تعيين علامة ACK فقط في حزمة الطلب لهذا النوع من الفحص. ستعيد المنافذ المفتوحة والمغلقة حزمة RST نظرًا لأنه يمكن الوصول إلى المنافذ لحزم ACK ، لكن الحالة غير معروفة. المنافذ التي لا تستجيب أو تستجيب لرسالة ICMP Destination Unreachable برموز معينة تعتبر مصفاة.



طرق TCP NULL و FIN و Xmas هي لإرسال حزم مع أعلام معطلة في رأس TCP. لا تقوم عمليات الفحص NULL بتعيين أي بتات ، وتعيِّن عمليات المسح FIN بت TCP FIN ، وتعيِّن عمليات مسح Xmas إشارات FIN و PSH و URG. تعتمد الأساليب على ميزة مواصفات RFC 793 أنه عند إغلاق المنفذ ، فإن المقطع الوارد الذي لا يحتوي على RST سيؤدي إلى إرسال RST استجابة. عندما يكون المنفذ مفتوحًا ، لن يكون هناك استجابة. يعني خطأ ICMP الذي يمكن الوصول إليه أن المنفذ قيد التصفية. تعتبر هذه الطرق أكثر سرية من عمليات مسح SYN ، ولكنها أقل دقة لأنه لا تلتزم جميع الأنظمة بـ RFC 793.



المسح الكسول هو أكثر الطرق سرية ، حيث يستخدم مضيفًا آخر يسمى مضيف الزومبي للمسح. الطريقة التي يستخدمها الدخلاء للذكاء. تتمثل ميزة هذا الفحص في أن حالة المنفذ يتم تحديدها لمضيف الزومبي ، لذلك باستخدام مضيفين مختلفين ، يمكنك إنشاء علاقات ثقة بين المضيفين. الوصف الكامل للطريقة متاح هنا .



عملية تحديد الضعف



نعني بالثغرة نقطة ضعف العقدة ككل أو في مكونات برامجها الفردية ، والتي يمكن استخدامها لتنفيذ هجوم. في الحالة القياسية ، يتم تفسير وجود الثغرات من خلال الأخطاء في كود البرنامج أو المكتبة المستخدمة ، وكذلك من خلال أخطاء التكوين.



يتم تسجيل الثغرة الأمنية في MITER CVE ويتم نشر التفاصيل في NVD . يتم تعيين معرف للثغرة الأمنية CVE ودرجة ضعف CVSS الشاملة ، والتي تعكس مستوى الخطر الذي تشكله الثغرة على النظام النهائي. للحصول على تفاصيل حول تقييم نقاط الضعف ، راجع مقالتنا . تعد قائمة MITER CVE المركزية نقطة مرجعية لأدوات فحص الثغرات الأمنية ، حيث تتمثل مهمة الفحص في اكتشاف البرامج الضعيفة.



خطأ التكوين هو أيضًا ثغرة أمنية ، ولكن نادرًا ما توجد مثل هذه الثغرات في قاعدة بيانات MITER ؛ ومع ذلك ، لا يزالون ينتهي بهم الأمر في قواعد المعرفة الخاصة بالماسحات الضوئية ذات المعرفات الداخلية. تندرج أيضًا أنواع أخرى من الثغرات غير الموجودة في MITER CVE في قاعدة المعرفة الخاصة بالماسحات الضوئية ، لذلك عند اختيار أداة للمسح ، من المهم الانتباه إلى خبرة مطورها. سيقوم برنامج فحص الثغرات الأمنية باستقصاء العقد ومقارنة المعلومات المجمعة بقاعدة بيانات الثغرات الأمنية أو بقائمة من الثغرات الأمنية المعروفة. كلما زادت معلومات الماسح الضوئي ، زادت دقة النتيجة.



دعنا نلقي نظرة على معلمات الفحص وأنواع عمليات الفحص ومبادئ اكتشاف الثغرات باستخدام أدوات فحص الثغرات الأمنية.



اختيارات المسح



في غضون شهر ، يمكن أن يتغير محيط المنظمة بشكل متكرر. يمكن أن يؤدي إجراء فحص لمحيط الجبهة إلى إضاعة الوقت الذي تصبح فيه النتائج غير ذات صلة. مع زيادة سرعة المسح بشكل كبير ، قد "تنخفض" الخدمات. نحتاج إلى إيجاد توازن واختيار معلمات المسح الصحيحة. يعتمد الوقت المستغرق ودقة النتائج وأهميتها على الاختيار. يمكن فحص ما مجموعه 65535 منفذ TCP ونفس عدد منافذ UDP. في تجربتنا ، فإن متوسط ​​المحيط الإحصائي للشركة التي تقع في مجموعة المسح الضوئي هو شبكتان كاملتان من فئة C مع قناع 24.



المعلمات الأساسية:



  1. عدد المنافذ ،
  2. عمق المسح ،
  3. سرعة المسح ،
  4. معلمات لتحديد نقاط الضعف.


حسب عدد المنافذ ، يمكن تقسيم المسح الضوئي إلى ثلاثة أنواع - مسح القائمة الكاملة لمنافذ TCP و UDP ، ومسح القائمة الكاملة لمنافذ TCP ومنافذ UDP الشائعة ، ومسح منافذ TCP و UDP الشائعة. كيف تحدد شعبية الميناء؟ في الأداة المساعدة nmap ، بناءً على الإحصائيات التي تم جمعها بواسطة مطور المرافق ، يتم تحديد آلاف المنافذ الأكثر شيوعًا في ملف التكوين. تأتي الماسحات الضوئية التجارية مهيأة مسبقًا بما يصل إلى 3500 منفذًا.



إذا كانت الشبكة تستخدم خدمات على منافذ غير قياسية ، فيجب أيضًا إضافتها إلى القائمة الممسوحة ضوئيًا. لإجراء عمليات الفحص المنتظمة ، نوصي باستخدام الخيار الأوسط ، الذي يقوم بمسح جميع منافذ TCP ومنافذ UDP الشائعة. هذا الخيار هو الأكثر توازناً من حيث الوقت ودقة النتائج. عند إجراء اختبار الاختراق أو عمليات تدقيق كاملة لمحيط الشبكة ، يوصى بمسح جميع منافذ TCP و UDP.



ملاحظة مهمة: لن تتمكن من رؤية الصورة الحقيقية للمحيط عند المسح من الشبكة المحلية ، لأن قواعد جدار الحماية لحركة المرور من الشبكة الداخلية ستنطبق على الماسح الضوئي. يجب إجراء مسح المحيط من موقع خارجي واحد أو أكثر ؛ من المنطقي استخدام مواقع مختلفة فقط إذا كانت موجودة في بلدان مختلفة.



يشير عمق المسح إلى مقدار البيانات التي يتم جمعها حول هدف الفحص. يتضمن ذلك نظام التشغيل وإصدارات البرامج ومعلومات حول التشفير المستخدم لبروتوكولات مختلفة ومعلومات حول تطبيقات الويب. في الوقت نفسه ، هناك علاقة مباشرة: فكلما أردنا أن نعرف أكثر ، كلما طالت مدة عمل الماسح وجمع المعلومات حول العقد.



عند اختيار السرعة ، من الضروري الاسترشاد بعرض النطاق الترددي للقناة التي يتم إجراء المسح منها ، وعرض النطاق الترددي للقناة التي يتم فحصها ، وإمكانيات الماسح الضوئي. هناك قيم حدية ، لا يضمن تجاوزها دقة النتائج والحفاظ على قابلية تشغيل العقد الممسوحة ضوئيًا والخدمات الفردية. لا تنس أن تأخذ في الاعتبار الوقت المستغرق لإكمال الفحص.



خيارات الكشف عن الثغرات الأمنية هي القسم الأكثر شمولاً في خيارات الفحص ، والتي تحدد سرعة المسح ومقدار الثغرات الأمنية التي يمكن اكتشافها. على سبيل المثال ، لن تستغرق عمليات فحص الشعارات وقتًا طويلاً. سيتم تنفيذ عمليات محاكاة الهجمات لخدمات معينة ولن تستغرق الكثير من الوقت أيضًا. أطول عرض هو الزحف على شبكة الإنترنت.



قد يستغرق الفحص الكامل لمئات من تطبيقات الويب أسابيع ، اعتمادًا على المفردات المستخدمة وعدد نقاط دخول التطبيق التي يجب التحقق منها. من المهم أن نفهم أنه نظرًا لخصائص تنفيذ وحدات الويب وبرامج زحف الويب ، فإن التحقق الفعال من نقاط الضعف على الويب لن يعطي دقة مائة بالمائة ، ولكنه يمكن أن يبطئ العملية برمتها بشكل كبير.



من الأفضل إجراء عمليات فحص الويب بشكل منفصل عن عمليات الفحص العادية عن طريق اختيار التطبيقات المراد فحصها بعناية. للتحليل المتعمق ، استخدم أدوات تحليل التطبيقات الثابتة والديناميكية أو خدمات اختبار الاختراق. لا نوصي باستخدام عمليات الفحص الخطيرة عند إجراء عمليات الفحص المنتظمة ، حيث يوجد خطر تعطيل أداء الخدمات. للحصول على تفاصيل حول الشيكات ، راجع القسم الخاص بتشغيل الماسحات الضوئية أدناه.



أدوات



إذا سبق لك أن درست سجلات الأمان لمواقعك ، فمن المحتمل أنك لاحظت أن الإنترنت يتم فحصه بواسطة عدد كبير من الباحثين والخدمات عبر الإنترنت وشبكات الروبوت. ليس من المنطقي وصف جميع الأدوات بالتفصيل ، سنقوم بإدراج بعض الماسحات الضوئية والخدمات المستخدمة لفحص محيط الشبكة والإنترنت. تخدم كل أداة من أدوات المسح غرضًا مختلفًا ، لذلك عند اختيار أداة يجب أن يكون هناك فهم لسبب استخدامها. من الصحيح أحيانًا استخدام أجهزة مسح ضوئي متعددة للحصول على نتائج كاملة ودقيقة.



ماسحات الشبكة: Masscan و Zmap و nmap... في الواقع ، هناك العديد من الأدوات المساعدة لفحص الشبكة ، لكنك لا تحتاج إلى الآخرين لمسح المحيط. تحل هذه الأدوات المساعدة معظم المهام المرتبطة بمسح المنافذ والخدمات.



تعد محركات البحث على إنترنت الأشياء ، أو برامج الزحف عبر الإنترنت ، أدوات مهمة لجمع المعلومات حول الإنترنت بشكل عام. أنها توفر ملخصًا لعضوية الموقع والشهادات والخدمات النشطة وغيرها من المعلومات. من الممكن الاتفاق مع مطوري هذا النوع من الماسحات الضوئية لاستبعاد مواردك من قائمة الفحص أو الاحتفاظ بمعلومات حول الموارد لاستخدام الشركات فقط. أشهر محركات البحث: شودان ، سينسيس ، فوفا .



لحل المشكلة ، ليس من الضروري استخدام أداة تجارية معقدة مع عدد كبير من الفحوصات: فهي غير ضرورية لفحص اثنين من التطبيقات والخدمات "الخفيفة". في مثل هذه الحالات ، يكفي استخدام الماسحات الضوئية المجانية. هناك الكثير من برامج زحف الويب المجانية ، ومن الصعب تحديد أكثرها فاعلية ؛ وهنا يكون الاختيار بالأحرى مسألة ذوق ؛ أشهرها: Skipfish ، Nikto ، ZAP ، Acunetix ، SQLmap .



الماسحات الضوئية التجارية منخفضة التكلفة مع قاعدة معرفية محدثة باستمرار حول نقاط الضعف ، بالإضافة إلى الدعم والخبرة من البائع ، قد تكون شهادات FSTEC مناسبة لأداء مهام مسح بسيطة وضمان أمان "الورق" أشهرها: XSpider و RedCheck و Scanner-VS.



لتحليل يدوي دقيق ، ستكون أدوات Burp Suite و Metasploit و OpenVAS مفيدة. تم إصدار ماسح تسونامي من Google مؤخرًا .



هناك سطر منفصل جدير بالذكر وهو Vulners محرك البحث عن نقاط الضعف على الإنترنت... هذه قاعدة بيانات كبيرة لمحتوى أمن المعلومات تجمع معلومات حول الثغرات الأمنية من عدد كبير من المصادر ، والتي ، بالإضافة إلى قواعد البيانات القياسية ، تشمل نشرات أمن البائعين ، وبرامج المكافآت الأخطاء والموارد المواضيعية الأخرى. يوفر المورد واجهة برمجة تطبيقات يمكنك من خلالها الحصول على النتائج ، بحيث يمكنك تنفيذ عمليات فحص الشعارات لأنظمتك دون إجراء مسح فعلي هنا والآن. أو استخدم أداة فحص الثغرات الأمنية Vulners ، والتي ستجمع معلومات حول نظام التشغيل والحزم المثبتة والتحقق من الثغرات الأمنية من خلال Vulners API. يتم دفع بعض وظائف المورد.



أدوات تحليل الأمان



تدعم جميع أنظمة الأمان التجارية أوضاع المسح الأساسية ، الموضحة أدناه ، والتكامل مع أنظمة خارجية مختلفة مثل أنظمة SIEM وأنظمة إدارة التصحيح و CMBD وأنظمة التذاكر. يمكن لأنظمة تحليل الثغرات التجارية إرسال تنبيهات بناءً على معايير مختلفة ودعم تنسيقات وأنواع مختلفة من التقارير. يستخدم جميع مطوري النظام قواعد بيانات الثغرات الأمنية الشائعة ، بالإضافة إلى قواعد المعرفة الخاصة بهم ، والتي يتم تحديثها باستمرار بناءً على البحث.



تتمثل الاختلافات الرئيسية بين أدوات تحليل الأمان التجاري في المعايير المدعومة ، وتراخيص الوكالات الحكومية ، وعدد عمليات الفحص المنفذة وجودتها ، فضلاً عن التركيز على سوق مبيعات واحد أو آخر ، على سبيل المثال ، دعم فحص البرامج المحلية. لا تهدف المقالة إلى تقديم مقارنة نوعية لأنظمة تحليل نقاط الضعف. في رأينا ، لكل نظام مزاياه وعيوبه. الأدوات المدرجة مناسبة للتحليل الأمني ​​، يمكنك استخدام مجموعاتها: Qualys و MaxPatrol 8 و Rapid 7 InsightVM و Tenable SecurityCenter .



كيف تعمل أنظمة التحليل الأمني



يتم تنفيذ أوضاع المسح وفقًا لثلاثة مبادئ مماثلة:



  1. التدقيق ، أو وضع المربع الأبيض.
  2. الامتثال أو التحقق من الامتثال للمعايير الفنية.
  3. وضع Pentest أو الصندوق الأسود.


الاهتمام الرئيسي بمسح المحيط هو وضع الصندوق الأسود ، لأنه يحاكي تصرفات مهاجم خارجي لا يعرف شيئًا عن العقد الممسوحة ضوئيًا. يوجد أدناه مرجع سريع لجميع الأوضاع.



التدقيق هو وضع المربع الأبيض الذي يسمح لك بإجراء جرد كامل للشبكة ، واكتشاف جميع البرامج ، وتحديد إصداراتها ومعلماتها ، وبناءً على ذلك ، استخلاص استنتاجات حول ضعف الأنظمة على مستوى مفصل ، وكذلك التحقق من الأنظمة لاستخدام كلمات مرور ضعيفة. تتطلب عملية المسح درجة معينة من التكامل مع شبكة الشركة ، على وجه الخصوص ، الحسابات مطلوبة لتخويل العقد.



من السهل جدًا على المستخدم المصرح له ، وهو ماسح ضوئي ، تلقي معلومات مفصلة حول العقدة وبرامجها ومعلمات التكوين الخاصة بها. أثناء المسح ، تُستخدم آليات وعمليات نقل مختلفة لأنظمة التشغيل لجمع البيانات ، اعتمادًا على مواصفات النظام الذي يتم جمع البيانات منه. تتضمن قائمة وسائل النقل على سبيل المثال لا الحصر WMI و NetBios و LDAP و SSH و Telnet و Oracle و MS SQL و SAP DIAG و SAP RFC و Remote Engine باستخدام البروتوكولات والمنافذ المناسبة.



الامتثال هو وسيلة للتحقق من الامتثال لأي معايير أو متطلبات أو سياسات أمنية. يستخدم الوضع آليات وعمليات نقل مماثلة للتدقيق. ميزة هذا الوضع هي القدرة على فحص أنظمة الشركة للامتثال للمعايير المضمنة في الماسحات الضوئية الأمنية. أمثلة على المعايير هي PCI DSS لأنظمة الدفع والمعالجة ، STO BR IBBS للبنوك الروسية ، الناتج المحلي الإجمالي للامتثال لمتطلبات الاتحاد الأوروبي. مثال آخر هو سياسات الأمن الداخلي ، والتي قد يكون لها متطلبات أعلى من تلك المحددة في المعايير. بالإضافة إلى ذلك ، هناك عمليات فحص لتثبيت التحديث وعمليات فحص مخصصة أخرى.



Pentest هو وضع الصندوق الأسود حيث لا يحتوي الماسح الضوئي على بيانات بخلاف العنوان الهدف أو اسم المجال. دعنا نفكر في أنواع الشيكات المستخدمة في الوضع:



  1. الشيكات لافتة ،
  2. تقليد الهجمات ،
  3. فحص الويب ،
  4. فحص التكوينات ،
  5. فحوصات خطيرة.


تعتمد عمليات فحص الشعارات على حقيقة أن الماسح الضوئي يحدد إصدارات البرنامج ونظام التشغيل المستخدم ، ثم يتحقق من هذه الإصدارات مقابل قاعدة بيانات الثغرات الأمنية الداخلية. تُستخدم مصادر مختلفة للبحث عن اللافتات والإصدارات ، والتي تختلف موثوقيتها أيضًا وتؤخذ في الاعتبار بواسطة المنطق الداخلي للماسح الضوئي. يمكن أن تكون المصادر عبارة عن لافتات الخدمة والسجلات واستجابات التطبيق ومعلماتها وتنسيقها. عند تحليل خوادم الويب والتطبيقات ، يتم فحص المعلومات الواردة من صفحات الخطأ والوصول المرفوض ، ويتم تحليل استجابات هذه الخوادم والتطبيقات ومصادر المعلومات المحتملة الأخرى. تقوم الماسحات الضوئية بوضع علامة على الثغرات الأمنية التي تم اكتشافها بواسطة مسح الشعارات على أنها ثغرات مشتبه بها أو على أنها ثغرات أمنية غير مؤكدة



الهجوم الوهمي هو محاولة آمنة لاستغلال ثغرة أمنية على مضيف. الهجمات المحاكاة لها فرصة منخفضة للإيجابيات الكاذبة ويتم اختبارها بدقة. عندما يكتشف الماسح توقيع الثغرة الأمنية على هدف الفحص ، يتم استغلال الثغرة الأمنية. تستخدم الفحوصات الطرق اللازمة لاكتشاف الثغرة الأمنية ؛ على سبيل المثال ، يتم إرسال طلب غير نمطي إلى تطبيق لا يتسبب في رفض الخدمة ، ويتم تحديد وجود ثغرة أمنية من خلال الاستجابة النموذجية للتطبيق المعرض للخطر.



طريقة أخرى: عند الاستغلال الناجح لثغرة أمنية تسمح بتنفيذ التعليمات البرمجية ، يمكن للماسح الضوئي إرسال طلب PING أو DNS صادر من المضيف الضعيف إلى نفسه. من المهم أن نفهم أنه ليس من الممكن دائمًا التحقق من نقاط الضعف بأمان ، لذلك ، غالبًا في وضع pentest ، تظهر الشيكات في وقت متأخر عن أوضاع المسح الأخرى.



عمليات فحص الويب هي أكثر أنواع الفحوصات شمولاً وطولاً التي يمكن أن تتعرض لها تطبيقات الويب. في المرحلة الأولى ، يتم فحص أدلة تطبيقات الويب ، ويتم اكتشاف المعلمات والحقول حيث قد تكون هناك نقاط ضعف محتملة. تعتمد سرعة هذا المسح على القاموس المستخدم للبحث في الدلائل وعلى حجم تطبيق الويب.



في نفس المرحلة ، يتم جمع لافتات CMS والمكونات الإضافية للتطبيق ، والتي تُستخدم لفحص الشعارات بحثًا عن نقاط الضعف المعروفة. المرحلة التالية هي فحوصات الويب الأساسية: البحث عن أنواع مختلفة من حقن SQL ، والبحث عن أخطاء في المصادقة ونظام تخزين الجلسة ، والبحث عن البيانات الحساسة والتكوينات غير المحمية ، والتحقق من XXE Injection ، والبرمجة عبر المواقع ، وإلغاء التسلسل غير الآمن ، وتحميل الملفات التعسفية ، وتنفيذ التعليمات البرمجية عن بُعد ، واجتياز المسار ... يمكن أن تكون القائمة أوسع اعتمادًا على معلمات المسح وقدرات الماسح الضوئي ، وعادةً ما يتم إجراء الفحوصات وفقًا لقائمة العشرة الأوائل في OWASP .



تهدف فحوصات التكوين إلى اكتشاف أخطاء تكوين البرنامج. يحددون كلمات المرور الافتراضية أو يجربون كلمات المرور مقابل مجموعة قصيرة من كلمات المرور بحسابات مختلفة. يكشف عن لوحات المصادقة الإدارية وواجهات التحكم والطابعات المتاحة وخوارزميات التشفير الضعيفة والأخطاء في حقوق الوصول والكشف عن المعلومات السرية عبر المسارات القياسية والنسخ الاحتياطية القابلة للتنزيل والأخطاء المماثلة الأخرى التي يرتكبها مسؤولو أنظمة تكنولوجيا المعلومات وأنظمة أمن المعلومات.



من بين الفحوصات الخطيرة تلك التي من المحتمل أن يؤدي استخدامها إلى انتهاك سلامة البيانات أو توافرها. يتضمن ذلك عمليات التحقق من رفض الخدمة وخيارات حقن SQL مع معلمات لحذف البيانات أو إجراء تغييرات. هجمات القوة الغاشمة دون قيود على محاولات القوة الغاشمة التي تؤدي إلى حظر الحساب. نادرًا ما يتم استخدام الفحوصات الخطيرة بسبب العواقب المحتملة ، ولكن يتم دعمها بواسطة أجهزة فحص الأمان كوسيلة لمحاكاة تصرفات المهاجم الذي لن يقلق بشأن سلامة البيانات.



المسح والنتائج



لقد قمنا بمراجعة طرق وأدوات المسح الأساسية ، دعنا ننتقل إلى مسألة كيفية استخدام هذه المعرفة في الممارسة العملية. أولاً ، تحتاج إلى الإجابة على سؤال حول ماذا وكيف يتم المسح الضوئي. للإجابة على هذا السؤال ، تحتاج إلى جمع معلومات حول عناوين IP الخارجية وأسماء المجالات التي تنتمي إلى المؤسسة. في تجربتنا ، من الأفضل فصل أهداف الفحص في تحديد المخزون والضعف.



يمكن إجراء فحص المخزون بشكل متكرر أكثر من فحص الثغرات الأمنية. في المخزون ، من الممارسات الجيدة إثراء النتائج بمعلومات حول مسؤول الخدمة وعنوان IP الداخلي للخدمة في حالة استخدام NAT وأهمية الخدمة والغرض منها. في المستقبل ، ستساعد المعلومات في القضاء بسرعة على الحوادث المتعلقة باكتشاف الخدمات غير المرغوب فيها أو الضعيفة. من الناحية المثالية ، لدى الشركة عملية وسياسة لوضع الخدمات على محيط الشبكة ، وتشارك خدمات أمن المعلومات وتكنولوجيا المعلومات في العملية.



حتى مع هذا النهج ، هناك احتمال حدوث أخطاء بسبب العوامل البشرية والأعطال الفنية المختلفة التي تؤدي إلى ظهور خدمات غير مرغوب فيها في المحيط. مثال بسيط: قاعدة مكتوبة على جهاز شبكة Check Point يبث المنفذ 443 من الشبكة الداخلية إلى المحيط. الخدمة التي كانت هناك قديمة وخارج الخدمة. لم يتم إبلاغ خدمة تقنية المعلومات بهذا الأمر ، لذلك بقيت القاعدة. في هذه الحالة ، قد ينتهي الأمر بالمحيط بمصادقة لوحة إدارة جهاز Check Point أو خدمة داخلية أخرى لم يتم التخطيط لاستضافتها هناك. في الوقت نفسه ، لم تتغير صورة المحيط رسميًا والمنفذ متاح.



لاكتشاف هذه التغييرات ، من الضروري إجراء مسح دوري وتطبيق مقارنة تفاضلية للنتائج ، ثم سيكون هناك تغيير ملحوظ في لافتة الخدمة ، مما سيجذب الانتباه ويؤدي إلى تحليل الحادث.



القضاء على نقاط الضعف



تتمثل الخطوة الأولى للتنفيذ التقني الصحيح لعملية التخلص من الثغرات الأمنية في تقديم نتائج الفحص التي سيتعين عليك التعامل معها بشكل صحيح. إذا تم استخدام العديد من الماسحات الضوئية المتباينة ، فسيكون من الأصح تحليل ودمج المعلومات حول العقد في مكان واحد. لهذا ، يوصى باستخدام الأنظمة التحليلية ، والتي ستخزن أيضًا جميع المعلومات حول المخزون.

الطريقة الأساسية لإصلاح الثغرة الأمنية هي تثبيت التحديثات. يمكنك أيضًا استخدام طريقة أخرى - إخراج الخدمة من المحيط (ما زلت بحاجة إلى تثبيت تحديثات الأمان).



يمكنك تطبيق تدابير الضبط التعويضية ، أي استبعاد استخدام مكون أو تطبيق ضعيف. هناك خيار آخر وهو استخدام أدوات الأمان المتخصصة مثل IPS أو جدار حماية التطبيقات. بالطبع ، من الأصح منع ظهور الخدمات غير المرغوب فيها على محيط الشبكة ، لكن هذا النهج ليس ممكنًا دائمًا بسبب الظروف المختلفة ، وخاصة متطلبات العمل.



أولوية القضاء على الضعف



تعتمد أولوية إصلاح الثغرات الأمنية على العمليات الداخلية للمؤسسة. عند العمل على القضاء على الثغرات الأمنية لمحيط الشبكة ، من المهم أن يكون لديك فهم واضح لسبب وجود الخدمة على المحيط ، ومن يديرها ومن يمتلكها. بادئ ذي بدء ، يمكنك القضاء على الثغرات الأمنية في العقد المسؤولة عن وظائف العمل المهمة للشركة. بطبيعة الحال ، لا يمكن إزالة هذه الخدمات من المحيط ، ولكن يمكن تطبيق تدابير تعويضية أو تدابير أمنية إضافية. مع الخدمات الأقل أهمية ، يكون الأمر أسهل: يمكن إزالتها مؤقتًا من المحيط وتحديثها ببطء وإعادتها إلى الخدمة.



هناك طريقة أخرى تتمثل في أولوية الإزالة وفقًا لشدة أو عدد نقاط الضعف على العقدة. عندما يتم العثور على 10-40 شكوكًا حول الثغرات الأمنية من مسح الشعارات على عقدة ، فلا داعي للتحقق مما إذا كانت جميعها موجودة هناك ، أولاً وقبل كل شيء ، هذه إشارة إلى أن الوقت قد حان لتحديث البرنامج على هذه العقدة. عندما لا يكون هناك مجال للتجديد ، يجب وضع تدابير تعويضية. إذا كان لدى المؤسسة عدد كبير من العقد حيث تم العثور على مكونات البرامج الضعيفة التي لا توجد تحديثات لها ، فقد حان الوقت للتفكير في التبديل إلى البرنامج الذي لا يزال في دورة التحديث (الدعم). من المحتمل أنه لتحديث البرنامج ، تحتاج أولاً إلى تحديث نظام التشغيل.



النتيجة



يمكن الحصول على جميع المعلومات المتعلقة بالخدمات والخدمات على محيط الشبكة ليس فقط بواسطتك ، ولكن أيضًا من قِبل أي شخص من الإنترنت. بدقة معينة ، من الممكن تحديد نقاط الضعف في النظام حتى بدون فحص. لتقليل مخاطر حوادث أمن المعلومات ، تحتاج إلى مراقبة محيط الشبكة ، وإخفاء أو حماية الخدمات غير المرغوب فيها في الوقت المناسب ، وتثبيت التحديثات.



لا يهم ما إذا كانت العملية منظمة داخليًا أو بمشاركة خبراء من جهات خارجية يقدمون خدمات للتحكم في المحيط أو تحليل الأمان. أهم شيء هو ضمان التحكم في المحيط ومعالجة نقاط الضعف على أساس منتظم.



بقلم مكسيم فيدوتوف ، أخصائي أول ، قسم الخدمات عبر الإنترنت ، مركز أمان الخبراء في شركة PT ، التقنيات الإيجابية


More articles:


All Articles