التعرف على أنظمة الحماية
في هذه السلسلة سنقوم بالتعرف على بعض المعلومات الهامة عند القيام بعمليات الفريق الأحمر (red teaming) ومنها سنتعرف على عدة مصطلحات ومفاهيم أساسية .
ما هو الفريق الأحمر (red team) #️⃣
i, عبارة عن مجموعة من موظفي تكنولوجيا المعلومات الداخليين الذين يٌستخدمون لمحاكاة تصرفات المخترقين. من منظور الأمن السيبراني ، فإن هدف
الفريق الأحمر هو اختراق الأمن الرقمي للشركة أو تعريضه للخطر. الفريق
الأزرق(فريق الحماية داخل الشركة) ، من ناحية أخرى ، هو مجموعة من موظفي تكنولوجيا المعلومات
الذين يٌستخدمون لمحاكاة تصرفات الأفراد داخل شركة أو مؤسسة
معينة بشكل دفاعي. لذلك اذا كان الفريق الأحمر يمثل مجموعة من مجرمي
الإنترنت ، فإن هدف الفريق الأزرق هو منعهم من ارتكاب خرق افتراضي
للبيانات. هذا النوع من التفاعل هو ما يُعرف بمحاكاة الفريق الأحمر والأزرق.
(red team-blue team simulation)
نقطة النهاية (End-point)
تشير نقطة النهاية إلى جهاز أو نظام متصل بشبكة ويمكنه الاتصال بأجهزة أخرى على الشبكة. يمكن أن تتضمن نقاط النهاية أجهزة كمبيوتر سطح المكتب والمحمولة والأجهزة المحمولة والخوادم وأنواع أخرى من الأجهزة المتصلة بشبكة.
غالبًا ما تكون نقاط النهاية هدفًا لتهديدات الأمان ، مثل البرامج الضارة وبرامج الفدية وهجمات التصيد الاحتيالي ، لأنها توفر طريقة للمهاجمين للوصول إلى شبكة أو نظام. نتيجة لذلك ، يعد تأمين نقاط النهاية جزءًا مهمًا من أي استراتيجية للأمن السيبراني. يمكن القيام بذلك باستخدام مجموعة من تقنيات الأمان ، مثل برامج مكافحة الفيروسات والجدران النارية وأنظمة منع التطفل (IPS) ، لحماية نقاط النهاية من التهديدات الأمنية.
والأن نأتي للتعرف على أنواع انظمة الحماية داخل المؤسسات #️⃣
:- (Endpoint Detection and Response) EDR
هو عبارة عن نظام متعدد الطبقات لحماية نقطة النهاية(End Point) يجمع بين
المراقبة المستمرة في الوقت الفعلي وتحليلات بيانات نقطة النهاية والاستجابة
الآلية المستندة إلى القواعد. نسخة تجريبية مجانية جدولة عرض توضيحي.
وهنا نأتي الى نقطة الفرق بين الانتي فايروس AV والEDR, يوفر AV القدرة على اكتشاف البرامج الضارة والاستجابة لها على جهاز كمبيوتر مصاب باستخدام مجموعة متنوعة من الأساليب المختلفة.بينما يشتمل EDR على وظائف AV وغيرها من وظائف أمان نقطة النهاية ، مما يوفر حماية كاملة الميزات ضد مجموعة واسعة من التهديدات المحتملة.
لذلك تستخدم معظم المؤسسات انظمة الEDR لحماية بياناتها.
جدار الحماية(Firewall): نظام لمراقبة التهديدات المستندة إلى الشبكة وحظرها وتحديدها ، بناءً على سياسة محددة مسبقًا.
امثلة عليه :
Cisco ASA
Fortinet FortiGate
Cisco Meraki MX
-: (IDS)Intrusion Detection Systems
نظام كشف التطفل (IDS) هو نوع من برامج الأمان المصممة لمراقبة شبكة أو نظام بحثًا عن نشاط ضار أو انتهاكات لسياسات الشبكة الخاصة بالمؤسسة.
يجمع IDS البيانات من مصادر مختلفة ، مثل حركة مرور الشبكة ، وسجلات النظام ، ونشاط المستخدم ، ويحللها لتحديد التهديدات الأمنية المحتملة. إذا تم اكتشاف تهديد ، يمكن لـل IDS اتخاذ مجموعة من الإجراءات ، مثل تنبيه أفراد الأمن ، أو حظر النشاط الضار ، أو عزل النظام المصاب.
هناك نوعان رئيسيان من IDS:
IDS القائم على الشبكة (NIDS) و IDS القائم على المضيف (HIDS).
يراقب NIDS حركة مرور الشبكة ويتم تثبيته عادةً على جهاز شبكة ، مثل
جهاز التوجيه(router) أو جدار الحماية. يراقب HIDS النشاط على مضيف
معين ، مثل الخادم أو محطة العمل(workstation) ، ويتم تثبيته على المضيف
نفسه.
بعض أمثلة على انظمة IDS:-
Snort: NIDS
برنامج مفتوح المصدر يمكن استخدامه للكشف عن مجموعة واسعة من هجمات الشبكة وتهديدات الأمان.
Suricata
نظام NIDS مفتوح المصدر يستخدم التعلم الآلي لتحسين قدرته على اكتشاف التهديدات الأمنية والاستجابة لها.
OSSEC: HIDS
نظام مفتوح المصدر يمكن استخدامه لمراقبة وحماية أنظمة وأجهزة متعددة داخل المؤسسة.
Symantec Endpoint Protection: HIDS
نظام تجاري يوفر حماية في الوقت الفعلي ضد البرامج الضارة وبرامج الفدية والتهديدات الأخرى.
:- intrusion prevention system (IPS)
نظام منع التطفل (IPS) هو نوع من برامج الأمان المصممة لمنع النشاط الضار على الشبكة أو النظام.
تراقب IPS حركة مرور الشبكة ونشاط المستخدم ، وتستخدم مجموعة من القواعد أو التوقيعات لتحديد التهديدات الأمنية المحتملة وحظرها.
إذا تم اكتشاف تهديد ، يمكن لـ IPS اتخاذ مجموعة من الإجراءات ، مثل حظر النشاط الضار أو تسجيل الحدث أو عزل النظام المتأثر.
غالبًا ما تستخدم حلول IPS جنبًا إلى جنب مع تقنيات الأمان الأخرى ، مثل جدران الحماية وبرامج مكافحة الفيروسات ، لتوفير طبقات متعددة من الحماية. يمكن أيضًا تهيئتها للتكامل مع أنظمة الأمان الأخرى ، مثل أنظمة كشف التسلل (IDS) وأنظمة معلومات الأمان وإدارة الأحداث (SIEM) ، لتوفير حل أمني أكثر شمولاً.
بعض الأمثلة على الIPS:-
Cisco Firepower Threat Defense:-
نظام IPS تجاري يستخدم التعلم الآلي والتحليلات المتقدمة لتحسين قدرته على اكتشاف التهديدات الأمنية والاستجابة لها
Suricata:-
نظام IPS مفتوح المصدر يمكن استخدامه لمراقبة الشبكات وحمايتها من مجموعة واسعة من التهديدات الأمنية
Snort: IPS :-
نظام مفتوح المصدر يستخدم على نطاق واسع من قبل متخصصي الأمن لحماية الشبكات من التهديدات الأمنية
مفتوح المصدر يستخدم على نطاق واسع من قبل متخصصي الأمن لحماية الشبكات من التهديدات الأمنية
– :Data loss prevention (DLP)
,
هي تقنية أمنية مصممة لمنع الكشف غير المصرح به أو فقدان البيانات الحساسة
عادةً ما تراقب حلول DLP حركة مرور الشبكة ونشاط المستخدم لتحديد ومنع نقل البيانات الحساسة ، مثل أرقام بطاقات الائتمان أو أرقام الضمان الاجتماعي أو الملكية الفكرية.
غالبًا ما تستخدم حلول DLP مجموعة من التقنيات ، مثل تحليل المحتوى وتصنيف البيانات والتشفير لحماية البيانات. قد تتضمن أيضًا ميزات مثل اكتشاف البيانات ، والتي يمكن استخدامها لتحديد البيانات الحساسة وتصنيفها ، ومنع تسرب البيانات ، والتي يمكن استخدامها لمنع إرسال البيانات الحساسة خارج المؤسسة.
أمثلة DLP:-
Symantec DLP:-
نظام تجاري يوفر المراقبة والحماية في الوقت الفعلي للبيانات الحساسة.
OpenDLP:-
نظام مفتوح المصدر يمكن استخدامه لمراقبة البيانات على الشبكة وحمايتها
DataSunrise:-
نظام تجاري يستخدم التعلم الآلي لتحسين قدرته على اكتشاف ومنع فقدان البيانات
والى هنا نصل الى نهاية الجزء الاول , نلتقي في الجزء القادم ان شاء الله.
