البنى التحتية لأمن المعلومات التقليدية (traditional information security Architecture)

البنى التحتية لأمن المعلومات التقليدية  (traditional information security Architecture)  او ان احببت

(Old school security Architecture)  هي ارتكاز لمفهوم المنع بدون تركيز على مبادئ اخرى حديثة ظهرت مع التحديات الجديدة لبنى امن المعلومات، باختصار الهجمات التي بدأت منذ تقريبا عام 2007 طرحت او قدمت تحديات من الصعب تجاهلها. في هذا المقال سأبدأ بشرح الحاجة لأمن معلومات متفوق وحديث، وسأورد اسباب استهداف الشركات بطرق هجمات جديدة مما يوجب تغيير طرق الدفاع التقليدية ومن ثم سأختم بماهية امن المعلومات التقليدي وماهية امن المعلومات الحديث في نقاط واضحة وسهله الفهم لعلها تعود بنفع او تحدث أثر ما لأحد ما.

لماذا نحتاج الى امن معلومات حديث؟

لعدة اسباب اهمها الاحصائيات المنشورة مؤخرا عن الهجمات المتطورة بعد عام 2007\2008 وتعدد الطرق المستخدمة في الاختراق:

1-      ان نوعية الهجمات الجديدة متحايلة لدرجة ان صعوبة اكتشافها تمثل هاجس وقلق مستمر، حسب احصائية احد الشركات المتخصصة في التعامل مع الاختراقات وجدوا ان 69% من العملاء\الشركات المختًرقة علموا من جهات خارجية انهم مخترقين وان نسبة كشف الاختراقات هي 205 ايام في 2014 مقابل 229 يوم في 2013، بمعنى ان الاختراق كان مستمرا داخل الشبكة لمدة تزيد عن الستة شهور.

2-      طرق الهجوم الجديدة تتطلب طرق دفاع جديدة:

حسب الاحصائيات المنشورة غالب الهجمات المستهدفة و الجديدة تحدث عن طريق تطبيقات الويب او المتسخدمين، بمعنى ان كلاهما يحدث على طبقة التطبيقات او  (Layer 7) كما ان غالبها يوظف في مرحلة ما الهندسة الإجتماعية لاختراق احد الموظفين واستغلال جهازه.

أهمية الهجوم على المستخدمين تكمن في انها طريقة سهله لإيصال الاكواد الخبيثة بسهولة الى داخل الشبكة، فتصبح كل الدفاعات التقليدية غير مجدية، بينما الهجوم على تطبيقات الويب يكون عبر الشبكات الخارجية عبر الانترنت والى الشبكة الخارجية للمؤسسة ولا يصل الى الشبكة الداخلية. الهدف هو ايصال الكود الخبيث بأي طريقة: الويب، الايميل، مواقع التواصل الاجتماعية، المواقع العادية، تطبيقات الجوال، السيدي او اليو اس بي.

3-      هجمات جديدة كل عام:

احد الأمثلة على نوعية هجوم جديد يستخدم في اصابة عدد كبير من المستخدمين بغية استهداف اشخاص معينين هو Malversting  المسمى مركب من كلمتين خبيث واعلانات malicious advertising بمعنى ان المخترق شخص او جهة تقوم بشراء اعلامات مدفوعة على احد المواقع المشهورة مثل Yahooومن ثم تضع في كود الإعلان برمجية خبيثة تهدف لإصابة اجهزة المستخدمين. تم استخدام هذه الطريقة فعلياً مع ياهو في عام 2014

مثال اخر على هجوم من نوع جديد هو عباره عن اصطياد إلكتروني ولكن على الجوال يسمى بـ minnows، المسمى مأخوذ من سمكة صغيره بنفس الاسم دلالة على انه اصطياد صغير! هو باختصار رسائل بريد الكتروني على الموبايل، اسم المرسل يظهر فقط بدون البريد مما يغير طريقة عرض المرسل وبالتالي زيادة خطر التعرض للاختيال اما الضغط على الرابط او تحميل ملف ما. يستخدم في نفس الهجوم روابط  تظهرانها موجهة الى موقع معروف بينما هي توجه الى موقع اخر. 

بعد ان يحدث الاختراق الاولي، طرق استمرارية الاختراق غيرت قواعد اللعبة تماما، واضحت طرق المنع التقليدية بلا فائدة اطلاقاً في صد او حتى ايجاد هذا النوع من الاختراقات

4-       طرق جديدة للتحكم والسيطرة لما بعد الاختراق :

مراحل الاختراق الجديدة تم تأصيلها فيما يسمى بالـ Intrusion Kill Chain  من شركة لوكهيد مارتن العسكرية في ورقة علمية منشور رابطها بالأسفل، باختصار تحتوي على عدة مراحل اهمها:

1-      الاختراق المبدئي

2-      استمرارية الاختراق بشكل مخفي

3-      التحرك والقفز الى الهدف المطلوب

4-      استخراج المطلوب وارساله بشكل غير مكشوف

وفي كل مرحلة عدة تقنيات و اجراءات في مجملها يحدث ان المخترق يسيطر على على الجهاز عن طريق اكواد خبيثة او ما تسمى بشيل بايلود كما هو معروف في ميتاسبلويت و غيره، وهي باختصار interactive command and control center  بينما للأعداد الكبيرة من الاجهزة المخترقة يتم استخدام تطبيق ويب يتحكم في الاجهزة مباشرة. 

مثال على المراحل المختلفة للإختراق وعلامات الإختراق في الجدول الايمن تشير الى انه بدأ ببريد إلكتروني.

وطالما حدث الاختراق و تمت السيطرة على جهاز المستخدم،  ما المانع في استغلال معالج الجهاز في كسر تشفير اكواد تحتاج لجهاز ومعالج؟ ما المانع من استخدام الجهاز في اطلاق هجمات اخرى على مواقع و مؤسسات اخرى مثل هجمات حجب الخدمة دي دوس؟ ما المانع من استغلال الجهاز في الكسب المادي في تشغيله كمعالج لتوليد معادلات يكافئ عليها بت كوين؟ ما المانع حتى من تخزين بيانات ضخمه على الجهاز طالما انه تحت تحكم المخترق؟ كل هذا ممكن!

لماذا يتم استهداف الشركات بالطرق الحديثة؟

لان الاهداف من الاختراقات اختلفت تماماً، بينما كانت في الاعوام السابقة تهدف الى التخريب، زيادة عدد الاجهزة المصابة بفيروسات مضرة  مثل  (Confiker) دون تحكم وسيطرة او حتى مجرد حجب الخدمة عن العملاء (DOS).

الهجمات الحديثة واهدافها تتنوع ما بين قصيرة المدى وطويلة المدى، الاهداف قصيرة الاجل هي :

1-      سرقة البيانات الخاصة الوطنية او القومية او السياسية

2-      سرقة البيانات التجارية وما يتعلق بها من عملاء والى اخره.

 بينما الاهداف طويلة الأجل:

1-اختراق متواصل لشبكات حساسة  (persistence) ، بمعنى ان يكون هناك طرق شرعية بعد ان يتم الاختراق المبدئي تمكن المخترق من تفعيل اتصال مستمر بالشبكة.

2-التحرك باستمرار تجاه شبكات جديده بشكل مخفي غير مكشوف (lateral movement\ Leapfrogging) تبينا للاستراتيجية العسكرية المستخدمة في الحرب العالمية الثانية ضد اليابان في التحرك من جزيرة الى جزيرة بشكل مخفي. الفكرة هي استخدام جزر الدفاعات عليها قليلة ولكنها تسهم للوصول الى الجزيرة الرئيسية المطلوبة، تماما نفس المبدأ مستخدم في الهجمات الحديثة، يتم استغلال المناطق او الاجزاء الضعيفة الحماية للوصول الى الجزء الاهم في الشبكة، فيمكن من خلال اختراق مستخدم طرفي بصلاحيات عالية اختراق اعلى الحمايات على السيرفر الرئيسي لعمل الشركة.

ماهية البنية التقليدية لأمن المعلومات (قديم):

ترتكز بنية امن المعلومات التقليدية على الاجهزة المانعة  (Preventive) اولاً ولا تعطي كثير من الاهتمام حول الإجراءات او الموظفين. كما انها تقدم القليل من الدعم والعمليات الفعلية المحسوبة على امن المعلومات، ابرز مهام امن المعلومات التقليدي الحفاظ على الاجهزة العاملة والتأكد من عملها (بمعنى ان انوار التشغيل للجهاز تعمل والجهاز ليس مطفئ)  كما تعمد الى الاهتمام بالصيانة الدورية للأجهزة، وتقوم بتفعيل "عمليات" بسيطة من خلالها يتم عمل تعديلات بسيطة في الاعدادات لبعض الأجهزة، وفي كثير من الاحيان حتى هذه الاعمال البسيطة تسند الى متعهدي خدمات شركات خارجية بدلاً من اسنادها لموظفي المنشأة واكسابهم الخبرة اللازمة لهذه الأعمال البسيطة.

اهم ادوات الطريقة التقليدية لأمن المعلومات الجدر النارية، اجهزة كشف الت، مكافحة الفيروسات، ولأن العمليات هنا تكون تشغيلية بحتة على هذه الاجهزة غالبا ما تفشل الحماية التقليدية اذا كانت المشاريع المنفذة لهذه الأجهزة هزيلة.

حسناً، نريد ان نعرف الآن كيف يمكن وصف احد الشركات بأن لديها امن معلومات تقليدي او حديث؟ العملية حسابية بحته، لمعرفة نسبة تطبيق امن المعلومات بالطريقة التقليدية او الحديثة، افتح خرائط الشبكة وحدد أي المكونات منها مانعه (preventive) واي منها مراقبة (Detective)، المانعة علمها بـ م والمراقبة علمها بـ ر، طبق المعادلة بالأسفل لتجد النسبة المئوية: لمعرفة نسبة المكونات المانعه: م \ (عدد المكونات المانعة+عدد المكونات المراقبة)*100= %

ماهية البنية الحديثة لأمن المعلومات (الجديدة):

ماذا بعد ان عرفنا الطرق التقليدية وعرفنا ان طرق الاختراق قد اختلفت كليا عن المفاهيم السابقة وفي كل عام نجد اساليب وطرق لم نكن نعرفها تماما؟ الحل هو البدء في تطبيق الطرق الحديثة لأمن المعلومات وتبني البنى التحتية الداعمة للفكر الحديث.

1-      اولها، تجديد مفهوم الاختراق: ثق تماما ان الاجهزة والشبكة ستخترق ان لم تكن اخترقت اصلا، هذا المفهوم مالم تصل اليه ستظل في دائرة مفرغة من الحلول الغير فعاله.

وصولا لهذا المفهوم وتبني فكرة ان الاختراق قد حصل اصلا او لا يمكن منعه من الاساس حسب ما ذكرنا من نوعية الهجمات السابقة، يبقى لنا ان نفهم ان الكشف والمراقبة والاستجابة هي اهم بكثير من المنع في ميزان امن المعلومات الحديث. هذا لا يعني ترك المنع، بل يعني ان الاستثمار في المنع وترك البقية لا يعني امن معلومات بل يعني استثمار في الاجهزة وترك العمليات المفروض عملها بشكل اجراءات تقوم برفع المستوى الامني من اجهزة الى افكار واجراءات ورؤى تدعم كشف الاختراقات بالطرق الحديثة.

2-      ثانيا، التركيز على المنع حطم ودمر قدرات الشركات والمؤسسات على الرقابة والكشف عن الاختراقات، وتبني قدرات عالية ليس بالمهمة السهلة او البسيطة تماما، بل يتضمن تخطيط وهندسة في عمق البنى التحتية.

3-      ثالثا، البدء في الكشف المبكر عن الاختراقات، تبني مفهوم ان المؤسسة تعرضت للاختراق مسبقا او لا يمكن منع الاختراق من الاساس يؤسس بالضرورة لفريق يقوم بمطاردة الاحداث الحاصلة على الشبكة او اجهزة المستخدمين وتحليلها لكشف أي معلومات قد تؤدي الى وجود اختراق، ما يسمى بالفريق الازرق او فريق الصيد Hunt team

4-      رابعا، كشف طرق ما بعد الاختراق، بمعنى ان المخترقين يقومون باستخدام طرق تقليدية تستخدمها المؤسسة نفسها/ وبالتالي لا يمكن كشفها مطلقا بانها طرق خبيثة او تستخدم لغرض الاختراق. يقوم فريق الصيد او الفريق الازرق دائما بتحليل هذه الطرق وفلترة السليمة منها والتحقيق في المشبوهة ومن ثم تركيز الجهد على قدرات الرقابة بدلا من المنع الغير فعال.

5-      خامسا، الاستجابة للحوادث الامنية والتركيز على تفعيلها بشكل تام، ما الفائدة من العثور على الاختراق ومن ثم عدم فعل أي شيء؟ الاستجابة هي الرد الاول والفعال لمنع المخترقين من تحقيق اهدافهم عبر تفعيل اجراءات الاستجابة على حوادث امن المعلومات.

6-      سادسا، تفعيل المنع والرقابة على التطبيقات او layer 7، بينما تفشل الطرق التقليدية في الكشف او المنع عن أي هجوم على التطبيقات، تركز الطرق الحديثة على هذه الطبقة لأنها الطريق الاول في اختراقات اليوم، الطبقة 3 او 4 لا تنفع احد من جحيم الاختراقات. كما ان اغلب مراكز السيطرة والتحكم تقوم بتفعيل طرق تواصلها عبر التطبيقات في منافذ 80 او 443 و غيرها من طبقة التطبيقات

7-      سابعا واخيرا، الطرق الحديثة لأمن المعلومات في البنى التحتية والاستجابة لحوادث امن المعلومات لها صله مباشرة بالمخاطر وتركز بقوة على اعلى المخاطر وتتبنى مفاهيم مخاطر امن المعلومات، كما تقوم على تغذية المخاطر باستمرار لتغير افق الهجمات باستمرار تعجز عن متابعته فرق حوكمة امن المعلومات او حوكمة تقنية المعلومات وما شابهها، فإشراك فرق الاستجابة للحوادث الأمنية مع فرق ادارة المخاطر ضرورة ملحة.

http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf

http://www2.fireeye.com/rs/fireye/images/rpt-m-trends-2015.pdf