‫الفصل الثاني‬

‫إدارة المخاطر‪:‬‬
‫الهتديدات‪ ،‬نقاط الضعف والاس تغالل‪.‬‬
‫‪Managing Risk:‬‬
‫‪Threats, Vulnerabilities and Exploits.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪1‬‬

‫سنقوم برؤية إدارة المخاطر ‪ :‬التهديدات ‪ ،‬نقاط الضعف واالستغالل‬

‫فهم وإدارة التهديدات‬

‫فهم وإدارة نقاط الضعف‬

‫فهم وإدارة االستغالل‬

‫مبادرات إدارة المخاطر‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪2‬‬

Risk is the likelihood that a threat will exploit a vulnerability.
A vulnerability is a weakness, and a threat is a potential danger. The result is a
negative impact on the organization.
Impact refers to the magnitude of harm that can be caused if a threat exercises a
vulnerability.

‫ نقاط الضعف واالستغالل‬،‫ إدارة المخاطر التهديدات‬:‫الفصل الثاني‬ 3

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪4‬‬
‫مثال ‪ :‬الموظفون السابقون الساخطين من الممكن أن يشكلوا خطرا ً كبيرا ً في حال الوصول إلى‬
‫البيانات في عملهم السابق ومن الممكن أن يزيلوها !!!‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪5‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪6‬‬
‫مثال ‪ :‬إعداد ‪ router‬ليسمح بمرور كلي من االنترنت إلى ‪ LAN‬يعتبر نقطة ضعف‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪7‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪8‬‬
 ‫بعض اشكال نقاط الضعف ‪:‬‬
‫أي ظرف يترك النظام عرضة ً للهجوم هو يعتبر من الثغرات ‪ ,‬ويتضمن أشكاالً عديدة ‪:‬‬

‫‪ H.W‬نو ‪ S.W‬بشدددد ل • األمن الف زيائي الضع ف‬ ‫• اإلعددددداد نو ب صدددد‬

‫خاطئ‬

‫• كلمة مرور غ ر آم ة‬ ‫• الثغرات في البرمج ات ونظم التشغ ل‬

‫• االسددتخداا الئدد ئ لبرمج ددة نو بروب كدد ل • إدخال مئتخدا دون التحقق من اله ية‬
‫ابصال‬

‫• ع ددد ل التصدددم م فدددي البرمج دددات ونظدددم‬ ‫• التصم م الضع ف للشب ة‬

‫التشغ ل‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪9‬‬

 ‫‪(3‬‬

‫*‬

‫*‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪10‬‬

 ‫احتمالية التهديدات للكمبيوتر أو أمن الشبكة تتضمن ‪:‬‬
‫ال ص ل غ ر المقص د نو غ ر المخ ل لتغ ر الب انات ‪.‬‬ ‫•‬
‫انقطاع الخدمة ‪.‬‬ ‫•‬
‫انقطاع ال ص ل إلى المصادر‪.‬‬ ‫•‬
‫الدمار في المعدات ‪.‬‬ ‫•‬
‫ال ص ل غ ر المخ ل نو بدم ر المرافق ‪.‬‬ ‫•‬

‫مثال ‪ :‬إرسال بريد الكتروني يحتوي معلومات حساسة بالخطأ لشخص غيرر معنري يعتبرر تهديرد ‪ ,‬علرى‬
‫الرغم من أنه توجيه خاطئ غير مقصود ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪11‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪12‬‬
 ‫التهديدات الشائعة ‪:Common Threats‬‬
‫لتأمين شبكتك ‪ ,‬يجب حمايتها من التهديدات ‪ ,‬لكنك ال تستطيع حمايتها من التهديدات ما لم تفهمها وتتعرف‬
‫عليها ‪.‬هذا هو السبب " اعرف عدوك " يجب أن يكون شعار لكل العاملين في مجال أمن الشبكات ‪,‬‬
‫للتطوير بشكل صحيح ‪ ,‬النشر ‪ ,‬وخطة الحفاظ على أمن الشبكة ‪ ,‬مسئول الشبكة يجب أن يفهم األنواع‬
‫المختلفة من التهديدات وكيف من الممكن أن تؤثر على الشبكة ‪.‬‬

‫الوصول غير المصرح به‬

‫‪: Unauthorized Access‬‬
‫أي نوع من الوصول للشبكة أو البيانات غير موافق عليه من‬
‫المنظمة ‪,‬من الممكن أن يكون هجوم متعمد من الخارج ‪,‬‬
‫استخدام خاطئ المتيازات من قبل مستخدم مصرح له ‪ ,‬ومن‬
‫الممكن أن يكون غير متعمد ‪ .‬الوصول غير المصرح به ليس‬
‫بالضرورة أن يسبب فقدان أو دمار للشبكة أو البيانات ‪ ,‬لكنه‬
‫يعتبر الخطوة األولى لعدة هجمات ستشن ضد الشبكة ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪13‬‬

 ‫سرقة البيانات ‪: Data Theft‬‬

‫هجوم يتم من خالله دخول غير مررخص للحصرول‬

‫علرررى معلومرررات الشررربكة المحميرررة ‪ .‬المهررراجم مرررن‬
‫الممكن أن يستخدم اعتمادية مسرروقة للردخول علرى‬
‫الخادم وقراءة البيانات المخزنة على الملفات ‪ .‬أو ‪,‬‬
‫سرررقة البيانررات أثنرراء انتقالهررا خررالل وسررائط الشرربكة‬
‫باسرتخدام ‪hardware- or software – based‬‬
‫"‪ " packet sniffer‬وهرررو جهررراز أو برنرررام‬
‫لمراقبة شبكة االتصاالت والتقاط البيانات ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪14‬‬

 ‫‪: Hackers and Attackers‬‬
‫المتسللين والمهاجمين هما مصطلحان مترابطان لألفراد الذين يمتلكون المهارات الالزمة للوصول إلرى‬
‫نظام الكمبيوتر من خالل وسائل غير مصرح بها أو غير موافق عليها ‪ .‬إن الهراكر هرو مصرطلح لرذلك‬
‫المستخدم البرارع فري برمجرة الحاسروب وإدارة نظامره ‪ .‬التسرلل إلرى النظرام هرو إشرارة إلرى مهرارة فنيرة‬
‫خالقة تدريجيا ً ارتبطت مع تطفرل األنظمرة المرؤذي وغيرر األخالقري ‪ .‬امرا المهراجم فهرو مصرطلح يعبرر‬
‫دائما عن تسلل للنظام مؤ ٍذ ‪.‬‬

‫مصطلح ‪cracker‬يعود لألفراد الذين يكسرون تشفير الكرود ‪ ,‬يزيلروا الحمايرة عرن نسرب البرمجيرات ‪,‬‬
‫أو متخصصين في كسر األنظمة ‪ cracker ,‬أحيانا يستخدم لوصف ‪hacker or attacker‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪15‬‬

 ‫القبعات البيضاء والقبعات السوداء ‪:White Hats and Black Hats‬‬
‫القبعات البيضاء هؤالء الذين يكتشفون العيوب األمنية في التطبيقات ونظم التشغيل ويفضحوها لتمكرين‬
‫المصنعين قبل أن تصبح مشكلة واسعة االنتشار ‪.‬هم يفعلوا ذلك من خالل أساس احترافي ‪ ,‬يعملون في‬
‫المنظمات األمنية أو لدى مصنعي األنظمة ‪.‬‬

‫القبعات السوداء هؤالء الذين يكتشفون العيوب األمنية ونقاط الضعف لمكاسب مالية أو بهدف اإليذاء ‪.‬‬
‫من الممكن أن ال يعمل القبعات السوداء على كسر األنظمة مباشرة مثل المهاجمين ‪ ,‬إال أنهم قد يقوموا‬
‫بنشر الثغرات األمنية مما يسبب خسارة مادية كبيرة ودمار للمنظمة ‪.‬‬
‫بعررا الررذين يعتبرررون أنفسررهم قبعررات بيضرراء يكتشررفوا وينشررروا الثغرررات األمنيررة دون علررم المنظمررة أو‬
‫إذنها ‪ ,‬هنا ال نستطيع أن نفرق بينهم و بين القبعات السوداء إال من خالل النية ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪16‬‬

 ‫هجمات الهندسة االجتماعية ‪: Social Engineering Attacks‬‬
‫هرررو نررروع مرررن الهجررروم يعتمرررد فيررره علرررى الخرررداع والتحايرررل إلقنررراع‬
‫المسرررتخدمين المطمئنرررين بتزويررردهم بمعلومرررات حساسرررة أو انتهررراك‬
‫مبررادا التوجيهررات األمنيررة ‪.‬الهندسررة االجتماعيررة هرري مقدمررة لهجرروم‬
‫آخررر ‪ ,‬ألن هررذا الهجمررات تعتمررد علررى العوامررل البشرررية أكثررر مررن‬
‫التكنولوجيرررة مرررن الممكرررن أن تكرررون أعراضرررها غامضرررة وصرررعبة‬
‫التعريف ‪ ,‬هجمات الهندسة االجتماعية من الممكن أن تكرون برأكثر‬
‫مررن طريقررة ‪ :‬بشخصرره ‪ ,‬خررالل البريررد االلكترونرري ‪ ,‬أو مررن خررالل‬
‫الهرراتف ‪ .‬الهندسررة االجتماعيررة عررادة مررا تسررتغل المسررتخدمين ال رذين‬
‫ليسوا على دراية من الناحية الفنية ‪ ,‬كما أنها مرن الممكرن أن توجره‬
‫لررنفس طرراقم الرردعم الفنرري إذا المهرراجم تظرراهر بأنرره مسررتخدم بحاجررة‬
‫لمساعدة ‪...‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪17‬‬

 ‫هجمات كلمات المرور ‪: Password Attacks‬‬
‫أي نوع من الهجمات التي يحاول فيها المهاجم الحصول واستخدام كلمات المرور بشكل غير مشروع ‪ .‬المهراجم مرن الممكرن أن يسررق‬
‫أو يخمن كلمة المرور ‪ ,‬أو يكسر ملف كلمات المرور المشرفرة ‪ .‬هجمرات كلمرات المررور تظهرر فري سرجل التردقيق بمحاوالتره الناجحرة‬
‫والفاشلة ‪.‬‬

‫هجمات الشفرات الخبيثة ‪:Malicious Code Attacks‬‬

‫يدخل المهاجم برمجية غير مرغروب فيهرا وغيرر مرخصرة للنظرام الهردف ‪ ,‬فري الماضري كران الهردف مرن هرذا‬
‫البرمجيررات تعطيررل أو إلغرراء تفعيررل النظررام أو تطبيررق ‪ ,‬أو إجبررار النظررام الهرردف لتعطيررل أنظمررة أخرررى ‪ ,‬أمررا‬
‫البرام الخبيثة الحالية تحاول البقاء مخفية في النظام الهدف ‪ ,‬لتستهلك مواردا لفائدة المهاجم ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪18‬‬

 ‫هجمات التحايل لـ ) ‪:IP ( IP Spoofing Attacks‬‬
‫هجوم برمجي حيث المهاجم ينشئ حزم ‪ IP‬بعنوان مصدر ‪ IP‬مزور‬
‫ويستخدم هذا الحزم لحصول على وصول لنظام عن بعد ‪ .‬عالمة‬
‫على هجوم ‪ IP Spoofing Attacks‬حزم شبكة من مصدر خارجي‬
‫تظهر بأنها من تحمل عنوان مصدر داخلي ‪.‬‬

‫هجمات االختطاف ‪: Hijacking Attacks‬‬

‫هجرروم برمجرري المهرراجم يأخررذ الررتحكم مررن جلسررة ‪ TCP‬بعررد مصررادقتها "‬
‫‪ ,"TCP/IP hijacking attack‬الغرا من هجمات االختطاف هو كسرب‬
‫الوصول لبيانات وموارد الشربكة باسرتخدام هويرة مسرتخدم شربكة مشرروعة‬
‫‪.‬خررالل هجرروم االختطرراف ‪ ,‬المهرراجم إمررا يصررل للحررزم أثنرراء مرورهررا مررن‬
‫مضريف خخررر ‪ ,‬أو يفصررل أحرد المضرريفين ويسررتمر باالتصرال مررع الطرررف‬
‫اخخر‪ ,‬يظهر هجوم االختطاف بشكل واضح في انقطاع االتصال المفراجئ‬
‫أو رسائل الخطأ ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪19‬‬

 ‫‪: Man-in-the-Middle Attacks‬‬
‫تقنيررة سرررقة بيانررات حيررث المهرراجم يوسررط جهرراز بررين بررين‬
‫مضيفين شرعيين للحصول على بياناتهم أثناء تناقلهرا ‪.‬جهراز‬
‫التطفرررل يخررردع كرررال المرسرررل والمسرررتقبل باالسرررتجابة للتناقرررل‬
‫باالتجررراهين ‪ .‬ال يشررربه التحايرررل وال االختطررراف ‪ ,‬المهررراجم‬
‫يستطيع معالجة االتصال بنشاط‪ ,‬أكثر مرن االسرتماع بخمرول‬
‫‪ ,‬ويسرررررتطيع الوصرررررول لبيانرررررات متنوعرررررة ‪ ,‬مثرررررل أسرررررماء‬
‫المستخدمين ‪ ,‬كلمات المرور ‪ ,‬تكوين الشبكة ‪,‬محتروى حرزم‬
‫الشبكة ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪20‬‬

 ‫الحرمان من الخدمة ‪: Denial of Service ( DoS ) Attacks‬‬
‫هو الهجوم الذي يتم شنه لغرا تعطيل األنظمرة التري تروفر خردمات الشربكة ‪ ,‬ولريس‬
‫لسرررقة البيانررات أو إلحرراق الضرررر‪ .‬أن أهررداف الهجرروم مررن الممكررن أن تكررون خرروادم‬
‫الشبكة أو أجهرزة توجيره شربكة االتصرال ‪ ,‬إن هرذا الهجروم يمنرع النظرام مرن االسرتجابة‬
‫للطلبات الشرعية ‪ ,‬مما يعوق وظائف الشبكة ‪.‬‬
‫إن هجوم ‪ DoS‬من الممكن أن يأخذ ثالثة طرق ‪:‬‬
‫• إغررراق الشرربكة بالبيانررات " فيضررانات " لتسررتهلك كافررة عرررا النطرراق الترررددي‬
‫المتوفر ‪.‬‬
‫• إرسال البيانات تهدف إلى استغالل العيوب المعروفة في تطبيق الشبكة‬
‫• إرسال طلبات خدمة عديدة للنظام الهدف الستهالك مواردا ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪21‬‬

 ‫هجوم الحرمان من الخدمة الموزع ‪Distributed Denial of Service ( DDoS ) Attacks‬‬
‫هو احد أنواع الهجوم ‪ DoS‬عدة كمبيوترات في شبكات متباينة للشروع في الهجوم من عدة‬
‫مصادر متزامنة ‪ ,‬المهاجم يدخل برنام غير مرخص يدعى ‪ zombie‬أو ‪ drone‬يوجه‬
‫الكمبيوترات لبدء الهجوم ‪.‬‬

‫تسمم ‪ARP Poisoning‬‬

‫يحدث عندما يعيد توجيه عنوان ‪ IP‬إلى ‪ MAC‬لجهاز غير معني باالستالم ‪ ,‬قبل‬
‫بدء الهجوم مرة ثانية ‪ ,‬المهاجم يجب أن يحصل على وصول للشبكة الهدف‬
‫‪,‬وعند امتالكه القدرة للوصول فإنه سيقوم بتسميم ( التالعب ) بـ ‪ARP cache‬‬
‫للكمبيوترات الهدف وذلك بإعادة توجيه عناوين ‪ IP‬المختارة إلى عناوين ‪MAC‬‬
‫التي يختارها المهاجم ‪ ,‬في هذا اللحظة يستطيع المهاجم إختيار أو التقاط أو ‪ /‬و‬
‫تعديل حركة الشبكة قبل إعادة توجيهها إلى الوجهة الصحيحة ‪ ,‬أو خلق ظروف‬
‫الحرمان من الخدمة بتعيين عنوان ‪ IP‬مختار إلى عنوان ‪ MAC‬غير موجود ‪.‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪22‬‬

 ‫عوامل األمن ‪:Security Factors – The Four A's‬‬
‫معظم أنظمة األمن تعتمد على أربعة عوامل رئيسية لتحقيق أهداف األمن ‪:‬‬

‫المصادقة ‪ : Authentication‬هو عملية تعريف‬

‫فريد لفرد معين أو كيان ‪.‬‬
‫•الترخيص ‪ : Authorization‬عملية تحديد ما‬
‫هي الحقوق واالمتيازات التي يمتلكها كائن معين ‪.‬‬
‫•التحكم بالوصول ‪ : Access Control‬عملية‬
‫تحديد وتعيين األذونات للموارد المتعددة ‪,‬‬
‫واألغراا والبيانات‬
‫• المراجعة أو المحاسبة ‪( Auditing or‬‬
‫) ‪accounting‬‬
‫عملية تتبع أو تسجيل فعاليات ونشاطات النظام‬
‫والوصول إلى الموارد‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪23‬‬

 ‫مجاالت امن المعلومات تتمحور على‪:‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪24‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪25‬‬
‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪26‬‬
‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪27‬‬
‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪28‬‬
 ‫الطرق التي يجب إلدارة امن المعلومات تطبيقها‪:‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪29‬‬

‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪30‬‬
‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪31‬‬
‫الفصل الثاني‪ :‬إدارة المخاطر التهديدات‪ ،‬نقاط الضعف واالستغالل‬ ‫‪32‬‬