أنظمة منع الاختراق وعلاقتها بامن المعلومات

الملف الشخصي · 05-18-2011 05:01 PM

أنظمة منع الاختراق وعلاقتها بامن المعلومات

السلام عليكم ورحمة الله وبركاته :

أنظمة منع الاختراق

نظرة عامة

في غمرة الاختراقات والمخاطر الأمنية التي تتعرض لها المؤسسات أو الأفراد على حد سواء طُورت أنظمة أمنية مختلفة لغرض تقليص الأضرار المحتملة من هذه التهديدات التي أصبحت من أحد اكبر عوامل الضرر باستقرار الدول وما بها من أنشطة اقتصادية أو غير اقتصادية متنوعة.

تعتبر أنظمة منع الاختراق “Intrusion Prevention Systems” من الأنظمة الهامة لدرء الهجمات عند الاشتباه ببداياتها بالحال ، وذلك بمنع هذه الهجمات من الوصول لأهدافها من الإضرار بالخوادم أو الحواسيب الخاصة أو تعطيل نظام المعلومات العام ككل وما يقوم عليه من بنية تحتية.

يسلط هذا المقال الضوء على هذه الأنظمة ، وأنواعها، وبنيتها ، ومدى أهمية تواجدها ، وتبين الفروق بينها وبين أنظمة رصد الاختراقات ، ويوضح الدور الذي تلعبه هذه الأنظمة بالتكامل مع الأنظمة الأمنية الأخرى التي تعمل جميعها ضمن إطار النظام الأمني المتكامل لأنظمة المعلومات.

مقدمة

أنظمة منع الاختراق .. أحقاً تمنع الاختراق؟

هذه صفة أرى أنه لا يمكن إطلاقها معممةً كما هي على أيّ نظامٍ يعنى بالأمن، ولكن إذا ما قلنا أنها قادرة على درء الاختراقات المعروفة التركيب والهيئة –بسيطة كانت أم معقدة- فعندها أرى أننا قد قاربنا الحقيقة أكثر. أي بالإمكان تسميتها بأنظمة منع الاختراقات المعتادة "Common Intrusions Prevention Systems" ، إذ إن منع الاختراق أمرٌ مثالي ، وأما رصده واكتشافه أمر حتمي على كل مهتمي المجال ومختصيه.

مستفيدو المقال

إن كنت هاوياً للقراءة حول أمن المعلومات والتحديات والتقنيات التي يتضمنها ، فإن هذا المقال لك، إذ إنه لم يُعد لكي يكون تقنياً بحتاً ولكن سيقت معلوماته على أساس التبسيط.

وإن كنت من ذوي الاختصاص فلعل هذا المقال يفيدك لإعادته صياغة مفهوم أنظمة منع الاختراق بشكل أبسط وما تتضمنه من تقنيات وحلول.

ما المشكلة؟

أحببتُ مقولةً سمعتها يوما مفادها: أنّ ما يصنعه إنسان ، يكسره آخر "What a human makes, a human breaks" ، عندما طُورت أنظمة رصد الاختراقات “Intrusion Detection Systems” كانت ثورةً أعانت مسئولي المجال من جوانبٍ شتى. وبعد فترة ومع ازدياد الوعي بإطراف الموضوع وأنه بإمكان المخترق الوصول إلى هدفه بفترة قصيرة من بدء اختراقه ، كان لابد من إيجاد حاجز يمنعه ، لا أن يرصد اختراقه فقط. وهذا هو محور عمل أنظمة منع الاختراق اختصرها بـ ( ا.م.ا).

إذاً ما هي تلك الأنظمة؟

عُرِّفت بأنّها: "أنظمة تعمل بعكس أنظمة رصد الاختراق التي سبقتها إذ لديها القدرة على منع الاختراقات لأنظمة المعلومات ، تعمل بطبيعتها على قراءة –كشف- حزم البيانات المرسلة والمستقبلة من خلال قنوات الاتصال المختلفة " *1 .

قدرة هذه الأنظمة على رصد الاختراقات وتوضعها على قنوات الاتصال للكشف "In-line Inspection" عن بصمات الاختراقات المعروفة بالتواقيع "Attack Signatures" و احتفاظها بالإجراءات الرادعة لها مكّنتها من منع تلك الاختراقات بفعالية قبل أن تصل إلى أهدافها. فمن المنظور العام تخدم ا.م.ا مسئولي أمن المعلومات بالتالي:

1- منع الاختراقات

2- فرض الامتثال التنظيمي.

وذلك على مستويين هما:

1- مستوى الشبكة المعلوماتية: وهو ما يعرف بأنظمة منع اختراق الشبكات "Network Intrusion Prevention Systems [NIPS] ".

2- مستوى المضيف –المستخدم-: : وهو ما يعرف بأنظمة منع اختراق المضيف "Host Intrusion Prevention Systems [HIPS] ".

من خلال ثلاث عمليات أساسية، هي:

1- اكتشاف –رصد- الاختراقات: وذلك باستخدام آليات سنتطرق لها في الأقسام اللاحقة بإذن الله.

2- منع الاختراقات: وذلك قبل أن تصل لأهدافها كما قلت قبل قليل ، وهذا مما لم تكن قادرةً عليه أنظمة رصد الاختراقات “IDS” .

3- الإبلاغ عن الاختراقات: وذلك على مستوياتٍ عدة ، منها ما هو على أساس نوع الاختراق أو على أساس درجة الاطلاع المطلوبة، إذ بإمكان ا.م.ا أن ترسل نسخةً عن حزم البيانات المارة بها بالكامل لعنوان المسئول عن أمن المعلومات لدراستها وتحليلها.

1* Harris, Shon, CISSP AIO Guide 4th Ed, Page 982

تعمل ا.م.ا ضمن نطاق من ثلاث مختلفة حسب الإعدادات التي أُعدت عليها من قبل المهندس المعني بذلك ، بما يتوافق مع حاجة المؤسسة وسياساتها المتعلقة بأمن المعلومات. وهذه الأنماط موضحة بالرسم التالي.

[صورة مرفقة: Working_patterns_Intrusion_Prevention_Systems.jpg]

[صورة مرفقة: Working_patterns_Intrusion_Prevention_Systems.jpg]

(1) رسم يوضح أنماط عمل أنظمة منع الاختراق

مما يميز ا.م.ا مقدرتها على فرض الامتثال التنظيمي ومنع أي تجاوز لأنظمة المؤسسة المعلنة ، وذلك من خلال قراءة الحزم المرسلة والمستقبلة بين مستخدمي النظام ومن هم خارجه. فقد يكون لمستشفى ما سياسةٌ تمنع تبادل سجلات المرضى ومعلوماتهم الخاصة مع أي طرف ثاني خارج المشفى ، فإذا ما قام أحد الموظفين بإرسال هذا النوع من البيانات خارج النظام فان ا.م.ا قادرة على اكتشاف تجاوزه ، ذلك لتمكنها من قراءة تلك الحزمة قبل إرسالها خارج نطاق شبكة النظام والرد بمنع إرسالها والإبلاغ عن هذا التجاوز للجهات المختصة تلقائياً.

تواقيع أنظمة منع الاختراق

من المعروف أن الاختراقات التي تهدد الأنظمة تُميز بطابع حزمها الخاصة التي تحتوي على بيانات غير مسموح بتراسلها او أوامر برمجية مثيرة للريبة. فلكي نستطيع من رصد الاختراق لابد أن يكون لدينا معلومات تميزه عن البيانات الاعتيادية المسموح تراسلها إلى ومن نظام المعلومات الخاص بالمؤسسة وتميزه أيضاً عن كل اختراق آخر، وذلك لاتخاذ الإجراء المناسب حياله والرادع له. تعرف هذه المعلومات المميزة للاختراقات بالتواقيع "Signatures" والتي تعرّف حسب الآتي:

1- نوع التوقيع

2- أدوات الأزندة “Trigger Mechanisms”.

3- الإجراءات المضادة.

تواقيع الاختراقات معرفةً حسب أنواعها

أولا: تواقيع محددة:

تعتبر هذه التواقيع من أبسط الأنواع إذ صممت لاختراقات محددة مفردة، تقوم ا.م.ا بالاعتماد عليها لدراسة حزم البيانات المتراسلة لتحديد إذا ما كان من المطلوب إطلاق إجراء ضد الحزمة قيد الدراسة لتوافق خصائصها مع ما هو موصوف بالتوقيع المستخدم. فإذا ما كان لدينا توقيع يصف استخدام مجلد /etc/passwd الخاص بنظام يونكس/لينكس ، فمتى ما مرَ على جهاز نظام منع الاختراق حزمة من خارج شبكة النظام تحتوي على طلب لعرض محتويات هذا المجلد تستطيع ا.م.ا من القيام بإجراء مضاد – مثل منع الحزم المرسلة من الوصول إلى الحاسب/الخادم الهدف – لتطابق محتويات الحزمة مع معلومات التوقيع.

يختلف هذا النوع عن النوع الذي بعده بعدم تطلب ا.م.ا الاحتفاظ بحالة الاتصال ، تلك الحالة المتمثلة بأكثر من حادثة هجومية وجدت في الحزم المرسلة بين المهاجم والنظام. وهذا مما يوفر الذاكرة العشوائية لأنظمة منع الاختراق لعدم الحاجة للاحتفاظ بتلك الحزم.

ثانيا: تواقيع الحالة:

تقوم أم.أ من خلال هذا النوع من التوقيعات برصد أكثر من حدث مريب –هجومي- موصوف بالتوقيع إذ أنها تقوم بالاحتفاظ بكامل حزم البيانات المرسلة الخاصة بالاتصال المشبوه من بدايته إلى حين اتخاذ الإجراء المناسب حياله ، وذلك عند التأكد من حقيقة أنه اختراق وليس اتصالا اعتياديا. سلسلة الأحداث هذه تعرف بـ "أفق الحدث" .

تواقيع الاختراقات معرفةً حسب أدوات الأزندة

تعرف أدوات الأزندة بأنها الأسباب التي تؤدي بـ ا.م.ا لإطلاق إجراءاتها المضادة ضد الاتصالات والإجراءات المشبوهة. فعلى سبيل المثال أداة الزناد لاختراق حاسب شخصي معين هي سلسة الأوامر المشبوهة المرسلة في حزمة إليه.

أنواع أدوات الزناد هي:

1- رصد النمط: كالبحث عن كلمة " حالة المريض" في رسالة مرسلة.

2- رصد الشذوذ: كاستقبال حزمة مرسلة لمنفذ شبكي "Communication Port" غير مستخدم داخل النظام.

3- رصد السلوك: كالبحث عن أمر لتشغيل برنامج cmd.exe

تواقيع الاختراقات معرفةً حسب الإجراءات المضادة

حينما تصادف ا.م.ا اتصالات أو سلوكيات –ممثلة بأوامر- مشبوهة قد تأكدت من هويتها بأنها اختراقات، فإنها تتخذ حيالها إجراءات مختلفة ، هي:

1- إجراءات تقوم من خلالها بالإبلاغ عن الاختراق لمسئولي النظام.

2- منع الاتصال من الإكمال بإتلاف الحزم المرسلة أو منع الأمر من التنفيذ.

3- تسجيل الإختراق ضمن قائمة الاختراقات المرصودة.

4- إعادة تشكيل اتصال TCP.

5- منع المخترق من أي اتصال مستقبلي بمعرفة عنوانه المعرِّف له.

6- السماح للاتصال بالإكمال أو الأمر بالتنفيذ ، وهذا لا يعتبر إجراءً مضاداً وإنما خياراً متاحاً.

مستويات عمل أنظمة منع الاختراق
أنظمة منع اختراق المضيف "Host Intrusion Prevention Systems [HIPS] "

تعنى هذه الأنظمة بمنع الاختراقات الموجهة ضد استقرار نظام التشغيل وتطبيقات الحاسب الشخصي على المستوى الضيق أو الخادم على المستوى العام ، إذ أنها قادرة على:

1- منع أوامر البرامج الخبيثة من التنفيذ.

2- منع الاختراق الموجه للنظام من الشبكة.

3- التخفيف من الاعتماد على تحديثات الأنظمة والتطبيقات وإعطاء مهلة كافية لتجربتها ، ذلك لضمان حمايتها للنظام وإن لم تكن التحديثات متوفرة !.

4- منع أن يصبح النظام مصدر لهجمات على أنظمة أخرى.

5- تطبيق سياسات المنظمة الخاصة بالأمن المعلوماتي.

أنظمة منع اختراق الشبكات "Network Intrusion Prevention Systems [NIPS] "

تعنى هذه الأنظمة من وصول الاختراقات إلى داخل شبكة نظام المعلومات الخاص بالمؤسسة وذلك بتوضع أجهزتها على أطراف الشبكة واحتوائها على مخرجي شبكة تمكنها من دراسة الحزم المرسلة والمستقبلة واتخاذ الإجراءات الأزمة حيالها ، هذه الأنظمة قادرة على:

1- منع الاختراقات.

2- إعادة تسوية البيانات المرسلة "Traffic Normalization"، وذلك لمنع محاولات تخطي أ.م.أ بتغيير هيئة الحزم المتراسلة.

3- تطبيق سياسات المنظمة الخاصة بالأمن المعلوماتي.

(2) رسم يوضح توضع أنظمة منع الاختراق بمستوييها الاثنين ومدى أهمية تواجدهما معا للحصول على مستوى الردع الجيد للاختراقات

[صورة مرفقة: Intrusion_Prevention_Systems_Bmstoyeha_M...gether.jpg]

[صورة مرفقة: Intrusion_Prevention_Systems_Bmstoyeha_M...gether.jpg]

الخلاصة

لا شك بأن فعالية أنظمة أمن المعلومات مرتبطة ارتباطاً وثيقاً بتكاملها مع بعضها على اختلاف أنواعها وتوافر سياسات تدعمها وأناس يعملون لتحقيقها.

تعرفنا بهذه المقالة على أنظمة منع الاختراق ودورها باختصار شديد وأن أكبر اختلافٍ لها عن أنظمة رصد الاختراق أنها قادرة ليس فقط على رصد الاختراق بل التعديل على حزمه أو سلوكه او منعه بالكلية.

ولكي يتحقق رجاء المنظمة من أنظمة منع الاختراق لابد من دراسة فعاليتها اذا ما طبقت ومدى حاجة المؤسسة لها واعتبار أهمية تطبيقها على كلا المستويين (مستوى المضيف والشبكة) وتهيئة هذه الأنظمة لكي تتوافق مع سياسات المنظمة لكي تكون أداة فعالة لتحقيقها.

منقول

ادارة سكيورتي العرب

المواضيع المحتمل أن تكون متشابهة .
أنظمة الأمن المادي في مراكز المعلومات
خسائر المعلومات
تهديدات امن المعلومات
الاختراق الاخلاقي
قضايا أمن المعلومات في التجارة الالكترونية 1
المعايير العالمية لأمن المعلومات
المصادر المفتوحة ودورها في تحقيق أمن المعلومات
امن المعلومات information security
سرية المعلومات على الإنترنت
أنظمة كشف التطفل