🕵️‍♂️5- Fundamentals

وش هو التدقيق الأمني؟ عملية منهجية لتقييم والتحقق من الإجراءات والضوابط الأمنية المطبقة داخل المؤسسة للتأكد من فعاليتها ومناسبتها وامتثالها للمعايير والسياسات واللوائح.

🤝 دمج التدقيق مع اختبار الاختراق (Auditing & Penetration Testing)

🤔 ليش مهم التدقيق في اختبار الاختراق؟ لنه ممكن يكشف لك اخطاء ممكن غيره يقدر يستغلها ويضر الشركة و يعرفك عن نظامك من الثغرات والمخاطر.

💡 الفرق بين التدقيق الأمني واختبار الاختراق لازم تفهم أن التدقيق الأمني واختبار الاختراق نوعين منفصلين وش مطلقين يعني 🤔 لا يا فله 😂 كل واحد فيهم له نطاق وأهداف ونتائجه الخاصة.

  • التدقيق الأمني (Security Audit):

    • الغرض: يقيم الوضع الأمني عن طريق فحص الامتثال للسياسات والمعايير واللوائح يركز على فعالية الضوابط الأمنية والعمليات والممارسات.

    • النطاق: شامل واشياء مختلفة مثل السياسات والإجراءات والضوابط التقنية والامتثال للقوانين.

  • اختبار الاختراق (Penetration Test):

    • الغرض: يحاكي هجمات حقيقية لتحديد واستغلال الثغرات الأمنية في الأنظمة أو الشبكات أو التطبيقات يركز على نقاط الضعف التقنية وكيف يمكن للمهاجمين استغلالها.

    • النطاق: على حسب الأنظمة أو الشبكات أو التطبيقات التي يتم اختبارها المطلوبة منه .

    • النتيجة: يعطيهم تقييم مفصل للثغرات الأمنية ومسارات الهجوم المحتملة ويعطيهم توصيات لتخفيف المخاطر المحددة وتحسين الدفاعات الأمنية.

أهمية التدقيق الأمني

  • تحديد الثغرات ونقاط الضعف: يساعد في كشف نقاط الضعف التي يمكن للمهاجمين استغلالها.

  • ضمان الامتثال: يتحقق من التزام المؤسسة باللوائح والمعايير الصناعية (مثل GDPR وHIPAA وPCI DSS وISO 27001). بشرحها ابشر 😉

  • تعزيز إدارة المخاطر: عبارة عن تقييم شامل للموقف الأمني ويحدد الأولويات بناءً على التأثير المحتمل للمخاطر.

  • تحسين سياسات وإجراءات الأمن: يراجع فعالية السياسات الأمنية الحالية ويحدد المجالات التي تحتاج إلى تحسين.

  • التحسين المستمر: التدقيق هو عملية مستمرة تضمن تطور الإجراءات الأمنية لمواجهة التهديدات الجديدة.

مصطلحات أساسية في التدقيق

  • سياسات الأمن (Security Policies): وثائق رسمية تحدد أهداف وإرشادات المؤسسة لحماية أصول المعلومات.

  • الامتثال (Compliance): الالتزام بالمتطلبات التنظيمية ومعايير الصناعة والسياسات الداخلية.

  • الثغرة الأمنية (Vulnerability): ضعف في نظام أو عملية يمكن استغلاله للوصول غير المصرح به أو التسبب في الضرر.

  • الضوابط الأمنية (Control): إجراء وقائي أو مضاد يطبق لتخفيف المخاطر وحماية أصول المعلومات.

  • تقييم المخاطر (Risk Assessment): هي عملية تحدد وتحلل وتقيم المخاطر على أصول معلومات المؤسسة.

  • سجل التدقيق (Audit Trail): سجل زمني للأحداث والأنشطة يوفر دليلًا على الإجراءات المتخذة داخل النظام.

  • تدقيق الامتثال (Compliance Audit): فحص لمدى التزام المؤسسة بالمتطلبات التنظيمية والمعايير الصناعية.

  • التحكم في الوصول (Access Control): الإجراءات والآليات المستخدمة لتنظيم من يمكنه الوصول إلى معلومات أو أنظمة معينة.

  • تقرير التدقيق (Audit Report): وثيقة رسمية تقدم النتائج والاستنتاجات والتوصيات الناتجة عن التدقيق الأمني.

أنواع التدقيق الأمني

  • التدقيق الداخلي (Internal Audits):

    • تقييم الضوابط الداخلية والامتثال للسياسات قم بإجراء تدقيق داخلي.

  • التدقيق الخارجي (External Audits):

    • تقييم مستقل وغير متحيز لإجراءاتك الأمنية وامتثالك للمعايير الخارجية استعن بمدققين خارجيين.

  • تدقيق الامتثال (Compliance Audits):

    • التحقق من متطلبات تنظيمية أو معايير صناعية محددة مثل GDPR أو HIPAA أو PCI DSS قم بتدقيق امتثال.

  • التدقيقات الفنية (Technical Audits):

    • تقييم الجوانب التقنية للبنية التحتية لتكنولوجيا المعلومات مثل الأجهزة والبرامج وتكوينات الشبكة قم بتدقيق فني.

  • تدقيقات الشبكة (Network Audits):

    • تقييم أمن البنية التحتية لشبكتك مثل أجهزة التوجيه والمحولات وجدران الحماية قم بتدقيق للشبكة.

  • تدقيقات التطبيقات (Application Audits):

    • تقييم أمان تطبيقات البرامج مع التركيز على جودة الكود والتحقق من الإدخال وآليات المصادقة قم بتدقيق للتطبيقات.

📚 مقدمة في أساسيات التدقيق

المعلومات التي نحميها نحمي أنواعًا مختلفة من البيانات مثل:

  • البيانات الشخصية (PII): معلومات تعريفية خاصة بالأفراد مثل تاريخ الميلاد ومكان الإقامة.

  • المعلومات الصحية (PHI): السجل الطبي والأدوية التي يتناولها الشخص.

  • البيانات المالية: أرصدة الحسابات المصرفية والتحويلات.

  • الملكية الفكرية: أسرار الأعمال، الأفكار، العلامات التجارية الخاصة بالشركة.

  • أسرار وعمليات الأعمال: معلومات حساسة عن المنافسين، الأرباح، والخسائر، وعمليات الاستيراد والتصدير.

🤔 المعلومات التي نحميها مهددة من عدة أطراف:

  • المجرمون (Criminals): معروفين بسلوكهم الإجرامي.

  • المنافسون (Competitors): شركات تسعى تحصل على معلومات تنافسية.

  • التهديدات الداخلية (Insider Threats): موظفون داخل المؤسسة يمكن يستغلو صلاحياتهم وهم أخطر شي .

اذا ودكم تعرف اكثر تابع ⤵️

🏛️ المعايير واللوائح والأطر (Compliance, Standards, Frameworks, Guidelines)

💡 لماذا هي مهمة؟ لنه الأدوات حاسمة لضمان حماية البيانات والحفاظ على الثقة وتجنب العقوبات القانونية والمالية.

  • لو اتبعت هذه المعايير، بتضمن أن عملك يتوافق مع المتطلبات القانونية لنه بيعزز سمعتك ويقلل لك المخاطر.

  • لو لم تتبعها يمكن تواجه غرامات ضخمة و فقدان القدرة على العمل في مناطق معينة يعني يجيك بلوك ودعاوى قضائية. هيا لا تقول اني ما قلت لك 😉

اللوائح (Regulations) هي قوانين صادرة من الحكومات أو هيئات معينة لازم الشركات الامتثال لها.

  • PCI DSS (Payment Card Industry Data Security Standard):

    • لو كنت تتعامل مع بطاقات الائتمان على موقعك

  • HIPAA (Health Insurance Portability and Accountability Act):

    • **لو كنت تتعامل مع معلومات صحية محمية للمواطنين **

  • GDPR (General Data Protection Regulation):

    • **لو كنت تعالج بيانات شخصية لأفراد في الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية

  • CCPA (California Consumer Privacy Act):

    • لو كنت تتعامل مع بيانات سكان كاليفورنيا

  • SOX (Sarbanes-Oxley Act of 2002):

    • لو كنت شركة أمريكية تتعامل مع سجلات مالية وتقارير،

الأطر والمعايير (Frameworks & Standards)

هي مجموعات من الإرشادات و الممارسات التي تساعد الشركات على إدارة مخاطر الأمن السيبراني وتحقيق الامتثال.

  • ISO/IEC 27001 (International Organization for Standardization):

    • لو كنت تبي تطبيق نظام إدارة أمن المعلومات (ISMS) فعال عالميًا

  • COBIT (Control Objectives for Information and Related Technologies):

    • لو كنت تريد إدارة وحوكمة تكنولوجيا المعلومات بشكل عام

  • NIST SP 800-53 (National Institute of Standards and Technology):

    • لو كنت وكالة حكومية أمريكية أو تتعامل مع بيانات فيدرالية

  • CIS Controls (Center for Internet Security Controls):

    • لو كنت ترغب في مجموعة أولويات من الإجراءات الدفاعية ضد الهجمات السيبرانية الشائعة

  • CMMC (Cybersecurity Maturity Model Certification) - US DoD:

    • لو كنت جزء من القاعدة الصناعية الدفاعية الأمريكية أو تتعامل مع وزارة الدفاع الأمريكية

  • ASD Essential 8 (Australian Cyber Security Centre):

    • لو كنت تبحث عن خط أساس لمساعدة المؤسسات على حماية نفسها من التهديدات السيبرانية الشائعة،

🛠️ أدوات وتقنيات التدقيق (Tools & Techniques)

أدوات الفحص والتدقيق الآلية

  • Nmap (Network Mapper):

    • **كيف تستخدم في التدقيق **

      • بـ Nmap بتحصل على خريطة للشبكة وتحديد الأجهزة النشطة والمنافذ المفتوحة والخدمات الي تشتغل عليها.

      • تدقيق داخلي تقدر تقارن نتائج Nmap بخريطة الشركة "Shadow IT" بحيث تلاحظ أجهزة غير مصرح لها .

  • Nessus (Vulnerability Scanner):

    • وش هي ؟ تفحص الثغرات الأمنية من شركة Tenable متوفرة بإصدارات مجانية (Essentials) ومدفوعة (Professional, Enterprise).

    • **كيف تستخدم في التدقيق ** * لو شغلت Nessus على نظام مستهدف عبر IP أو اسم نطاق تمسح مسح كبير لتحديد الثغرات الأمنية المعروفة.

      • يسمح لك Nessus بتحديد نوع الفحص

      • 1- للشبكة (Basic Network Scan)

      • 2- فحص متقدم (Advanced Scan)

      • و تخصص البروتوكولات والخدمات و

      • 3- اللتطبيقات الويب (Web Application Test).

      • لو اكتشف Nessus ثغرات يعطيك تفاصيل عن الثغرة ودرجة خطورتها مثل (Critical, High, Medium, Low, Info) والحلول المقترحة (مثل التحديثات أو الترقيع) .

    • التقارير؟ مفصلة بصيغ متعددة مثل PDF أو HTML أو CSV .

إدارة الملاحظات والتقارير

  • أدوات تدوين الملاحظات (Joplin, Sublime Text, OneNote):

    • لو كنت تختبر اختراق او تدقق، فـ تدوين الملاحظات شي مهم نصحية مني .

    • بحيث تتعاون مع فريقك وتنظم المعلومات بشكل احسن

📊 التقسيم حسب المنهجية المعتمدة (Integration into Pentesting Methodology)

التدقيق أساس مهم في اختبار الاختراق ويزوده بالمعلومات والأدوات يمكن دمج مفاهيمه ضمن منهجية اختبار الاختراق على النحو التالي:

1. التخطيط والإعداد (Planning & Preparation): * الغرض: تحدد أهداف والنطاق . * لو كنت تخطط لاختبار اختراق، لازم تفهم (CIA، الدفاع في العمق، إدارة المخاطر) عشان تفهم المخاطر الي بتوجهها لو غلطت.

2. جمع المعلومات والاستكشاف (Information Gathering & Reconnaissance): * الغرض: تحدد الانشطة على الشبكة والخدمات . * جمع المعلومات استخدم Nmap لإنشاء خريطة للشبكة واكتشاف المضيفين والخدمات .

3. فحص الثغرات (Vulnerability Scanning): * الغرض: حدد الثغرات الأمنية المعروفة والتكوينات الخاطئ. * فحص الثغرات، اتستخدم Nessus لإجراء فحوصات شاملة للشبكة وتطبيقات الويب وLynis لتدقيق خوادم Linux. * يمكن أن تكشف ثغرات في الشبكة والتطبيقات (مثل SQL Injection أو XSS).

4. الاستغلال (Exploitation):

  • إثبات المخاطر:

    • الغرض: إثبات مدى قابلية استغلال الثغرات المكتشفة وتأثيرها.

    • الاستغلال استخدم الاشياء الي عرفتها من مرحلة التدقيق والفحص .

5. الاستغلال وتحليل النتائج (Post-Exploitation & Analysis):

  • تقييم التأثير:

    • الغرض: تقييم تأثير الاستغلال وتوثيقه.

    • تحلل النتائج مثل واجهة إدارية مكشوفة أو ثغرات SQL Injection .

6. إعداد التقارير (Reporting):

  • تقديم النتيجة:

    • الغرض: توفير وثيقة شاملة ومفيدة للعميل.

    • التقرير مهم ان الملخص يشرح كيف التنفيذي ومنهجية الاختبار ووصف للثغرات المكتشفة و درجة .

Previous🧪LAB 2: استغلال خادم مشاركة الملفات على Windows (Easy File Sharing Server)Next👾Fundamentals LAB

Last updated