تهديدات ونقاط ضعف وثغرات - يا إلهي!

يساء فهم بعض العناصر الأمنية الأكثر شيوعاً أو تستخدم كما لو أنها مترادفة. وترتبط بعض هذه المصطلحات الأمنية ارتباطاً وثيقاً حيث تستحق فحص هذه سوياً. وسننظر اليوم إلى مصطلحات عدة ذات صلة - التهديد ونقاط الضعف والثغرة - وتعلم كيف يستخدم الأخصائيين الأمنيين هذه المصطلحات لتقييم أو تحديد المخاطر

وتذكر أن الهدف: حماية الأصول

يكمن السبب في تنفيذنا التدابير الأمنية لحماية الأصول. وتعتبر الأصول أي شيء نحدد إحتوائه على قيمة. فقط تكون قيمة الأصول شيئاً ملموساً؛ على سبيل المثال، يعد كل من الذهب والمجوهرات أصولاً ملموسة، وكذلك الناس. كما وتعتبر قاعدة البيانات والخادم الذي يستضيف قاعدة البيانات تلك والشبكة التي توفر اتصال بالخادم في شركات شبكات اتصال الشركة أصولاً ملموسة. وتحتوي الأصول الأخرى - معلومات الشركة الحساسة أو الشخصية أو السمعة- على قيم غير ملموسة إلا أنها ليست أقل أهمية.

التهديدات وجهات التهديد

ينظر الأمان في عدة أنواع من التهديدات. قد يكون التهديد نية صريحة أو واضحة لإيذاء أحد الأصول أو التسبب في عدم توفرها. وتعتبر التصرفات العدائية التي تستهدف الأصل تهديدات، بغض النظر عن دوافعها. كما وتعتبر الظواهر الطبيعية من أخطاء الإنسان أو الإهمال تهديدات أيضاً. وقد يتسبب كل من هذين التهديدين بتعطيل خدمة شبكة الإنترنت أو البريد الإلكتروني، أو فقدان معلومات حساسة أو الكشف الغير مقصود عنها وفي شركات التسويق عبر الإنترنت الناشئة، حيث تهدف كل منها إلى تشكيل تهديد بإيذاء الإنسان. حيث أن تحديد التهديدات أمر مهم إلا أنه جانب في غاية التعقيد من إدارة الأمان.

ولا بد من الشخص أو الشيء أن يظهر أو يشكل تهديداً. وبالتالي هذه هي جهات التهديد. وقد تكون بعض جهات التهديد مهاجمون أفراد أو جهات حكومية. ومن الممكن أن يشكل الموظفون الساخطون أو الماهرون أو المنهكون تهديداً على أصول المنظمة ولا بد من إدارة الأمان النظر في كل هذه.

نقاط الضعف

نقطة الضعف عبارة عن خلل في التدابير التي تتخذها لتأمين الأصول. وهذا تعريف أعم من التعريف التقليدي، والذي ينظر فقط في الخلل أو نقاط الضعف في الأنظمة أو الشبكات (راجع RFC 2828). حيث تلحق نقاط الضعف ضرراً بأصول منظمتك. وتتواجد في أنظمة التشغيل أو التطبيقات أو المعدات التي تستخدمها. على سبيل المثال، في حال لم تقم بتشغيل برامج مكافحة الفيروسات ومكافحة البرامج الضارة، فإن كمبيوترك المحمول أو الجهاز الجوال معرض للفيروسات. وعلى نحو مماثل، إذا فشلت في تحديث أنظمة التشغيل لديك أو برامج التطبيق بشكل روتيني، ستبقى عرضة لمشاكل البرمجيات ("خلل") والتي تم تحديدها وتصحيحها. (وتدعى هذه الجهود الأمنية تخفيف الضعف أو الحد من الضعف.)

وقد تشكل طريقة تهيئة برمجياتك والمعدات وكذلك البريد الإلكتروني أو حسابات وسائل التواصل الإجتماعي نقاط ضعف كذلك. وقد تؤثر كيفية إدارتك لإعدادات الخصوصية مثلاً فيما إذا تمت مشاركة معلومات ما قبل النشر تتعلق بالمنتج الذي تهدف إلى مشاركته فقط مع زملائك في العمل علناً بدلاً من ذلك.

وقد تشكل سلوكيات المستخدم فرصاً للمهاجمين وبالتالي تعتبر نقاط ضعف أيضاً. وقد يصبح مدير النظام الذي يتصفح الشبكة من حساب مدير في محيط عمل الشركة ضحيةً التعرض لـ "تشغيل" البرمجيات الخبيثة. وقد يشكل هذا السلوك نقطة ضعف لم ينظر بها في تعريف RFC 2828 إلا ليست أقل شأناً من الخلل في البرمجيات في الإنترنت اليوم.

وأخيراً، وكما ناقشنا في fلمدونة الأولى للتوعية بالأمان, الخاصة بنا، فإن الأفراد معرضين للهندسة الاجتماعية. وتثبت نقطة الضعف هذه بكونها الأكثر هولاً لتخفيفها. وتحقق زيادة التوعية بالامان في النهاية اعترافاً باعتبارها عنصر مهم لتخفيف الضعف.

الثغرات

يستخدم مصطلح الثغرات عادةً لوصف برنامج برمجيات تم تطويره للهجوم على إحدى الأصول باستغلال الضعف. ويكمن الهدف من ثغرات عدة للسيطرة على الأصول. على سبيل المثال، قد تزود الثغرة الناجحة في ضعف قاعدة البيانات المهاجم بوسائل لتجميع أو استخراج كافة السجلات من قاعدة البيانات تلك. ويدعى استخدام الثغرات الناجح في هذا النوع باختراق البيانات. كما ويتم تطوير الثغرات لمهاجمة ضعف نظام تشغيل أو تطبيق ما للحصول على مزايا إدارية أو "تشغيل" عن بعد على كمبيوتر محمول أو خادم. (وهذا هو الهدف المشترك في البرمجيات الضارة، والتي سنحللها في نشرة مستقبلية.)

لا تشتمل كافة الثغرات على برمجيات، ومن غير الصحيح تصنيف كافة الهجمات القائمة على الثغرة بأنها قرصنة. تعتبر عمليات الاحتيال - هندسة الفرد أو الموظف اجتماعياً في الكشف عن المعلومات الشخصية أو الحساسة - نوع قديم من الثغرات التي لا تتطلب مهارات القرصنة.

المخاطر

ستجد تعريفات عدة لدى بحثك عن مصطلح المخاطر. أما التعريف الذي أراه الأبسط لفهمه هو "إحتمالية فقدان أو الإضرار أو إتلاف احد الأصول كنتيجة لتهديد باستغلال نقطة ضعف " [TAG]. ويربط هذا المصطلح الذي راجعناه - الأصول، التهديد، الضعف، الثغرة - سوياً بشكل مرتب للغاية. وتحدد في الممارسة العملية بالنسبة لكل أصل مجموعة من التهديدات التي تضر بالأصول. ومن ثم تعرف نقاط الضعف التي قد يستغلها جهات التهديد للإضرار بذلك الأصل. وهذا هو الجزء البسيط بشكل ملحوظ. ويظهر الجزء المحير عندما تبحث عن تخفيفها. يعتبر القضاء على كافة التهديدات - وبالتالي عدم وجود مخاطر - أمر صعب المنال، بما أنه ستتواجد درجة من المخاطر دوماً. وتكمن الحكمة السائدة لتحديد تكلفة تخفيف المخاطر مقابل الفوائد. ويعرف هذا الجهد من الناحية النظرية كمية المخاطر التي يجب أن تتساهل بها في ضوء ما تستعد لدفعه. أما من الناحية العملية، فإنها تثبت تحدياً أكبر في عصر الإنترنت أكثر من ذي قبل.