على مدار سنوات ، كانت الطريقتان الأكثر شيوعًا للمسح الداخلي: المعتمدة على الوكيل والقائمة على الشبكة تعتبر متساوية في القيمة تقريبًا ، كل منهما تحمل قوتها الخاصة. ومع ذلك ، مع العمل عن بُعد الآن هو المعيار في معظم أماكن العمل إن لم يكن كلها ، يبدو الأمر أشبه بالمسح المستند إلى الوكيل أمر لا بد منه ، في حين أن المسح المستند إلى الشبكة يعد اختياريًا إضافيًا.

ستتعمق هذه المقالة في نقاط القوة والضعف في كل نهج ، ولكن دعنا نعيدها ثانية لأولئك الذين ليسوا متأكدين من سبب قيامهم بالمسح الداخلي في المقام الأول.

لماذا يجب عليك إجراء فحص الثغرات الأمنية الداخلية؟

بينما يمكن أن يوفر فحص الثغرات الأمنية الخارجية نظرة عامة رائعة على الشكل الذي تبدو عليه للمتسلل ، إلا أن المعلومات التي يمكن الحصول عليها دون الوصول إلى أنظمتك يمكن أن تكون محدودة. يمكن اكتشاف بعض نقاط الضعف الخطيرة في هذه المرحلة ، لذا فهي ضرورية للعديد من المؤسسات ، ولكن هذا ليس المكان الذي يتوقف فيه المتسللون.

تساهم تقنيات مثل التصيد الاحتيالي والبرامج الضارة المستهدفة وهجمات الثغرات المائية في خطر أنه حتى لو كانت الأنظمة التي تواجهك خارجيًا آمنة ، فقد يظل مجرم الإنترنت عرضة للاختراق. علاوة على ذلك ، قد يكون للنظام المواجه للخارج والذي يبدو آمنًا من منظور الصندوق الأسود نقاط ضعف خطيرة يمكن الكشف عنها من خلال فحص أعمق للنظام والبرامج التي يتم تشغيلها.

هذه هي الفجوة التي يملأها مسح الثغرات الأمنية الداخلية . توفر حماية الداخل كما لو كنت تحمي الخارج طبقة ثانية من الدفاع ، مما يجعل مؤسستك أكثر مرونة بشكل ملحوظ في مواجهة الاختراق. لهذا السبب ، يُنظر إليه أيضًا على أنه أمر لا بد منه للعديد من المنظمات.

إذا كنت تقرأ هذه المقالة ، فربما تكون على دراية بالفعل بالقيمة التي يمكن أن يجلبها المسح الداخلي ولكنك لست متأكدًا من النوع المناسب لعملك. سيساعدك هذا الدليل في بحثك.

أنواع الماسح الداخلي المختلفة

بشكل عام ، عندما يتعلق الأمر بتحديد الثغرات الأمنية وإصلاحها على شبكتك الداخلية ، هناك طريقتان متنافستان (لكن لا يستبعد أحدهما الآخر): فحص الثغرات الأمنية الداخلية المستند إلى الشبكة وفحص الثغرات الأمنية الداخلية المعتمد على الوكيل. دعنا نذهب من خلال كل واحد.

وأوضح المسح القائم على الشبكة

يعد فحص الثغرات الأمنية الداخلية المستند إلى الشبكة هو الأسلوب الأكثر تقليدية ، حيث يتم إجراء عمليات مسح داخلية للشبكة في مربع يُعرف باسم “جهاز المسح” الموجود على البنية الأساسية الخاصة بك (أو مؤخرًا على جهاز ظاهري في السحابة الداخلية الخاصة بك).

وأوضح المسح القائم على الوكيل

يعتبر فحص الثغرات الأمنية الداخلية المستند إلى الوكيل الطريقة الأكثر حداثة ، حيث يتم تشغيل “الوكلاء” على أجهزتك التي تقوم بإبلاغ الخادم المركزي.

في حين أن “المسح المصدق” يسمح لعمليات المسح المستندة إلى الشبكة بجمع مستويات مماثلة من المعلومات للمسح المستند إلى الوكيل ، لا تزال هناك مزايا وعيوب لكل نهج.

يمكن أن يؤدي تطبيق هذا بشكل سيء إلى حدوث صداع لسنوات قادمة. بالنسبة للمؤسسات التي تتطلع إلى تنفيذ عمليات فحص الثغرات الأمنية الداخلية لأول مرة ، إليك بعض الأفكار المفيدة.

ما هو الماسح الضوئي الداخلي الأفضل لعملك؟

تغطية

يكاد يكون من نافلة القول ، لكن لا يمكن تثبيت الوكلاء على كل شيء.

أجهزة مثل الطابعات ؛ أجهزة التوجيه والمفاتيح. وأي أجهزة متخصصة أخرى قد تكون لديك على شبكتك ، مثل HP Integrated Lights-Out ، وهو أمر شائع في العديد من المؤسسات الكبيرة التي تدير خوادمها الخاصة ، قد لا يكون لديها نظام تشغيل مدعوم من قبل وكيل. ومع ذلك ، سيكون لديهم عنوان IP ، مما يعني أنه يمكنك مسحهم ضوئيًا عبر ماسح ضوئي قائم على الشبكة.

هذا سيف مقنع ذو حدين. نعم ، أنت تفحص كل شيء ، والذي يبدو أفضل على الفور. ولكن ما مقدار القيمة التي تجلبها هذه النتائج الإضافية لجهودك في منع الاختراق؟ قد تكون هذه الطابعات وأجهزة HP iLO بها نقاط ضعف في كثير من الأحيان ، وبعضها فقط قد يكون خطيرًا. قد يساعدون مهاجمًا موجودًا بالفعل داخل شبكتك ، لكن هل سيساعدون الشخص في اقتحام شبكتك لتبدأ؟ على الاغلب لا.

وفي الوقت نفسه ، هل الضوضاء التي تتم إضافتها إلى نتائجك في طريق تحذيرات تشفير SSL الإضافية ، والشهادات الموقعة ذاتيًا ، والنفقات الإدارية الإضافية لإدراجها في العملية برمتها تستحق العناء؟

من الواضح أن الإجابة المرغوبة بمرور الوقت هي نعم ، قد ترغب في فحص هذه الأصول ؛ الدفاع في العمق هو مفهوم أساسي في الأمن السيبراني. لكن الأمن لا يتعلق أبدًا بالسيناريو المثالي. لا تمتلك بعض المؤسسات نفس الموارد التي يمتلكها الآخرون ، وعليها اتخاذ قرارات فعالة بناءً على حجم فريقها والميزانيات المتاحة. يمكن أن تؤدي محاولة الانتقال من مسح أي شيء إلى فحص كل شيء إلى إرباك فريق أمني يحاول تنفيذ المسح الداخلي لأول مرة ، ناهيك عن الأقسام الهندسية المسؤولة عن جهود الإصلاح.

بشكل عام ، من المنطقي النظر في فوائد فحص كل شيء مقابل عبء العمل الذي قد يستلزمه تحديد ما إذا كان ذلك مناسبًا لمؤسستك أو ، وهو الأهم ، مناسب لمؤسستك في هذا الوقت.

بالنظر إليها من زاوية مختلفة ، نعم ، يمكن للمسح المستند إلى الشبكة مسح كل شيء على شبكتك ، ولكن ماذا عن ما هو غير موجود على شبكتك؟

يتم تسليم بعض أجهزة الكمبيوتر المحمولة الخاصة بالشركة ومن ثم نادرًا ما تعود إلى المكتب ، خاصة في المؤسسات ذات المبيعات الميدانية الكبيرة أو العمليات الاستشارية. أو ماذا عن الشركات التي يعتبر العمل عن بعد هو القاعدة وليس الاستثناء؟ لن ترى عمليات الفحص المستندة إلى الشبكة إذا لم تكن على الشبكة ، ولكن مع فحص الثغرات الأمنية المستند إلى الوكيل ، يمكنك تضمين الأصول في المراقبة حتى عندما تكون خارج الموقع.

لذلك ، إذا كنت لا تستخدم المسح المستند إلى الوكيل ، فربما تمنح المهاجم الرابط الضعيف الوحيد الذي يحتاجه للوصول إلى شبكة شركتك: كمبيوتر محمول غير مصحح قد يتصفح موقع ويب ضارًا أو يفتح مرفقًا ضارًا. بالتأكيد أكثر فائدة للمهاجم من طابعة تقوم بتشغيل خدمة مع تشفير SSL ضعيف.

الفائز: المسح المستند إلى الوكيل ، لأنه سيسمح لك بتغطية أوسع وتشمل الأصول غير الموجودة على شبكتك – المفتاح بينما يتكيف العالم مع مزيج من العمل المكتبي والعمل عن بُعد.

إذا كنت تبحث عن ماسح ضوئي قائم على الوكيل لتجربته ، فإن Intruder تستخدم محرك مسح ضوئيًا رائدًا في الصناعة تستخدمه البنوك والحكومات في جميع أنحاء العالم. مع وجود أكثر من 67000 فحص محلي متاح لنقاط الضعف التاريخية ، وإضافات جديدة على أساس منتظم ، يمكنك أن تكون واثقًا من تغطيتها. يمكنك تجربة أداة فحص الثغرات الأمنية الداخلية لـ Intruder مجانًا من خلال زيارة موقع الويب الخاص بهم.

الإسناد

في شبكات IP الثابتة مثل الخادم الداخلي أو البيئات الخارجية ، يكون تحديد مكان تطبيق الإصلاحات على الثغرات الأمنية على عنوان IP معين أمرًا بسيطًا نسبيًا.

في البيئات التي يتم فيها تعيين عناوين IP ديناميكيًا ، على الرغم من (عادةً ، يتم تكوين بيئات المستخدم النهائي على هذا النحو لدعم أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) ، قد يصبح هذا مشكلة. يؤدي هذا أيضًا إلى عدم الاتساق بين التقارير الشهرية ويجعل من الصعب تتبع المقاييس في عملية الإصلاح.

يعد إعداد التقارير مكونًا رئيسيًا لمعظم برامج إدارة الثغرات الأمنية ، وسيريد منك كبار أصحاب المصلحة إثبات أن الثغرات الأمنية تتم إدارتها بشكل فعال.

تخيل إرسال تقرير إلى CISO أو مدير تكنولوجيا المعلومات لديك ، يوضح أن لديك أحد الأصول يظهر بشكل متقطع على شبكتك مع وجود نقطة ضعف خطيرة. شهر واحد هناك ، التالي ذهب ، ثم عاد مرة أخرى …

في بيئات ديناميكية مثل هذه ، فإن استخدام العوامل التي ترتبط كل منها بشكل فريد بأصل واحد يجعل من الأسهل قياس وتتبع والإبلاغ عن نشاط المعالجة الفعال دون أن تتحرك الأرض من تحت قدميك.

الفائز: المسح المستند إلى الوكيل ، لأنه سيسمح بمزيد من الفعالية في القياس والإبلاغ عن جهود الإصلاح الخاصة بك.

اكتشاف

اعتمادًا على مدى تقادم أو اتساع بيئاتك أو ما يتم طرحه على الطاولة من خلال عملية استحواذ جديدة ، قد تكون رؤيتك لما هو موجود بالفعل في شبكتك في المقام الأول جيدًا جدًا أو ضعيفًا جدًا.

تتمثل إحدى الميزات الرئيسية لمسح الثغرات الأمنية المستند إلى الشبكة في أنه يمكنك اكتشاف الأصول التي لم تكن تعلم أنها تمتلكها. لا ينبغي إغفال إدارة الأصول ، فهي مقدمة للإدارة الفعالة للضعف. لا يمكنك تأمينه إذا كنت لا تعرف أنه لديك!

على غرار المناقشة حول التغطية ، على الرغم من ذلك ، إذا كنت على استعداد لاكتشاف الأصول على شبكتك ، فيجب أن تكون أيضًا على استعداد لتخصيص الموارد للتحقيق في ماهيتها ، وتعقب أصحابها. يمكن أن يؤدي هذا إلى ملكية التنس حيث لا أحد على استعداد لتحمل المسؤولية عن الأصل ، ويتطلب الكثير من نشاط المتابعة من فريق الأمان. مرة أخرى ، يتعلق الأمر بالأولويات. نعم ، يجب القيام به ، لكن المسح هو الجزء السهل ؛ عليك أن تسأل نفسك ما إذا كنت مستعدًا أيضًا للمتابعة.

الفائز: المسح المستند إلى الشبكة ، ولكن فقط إذا كان لديك الوقت والموارد لإدارة ما يتم الكشف عنه!

تعيين

اعتمادًا على بيئتك ، سيكون جهد التنفيذ والإدارة المستمرة لعمليات الفحص المعتمدة على الشبكة المصادق عليها بشكل صحيح أكبر من جهود الفحص المستند إلى الوكيل. ومع ذلك ، يعتمد هذا بشكل كبير على عدد أنظمة التشغيل لديك مقابل مدى تعقيد بنية الشبكة الخاصة بك.

تتيح شبكات Windows البسيطة سهولة نشر الوكلاء من خلال عمليات تثبيت نهج المجموعة. وبالمثل ، لا ينبغي أن تشكل بيئة الخادم المُدارة جيدًا الكثير من التحدي.

تحدث صعوبات تثبيت الوكلاء حيث توجد مجموعة كبيرة ومتنوعة من أنظمة التشغيل تحت الإدارة ، حيث سيتطلب ذلك عملية نشر مصممة بشكل كبير. يجب أيضًا أخذ التعديلات على إجراءات التزويد في الاعتبار لضمان نشر أصول جديدة مع الوكلاء المثبتين بالفعل أو التثبيت السريع بعد توصيلهم بالإنترنت. يمكن لتقنيات تنسيق الخوادم الحديثة مثل Puppet و Chef و Ansible أن تساعدك حقًا هنا.

من ناحية أخرى ، يتطلب نشر الأجهزة القائمة على الشبكة تحليل رؤية الشبكة ، أي من موقع “هذا” في الشبكة ، هل يمكننا “رؤية” كل شيء آخر في الشبكة ، حتى يتمكن الماسح الضوئي من فحص كل شيء؟

يبدو الأمر بسيطًا بدرجة كافية ، ولكن كما هو الحال مع العديد من الأشياء في التكنولوجيا ، غالبًا ما يكون الأمر أكثر صعوبة من الناحية العملية مما هو عليه على الورق ، خاصة عند التعامل مع الشبكات القديمة أو تلك الناتجة عن نشاط الاندماج. على سبيل المثال ، ستعادل الأعداد الكبيرة من شبكات VLAN كميات كبيرة من أعمال التكوين على الماسح الضوئي.

لهذا السبب ، يعتمد تصميم بنية مسح قائمة على الشبكة على توثيق وفهم دقيق للشبكة ، والذي غالبًا ما يمثل تحديًا ، حتى بالنسبة للمؤسسات التي تتمتع بموارد جيدة. في بعض الأحيان ، يمكن أن تؤدي الأخطاء في الفهم المسبق إلى تنفيذ لا يتوافق مع الواقع ويتطلب “تصحيحات” لاحقة وإضافة أجهزة أخرى. يمكن أن تكون النتيجة النهائية في كثير من الأحيان أنه من الصعب الحفاظ على الترقيع على الرغم من أن التقديرات الأصلية تبدو بسيطة وفعالة من حيث التكلفة.

الفائز: يعتمد ذلك على بيئتك وتوافر فريق البنية التحتية.

اعمال صيانة

نظرًا للموقف الموضح في القسم السابق ، غالبًا ما تعني الاعتبارات العملية أن ينتهي بك الأمر باستخدام ماسحات ضوئية متعددة على الشبكة في مجموعة متنوعة من المواقف المادية أو المنطقية. هذا يعني أنه عند توفير أصول جديدة أو إجراء تغييرات على الشبكة ، يتعين عليك اتخاذ قرارات بشأن الماسح الضوئي الذي سيكون مسؤولاً وإجراء تغييرات على هذا الماسح. يمكن أن يضع هذا عبئًا إضافيًا على فريق الأمان المشغول. كقاعدة عامة ، ينبغي تجنب التعقيد ، حيثما لم يكن ذلك ضروريًا.

في بعض الأحيان ، لنفس الأسباب ، يجب أن تكون الأجهزة موجودة في أماكن تكون فيها الصيانة المادية مزعجة. قد يكون هذا إما مركز بيانات أو مكتبًا محليًا أو فرعًا. الماسح لا يستجيب اليوم؟ فجأة يقوم فريق SecOps باختيار القش لمن عليه أن يشمر عن سواعده وزيارة مركز البيانات.

أيضًا ، نظرًا لأنه يتم طرح أي شبكات محلية ظاهرية جديدة ، أو تغيير جدار الحماية وتغييرات التوجيه تخطيط الشبكة ، يجب أن تظل أجهزة المسح متزامنة مع أي تغييرات يتم إجراؤها.

الفائز: من الأسهل بكثير صيانة الماسحات الضوئية القائمة على الوكيل بمجرد تثبيتها.

التزامن وقابلية التوسع

في حين أن مفهوم لصق صندوق على شبكتك وتشغيل كل شيء من نقطة مركزية قد يبدو بسيطًا للغاية ، إذا كنت محظوظًا جدًا لامتلاكك مثل هذه الشبكة البسيطة (كثير منها ليس كذلك) ، فلا يزال هناك بعض الإجراءات الواقعية التي يجب مراعاتها حولها كيف هذا المقاييس.

خذ ، على سبيل المثال ، الثغرة الأمنية الأخيرة Log4shell ، التي أثرت على Log4j – أداة تسجيل تستخدم من قبل ملايين أجهزة الكمبيوتر في جميع أنحاء العالم. مع هذا الانكشاف الواسع ، من الآمن القول أن كل فريق أمني تقريبًا واجه صعوبة في تحديد ما إذا كانوا قد تأثروا أم لا.

حتى مع السيناريو المثالي لامتلاك جهاز مسح مركزي واحد ، فإن الحقيقة هي أن هذا الصندوق لا يمكنه فحص عدد كبير من الأجهزة في نفس الوقت. قد يتم تشغيل عدد من مؤشرات الترابط ، ولكن من الناحية الواقعية ، تعني قيود الطاقة ومستوى الشبكة أنك قد تنتظر عددًا من الساعات قبل أن تعود بالصورة الكاملة (أو ، في بعض الحالات ، لفترة أطول كثيرًا).

من ناحية أخرى ، فإن فحص الثغرات الأمنية المعتمد على الوكيل يوزع العبء على الأجهزة الفردية ، مما يعني أن هناك قدرًا أقل من الاختناق على الشبكة ، ويمكن الحصول على النتائج بسرعة أكبر.

هناك أيضًا حقيقة أن البنية التحتية لشبكتك قد تتوقف عن طريق المسح المتزامن لجميع أصولك عبر الشبكة. لهذا السبب ، تقصر بعض فرق هندسة الشبكات على نوافذ المسح الضوئي بعد ساعات عندما تكون أجهزة الكمبيوتر المحمولة في المنزل ويتم إيقاف تشغيل أجهزة الكمبيوتر المكتبية. قد يتم إيقاف تشغيل بيئات الاختبار لتوفير الموارد.

يقوم برنامج Intruder تلقائيًا بمسح أنظمتك الداخلية بمجرد إطلاق ثغرات أمنية جديدة ، مما يسمح لك باكتشاف الثغرات الأمنية والقضاء عليها في أنظمتك الأكثر تعرضًا بشكل سريع وفعال.

الفائز: يمكن للمسح المستند إلى الوكيل التغلب على المشكلات الشائعة التي لا تكون دائمًا واضحة مسبقًا ، بينما الاعتماد على مسح الشبكة وحده يمكن أن يؤدي إلى فجوات كبيرة في التغطية.

ملخص

مع اعتماد أي نظام أو نهج جديد ، من المفيد القيام بالأشياء بشكل تدريجي والحصول على الأساسيات قبل الانتقال إلى التحدي التالي. هذه وجهة نظر يشاركها مركز NCSC ، السلطة الرائدة في المملكة المتحدة في مجال الأمن السيبراني ، لأنه ينشر بشكل متكرر إرشادات حول الحصول على الأساسيات بشكل صحيح.

هذا لأنه ، على نطاق واسع ، فإن تطبيق 20 ٪ من الدفاعات الأساسية بشكل فعال سيوقف 80 ٪ من المهاجمين هناك. على النقيض من ذلك ، فإن التقدم إلى 80٪ من الدفاعات المتاحة ولكن تنفيذها بشكل سيئ سيعني على الأرجح أنك تكافح من أجل استبعاد سيناريو الأطفال في غرفة النوم الكلاسيكي الذي رأيناه كثيرًا في السنوات الأخيرة.

بالنسبة لتلك المؤسسات في رحلة أمن المعلومات ، والتي تتطلع إلى طرح حلول فحص الثغرات الأمنية ، إليك بعض التوصيات الإضافية:

الخطوة 1 – تأكد من فرز مسح المحيط الخاص بك باتباع نهج مستمر واستباقي. محيطك معرض للإنترنت على مدار الساعة طوال أيام الأسبوع ، وبالتالي لا يوجد عذر للمنظمات التي تفشل في الاستجابة بسرعة لنقاط الضعف الحرجة هنا.

الخطوة 2 – بعد ذلك ، ركز على بيئة المستخدم الخاصة بك. ثاني أكثر الطرق تافهًا إلى شبكتك هو البريد الإلكتروني المخادع أو التنزيل من محرك الأقراص الذي يصيب محطة عمل المستخدم ، لأن هذا لا يتطلب وصولًا ماديًا إلى أي من مواقعك. نظرًا لأن العمل عن بُعد هو المعيار الجديد ، يجب أن تكون قادرًا على مراقبة جميع أجهزة الكمبيوتر المحمولة والأجهزة ، أينما كانت. من المناقشة أعلاه ، من الواضح إلى حد ما أن الوكلاء لهم اليد العليا في هذا القسم.

الخطوة 3 – ستكون الخوادم الداخلية والمحولات والبنية التحتية الأخرى هي خط الدفاع الثالث ، وهذا هو المكان الذي يمكن أن تحدث فيه عمليات الفحص القائمة على أجهزة الشبكة الداخلية فرقًا. يمكن أن تساعد الثغرات الأمنية الداخلية مثل هذا المهاجمين في رفع امتيازاتهم والتنقل داخل شبكتك ، ولكن لن يكون الأمر كذلك في كيفية دخولهم ، لذلك من المنطقي التركيز هنا أخيرًا.

نأمل أن تلقي هذه المقالة بعض الضوء على ما لم يكن قرارًا تافهًا أبدًا ويمكن أن يتسبب في نقاط ألم دائمة للمؤسسات ذات التطبيقات غير المناسبة. هناك إيجابيات وسلبيات ، كما هو الحال دائمًا ، لا يوجد مقاس واحد يناسب الجميع ، وهناك الكثير من فتحات الأرانب التي يجب تجنبها. ولكن ، من خلال النظر في السيناريوهات المذكورة أعلاه ، يجب أن تكون قادرًا على التعرف على ما هو مناسب لمؤسستك.