منهجية تقييم المخاطر CIS RAM v2.1
مرجع شامل لمنهجية CIS RAM المبنية على تحليل مخاطر واجب الرعاية (DoCRA).
محتويات الصفحة
نظرة عامة
CIS RAM هي منهجية لتقييم المخاطر تساعد المؤسسات على تنفيذ ضوابط الأمان الحرجة CIS Controls بطريقة مستنيرة ببيئة المخاطر الخاصة بالمؤسسة. توفر نهجاً منظماً لتقييم مخاطر الأمن السيبراني واختيار الضمانات المناسبة بناءً على مبدأ تحليل مخاطر واجب الرعاية (DoCRA).
أساس DoCRA
تم بناء CIS RAM على معيار DoCRA (تحليل مخاطر واجب الرعاية)، الذي يُرسي أن المؤسسات عليها واجب الحماية من التهديدات المتوقعة بشكل معقول وأن الضمانات يجب أن تكون متناسبة مع المخاطر التي تعالجها. تم تقنين DoCRA في CIS Controls ومعترف به من قبل الجهات التنظيمية والمحاكم كمعيار رعاية معقول.
إصدارات CIS RAM حسب مجموعة التطبيق
CIS RAM لـ IG1
تقييم مخاطر مبسط للمؤسسات التي تنفذ IG1 (النظافة السيبرانية الأساسية). يستخدم مقياس تأثير واحتمالية من 3 نقاط. مناسب للمؤسسات الصغيرة والمتوسطة ذات الموارد المحدودة في مجال الأمن السيبراني.
CIS RAM لـ IG2
تقييم مخاطر متوسط للمؤسسات التي تنفذ IG2 (المؤسسة المُدارة المخاطر). يستخدم مقياس تأثير واحتمالية من 5 نقاط مع تحليل أكثر تفصيلاً. مناسب للمؤسسات ذات الموارد المعتدلة في مجال الأمن السيبراني ومتطلبات الامتثال.
CIS RAM لـ IG3
تقييم مخاطر شامل للمؤسسات التي تنفذ IG3 (الأمن الشامل). يستخدم مقياس تأثير واحتمالية من 5 نقاط مع التحليل الأكثر تفصيلاً بما في ذلك نمذجة التهديدات المتقدمة. مناسب للمؤسسات ذات الموارد الكبيرة في مجال الأمن السيبراني التي تدير بيانات حساسة أو بنية تحتية حرجة.
3 مبادئ أساسية
يجب أن يأخذ تحليل المخاطر في الاعتبار بشكل معقول جميع الأطراف المعنية التي قد تتضرر
يجب ألا تأخذ تقييمات المخاطر في الاعتبار مصالح المؤسسة فحسب، بل أيضاً مصالح العملاء والشركاء والموظفين والجهات التنظيمية والجمهور العام الذين قد يتأثرون بحادث أمني. يضمن هذا المبدأ أن يكون تحليل المخاطر شاملاً ويراعي النطاق الكامل للضرر المحتمل.
النقاط الرئيسية
- تحديد جميع الأطراف التي قد تتأثر بفشل أمني
- مراعاة التأثير على العملاء والشركاء والموظفين والجمهور
- يجب مراعاة الالتزامات التنظيمية والقانونية تجاه الأطراف الثالثة
- لا يمكن للمؤسسة ببساطة قبول المخاطر نيابة عن الآخرين دون موافقتهم
- تحدد اتفاقيات شركاء الأعمال والالتزامات التعاقدية مسؤوليات المخاطر المشتركة
أمثلة
- يجب على مؤسسة رعاية صحية مراعاة المرضى عند تقييم المخاطر على السجلات الصحية الإلكترونية
- يجب على مؤسسة مالية مراعاة أصحاب الحسابات عند تقييم المخاطر على الأنظمة المصرفية
- يجب على مزود خدمات سحابية مراعاة عملائه عند تقييم المخاطر على بنيته التحتية
يجب تقليل المخاطر إلى مستوى لا يمكن لأي جهة أن تصفه بالإهمال
يجب على المؤسسات تقليل المخاطر إلى مستوى تعتبره جهة معقولة (محكمة، جهة تنظيمية، هيئة صناعية) كافياً. هذا لا يعني القضاء على جميع المخاطر، بل إثبات أنه تم اتخاذ تدابير معقولة ومتناسبة. المعيار هو المعقولية وليس الكمال.
النقاط الرئيسية
- ينطبق معيار 'الشخص المعقول' على قرارات الأمن السيبراني
- تساعد المعايير والأطر الصناعية (مثل CIS Controls) في تحديد ما هو معقول
- توثيق قرارات المخاطر أمر ضروري لإثبات العناية الواجبة
- يجب تبرير قبول المخاطر وتوثيقه بمبررات واضحة
- قد لا يكون الامتثال للوائح وحده كافياً -- التقليل الفعلي للمخاطر هو ما يهم
أمثلة
- يُظهر تنفيذ ضمانات IG1 العناية الواجبة الأساسية لأي مؤسسة
- قد يُعتبر عدم تصحيح الثغرات الحرجة المعروفة خلال إطار زمني معقول إهمالاً
- من المرجح أن يُنظر إلى عدم وجود ضوابط وصول أساسية على أنظمة البيانات الحساسة على أنه غير معقول
يجب ألا تكون الضمانات أكثر عبئاً من المخاطر التي تحمي منها
يجب أن تكون تكلفة وعبء تنفيذ الضمانات الأمنية متناسبة مع المخاطر التي تعالجها. يمكن أن يكون الإفراط في التأمين مشكلة بقدر نقص التأمين، حيث يمكن للضمانات المفرطة أن تعيق العمليات التجارية وتهدر الموارد وتخلق مخاطرها الخاصة. يضمن هذا المبدأ أمناً متوازناً وعملياً.
النقاط الرئيسية
- تشمل تكاليف الضمانات العوامل المالية والتشغيلية والبشرية
- يلتقط مفهوم 'مخاطر الضمانات' العبء الذي تخلقه الضمانة
- إذا خلقت الضمانة اضطراباً أكبر من المخاطر التي تعالجها، فقد لا تكون مناسبة
- يمنع هذا المبدأ 'المسرح الأمني' -- التدابير التي تبدو جيدة لكنها تضيف عبئاً دون فائدة متناسبة
- يجب على المؤسسات البحث عن الضمانة الفعالة الأقل عبئاً
أمثلة
- طلب MFA لجميع الأنظمة متناسب؛ طلب رموز أجهزة لكشك غرفة الاستراحة قد لا يكون كذلك
- تشفير القرص الكامل لأجهزة الحاسوب المحمولة التي تتعامل مع بيانات حساسة متناسب مع خطر سرقة الجهاز
- حظر جميع أجهزة USB قد يكون غير متناسب إذا لم تتعامل المؤسسة مع بيانات سرية للغاية
10 ممارسات
فهم رسالة المؤسسة وأهدافها التجارية والتزاماتها القانونية والتعاقدية وتحملها للمخاطر قبل بدء التقييم. يضمن هذا أن يكون تحليل المخاطر مرتكزاً على السياق الفعلي للمؤسسة.
الأنشطة
- 1. مراجعة بيان رسالة المؤسسة وأهدافها الاستراتيجية
- 2. تحديد متطلبات الامتثال القانونية والتنظيمية والتعاقدية
- 3. فهم أطر إدارة المخاطر وهياكل الحوكمة الحالية
- 4. إجراء مقابلات مع أصحاب المصلحة الرئيسيين لفهم أولويات الأعمال والقابلية للمخاطر
- 5. توثيق حدود تحمل المخاطر في المؤسسة
إنشاء صورة شاملة عن الوضع الأمني الحالي للمؤسسة من خلال فهم أصولها وتهديداتها وثغراتها وضوابطها الحالية. يعمل هذا النموذج كخط أساس لتقييم المخاطر.
الأنشطة
- 1. جرد أصول المؤسسة وتدفقات البيانات
- 2. تحديد مصادر التهديد ذات الصلة بالمؤسسة
- 3. تقييم التنفيذ الحالي لضمانات CIS Controls
- 4. ربط الأصول بالضمانات التي تحميها
- 5. توثيق القدرات الأمنية الحالية والفجوات
تحديد حدود ومجالات تركيز تقييم المخاطر. يضمن هذا أن يكون التقييم قابلاً للإدارة ومركزاً على المجالات الأكثر أهمية.
الأنشطة
- 1. تحديد مجموعة تنفيذ CIS Controls (IG) المنطبقة
- 2. تحديد الأنظمة والعمليات والبيانات المشمولة في النطاق
- 3. تحديد الوحدات التنظيمية والمواقع الجغرافية المشمولة في النطاق
- 4. توثيق أي استثناءات ومبررات استبعادها
- 5. ترتيب أولويات مجالات التقييم بناءً على أهمية الأعمال
تحديد مصادر التهديد الواقعية وتطوير معايير لتقييم تأثير الحوادث الأمنية على رسالة المؤسسة وعملياتها وشؤونها المالية والتزاماتها القانونية.
الأنشطة
- 1. تحديد مصادر التهديد (إجرامية، دول قومية، داخلية، عرضية، بيئية)
- 2. تطوير معايير التأثير عبر أربعة أبعاد: الرسالة، التشغيل، المالية، الالتزامات
- 3. معايرة مقاييس التأثير وفقاً لسياق المؤسسة ومستوى IG
- 4. تحديد حدود التسجيل مع أمثلة محددة ذات صلة بالمؤسسة
- 5. التحقق من معايير التأثير مع القيادة التنفيذية
وضع معايير لتقدير المخاطر الكامنة -- المخاطر الموجودة قبل تطبيق الضمانات. يساعد هذا في تحديد أولويات المخاطر التي تحتاج إلى أكبر قدر من الاهتمام.
الأنشطة
- 1. تحديد مقاييس الاحتمالية بناءً على استخبارات التهديدات وتاريخ الحوادث
- 2. استخدام مؤشر VCDB (قاعدة بيانات مجتمع VERIS) كمرجع لتقدير الاحتمالية
- 3. ربط المخاطر الكامنة بسيناريوهات بدون تنفيذ CIS Controls
- 4. حساب درجات المخاطر الكامنة باستخدام صيغة التوقع × التأثير
- 5. توثيق أساس كل تقدير للمخاطر الكامنة
تطبيق المعايير المطورة لتقييم المخاطر الكامنة لكل مجال ضمانة في النطاق. يوفر هذا رؤية مرتبة حسب الأولوية لأماكن المخاطر غير المعالجة الأكبر التي تواجهها المؤسسة.
الأنشطة
- 1. تسجيل كل مجال ضمانة لاحتمالية الاستغلال إذا كان غير محمي
- 2. تسجيل كل مجال ضمانة للتأثير عبر أبعاد التأثير الأربعة
- 3. حساب درجات المخاطر الكامنة (التوقع × أعلى درجة تأثير)
- 4. تصنيف المخاطر كمقبولة أو غير مقبولة أو عالية
- 5. توثيق مبرر كل تصنيف للمخاطر
بناءً على تقييم المخاطر الكامنة، التوصية بضمانات CIS Controls محددة من شأنها تقليل المخاطر غير المقبولة إلى مستويات مقبولة.
الأنشطة
- 1. ربط المخاطر الكامنة غير المقبولة والعالية بضمانات CIS المناسبة
- 2. ترتيب أولويات الضمانات بناءً على إمكانية تقليل المخاطر
- 3. مراعاة مستوى IG للمؤسسة عند اختيار الضمانات
- 4. توثيق تقليل المخاطر المتوقع من كل ضمانة موصى بها
- 5. تحديد تبعيات تنفيذ الضمانات وتسلسلها
تقييم ما إذا كانت الضمانات الموصى بها تخلق مخاطرها الخاصة أو أعباءً قد تكون غير متناسبة. ينفذ هذا المبدأ الثالث من CIS RAM.
الأنشطة
- 1. تقييم التكلفة المالية لتنفيذ كل ضمانة
- 2. تقييم التأثير التشغيلي (الإنتاجية، تغييرات سير العمل، الاحتكاك مع المستخدمين)
- 3. مراعاة التعقيد التقني وعبء الصيانة
- 4. تقييم ما إذا كانت الضمانة قد تخلق ثغرات جديدة
- 5. مقارنة عبء الضمانة مقابل المخاطر التي تخففها
بعد تطبيق الضمانات الموصى بها، تقييم المخاطر المتبقية للتأكد من أنها انخفضت إلى مستوى مقبول.
الأنشطة
- 1. إعادة حساب درجات المخاطر مع وجود الضمانات الموصى بها
- 2. التحقق من أن المخاطر المتبقية تقع ضمن الحدود المقبولة
- 3. تحديد أي مخاطر متبقية غير مقبولة تتطلب معالجة إضافية
- 4. توثيق قرارات قبول المخاطر لأي مخاطر متبقية فوق الحد
- 5. الحصول على موافقة تنفيذية على قبول المخاطر المتبقية
تطوير وتنفيذ خطط معالجة المخاطر لجميع المخاطر المحددة، بما في ذلك الجداول الزمنية للتنفيذ والأطراف المسؤولة ومقاييس النجاح.
الأنشطة
- 1. إنشاء خطط معالجة المخاطر لكل خطر غير مقبول
- 2. تعيين المالكين والمواعيد النهائية لتنفيذ الضمانات
- 3. تحديد مقاييس النجاح ومعايير التحقق
- 4. إنشاء إيقاع مراقبة ومراجعة لتقدم معالجة المخاطر
- 5. توثيق القبول الرسمي للمخاطر لأي مخاطر لا يمكن تقليلها أكثر
عملية تقييم المخاطر
أنشطة تقييم المخاطر في CIS RAM: خمسة أنشطة رئيسية تشكل تقييم مخاطر CIS RAM.
تطوير معايير التأثير
إنشاء معايير خاصة بالمؤسسة لقياس تأثير الحوادث الأمنية عبر أربعة أبعاد.
الرسالة
التأثير على قدرة المؤسسة على تحقيق رسالتها أو هدفها الأساسي. بالنسبة للكيانات التجارية، هذا هو القدرة على تقديم المنتجات/الخدمات. بالنسبة للحكومة، هذا هو القدرة على خدمة المواطنين.
مقياس IG1 (1-3)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | منخفض | اضطراب طفيف في الرسالة؛ قابل للاسترداد بسهولة ضمن العمليات العادية |
| 2 | متوسط | اضطراب ملحوظ في الرسالة؛ يتطلب جهداً مخصصاً للاسترداد |
| 3 | عالٍ | اضطراب شديد في الرسالة؛ قد يهدد استمرارية المؤسسة |
مقياس IG2/IG3 (1-5)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | ضئيل | لا تأثير ملموس على تنفيذ الرسالة |
| 2 | منخفض | اضطراب طفيف وقصير المدى لبعض وظائف الرسالة |
| 3 | متوسط | اضطراب كبير في وظائف الرسالة؛ يتطلب الاسترداد أياماً |
| 4 | عالٍ | اضطراب كبير في معظم وظائف الرسالة؛ يتطلب الاسترداد أسابيع |
| 5 | حرج | فقدان كامل لقدرة الرسالة؛ قد يهدد بقاء المؤسسة |
الأهداف التشغيلية
التأثير على العمليات التجارية اليومية والإنتاجية وتقديم الخدمات. يشمل ذلك العمليات الداخلية والخدمات الموجهة للعملاء وتفاعلات سلسلة التوريد.
مقياس IG1 (1-3)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | منخفض | تستمر العمليات مع إزعاج طفيف |
| 2 | متوسط | تتدهور العمليات؛ تحتاج إلى حلول بديلة لأيام |
| 3 | عالٍ | تتوقف العمليات أو تتدهور بشدة لفترة ممتدة |
مقياس IG2/IG3 (1-5)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | ضئيل | لا تأثير على العمليات |
| 2 | منخفض | اضطراب تشغيلي طفيف؛ يُحل خلال ساعات |
| 3 | متوسط | تأثير تشغيلي ملحوظ؛ يُحل خلال أيام |
| 4 | عالٍ | اضطراب تشغيلي كبير؛ يُحل خلال أسابيع |
| 5 | حرج | فشل تشغيلي كامل؛ جدول زمني ممتد للاسترداد |
الأهداف المالية
التأثير المالي المباشر وغير المباشر بما في ذلك خسائر الإيرادات وتكاليف المعالجة والرسوم القانونية والغرامات التنظيمية والأضرار التي تلحق بالسمعة وتؤدي إلى خسارة العملاء.
مقياس IG1 (1-3)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | منخفض | تأثير مالي يمكن استيعابه بسهولة؛ أقل من 1% من الإيرادات السنوية |
| 2 | متوسط | تأثير مالي كبير؛ 1-5% من الإيرادات السنوية |
| 3 | عالٍ | تأثير مالي شديد؛ أكثر من 5% من الإيرادات السنوية أو يهدد الملاءة المالية |
مقياس IG2/IG3 (1-5)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | ضئيل | تأثير مالي ضئيل؛ ضمن التباين التشغيلي العادي |
| 2 | منخفض | تأثير مالي طفيف؛ أقل من 1% من الإيرادات السنوية |
| 3 | متوسط | تأثير مالي جوهري؛ 1-3% من الإيرادات السنوية |
| 4 | عالٍ | تأثير مالي كبير؛ 3-10% من الإيرادات السنوية |
| 5 | حرج | تأثير مالي وجودي؛ أكثر من 10% من الإيرادات السنوية |
الالتزامات
التأثير على الامتثال التنظيمي والالتزامات التعاقدية والالتزامات القانونية ومسؤوليات واجب الرعاية. يشمل الالتزامات تجاه العملاء والشركاء والجهات التنظيمية والجمهور.
مقياس IG1 (1-3)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | منخفض | فجوة امتثال طفيفة؛ يتم الإبلاغ عنها ذاتياً مع عواقب ضئيلة |
| 2 | متوسط | إشعار تنظيمي أو خرق تعاقدي؛ من المحتمل فرض غرامات أو عقوبات |
| 3 | عالٍ | إجراء تنظيمي كبير أو تقاضٍ أو فقدان ترخيص التشغيل |
مقياس IG2/IG3 (1-5)
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | ضئيل | لا تأثير على الامتثال |
| 2 | منخفض | فجوة امتثال طفيفة؛ قابلة للتصحيح من خلال الإبلاغ الذاتي |
| 3 | متوسط | استفسار تنظيمي أو نتيجة تدقيق؛ غرامات محتملة |
| 4 | عالٍ | إجراء تنظيمي رسمي؛ غرامات أو عقوبات كبيرة |
| 5 | حرج | فقدان الترخيص أو مسؤولية جنائية أو دعوى قضائية جماعية |
تقدير معايير المخاطر الكامنة
تحديد احتمالية وتأثير التهديدات عندما لا تكون هناك ضمانات CIS Controls مطبقة.
يستخدم CIS RAM مؤشر قاعدة بيانات مجتمع VERIS (VCDB) كنقطة مرجعية لتقدير احتمالية استغلال التهديد لنظام غير محمي. تحتوي VCDB على آلاف الحوادث الأمنية الواقعية، مما يوفر أساساً تجريبياً لتقدير الاحتمالية.
حساب التوقع
يمثل التوقع مكون الاحتمالية في درجة المخاطر في CIS RAM. يُشتق من عاملين: مؤشر VCDB (تكرار الحوادث المماثلة في العالم الحقيقي) ودرجة النضج (نضج التنفيذ الحالي للمؤسسة للضمانة ذات الصلة).
التوقع = درجة_مؤشر_VCDB معدلة بواسطة درجة_النضج
درجات مؤشر VCDB لـ IG1
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | منخفض | نوع الحادث نادراً ما يُرى في VCDB لمؤسسات مماثلة |
| 2 | متوسط | نوع الحادث يُرى أحياناً في VCDB لمؤسسات مماثلة |
| 3 | عالٍ | نوع الحادث يُرى بشكل متكرر في VCDB لمؤسسات مماثلة |
درجات مؤشر VCDB لـ IG2/IG3
| الدرجة | التسمية | الوصف |
|---|---|---|
| 1 | منخفض جداً | أقل من 1% من حوادث VCDB لمؤسسات مماثلة |
| 2 | منخفض | 1-10% من حوادث VCDB لمؤسسات مماثلة |
| 3 | متوسط | 10-30% من حوادث VCDB لمؤسسات مماثلة |
| 4 | عالٍ | 30-60% من حوادث VCDB لمؤسسات مماثلة |
| 5 | عالٍ جداً | أكثر من 60% من حوادث VCDB لمؤسسات مماثلة |
تقييم المخاطر
حساب درجات المخاطر من خلال الجمع بين التوقع والتأثير، ثم تصنيف المخاطر حسب مستوى الشدة.
درجة المخاطر = التوقع × أعلى درجة تأثير (عبر الأبعاد الأربعة)
مصفوفة مخاطر IG1 (3x3)
| Expectancy \ Impact | 1 (Low) | 2 (Moderate) | 3 (High) |
|---|---|---|---|
| 1 (Low) | 1 | 2 | 3 |
| 2 (Moderate) | 2 | 4 | 6 |
| 3 (High) | 3 | 6 | 9 |
مصفوفة مخاطر IG2/IG3 (5x5)
| Expectancy \ Impact | 1 | 2 | 3 | 4 | 5 |
|---|---|---|---|---|---|
| 1 | 1 | 2 | 3 | 4 | 5 |
| 2 | 2 | 4 | 6 | 8 | 10 |
| 3 | 3 | 6 | 9 | 12 | 15 |
| 4 | 4 | 8 | 12 | 16 | 20 |
| 5 | 5 | 10 | 15 | 20 | 25 |
التوصية بالضمانات
لكل خطر غير مقبول أو عالٍ، التوصية بضمانات CIS Controls محددة من شأنها تقليل المخاطر إلى مستوى مقبول. يجب أن يراعي اختيار الضمانات مستوى IG للمؤسسة والقدرات الحالية وجدوى التنفيذ.
- البدء بالضمانات في مستوى IG المستهدف للمؤسسة
- ترتيب أولويات الضمانات التي تعالج أعلى المخاطر أولاً
- مراعاة تبعيات الضمانات (بعض الضمانات تبنى على أخرى)
- تقييم ما إذا كان التنفيذ الجزئي يوفر تقليلاً ملموساً للمخاطر
- توثيق تقليل المخاطر المتوقع لكل ضمانة موصى بها
تقييم الضمانات الموصى بها
تقييم ما إذا كانت الضمانات الموصى بها نفسها تخلق عبئاً أو مخاطر غير مقبولة (مخاطر الضمانات). ينفذ هذا المبدأ الثالث من CIS RAM: يجب ألا تكون الضمانات أكثر عبئاً من المخاطر التي تحمي منها.
عوامل مخاطر الإجراءات الوقائية
التكلفة المالية
التكلفة الإجمالية للملكية بما في ذلك الشراء والنشر والتدريب والصيانة المستمرة
التأثير التشغيلي
التأثير على الإنتاجية وتجربة المستخدم وكفاءة سير العمل ومرونة الأعمال
التعقيد التقني
صعوبة التنفيذ وتحديات التكامل وعبء الصيانة التقنية المستمرة
التغيير التنظيمي
التغييرات المطلوبة في العمليات والثقافة والتوظيف والهيكل التنظيمي
الثغرات الجديدة
ما إذا كانت الضمانة نفسها تُدخل أسطح هجوم جديدة أو أنماط فشل
التهديدات والثغرات حسب الضابط
تتطلب تقييمات مخاطر CIS RAM تحديد التهديدات والثغرات لكل ضابط. فيما يلي ملخص مجمع للتهديدات والثغرات عبر جميع الإجراءات الوقائية لكل ضابط من الضوابط الـ 18. انقر على الإجراءات الوقائية الفردية للتهديدات وتوصيات الأدوات الخاصة بها.
سيناريوهات التهديد
يخترق المهاجمون أجهزة غير مُتتبعة متصلة بالشبكة وغير مرئية لأدوات الأمان، ويستخدمونها كنقاط ارتكاز دائمة للتنقل الأفقي.
تبقى الثغرات الحرجة دون تصحيح على الأجهزة غير المدرجة في سجل الأصول، مما يسمح لبرامج الفدية أو الديدان بالانتشار عبر نقاط النهاية غير المُدارة.
توجد بيانات حساسة على أصول غير مسجلة في السجل، مما يؤدي إلى كشف معلومات التعريف الشخصية والمعلومات الصحية المحمية غير المحمية أثناء الاختراق وفرض عقوبات تنظيمية.
يقوم مهاجم أو شخص من الداخل بتوصيل جهاز غير مصرح به (مثل نقطة وصول لاسلكية مارقة أو جهاز متصل عبر USB) بشبكة المؤسسة لاعتراض حركة المرور أو إنشاء باب خلفي.
تبقى أجهزة إنترنت الأشياء غير المصرح بها ذات بيانات الاعتماد الافتراضية على الشبكة إلى أجل غير مسمى، مما يوفر نواقل هجوم مستمرة تتجاوز ضوابط أمان نقاط النهاية.
تتصل الأجهزة الشخصية غير المُدارة والمصابة بالبرمجيات الخبيثة بشبكة المؤسسة دون حجر أو مراجعة، مما ينشر العدوى إلى أنظمة الإنتاج.
بدون الفحص النشط، تبقى الأجهزة التي يتحكم بها المهاجمون أو المضيفات المخترقة غير مرئية على الشبكة، مما يمكّن حملات تسريب البيانات طويلة الأمد.
تسمح الأصول التي تربط قطاعات الشبكة ولكن لا يتم اكتشافها بواسطة الأدوات النشطة للمهاجمين بالتنقل بين المناطق التي يجب أن تكون معزولة.
...و 4 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون سجل أصول مفصل، لا تستطيع المؤسسة تحديد النطاق الكامل للأجهزة التي تخزن أو تعالج البيانات، مما يترك نقاطاً عمياء في التغطية الأمنية.
يعني غياب سجل محدث أن الأصول التي تم إيقافها أو نقلها أو إعادة تخصيصها لا يتم تتبعها، مما يخلق تناقضات بين الحالة المفترضة والفعلية للشبكة.
عند حدوث اختراق، لا يستطيع المستجيبون تحديد جميع الأصول المتأثرة المحتملة بسرعة، مما يطيل وقت البقاء ويزيد من نطاق تأثير الحوادث.
بدون عملية محددة لمعالجة الأصول غير المصرح بها، تستمر الأجهزة المارقة على الشبكة إلى أجل غير مسمى دون مساءلة أو جدول زمني للمعالجة.
يعني غياب دورة مراجعة أسبوعية للأصول غير المصرح بها أن الأجهزة الخبيثة أو غير الممتثلة يمكن أن تعمل دون اكتشاف لفترات طويلة.
الاعتماد فقط على عمليات الجرد اليدوية يعني عدم اكتشاف الأجهزة الجديدة أو المؤقتة المتصلة بالشبكة في الوقت المناسب.
بدون فحوصات اكتشاف نشطة يومية، تتزايد الفجوة بين اتصال جهاز بالشبكة واكتشافه، مما يزيد نافذة النشاط غير المصرح به.
بدون تغذية سجلات DHCP لسجل الأصول، لا يتم تتبع الأجهزة ذات العناوين الديناميكية، مما يخلق فجوات في رؤية الأجهزة التي تأتي وتذهب.
...و 3 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
تتهرب البرمجيات الخبيثة أو المزودة بأبواب خلفية المثبتة دون تتبع المخزون من المراجعة الأمنية، مما يمكّن هجمات سلسلة التوريد مثل تلك التي شوهدت في اختراقات من نوع SolarWinds.
تُدخل البرمجيات غير المرخصة أو المقرصنة المثبتة خارج ضوابط المخزون نسخاً محصنة بأحصنة طروادة أو أدوات كسر تحتوي على برمجيات خبيثة مضمنة وسارقات بيانات اعتماد.
تبقى التطبيقات المثبتة لمشاريع سابقة ولم يتم جردها على الأنظمة بثغرات معروفة، مما يوفر أهدافاً سهلة للاستغلال من قبل المهاجمين.
لا تتلقى البرمجيات غير المدعومة تصحيحات أمنية بعد الآن، مما يسمح للمهاجمين باستغلال ثغرات CVE المكشوفة علنياً بأكواد استغلال متاحة بسهولة.
لن يتم تصحيح التطبيقات غير المدعومة ذات ثغرات اليوم صفر من قبل المورد أبداً، مما يمنح المهاجمين قدرات استغلال دائمة ضد تلك الأنظمة.
تستمر البرمجيات غير المصرح بها بما في ذلك أحصنة طروادة للوصول عن بُعد ومُعدّني العملات المشفرة أو الأبواب الخلفية على نقاط النهاية لأنه لا توجد عملية لتحديدها وإزالتها.
يقوم الموظفون بتثبيت عملاء مزامنة سحابية غير مصرح بها أو أدوات SaaS تسرب بيانات المؤسسة إلى تخزين سحابي غير مُدار خارج نطاق رؤية المؤسسة.
يقوم المهاجمون بتثبيت أدوات الاستمرارية أو راصدات لوحة المفاتيح أو أدوات التنقل الأفقي التي تمر دون اكتشاف لأنه لا توجد أدوات آلية تراقب تثبيتات البرمجيات الجديدة.
...و 9 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون سجل برمجيات محدث، لا تستطيع المؤسسة تحديد التطبيقات المثبتة عبر نقاط النهاية، مما يترك البرمجيات غير المعروفة بدون تصحيحات وبدون مراقبة.
بدون سجلات الناشر والإصدار والغرض التجاري، لا تستطيع المؤسسة التمييز بين البرمجيات المصرح بها والتثبيتات غير المصرح بها أو الخبيثة.
يترك تشغيل برمجيات منتهية الدعم بدون استثناءات موثقة وضوابط تعويضية الثغرات المعروفة دون معالجة بشكل دائم في البيئة.
بدون مراقبة حالة دعم المورد، لا تدرك المؤسسة متى تنتقل البرمجيات الحرجة إلى نهاية الدعم، وتستمر في الاعتماد عليها دون قبول المخاطر.
بدون عملية لإزالة أو استثناء البرمجيات غير المصرح بها، تتراكم التطبيقات غير الممتثلة والخبيثة المحتملة عبر المؤسسة دون رقابة.
لا يتم الإبلاغ عن البرمجيات غير المصرح بها أبداً لأنه لا توجد دورة مراجعة منتظمة تقارن التطبيقات المثبتة مع سجل البرمجيات المعتمد.
يعد الاعتماد على العمليات اليدوية لتتبع البرمجيات المثبتة عبر المؤسسة عرضة للأخطاء ولا يمكن توسيعه، مما يؤدي إلى سجلات ناقصة وقديمة بشكل مزمن.
بدون أدوات جرد آلية، لا توجد آلية لاكتشاف تثبيت برمجيات جديدة أو تعديل برمجيات موجودة بين دورات التدقيق اليدوية.
...و 6 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
بدون عملية إدارة بيانات، تنتشر البيانات الحساسة عبر مواقع غير منضبطة بما في ذلك الأقراص الشخصية وخدمات تقنية المعلومات الظلية ومشاركات الملفات غير المؤمنة.
يؤدي غياب مستويات حساسية البيانات المحددة ومتطلبات المعالجة إلى انتهاكات GDPR أو HIPAA أو PCI DSS عند معالجة البيانات المنظمة بدون ضمانات مناسبة.
بدون متطلبات الاحتفاظ بالبيانات والتخلص منها، تحتفظ المؤسسات بالبيانات إلى أجل غير مسمى، مما يزيد بشكل كبير من حجم وحساسية البيانات المكشوفة أثناء الاختراق.
بدون جرد البيانات، لا تستطيع المؤسسة تحديد البيانات الحساسة التي تم كشفها في الاختراق، مما يؤدي إلى تأخر الإخطارات وتقديرات تأثير أقل من الواقع.
لا يتم التعامل مع البيانات الحساسة على الأنظمة التي يتم إيقافها أو ترحيلها بشكل صحيح لأنه لا يوجد جرد يتتبع مكان وجود البيانات الحساسة.
يصل المستخدمون ذوو صلاحيات نظام الملفات أو قواعد البيانات أو التطبيقات المفرطة إلى بيانات حساسة تتجاوز حاجتهم للمعرفة، مما يزيد من مخاطر التهديد الداخلي ونطاق تأثير الاختراق.
يحصل المهاجمون الذين يخترقون حساب مستخدم واحد على الوصول إلى أنظمة الملفات وقواعد البيانات المشتركة على نطاق واسع والتي تفتقر إلى قوائم التحكم في الوصول، مما يمكن من جمع البيانات السريع.
بدون قوائم تحكم في الوصول مناسبة، يمكن للمستخدمين غير المصرح بهم أو الحسابات المخترقة تعديل بيانات الأعمال الحرجة أو السجلات المالية أو ملفات التكوين.
...و 24 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون إجراءات إدارة بيانات راسخة، لا توجد قواعد متسقة لكيفية تصنيف البيانات ومعالجتها والاحتفاظ بها أو التخلص منها عبر المؤسسة.
يعني غياب مالكي البيانات المعينين أنه لا أحد مسؤول عن ضمان حصول البيانات الحساسة على حماية مناسبة طوال دورة حياتها.
بدون جرد البيانات، لا تعرف المؤسسة أين يتم تخزين البيانات الحساسة أو معالجتها أو نقلها، مما يجعل من المستحيل تطبيق الحماية المناسبة.
لا يمكن توجيه ضوابط الأمان مثل التشفير وقيود الوصول والمراقبة بشكل صحيح دون معرفة الأصول التي تحتوي على بيانات حساسة.
بدون قوائم تحكم في الوصول القائمة على الحاجة للمعرفة، تعتمد مستودعات البيانات على الوصول الواسع افتراضياً، مما يمنح المستخدمين صلاحيات تتجاوز بكثير متطلبات أدوارهم.
بدون تكوين قوائم التحكم في الوصول المبنية على السياسات، تتفاوت صلاحيات الوصول بشكل غير متسق عبر أنظمة الملفات وقواعد البيانات والتطبيقات دون إنفاذ موحد.
بدون فترات احتفاظ دنيا وقصوى، تتراكم البيانات إلى أجل غير مسمى، مما يوسع سطح الهجوم ويزيد التعرض التنظيمي.
بدون جداول احتفاظ مُنفذة، يعتمد حذف البيانات على الحكم الفردي، مما يؤدي إلى ممارسات غير متسقة وتخزين بيانات دائم.
...و 20 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
يستغل المهاجمون التكوينات الافتراضية الجاهزة بما في ذلك المنافذ المفتوحة والخدمات غير الضرورية وإعدادات الأمان الضعيفة التي لم يتم تقويتها وفقاً لخط أساس آمن.
بمرور الوقت، تنحرف الأنظمة عن التكوينات الآمنة من خلال التغييرات المخصصة، مما يعيد إدخال الثغرات التي تم تخفيفها سابقاً ويخلق أوضاعاً أمنية غير متسقة.
تنتشر برامج الفدية بسرعة عبر الأنظمة التي تفتقر إلى تكوينات مقواة، مستغلة البروتوكولات الممكّنة افتراضياً مثل SMBv1 وخدمات الوصول عن بُعد غير الضرورية.
يحصل المهاجمون على وصول إداري إلى الموجهات والمحولات وجدران الحماية باستخدام بيانات اعتماد افتراضية معروفة أو سلاسل مجتمع SNMP التي لم يتم تغييرها من إعدادات المورد.
تسمح أجهزة الشبكة المكونة بدون تقوية أمنية بنسخ حركة المرور والوصول غير المصرح به إلى شبكات VLAN أو التلاعب بالتوجيه مما يمكّن هجمات الوسيط.
يصل مهاجم أو مطلع خبيث إلى بيانات حساسة أو يثبت برمجيات خبيثة أو ينفذ أوامر على محطة عمل غير مراقبة لم يتم قفلها بسبب عدم تكوين القفل التلقائي.
في مساحات المكاتب المشتركة أو المواقع العامة، تكشف الجلسات الخاملة غير المقفلة بيانات حساسة على الشاشة وتسمح للمارة بالتفاعل مع جلسات التطبيقات المصادق عليها.
يتنقل المهاجمون الذين يخترقون خادماً واحداً أفقياً إلى خوادم أخرى عبر منافذ وخدمات مفتوحة كان جدار حماية مستند إلى المضيف سيحظرها، مما يوسع نطاق الاختراق.
...و 19 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون عملية تكوين آمن موثقة، يتم نشر الأنظمة بالإعدادات الافتراضية للمورد التي تعطي الأولوية لسهولة الاستخدام على الأمان، تاركة أسطح هجوم معروفة مكشوفة.
بدون مراجعة سنوية لمعايير التكوين الآمن، تصبح خطوط الأساس قديمة مع ظهور تقنيات هجوم جديدة وتغير توصيات الموردين.
بدون عملية تكوين آمن لأجهزة الشبكة، تعمل الموجهات والمحولات وجدران الحماية بالإعدادات الافتراضية التي تكشف واجهات الإدارة والخدمات غير الضرورية.
بدون عمليات تكوين موثقة تشير إلى معايير مثل CIS Benchmarks أو DISA STIGs، لا توجد طريقة للتحقق من أن أجهزة الشبكة تلبي المتطلبات الأمنية.
بدون قفل تلقائي مكون للجلسة، تبقى الأجهزة غير المراقبة مسجلة الدخول إلى أجل غير مسمى، مما يمنح الوصول المادي ما يعادل وصول المستخدم المصادق عليه.
بدون سياسات قفل موحدة، تُقفل بعض الأجهزة بعد دقائق بينما لا تُقفل أخرى أبداً، مما يخلق حماية غير متسقة لا يمكن للمستخدمين الاعتماد عليها.
بدون جدران حماية الخوادم، تكون جميع الخدمات المتاحة عبر الشبكة على الخادم مكشوفة لأي جهاز يمكنه التوجيه إليه، بالاعتماد كلياً على ضوابط المحيط.
يعني غياب جدران الحماية المستندة إلى المضيف أن اختراق الشبكة الداخلية يوفر وصولاً غير مقيد إلى جميع خدمات الخادم، مما ينفي استراتيجيات الدفاع متعدد الطبقات.
...و 16 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
يحتفظ الموظفون أو المتعاقدون أو الأطراف الثالثة السابقون بحسابات نشطة غير متتبعة في سجل، ويستخدمونها للوصول إلى الأنظمة والبيانات بعد انتهاء تصريحهم.
تتراكم الصلاحيات في الحسابات غير المتتبعة في سجل بمرور الوقت من خلال تغييرات الأدوار دون مراجعة، مما يخلق حسابات ذات صلاحيات مفرطة تمثل أهدافاً عالية القيمة.
يتم اختراق الحسابات المشتركة أو العامة غير المسجلة في السجل، ولا يمكن للتحقيقات نسب الإجراءات إلى فرد محدد بسبب عدم تتبع الحسابات.
يستخدم المهاجمون بيانات اعتماد مسربة من اختراقات أطراف ثالثة للوصول إلى حسابات المؤسسة حيث أعاد الموظفون استخدام نفس كلمة المرور عبر الأنظمة الشخصية والعملية.
ينفذ المهاجمون هجمات رش كلمات المرور باستخدام كلمات مرور شائعة مثل 'Spring2026!' التي تلبي قواعد التعقيد الأساسية ولكنها متوقعة، مما يخترق حسابات متعددة في وقت واحد.
يكسر المهاجمون الذين يحصلون على تجزئات كلمات المرور كلمات المرور القصيرة أو البسيطة بسرعة باستخدام القوة الغاشمة المسرّعة بوحدات معالجة الرسومات أو جداول قوس قزح، مما يمنح الوصول إلى الحسابات ذات كلمات المرور الضعيفة.
يخترق المهاجمون الحسابات الخاملة من خلال حشو بيانات الاعتماد أو التصيد، ويستخدمونها للوصول المستمر لأن الحسابات غير النشطة نادراً ما تُراقب لنشاط مشبوه.
يبقى حساب متعاقد سابق نشطاً وغير مراقب لأشهر بعد انتهاء العقد، مما يوفر نقطة دخول إذا أصبح المتعاقد عدائياً أو تسربت بيانات اعتماده.
...و 7 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون سجل حسابات محدث، لا تستطيع المؤسسة تحديد عدد الحسابات الموجودة أو مالكيها أو ما إذا كانت جميعها لا تزال مصرح بها.
بدون مراجعات ربع سنوية مقابل سجل الحسابات، تستمر الحسابات غير المصرح بها أو اليتيمة إلى أجل غير مسمى دون كشف أو معالجة.
بدون متطلبات كلمات مرور فريدة وإنفاذ الحد الأدنى للطول، يختار المستخدمون كلمات مرور ضعيفة أو متوقعة أو مخترقة سابقاً يسهل تخمينها أو كسرها.
بدون ضوابط تقنية تفرض متطلبات طول كلمة المرور والتفرد، يلجأ المستخدمون افتراضياً إلى أقصر وأبسط كلمات المرور الممكن تذكرها.
بدون التعطيل التلقائي بعد 45 يوماً من عدم النشاط، تستمر الحسابات الخاملة من المستخدمين المغادرين أو المشاريع المكتملة أو العمال الموسميين كنواقل وصول كامنة.
بدون مراقبة آلية لنشاط تسجيل دخول الحسابات، لا تستطيع المؤسسة تحديد الحسابات الخاملة التي يجب تعطيلها أو مراجعتها.
يعرض المسؤولون الذين يستخدمون حساباتهم المميزة للبريد الإلكتروني والتصفح والعمل العام بيانات اعتمادهم المرتفعة لهجمات التصيد والبرمجيات الخبيثة وسرقة بيانات الاعتماد.
بدون حسابات مسؤول مخصصة منفصلة عن حسابات الاستخدام اليومي، يمنح اختراق جلسة أي مستخدم مسؤول المهاجم فوراً وصولاً إدارياً كاملاً.
...و 4 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
بدون عملية منح رسمية، يحصل الموظفون الجدد على وصول عن طريق نسخ صلاحيات مستخدم آخر، وراثة صلاحيات غير ضرورية تراكمت من خلال تغييرات أدوار ذلك المستخدم.
يتراكم لدى المستخدمين الذين يغيرون أدوارهم وصول من كل من المناصب القديمة والجديدة لأنه لا توجد عملية منظمة تضمن مراجعة الوصول السابق عند منح وصول جديد.
يحتفظ موظف منتهية خدمته بالوصول إلى أنظمة المؤسسة لأيام أو أسابيع بعد المغادرة لأنه لا توجد عملية إلغاء، مما يمكن من سرقة البيانات أو التخريب انتقاماً.
تبقى حسابات المتعاقدين الخارجيين نشطة إلى أجل غير مسمى بعد انتهاء مشاركتهم لأنه لا توجد عملية إلغاء تُفعّل إلغاء التوفير عند انتهاء علاقة العمل.
يحتفظ المستخدمون الذين يغيرون الأقسام أو الأدوار بوصولهم السابق بالإضافة إلى صلاحيات الدور الجديد، متراكمين تدريجياً صلاحيات مفرطة عبر المؤسسة.
يستخدم المهاجمون قواعد بيانات بيانات الاعتماد المسربة لإجراء محاولات تسجيل دخول آلية ضد التطبيقات المكشوفة خارجياً التي تعتمد فقط على كلمات المرور بدون MFA.
توفر بيانات اعتماد موظف مسروقة من خلال حملة تصيد وصولاً فورياً إلى التطبيقات المكشوفة خارجياً لأنه لا يوجد عامل ثانٍ مطلوب للمصادقة.
ينفذ المهاجمون هجمات قوة غاشمة مستمرة ضد صفحات تسجيل الدخول المواجهة للإنترنت حيث تسمح المصادقة أحادية العامل بتخمين بيانات الاعتماد غير المحدود على نطاق واسع.
...و 11 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون عملية محددة لمنح الوصول، تكون قرارات التوفير مخصصة وغير متسقة وغير مرتبطة بحاجة تجارية متحقق منها، مما يؤدي إلى توفير مفرط.
بدون عملية موافقة منظمة، يتم منح الوصول بناءً على طلبات غير رسمية بدون تصريح إداري أو توثيق للمبرر التجاري.
بدون عملية محددة لإلغاء الوصول عند الإنهاء أو تغيير الدور، تبقى الحسابات نشطة ومميزة لفترة طويلة بعد انتهاء تصريح المستخدم.
بدون روابط آلية أو إجرائية بين أحداث إنهاء الموارد البشرية وإلغاء توفير حسابات تقنية المعلومات، لا يوجد محفز لتعطيل الحسابات عند مغادرة المستخدمين للمؤسسة.
التطبيقات المكشوفة خارجياً والمحمية فقط بكلمات المرور معرضة لسرقة بيانات الاعتماد والحشو والرش وهجمات القوة الغاشمة من أي مكان على الإنترنت.
تفتقر تطبيقات الأطراف الثالثة المستخدمة من قبل المؤسسة إلى متطلبات MFA، مما يعني أن كلمة مرور مخترقة تمنح وصولاً كاملاً إلى بيانات سحابية حساسة محتملة.
يمكن اختراق اتصالات الوصول عن بُعد (VPN وبوابة سطح المكتب البعيد) المحمية فقط بكلمات المرور من قبل أي مهاجم يحصل على بيانات اعتماد صالحة أو يخمنها.
بدون MFA، تصبح بوابة VPN أو الوصول عن بُعد نقطة دخول بكلمة مرور واحدة فقط إلى الشبكة الداخلية بأكملها من أي مكان على الإنترنت.
...و 8 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
بدون عملية إدارة ثغرات موثقة، تتم معالجة الثغرات الحرجة مثل Log4Shell أو MOVEit بشكل غير متسق، حيث تصحح بعض الفرق فوراً بينما تبقى أخرى مكشوفة لأشهر.
يعني غياب عملية رسمية أن الثغرات تُصنف بناءً على الحكم الفردي بدلاً من معايير قائمة على المخاطر، مما يسمح لثغرات عالية الخطورة في الأصول المواجهة للإنترنت بالاستمرار بينما تستهلك مشكلات داخلية منخفضة المخاطر موارد المعالجة.
يجد المدققون والجهات التنظيمية عدم وجود دليل على برنامج إدارة ثغرات منظم، مما يؤدي إلى فشل الامتثال وغرامات محتملة بموجب أطر مثل PCI DSS أو HIPAA التي تفرض إدارة ثغرات موثقة.
يستغل المهاجمون ثغرات معروفة تستمر لأشهر لأنه لا يوجد جدول زمني معالجة قائم على المخاطر، مما يسمح لجهات التهديد بتسليح الاستغلالات العامة قبل تطبيق التصحيحات بوقت طويل.
بدون عملية معالجة منظمة، تتسبب التصحيحات المطبقة على عجل في عدم استقرار النظام ويتم التراجع عنها، مما يعيد كشف الثغرة بينما تسعى المؤسسة لإيجاد حل مستقر.
يتم تأجيل الثغرات بشكل دائم بدون قبول مخاطر موثق أو ضوابط تعويضية، مما يخلق تراكماً متزايداً من الأنظمة غير المصححة التي تتراكم فيها نقاط الضعف القابلة للاستغلال بمرور الوقت.
تستفيد الجهات المهددة من أدوات الفحص الآلية لتحديد أنظمة المؤسسة التي تعمل بأنظمة تشغيل غير مصححة ونشر برامج الفدية أو معدني العملات المشفرة من خلال ثغرات معروفة على مستوى نظام التشغيل مثل EternalBlue أو PrintNightmare.
تسمح ثغرة قابلة للديدان في نظام تشغيل غير مصحح للبرمجيات الخبيثة بالانتشار أفقياً عبر الشبكة بدون تفاعل المستخدم، كما شوهد مع WannaCry وNotPetya، لأن التصحيح الآلي لنظام التشغيل غير مطبق.
...و 13 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
لا تمتلك المؤسسة سياسة مكتوبة تحدد مسؤوليات تحديد الثغرات وتقييمها ومعالجتها، تاركة كل فريق يتعامل مع الثغرات بشكل مستقل دون مساءلة.
بدون عملية موثقة، لا توجد ملكية واضحة لفحص الثغرات أو الفرز أو المعالجة أو الموافقة على الاستثناءات، مما يتسبب في سقوط الثغرات الحرجة بين فرق تقنية المعلومات والأمان.
تفتقر المؤسسة إلى مخطط تصنيف خطورة موحد (مثل حدود CVSS) لتحديد أولويات معالجة الثغرات، مما يؤدي إلى معالجة غير متسقة لمخاطر مماثلة عبر وحدات الأعمال.
لا تمتلك المؤسسة اتفاقيات مستوى خدمة محددة تربط خطورة الثغرة بمواعيد نهائية للمعالجة (مثل الحرجة خلال 48 ساعة، والعالية خلال 14 يوماً)، مما يسمح للثغرات الخطيرة بالبقاء مفتوحة إلى أجل غير مسمى.
عندما لا يمكن معالجة الثغرات فوراً، لا توجد عملية لتوثيق الاستثناءات أو الضوابط التعويضية أو قرارات قبول المخاطر، تاركة الأنظمة غير المصححة بدون أي إشراف مخفف.
يتم تطبيق تصحيحات نظام التشغيل يدوياً أو بجدول غير منتظم، مما يؤدي إلى تأخر كبير في التصحيح حيث قد لا يتم نشر تحديثات نظام التشغيل الحرجة لأسابيع أو أشهر بعد الإصدار.
تفتقر المؤسسة إلى أداة مركزية (مثل WSUS أو SCCM أو Jamf) لأتمتة توزيع والتحقق من تصحيحات نظام التشغيل، مما يجعل من المستحيل ضمان مستويات تصحيح متسقة عبر جميع أصول المؤسسة.
قد يغطي التصحيح الآلي نقاط نهاية Windows لكنه يفتقد خوادم Linux أو أجهزة macOS أو أنظمة تشغيل متخصصة، تاركاً أجزاء كبيرة من الأسطول تعمل بإصدارات نظام تشغيل معرضة للخطر.
...و 9 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
تعمل جهات التهديد المتقدمة المستمرة دون اكتشاف لأشهر لأن المؤسسة ليس لديها متطلبات تسجيل موحدة، تاركة الأصول الحرجة بدون سجلات التدقيق اللازمة لتحديد النشاط الخبيث.
عند اكتشاف اختراق، لا يستطيع المحققون في الحوادث تحديد النطاق أو السبب الجذري أو الجدول الزمني لأن عملية إدارة سجلات التدقيق لم تُحدد أبداً، مما يؤدي إلى جمع سجلات غير متسق وغير مكتمل عبر الأنظمة.
تكشف التدقيقات التنظيمية أن المؤسسة ليس لديها عملية رسمية لإدارة سجلات التدقيق، مما يؤدي إلى انتهاكات امتثال بموجب SOX أو HIPAA أو PCI DSS أو GDPR التي تتطلب معايير تسجيل موثقة وسياسات احتفاظ.
يستهدف المهاجمون تحديداً الأصول التي يكون تسجيل التدقيق فيها معطلاً أو غير مجموع، عالمين أن أنشطتهم لن تترك أثراً جنائياً، مما يمكن فترات بقاء مطولة وتسريب بيانات غير مكتشف.
يعدل المطلعون الخبيثون أو المهاجمون الخارجيون البيانات الحرجة أو التكوينات أو ضوابط الوصول على أنظمة لا يتم جمع سجلات التدقيق منها، مما يجعل من المستحيل كشف التغييرات غير المصرح بها أو نسبتها.
يوجه المهاجمون المتطورون أنشطتهم عبر أصول بدون جمع سجلات، مستخدمين هذه النقاط العمياء كمناطق إعداد للتنقل الأفقي وإعداد البيانات مع البقاء غير مرئيين للمراقبة الأمنية.
يتم الكتابة فوق بيانات سجل التدقيق الحرجة بصمت أو التخلص منها عندما ينفد تخزين وجهات التسجيل، مما يدمر أدلة الهجمات الجارية أو السجلات المطلوبة للامتثال خلال الفترات التي تكون فيها أكثر حاجة.
يولد المهاجمون عمداً أحجاماً ضخمة من إدخالات السجل لاستنفاد التخزين المتاح، مما يتسبب في إسقاط أحداث التدقيق المشروعة وخلق نافذة نشاط غير مراقب لعملياتهم الخبيثة الفعلية.
...و 24 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
تفتقر المؤسسة إلى سياسة رسمية تحدد الأصول التي يجب أن تولد سجلات والأحداث التي يجب التقاطها وكيفية مراجعة السجلات ومدة الاحتفاظ بها، مما يؤدي إلى تسجيل مخصص يتفاوت بشكل كبير عبر الأنظمة.
بدون عملية إدارة سجلات تدقيق موثقة، لا أحد مسؤول عن مراجعة السجلات ولا توجد إجراءات لتصعيد النتائج المشبوهة، مما يسمح للنشاط الخبيث المسجل في السجلات بالمرور دون ملاحظة.
الخوادم وقواعد البيانات وأجهزة الشبكة والخدمات السحابية الرئيسية لديها تسجيل التدقيق معطل افتراضياً أو تم تعطيله عمداً للحفاظ على الموارد، مما يخلق نقاطاً عمياء جنائية عبر البنية التحتية.
التسجيل ممكّن على بعض فئات الأصول (مثل وحدات التحكم بالنطاق) لكن ليس على غيرها (مثل خوادم Linux وأجهزة الشبكة وتطبيقات SaaS)، تاركاً أجزاء كبيرة من البيئة بدون سجلات تدقيق.
لا يتم مراقبة أحجام تخزين السجلات للسعة ولا تُطلق تنبيهات عندما يقترب التخزين من عتبات السعة، مما يؤدي إلى فقدان سجلات صامت عند امتلاء الأقراص خلال فترات النشاط العالي أو الهجمات.
سعة تخزين السجلات غير كافية للاحتفاظ بالسجلات للفترة المحددة بسياسة الاحتفاظ بالمؤسسة، مما يفرض إما حذف السجلات المبكر أو فشل التسجيل الذي يضر بالامتثال والقدرة الجنائية.
تستخدم أصول المؤسسة خوادم NTP مختلفة أو لا تستخدم أياً منها، مما يتسبب في انحراف الساعات بين الأنظمة الذي يُضعف دقة وموثوقية إدخالات سجل التدقيق المختومة زمنياً المستخدمة للربط والتحليل الجنائي.
الأصول مكونة بمصدر زمني واحد فقط، وإذا أصبح هذا المصدر غير متاح أو مخترقاً، تنحرف الساعات دون كشف، مما يُضعف سلامة جميع عمليات الأمان المعتمدة على الوقت.
...و 16 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
تحتوي المتصفحات القديمة أو غير المدعومة على ثغرات معروفة تستهدفها أدوات الاستغلال لتسليم البرمجيات الخبيثة من خلال إعلانات خبيثة أو مواقع ويب مخترقة أو هجمات حفر المياه بدون أي تفاعل من المستخدم سوى زيارة الصفحة.
يتم استغلال عملاء البريد الإلكتروني غير المدعومين ذوي ثغرات التصيير أو التحليل المعروفة لتنفيذ أكواد خبيثة عندما يعرض المستخدمون أو يفتحون رسائل بريد إلكتروني مصممة خصيصاً، متجاوزين ضوابط الأمان القائمة على المرفقات.
تسمح المتصفحات القديمة التي تدعم إصدارات TLS المنتهية أو أنظمة تشفير ضعيفة لمهاجمي الوسيط باعتراض وفك تشفير جلسات الويب الحساسة، بما في ذلك حركة مرور الخدمات المصرفية والبريد الإلكتروني وتطبيقات المؤسسة.
تتواصل البرمجيات الخبيثة على أصول المؤسسة مع نطاقات خبيثة معروفة للحصول على تعليمات القيادة والتحكم وتنزيل الحمولات وتسريب البيانات، وبدون تصفية DNS تنجح هذه الاتصالات بلا عائق.
ينقر المستخدمون على روابط تصيد تحل إلى نطاقات خبيثة معروفة تحاكي صفحات تسجيل الدخول الشرعية، وبدون الحظر على مستوى DNS يمكن الوصول إلى هذه النطاقات بحرية، مما يمكن جمع بيانات الاعتماد على نطاق واسع.
تتصل أصول المؤسسة بنطاقات تستضيف نصوص تعدين العملات المشفرة أو إعلانات خبيثة تسلم تنزيلات عابرة، مستهلكة الموارد ومحتملة تثبيت برمجيات خبيثة لأنه لا يوجد تصفية DNS تحظر هذه التهديدات المعروفة.
يزور المستخدمون مواقع ويب شرعية لكنها مخترقة تعيد التوجيه إلى عناوين URL خبيثة تستضيف أدوات استغلال، وبدون تصفية URL على مستوى الشبكة تنجح هذه التوجيهات الخبيثة في تسليم حمولات البرمجيات الخبيثة.
تستخدم حملات التصيد المتطورة نطاقات مُنشأة حديثاً تحاكي بوابات تسجيل الدخول المؤسسية، وبدون تصفية سمعة URL والحظر القائم على الفئة يمكن لجميع مستخدمي المؤسسة الوصول إلى هذه المواقع.
...و 13 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
تعمل أصول المؤسسة بإصدارات متصفح منتهية الدعم التي لم تعد تتلقى تصحيحات أمنية من الموردين، مما يراكم ثغرات قابلة للاستغلال مع كل إفصاح جديد بينما تبقى الواجهة الأساسية لتطبيقات الويب.
لا تمتلك المؤسسة ضوابط تقنية (GPO أو MDM أو إدارة التكوين) لإنفاذ حد أدنى لإصدارات المتصفح أو منع استخدام المتصفحات غير المدعومة، مما يسمح للمستخدمين بالعمل ببرمجيات قديمة بشكل خطير.
تحل أصول المؤسسة استعلامات DNS بدون أي تصفية، مما يسمح بالاتصال بالنطاقات الخبيثة المعروفة وبنية التصيد التحتية وخوادم القيادة والتحكم لجهات التهديد بدون أي منع أو تنبيه.
حتى حيث توجد تصفية DNS، يمكن لنقاط النهاية تجاوزها باستخدام عناوين IP مضمنة أو محللات DNS خارجية (DoH وDoT) غير محظورة على محيط الشبكة، مما ينفي الحماية.
لا تفرض المؤسسة تصفية URL على مستوى الشبكة، مما يسمح لأصول المؤسسة بالاتصال بأي موقع ويب بغض النظر عن سمعته أو فئته أو حالة التهديد المعروفة.
توجد تصفية URL لكن قوائم الحظر وقواعد بيانات الفئات لا يتم تحديثها بانتظام بمعلومات التهديد الحالية، مما يسمح لعناوين URL الخبيثة المحددة حديثاً بتجاوز ضوابط التصفية.
يمكن للمستخدمين تثبيت أي إضافة متصفح بدون قيود، بما في ذلك الإضافات التي تطلب صلاحيات لقراءة جميع بيانات الموقع وتعديل الصفحات والوصول إلى ملفات تعريف ارتباط المصادقة عبر جميع النطاقات.
لا يتم تقييد إضافات وملحقات عميل البريد الإلكتروني من خلال سياسة المجموعة أو إدارة التكوين، مما يسمح للمستخدمين بتثبيت إضافات أطراف ثالثة غير مفحوصة يمكنها الوصول إلى جميع محتوى البريد الإلكتروني والمرفقات.
...و 6 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
بدون نشر برمجيات مكافحة الخبيثة، تكون أصول المؤسسة عرضة للبرمجيات الخبيثة الشائعة بما في ذلك برامج الفدية وأحصنة طروادة المصرفية وسارقات المعلومات ومُعدّني العملات المشفرة التي يتم حظرها عادة بحلول مكافحة فيروسات أساسية.
تُنفذ متغيرات برامج الفدية مثل LockBit وBlackCat أو Cl0p وتشفر البيانات على أنظمة بدون حماية مكافحة البرمجيات الخبيثة، مما يتسبب في تعطل تشغيلي وفقدان محتمل للبيانات لأنه لا يوجد برنامج لكشف أو منع عملية التشفير.
تُنفذ البرمجيات الخبيثة لسرقة المعلومات (RedLine وRaccoon وVidar) على نقاط نهاية غير محمية، وتجمع بيانات اعتماد المتصفح المحفوظة وملفات تعريف ارتباط الجلسة ومحافظ العملات المشفرة وتكوينات VPN للبيع في أسواق الويب المظلم.
تفشل برمجيات مكافحة البرمجيات الخبيثة ذات قواعد بيانات التوقيعات القديمة في كشف متغيرات البرمجيات الخبيثة المُصدرة حديثاً التي ستلتقطها التوقيعات الحالية، تاركة نقاط النهاية عرضة لتهديدات عمرها أيام أو أسابيع.
تُنفذ متغيرات برامج الفدية الجديدة المُصدرة بعد آخر تحديث توقيعات بحرية على نقاط النهاية ذات التعريفات القديمة، مما يشفر الملفات قبل أن يتعرف محرك مكافحة البرمجيات الخبيثة على نمط التهديد.
تنفذ أجهزة USB المحملة بالبرمجيات الخبيثة الحمولات الخبيثة تلقائياً عند إدخالها في أنظمة مع تمكين التشغيل التلقائي، وهي تقنية مستخدمة في الهجمات المستهدفة (على غرار Stuxnet) والحملات الانتهازية حيث يتم توزيع أقراص USB مصابة في أماكن عامة.
تنتشر الديدان ذاتية الانتشار عبر المؤسسة عبر الوسائط القابلة للإزالة باستغلال وظيفة التشغيل التلقائي لنسخ نفسها إلى كل جهاز USB يتم إدخاله، ثم تُنفذ تلقائياً على كل نظام جديد يتصل به الجهاز.
يترك المهاجمون عمداً أقراص USB مصابة في مواقف السيارات والردهات أو غرف الاجتماعات، وتتسبب وظيفة التشغيل التلقائي في تنفيذ الحمولات الخبيثة فوراً عندما يُدخل الموظفون الفضوليون الأجهزة في محطات عملهم.
...و 11 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
تفتقر بعض أو كل أصول المؤسسة إلى برمجيات مكافحة البرمجيات الخبيثة، مما لا يوفر دفاعاً آلياً ضد عائلات البرمجيات الخبيثة المعروفة وحمولات الاستغلال أو النصوص البرمجية الخبيثة التي ستكتشفها وتحظرها حماية نقطة النهاية عادة.
يتم نشر مكافحة البرمجيات الخبيثة على محطات عمل Windows لكن ليس على الخوادم أو أنظمة Linux أو أجهزة macOS أو الأجهزة الافتراضية، تاركة أجزاء كبيرة من البنية التحتية بدون قدرات كشف البرمجيات الخبيثة.
لم يتم تكوين تحديثات توقيعات مكافحة البرمجيات الخبيثة للتسليم التلقائي، بالاعتماد على التحديثات اليدوية أو الفحوصات المجدولة النادرة التي تترك قواعد بيانات الكشف متأخرة ساعات أو أياماً عن معلومات التهديد الحالية.
تفشل آليات التحديث التلقائي بصمت بسبب مشكلات الشبكة أو أخطاء تكوين الوكيل أو التراخيص المنتهية، وبدون مراقبة نجاح التحديث تعمل نقاط النهاية بقدرات كشف قديمة بشكل متزايد.
تبقى ميزات التشغيل التلقائي والتشغيل الآلي في Windows ممكّنة بالإعدادات الافتراضية، مما يسمح للوسائط القابلة للإزالة بتنفيذ البرامج والنصوص أو المثبتات تلقائياً بدون تطلب إجراء صريح من المستخدم سوى إدخال الجهاز.
لم يتم تكوين سياسات المجموعة أو أدوات إدارة التكوين لتعطيل التشغيل التلقائي والتشغيل الآلي عبر جميع أصول المؤسسة، تاركة الأنظمة عرضة للتنفيذ التلقائي لمحتوى الوسائط القابلة للإزالة.
لم يتم تكوين برمجيات مكافحة البرمجيات الخبيثة لفحص الوسائط القابلة للإزالة تلقائياً عند الاتصال، بالاعتماد على المستخدمين لبدء الفحوصات يدوياً أو انتظار الفحوصات المجدولة التي قد لا تعمل قبل الوصول إلى الملفات المصابة.
تستبعد سياسات مكافحة البرمجيات الخبيثة تحديداً الوسائط القابلة للإزالة من الفحص في الوقت الفعلي بسبب مخاوف الأداء، مما يسمح بنسخ الملفات الخبيثة على أجهزة USB إلى التخزين المحلي دون تفعيل الكشف.
...و 6 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
يشفر برنامج فدية بيانات الأعمال الحرجة ولا تمتلك المؤسسة عملية استرداد موثقة أو أولويات استرداد أو إجراءات مختبرة، مما يؤدي إلى استجابة فوضوية وتعطل ممتد وفقدان بيانات دائم محتمل.
يدمر حادث كبير البيانات عبر أنظمة متعددة، وبدون عملية استرداد موثقة تحدد الأنظمة ومجموعات البيانات التي يجب استعادتها أولاً، تهدر الفرق الوقت في استرداد أنظمة منخفضة الأولوية بينما تبقى عمليات الأعمال الحرجة متوقفة.
يتم تخزين بيانات النسخ الاحتياطي بدون تشفير أو ضوابط وصول لأن وثائق عملية الاسترداد لا تتناول متطلبات أمان النسخ الاحتياطي، مما يسمح للمهاجمين بالوصول إلى بيانات النسخ الاحتياطي الحساسة أو تشفير مستودعات النسخ الاحتياطي.
تدمر أعطال الأجهزة أو فساد التخزين أو الحذف العرضي البيانات الحرجة، وبدون نسخ احتياطية آلية تعمل بجدول محدد لا تستطيع المؤسسة الاستعادة إلى حالة حديثة، مما يؤدي إلى فقدان بيانات دائم.
بعد هجوم برنامج فدية، تكتشف المؤسسة أن النسخ الاحتياطية عمرها أسابيع أو أشهر لأنه لم يتم تكوين جداول نسخ احتياطي آلية أبداً، مما يفرض الاختيار بين دفع الفدية أو قبول فقدان بيانات كبير.
يتم تخطي عمليات النسخ الاحتياطي اليدوية خلال الفترات المزدحمة وانتقالات الموظفين أو التغييرات التنظيمية، مما يخلق فجوات في تغطية النسخ الاحتياطي لا يتم اكتشافها إلا عند الحاجة لاسترداد البيانات أثناء حادث.
يستهدف مشغلو برامج الفدية تحديداً أنظمة النسخ الاحتياطي ويشفرون أو يحذفون بيانات النسخ الاحتياطي المخزنة بدون حماية كافية، مما يلغي قدرة المؤسسة على الاسترداد بدون دفع الفدية.
يتم الوصول إلى وسائط أو مستودعات النسخ الاحتياطي غير المشفرة من قبل أطراف غير مصرح بها، مما يكشف بيانات حساسة بما في ذلك معلومات التعريف الشخصية والسجلات المالية والملكية الفكرية الموجودة في شكل قابل للاستعادة بسهولة ضمن أرشيفات النسخ الاحتياطي.
...و 7 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
لا تمتلك المؤسسة عملية استرداد بيانات مكتوبة تحدد نطاق الاسترداد والأولويات والأطراف المسؤولة أو الإجراءات، تاركة استرداد البيانات معتمداً على المعرفة الفردية المخصصة أثناء حالات الأزمات.
بدون عملية استرداد موثقة، لا تمتلك المؤسسة أهداف وقت استرداد (RTO) أو أهداف نقطة استرداد (RPO) محددة لتصنيفات البيانات المختلفة، مما يمنع القرارات المستنيرة حول تكرار النسخ الاحتياطي وتسلسل الاسترداد.
لا يتم نسخ بيانات المؤسسة الحرجة احتياطياً وفق جدول آلي، بالاعتماد على العمليات اليدوية التي يتم اتباعها بشكل غير متسق، مما يؤدي إلى عملة نسخ احتياطي غير متوقعة وقدرة نقطة استرداد غير معروفة.
تغطي النسخ الاحتياطية الآلية بعض الأنظمة لكنها تفتقد قواعد بيانات حرجة ومشاركات ملفات وبيانات تطبيقات SaaS أو أحمال عمل سحابية، تاركة أجزاء كبيرة من بيانات المؤسسة بدون أي حماية نسخ احتياطي.
مستودعات ووسائط النسخ الاحتياطي غير مشفرة، مما يعني أن أي شخص لديه وصول إلى موقع التخزين يمكنه قراءة جميع البيانات المنسوخة احتياطياً، بما في ذلك المعلومات الحساسة المشفرة أو المحمية بضوابط الوصول في البيئات الإنتاجية.
يتم تخزين بيانات الاسترداد بضوابط وصول أقل تقييداً من تلك التي تحمي البيانات الأصلية، مما يسمح للأفراد الذين لا يستطيعون الوصول إلى بيانات الإنتاج بالوصول بحرية إلى نفس البيانات من خلال أنظمة النسخ الاحتياطي.
تقع جميع بيانات النسخ الاحتياطي على نفس الشبكة أو في نفس الموقع المادي كأنظمة الإنتاج، مما يعني أن أي حدث يخترق البيئة الأولية يهدد أيضاً نسخ الاسترداد الوحيدة.
يتم تركيب مستودعات النسخ الاحتياطي كمشاركات شبكية أو متاحة عبر بروتوكولات شبكة قياسية من أنظمة الإنتاج، مما يسمح لبرامج الفدية أو المهاجمين أو الحسابات المخترقة بالوصول إلى بيانات النسخ الاحتياطي وتدميرها.
...و 2 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
يستغل المهاجمون ثغرات معروفة في البرامج الثابتة القديمة للموجهات والمحولات وجدران الحماية (مثل ثغرات CVE في Cisco IOS وFortinet FortiOS أو Palo Alto PAN-OS) للسيطرة على البنية التحتية للشبكة واعتراض أو إعادة توجيه أو تعطيل جميع حركة المرور المارة عبر الأجهزة المخترقة.
تتراكم البنية التحتية للشبكة التي تعمل ببرامج ثابتة منتهية الدعم لم تعد تتلقى تصحيحات أمنية ثغرات قابلة للاستغلال، والمهاجمون الذين يخترقون هذه الأجهزة يحصلون على وصول مستمر على مستوى الشبكة يصعب كشفه ومعالجته.
تواجه أجهزة الشبكة التي تعمل ببرمجيات غير مدعومة مشكلات استقرار وتعطلات لا يمكن حلها لأن دعم المورد انتهى، مما يتسبب في انقطاعات شبكة غير متوقعة تؤثر على عمليات الأعمال.
يتنقل المهاجمون الذين يخترقون نقطة نهاية واحدة بحرية عبر الشبكة بأكملها لأنه لا توجد تجزئة، مما يتيح الوصول إلى قواعد البيانات وخوادم الملفات والأنظمة الحرجة التي يجب عزلها عن حركة مرور المستخدم العامة.
ينتشر برنامج الفدية إلى كل نظام يمكن الوصول إليه على الشبكة لأن عدم التجزئة لا يوفر حواجز للانتشار، محولاً عدوى مضيف واحد إلى حدث تشفير على مستوى المؤسسة.
تسمح بنية الشبكة التي لا تفرض أقل الصلاحيات للمستخدمين والأنظمة بالوصول إلى موارد الشبكة بعيداً عن احتياجاتهم التشغيلية، مما يمكن المهاجمين من الوصول إلى أهداف عالية القيمة من أي نقطة دخول مخترقة.
يعترض المهاجمون حركة مرور إدارة أجهزة الشبكة باستخدام بروتوكولات غير آمنة (Telnet وHTTP وSNMPv1/v2) لالتقاط بيانات الاعتماد الإدارية، ثم يستخدمون تلك البيانات لإعادة تكوين الأجهزة أو إنشاء وصول خلفي أو تعطيل خدمات الشبكة.
يتم تعديل تكوينات أجهزة الشبكة بدون تحكم في الإصدار أو إدارة تغيير أو سجلات تدقيق، وتخلق التغييرات غير المصرح بها فجوات أمنية مثل قواعد جدار حماية مفتوحة أو تسجيل معطل أو إدخالات مسار جديدة تعيد توجيه حركة المرور.
...و 16 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
تعمل الموجهات والمحولات وجدران الحماية وأجهزة الشبكة الأخرى بإصدارات برامج ثابتة متأخرة أشهراً أو سنوات عن الإصدارات الحالية، تحتوي على ثغرات معروفة وموثقة علنياً بدون إيقاع تحديث مجدول.
لا تحتفظ المؤسسة بسجل لإصدارات برمجيات أجهزة الشبكة أو تتبعها مقابل جداول دعم الموردين، مما يجعل من المستحيل تحديد الأجهزة التي تعمل ببرامج ثابتة غير مدعومة أو معرضة للخطر.
لا توفر بنية الشبكة تجزئة بين محطات عمل المستخدمين والخوادم وقواعد البيانات وواجهات الإدارة والبنية التحتية الحرجة، مما يسمح بالاتصال الأفقي غير المقيد بين جميع مناطق الشبكة.
لا تفرض قواعد الوصول للشبكة مبادئ أقل الصلاحيات، مما يسمح للأنظمة والمستخدمين بالاتصال بأي مورد شبكة بدلاً من تلك المطلوبة فقط لوظيفة أعمالهم المحددة.
تتم إدارة أجهزة الشبكة باستخدام بروتوكولات غير مشفرة (Telnet وHTTP وSNMPv1/v2c) تنقل بيانات الاعتماد وبيانات التكوين بنص واضح، مما يسمح للمهاجمين المتموضعين على الشبكة باعتراض الوصول الإداري.
لا تُدار تكوينات أجهزة الشبكة من خلال بنية تحتية كرمز محكومة الإصدار أو عمليات إدارة تغيير، مما يجعل من المستحيل كشف التغييرات غير المصرح بها أو التراجع عن أخطاء التكوين أو تدقيق من غيّر ماذا.
لا تمتلك المؤسسة مخططات بنية محدثة تعرض طوبولوجيا الشبكة وحدود التجزئة ومناطق الثقة وتدفقات البيانات والاتصالات الخارجية، تاركة فرق الأمان بدون الرؤية اللازمة للدفاع الفعال.
توجد مخططات بنية الشبكة لكنها لا تُحدث عند إجراء التغييرات، مما يجعلها غير دقيقة ومحتملة التضليل للتحليل الأمني وتدقيقات الامتثال وأنشطة الاستجابة للحوادث.
...و 8 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
يخترق مهاجم نقطة نهاية واحدة ويتنقل أفقياً عبر الشبكة دون كشف لأن أحداث الأمان من مصادر مختلفة لا تُربط في منصة مركزية.
تستمر حملة تسريب بيانات لأشهر لأن سجلات جدار الحماية ونقاط النهاية والمصادقة تُراجع بشكل مستقل بدلاً من ربطها، مما يمنع المحللين من ربط مؤشرات الاختراق المرتبطة.
يفتقد المحللون مؤشرات هجوم حرجة مدفونة عبر عشرات مصادر السجل المستقلة، مما يسمح لمشغلي برامج الفدية بإكمال سلسلة القتل الخاصة بهم قبل الكشف.
ينشر مهاجم برمجيات خبيثة بدون ملفات باستخدام PowerShell أو WMI تعمل بالكامل في الذاكرة، متهربة من الكشف على مستوى الشبكة لأنه لا يوجد حل كشف تسلل مستند إلى المضيف يراقب سلوك العمليات.
يثبت مطلع خبيث أدوات جمع بيانات الاعتماد أو راصدات لوحة المفاتيح على محطة عمله، التي لا تُكتشف بدون كشف تسلل مستند إلى المضيف يراقب نشاط النظام المحلي.
يثبت مهاجم rootkit على مستوى النواة يستمر عبر إعادات التشغيل ويخفي العمليات الخبيثة من أدوات نظام التشغيل القياسية، ويبقى غير مرئي بدون HIDS مخصص يفحص سلامة النظام.
يؤسس مهاجم اتصالات قيادة وتحكم مشفرة عبر HTTPS أو نفق DNS تتجاوز جدران الحماية المحيطية، وتبقى دون كشف لأنه لا يوجد نظام كشف تسلل على الشبكة يفحص أنماط حركة المرور.
يستغل مهاجم ثغرة في خدمة داخلية، وتعبر حركة مرور الاستغلال قطاعات الشبكة دون تفعيل أي تنبيه لأنه لا يوجد NIDS منشور لتحليل حركة المرور الشرقية-الغربية.
...و 25 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون SIEM أو منصة تنبيه مركزية، لا يمكن ربط مؤشرات الهجوم المرتبطة عبر أنظمة متعددة، مما يؤدي إلى رؤية مجزأة وعمليات كشف مفقودة.
تولد كل أداة أمان تنبيهات بشكل مستقل بدون عملية فرز موحدة، مما يخلق نقاطاً عمياء حيث تمتد الهجمات متعددة المراحل عبر حدود الأدوات دون تفعيل تنبيه موحد.
بدون كشف تسلل مستند إلى المضيف، تمر عمليات التنفيذ المشبوهة وتغييرات سلامة الملفات وتعديلات السجل على نقاط النهاية الفردية دون مراقبة، مما يسمح للمهاجمين بالعمل بحرية بعد الاختراق.
بدون قدرات HIDS، لا يمكن تحديد الهجمات التي لا تلمس القرص مثل الاستغلالات في الذاكرة وتقنيات استخدام أدوات النظام المدمجة وحقن العمليات على مستوى نقطة النهاية.
بدون NIDS، لا يتم تحديد أنماط حركة مرور الشبكة الخبيثة مثل فحص المنافذ وحمولات الاستغلال وسلوك الإشارة، تاركة الشبكة عمياء عن عمليات التسلل النشطة.
تفتقر قطاعات الشبكة الداخلية إلى قدرات الفحص، مما يسمح للمهاجمين الذين حصلوا على الوصول الأولي باستقصاء واستغلال أنظمة أخرى بحرية داخل البيئة.
بدون تصفية حركة المرور بين القطاعات، يمكن لجميع مناطق الشبكة الاتصال بحرية، مما يلغي حدود الاحتواء ويسمح للاختراقات بالانتشار عبر الشبكة بأكملها.
يعني غياب التصفية بين القطاعات أن مناطق الأمان العالية مثل معالجة الدفع أو مستويات قواعد البيانات يمكن الوصول إليها من مناطق ثقة أقل مثل شبكة Wi-Fi للضيوف أو محطات العمل العامة.
...و 14 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
تستهدف حملة تصيد متطورة موظفين لم يتلقوا أي تدريب توعية أمنية، مما يؤدي إلى اختراق بيانات اعتماد واسع لأن الموظفين لا يستطيعون التعرف على تكتيكات الهندسة الاجتماعية.
يقوم موظف دون علمه بتثبيت برمجيات خبيثة بالنقر على رابط خبيث أو فتح مرفق مسلّح لأنه لم يتم تثقيفه أبداً حول ممارسات الحوسبة الآمنة عبر برنامج توعية رسمي.
ينتحل مهاجم صفة مورد عبر الهاتف ويقنع موظفاً بمشاركة بيانات اعتماد النظام، وينجح لأنه لا يوجد برنامج توعية أمنية أسس ثقافة التحقق والتشكيك.
يرسل مهاجم بريداً إلكترونياً تصيدياً موجهاً ينتحل صفة مدير تنفيذي داخلي، ويُدخل المستلم بيانات اعتماده في صفحة تسجيل دخول مزيفة لأنه لم يُدرّب أبداً على تحديد مؤشرات التصيد.
ينتحل مهاجم صفة مدير تنفيذي عبر البريد الإلكتروني ويوجه موظفي المالية لتحويل أموال إلى حساب احتيالي، وينجح لأن الموظفين لم يُدربوا على التعرف على الذريعة والتحقق من الطلبات غير العادية.
يتبع شخص غير مصرح به موظفاً عبر باب يُتحكم به بالشارة بحمل صناديق والتظاهر بحاجته للمساعدة، مما يحصل على وصول مادي لأن الموظفين لم يُدربوا على التوعية بالتتبع.
يستخدم مهاجم بيانات اعتماد مسربة من اختراق طرف ثالث للوصول إلى حسابات المؤسسة لأن الموظفين لم يُدربوا أبداً على تفرد كلمات المرور ومخاطر إعادة استخدام بيانات الاعتماد عبر الخدمات.
يخدع مهاجم موظفاً للموافقة على إشعار MFA احتيالي لأن الموظف لم يُدرّب أبداً على كيفية عمل هجمات إرهاق MFA أو كيفية التعرف على طلبات المصادقة غير المصرح بها.
...و 18 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون برنامج توعية أمنية راسخ، لا يتلقى الموظفون تعليماً منظماً حول التهديدات الأمنية والممارسات الآمنة أو السياسات المؤسسية، تاركاً السلوك البشري كأضعف حلقة.
يعني غياب تدريب الأمان أثناء التأهيل أن الموظفين الجدد يبدأون في التعامل مع أصول وبيانات المؤسسة دون فهم مشهد التهديدات أو دورهم في الحفاظ على الأمان.
بدون تدريب محدد على التعرف على الهندسة الاجتماعية، لا يستطيع الموظفون التمييز بين رسائل التصيد الإلكتروني والمراسلات الشرعية أو تحديد محاولات الذريعة والتصيد الصوتي والتتبع.
يعني غياب تمارين التدريب العملي أن الموظفين ليس لديهم تعلم تجريبي يعزز التعرف على تكتيكات الهندسة الاجتماعية في سيناريوهات العالم الحقيقي.
بدون تدريب على أفضل ممارسات المصادقة، يعيد الموظفون عادة استخدام كلمات المرور ويختارون بيانات اعتماد ضعيفة ويخزنون كلمات المرور بشكل غير آمن، مما يزيد بشكل كبير سطح الهجوم للهجمات القائمة على بيانات الاعتماد.
الموظفون الذين لم يُدربوا على أفضل ممارسات MFA قد يشاركون رموزاً لمرة واحدة أو يوافقون على إشعارات دفع غير مطلوبة أو يفشلون في الإبلاغ عن محاولات مصادقة مشبوهة.
بدون تدريب على التعامل مع البيانات، لا يفهم الموظفون كيفية تصنيف البيانات حسب الحساسية أو اتباع الإجراءات المناسبة لتخزين ونقل وأرشفة وتدمير المعلومات الحساسة.
يؤدي غياب التدريب على ممارسات أمان مساحة العمل إلى ترك البيانات الحساسة مرئية على الشاشات والمكاتب واللوحات البيضاء حيث يمكن للأفراد غير المصرح بهم مشاهدتها.
...و 10 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
يتم اختراق مزود خدمة لديه وصول إلى بيانات المؤسسة، لكن المؤسسة لا تستطيع تقييم التأثير أو الاستجابة بفعالية لأنه ليس لديها سجل لأي المزودين لديهم وصول إلى أي بيانات.
يتعاقد قسم بشكل مستقل مع مزود خدمة سحابية يعالج بيانات حساسة، وفريق الأمان غير مدرك بالعلاقة لأنه لا يوجد سجل مزودي خدمة مركزي.
يحتفظ مزود خدمة سابق بوصول نشط إلى أنظمة المؤسسة بعد أشهر من انتهاء العقد لأنه لا يوجد سجل يتتبع علاقات المزودين أو جهات الاتصال المعينة المسؤولة عن إدارة دورة الحياة.
تطبق وحدات أعمال مختلفة متطلبات أمان متفاوتة وغالباً غير كافية على مزودي الخدمة لأنه لا توجد سياسة إدارة موحدة تحدد معايير تقييم ومراقبة وإيقاف الموردين.
يتم التعاقد مع مزود خدمة يتعامل مع بيانات منظمة حساسة بدون أي تقييم أمني لأنه لا توجد سياسة تفرض معايير التقييم قبل تأهيل الموردين.
يُعامل مزود خدمة يعالج أحجاماً كبيرة من البيانات المنظمة الحساسة بنفس الحد الأدنى من الإشراف كمورد لوازم مكتبية منخفض المخاطر لأنه لا يوجد نظام تصنيف يميز مستويات مخاطر المزودين.
تفشل مؤسسة في تدقيق تنظيمي لأنها لا تستطيع إثبات إشراف مناسب للمخاطر على مزودي الخدمة الذين يتعاملون مع بيانات صحية أو مالية محمية، حيث لا يوجد مخطط تصنيف.
يعاني مزود خدمة من اختراق يؤثر على بيانات المؤسسة لكنه يؤخر الكشف لأشهر لأنه لا يوجد متطلب تعاقدي يفرض إخطار الاختراق في الوقت المناسب، تاركاً المؤسسة غير قادرة على الاستجابة.
...و 10 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون سجل محدث لجميع مزودي الخدمة، لا تمتلك المؤسسة رؤية لأي أطراف ثالثة لديها وصول إلى بيانات أو أنظمة أو شبكات المؤسسة.
يعني غياب تصنيف مزود الخدمة وجهات الاتصال المعينة أن المؤسسة لا تستطيع تحديد التعرض للمخاطر بسرعة أو تنسيق الاستجابة عندما يواجه مزود حادثاً أمنياً.
بدون سياسة إدارة مزودي الخدمة، لا توجد متطلبات موحدة لتصنيف وتقييم ومراقبة أو إيقاف الموردين، مما يؤدي إلى إدارة مخاطر أطراف ثالثة غير متسقة وغالباً غير كافية.
يعني غياب سياسة تتناول دورة حياة المورد الكاملة أن المزودين يتم تأهيلهم بدون متطلبات أمنية ويبقون نشطين بدون إعادة تقييم دورية أو إيقاف مناسب.
بدون تصنيف المزودين حسب حساسية البيانات والحجم ومتطلبات التوفر والتعرض التنظيمي، تطبق المؤسسة ضوابط موحدة وغالباً غير كافية بغض النظر عن المخاطر الفعلية.
يمنع غياب التصنيف المؤسسة من تركيز موارد الإشراف الأمني على مزودي الخدمة الأعلى مخاطر، مما يؤدي إلى اهتمام غير كافٍ بعلاقات الموردين الحرجة.
بدون متطلبات أمنية تعاقدية، لا يتحمل المزودون أي التزام قانوني لتطبيق التشفير أو إخطار المؤسسة بالاختراقات أو الحفاظ على برامج أمان دنيا أو التخلص من البيانات بشكل آمن.
يعني غياب بنود أمنية في العقود أن المؤسسة ليس لديها حق في تدقيق أو تقييم أو التحقق من وضعية أمان مزود الخدمة أو امتثاله للمعايير المتوقعة.
...و 6 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
تحتوي تطبيقات متعددة مطورة داخلياً على نفس فئات الثغرات مثل عيوب الحقن والمصادقة المكسورة لأنه لا توجد عملية تطوير آمنة تحدد معايير الترميز أو المتطلبات الأمنية.
يدمج المطورون مكتبات مفتوحة المصدر بثغرات حرجة معروفة في تطبيقات الإنتاج لأن عملية التطوير ليس لديها متطلبات لفحص أمان الكود الخارجي.
يتم تسريع التطبيقات إلى الإنتاج بدون أي اختبار أمني لأنه لا توجد عملية تطوير آمنة رسمية تفرض بوابات أمان في خط أنابيب الإصدار.
يكشف باحث أمني علنياً عن ثغرة في تطبيق المؤسسة بعد فشل محاولات الكشف المسؤول لأنه لا توجد عملية لاستقبال وفرز تقارير الثغرات.
يكتشف مهاجم ويستغل ثغرة أبلغ عنها مستخدم لكنها لم تُعالج أبداً لأن المؤسسة ليس لديها آلية استقبال لتقارير الثغرات.
تتكرر نفس فئة الثغرة مثل حقن SQL عبر تطبيقات متعددة لأنه يتم تصحيح العيوب الفردية بدون تحليل السبب الجذري، مما يسمح لخطأ الترميز المنهجي بالاستمرار.
يستمر فريق تطوير في إنتاج كود بنفس عيب تجاوز المصادقة لأنه لم يتم إجراء تحليل سبب جذري يحدد فجوة العملية أو المعرفة الأساسية المسببة للثغرة المتكررة.
يتم اختراق مكتبة طرف ثالث مستخدمة على نطاق واسع ومضمنة في التطبيق من قبل مهاجم يحقن كوداً خبيثاً في تحديث، ولا تكون المؤسسة مدركة لأنه ليس لديها سجل لمكونات الأطراف الثالثة.
...و 30 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون عملية تطوير آمنة، لا توجد معايير محددة للتصميم الآمن وممارسات الترميز وإدارة الثغرات أو الاختبار الأمني، مما يؤدي إلى تطبيقات بنقاط ضعف أمنية منهجية.
يعني غياب عملية رسمية أن الاختبار الأمني ومراجعة الكود وتقييم الثغرات ليست مراحل مطلوبة في دورة حياة إصدار البرمجيات.
بدون عملية لقبول ومعالجة تقارير ثغرات البرمجيات، لا تستطيع المؤسسة استقبال أو فرز أو معالجة العيوب المُبلّغ عنها، تاركة الثغرات المعروفة دون تصحيح.
يعني غياب قناة عامة للباحثين الخارجيين للإبلاغ عن الثغرات أن المؤسسة تفتقد تحذيرات مبكرة حول عيوب قابلة للاستغلال في تطبيقاتها.
بدون تحليل السبب الجذري، تعالج المؤسسة فقط الأعراض (الأخطاء الفردية) بدلاً من الأسباب الكامنة (أنماط ترميز غير آمنة وتدريب مفقود وبنية معيبة)، مما يؤدي إلى ثغرات متكررة.
يبقي غياب تحليل السبب الجذري فريق التطوير في وضع تفاعلي بحت، يصحح الثغرات الفردية بدون تحسين الأمان المنهجي لقاعدة الكود.
بدون سجل لمكونات الأطراف الثالثة، لا تستطيع المؤسسة تحديد التطبيقات التي تستخدم مكتبات معرضة أو مخترقة عند كشف تهديدات جديدة.
يعني غياب سجل مكونات محدث أن المخاطر المرتبطة بكل تبعية مثل الثغرات المعروفة ومشكلات الترخيص وحالة الدعم لا يتم تقييمها أو مراقبتها.
...و 20 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
يتصاعد حادث أمني لأنه لا يوجد أفراد معينون لتنسيق الاستجابة، مما يؤدي إلى اتخاذ قرارات مخصصة وجهود مكررة وفترة بقاء مهاجم ممتدة.
الشخص الوحيد الذي يمتلك معرفة التعامل مع الحوادث يكون غير قابل للوصول أثناء هجوم برنامج فدية، ولم يُعيّن بديل، تاركاً المؤسسة مشلولة خلال الساعات الأولى الحرجة من الحادث.
بعد اختراق بيانات، تفشل المؤسسة في إخطار الجهات التنظيمية المطلوبة ضمن الأطر الزمنية المفروضة لأنه لا توجد قائمة اتصال محدثة لأطراف الإبلاغ عن الحوادث.
تُرفض مطالبة التأمين الإلكتروني للمؤسسة لأن شركة التأمين لم تُخطر ضمن الإطار الزمني المطلوب، حيث لم تكن معلومات اتصال الحوادث لمزود التأمين متاحة بسهولة.
أثناء هجوم برنامج فدية نشط، تُهدر ساعات حرجة في محاولة تحديد جهات اتصال إنفاذ القانون الصحيحة لأنه لا توجد قائمة اتصال مسبقة للإبلاغ عن الحوادث الأمنية.
يلاحظ موظف مؤشرات اختراق لكنه لا يُبلغ لأنه لا توجد عملية إبلاغ مؤسسية تحدد كيف ومتى ولمن يجب الإبلاغ عن الحوادث.
يُبلغ موظف عن اختراق مشتبه به لمديره المباشر بدلاً من فريق الأمان، وتستغرق المعلومات أياماً للوصول إلى الأشخاص المناسبين لأنه لا توجد عملية إبلاغ رسمية.
أثناء اختراق كبير، تكون جهود الاستجابة غير منسقة لأنه لا توجد عملية موثقة تحدد الأدوار والمسؤوليات ومسارات التصعيد أو خطط الاتصال، مما يؤدي إلى تدمير الأدلة ووصول المهاجم الممتد.
...و 14 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون معالج حوادث معين وبديل، لا توجد ملكية واضحة لتنسيق الحوادث، مما يؤدي إلى ارتباك وتأخر الاستجابة ونقص المساءلة أثناء الأحداث الأمنية.
إذا تم الاستعانة بمصادر خارجية للاستجابة للحوادث بدون معيّن داخلي للإشراف على العمل، تفقد المؤسسة السيطرة على أولويات الاستجابة ومعالجة الأدلة والاتصالات أثناء الحوادث.
بدون قائمة حالية لجهات اتصال الإبلاغ عن الحوادث بما في ذلك الجهات التنظيمية وجهات إنفاذ القانون وشركات التأمين والشركاء، تتأخر الإخطارات الحرجة أو تُفقد أثناء مرحلة الاستجابة للحوادث الحساسة للوقت.
يعني غياب التحقق السنوي من جهات الاتصال أنه أثناء الحادث، قد تحاول المؤسسة الوصول إلى أصحاب المصلحة على أرقام هواتف أو عناوين بريد إلكتروني قديمة، مما يتسبب في فشل الاتصال.
بدون عملية إبلاغ محددة، يفتقر الموظفون إلى إرشادات واضحة حول أطر الإبلاغ الزمنية ومن يجب الاتصال به وكيفية الإبلاغ والحد الأدنى من المعلومات المطلوبة، مما يؤدي إلى حوادث غير مُبلّغ عنها أو سيئة الإبلاغ.
حتى إذا وُجدت عملية إبلاغ، فهي غير فعالة إذا لم تكن متاحة بسهولة لجميع أعضاء القوة العاملة، مما يؤدي إلى عدم قدرة الموظفين على إيجاد تعليمات الإبلاغ أثناء حادث مشتبه به.
بدون عملية استجابة للحوادث موثقة، لا تمتلك المؤسسة دليل تشغيل محدد مسبقاً للأدوار والمسؤوليات ومتطلبات الامتثال أو الاتصال أثناء الحوادث الأمنية.
يعني غياب خطة اتصال ضمن عملية الاستجابة للحوادث أن الاتصالات الداخلية والخارجية أثناء الحوادث تكون مخصصة وغير متسقة ومحتملة الضرر.
...و 10 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
سيناريوهات التهديد
تبقى ثغرات حرجة قابلة للاستغلال في شبكة وتطبيقات وخدمات المؤسسة غير مكتشفة لأنه لا يوجد برنامج اختبار اختراق لتحديدها استباقياً قبل المهاجمين.
تعتمد المؤسسة فقط على فحص الثغرات الآلي، الذي يفتقد سلاسل الهجوم المعقدة ونقاط ضعف التكوين التي سيكشفها فقط برنامج اختبار اختراق منظم.
تفشل المؤسسة في تلبية المتطلبات التنظيمية أو التعاقدية لاختبار الاختراق لأنه لم يتم إنشاء برنامج بنطاق وتكرار وعمليات معالجة محددة.
يستغل مهاجم خدمة خارجية مكونة بشكل خاطئ كان سيتم تحديدها من خلال اختبار اختراق خارجي، مما يحصل على وصول أولي لشبكة المؤسسة.
يتم استغلال معلومات متاحة علنياً مثل بيانات اعتماد مكشوفة ومستندات داخلية أو تفاصيل البنية التحتية من قبل مهاجم لأنه لم يحدد أي اختبار اختراق خارجي بمرحلة استطلاع هذا التعرض.
يكتشف مهاجم نقطة دخول خارجية مغفلة مثل نقطة نهاية VPN قديمة أو نطاق فرعي منسي لا تغطيها ضوابط الأمان المحيطية، لأنه لم يُرسم أي اختبار اختراق خارجي سطح الهجوم الكامل.
يستغل مهاجم ثغرة تم تحديدها في اختبار اختراق لكنها لم تُعالج أبداً لأنه لا توجد عملية لتتبع وتحديد أولويات معالجة نتائج الاختبار.
يتم تخفيض أولوية نتيجة اختبار اختراق حرجة من قبل فريق تطوير يركز على الميزات لأنه لا توجد سياسة مؤسسية تفرض جداول زمنية للمعالجة بناءً على خطورة النتيجة.
...و 6 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
الثغرات (عند غياب الضابط)
بدون برنامج اختبار اختراق يحدد النطاق والتكرار والمنهجية وعمليات المعالجة، لا تمتلك المؤسسة آلية استباقية لاكتشاف الثغرات القابلة للاستغلال قبل المهاجمين.
يعني غياب البرنامج أنه حتى اختبارات الاختراق المخصصة تُنتج نتائج بدون عملية محددة لتوجيه وتحديد أولويات وتتبع معالجة الثغرات المكتشفة.
بدون اختبار اختراق خارجي دوري، لا يتم تقييم الأنظمة والخدمات والتكوينات المواجهة للإنترنت من منظور المهاجم، تاركة نقاط ضعف قابلة للاستغلال في المحيط دون اكتشاف.
يعني غياب الاختبار الخارجي مع الاستطلاع أن معلومات المؤسسة المكشوفة علنياً مثل بيانات الاعتماد المسربة والخدمات المكونة بشكل خاطئ وبيانات OSINT لا يتم تحديدها أو معالجتها.
بدون نطاق معالجة وسياسة أولوية محددين، لا تتم معالجة نتائج اختبار الاختراق بشكل منهجي، تاركة الثغرات المحددة قابلة للاستغلال لفترة طويلة بعد الاكتشاف.
يعني غياب متطلبات المعالجة أن تقارير اختبار الاختراق تصبح وثائق رفوف، مع الاعتراف بالنتائج لكن دون تعيينها أو تتبعها أو التحقق من إصلاحها.
بدون التحقق من التدابير الأمنية بعد اختبارات الاختراق، لا تعرف المؤسسة ما إذا كانت ضوابط الكشف والمنع يمكنها فعلاً تحديد وحظر التقنيات المستخدمة أثناء الاختبار.
يعني غياب التحقق بعد الاختبار أن قواعد SIEM وتوقيعات IDS وسياسات جدار الحماية لا تُضبط لكشف تقنيات الهجوم المحددة التي استخدمها مختبرو الاختراق بنجاح.
...و 2 المزيد. راجع الإجراءات الوقائية الفردية للقائمة الكاملة.
خيارات معالجة المخاطر
التقليل (التخفيف)
تنفيذ ضمانات لتقليل المخاطر إلى مستوى مقبول. هذا هو العلاج الأكثر شيوعاً لمخاطر الأمن السيبراني المحددة من خلال CIS RAM.
متى يُستخدم
عند وجود ضمانات فعالة ليست أكثر عبئاً من المخاطر نفسها.
التوثيق المطلوب
خطة معالجة المخاطر مع ضمانات محددة وجدول زمني للتنفيذ والأطراف المسؤولة ومقاييس النجاح.
القبول
الاعتراف الرسمي بالمخاطر وقبولها دون تنفيذ ضمانات إضافية. يجب توثيق قبول المخاطر بمبرر واضح واعتماده من السلطة المناسبة.
متى يُستخدم
عندما تكون المخاطر ضمن الحدود المقبولة، أو عندما تكون الضمانات المتاحة أكثر عبئاً من المخاطر (المبدأ 3). مناسب أيضاً عندما تتجاوز تكلفة المعالجة بشكل كبير التأثير المحتمل.
التوثيق المطلوب
بيان قبول رسمي للمخاطر موقع من مسؤول تنفيذي مفوض، يتضمن: وصف المخاطر، تقييم التأثير، مبرر القبول، تاريخ المراجعة، والشروط التي تستدعي إعادة التقييم.
النقل
نقل المخاطر إلى طرف ثالث من خلال التأمين أو الاستعانة بمصادر خارجية أو الترتيبات التعاقدية. لاحظ أنه بينما يمكن نقل المخاطر المالية، فإن مخاطر السمعة والتزامات واجب الرعاية لا يمكن نقلها عموماً.
متى يُستخدم
عندما يمكن تعويض التأثير المالي للمخاطر بالتأمين أو عندما يمكن لطرف ثالث متخصص إدارة المخاطر بشكل أكثر فعالية.
التوثيق المطلوب
بوالص التأمين واتفاقيات مستوى الخدمة وبنود توزيع المخاطر التعاقدية وأدلة على كفاية ضوابط الطرف الثالث.
التجنب
القضاء على المخاطر بإزالة النشاط أو النظام أو العملية التي تخلقها. هذا هو الخيار العلاجي الأكثر فعالية ولكنه أيضاً الأكثر تعطيلاً.
متى يُستخدم
عندما لا يمكن تقليل المخاطر إلى مستوى مقبول والنشاط ليس أساسياً لرسالة المؤسسة.
التوثيق المطلوب
دراسة جدوى لإلغاء النشاط وخطة الترحيل والتحقق من إزالة مصدر المخاطر.