IG2 IG3

تمكين ميزات مكافحة الاستغلال

مجموعة الضابط: 10. الدفاع ضد البرمجيات الخبيثة

نوع الأصل: الأجهزة

وظيفة الأمان: حماية

الوصف

تمكين ميزات مكافحة الاستغلال على أصول المؤسسة والبرمجيات حيثما كان ذلك مدعومًا مثل منع تنفيذ البيانات من Microsoft أو حماية الأمان المعززة أو تقنيات مماثلة.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

CrowdStrike Falcon Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

منصة سحابية أصلية لحماية نقاط النهاية مع مكافحة فيروسات من الجيل التالي واكتشاف التهديدات والاستجابة لها واستخبارات التهديدات والصيد المُدار

CrowdStrike · اشتراك لكل نقطة نهاية

Microsoft Defender for Endpoint Gartner MQ Leader, EPP 2024

أمان نقاط النهاية المؤسسي مع منع التهديدات واكتشاف التهديدات والاستجابة لها والتحقيق الآلي وتقليل سطح الهجوم

Microsoft · اشتراك لكل جهاز (P1/P2)

SentinelOne Singularity Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

حماية نقاط النهاية المدعومة بالذكاء الاصطناعي مع استجابة مستقلة وقدرات الاكتشاف والاستجابة الموسعة عبر نقاط النهاية والسحابة والهوية

SentinelOne · اشتراك لكل نقطة نهاية

Palo Alto Cortex XDR Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

منصة الاكتشاف والاستجابة الموسعة تربط بيانات نقاط النهاية والشبكة والسحابة والهوية لاكتشاف التهديدات

Palo Alto Networks · اشتراك لكل نقطة نهاية

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استغلال فساد الذاكرة يحقق تنفيذ الأكواد

السرية

يستغل المهاجمون ثغرات تجاوز المخزن المؤقت أو الاستخدام بعد التحرير أو رش الكومة في التطبيقات لتحقيق تنفيذ أكواد تعسفي، وهو ما ستمنعه أو تعقده بشكل كبير ميزات مكافحة الاستغلال مثل DEP وASLR وCFG.

برمجيات خبيثة بدون ملفات تستغل تخفيفات الاستغلال المعطلة

السلامة

تستغل تقنيات الهجوم بدون ملفات التي تعمل بالكامل في الذاكرة غياب ميزات مكافحة الاستغلال لحقن أكواد خبيثة في العمليات الشرعية، متهربة من كشف مكافحة البرمجيات الخبيثة التقليدي القائم على الملفات تماماً.

استغلال يوم صفر للمتصفح بدون حارس الاستغلال

السرية

تنجح استغلالات يوم صفر للمتصفح لأن ميزات مكافحة الاستغلال مثل Windows Defender Exploit Guard وControl Flow Guard أو وضع الحماية غير ممكّنة، مما يسمح بتقنيات التلاعب بالذاكرة التي ستحظرها هذه التخفيفات.

الثغرات (عند غياب الإجراء الوقائي)

عدم تمكين ميزات مكافحة الاستغلال على مستوى نظام التشغيل

لم يتم تمكين ميزات مكافحة الاستغلال المدمجة في نظام التشغيل مثل DEP وإنفاذ ASLR وSEHOP وWindows Defender Exploit Guard أو يتم تكوينها باستثناءات تقلل فعاليتها.

تعطيل تخفيفات الاستغلال على مستوى التطبيق

يتم تعطيل أو إضعاف تخفيفات الاستغلال الخاصة بالتطبيقات مثل Apple SIP وGatekeeper أو وضع حماية المتصفح بواسطة التكوين، مما يزيل طبقات الدفاع متعدد الطبقات التي ستحظر أو تحتوي محاولات الاستغلال.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة مكافحة البرمجيات الخبيثة

Control 10

الإجراءات الوقائية ذات الصلة في الضابط 10

10.1 نشر وصيانة برمجيات مكافحة البرمجيات الخبيثة

10.2 تكوين التحديث التلقائي لتوقيعات مكافحة البرمجيات الخبيثة

10.3 تعطيل التشغيل التلقائي والتشغيل الآلي للوسائط القابلة للإزالة

10.4 تكوين الفحص التلقائي لمكافحة البرمجيات الخبيثة للوسائط القابلة للإزالة

10.6 إدارة مركزية لبرمجيات مكافحة البرمجيات الخبيثة

10.7 استخدام برمجيات مكافحة البرمجيات الخبيثة القائمة على السلوك