تنفيذ التصفية على مستوى التطبيقات
الوصف
إجراء التصفية على مستوى التطبيقات. تتضمن تطبيقات المثال استخدام وكيل تصفية أو جدار حماية على مستوى التطبيقات أو بوابة.
قائمة التحقق من التطبيق
توصيات الأدوات
بوابة ويب آمنة سحابية أصلية مع الفحص المباشر وتصفية عناوين الويب وبيئة الاختبار المعزولة ومنع فقدان البيانات لحركة مرور الويب
Zscaler · اشتراك لكل مستخدم
منصة سحابية أصلية لمنع فقدان البيانات ووسيط أمان الوصول السحابي توفر حماية مباشرة للبيانات عبر البرمجيات كخدمة والبنية التحتية كخدمة والويب ونقاط النهاية
Netskope · اشتراك لكل مستخدم
منصة جدار حماية من الجيل التالي مع سياسات واعية بالتطبيقات ومنع التهديدات وتصفية عناوين الويب وشبكة واسعة معرّفة بالبرمجيات
Palo Alto Networks · جهاز + اشتراك
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
هجوم طبقة التطبيق يتجاوز قواعد جدار الحماية القائمة على المنافذ
السلامةيسلم مهاجم استغلال تطبيق ويب عبر المنفذ 443 يسمح به جدار حماية تقليدي لتصفية الحزم، لأنه لا توجد تصفية طبقة تطبيق تفحص محتوى طلب HTTP لحمولات خبيثة.
تسريب بيانات عبر نفق بروتوكولات تطبيق مسموحة
السريةيمرر مهاجم تسريب البيانات عبر استعلامات DNS أو حركة HTTPS التي تسمح بها جدران الحماية القائمة على المنافذ، وينجح لأنه لا يوجد فحص طبقة تطبيق يحدد القناة السرية.
تحميل ملف خبيث عبر حركة ويب مسموحة
السلامةيحمّل مهاجم واجهة ويب خبيثة إلى خادم عبر طلب HTTP POST شرعي يمر عبر جدران حماية الشبكة، لأنه لا توجد تصفية الطبقة 7 أو WAF يفحص محتوى حركة المرور المسموحة.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود فحص عميق للحزم على طبقة التطبيق
بدون تصفية طبقة التطبيق، تقيم ضوابط أمان الشبكة حركة المرور فقط على طبقة النقل، مما يسمح بجميع أشكال الهجمات على مستوى التطبيق التي تستخدم منافذ وبروتوكولات مسموحة.
عدم القدرة على كشف إساءة استخدام البروتوكول والتمرير النفقي
يعني غياب فحص الطبقة 7 أن المهاجمين يمكنهم إساءة استخدام البروتوكولات الشرعية لاتصالات القيادة والتحكم وتسريب البيانات والقنوات السرية بدون كشف.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |