نشر حل منع التسلل القائم على المضيف
الوصف
نشر حل منع التسلل القائم على المضيف على أصول المؤسسة حيثما كان ذلك مناسبًا و/أو مدعومًا. تتضمن تطبيقات المثال استخدام عميل كشف واستجابة نقطة النهاية (EDR) أو عميل نظام منع التسلل القائم على المضيف (HIPS).
قائمة التحقق من التطبيق
توصيات الأدوات
اكتشاف الشبكة والاستجابة المدعوم بالذكاء الاصطناعي مع تحليل التهديدات ذاتي التعلم والاستجابة المستقلة
Darktrace · اشتراك مؤسسي
اكتشاف التهديدات والاستجابة المدعوم بالذكاء الاصطناعي للشبكة والسحابة والهوية مع استخبارات إشارات الهجوم
Vectra AI · اشتراك مؤسسي
منصة اكتشاف الشبكة والاستجابة مع تحليل حركة المرور في الوقت الفعلي وفحص حركة المرور المشفرة والرؤية السحابية
ExtraHop · اشتراك لكل جهاز أو حسب عرض النطاق
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تنفيذ برنامج فدية رغم تنبيه الكشف
التوفرتحدد أداة كشف مستندة إلى المضيف سلوك برنامج فدية لكنها تستطيع التنبيه فقط وليس الحظر، مما يسمح للبرمجيات الخبيثة بتشفير الملفات قبل أن يستجيب المحلل لأنه لا توجد قدرة منع مستندة إلى المضيف.
تنفيذ استغلال يوم صفر على نقطة النهاية
السلامةيسلم مهاجم استغلال يوم صفر عبر مستند تصيد احتيالي موجه ينفذ أكواداً خبيثة على نقطة النهاية، وبدون منع تسلل مستند إلى المضيف لا يمكن حظر الاستغلال تلقائياً بناءً على التحليل السلوكي.
تنفيذ أداة تفريغ بيانات الاعتماد على مضيف مخترق
السريةيشغل مهاجم Mimikatz أو أدوات جمع بيانات اعتماد مماثلة على محطة عمل مخترقة، مستخرجاً بيانات الاعتماد المخزنة مؤقتاً بدون منع آلي لأنه لا يوجد HIPS/EDR منشور لحظر تقنيات الهجوم المعروفة.
الثغرات (عند غياب الإجراء الوقائي)
قدرة كشف فقط بدون منع آلي
بدون منع تسلل مستند إلى المضيف، لا يمكن حظر النشاط الخبيث المحدد من خلال الكشف فقط تلقائياً، مما يخلق فجوة بين توليد التنبيه والاستجابة اليدوية للحوادث.
عدم وجود حظر سلوكي لنقطة النهاية
يعني غياب HIPS أو EDR بقدرات المنع أن نقاط النهاية لا تستطيع إنهاء العمليات الخبيثة تلقائياً أو عزل الملفات المشبوهة أو حظر تقنيات الاستغلال في الوقت الفعلي.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |