IG1 IG2 IG3

استخدام خدمات تصفية DNS

مجموعة الضابط: 9. حماية البريد الإلكتروني ومتصفح الويب

نوع الأصل: الشبكة

وظيفة الأمان: حماية

الوصف

استخدام خدمات تصفية DNS على جميع أصول المؤسسة لحظر الوصول إلى النطاقات الخبيثة المعروفة.

قائمة التحقق من التطبيق

1

تنفيذ حل تصفية/أمان DNS

2

تهيئة حظر النطاقات الخبيثة المعروفة

3

تفعيل تسجيل ومراقبة استعلامات DNS

4

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

5

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

6

تنفيذ الضوابط والإجراءات المطلوبة

7

التحقق من التنفيذ من خلال الاختبار والتدقيق

8

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Zscaler Internet Access Gartner MQ Leader, SSE 2024

بوابة ويب آمنة سحابية أصلية مع الفحص المباشر وتصفية عناوين الويب وبيئة الاختبار المعزولة ومنع فقدان البيانات لحركة مرور الويب

Zscaler · اشتراك لكل مستخدم

Palo Alto Networks NGFW Gartner MQ Leader, Network Firewalls 2024

منصة جدار حماية من الجيل التالي مع سياسات واعية بالتطبيقات ومنع التهديدات وتصفية عناوين الويب وشبكة واسعة معرّفة بالبرمجيات

Palo Alto Networks · جهاز + اشتراك

Fortinet FortiGate Gartner MQ Leader, Network Firewalls 2024

جدار حماية مؤسسي ونسيج أمني مع جدار حماية من الجيل التالي وشبكة واسعة معرّفة بالبرمجيات ونظام منع التسلل وخدمات أمنية متكاملة

Fortinet · جهاز + اشتراك

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

اتصال البرمجيات الخبيثة بنطاقات قيادة وتحكم معروفة

السرية

تتواصل البرمجيات الخبيثة على أصول المؤسسة مع نطاقات خبيثة معروفة للحصول على تعليمات القيادة والتحكم وتنزيل الحمولات وتسريب البيانات، وبدون تصفية DNS تنجح هذه الاتصالات بلا عائق.

الوصول إلى نطاق تصيد يؤدي إلى سرقة بيانات الاعتماد

السرية

ينقر المستخدمون على روابط تصيد تحل إلى نطاقات خبيثة معروفة تحاكي صفحات تسجيل الدخول الشرعية، وبدون الحظر على مستوى DNS يمكن الوصول إلى هذه النطاقات بحرية، مما يمكن جمع بيانات الاعتماد على نطاق واسع.

اتصالات نطاقات تعدين العملات المشفرة والإعلانات الخبيثة

التوفر

تتصل أصول المؤسسة بنطاقات تستضيف نصوص تعدين العملات المشفرة أو إعلانات خبيثة تسلم تنزيلات عابرة، مستهلكة الموارد ومحتملة تثبيت برمجيات خبيثة لأنه لا يوجد تصفية DNS تحظر هذه التهديدات المعروفة.

الثغرات (عند غياب الإجراء الوقائي)

عدم نشر خدمة تصفية DNS

تحل أصول المؤسسة استعلامات DNS بدون أي تصفية، مما يسمح بالاتصال بالنطاقات الخبيثة المعروفة وبنية التصيد التحتية وخوادم القيادة والتحكم لجهات التهديد بدون أي منع أو تنبيه.

تجاوز تصفية DNS عبر IP مباشر أو DNS خارجي

حتى حيث توجد تصفية DNS، يمكن لنقاط النهاية تجاوزها باستخدام عناوين IP مضمنة أو محللات DNS خارجية (DoH وDoT) غير محظورة على محيط الشبكة، مما ينفي الحماية.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
تقني	تهيئة تصفية DNS وإحصائيات الحظر	شهرياً
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة التكوين الآمن

Control 4, Control 9, Control 12

سياسة أمن البريد الإلكتروني

Control 9

الإجراءات الوقائية ذات الصلة في الضابط 9

9.1 ضمان استخدام متصفحات وعملاء بريد إلكتروني مدعومة بالكامل فقط

9.3 صيانة وفرض مرشحات URL القائمة على الشبكة

9.4 تقييد إضافات المتصفح وعميل البريد الإلكتروني غير الضرورية أو غير المصرح بها

9.5 تطبيق DMARC

9.6 حظر أنواع الملفات غير الضرورية

9.7 نشر وصيانة حماية مكافحة البرمجيات الخبيثة لخادم البريد الإلكتروني