IG2 IG3

صيانة وفرض مرشحات URL القائمة على الشبكة

مجموعة الضابط: 9. حماية البريد الإلكتروني ومتصفح الويب

نوع الأصل: الشبكة

وظيفة الأمان: حماية

الوصف

فرض وتحديث مرشحات URL القائمة على الشبكة لتقييد أصول المؤسسة من الاتصال بمواقع ويب غير موثوقة أو غير معتمدة محتملة. تتضمن تطبيقات المثال تصفية القائم على الفئة وتصفية القائم على السمعة أو من خلال استخدام قوائم الحظر. فرض المرشحات على جميع أصول المؤسسة.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Palo Alto Networks NGFW Gartner MQ Leader, Network Firewalls 2024

منصة جدار حماية من الجيل التالي مع سياسات واعية بالتطبيقات ومنع التهديدات وتصفية عناوين الويب وشبكة واسعة معرّفة بالبرمجيات

Palo Alto Networks · جهاز + اشتراك

Zscaler Internet Access Gartner MQ Leader, SSE 2024

بوابة ويب آمنة سحابية أصلية مع الفحص المباشر وتصفية عناوين الويب وبيئة الاختبار المعزولة ومنع فقدان البيانات لحركة مرور الويب

Zscaler · اشتراك لكل مستخدم

Fortinet FortiGate Gartner MQ Leader, Network Firewalls 2024

جدار حماية مؤسسي ونسيج أمني مع جدار حماية من الجيل التالي وشبكة واسعة معرّفة بالبرمجيات ونظام منع التسلل وخدمات أمنية متكاملة

Fortinet · جهاز + اشتراك

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

تنزيل عابر من مواقع ويب شرعية مخترقة

السلامة

يزور المستخدمون مواقع ويب شرعية لكنها مخترقة تعيد التوجيه إلى عناوين URL خبيثة تستضيف أدوات استغلال، وبدون تصفية URL على مستوى الشبكة تنجح هذه التوجيهات الخبيثة في تسليم حمولات البرمجيات الخبيثة.

جمع بيانات الاعتماد عبر مواقع تصيد منتحلة الفئة

السرية

تستخدم حملات التصيد المتطورة نطاقات مُنشأة حديثاً تحاكي بوابات تسجيل الدخول المؤسسية، وبدون تصفية سمعة URL والحظر القائم على الفئة يمكن لجميع مستخدمي المؤسسة الوصول إلى هذه المواقع.

تسريب البيانات عبر عناوين URL للتخزين السحابي غير المصنفة

السرية

يقوم المهاجمون أو المطلعون الخبيثون بتحميل بيانات حساسة إلى التخزين السحابي الشخصي أو خدمات مشاركة الملفات أو مواقع اللصق، وبدون تصفية URL حسب الفئة تبقى قنوات تسريب البيانات هذه غير محظورة.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود تصفية URL على مستوى الشبكة أو بوابة ويب آمنة

لا تفرض المؤسسة تصفية URL على مستوى الشبكة، مما يسمح لأصول المؤسسة بالاتصال بأي موقع ويب بغض النظر عن سمعته أو فئته أو حالة التهديد المعروفة.

عدم تحديث سياسات تصفية URL بمعلومات التهديد الحالية

توجد تصفية URL لكن قوائم الحظر وقواعد بيانات الفئات لا يتم تحديثها بانتظام بمعلومات التهديد الحالية، مما يسمح لعناوين URL الخبيثة المحددة حديثاً بتجاوز ضوابط التصفية.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة أمن البريد الإلكتروني

Control 9

سياسة أمن متصفح الويب

Control 9

الإجراءات الوقائية ذات الصلة في الضابط 9

9.1 ضمان استخدام متصفحات وعملاء بريد إلكتروني مدعومة بالكامل فقط

9.2 استخدام خدمات تصفية DNS

9.4 تقييد إضافات المتصفح وعميل البريد الإلكتروني غير الضرورية أو غير المصرح بها

9.5 تطبيق DMARC

9.6 حظر أنواع الملفات غير الضرورية

9.7 نشر وصيانة حماية مكافحة البرمجيات الخبيثة لخادم البريد الإلكتروني