نقطة ضعف (حوسبة)

ضعف أمني يسمح لنظام معلوماتي

في سياق أمن الحاسوب، نقطة الضعف[1] هي ثغرة تسمح للمخترق أن يقلص من ضمان المعلومات لنظام ما. فالضعف هو تقاطع ثلاثة عناصر: عيب في النظام، ومخترق يصل لهذا العيب، وقدرة هذا الهاكر على استغلال هذا العيب. لاستغلال الثغرة الأمنية، يجب أن يكون لدى المهاجم أداة واحدة أو تقنية قابلة للتطبيق على الأقل يمكنها الاتصال بضعف النظام. في هذا الإطار، ويعرف الضعف أيضا باسم سطح الهجوم.

مخطط زمني لثغرة أمنية في الأجهزة /البرامج التي تم استغلالها في هجوم اليوم صفر وتم تصحيحها لاحقًا

ويمكن تصنيف الخطر الأمني على أنه ضعف. استخدام الضعف مع نفس المعنى من المخاطر يمكن أن يؤدي إلى الارتباك. ويرتبط الخطر باحتمال حدوث خسارة كبيرة. ثم هناك نقاط ضعف دون مخاطر: على سبيل المثال عندما يكون الأصول المتضررة لا قيمة لها. ويصنف الضعف مع واحد أو أكثر من الحالات المعروفة من العمل والهجمات تنفيذها بالكامل على أنها الضعف القابل للاستغلال - الضعف التي يوجد استغلال لها. نافذة الضعف هي الوقت الذي تم فيه إدخال ثغرة أمنية أو تجلى في البرامج التي تم نشرها، إلى عندما تم إزالة الوصول، تم توفير إصلاح الأمان / نشرها، أو تم تعطيل المهاجم - انظر هجوم اليوم صفر.

علة الأمن (عيب الأمن) هو مفهوم أضيق: هناك نقاط الضعف التي لا تتعلق البرمجيات: الأجهزة، الموقع، ومواطن الضعف الموظفين أمثلة على نقاط الضعف التي ليست أخطاء الأمن البرمجيات.

بناء في لغات البرمجة التي يصعب استخدامها بشكل صحيح يمكن أن يكون مصدرا كبيرا من نقاط الضعف.

نظرة عامة

عدل

يتمثل ضعف أنظمة الحاسوب بوجود نقاط ضعف أمنية يمكن استغلالها من قِبل طرف خبيث (مثل مهاجم سيبراني) لتنفيذ عمليات غير مصرح بها داخل نظام حاسوب معين. لا بد للطرف المهاجم من أن يمتلك أداة عملية واحدة على الأقل أو تقنيةً تمكّنه من الوصول إلى نقطة ضعف النظام. وفي هذا الإطار، يُعرف مصطلح الضعف أيضًا بسطح الهجوم.

تُعرف إدارة نقاط الضعف بأنها عملية اكتشاف الثغرات الأمنية، وتصنيفها، وعلاجها، والحد من آثارها السلبية بصفة دورية. تشير تلك العملية بصفة عامة إلى نقاط ضعف البرمجيات في أنظمة الحاسوب.

تُصنف الخطورة الأمنية في أحيان كثيرة بصفة خاطئة على أنها نقطة ضعف. قد يؤدي استخدام كلمة «ضعف» مكان «خطورة» إلى الالتباس والفهم الخاطئ. إذ إن الخطورة الأمنية تعبر عن عرضة النظام للتأثر بمحاولة استغلال نقطة الضعف بدرجة ملحوظة. أما نقاط الضعف، فهي لا تشكل خطورة مؤكدة في جميع الأحوال، فعلى سبيل المثال، لا تشكل نقاط الضعف التي تستهدف موارد بلا قيمة أي خطورة تُذكر. تُوصف نقطة الضعف الأمنية بأنها قابلة للاستغلال عند وقوع حادثة هجوم فعال واحدة أو أكثر بسببها. يعبّر مصطلح نافذة الاستغلال عن الوقت الفاصل بين اكتشاف الثغرة الأمنية في برمجيات النظام وإصلاح الثغرة أو منع المهاجم من الوصول إلى النظام أو تعطيله؛ انظر هجوم دون انتظار.

الثغرة الأمنية (أو الخلل الأمني) هي مفهوم أضيق نطاقًا يتعلق بنقاط الضعف المتأصلة في البرمجيات فقط: هناك عدة نقاط ضعف أخرى غير متعلقة بالبرمجيات: نقاط ضعف عتاد الحاسوب، والموقع، وطاقم العمل، وغيرها من الأمثلة.

قد تشكل البنايات المُدمجة في لغات البرمجة التي يصعب استخدامها بشكل صحيح مصدرًا واسعًا لنقاط الضعف.

الأسباب

عدل
  • التعقيد: كلما اشتدت الأنظمة في تعقيدها وزادت حجمًا، ارتفعت نسبة وقوع الأخطاء وخلق نقاط وصول غير مقصودة.
  • الإلمام بالنظام: يؤدي استخدام أكواد أو برمجيات أو أنظمة تشغيل شائعة ومألوفة إلى سهولة عثور المهاجم على المعلومات والأدوات الكافية للإلمام بعيوب النظام واستغلالها.[2]
  • مدى الاتصال: كلما زادت التوصيلات، والأذونات، والمنافذ، والبروتوكولات، والخدمات التي تصل النظام بالشبكة؛ اشتدت عرضة النظام للاختراق.[3]
  • ضعف كلمات السر: الحاسوب الذي يستخدم كلمات سر ضعيفة يمكن اكتشافها عن طريق القوة العمياء أكثر عرضة للاختراق، ونفس المبدأ يسري على المستخدم الذي يخزن كلمات السر داخل الحاسوب بصفة تسمح للبرامج الأخرى أن تصل إليها بسهولة، أو المستخدمين الذين يعيدون استخدام كلمة السر ذاتها في عدة برامج ومواقع إلكترونية.[4]
  • عيوب متأصلة في نظام التشغيل: تنشأ تلك العيوب عندما يقرر مصمم نظام التشغيل أن يطبق سياسات غير ملائمة لإدارة البرامج والمستخدمين. على سبيل المثال، أنظمة التشغيل التي تسمح لجميع البرامج والمستخدمين بالوصول الكامل لجميع أجزاء الحاسوب بشكل افتراضي. يسمح هذا الخلل في نظام التشغيل للفيروسات والبرمجيات الخبيثة أن تنفذ أوامر برمجية بالنيابة عن مدير النظام.[5]
  • تصفح مواقع الإنترنت بلا اكتراث: تحتوي بعض مواقع الإنترنت على برامج تجسس أو برامج إعلانية ضارة تستطيع في بعض الأحيان أن تثبّت نفسها تلقائيًا في الحاسوب. يُصاب الحاسوب بالعدوى إثر زيارته تلك المواقع، وقد تتمكن أطراف خارجية من الاستيلاء على بيانات شخصية داخل الحاسوب بواسطة تلك البرمجيات.[6]
  • الأعطاب البرمجية: قد يتسبب المبرمج عن طريق الخطأ في خلق ثغرة أمنية يمكن استغلالها بصفة ضارة. تسمح تلك الأعطاب للمهاجم أن يسيء استخدام البرمجيات.
  • السماح بإدخالات المستخدمين دون رقيب أو حسيب: من الخطأ أن تفترض البرمجيات أن جميع مدخلات المستخدمين آمنة وسليمة. قد تسمح البرامج التي لا تتحقق من مدخلات المستخدمين بتنفيذ أوامر غير مقصودة أو سطور برمجية بلغة إس كيو إل (التي تُعرف أيضًا بتجاوز سعة المخزن المؤقت، أو حقن أوامر إس كيو إل، أو أي مدخلات أخرى غير مُصرح بها).[7][8][9]
  • عدم الاتعاظ من الأخطاء السابقة: على سبيل المثال، اكتُشفت معظم نقاط الضعف المتأصلة في الإصدار الرابع من بروتوكل الإنترنت في الإصدار السادس الجديد أيضًا.

أظهرت الأبحاث أن أكثر مكونات الأنظمة المعلوماتية ضعفًا تتمثل في البشر، بمن فيهم مستخدمو البرمجيات، ومشغلوها، ومصمموها، ومطوروها. في ضوء ذلك، قد يشكل البشر تهديدًا أو مصدرًا للمعلومات أو الموارد ذات الفائدة وفقًا للدور الذي يلعبه كل إنسان. تثير الهندسة الاجتماعية أيضًا قلقًا أمنيًا متزايدًا في الوقت الراهن.[10]

انظر أيضًا

عدل

مصادر

عدل
  1. ^ «المصطلحات المفتوحة»[وصلة مكسورة] نسخة محفوظة 2013-08-12 at Archive.is
  2. ^ Krsul، Ivan (15 أبريل 1997). "Technical Report CSD-TR-97-026". The COAST Laboratory Department of Computer Sciences, Purdue University. CiteSeerX:10.1.1.26.5435. {{استشهاد ويب}}: الوسيط |مسار= غير موجود أو فارع (مساعدة)
  3. ^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 نسخة محفوظة 2014-11-18 على موقع واي باك مشين.;
  4. ^ Pauli، Darren (16 يناير 2017). "Just give up: 123456 is still the world's most popular password". The Register. مؤرشف من الأصل في 2019-11-14. اطلع عليه بتاريخ 2017-01-17.
  5. ^ "The Six Dumbest Ideas in Computer Security". ranum.com. مؤرشف من الأصل في 2020-03-01.
  6. ^ "The Web Application Security Consortium / Web Application Security Statistics". webappsec.org. مؤرشف من الأصل في 2019-10-06.
  7. ^ القرصنة: فن الاستغلال
  8. ^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
  9. ^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
  10. ^ Kiountouzis، E. A.؛ Kokolakis، S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN:0-412-78120-4.