كيف تعرف أن موقعك مكشوف أو مُخترَق

بقلم فريق زمام ·

في هذه الصفحة

في سؤال “هل موقعي آمن؟” تمييزٌ يستحقّ الوقوف عنده. أن يكون الموقع مكشوفاً يعني أن المهاجم يرى طريقاً للدخول؛ أمّا أن يكون مُخترَقاً فيعني أنه سلك ذلك الطريق فعلاً. وتستطيع أن تعرف الكثير عن الحالتين من خارج المبنى، وهو بالضبط حيث يقف المهاجم.

والدرس الذي تكرّر في العامين الأخيرين أن الاختراقات نادراً ما تبدأ من معرفة داخلية؛ إنها تبدأ من استطلاع السطح العام: شهادة منتهية، أو نطاق بريد غير مُصادَق، أو نطاق فرعي منسيّ، أو لوحة إدارة مكشوفة. فحملة CitrixBleed 2 مثلاً ضربت أجهزةً متصلة بالإنترنت قبل أحد عشر يوماً من ظهور أي استغلال علني، بينما حوّلت مجموعة Hazy Hawk سجلَّ DNS منسيّاً لمراكز مكافحة الأمراض سلاحاً ضدّها. ولم يحتج أيٌّ من ذلك إلى الدخول أولاً.

علامات أنك مكشوف

علامات أنك مُخترَق أصلاً

فإن رأيت علامات اختراق نشط، فعامِله معاملة الحادثة: احفظ السجلّات، واعزل النظام المتأثر إن استطعت، واستعِن بمن يتولّى الاستجابة للحوادث. ولا تكتفِ بأن “تنظّفه” بهدوء ثم تمضي، فالمهاجم نادراً ما يترك باباً واحداً.

ما الذي تستطيع فحصه بنفسك

من الخارج تستطيع مراجعة شهادتك، و DNS ومصادقة بريدك، وترويسات أمان HTTP، ومعرفة أيّ النطاقات الفرعية والخدمات يصل إليها العامة. وهذه المؤشرات مجتمعةً هي سطح هجومك الخارجي — راجع ما هي إدارة سطح الهجوم الخارجي؟

كيف يساعد زمام

يُجري زمام مراجعة خارجية غير تطفّلية لإعداداتك العامة — DNS و TLS وترويسات أمان HTTP ومصادقة البريد — ثم يرسل إليك بريداً بتقرير واضح عمّا يستحق المعالجة. لا يُجرّب كلمات مرور، ولا يُرسِل نماذج، ولا يُعدّل شيئاً؛ يقرأ فقط ما هو عامّ أصلاً. أمّا الفحوص الأعمق، كاكتشاف المنافذ والخدمات والبحث في الثغرات المعروفة، فهي قيد التطوير.

ذات صلة

الهامش

  1. TLS — Transport Layer Security، بروتوكول أمان طبقة النقل. ولا تزال شهادته تُسمّى شائعاً “شهادة SSL”. ↩︎

  2. VPN — Virtual Private Network، الشبكة الافتراضية الخاصة. ↩︎