مفاهيم أساسية في تثبيت وتكوين NIPS/NIDS
في هذا الموضوع سنشرح المفاهيم الأساسية في تثبيت وتكوين NIPS/NIDS…
هل تعلم أن الأمن السيبراني أصبح أكثر أهمية من أي وقت مضى في عصر الحوسبة الحديثة؟ فمع تزايد استخدام الإنترنت وتوسع نطاق الشبكات الحاسوبية، أصبح من الضروري حماية الأجهزة والبيانات والشبكات من الهجمات السيبرانية المختلفة. ومن أهم الأدوات التي تعمل على حماية الشبكات الحاسوبية هي أنظمة NIPS و NIDS، وهما عبارة عن أنظمة مراقبة أمنية تستخدم للكشف عن الهجمات السيبرانية والتصدي لها.
في هذا الموضوع، سنتحدث بالتفصيل عن المفاهيم الأساسية في تثبيت وتكوين NIPS/NIDS لحماية الشبكات الحاسوبية والبيانات الحساسة.
ما هو NIPS/NIDS ؟
NIPS و NIDS هما اختصاران لـ “Network Intrusion Prevention System” و “Network Intrusion Detection System” على التوالي. وهما عبارة عن أنظمة أمنية تستخدم للكشف عن الهجمات السيبرانية والتصدي لها في الشبكات الحاسوبية.
تختلف الأنظمة الأمنية المختلفة في الشبكات الحاسوبية، ولكن يمكن تصنيفها بشكل عام إلى نظامين: NIDS و NIPS. يقوم نظام NIDS بمراقبة حركة المرور على الشبكة وتحليل تلك الحركة للكشف عن أي نشاط غير مشروع أو هجوم على الشبكة. بينما يقوم نظام NIPS بالكشف عن الهجمات السيبرانية والتصدي لها بشكل فوري، عن طريق قطع الاتصال بين المهاجم والضحية، أو بإيقاف الهجوم بشكل كلي.
تستخدم هذه الأنظمة بشكل واسع في مؤسسات الأعمال والحكومية والمؤسسات التعليمية وغيرها، لحماية الشبكات الحاسوبية والحد من التهديدات السيبرانية. وتعتبر هذه الأنظمة جزءاً أساسياً من الأمن السيبراني في أي منظومة حاسوبية متصلة بالإنترنت.
مفاهيم أساسية في تثبيت وتكوين NIPS/NIDS
هنالك الكثير من المفاهيم الأساسية التي يجب عليك معرفتها وفهمها في تثبيت وتكوين الـ NIPS/NIDS، ومن أهم هذه المفاهيم:
قائم على الوقيع (Signature-based):
Signature-based هو نوع من تقنيات الكشف عن الهجمات المستخدمة في أنظمة NIPS/NIDS. تعتمد هذه التقنية على استخدام مجموعة من القواعد الخاصة بتحليل حزم المرور الشبكي، وتحديد التشابه بين الحزم المرورية التي يتم تفحصها والتوقيعات المعروفة للهجمات السيبرانية.
يتم إنشاء قاعدة البيانات لتحديد التوقيعات الخاصة بالهجمات السيبرانية المعروفة، ويتم بناء هذه القواعد عن طريق تحليل عينات الهجمات السيبرانية وتحديد خصائصها الفريدة. وبهذا الشكل، يمكن لنظام NIPS/NIDS الكشف عن الهجمات السيبرانية بناءً على توقيعاتها المعروفة والمقارنة بين الحزم المرورية المراقبة.
وعندما يتم الكشف عن هجوم، يتم اتخاذ إجراءات لوقف الهجوم والتصدي له، مثل قطع الاتصال بين المهاجم والضحية، أو تصفية الحزم المشبوهة.
يعتبر Signature-based عملية مؤثرة للكشف عن الهجمات السيبرانية المعروفة، ولكن يوجد عيب فيها وهو عدم القدرة على كشف الهجمات الجديدة أو المجهولة التي لم يتم تحديد توقيعاتها بعد. ومن أجل حل هذه المشكلة، تستخدم أنظمة NIPS/NIDS الأساليب الأخرى للكشف والوقاية من الهجمات السيبرانية.
ارشادي/سلوكي (Heuristic/behavioral):
Heuristic-based أو Behavioral-based هو نوع آخر من تقنيات الكشف عن الهجمات المستخدمة في أنظمة NIPS/NIDS، ويعتبر هذا النوع من التقنيات أكثر فعالية في الكشف عن الهجمات المجهولة والجديدة التي لم يتم تحديد توقيعاتها بعد.
تعتمد هذه التقنية على تحليل سلوك الحزم المرورية بدلاً من الاعتماد على التوقيعات المعروفة للهجمات، وتتبع الأنشطة الغير مألوفة والمشتبه بها والتي قد تشير إلى وجود هجوم. ويتم ذلك عن طريق مراقبة سلوك المستخدمين والأجهزة والبرامج والحزم المرورية المارة عبر الشبكة، وتحليل هذه السلوكيات ومقارنتها بنماذج سلوكية مسبقة.
وبهذا الشكل، يمكن لنظام NIPS/NIDS الكشف عن الأنشطة غير المألوفة أو الغير متوافقة مع النماذج السلوكية المعروفة، والتي قد تشير إلى وجود هجوم سيبراني. وعندما يتم الكشف عن هجوم، يتم اتخاذ إجراءات لوقف الهجوم والتصدي له.
ومن مزايا هذه التقنية هو قدرتها على الكشف عن الهجمات الجديدة وغير المعروفة، ولكن عيبها هو احتمالية حدوث الكثير من الإنذارات الزائفة، والتي يمكن أن تؤدي إلى تحريك فريق الأمن لإجراءات غير ضرورية. لذلك يتطلب استخدام هذه التقنية مراقبة وتحليل دقيق للإنذارات التي تصدر عن النظام، وتحديد الإجراءات اللازمة بشكل دقيق.
شذوذ (Anomaly):
تعتمد تقنية الشذوذ (Anomaly-based) في أنظمة NIPS/NIDS على الكشف عن الأنشطة الغير طبيعية والمشتبه بها في الشبكة، والتي تشير إلى وجود هجوم سيبراني. وتعتمد هذه التقنية على مقارنة سلوك الحزم المرورية المراقبة بنماذج السلوك الطبيعي والمعتاد في الشبكة، وإذا تم اكتشاف أي سلوك غير مألوف أو غير متوقع، فإنه يتم اصدار إنذار لفريق الأمن لاتخاذ الإجراءات اللازمة.
وتستخدم تقنية الشذوذ في الكشف عن الهجمات الجديدة والمجهولة، والتي لم يتم تحديد توقيعاتها بعد. وهذه التقنية تعتمد على مقارنة السلوك الحالي في الشبكة مع السلوك الذي يعتبر طبيعيًا، وتحديد الاختلافات الغير مألوفة والمشتبه بها.
ومن مزايا هذه التقنية هو قدرتها على الكشف عن الهجمات الجديدة والمجهولة، ولكن عيبها هو احتمالية حدوث الكثير من الإنذارات الزائفة، والتي يمكن أن تؤدي إلى تحريك فريق الأمن لإجراءات غير ضرورية. لذلك يتطلب استخدام هذه التقنية مراقبة وتحليل دقيق للإنذارات التي تصدر عن النظام، وتحديد الإجراءات اللازمة بشكل دقيق.
العملية المضمنة (Inline):
في مجال أمن الشبكات، تعني العملية المضمنة (Inline) في نظم الكشف والوقاية من التهديدات (NIPS/NIDS) أن نظام الحماية متصل مباشرة بخط الاتصال الشبكي، ويتم توجيه حركة المرور إلى النظام للتحليل والفحص قبل أن يتم توجيهها إلى الوجهة المقصودة.
وبمعنى آخر، فإن نظام NIPS/NIDS المضمن متصل مباشرة بالخط الفعلي الذي يتم فيه نقل حركة المرور، ويتحكم في حركة المرور ويتفاعل معها بشكل مباشر. وعندما يتم اكتشاف هجوم أو تهديد، يمكن للنظام المضمن اتخاذ إجراءات فورية للحماية مثل حجب حركة المرور المشبوهة أو الكشف عن الاختراقات والتحذير منها.
تعتبر العملية المضمنة أكثر فعالية في الكشف عن التهديدات والهجمات، حيث يتم التفاعل مع حركة المرور في الوقت الحقيقي وتطبيق السياسات المحددة بشكل فوري. ومع ذلك، قد يؤدي استخدام نظام NIPS/NIDS المضمن إلى تأثير سلبي على أداء الشبكة، وقد يتطلب تكلفة إضافية لتثبيت وصيانة النظام المضمن.
العملية السلبية (passive):
في مجال أمن الشبكات، تعني العملية السلبية (passive) في نظم الكشف والوقاية من التهديدات (NIPS/NIDS) أن نظام الحماية يقوم بمراقبة حركة المرور وتحليلها، ولكنه لا يتدخل في الحركة المرورية ولا يتم إجراء أي تغيير عليها.
وبمعنى آخر، فإن نظام NIPS/NIDS السلبي يستخدم لأغراض الرصد والتحليل فقط، ولا يتم التفاعل مع حركة المرور أو تغييرها بأي شكل من الأشكال. وعندما يتم اكتشاف هجوم أو تهديد، يتم إصدار تنبيه لفريق الأمن السيبراني لاتخاذ الإجراءات المناسبة.
تعتبر العملية السلبية أكثر أمانًا وأقل تأثيرًا على أداء الشبكة، حيث لا يتم إدخال أي تغيير على حركة المرور ويتم الحفاظ على استقرار الشبكة. ومع ذلك، قد يؤدي استخدام نظام NIPS/NIDS السلبي إلى عدم القدرة على اتخاذ إجراءات فورية للحماية، وقد يتطلب تدخلاً يدوياً من فريق الأمن السيبراني لحجب حركة المرور المشبوهة أو اتخاذ إجراءات أخرى للحماية.
داخل النطاق (In-band):
في مجال أمن الشبكات، تعني العملية داخل النطاق (In-band) في نظم الكشف والوقاية من التهديدات (NIPS/NIDS) أن جميع أنشطة الرصد والتحليل والحماية تتم داخل نفس النطاق الذي يتم فيه تدفق حركة المرور (المرور الشبكي). وبمعنى آخر، فإن نظام NIPS/NIDS يتم تثبيته في نفس الشبكة التي يتم فيها نقل حركة المرور، ويستطيع التفاعل مع المرور الشبكي وتحليله والتعرف على التهديدات والهجمات.
هذا يتعارض مع العملية خارج النطاق (Out-of-band)، حيث يتم تشغيل نظام NIPS/NIDS على شبكة مختلفة عن شبكة نقل حركة المرور. وبالتالي، يتم تصفية حركة المرور وتحليلها على شبكة مختلفة عن شبكة نقل المرور.
يعتمد اختيار استخدام نظام NIPS/NIDS داخل النطاق أو خارجه على عدة عوامل، مثل حجم الشبكة وعدد الأجهزة المتصلة بها، وتكلفة تثبيت وصيانة النظام، ومتطلبات الأمان والتوافرية. وغالبًا ما يعتبر استخدام نظام NIPS/NIDS داخل النطاق أكثر فعالية ودقة في الكشف عن التهديدات والهجمات، ولكن يمكن أن يؤثر على أداء الشبكة ويزيد من تكلفة إدارتها.
خارج النطاق (out-of-band):
في مجال أمن الشبكات، تعني العملية خارج النطاق (out-of-band) في نظم الكشف والوقاية من التهديدات (NIPS/NIDS) أن نظام الحماية يتم تشغيله على شبكة مختلفة عن شبكة نقل حركة المرور. وبمعنى آخر، فإن نظام NIPS/NIDS الخارجي لا يتم تثبيته في نفس الشبكة التي يتم فيها نقل حركة المرور، ويتم تصفية حركة المرور وتحليلها على شبكة مختلفة عن شبكة نقل المرور.
وعند استخدام نظام NIPS/NIDS خارج النطاق، يتم استخدام تقنية مثل Port Mirroring أو TAP أو SPAN لنسخ حركة المرور وإرسالها إلى النظام الخارجي للتحليل والكشف عن التهديدات. ويمكن أن يتم توجيه حركة المرور المشبوهة إلى النظام الخارجي للحجب أو إجراء إجراءات أخرى للحماية.
تعتبر العملية خارج النطاق من النظم الأكثر شيوعًا في نظم الكشف والوقاية من التهديدات، حيث يمكن تثبيت النظام على شبكة مستقلة ومنفصلة عن شبكة نقل المرور، ويمكن التحكم به وصيانته بشكل منفصل. ومع ذلك، قد يؤدي استخدام نظام NIPS/NIDS خارج النطاق إلى تأخر في الكشف عن التهديدات والهجمات، وقد يتطلب تكلفة إضافية لتثبيت وصيانة النظام الخارجي.
القواعد (Rules):
قواعد (Rules) في NIPS/NIDS تعد جزءًا مهمًا من عملية الكشف عن الهجمات والتحليل الأمني. وتتمثل هذه القواعد في مجموعة من التعليمات والشروط التي يتم تطبيقها على حركة المرور الشبكي للكشف عن الأنشطة المشبوهة والهجمات الأمنية.
تعمل القواعد في NIPS/NIDS على فحص حزم المرور الشبكي المارة عبر الشبكة، وفي حال تطابقت الحزمة مع أي من القواعد المحددة مسبقًا، يتم اعتبارها كحزمة مشبوهة ويتم اتخاذ إجراءات أمنية مناسبة. ويتم تطبيق هذه القواعد على المرور الشبكي الوارد إلى الشبكة (Inbound traffic) والصادر منها (Outbound traffic)، ويتم تعيين أولوية مختلفة للقواعد وفقًا لأهميتها وتأثيرها على الأمن الشبكي.
يتم إنشاء القواعد في NIPS/NIDS بواسطة المحللين الأمنيين وفرق الأمن السيبراني، ويتم تحديثها باستمرار للتأكد من تحديث الأمن والاستجابة للتهديدات الأمنية الجديدة. ويتم تطبيق هذه القواعد سواءً على شبكات الشركات أو المؤسسات أو الحكومات الأخرى، وتساعد في توفير الحماية الشاملة للشبكات والحد من خطر الهجمات الأمنية.
التحليلات (Analytics):
التحليلات (Analytics) في NIPS/NIDS هي عملية تحليل البيانات والمعلومات المستخرجة من حركة المرور الشبكي والحزم المشبوهة، وذلك بهدف فهم الأنماط والاتجاهات والتهديدات الأمنية على الشبكة.
تتضمن التحليلات في NIPS/NIDS عدة جوانب مهمة، منها:
- التحليل الإحصائي: وهو تحليل البيانات والمعلومات المستخرجة من حركة المرور الشبكي، بما في ذلك المعلومات الإحصائية مثل التردد والحجم والمعدلات والانحرافات المعيارية، وغيرها من العوامل الإحصائية، بهدف تحديد الأنماط والتغيرات الغير طبيعية في حركة المرور الشبكي التي قد تشير إلى وجود هجمات أمنية.
- التحليل الجغرافي: وهو تحليل البيانات والمعلومات المستخرجة من حركة المرور الشبكي لتحديد الأنماط والتغيرات الجغرافية في الأنشطة الشبكية، مثل المناطق الجغرافية التي تشهد زيادة في عدد الهجمات الأمنية.
- التحليل السلوكي: وهو تحليل البيانات والمعلومات المستخرجة من حركة المرور الشبكي لتحديد الأنماط والتغيرات في سلوك المستخدمين والأجهزة على الشبكة، مثل الأجهزة التي تقوم بإرسال حركة مرور مشبوهة بشكل متكرر.
- التحليل الزمني: وهو تحليل البيانات والمعلومات المستخرجة من حركة المرور الشبكي لتحديد الأنماط والتغيرات في الأحداث الزمنية المختلفة، مثل الأوقات التي تشهد زيادة في الحركة المشبوهة.
تتم عملية التحليلات في NIPS/NIDS بواسطة الأدوات المتخصصة والتقنيات المختلفة، ويتم تحليل البيانات والمعلومات باستخدام الذكاء الاصطناعي وتقنيات التعلم الآلي والتحليل الإحصائي وغيرها من التقنيات المتطورة. وتساعد التحليلات في تحديد الهجمات الأمنية والتنبؤ بالأنشطة المشبوهة، وتساعد في تحسين أداء حلول الأمن الشبكي وتطويرها باستمرار لمواجهة التهديدات الأمنية المتغيرة.
هذا والسلام عليكم ورحمة الله وبركاته…
( لا تنسا مشاركة الموضوع ليستفيد غيرك )