أظهرت نتائج أكثر من 10,000 اختبار اختراق داخلي آلي أُجريت باستخدام منصة vPenTest التابعة لشركة Vonahi Security، استمرار وجود ثغرات أمنية حرجة في الشبكات الداخلية للعديد من الجهات، مما يتيح للمهاجمين استغلالها للوصول غير المشروع إلى الأصول التقنية، والتحرك داخل البيئة المعلوماتية، وتنفيذ أنشطة غير مصرح بها.
ورغم اعتماد العديد من الجهات على الوسائل التقنية مثل أنظمة كشف التسلل (IDS)، وحلول الحماية الطرفية (EPP)، ومنصات إدارة المعلومات والأحداث الأمنية (SIEM)، إلا أن نتائج هذه الاختبارات أظهرت قصورًا في فعالية هذه الأدوات عند مواجهة محاكاة لأساليب الهجوم الواقعية، مما يبرز أهمية تنفيذ اختبارات اختراق داخلية مستمرة ودورية.
تحليل مصادر الثغرات الأمنية الداخلية
- 50% من الثغرات ناتجة عن تهيئة غير آمنة، مثل استخدام الإعدادات الافتراضية، أو ضعف سياسات التحكم بالوصول.
- 30% ناتجة عن عدم تطبيق التحديثات الأمنية، مما يترك الأنظمة عرضة للاستغلال عبر ثغرات معروفة.
- 20% مرتبطة بـ ضعف ممارسات إدارة الهوية وكلمات المرور، مثل استخدام بيانات اعتماد افتراضية أو غياب التحقق من الهوية.
استنادًا إلى نتائج أكثر من 10,000 اختبار اختراق داخلي آلي أُجري باستخدام منصة vPenTest، نستعرض فيما يلي تحليلًا شاملًا للتأثير الأمني لكل ثغرة من الثغرات العشر الأعلى تكرارًا، إلى جانب توصيات فنية قابلة للتطبيق تهدف إلى تقليل فرص الاستغلال.
10. Redis دون تحقق من الهوية
نسبة التكرار: 1.3%
درجة الخطورة (CVSS): 9.9
الأثر السيبراني:
- وصول غير مصرح به إلى محتوى قواعد البيانات
- تصعيد الامتيازات إذا كانت الخدمة تعمل بصلاحيات مرتفعة
- إمكانية تنفيذ أوامر على الخادم أو التلاعب بالبيانات
التوصيات:
- تفعيل التحقق من الهوية باستخدام كلمة مرور قوية عبر ملف redis.conf
- استخدام كلمات مرور لا تقل عن 12 حرفًا وتحتوي على رموز وأرقام وأحرف صغيرة وكبيرة
- التحقق من عدم إدراج كلمة المرور ضمن قواعد بيانات بيانات الاعتماد المخترقة (مثل HaveIBeenPwned)
- استخدام مدير كلمات مرور موثوق لتوليد بيانات اعتماد معقدة يصعب استرجاعها أو تخمينها
9. بيانات اعتماد افتراضية في خوادم Firebird
نسبة التكرار: 1.4%
درجة الخطورة (CVSS): 9.0
الأثر السيبراني:
- دخول غير مصرح به إلى الخادم
- القدرة على قراءة أو تعديل الملفات وقواعد البيانات
- إمكانية تنفيذ أوامر نظام في بعض الإصدارات
التوصيات:
- تغيير بيانات الاعتماد الافتراضية باستخدام أداة GSEC
- فرض سياسة تغيير بيانات الاعتماد عند النشر الأولي
- تنفيذ مراجعات دورية لبيانات الاعتماد المخزنة
- تفعيل تنبيهات على محاولات الوصول غير المصرح بها أو غير المعروفة
8. ثغرة BlueKeep (CVE-2019-0708)
نسبة التكرار: 4.4%
درجة الخطورة (CVSS): 9.8
الأثر السيبراني:
- تنفيذ أوامر عن بعد دون مصادقة
- السيطرة الكاملة على النظام
- التحرك الأفقي داخل بيئة الشبكة
التوصيات:
- تحديث الأنظمة المصابة بشكل فوري
- تعطيل بروتوكول RDP في حال عدم الحاجة التشغيلية له
- استخدام شبكة افتراضية خاصة (VPN) للوصول البعيد
- مراقبة حركة الشبكة لرصد أي نشاط غير اعتيادي على بروتوكول RDP
7. ثغرة EternalBlue (SMBv1)
نسبة التكرار: 4.5%
درجة الخطورة (CVSS): 9.8
الأثر السيبراني:
- استغلال مباشر يمنح صلاحيات إدارية
- استخراج بيانات اعتماد حساسة
- إمكانية تشغيل برمجيات خبيثة مثل الفدية أو أدوات التجسس
التوصيات:
- إلغاء تفعيل بروتوكول SMBv1 من جميع الأنظمة
- تثبيت التحديثات الأمنية من المزود
- مراقبة المنفذ 445 لاكتشاف أي نشاط ضار
- عزل الأنظمة الحساسة عن الأنظمة غير المحدثة
6. تجاوز التحقق في IPMI
نسبة التكرار: 15.7%
درجة الخطورة (CVSS): 10.0
الأثر السيبراني:
- استخراج تجزئات كلمات المرور
- احتمالية استرجاع كلمات المرور بنصها الصريح
- الوصول إلى واجهات التحكم بالنظام مثل BIOS والطاقة
التوصيات:
- تقييد الوصول إلى واجهة IPMI على عناوين موثوقة
- تغيير كلمة المرور الافتراضية إلى بيانات اعتماد قوية وفريدة
- تعطيل خدمة IPMI في حال عدم الحاجة التشغيلية لها
- استخدام بروتوكولات اتصال مؤمنة مثل HTTPS وSSH
5. أنظمة Windows منتهية الدعم
نسبة التكرار: 24.9%
درجة الخطورة (CVSS): 9.8
الأثر السيبراني
- تعرض مستمر لثغرات غير معالجة
- عدم توافق مع أدوات الحماية الحديثة
- ضعف في الامتثال لمتطلبات الأمن السيبراني المؤسسي
التوصيات:
- تنفيذ جرد كامل لتحديد الأنظمة غير المدعومة
- تطبيق خطة إحلال تدريجية للأنظمة الأحدث
- عزل الأنظمة القديمة في شبكات محمية
- استخدام أدوات مراقبة على هذه الأنظمة لحين الاستبدال
4. انتحال DNS عبر IPv6
نسبة التكرار: 49.9%
درجة الخطورة (CVSS): 10.0
الأثر السيبراني:
- إعادة توجيه الأجهزة إلى خوادم خبيثة
- اعتراض بيانات اعتماد حساسة
- اختراق بروتوكولات مثل SMB وHTTP وRDP وMSSQL
التوصيات:
- تفعيل خصائص كشف DHCP الخبيث على معدات الشبكة
- تكوين السياسات لتفضيل IPv4 على IPv6 باستخدام GPO
- تعطيل IPv6 في الأجهزة التي لا تعتمد عليه بعد التحقق من التوافق التشغيلي
3. انتحال LLMNR
نسبة التكرار: 65.5%
درجة الخطورة (CVSS): 9.8
الأثر السيبراني:
- التقاط كلمات مرور مشفرة أو غير مشفرة
- انتحال هوية خدمات داخل الشبكة
- استخدام الاستجابات المزيفة كنقطة دخول للهجوم
التوصيات:
- تعطيل بروتوكول LLMNR عبر السياسات الجماعية (GPO)
- الاعتماد على خوادم DNS داخلية موثوقة
- مراقبة الشبكة للكشف عن سلوكيات غير طبيعية في البث المحلي
2. انتحال NetBIOS (NBNS)
نسبة التكرار: 73.3%
درجة الخطورة (CVSS): 9.8
الأثر السيبراني:
- إعادة توجيه حركة المرور إلى خوادم خبيثة
- اعتراض بيانات اعتماد حساسة
- الوصول غير المصرح به إلى خدمات الشبكة
التوصيات:
- تعطيل NetBIOS عبر إعدادات DHCP أو بطاقة الشبكة
- استخدام السياسات الجماعية لتعطيل الخدمة بشكل مؤسسي
- تقليل الاعتماد على البروتوكولات القديمة في البنية التحتية
1. انتحال Multicast DNS (mDNS)
نسبة التكرار: 78.2%
درجة الخطورة (CVSS): 9.8
الأثر السيبراني:
- الرد على استعلامات الاسم من أجهزة خبيثة
- إعادة توجيه حركة المرور إلى البنية التحتية الخاصة بالمهاجم
- سرقة بيانات اعتماد مشفرة أو غير مشفرة
التوصيات:
- تعطيل خدمة mDNS باستخدام السياسات الجماعية أو حظر المنفذ UDP 5353
- إلغاء تثبيت خدمات مثل Bonjour أو avahi-daemon في الأنظمة غير التابعة لـ Windows
- عزل الأجهزة التي تتطلب mDNS ضمن نطاقات شبكية مخصصة
- فرض استخدام كلمات مرور قوية لجميع الحسابات المرتبطة بتلك الأجهزة
الخلاصة الأمنية
الثغرات التي تم رصدها ليست ناتجة عن تقنيات معقدة أو أساليب استهداف متقدمة، بل عن ثغرات متكررة يمكن معالجتها عبر تفعيل الضوابط الفنية الأساسية. اعتماد برامج اختبار اختراق داخلي آلي يساهم في تعزيز الامتثال، وتقليل المخاطر، وتحقيق الجاهزية السيبرانية المستمرة.
