الصفحة الرئيسية|من نحن | اتصل بنا
  
الهجمات التي تستهدف المواقع الإلكترونية
الأربعاء, 02 يوليو 2014 10:46

يقوم مركز أمن المعلومات في الهيئة الوطنية لخدمات الشبكة بإعداد دراسات دورية في مجال أمن المعلومات وتوثيق الاختراقات الحاصلة في هذا المجال بطريقة علمية احترافية.

ونظراً لأهمية موضوع أمن المعلومات وضرورة العمل الدائم على نشر الوعي في هذا المجال للأفراد والمؤسسات على حدٍ سواء، فقد قام المركز بإعداد دراسة عن اختراقات البيانات الحاصلة خلال عام 2013 اعتماداً على تقرير مؤسسة Verizon المتخصصة في مجال أمن المعلومات.

واخترنا من هذا التقرير الهجمات التي تستهدف تطبيقات الويب:
لدى دراسة الهجمات التي تستهدف تطبيقات الويب في عام 2013 تبين أنه يمكن تقسيم هذه الهجمات إلى ثلاث مجموعات بحسب الدوافع والأسباب الكامنة وراء الهجمة:


1)    الهجمات ذات الدوافع المالية FINANCIALLY MOTIVATED ATTACKS:
تشكل هذه الهجمات نسبة 33% من الهجمات التي تستهدف تطبيقات الويب وتهدف إلى حصول المخترق على المال والمكاسب المادية وتستهدف جميع وسائل الدفع الالكتروني أو الخدمات المصرفية، ويمكن للمخترق تنفيذ هذه الهجمات من خلال الوصول إلى واجهة التطبيق المصرفية الخاصة  بالمستخدم أو من خلال استغلال الثغرات الأمنية في التطبيق المستخدم نفسه وغالباً ما تكون هذه الواجهات محمية عن طريق اسم مستخدم وكلمة مرور ويقوم المخترق هنا باستخدام وسائل معينة من أجل الحصول على بيانات المستخدم مثل تقنيات التصيد من خلال خداع المستخدم وذلك بتصميم واجهة تشبه واجهة المستخدم الخاصة بالمصرف الذي يتعامل معه وإرسال رابط إلى بريده الالكتروني يحثه على إدخال بياناته الشخصية ليتم إرسالها إلى حاسب المخترق بدل إرسالها إلى مخدم المصرف، كما يمكن للمخترق تنصيب برمجيات مؤذية تقوم بالتجسس وسرقة بياناته الشخصية وإرسالها للمخترق، كما يمكن أن يقوم المخترق بتنفيذ هجمة المسح الشامل Brute Force Attack للحصول على كلمة المرور الخاصة بالمستخدم كما يمكن أن يستخدم هجمة الحقن بلغة الاستفسار البنيوية SQL Injection أو غيرها من الوسائل.

 

2)    الهجمات ذات الدوافع الإيديولوجية IDEOLOGICALLY MOTIVATED ATTACKS:
 ويمكن لأن تكون الأسباب ورائها سياسية أو اجتماعية أو مجرد التسلية وتحتل هذه الهجمات الجزء الأكبر من الهجمات التي تستهدف تطبيقات الويب حيث تشكل نسبة 65% منها، ويمكن أن تستغل هذه الهجمات العديد من الثغرات ضمن تطبيقات الويب على سبيل المثال عدم فلترة أو تدقيق المدخلات والمتغيرات التي تمرر للتطبيق سواء كان هذا التطبيق نظام إدارة محتوى  Content Management Systems (CMS) مثل  Joomla! ،  Drupalأو WordPress أو غيرها من التطبيقات.
إن معظم حالات هذه الهجمات تستهدف مخدمات الويب وذلك لاختراق مواقع الكترونية محددة وإرسال رسالة معينة أو استغلال المخدم نفسه لإطلاق هجمات على أهداف أخرى مثل تنفيذ هجمات الحرمان من الخدمة الموزعة DDOS Attacks، ولكن هذا لا يعني التركيز فقط على حماية مخدمات الويب وإهمال تجهيزات الشبكة الأخرى كما لا يعني أن الشبكة لا تكون عرضة للاختراق في حال عدم وجود مخدمات ويب ضمنها.

 

3)    الهجمات ذات الدوافع التجسسية:
تهدف هذه المجموعة من الهجمات إلى التجسس سواء على بيانات مستخدم محدد أو بيانات جهة ما وتحتل النسبة الأقل بين الهجمات التي تستهدف تطبيقات الويب لعام 2013 حيث تشغل نسبة 2% من هذه الهجمات كما يبين الشكل التالي النسبة المئوية للهجمات التي تستهدف تطبيقات الويب بحسب الدوافع الكامنة وراء هذه الهجمات:

 


توصيات وضوابط:
مجموعة من التوصيات الخاصة بتلافي الهجمات التي تستهدف تطبيقات الويب:
•    استخدام أكثر من مستوى مصادقة وبتقنيات مختلفة وعدم الاكتفاء بالاعتماد على كلمات المرور للتحقق من هوية المستخدم وخصوصاً في الجهات التي تقدم خدمات مالية أو يتم تناقل بيانات مهمة عبر الشبكة ضمنها.
•    يجب على مطوري الويب ومسؤولي المواقع الالكترونية إجراء مسح دوري لاكتشاف الثغرات الأمنية والعمل على تلافيها قبل اكتشافها واستغلالها من قبل المخترقين، كما يتوجب تفحص الكود المصدري لتطبيقات الويب والعمل على فلترة المدخلات ضمن الصفحات التي تسمح للمستخدم بإدخال بيانات ضمنها.
•    يجب فرض سياسات معينة لمنع هجمات المسح الشامل على سبيل المثال السماح بعدد محدود من محاولات الإدخال.
•    يجب على المستخدم العادي أو مدير الشبكة مراقبة الاتصالات الواردة أو الصادرة عن الحواسب والتجهيزات الشبكية مع ضرورة وجود تجهيزات حماية مثل الجدران النارية وأنظمة كشف/منع التطفل.

 

آخر تحديث: الأربعاء, 02 يوليو 2014 11:10
 

الهيئة في الصحف

  • NANS Image Slideshow
  • NANS Image Slideshow
  • NANS Image Slideshow
  • NANS Image Slideshow
  • NANS Image Slideshow
  • NANS Image Slideshow
  • NANS Image Slideshow

إعلانات الهيئة

الإعلان عن طلب عروض داخلي /للمرة الثانية/ لتنفيذ مشروع تأهيل وتوسيع مركز الخدمات المعلوماتية /DATA CENTER/ لدى الهيئة لجهة البنى التحتية

الإعلان عن طلب عروض داخلي /للمرة الأولى/ لتوريد وتركيب التجهيزات اللازمة لإنشاء بوابة نفاذ خاصة بمركز الخدمات المعلوماتية

الإعلان عن مناقصة داخلية /للمرة الأولى وبالسرعة الكلية/ لتجديد تراخيص أجهزة إدارة التهديدات

الإعلان عن مناقصة داخلية /للمرة الثانية/ بالظرف المختوم لتقديم خدمات التنظيف لبنائي الهيئة

الإعلان عن مناقصة داخلية /للمرة الأولى/ لشراء عناوين إنترنت

الإعلان عن أسماء المقبولين في المسابقة المعلن عنها لتعيين عدد من المواطنين في الهيئة الوطنية لخدمات الشبكة

الإعلان عن مناقصة داخلية /للمرة الأولى/ لتجديد ترخيص البرمجيات لزوم المخبر الوطني لاختبار الاحتراق والتحليل الجنائي للشبكات

الإعلان عن مناقصة داخلية /للمرة الأولى/ لتقديم خدمات التنظيف لبنائي الهيئة

الإعلان عن أسماء الناجحين في المسابقة

دفتر الشروط الفنية الخاص بالإعلان عن طلب العروض لتنفيذ مشروع تأهيل وتوسيع مركز الخدمات المعلوماتية

دفتر الشروط الحقوقية والمالية الخاص بالإعلان عن طلب العروض لتنفيذ مشروع تأهيل وتوسيع مركز الخدمات المعلوماتية

الإعلان عن طلب عروض داخلي /للمرة الأولى/ لتنفيذ مشروع تأهيل وتوسيع مركز الخدمات المعلوماتية

الإعلان عن أسماء المقبولين من الناجحين في الإختبار المعلن عنه في الهيئة الوطنية لخدمات الشبكة لتعيين عدد من المواطنين من الفئة الخامسة

الإعلان عن طلب عروض داخلي للمرة الأولى وبالسرعة القصوى

الإعلان عن أسماء المقبولين في الاختبار المعلن عنه في الهيئة الوطنية لخدمات الشبكة لتعيين عدد من المواطنين من الفئتين الرابعة والخامسة

الإعلان عن إجراء مسابقة لتعيين عدد من المواطنين بصفة دائمة للعمل في مركز الهيئة الوطنية لخدمات الشبكة في الديماس من الفئتين الأولى والثانية, يبدأ تقديم الأوراق من 15/8/2016 ولغاية 14/9/2016

الإعلان عن أسماء الناجحين في الاختبار العملي للفئة الرابعة والخامسة

الإعلان عن أسماء الناجحين في الاختبار للفئة الرابعة والخامسة

إطلاق خدمة تسجيل الأسماء تحت النطاق العلوي السوري في عدد من المراكزالبريدية في دمشق

الإعلان عن اللائحة التنظيميةالمتعلقة بالضوابط والنواظم الخاصةبشهادات الإتصال الآمن

استبيان حول التوقيع الرقمي

إعلان عن رغبة الهيئة الوطنية لخدمات الشبكة بنقل أو ندب عدد من العاملين في الجهات العامة

نظام خدمات الإستضافة لمركز خدمات المعلوماتية

نظام خدمات التصديق الإلكتروني الحكومي

نظام خدمات مركز أمن المعلومات

حصول شركة سريان مونستر على ترخيص موزع معتمد من قبل الهيئة الوطنية لخدمات الشبكة