تدقيق أمان الخادم هو مراجعة منهجية لمدى انكشاف الخادم وإعداداته لاكتشاف الأماكن التي يمكن للمهاجم الدخول منها وما يمكنه فعله بمجرد دخوله. إذا طُلب منك التكليف بإجراء واحد، أو كنت ترغب في إجراء مراجعة داخلية، فإن هذا الدليل يشرح بدقة ما الذي يفحصه التدقيق الشامل ولماذا يهم كل مجال.

التدقيق تشخيصي: فهو يخبرك أين تقف. ويقترن بشكل طبيعي مع التحصين ، وهو العمل الذي يعالج ما يكتشفه التدقيق.

باختصار (TL;DR)

  • يراجع تدقيق الخادم سطح الهجوم، وإعدادات نظام التشغيل والخدمات، وحالة التصحيحات، وضوابط الوصول، وإعداد الشبكة والجدار الناري، بالإضافة إلى المراقبة
  • عادةً ما يقيس الخادم مقابل معيار معترف به مثل CIS Benchmark
  • يشمل فحصاً للبرمجيات الخبيثة و rootkit ومراجعة للتسجيل بحيث يتم اكتشاف الاختراقات فعلاً
  • ينبغي أن يكون الناتج قائمة نتائج مرتبة حسب الأولوية ومصنفة حسب المخاطر يمكنك التصرف بناءً عليها، وليس مخرجات خام من أداة الفحص

1. مراجعة سطح الهجوم

المهمة الأولى هي تحديد ما يكشفه الخادم فعلاً.

  • عدّ جميع الخدمات المستمعة والمنافذ المفتوحة، وتأكد من أن كل واحدة منها مقصودة.
  • حدّد الخدمات المتصلة بالإنترنت مقابل تلك التي ينبغي أن تكون داخلية فقط.
  • أشِر إلى الخدمات القديمة أو غير الضرورية التي توسّع سطح الهجوم دون أن تضيف قيمة.

2. تدقيق نظام التشغيل والإعدادات

  • تحقق من إصدار نظام التشغيل وحالة الدعم؛ فنظام التشغيل الذي انتهى عمره الافتراضي (end-of-life) يمثل خطراً قائماً.
  • راجع الإعدادات مقابل معيار معترف به، وعادةً ما يكون CIS Benchmark الخاص بالتوزيعة.
  • قيّم حالة التصحيحات لنظام التشغيل والبرامج المثبّتة، وتحقق من تفعيل التحديثات الأمنية التلقائية.

3. التحكم في الوصول والمصادقة

  • راجع حسابات المستخدمين والخدمات، مع إزالة الحسابات القديمة والافتراضية وغير المستخدمة.
  • دقّق تعيينات sudo والامتيازات وفق مبدأ الحد الأدنى من الامتيازات.
  • افحص إعداد SSH: المصادقة القائمة على المفاتيح، وتعطيل تسجيل الدخول بحساب root، وتعطيل المصادقة بكلمة المرور، والحماية من هجمات brute-force.
  • تحقق من المصادقة متعددة العوامل (MFA) على الوصول الإداري.

4. الجدار الناري وتقسيم الشبكة

  • تأكد من أن firewall يتبع سياسة الرفض الافتراضي (default-deny) ولا يكشف سوى المنافذ المطلوبة.
  • راجع تقسيم الشبكة بحيث لا يمنح اختراق مضيف واحد حرية التنقل عبر الشبكة.
  • تحقق من أن واجهات الإدارة مقيّدة بمصادر موثوقة أو عبر VPN.

5. اكتشاف البرمجيات الخبيثة و rootkit

  • شغّل فحص البرمجيات الخبيثة و rootkit لاكتشاف أي اختراق قائم.
  • نفّذ فحوصات سلامة الملفات لتحديد التغييرات غير المتوقعة على الملفات الثنائية للنظام والإعدادات.

6. التسجيل والمراقبة والاكتشاف

  • تحقق من أن الأحداث ذات الصلة بالأمان يتم تسجيلها (على سبيل المثال عبر auditd) والاحتفاظ بها.
  • تأكد من إرسال السجلات خارج المضيف بحيث لا يستطيع المهاجم محوها بسهولة.
  • تحقق من أن النشاط المشبوه يولّد تنبيهات، بحيث يُلاحَظ الاختراق فعلاً.

7. حماية البيانات والنسخ الاحتياطية

  • تأكد من أن البيانات الحساسة مشفّرة أثناء التخزين وأثناء النقل.
  • تحقق من وجود نسخ احتياطية، وأنها مخزّنة خارج الخادم، وأنه تم اختبارها عبر الاستعادة.
  • تحقق من وجود عملية استعادة وأنها موثّقة.

كيف يبدو الناتج الجيد

لا يسلّمك التدقيق المفيد تقريراً خاماً من أداة الفحص. بل يقدّم نتائج مصنّفة حسب المخاطر ومرتّبة حسب الأولوية مع خطوات معالجة واضحة، بحيث تعرف ما الذي يجب إصلاحه أولاً ولماذا. يستطيع أي شخص تشغيل أداة فحص؛ لكن القيمة تكمن في التفسير الخبير، وإزالة النتائج الإيجابية الكاذبة، وترتيب الأولويات مقابل المخاطر الواقعية.

أهم النقاط

  • يراجع تدقيق أمان الخادم سطح الهجوم والإعدادات والتصحيح وضوابط الوصول وإعداد الشبكة والبرمجيات الخبيثة والمراقبة.
  • توقّع أن يقيس مقابل معيار معترف به مثل CIS وأن يشمل فحص البرمجيات الخبيثة و rootkit.
  • ينبغي أن يكون المُنتَج المُسلَّم نتائج مرتّبة حسب الأولوية ومصنّفة حسب المخاطر مع إرشادات معالجة، وليس مخرجات خام من أداة فحص.
  • التدقيق يشخّص؛ والتحصين يعالج. استخدمهما معاً.

احصل على تدقيق أمان خادم احترافي

يستفيد التدقيق الشامل من عين خبيرة تعرف أي النتائج مهمة فعلاً. تغطي خدمة تدقيق أمان الخادم مراجعة كاملة لسطح الهجوم، والمواءمة مع CIS Benchmark، واكتشاف البرمجيات الخبيثة و rootkit، ومراجعة تقسيم الشبكة، وتقرير تحصين مرتّب حسب الأولوية. وبمجرد أن تعرف أين تقف، تغطي خدمة تحصين خادم Linux ودليل التحصين عمليات الإصلاح.

الأسئلة الشائعة (FAQ)

ما هو تدقيق أمان الخادم؟ مراجعة منهجية لمدى انكشاف الخادم وإعداداته لتحديد نقاط الضعف الأمنية، تغطي سطح الهجوم وإعدادات نظام التشغيل والخدمات وحالة التصحيحات وضوابط الوصول وإعداد الشبكة والبرمجيات الخبيثة والمراقبة. وهي تخبرك أين أنت عرضة للخطر وكيفية إصلاحه.

كيف يختلف التدقيق عن التحصين؟ التدقيق تشخيصي: فهو يجد نقاط الضعف ويرتّبها حسب الأولوية. أما التحصين فهو عمل المعالجة الذي يصلحها. أنت تدقّق لتعرف أين تقف، ثم تحصّن لسد الثغرات.

هل يشمل تدقيق الخادم فحص البرمجيات الخبيثة؟ التدقيق الشامل يشمله. إلى جانب مراجعة الإعدادات، ينبغي أن يشمل فحص البرمجيات الخبيثة و rootkit وفحوصات سلامة الملفات لاكتشاف أي اختراق قائم، وليس فقط المخاطر المستقبلية.

مقابل أي معيار ينبغي أن يُقاس تدقيق الخادم؟ يُعد CIS Benchmark الخاص بنظام تشغيلك الأساس الشائع. فهو يوفّر معياراً موضوعياً وخاصاً بالتوزيعة بحيث تكون النتائج قابلة للقياس والتكرار بدلاً من أن تكون ذاتية.

كم مرة ينبغي أن ندقّق خوادمنا؟ بشكل دوري، وبعد التغييرات المهمة، لأن الإعدادات تنحرف وتظهر ثغرات جديدة. تجمع العديد من المؤسسات بين تدقيق معمّق سنوي أو نصف سنوي وبين التصحيح والمراقبة التلقائيين المستمرين بين هذه الفترات.