أفكار الحل
تصف هذه المقالة فكرة الحل. يمكن لمهندس السحابة الخاص بك استخدام هذه الإرشادات للمساعدة في تصور المكونات الرئيسية لتنفيذ نموذجي لهذه البنية. استخدم هذه المقالة كنقطة بداية لتصميم حل جيد التصميم يتوافق مع المتطلبات المحددة لحمل العمل الخاص بك.
توضح هذه المقالة كيفية رسم تخطيطي لبيئة تكنولوجيا المعلومات الأساسية لمؤسستك وإنشاء خريطة تهديد. هذه الرسومات التخطيطية هي أدوات قيمة لتخطيط وبناء طبقة أمان دفاعية قوية. يعد فهم بيئة تكنولوجيا المعلومات الخاصة بك وهيكلها أمرا بالغ الأهمية لتحديد خدمات الأمان اللازمة لتوفير الحماية الكافية.
تحتوي أنظمة الكمبيوتر على معلومات ليست قيمة للمؤسسات التي تولدها فحسب، بل أيضا للجهات الضارة. وتنخرط هذه الجهات الفاعلة، سواء كانت أفرادا أو مجموعات، في أنشطة ضارة تهدف إلى الإضرار بأجهزة الكمبيوتر والأجهزة والأنظمة وشبكات الشركات أو الإضرار بها. غالبا ما يكون هدفهم هو سرقة البيانات الحساسة أو إفسادها باستخدام تهديدات مثل البرامج الضارة أو هجمات القوة الغاشمة.
في هذه المقالة، نستكشف طريقة لتعيين التهديدات لبيئة تكنولوجيا المعلومات الخاصة بك، ما يتيح لك التخطيط لتنفيذ خدمات أمان Microsoft كجزء من استراتيجية الأمان الخاصة بك. هذه هي المقالة الثانية في سلسلة من خمسة، كما تم تقديمها في الدفعة السابقة. استخدم مراقبة Azure لدمج مكونات الأمان.
والخبر السار هو أنك لا تحتاج إلى إنشاء خريطة تهديد من البداية. توفر مصفوفة MITRE ATT CK موردا ممتازا لمساعدتك على تطوير مورد. MITRE ATT CK هي قاعدة المعارف (KB) عالمية تعين التهديدات في العالم الحقيقي استنادا إلى التكتيكات والتقنيات التي تمت ملاحظتها. توثق شركة MITRE كل تهديد معروف بالتفصيل، ما يوفر رؤى قيمة حول كيفية عمل هذه التهديدات وكيف يمكنك الدفاع عنها. يتوفر هذا المورد الذي يمكن الوصول إليه بشكل عام عبر الإنترنت في MITRE ATT&CK®.
في هذه المقالة، نستخدم مجموعة فرعية من هذه التهديدات لتوضيح كيفية تعيين التهديدات لبيئة تكنولوجيا المعلومات الخاصة بك.
حالات الاستخدام المحتملة
بعض التهديدات شائعة عبر جميع الصناعات، مثل برامج الفدية الضارة وهجمات DDoS والبرمجة النصية عبر المواقع وحقن SQL. ومع ذلك، تواجه العديد من المؤسسات تهديدات محددة فريدة من نوعها في صناعتها أو استنادا إلى الهجمات الإلكترونية السابقة التي واجهتها. يمكن أن يساعدك الرسم التخطيطي في هذه المقالة في تعيين هذه التهديدات لمؤسستك من خلال تحديد المناطق التي من المرجح أن تستهدفها جهات ضارة. يمكنك إنشاء خريطة تهديد من تخطيط طبقات الدفاع الضرورية لبيئة أكثر أمانا.
يمكنك تكييف هذا الرسم التخطيطي لنمذجة مجموعات مختلفة من الهجمات وفهم كيفية منعها والتخفيف منها بشكل أفضل. في حين أن إطار عمل MITRE ATT CK هو مرجع مفيد، فإنه غير مطلوب. تتعاون Microsoft Sentinel وخدمات أمان Microsoft الأخرى أيضا مع MITRE لتوفير رؤى قيمة حول التهديدات المختلفة.
تستخدم بعض المؤسسات Cyber Kill Chain®، وهي منهجية من Lockheed Martin، لتعيين وفهم كيفية تنفيذ هجوم أو سلسلة من الهجمات ضد بيئة تكنولوجيا المعلومات. تنظم Cyber Kill Chain التهديدات والهجمات من خلال النظر في أساليب وتقنيات أقل من إطار عمل MITRE ATT&CK. ومع ذلك، فهو فعال في مساعدتك على فهم التهديدات وكيفية تنفيذها. لمزيد من المعلومات حول هذه المنهجية، راجع Cyber Kill Chain.
بناء الأنظمة
قم بتنزيل ملف Visio لهذه البنية.
©2021 شركة MITRE. يتم إعادة إنتاج هذا العمل وتوزيعه بإذن من شركة MITRE.
بالنسبة لبيئة تكنولوجيا المعلومات للمؤسسات، نحدد المكونات فقط ل Azure وMicrosoft 365. قد تتضمن بيئة تكنولوجيا المعلومات الخاصة بك أجهزة وأجهزة وتقنيات من موفري تكنولوجيا مختلفين.
بالنسبة لبيئة Azure، يعرض الرسم التخطيطي المكونات المدرجة في الجدول التالي.
| Label | الوثائق |
|---|---|
| VNET | ما هي Azure Virtual Network؟ |
| LBS | ما هو Azure Load Balancer? |
| نقطه | عناوين IP عامة |
| ملقمات | الأجهزة الظاهرية |
| K8S | Azure Kubernetes Service |
| VDI | ما هو Azure Virtual Desktop؟ |
| تطبيقات الويب | نظرة عامة على App Service |
| تخزين AZURE | مقدمة إلى Azure Storage |
| الديسيبل | ما هي قاعدة بيانات Azure SQL؟ |
| معرِّف Microsoft Entra | ما هو معرف Microsoft Entra؟ |
يمثل الرسم التخطيطي Microsoft 365 من خلال المكونات المدرجة في الجدول التالي.
| التسمية | الوصف | الوثائق |
|---|---|---|
OFFICE 365 |
خدمات Microsoft 365 (سابقا Office 365). تعتمد التطبيقات التي توفرها Microsoft 365 على نوع الترخيص. | Microsoft 365 - الاشتراك في تطبيقات Office |
Microsoft Entra ID |
معرف Microsoft Entra، وهو نفس المعرف الذي يستخدمه Azure. تستخدم العديد من الشركات نفس خدمة Microsoft Entra ل Azure وMicrosoft 365. | ما هو معرف Microsoft Entra؟ |
سير العمل
لمساعدتك على فهم أي جزء من بيئة تكنولوجيا المعلومات من المحتمل أن تهاجم هذه التهديدات، يستند الرسم التخطيطي للبنية في هذه المقالة إلى بيئة تكنولوجيا معلومات نموذجية لمؤسسة لديها أنظمة محلية واشتراك Microsoft 365 واشتراك Azure. الموارد في كل من هذه الطبقات هي الخدمات الشائعة للعديد من الشركات. يتم تصنيفها في الرسم التخطيطي وفقا لأعمدة Microsoft ثقة معدومة: الشبكة والبنية الأساسية ونقطة النهاية والتطبيق والبيانات والهوية. لمزيد من المعلومات حول ثقة معدومة، راجع تبني الأمان الاستباقي مع ثقة معدومة.
يتضمن الرسم التخطيطي للبنية الطبقات التالية:
محليًا
يتضمن الرسم التخطيطي بعض الخدمات الأساسية مثل الخوادم (VMs) وأجهزة الشبكة وDNS. يتضمن التطبيقات الشائعة التي يتم العثور عليها في معظم بيئات تكنولوجيا المعلومات وتشغيلها على الأجهزة الظاهرية أو الخوادم الفعلية. كما يتضمن أنواعا مختلفة من قواعد البيانات، كل من SQL وغير SQL. عادة ما يكون لدى المؤسسات خادم ملفات يشارك الملفات في جميع أنحاء الشركة. وأخيرا، تعالج خدمة مجال Active Directory، وهي مكون بنية أساسية منتشرة، بيانات اعتماد المستخدم. يتضمن الرسم التخطيطي جميع هذه المكونات في البيئة المحلية.
بيئة Office 365
تحتوي بيئة المثال هذه على تطبيقات Office التقليدية، مثل Word وExcel وPowerPoint وOutlook وOneNote. استنادا إلى نوع الترخيص، قد يتضمن أيضا تطبيقات أخرى، مثل OneDrive وExchange وSharepoint وTeams. في الرسم التخطيطي، يتم تمثيلها بواسطة أيقونة لتطبيقات Microsoft 365 (المعروف سابقا باسم Office 365) وأيقونة لمعرف Microsoft Entra. يجب مصادقة المستخدمين للحصول على حق الوصول إلى تطبيقات Microsoft 365، ويعمل معرف Microsoft Entra كموفر الهوية. يقوم Microsoft 365 بمصادقة المستخدمين مقابل نفس نوع معرف Microsoft Entra الذي يستخدمه Azure. في معظم المؤسسات، يكون مستأجر معرف Microsoft Entra هو نفسه لكل من Azure وMicrosoft 365.
بيئة Azure
تمثل هذه الطبقة خدمات سحابة Azure العامة، بما في ذلك الأجهزة الظاهرية والشبكات الظاهرية والأنظمة الأساسية كخدمات وتطبيقات الويب وقواعد البيانات والتخزين وخدمات الهوية والمزيد. لمزيد من المعلومات حول Azure، راجع وثائق Azure.
أساليب وتقنيات MITRE ATT CK
يوضح هذا الرسم التخطيطي أهم 16 تهديدا، وفقا للتكتيكات والتقنيات كما نشرتها شركة MITRE. في الخطوط الحمراء، يمكنك مشاهدة مثال على هجوم مختلط، ما يعني أن ممثلا ضارا قد ينسق هجمات متعددة في وقت واحد.
كيفية استخدام إطار عمل MITRE ATT CK
يمكنك البدء بالبحث البسيط عن اسم التهديد أو رمز الهجوم على صفحة الويب الرئيسية، MITRE ATT&CK®.
يمكنك أيضا استعراض التهديدات على صفحات التكتيكات أو التقنيات:
لا يزال بإمكانك استخدام MITRE ATT&CK® Navigator، وهي أداة بديهية توفرها MITRE تساعدك على اكتشاف التكتيكات والتقنيات وتفاصيل التهديدات.
المكونات
يستخدم مثال البنية في هذه المقالة مكونات Azure التالية:
معرف Microsoft Entra هو خدمة إدارة الهوية والوصول المستندة إلى السحابة. يساعد معرف Microsoft Entra المستخدمين على الوصول إلى الموارد الخارجية، مثل Microsoft 365 ومدخل Azure والآلاف من تطبيقات SaaS الأخرى. كما أنه يساعدهم على الوصول إلى الموارد الداخلية، مثل التطبيقات على شبكة إنترانت شركتك.
شبكة Azure الظاهرية هي اللبنة الأساسية لشبكتك الخاصة في Azure. تمكن الشبكة الظاهرية العديد من أنواع موارد Azure من التواصل بأمان مع بعضها البعض والإنترنت والشبكات المحلية. توفر الشبكة الظاهرية شبكة ظاهرية تستفيد من البنية الأساسية ل Azure، مثل المقياس والتوافر والعزل.
Azure Load Balancer هي خدمة موازنة تحميل الطبقة 4 عالية الأداء وذات زمن انتقال منخفض (الواردة والصادرة) لجميع بروتوكولات UDP وTCP. تم تصميمها لمعالجة ملايين الطلبات في الثانية مع ضمان قابلية الوصول عالية التوفر للحل. Azure Load Balancer تكون متكررة، ممّا يضمن توفّراً بدرجة كبيرة عبر Availability Zones.
الأجهزة الظاهرية هي واحدة من عدة أنواع من موارد الحوسبة القابلة للتطوير عند الطلب التي تقدمها Azure. يمنحك جهاز Azure الظاهري (VM) مرونة الظاهرية دون الحاجة إلى شراء وصيانة الأجهزة المادية التي تقوم بتشغيله.
خدمة Azure Kubernetes (AKS) هي خدمة Kubernetes مدارة بالكامل لنشر التطبيقات المعبأة في حاويات وإدارتها. توفر AKS Kubernetes بلا خادم والتكامل المستمر/التسليم المستمر (CI/CD) والأمان والحوكمة على مستوى المؤسسة.
Azure Virtual Desktop هي خدمة افتراضية لسطح المكتب والتطبيقات تعمل على السحابة لتوفير أسطح مكتب للمستخدمين البعيدين.
تطبيقات الويب هي خدمة مستندة إلى HTTP لاستضافة تطبيقات الويب وواجهات برمجة تطبيقات REST والنهايات الخلفية للأجهزة المحمولة. يمكنك التطوير بلغتك المفضلة، وتشغيل التطبيقات وتوسيع نطاقها بسهولة على كل من البيئات المستندة إلى Windows وLinux.
يتوفر Azure Storage بشكل كبير وقابل للتطوير بشكل كبير ودائم وآمن لعناصر البيانات المختلفة في السحابة، بما في ذلك الكائن والكائنات الثنائية كبيرة الحجم والملف والقرص وقائمة الانتظار وتخزين الجدول. يتم تشفير كل البيانات المكتوبة إلى حساب تخزين Azure بواسطة الخدمة. يوفر لك تخزين Azure تحكمًا دقيقًا فيمَن لديه حق الوصول إلى بياناتك.
قاعدة بيانات Azure SQL هي محرك قاعدة بيانات PaaS مدار بالكامل يعالج معظم وظائف إدارة قاعدة البيانات مثل الترقية والتصحيح والنسخ الاحتياطي والمراقبة. يوفر هذه الدالات دون مشاركة المستخدم. توفر قاعدة بيانات SQL مجموعة من ميزات الأمان والتوافق المضمنة لمساعدة تطبيقك على تلبية متطلبات الأمان والتوافق.
المساهمون
تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.
الكاتب الرئيسي:
- رودني أوليفيرا | مهندس أمان Azure أول
مساهمون آخرون:
- غاري مور | مبرمج/ كاتب
- أندرو ناثان | مدير هندسة العملاء الأقدم
الخطوات التالية
تشير هذه الوثيقة إلى بعض الخدمات والتقنيات والمصطلحات. يمكنك العثور على مزيد من المعلومات عنها في الموارد التالية:
- MITRE ATT CK®
- متصفح ATT&CK®)
- المعاينة العامة: جزء MITRE ATT&CK Framework في Microsoft Sentinel، وهو منشور من Azure Cloud الذكاء الاصطناعي Domain Blog
- سلسلة® القتل عبر الإنترنت
- تبني الأمان الاستباقي مع ثقة معدومة
- التهديد المخلوطة على ويكيبيديا
- كيف تتغير الهجمات الإلكترونية وفقا تقرير الدفاع الرقمي من Microsoft الجديدة من مدونة أمان Microsoft
الموارد ذات الصلة
لمزيد من التفاصيل حول هذه البنية المرجعية، راجع المقالات الأخرى في هذه السلسلة: