نقطة ضعف (حوسبة)

  لمعانٍ أخرى، طالع ضعف (توضيح).
جزء من سلسلة مقالات حول
أمن المعلومات
مفاهيم رئيسة
التهديدات
الحماية
شعار بوابة بوابة أمن المعلومات
مخطط زمني لثغرة أمنية في الأجهزة /البرامج التي تم استغلالها في هجوم اليوم صفر وتم تصحيحها لاحقًا

في سياق أمن الحاسوب، نقطة الضعف[1] هي ثغرة تسمح للمخترق أن يقلص من ضمان المعلومات لنظام ما. فالضعف هو تقاطع ثلاثة عناصر: عيب في النظام، ومخترق يصل لهذا العيب، وقدرة هذا الهاكر على استغلال هذا العيب. لاستغلال الثغرة الأمنية، يجب أن يكون لدى المهاجم أداة واحدة أو تقنية قابلة للتطبيق على الأقل يمكنها الاتصال بضعف النظام. في هذا الإطار، ويعرف الضعف أيضا باسم سطح الهجوم.

ويمكن تصنيف الخطر الأمني على أنه ضعف. استخدام الضعف مع نفس المعنى من المخاطر يمكن أن يؤدي إلى الارتباك. ويرتبط الخطر باحتمال حدوث خسارة كبيرة. ثم هناك نقاط ضعف دون مخاطر: على سبيل المثال عندما يكون الأصول المتضررة لا قيمة لها. ويصنف الضعف مع واحد أو أكثر من الحالات المعروفة من العمل والهجمات تنفيذها بالكامل على أنها الضعف القابل للاستغلال - الضعف التي يوجد استغلال لها. نافذة الضعف هي الوقت الذي تم فيه إدخال ثغرة أمنية أو تجلى في البرامج التي تم نشرها، إلى عندما تم إزالة الوصول، تم توفير إصلاح الأمان / نشرها، أو تم تعطيل المهاجم - انظر هجوم اليوم صفر.

علة الأمن (عيب الأمن) هو مفهوم أضيق: هناك نقاط الضعف التي لا تتعلق البرمجيات: الأجهزة، الموقع، ومواطن الضعف الموظفين أمثلة على نقاط الضعف التي ليست أخطاء الأمن البرمجيات.

بناء في لغات البرمجة التي يصعب استخدامها بشكل صحيح يمكن أن يكون مصدرا كبيرا من نقاط الضعف.

نظرة عامة

يتمثل ضعف أنظمة الحاسوب بوجود نقاط ضعف أمنية يمكن استغلالها من قِبل طرف خبيث (مثل مهاجم سيبراني) لتنفيذ عمليات غير مصرح بها داخل نظام حاسوب معين. لا بد للطرف المهاجم من أن يمتلك أداة عملية واحدة على الأقل أو تقنيةً تمكّنه من الوصول إلى نقطة ضعف النظام. وفي هذا الإطار، يُعرف مصطلح الضعف أيضًا بسطح الهجوم.

تُعرف إدارة نقاط الضعف بأنها عملية اكتشاف الثغرات الأمنية، وتصنيفها، وعلاجها، والحد من آثارها السلبية بصفة دورية. تشير تلك العملية بصفة عامة إلى نقاط ضعف البرمجيات في أنظمة الحاسوب.

تُصنف الخطورة الأمنية في أحيان كثيرة بصفة خاطئة على أنها نقطة ضعف. قد يؤدي استخدام كلمة «ضعف» مكان «خطورة» إلى الالتباس والفهم الخاطئ. إذ إن الخطورة الأمنية تعبر عن عرضة النظام للتأثر بمحاولة استغلال نقطة الضعف بدرجة ملحوظة. أما نقاط الضعف، فهي لا تشكل خطورة مؤكدة في جميع الأحوال، فعلى سبيل المثال، لا تشكل نقاط الضعف التي تستهدف موارد بلا قيمة أي خطورة تُذكر. تُوصف نقطة الضعف الأمنية بأنها قابلة للاستغلال عند وقوع حادثة هجوم فعال واحدة أو أكثر بسببها. يعبّر مصطلح نافذة الاستغلال عن الوقت الفاصل بين اكتشاف الثغرة الأمنية في برمجيات النظام وإصلاح الثغرة أو منع المهاجم من الوصول إلى النظام أو تعطيله؛ انظر هجوم دون انتظار.

الثغرة الأمنية (أو الخلل الأمني) هي مفهوم أضيق نطاقًا يتعلق بنقاط الضعف المتأصلة في البرمجيات فقط: هناك عدة نقاط ضعف أخرى غير متعلقة بالبرمجيات: نقاط ضعف عتاد الحاسوب، والموقع، وطاقم العمل، وغيرها من الأمثلة.

قد تشكل البنايات المُدمجة في لغات البرمجة التي يصعب استخدامها بشكل صحيح مصدرًا واسعًا لنقاط الضعف.

الأسباب

  • التعقيد: كلما اشتدت الأنظمة في تعقيدها وزادت حجمًا، ارتفعت نسبة وقوع الأخطاء وخلق نقاط وصول غير مقصودة.
  • الإلمام بالنظام: يؤدي استخدام أكواد أو برمجيات أو أنظمة تشغيل شائعة ومألوفة إلى سهولة عثور المهاجم على المعلومات والأدوات الكافية للإلمام بعيوب النظام واستغلالها.[2]
  • مدى الاتصال: كلما زادت التوصيلات، والأذونات، والمنافذ، والبروتوكولات، والخدمات التي تصل النظام بالشبكة؛ اشتدت عرضة النظام للاختراق.[3]
  • ضعف كلمات السر: الحاسوب الذي يستخدم كلمات سر ضعيفة يمكن اكتشافها عن طريق القوة العمياء أكثر عرضة للاختراق، ونفس المبدأ يسري على المستخدم الذي يخزن كلمات السر داخل الحاسوب بصفة تسمح للبرامج الأخرى أن تصل إليها بسهولة، أو المستخدمين الذين يعيدون استخدام كلمة السر ذاتها في عدة برامج ومواقع إلكترونية.[4]
  • عيوب متأصلة في نظام التشغيل: تنشأ تلك العيوب عندما يقرر مصمم نظام التشغيل أن يطبق سياسات غير ملائمة لإدارة البرامج والمستخدمين. على سبيل المثال، أنظمة التشغيل التي تسمح لجميع البرامج والمستخدمين بالوصول الكامل لجميع أجزاء الحاسوب بشكل افتراضي. يسمح هذا الخلل في نظام التشغيل للفيروسات والبرمجيات الخبيثة أن تنفذ أوامر برمجية بالنيابة عن مدير النظام.[5]
  • تصفح مواقع الإنترنت بلا اكتراث: تحتوي بعض مواقع الإنترنت على برامج تجسس أو برامج إعلانية ضارة تستطيع في بعض الأحيان أن تثبّت نفسها تلقائيًا في الحاسوب. يُصاب الحاسوب بالعدوى إثر زيارته تلك المواقع، وقد تتمكن أطراف خارجية من الاستيلاء على بيانات شخصية داخل الحاسوب بواسطة تلك البرمجيات.[6]
  • الأعطاب البرمجية: قد يتسبب المبرمج عن طريق الخطأ في خلق ثغرة أمنية يمكن استغلالها بصفة ضارة. تسمح تلك الأعطاب للمهاجم أن يسيء استخدام البرمجيات.
  • السماح بإدخالات المستخدمين دون رقيب أو حسيب: من الخطأ أن تفترض البرمجيات أن جميع مدخلات المستخدمين آمنة وسليمة. قد تسمح البرامج التي لا تتحقق من مدخلات المستخدمين بتنفيذ أوامر غير مقصودة أو سطور برمجية بلغة إس كيو إل (التي تُعرف أيضًا بتجاوز سعة المخزن المؤقت، أو حقن أوامر إس كيو إل، أو أي مدخلات أخرى غير مُصرح بها).[7][8][9]
  • عدم الاتعاظ من الأخطاء السابقة: على سبيل المثال، اكتُشفت معظم نقاط الضعف المتأصلة في الإصدار الرابع من بروتوكل الإنترنت في الإصدار السادس الجديد أيضًا.

أظهرت الأبحاث أن أكثر مكونات الأنظمة المعلوماتية ضعفًا تتمثل في البشر، بمن فيهم مستخدمو البرمجيات، ومشغلوها، ومصمموها، ومطوروها. في ضوء ذلك، قد يشكل البشر تهديدًا أو مصدرًا للمعلومات أو الموارد ذات الفائدة وفقًا للدور الذي يلعبه كل إنسان. تثير الهندسة الاجتماعية أيضًا قلقًا أمنيًا متزايدًا في الوقت الراهن.[10]

انظر أيضًا

مصادر

  1. ^ «المصطلحات المفتوحة»[وصلة مكسورة] نسخة محفوظة 2013-08-12 at Archive.is
  2. ^ Krsul، Ivan (15 أبريل 1997). "Technical Report CSD-TR-97-026". The COAST Laboratory Department of Computer Sciences, Purdue University. CiteSeerX:10.1.1.26.5435. {{استشهاد ويب}}: الوسيط |مسار= غير موجود أو فارع (مساعدة)
  3. ^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 نسخة محفوظة 2014-11-18 على موقع واي باك مشين.;
  4. ^ Pauli، Darren (16 يناير 2017). "Just give up: 123456 is still the world's most popular password". The Register. مؤرشف من الأصل في 2019-11-14. اطلع عليه بتاريخ 2017-01-17.
  5. ^ "The Six Dumbest Ideas in Computer Security". ranum.com. مؤرشف من الأصل في 2020-03-01.
  6. ^ "The Web Application Security Consortium / Web Application Security Statistics". webappsec.org. مؤرشف من الأصل في 2019-10-06.
  7. ^ القرصنة: فن الاستغلال
  8. ^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
  9. ^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
  10. ^ Kiountouzis، E. A.؛ Kokolakis، S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN:0-412-78120-4.

Read other articles:

Thác Bà Reservoir

Reservoir in VietnamThác Bà ReservoirThác Bà LakeHồ Thác Bà (Vietnamese)Thác Bà LakeThác Bà ReservoirLocationVietnamCoordinates21°43′41″N 105°01′17″E / 21.728°N 105.0215°E / 21.728; 105.0215TypeReservoirRiver sourcesSong ChaySurface area90.35 miles (145.40 km) The Thác Bà Reservoir or Thác Bà Lake (Vietnamese: Hồ Thác Bà) is an artificial lake in Yên Bái Province, Vietnam created by construction of the Thác Bà hydroelectric...

 

أمريكا المفتوحة 1983 (كرة مضرب)

أمريكا المفتوحة 1983 رقم الفعالية 103  البلد الولايات المتحدة  التاريخ 1983  الرياضة كرة المضرب  الفعاليات أمريكا المفتوحة 1983 - فردي السيدات،  وأمريكا المفتوحة 1983 - فردي الرجال،  وأمريكا المفتوحة 1983 - زوجي السيدات،  وبطولة أمريكا المفتوحة 1983 - زوجي الرجال،  و�...

 

East West Rail

Plan for an Oxford–Cambridge railway line This article is about the proposed English railway line between Oxford and Cambridge. For the proposed railway in Nepal, see East-West Railway. For the proposed railway in Massachusetts, see East-West Passenger Rail (Massachusetts). For other uses, see East–West line. East West RailLocationOxfordshireBuckinghamshireBedfordshireCambridgeshireProposerEast West Main Line PartnershipProject websiteeastwestrail.co.ukStatusOxford–Bedford: Under constr...

Game Developers Conference

Annual video game developer conference Game Developers ConferenceGenreVideo game developmentVenueMoscone Convention CenterLocation(s)San Francisco, CaliforniaCountryUnited StatesInauguratedApril 1988; 36 years ago (1988-04) (as Computer Game Developers Conference)Most recentMarch 18, 2024; 18 days ago (2024-03-18)Attendance27,000 (2019)Organized byInformaWebsitewww.gdconf.com The Game Developers Conference (GDC) is an annual conference for video game ...

 

Betty Garrett

American actress, comedian, singer and dancer (1919–2011) Betty GarrettGarrett in 1950Born(1919-05-23)May 23, 1919St. Joseph, Missouri, U.S.DiedFebruary 12, 2011(2011-02-12) (aged 91)Los Angeles, California, U.S.EducationAnnie Wright SchoolAlma materNeighborhood PlayhouseOccupationsActresscomediandancersingerYears active1938–2011TelevisionAll in the Family,Laverne & ShirleySpouse Larry Parks ​ ​(m. 1944; died 1975)​Childre...

 

History of the transistor

Semiconductor device history This article may misquote or misrepresent many of its sources. Please see the cleanup page for more information. Editors: please remove this warning only after the diffs listed [[Wikipedia talk:Requests for comment/Jagged 85/{{{subpage}}}|here]] have been checked for accuracy. (August 2022) Transistor technology timeline (summary) Year Technology Organization 1947 Point contact Bell Labs 1948 Grown junction Bell Labs 1951 Alloy junction General Electric 1953 Surfa...

Четыре знака зодиака

Четыре небесных дворца и 28 стоянок луны Четыре знака зодиака (кит. трад. 四象, пиньинь Sì xiàng, палл. Сы сян[1] или кит. трад. 四靈, упр. 四灵, пиньинь Sì líng, палл. Сы лин[2]) — четыре мифологических существа в китайской астрономии:[3] Лазурный дракон Востока (кит. трад...

 

Синелобый амазон

Синелобый амазон Научная классификация Домен:ЭукариотыЦарство:ЖивотныеПодцарство:ЭуметазоиБез ранга:Двусторонне-симметричныеБез ранга:ВторичноротыеТип:ХордовыеПодтип:ПозвоночныеИнфратип:ЧелюстноротыеНадкласс:ЧетвероногиеКлада:АмниотыКлада:ЗавропсидыКласс:Пт�...

 

Miss Global

Untuk edisi peringatan ke-10 di tahun ini, lihat Miss Global 2022. Miss GlobalTanggal pendirian2013; 11 tahun lalu (2013)TipeKontes kecantikanKantor pusatLos Angeles, Amerika SerikatLokasiAmerika SerikatBahasa resmi InggrisPresidentVan PhamSloganEmpowering Women, Embracing Cultures, and Embodying the Beauty WithinOrganisasi indukOrganisasi Miss GlobalSitus webmissglobal.com Miss Global (kadang disebut Miss Global International) adalah kontes kecantikan internasional tahunan untuk wanita ...

Michael Gaul

Canadian ice hockey player Ice hockey player Michael Gaul Gaul in 2001Born (1973-04-28) April 28, 1973 (age 51)Lachine, Quebec, CanadaHeight 6 ft 1 in (185 cm)Weight 200 lb (91 kg; 14 st 4 lb)Position DefenceShot RightPlayed for Colorado AvalancheColumbus Blue JacketsHC Fribourg-GottéronHC Ambri-PiottaNHL draft 262nd overall, 1991Los Angeles KingsPlaying career 1993–2004 Michael S. Mike Gaul (born April 28, 1973) is a Canadian former professional...

 

土库曼斯坦总统

土库曼斯坦总统土库曼斯坦国徽土库曼斯坦总统旗現任谢尔达尔·别尔德穆哈梅多夫自2022年3月19日官邸阿什哈巴德总统府(Oguzkhan Presidential Palace)機關所在地阿什哈巴德任命者直接选举任期7年,可连选连任首任萨帕尔穆拉特·尼亚佐夫设立1991年10月27日 土库曼斯坦土库曼斯坦政府与政治 国家政府 土库曼斯坦宪法 国旗 国徽 国歌 立法機關(英语:National Council of Turkmenistan) ...

 

Peteinosaurus

Peteinosaurus Periode Trias Akhir, 221–210 jtyl PreЄ Є O S D C P T J K Pg N TaksonomiKerajaanAnimaliaFilumChordataKelasReptiliaOrdoPterosauriaFamiliDimorphodontidaeGenusPeteinosaurus Wild, 1978 lbs Peteinosaurus (Pelafalan Inggris:/pɛˌtaɪnəˈsɔːrəs/ peh-TY-nə-SOR-əs;[1] berarti kadal bersayap) merupakan genus pterosaurus prasejarah. Pterosaurus ini hidup pada periode Trias Akhir pada Norian akhir (sekitar 221 to 210 juta tahun yang lalu) dan sayapnya sepanjang 60...

منتخب بابوا غينيا الجديدة لسباعيات الرغبي

هذه المقالة تحتاج للمزيد من الوصلات للمقالات الأخرى للمساعدة في ترابط مقالات الموسوعة. فضلًا ساعد في تحسين هذه المقالة بإضافة وصلات إلى المقالات المتعلقة بها الموجودة في النص الحالي. (يوليو 2019) منتخب بابوا غينيا الجديدة لسباعيات الرغبي بلد الرياضة بابوا غينيا الجديدة  �...

 

نشاطية

مارتن لوثر كينغ- ناشط سياسي نشطاء مصريون يلتقون وزير الخارجية البريطاني في لندن تتكون النشاطية من جهود لتشجيع أو عرقلة أو توجيه أو التدخل في الإصلاح الاجتماعي أو السياسي أو الاقتصادي أو البيئي مع الرغبة في إجراء تغييرات في المجتمع. وتتراوح أشكال النشاطية من الانتداب في ال�...

 

KNM-ER 1813

Hominin fossil This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: KNM-ER 1813 – news · newspapers · books · scholar · JSTOR (May 2017) (Learn how and when to remove this message) KNM ER 1813Catalog no.KNM ER 1813SpeciesHomo habilisAge1.9 MaPlace discoveredKoobi Fora, KenyaDate discovered1973Discovered byKamoya ...

Kahr Arms

American firearms manufacturer Kahr ArmsCompany typePrivateIndustryFirearmsFounded1995; 29 years ago (1995) in Blauvelt, New YorkHeadquartersGreeley, PennsylvaniaKey peopleJustin Moon, CEO/PresidentParentKahr Firearms GroupWebsitekahr.com Kahr MK9 Kahr CM9 subcompact 9×19mm Kahr Arms is an American small firearms manufacturer focused on compact and mid-size semi-automatic pistols chambered for popular cartridges, including .380 ACP, 9mm Luger, .40 S&W and .45 ACP.[1...

 

Internazionali di Francia 1958 - Singolare maschile

Internazionali di Francia 1958Singolare maschileSport Tennis Vincitore Mervyn Rose Finalista Luis Ayala Punteggio6-3 6-4 6-4 Tornei Singolare uomini donne   Doppio donne 1957 1959 Voce principale: Internazionali di Francia 1958. Mervyn Rose ha battuto in finale Luis Ayala 6-3 6-4 6-4. Indice 1 Teste di serie 2 Tabellone 2.1 Legenda 2.2 Fase finale 2.3 Parte alta 2.3.1 Sezione 1 2.3.2 Sezione 2 2.3.3 Sezione 3 2.3.4 Sezione 4 2.4 Parte bassa 2.4.1 Sezione 5 2.4.2 Sezione 6 2.4.3 Sezione 7...

 

Vanderbilt University Divinity School

Vanderbilt Divinity School and Graduate Department of ReligionTypePrivateEstablished1875DeanYolanda PiercePostgraduates230[1]Address411 21st Avenue South, Nashville, Tennessee, United States36°08′48″N 86°48′03″W / 36.1467°N 86.8008°W / 36.1467; -86.8008 The Vanderbilt Divinity School and Graduate Department of Religion (usually Vanderbilt Divinity School) is an interdenominational divinity school at Vanderbilt University, a major research university...

Universitas Sarjanawiyata Tamansiswa

Artikel ini tidak memiliki referensi atau sumber tepercaya sehingga isinya tidak bisa dipastikan. Tolong bantu perbaiki artikel ini dengan menambahkan referensi yang layak. Tulisan tanpa sumber dapat dipertanyakan dan dihapus sewaktu-waktu.Cari sumber: Universitas Sarjanawiyata Tamansiswa – berita · surat kabar · buku · cendekiawan · JSTOR Universitas Sarjanawiyata Tamansiswa    Tampilkan peta yang diperbesarTampilkan peta yang diperkecil Inf...

 

1987 au cinéma

Chronologies Données clés 1984 1985 1986  1987  1988 1989 1990Décennies :1950 1960 1970  1980  1990 2000 2010Siècles :XVIIIe XIXe  XXe  XXIe XXIIeMillénaires :-Ier Ier  IIe  IIIe Chronologies géographiques Afrique Afrique du Sud, Algérie, Angola, Bénin, Botswana, Burkina Faso, Burundi, Cameroun, Cap-Vert, République centrafricaine, Comores, République du Congo, République démocratique du Congo, Côte d'Ivoire, Djibouti, Égyp...