- الحوسبة الآمنة: مفهوم البيئة الموثوقة
- مقدمة
- كيفية عمل حلول المنع الافتراضي
- منع تنفيذ التعليمات البرمجية غير الموثوقة: انعدام المرونة
- من منع تنفيذ التعليمات البرمجية غير الموثوقة إلى الحفاظ على البيئة الموثوقة
- دعم تثبيت البرامج وتحديثاتها
- استخدام المصادر الموثوقة من البيئة الخارجية
- الحفاظ على سلامة البيئة الموثوقة
- تلقي معلومات من التطبيقات الجديدة
- الخاتمة
- تطبيق تقنية البيئة الموثوقةفي برنامج كاسبرسكي للحماية على الإنترنت 2014
- مقدمة
- تفعيل وضع التطبيقات الموثوقة
- المرحلة الأولى. تحليل التطبيقات التي تم إطلاقها
- المرحلة الثانية. تحليل المكتبات الديناميكية المُحملة
- المرحلة الثالثة. تحليل ملفات النظام
- التفعيل اليدوي لوضع التطبيقات الموثوقة
- الحفاظ على البيئة الموثوقة
- الخاتمة
مقدمة
خلال السنوات الأخيرة، تزايد عدد البرمجيات الخبيثة بشكلٍ مطرد، حتى أكثر تقنيات مكافحة الفيروسات فعالية التي تم تطويرها بمعرفة العديد من الشركات العاملة في هذا المجال، ليست قادرة على الدوام على مسايرة هذا العدد المتزايد من التهديدات. ففي حين كانت نسبة اكتشاف هذه التهديدات تصل إلى 99.9%، ما يعني أن واحدةً فقط أو اثنتين من البرمجيات الخبيثة كانت لا يتم اكتشافها من أصل 10.000 برنامجًا خبيثًا، أو وفقًا للعدد الذي تم إطلاقه في هذا العام، فإن هذه النسبة اليوم تمثل آلاف العينات من البرمجيات الخبيثة من بين ملايين البرمجيات الخبيثة الجديدة. كما أن المجرمين الإلكترونيين أصبحوا بشكلٍ متزايد يستغلون الثغرات الأمنية الحديثة، التي تعاني منها البرامج المُثبتة على الأجهزة المستهدَفة.
هذا بالفعل قد دفع الشركات الكبرى إلى تغيير نهجها المتبع في الأنظمة الأمنية. وفي سياق عملهم، يعالج الموظفون بيانات الشركة المُخزنة على الشبكة الخاصة بها. نتيجةً لهذا، يسمح أيضًا الوصول لأحد أجهزة الكمبيوتر المتصلة بشبكة هذه الشركة للمهاجمين بالحصول على فرصة محتملة للوصول إلى أسرار الشركة التجارية. يمثل هذا على وجه الخصوص أمرًا خطيرًا على الشركات الكبرى؛ حيث قد يكبدهم ذلك خسارة ملايين الدولارات. كما أصبح من الشائع على نحوٍ متزايد، أن تقوم منتجات حماية وأمن المعلومات الموجودة على شبكات الشركات على نهجٍ مختلف تمامًا عن ذلك المستخدم في حلول مكافحة الفيروسات. إن الفكرة بسيطة للغاية: لا يُسمح بالعمل إلا للبرامج الموجودة ضمن قائمة البرامج المقبولة المعينة، في حين يتم منع جميع التطبيقات الأخرى من العمل. إن أمن الشبكات قد أصبح يمثل أولوية كبرى للعديد من المؤسسات. نتيجةً لذلك، تفقد الأنظمة بعضًا من مرونتها: وذلك لأن الموظفين مقيدين باستخدام وتشغيل البرامج المعتمدة والمقبولة، والتي لها علاقة بالعمل على أجهزة كمبيوتراتهم. إن هذا النهج ليس بالجديد ويُعرف بـ “وضع المنع الافتراضي” أو “وضع القفل”.
وغالبًا ما تُستخدم حلول المنع الافتراضي دون وجود حماية من برامج مكافحة الفيروسات، لكن خبراء كاسبرسكي لاب على إيمانٍ بأن أكثر المناهج والطرق فعالية هو، أن يتم دمج مكونات المنع الافتراضي مع مكونات مكافحة الفيروسات، وهذا يعود إلى عدة عوامل مهمة هي: البرمجيات المستغلة التي تؤدي أنشطة خبيثة دون إنشاء أي ملفات على جهاز الكمبيوتر؛ فيروسات الماكرو التي تُوزع في وثائق ومستندات الأوفيس (والتي لا يمكن التحكم فيها عن طريق وضع المنع الافتراضي، نظرًا لتعديلها بصفة دائمة ومستمرة)؛ والبرمجيات الخطرة “riskware.” بمعنى البرامج الشرعية بطبيعتها، لكن المجرمين الإلكترونيين يقومون بتهيئتها على وجه الخصوص لأداء وظائف وأنشطة خبيثة وضارة. على سبيل المثال، يمكن للإعدادات الخاصة في ملف التهيئة أن تحول برامج تسجيل ضغطات المفاتيح إلى برمجيات تروجان التجسسية الخبيثة. لهذا السبب تعتبر الحماية المتكاملة والمدمجة أكثر فعالية من استخدام نهج وطريقة واحدة.
يُعد نهج المنع الافتراضي فعالاً في الشركات الكبرى ذات البنية الأساسية المغلقة، في حين أن الشركات الصغيرة ومستخدمي أجهزة الكمبيوتر العاديين يحتاجون أيضًا إلى حماية موثوقة ومضمونة لبياناتهم. تعتبر بيانات تعريف المستخدم الخاصة بأنظمة الدفع الإلكتروني، وشبكات التواصل الاجتماعي، وموارد معدات وقطع غيار أجهزة الكمبيوتر، وحركة المرور على الإنترنت، قيمة وثمينة جدًا لجذب المجرمين الإلكترونيين.
من المهم أن تتذكر أن مستخدمي أجهزة الكمبيوتر الشخصية يريدون أن يصبحوا قادرين على تثبيت البرامج الجديدة، وتحديث تلك المثبتة بالفعل بصفة منتظمة، بالإضافة إلى تحميل الملفات من الإنترنت وشبكات مشاركة وتبادل الملفات المعروفة بـ ” الند للند أو بي 2 بي”، وكذلك مواقع المشاهدة. لسوء الحظ، نادرًا ما تكون حلول المنع الافتراضي المصممة خصيصًا لقطاع الأعمال والشركات بالمرونة الكافية لتلبي وتتناسب مع احتياجات ومتطلبات المستخدمين في المنازل. صرفت الكثير من الشركات النظر عن استخدام نهج المنع الافتراضي لهذا السبب بالذات وهو: أن حلول المنع الافتراضي المتاحة والموجودة حاليًا لا توفر المرونة المطلوبة في عملياتهم التجارية.
تشرح هذه الورقة مفهوم ” البيئة الموثوقة”، الذي يجمع بين مزايا الحماية التي توفرها حلول المنع الافتراضي مع المرونة التي تقدمها حلول مكافحة الفيروسات.
كيفية عمل حلول المنع الافتراضي
لمعرفة سبب عدم تمتع الأنظمة الأمنية القائمة على مفهوم المنع الافتراضي بالمرونة الكافية، يجب أن نفهم جيدًا المبادئ التي يعمل بها هذا النهج (تم تقديم شرح ووصف مفصل لتقنية المنع الافتراضي في هذا المقال المنفصل)
خلال عملية النشر، يؤدي حل المنع الافتراضي هذه السلسلة التالية من العمليات:
- يقوم بعمل جرد، بمعنى أن هذا الحل يقوم بعمل بحث عن الملفات القادرة على تنفيذ التعليمات البرمجية مثل: التطبيقات، المكتبات الديناميكية، والبرامج النصية ؛
- يحدد الملفات التي يمكن أن تكون موثوقة ومضمونة؛
- يُفعِّل وضع المنع الافتراضي.
بعد الانتهاء من تفعيل وضع المنع الافتراضي، يتم تنفيذ التطبيقات والبرامج النصية، وتُحمّل المكتبات الدينامكية وفقًا للخوارزمية التالية:
- يطلق نظام التشغيل التطبيق، أو البرنامج النصي أو المكتبة؛
- يفحص ويتحقق النظام الأمني من التطبيق، أو البرنامج النصي، أو المكتبة من خلال عرضها على قائمة الكائنات الموثوقة لتحديد ما إذا كان يمكن الوثوق بها؛
- في حال تم التأكيد أن هذه الكائنات موثوقة، يُسمح لها بالعمل، وإلا سيتم حجبها في حال ثبت العكس
منع تنفيذ التعليمات البرمجية غير الموثوقة: انعدام المرونة
تُعد ميزة إنشاء نظام منعزل، إحدى المزايا التي لا جدال فيها لنهج المنع الافتراضي، وذلك لعدم إمكانية تشغيل أيٍ من التطبيقات غير الموثوقة، فوضع المنع الافتراضي الكلاسيكي يضحي بالمرونة من أجل توفير الأمن والحماية. يتمثل العيب الكبير في هذا النهج في أنه يجعل من تثبيت أي برامج جديدة، وتحديث البرامج المثبتة بالفعل أمرًا مستحيلاً. لهذا السبب تستخدم حلول المنع الافتراضي فئات خاصة من البرامج هي “برامج التحديث الموثوقة”، و “برامج التثبيت الموثوقة”، وبذلك تسمح هذه البرامج بإنشاء برامج أخرى في النظام لتكون موثوقة مثل باقي برامج هذا النظام.
يُحدد هذا النهج الذي يُطبق بنجاح بمعرفة المؤسسات، حيث توجد قائمة بالبرامج على محطات العمل، بواسطة مدير النظام الذي ينشئ ملف منعزل ومنفصل عن شبكة الشركة، ليسمح هذا النظام للبرامج المدرجة فقط في القائمة بالتحديث أو التثبيت.
مع ذلك، فإن معظم أنظمة المعلومات مفتوحة بطبيعتها وتتفاعل فيما بينها مع بعضها البعض. يؤدي كل جهاز كمبيوتر العديد من المهام والوظائف التي يمكن لمداها أن يتسع بمرور الوقت. علاوةً على ذلك، تكون جميع أجهزة الكمبيوتر تقريبًا متصلة بالإنترنت .
لا يُعد إنشاء الفئات المذكورة أعلاه أمرًا كافيًا لتوفير المستوى المطلوب من المرونة للنظام، وذلك على صعيد أجهزة الكمبيوتر المنزلية، والمؤسسات التي لا تتحكم بصرامة في تثبيت البرامج على أجهزة محطات العمل الخاصة بها.
من منع تنفيذ التعليمات البرمجية غير الموثوقة إلى الحفاظ على البيئة الموثوقة
إذًا، كيف يمكننا أن نجعل النظام مرنًا بالقدر الكافي ومحمي جيدًا في نفس الوقت؟ يتمثل أحد الحلول في الانتقال من منع تنفيذ التعليمات البرمجية غير الموثوقة إلى الحفاظ على البيئة الموثوقة.
فما هي إذًا البيئة الموثوقة؟
خلال عملية جرد البرامج، يتم إنشاء قائمة الكائنات الموثوقة مثل (التطبيقات، والمكتبات الديناميكية والبرامج النصية) التي يمكن أن تعمل داخل النظام، على أن يتم منع وحجب جميع الكائنات الأخرى من تنفيذ تعليماتها البرمجية.
ما هو مصدر المعلومات التي تُحدد على أثرها عملية الجرد ما إذا كانت الملفات موثوقة أو غير موثوقة؟
من الواضح أن الأمر يستلزم وجود دليلٍ من نوعٍ ما على أنه يمكن الثقة في هذه الملفات. يتمثل هذا الدليل في التوقيع الرقمي الذي يشهد بأن الملف تم التحقق من أنه قد تم إنشاؤه بمعرفة مطور موثوق، ولم يقم أي طرفٍ ثالث بتعديله .
بالرغم من ذلك، يوجد العديد من التطبيقات تم تصميمها بواسطة كبرى شركات البرمجيات، التي لا يتوافر لديها توقيع رقمي. أما بالنسبة لمطوري البرمجيات الصغار، فنادرًا ما “يوقعون” على منتجاتهم. بالإضافة إلى ذلك، فإن سرقة الشهادات الرقمية، ومن ثم استخدامها بواسطة المجرمين الإلكترونيين، قد أصبحت مشكلة شائعة بشكلٍ متزايد..
كيف يمكن للمرء أن يتحصل على معلومات دقيقة حول ما إذا كان الملف غير المُوقّع أو الشهادة التي تستخدم في التوقيع على الملف واعتماده موثوقة؟ هناك حل واحد، وهو أن تُستخدم قاعدة المعرفة التي تحتوي على بيانات جميع البرمجيات الشرعية، والتي توفرها شركة الأنظمة الأمنية.
غالبًا ما تتسم قواعد بيانات البرمجيات الموثوقة بضخامة حجمها، ويتم تحديثها بشكلٍ متكرر، وذلك لأنه يُعد من المستحيل الحفاظ عليها في حالة تحديث مع هذا النوع من التحديثات المنتظمة المستخدمة في تحديثات قواعد بيانات حلول مكافحة الفيروسات. وهنا نأتي للمنطقة التي تُستخدم فيها التقنيات السحابية والقوائم البيضاء الديناميكية. في حال تطلب الأمر توفر بعض المعلومات حول أحد الكائنات، يقوم النظام الأمني بطلبها من التقنية السحابية، التي ترد من خلال إصدار حكم عن ما إذا كان الملف المشتبه به موثوق أو غير ذلك.
فور الانتهاء من عملية الجرد، ومن ثم تحديد مجموعة الملفات الموثوقة، يمكن اعتبار جميع التعليمات البرمجية الموجودة على النظام موثوقة، ومن ثم يكون النظام بأكمله محل ثقة.
في نفس الوقت، إذا كان النظام موثوقًا، تُنشئ التطبيقات الموثوقة كائنات محل ثقة دون التأثير على حالة هذا النظام بأكمله، وذلك في غياب أي اتصالات مع البيئة الخارجية غير الموثوقة. وهذا يعني أنه من الممكن اعتبار النظام بأكمله بيئة موثوقة.
دعم تثبيت البرامج وتحديثاتها
من الضروري أن نفهم الكيفية التي أضيفت بها التطبيقات الجديدة إلى النظام، حتى يتسنى لنا أن نحدد الطريقة التي يمكن لهذا النظام عن طريقها أن يدير عمليات تحديث وتثبيت البرمجيات الجديدة. في معظم الحالات، يتم تحميل التطبيقات الجديدة من الويب أو تُنسخ من الوسائط القابلة للإزالة. وبالتالي، لا يمكن ضمان موثوقية الملف الذي تم إنشاؤه بواسطة التطبيق الموثوق المتصل بالبيئة الخارجية. فعلى سبيل المثال، يعتبر برنامج التصفح أحد البرامج الموثوقة، لكن قد يُستخدم في تحميل التطبيقات غير الموثوقة من على شبكة الإنترنت، ومن ثم لا يمكن اعتبار مثل هذه التطبيقات محل ثقة دون الحصول على تأكيدات إضافية. كما يوجد أدناه عرض لخوارزمية التحقق التي تضمن أن التطبيق من النوع الموثوق.
إذا تم تثبيت أحد التطبيقات في النظام وتم اعتباره محل ثقة، فإن الإصدار الجديد له الذي تم تحميله من مصدر موثوق سيكون أيضًا محل ثقة بحكم تحميله والحصول عليه من بيئة موثوقة، وهذا بدوره يسمح للبرامج المثبتة على النظام بأن يتم تحديثها دون أي عائق، ودون التأثير على حالة النظام الموثوقة. بعبارةٍ أخرى، لن تتسبب البرامج المثبتة والمحدثة في إحداث أي مشاكل.
لكن، ماذا عن تثبيت البرامج الجديدة؟
فيما يلي عرض لأشهر ثلاث طرق لتثبيت البرمجيات:
- عن طريق مثبت ويب
- عن طريق حزمة تثبيت مفردة
- عن طريق حزمة تثبيت مجزأة.
عند استخدام مُثبت الويب، يتم تطبيق منطق برنامج التحديث الموثوق: يكفي للنظام الأمني أن “يعرف” أن برنامج التثبيت موثوق، ومن ثم سيقوم بتحميل التحديثات من موقع ويب موثوق. نتيجةً لهذا، ستصبح جميع الملفات التي تم إدخالها إلى النظام خلال عملية تثبيت التطبيق موثوقة وفقًا للخاصية الرئيسية للبيئات الموثوقة.
بينما في حالة استخدام حزمة التثبيت المفردة، يكفي التحقق من أن حزمة التثبيت موثوقة. يتم تثبيت حِزم التثبيت باستخدام برامج تثبيت متخصصة، تكون جزء من نظام التشغيل، مثل برنامج “msiexec.exe.”. ونظرًا لكون التطبيق جزءًا من نظام التشغيل، فيصبح موثوقًا. إذا كانت حزمة التثبيت التي يستخدمها المُثبت موثوقة، فإن أي برامج يتم استخلاصها من هذه الحزمة لن تؤثر على حالة الثقة الخاصة بالبيئة، ما يعني أنه يمكن اعتبارها موثوقة.
في حال كان المُثبت يستخدم العديد من الملفات في عملية التثبيت، بمعنى أنه عندما يتم تثبيت أحد البرمجيات باستخدام ملفات “CAB”، يتماشى هذا السيناريو أيضًا مع خصائص البيئة الموثوقة: إذا كانت جميع الملفات المستخدمة في عملية التثبيت موثوقة، فإن الملفات الناتجة ستكون موثوقة أيضًا .
استخدام مصادر موثوقة من البيئة الخارجية
في حين أنه من السهل نسبيًا أن يتم التعامل مع برامج التثبيت الموجودة في جهاز الكمبيوتر الشخصي نفسه، فإن البرنامج غالبًا ما يتم تحميله من على الشبكة المحلية أو الإنترنت. لا يستطيع نظام الأمن تحديد ما إذا كانت الكائنات موثوقة. علاوةً على ذلك، يمكن لبرامج التثبيت أن تدخل إلى موارد الإنترنت للحصول على مزيدٍ من المعلومات اللازمة لعملية التثبيت، لكن دخول الشبكة يخالف وينتهك المفهوم الأساسي للبيئة الموثوقة، نظرًا لأننا لا نعرف ما إذا كانت عقدة الشبكة موثوقة أو على العكس من ذلك.
يمكن حل هذه المشكلة كالتالي، تقوم الشركة المُصنِّعة للمنتج بتحديد قائمة العُقََد الموثوقة مُسبقًا (لكلٍ من الشبكة المحلية وعلى شبكة الإنترنت). عند الاتصال بأيٍ من هذه العَُقَد، يبقى أي تطبيق يعتبر جزءًا من البيئة الموثوقة محل ثقة، ويمكنه أن يُنشئ أشياء موثوقة في النظام.
ما هي أفضل الطرق لإنشاء قائمة من عُقد الشبكات الموثوقة أثناء التأكد والتحقق من عدم اختراق هذه العُقد؟ تتعامل كل شركة مصممة لحلول المنع الافتراضي مع هذه المهمة وفقًا لخبرتها، والرقابة المستمرة منها على موارد الشبكة التي تم الاعتراف بها على أنها موثوقة .
الحفاظ على سلامة البيئة الموثوقة
بعد إنشاء البيئة الموثوقة وتفعيل وضع المنع الافتراضي، من المهم للغاية أن يتم الحفاظ على سلامة هذه البيئة. من الضروري التأكد من عدم تغيير التطبيقات المُثبتة بالفعل، وعدم ظهور التطبيقات الجديدة أثناء تجاوز النظام الأمني.
لنفترض أن الشركة، أو العدد الضخم من مستخدمي أجهزة الكمبيوتر الشخصية يستخدمون نظام الحماية المقترح والمطروح، فإن المجرمين الإلكترونيين يكونون على دراية بأن هؤلاء المستخدمين يقومون باستخدام طرق وأساليب الحماية الجديدة، وبالتالي فإن التقنيات المعروفة بإطلاق التعليمات البرمجية الخبيثة لن تعمل.
إذًا، كيف سيتصرف المجرمون الإلكترونيون في حال ما أرادوا الحصول على معلومات المستخدم السرية، أو استخدام موارد أجهزة الكمبيوتر الشخصية؟ بوضوح، وفي هذه الحالة، سيفكرون في طرقٍ أخرى لتنفيذ التعليمات البرمجية الخبيثة، في محاولةٍ منهم لتجاوز والمرور من نظام الأمن، بينما يتمثل البديل الأخطر في استغلال الثغرات الأمنية في البرمجيات الموثوقة.
إذا تم استغلال الثغرة الأمنية الموجودة في البرنامج بنجاح، سيصبح بإمكان المجرم الإلكتروني أن يستخدم خصائص البيئة الموثوقة ضد نظام الأمن نفسه: عن طريق تنفيذ التعليمات البرمجية الخبيثة داخل عملية موثوقة، سوف يتم اعتبار جميع الأنشطة التي تؤديها هذه التعليمات البرمجية موثوقة. على سبيل المثال، عند زيارة موقع خبيث يحتوي على أحد البرمجيات المستغِلة، فإن التعليمات البرمجية الخبيثة تبدأ في العمل داخل برنامج التصفح الخاص بالمستخدم. ونظرًا لأن البرمجيات الخبيثة تعمل داخل أحد العمليات الموثوقة، فإن كل شيء يقوم به برنامج التصفح سوف يتم السماح به عند هذه المرحلة. ومع ذلك، إذا حاولت البرمجة المستغِلة تشغيل ملف خبيث تم تحميله، فسوف يتم منعها من ذلك. لذلك، يُعد نطاق الإصابة بالعدوى بواسطة التعليمات البرمجية الخبيثة نطاقًا محدودًا.
لإلحاق مزيدٍ من الضرر، سيحاول المهاجمون خداع نظام الأمن، ربما عن طريق تعديل قطاع إقلاع القرص، أو تثبيت أحد برامج التشغيل التي تبدأ قبل انطلاق نظام الحماية. يتسم نطاق الأنشطة التي يمكن للمهاجمين أن يؤدونها في مثل هذه الحالة بأنه واسع جدًا، وجميعها تتسبب في فقدان وخسارة بيانات المستخدمين، أو سوء استخدام أجهزة الكمبيوتر.
كيف يمكن لهذا أن يتوقف؟ من مراقبة ورصد البرامج الموثوقة، بات من الواضح أن معظم التطبيقات لديها منطق عمل محدود نوعًا ما، ومن المحتمل ألا يكون لها أي أنشطة خطيرة. على سبيل المثال، يتمثل منطق عمل برنامج التصفح في عرض صفحات الويب وتحميل الملفات، فتبدو أنشطة مثل تغيير ملفات النظام، أو قطاعات القرص غريبة على هذا النوع من البرامج. فبرنامج محرر النصوص قد صُمم لفتح وحفظ الوثائق والمستندات النصية على القرص، دون حفظ تطبيقات جديدة على القرص وتشغيلها.
يقودنا هذا إلى فكرة الحفاظ على سلامة البيئة الموثوقة، عن طريق التحكم في أنشطة التطبيقات المحتمل أن تتعرض للخطر والهجوم مثل: برامج تصفح الويب، عملاء برامج الرسائل الفورية، تطبيقات الأوفيس، عملاء برامج مشاركة وتبادل الملفات، إدارة الملفات، وغيرها. يتوفر لكل برنامج يحتمل وجود ثغرات أمنية به، قائمة للأنشطة المسموح بها، والتي تم إنشاؤها وفقًا لاستخدامها الذي حدده بالأساس المطورون، حيث يتم حجب أي أنشطة أخرى لم ترد في مواصفات مطوري ومصممي البرنامج عن طريق نظام الأمن.
على سبيل المثال، تسمح برامج الرسائل الفورية بإرسال واستلام البيانات على الويب، وإنشاء ملفات على القرص الصلب (والتي يتم فحصها في وقتٍ لاحق للتأكد مما إذا كانت موثوقة)، وفتح ملفات موجودة، كما أنها لن تسمح بحقن أي تعليمات برمجية في العمليات الأخرى، أو تعديل ملفات النظام، أو أقسام سِجل نظام التشغيل ويندوز.
يساعد هذا النهج على منع هذه الأنشطة المحتملة من فتح التعليمات البرمجية الخبيثة، استنادًا إلى الأحكام على الوظيفة المقصودة واستخدام التطبيق الضعيف والمعيب.
تلقي معلومات عن التطبيقات الجديدة
ما الآلية التي يجب اتباعها عند استقبال ملف مجهول بالنسبة للنظام من مصدر تعتبر بيانات الاعتماد الخاصة به مجهولة أيضًا، أي أنه قد تم نسخه من قرص قابل للإزالة، أو وصل عن طريق خدمة نقل الملفات الخاصة ببرنامج سكايب؟
عند تلقي رسالة تفيد بأن أحد البرامج الجديدة يحاول أن ينطلق في العمل، يتصل نظام الأمن بالتقنية السحابية للتحقق مما إذا كان هذا التطبيق موثوقًا أو العكس. وفي حال كان موثوقًا، يُسمح له بالعمل؛ أما إن كان غير موثوق أو غير معروف للتقنية السحابية، فيتم منعه عن العمل. يقدم هذا النهج والأسلوب مزيدًا من المرونة داخل النظام، ويُعلي من قيمة المفهوم الأساسي للبيئة الموثوقة دون وجود أي اختراقٍ لمستويات الحماية.
تُتبع نفس الإجراءات الروتينية عندما يتم إطلاق أحد التطبيقات الموقعة بتوقيع رقمي مجهول: يتصل نظام الأمن بالتقنية السحابية ويتلقى معلومات عن ما إذا كان هذا التوقيع موثوقًا أو العكس .
الخاتمة
خلال الجزء الأول من هذا المقال، عرضنا ووضعنا النهج الأمني الذي من شأنه أن يحافظ على مستوى الحماية الذي توفره حلول المنع الافتراضي، مع توفير المرونة المطلوبة في الاستخدام اليومي لأجهزة الكمبيوتر. يقوم هذا النهج على مفهوم إنشاء بيئة موثوقة ومن ثم الحفاظ عليها.
يمكن تطبيق هذا النهج الأمني المقترح والمطروح على كلٍ من المستخدمين في المنازل، وعلى المؤسسات، بغض النظر عن حجم تلك المؤسسات. يتولى نظام الحماية مهمة إنشاء، والحفاظ على البيئة الموثوقة. تعتمد أنشطة هذا النظام على:
- نتائج عمل جرد الملفات الموجودة في النظام؛
- مبدأ توارث الثقة: بمعنى أن يتم اعتبار الملف الذي أنشأه التطبيق الموثوق محل ثقة؛
- المعلومات التي يتم تلقيها من التقنية السحابية عن سمعة الملفات؛
- قوائم بالتوقيعات الرقمية الموثوقة؛
- قوائم بالمواقع الإلكترونية الموثوقة على شبكة الإنترنت.
ومع ذلك، لا يغني مفهوم البيئة الموثوقة عن الحاجة إلى أنظمة حماية لمكافحة الفيروسات، فالجمع بين الاثنين سوف يساعد في بناء نظام حماية فعال لأجهزة الكمبيوتر.
لا يمكننا الحكم على، أو تقييم أي نظرية أو نهج بشكلٍ كامل دون ممارستها وتجريبها عمليًا. للتعرف على كيفية تطبيق مفهوم البيئة الموثوقة بواسطة كاسبرسكي لاب في الإصدار الجديد لمنتجها “كاسبرسكي للحماية على الإنترنت 2014” ، يرجى قراءة الجزء الثاني من هذا المقال.
تطبيق تقنية البيئة الموثوقة في برنامج كاسبرسكي للحماية على الإنترنت 2014
مقدمة
في الجزء الأول من هذا المقال، ناقشنا توسُّع تقنية المنع الافتراضي- ومفهوم البيئة الموثوقة الذي يشمل الانتقال والتحول من حجب الكائنات المجهولة إلى إنشاء نظام موثوق والحفاظ على تلك الحالة، أي الحالة التي تضمن عدم وجود أي تعليمات برمجية خبيثة في تلك البيئة.
أما في هذا الجزء، سوف نناقش تطبيق تقنية البيئة الموثوقة بصفتها أحد عناصر ومكونات الحماية في منتجات كاسبرسكي لاب. يعتبر برنامج كاسبرسكي لاب للحماية على الإنترنت 2014 أول البرامج التي تحتوي على هذا المكون؛ حيث تم تطبيق تقنية البيئة الموثوقة داخل وضع التطبيقات الموثوقة.
تفعيل وضع التطبيقات الموثوقة
يُفعل وضع التطبيقات الموثوقة تلقائيًا في برنامج كاسبرسكي لاب للحماية على الإنترنت 2014. ومع ذلك، يحتاج جهاز الكمبيوتر أن يمر بإجراءات تحضيرية قبل تفعيل هذا الوضع.
كما بينَّا في الجزء الأول من هذا المقال، تقوم وظيفة وضع التطبيقات الموثوقة على حجب التطبيقات غير المعروفة، والمكتبات الديناميكية، والبرامج النصية، لكن، ما الذي سوف يحدث إذا تم تفعيل وضع التطبيقات الموثوقة في الحال فور تثبيت منتج الحماية والأمن على أجهزة الكمبيوتر، حيث توجد العديد من التطبيقات غير المعروفة مثبتة على الجهاز؟ وفقًا لمنطق عمل وضع التطبيقات الموثوقة، سيتم حجب هذه التطبيقات، والمكتبات الديناميكية، والبرامج النصية. في نفس الوقت، نظرًا لأن المستخدم قد اعتاد على استخدام هذه التطبيقات، قد يتسبب هذا الحجب في تعطيل القيام بالأنشطة الروتينية المعتادة على جهاز الكمبيوتر، ومن ثم يتحقق الحل الأمني مما إذا كان هذا التفعيل على جهاز الكمبيوتر سينشأ عنه حجب للبرامج التي كان يستخدمها هذا المستخدم لجهاز الكمبيوتر قبل تفعيل وضع التطبيقات الموثوقة .
تمر عملية التحقق من توافق جهاز الكمبيوتر مع وضع التطبيقات الموثوقة بمراحل متعددة، وذلك عن طريق استخدام وضعٍ ذكيٍّ خاص. وفيما يلي عرض لتلك المراحل بمزيدٍ من التفاصيل .
المرحلة الأولى. تحليل التطبيقات التي تم إطلاقها
في المرحلة الأولى التي تستغرق عدة أسابيع، يتم تحليل البرامج التي قام المستخدم بتشغيلها، حيث يتم تحليل كل تطبيق أو برنامج نصي وفقًا للسيناريو التالي:
- هل لدى التطبيق توقيعًا رقميًا، وهل هذا التوقيع موثوقًا؟
- في حال لم يكن التطبيق موُقعًا، تبحث قاعدة المعرفة التابعة لكاسبرسكي لاب والمتوفرة في شبكة كاسبرسكي للأمان، عن معلومات عما إذا كان هذا التطبيق في حالة موثوقة أو العكس .
لا يشمل ذلك حجب أيٍ من التطبيقات غير المعروفة: فببساطة يحفظ الحل الأمني المعلومات حول ما إذا كانت التطبيقات المشتبه بها موثوقة أو العكس، ومن ثم تحديد ما إذا كان سيتم تشغيلها إذا كان قد تم تفعيل وضع التطبيقات الموثوقة على جهاز الكمبيوتر.
كما ذُكر أعلاه، يتم التحقق من حالة الملف أو الشهادة الموثوقة، عن طريق استخدام قاعدة المعرفة الخاصة بالبرامج الموثوقة في شبكة كاسبرسكي للأمان. لهذا السبب، يشترط المشاركة في برنامج شبكة كاسبرسكي للأمان لتفعيل وضع التطبيقات الموثوقة- ومن دونها سيعجز الحل الأمني عن تحديد ما إذا كان الملف الذي جرى تشغيله وإطلاقه موثوقًا أو العكس .
بعد العمل لعدة أسابيع، ينظر الحل الأمني في العدد الكلي للبرامج التي تعمل على جهاز الكمبيوتر، وعدد البرامج التي سيتم حجبها في وضع التطبيقات الموثوقة. في حال لم يكن هناك برامج يحتمل أن يتم حجبها ومنعها، تبدأ المرحلة الثانية في التحقق مما إذا كان وضع التطبيقات الموثوقة مناسبًا مع نشاط الجهاز.
لكن، ما الذي يحدث عندما يكون هناك برامج غير معروفة معرضة للحجب والحظر؟ في هذه الحالة، تستمر مراقبة التطبيقات التي تم تشغيلها وإطلاقها على الجهاز. ربما لم يتم بعد تسجيل التطبيقات الشرعية الجديدة في قاعدة المعرفة الخاصة بشبكة كاسبرسكي للأمان، وسيتم إضافة المعلومات عنها في المستقبل القريب. من الممكن أن تكون التطبيقات غير المعروفة التي تم إطلاقها -تعديلات جديدة لفيروسات تروجان. في هذه الحالة، سيزيل حل مكافحة البرمجيات الخبيثة البرامج المشتبه فيها بعد تحديث قواعد بيانات مكافحة الفيروسات، وتفعيلها للانتقال إلى المرحلة الثانية من عملية التحقق .
بالإضافة إلى مراقبة التطبيقات، يُنشئ الحل الأمني قائمة من المكتبات التي تم تحميلها على جهاز الكمبيوتر، والتي تتمدد وتتسع في كل مرة يُطلق فيها أحد التطبيقات الجديدة . تُستخدم هذه القائمة لاحقًا في هذه المرحلة عندما يبدأ تحليل المكتبات التي تم تحميلها.
المرحلة الثانية. تحليل المكتبات الديناميكية المحملة
الأهم من ذلك، لا يحجب فقط وضع التطبيقات الموثوقة التطبيقات والبرامج النصية، لكنه أيضًا يحجب المكتبات الديناميكية التي تم تحميلها عن طريق التطبيقات. في حال تم تشغيل التطبيق مع حجب المكتبة التي حمَّلها، لن يكون التطبيق قادرًا على أداء بعض وظائفه أو قد يتعطل تمامًا. لهذا، يعد من المهم أن يتم التحقق من أن المكتبات المُحمّلة بواسطة التطبيقات الموثوقة محل ثقة أيضًا قبل تفعيل وضع التطبيقات الموثوقة.
خلال المرحلة الثانية، يتم تحليل المكتبات الموجودة في القائمة التي أُنشئت خلال المرحلة الأولى وفقًا للخوارزمية والشفرة المبينة أعلاه. لاحظ أن ذلك يتم تدريجيًا في الخلفية. تُضاف أي مكتبات أو تطبيقات جديدة تم تشغيلها وإطلاقها خلال المرحلة الثانية للقائمة حتى يتم تحليلها.
تكتمل مرحلة تحليل المكتبات الديناميكية المُحملة عندما لا يكون هناك أي مكتبات غير محللة في القائمة. إذا تم العثور على مكتبات غير معروفة، يُعاد تحليلها فيما بعد. كما هو الحال مع التطبيقات غير المعروفة، هناك سيناريوهان محتملان:
- أن يكون الملف عبارة عن إصدار جديد لإحدى المكتبات الموثوقة، وسيتم إدراجه قريبًا إلى قاعدة المعرفة التابعة لشبكة كاسبرسكي للامان؛
- أن يكون الملف عبارة عن إصدار جديد لإحدى البرمجيات الخبيثة، وسيتم إزالته بواسطة الحل الأمني في المرة القادمة من تحديث قواعد بيانات مكافحة الفيروسات.
فور الانتهاء من المرحلة الثانية، تبدأ المرحلة الثالثة التي تعتبر أهم المراحل وهي – تحليل ملفات النظام.
المرحلة الثالثة. تحليل ملفات النظام
من أجل توفير حماية موثوقة، يعمل وضع التطبيقات الموثوقة على الفور بعد تشغيل جهاز الكمبيوتر، وهذا يعني أنه في حال كان هناك أي محاولة لإطلاق وتشغيل أي ملف نظام غير معروف خلال بداية عمل هذا النظام، فإنه سيتم حجب هذا الملف، وقد يؤدي ذلك إلى فشل نظام التشغيل في التحميل بشكلٍ صحيح.
لمنع حدوث مثل هذه المواقف، يتم التحقق من الحالة الموثوقة لجميع ملفات النظام المدرجة في قائمة بدء التشغيل، والعمليات الخاصة بنظام التشغيل خلال المرحلة الثالثة من التجهيز لتفعيل وضع التطبيقات الموثوقة. وكما هو الحال في المرحلتين الأولى والثانية، تستمر المرحلة الثالثة حتى يتم الانتهاء من تحديد ما إذا كانت جميع ملفات النظام موثوقة أو خبيثة.
فور الانتهاء من المرحلة الثالثة، يقرر الحل الأمني ما إذا كان وضع التطبيقات الموثوقة يتوافق بشكلٍ كامل مع جهاز الكمبيوتر، وأنه لن يتداخل مع الأنشطة اليومية للمستخدم. بعد ذلك، يُبلّغ المستخدم أن جهاز الكمبيوتر الخاص به أصبح يعمل في وضع التطبيقات الموثوقة. تشير أيضًا النافذة الرئيسية لبرنامج كاسبرسكي للحماية على الإنترنت 2014 إلى أن جهاز الكمبيوتر قد دخل في وضع التطبيقات الموثوقة عن طريق عرض رمز قفل مغلق على صورة شاشة جهاز الكمبيوتر.
من هذه اللحظة، يبدأ برنامج كاسبرسكي للحماية على الإنترنت في العمل بناءً على خوارزمية مختلفة تمامًا: يُسمح فقط للكائنات الموجودة في قائمة التطبيقات الموثوقة بالتشغيل؛ تُفحص أي كائنات جديدة تظهر داخل النظام للتأكد من أنها موثوقة، وذلك عند إطلاقها، ويُسمح فقط لها بالعمل في حال كانت موثوقة، بينما يتم حجب الكائنات غير الموثوقة.
التفعيل اليدوي لوضع التطبيقات الموثوقة
تستغرق عملية التحضير لتفعيل وضع التطبيقات الموثوقة وقتًا طويلاً- يجب على الحل الأمني أن يتأكد من موثوقية جميع ملفات النظام قبل تفعيل وضع التطبيقات الموثوقة.
يتناسب هذا السيناريو مع المستخدمين في المنازل على وجه الخصوص. لكن ماذا عن المستخدمين ذوي الخبرة الذين يرغبون في استخدام أداة الحماية الجديدة فور تثبيت الحل الأمني؟
في هذه الحالة، يمكن تفعيل وضع التطبيقات الموثوقة يدويًا من خلال قائمة التحكم في التطبيقات.
حتى إذا تم تفعيل وضع التطبيقات الموثوقة يدويًا، سيحتاج الحل الأمني إلى التأكد من أن هذا الوضع لن يتداخل مع عمل ونشاط المستخدمين، ولهذا السبب يبدأ إجراء التحقق من توافق جهاز الكمبيوتر في الحال مع وضع التطبيقات الموثوقة بعد النقر على رابط التفعيل. نظرًا لأن الحل الأمني لا تتوفر لديه أي معلومات بعد عن البرامج التي أطلقها المستخدم، أو المكتبات المحملة، أو ملفات النظام، يخضع النظام لعملية تحليل باستخدام تسلسل مختلف:
- ملفات النظام؛
- البرامج المُثبتة على نظام التشغيل؛
- الملفات الأخرى التي أُطلقت في السابق بواسطة المستخدم، مثل الملفات التي أطلقها مُحرِّك أقراص الشبكة .
فور الانتهاء من عملية التحليل (الجرد)، تُعرض قائمة البرامج غير المعروفة حاليًا، والتي حُجبت بواسطة وضع التطبيقات الموثوقة عن المستخدم.
يُعد خيار التفعيل اليدوي لوضع التطبيقات الموثوقة، أحد الميزات التي صُممت للمستخدمين ذوي الخبرة. يمكن لهؤلاء المستخدمين أن يتخذوا قرارات مستنيرة بشأن الملفات غير المعروفة المكتشفة داخل النظام، فينبغي عليهم إما السماح بإطلاق هذه الملفات أو حجبها. ولتسهيل الأمر على هذا النوع من المستخدمين، لاتخاذ قراراتهم بشأن تلك الملفات غير المعروفة، توفر كاسبرسكي لاب خدمة عبر الإنترنت تسمح بالوصول إلى المعلومات الخاصة بأي ملف مُخزّن على قاعدة المعرفة التابعة لكاسبرسكي لاب. تتضمن قاعدة المعرفة التابعة لشبكة كاسبرسكي للأمان سجلات التوقيع الرقمي الخاصة بكل ملف، وحالتها الموثوقة، وشركتها، وعدد مستخدمي تلك الملفات حول العالم ومعلومات مفيدة أخرى.
إذا لم تُكتشف أي ملفات غير معروفة على جهاز الكمبيوتر، فيُنصح المستخدِم بتفعيل وضع التطبيقات الموثوقة.
عند تفعيل وضع التطبيقات الموثوقة، يعمل الحل الأمني بناءً على خوارزميات وشفرات البيئة الموثوقة المُبيّنة في الجزء الأول من هذا المقال. وفيما يلي نستعرض تطبيق هذه الخوارزميات في برنامج كاسبرسكي للحماية على الإنترنت 2014.
الحفاظ على البيئة الموثوقة
بمجرد بناء البيئة الموثوقة، يتم على الفور إطلاق وتشغيل التطبيقات التي تُعد جزءًا من هذه البيئة: فحل مكافحة الفيروسات يعلم أن الملف موثوق ويسمح له بالتحميل. إذا أطلق النظام ملفًا جديدًا قادم من نظام خارجي موثوق، على سبيل المثال من ناقل بيانات قابل للإزالة، يتم فحص الملف للتأكد من أنه:
- يمتلك توقيع رقمي موثوق؛
- تم تحميله من مصدر موثوق؛
- لديه حالة موثوقة في قاعدة المعرفة التابعة لشبكة كاسبرسكي للأمان
إذا جاء الرد إيجابيًّا بالنسبة لإحدى تلك الظروف، يُسمح بإطلاق وتشغيل الملف؛ وإلا، سيتم حجب التشغيل وسيتم إبلاغ المستخدم بحجب هذا الشيء غير المعروف.
أما في حال إنشاء ملفٍ جديد داخل البيئة الموثوقة، فيتم اعتباره ملفًا موثوقًا- وستعتبر جميع التطبيقات التي تم إنشائها داخل البيئة الموثوقة غير المتصلة بالبيئة الخارجية موثوقة. يسمح هذا السيناريو بتحديث التطبيقات الموجودة وترقيتها إلى إصدارات أحدث وتثبيت التطبيقات الجديدة دون مواجهة أي عوائق.
ومع ذلك، يجب ألا ننسى القيود المفروضة على التطبيقات المعرضة للخطر والهجوم: فالتطبيق الضعيف الموثوق يمكن له أن يُنشئ أشياء خبيثة نتيجة لإحدى البرمجيات المستغِلة التي تم إطلاقها. ولكي نرفع من مستوى تأمين البيئة الموثوقة والحفاظ عليها، يُقسم كاسبرسكي لاب للحماية على الإنترنت التطبيقات الموثوقة إلى ثلاث فئات:
- التطبيقات الموثوقة: وهي التطبيقات التي تعمل باستخدام خصائص البيئة الموثوقة؛
- التطبيقات المحتمل تعرضها للخطر والهجوم. يمتلك كل تطبيق ملف محدد بالأنشطة المسموح بها، الأمر الذي يقيد منطق وطريقة عمله. تقوم قائمة التطبيقات المحتمل تعرضها للخطر والهجوم، والتي أعدها خبراء كاسبرسكي، على التحليل الإحصائي للثغرات الأمنية المُكتشفة في التطبيقات المختلفة. تخضع جميع الكائنات التي أنشأتها هذه التطبيقات لضوابط إضافية؛
- التطبيقات المتصلة بالبيئة الخارجية. وهي التطبيقات المحتمل تعرضها للخطر والهجوم، ولكن المتصلة بالبيئة الخارجية، والتي يمكن استخدامها في اختراق النظام. على سبيل المثال، قد يتحول الملف المستلم من خدمة إرسال الملفات الخاصة ببرنامج سكايب إلى برنامج خبيث جديد وغير معروف. أيضًا تخضع هذه الكائنات التي تم إنشاؤها داخل النظام بواسطة هذه التطبيقات لضوابط إضافية، كما يتم فحصها بنفس الطريقة التي تتم مع جميع التطبيقات التي أُنشئت خارج البيئة الموثوقة.
علاوةً على ذلك، تخضع جميع الكائنات التي أنشأتها التطبيقات الموثوقة لضوابط مكافحة الفيروسات، التي تُشكل مفهوم الحماية الشاملة في منتجات كاسبرسكي للحماية على الإنترنت، والتي تسهم جميعها في توفير حماية فعالة لأجهزة الكمبيوتر .
اعترض خبراء كاسبرسكي لاب على تطبيق مفهوم البيئة الموثوقة كحلٍ أمني مستقلٍ بذاته، وذلك لأنهم يرون أن دمج هذه التقنية مع منتجات كاسبرسكي لاب الموجودة حاليًا سيكون النهج والأسلوب الأكثر فعالية. ولهذا أسبابٍ عدة: وجود البرمجيات المستغلة القادرة على القيام بأنشطة خبيثة دون إنشاء أي ملفات في جهاز الكمبيوتر؛ مثل فيروسات الماكرو المنتشرة في وثائق ومستندات برنامج الأوفيس ( فهذه الملفات لا يمكن التحكم فيها، والسيطرة عليها باستخدام وضع المنع الافتراضي نظرًا لتعديلها بصفةٍ مستمرة ودائمة)؛ واستخدام البرامج الشرعية التي تم تطويعها بواسطة المجرمين الإلكترونيين لاستغلالها في الهجمات الخبيثة. تشمل هذه البرامج إعدادات معينة في ملفات التهيئة التي تحول برامج تسجيل ضربات وضغطات المفاتيح إلى برامج تروجان للتجسس .
يتيح هذا النهج والأسلوب إمكانية إنشاء نظام حماية موثوق وشامل لأجهزة الكمبيوتر المنزلية، أو شبكات شركات الأعمال الصغيرة أو المتوسطة.
الخاتمة
يشمل الجزء الثاني من هذا المقال تقنية البيئة الموثوقة التي تم تطبيقها في برنامج كاسبرسكي للحماية على الإنترنت 2014- للمستخدمين في المنازل، حيث يسمى ذلك بـ ” وضع التطبيقات الموثوقة” .
إننا نناقش طريقتين مختلفتين لتفعيل وضع التطبيقات الموثوقة:
- التفعيل التلقائي، عندما يقرر الحل الأمني تفعيل وضع التطبيقات الموثوقة على أساس أحد الخوارزميات الذكية. هذه الطريقة في التفعيل تتناسب أكثر مع المستخدمين في المنازل؛
- التفعيل اليدوي، يمكن استخدام طريقة التفعيل هذه لإنشاء بيئة موثوقة لكمبيوتر مستقل أو لشبكة صغيرة، الأمر الذي يساعد في تعزيز مستوى حماية وأمن البيانات المتداولة على الشبكة.
يغطي هذا الجزء من المقال طرق الحفاظ على البيئة الموثوقة، والتي تلعب دورًا هامًا في اتخاذ القرارات عند ظهور البرامج الجديدة داخل النظام، وأيضًا عند تحديث وتثبيت هذه البرامج الجديدة. تقدم طرق السيطرة على التطبيقات المعرضة للخطر والهجوم المبينة أعلاه، تحكم وسيطرة فعالة على تلك التطبيقات، كما أنه يمكن استخدامها في اتخاذ القرارات بشأن حالة الملفات الموثوقة التي أنشأها هذا النوع من التطبيقات المعرضة للخطر والهجوم.
يُعتبر مفهوم البيئة الموثوقة الموضح في هذا المقال، وتطبيقه في صورة وضع التطبيقات الموثوقة في برنامج كاسبرسكي للحماية على الإنترنت 2014، جانبًا مهمًا في حماية مستخدمي أجهزة الكمبيوتر الشخصية الذين يقدرون موارد معلوماتهم. يمكن استخدام الحل الأمني المتكامل الذي طوره خبراء كاسبرسكي لاب، والذي يوفر مزايا موحدة لنهج وأسلوب مكافحة البرمجيات الخبيثة ونهج المنع الافتراضي، في إنشاء البيئة الموثوقة التي تنعدم فيها تقريبًا فرص المجرمين الإلكترونيين في تنفيذ التعليمات البرمجية الخبيثة .