Line Line Line Line Line Line Line
البحث في الموقع
English
accessibility
الرئيسية Line العطاءات Line الإبلاغ عن حادث أمني Line خريطة الموقع Line
Logo Image
نبذة عن المركز الكلمة الترحيبية الهيكل التنظيمي
الخدمات
القوانين والأنظمة والتعليمات السياسات و الاستراتيجيات المعايير و الضوابط الأمنية الإطار الوطني الأردني للأمن السيبراني سياسات ذات علاقة
SafeOnline.jo بروشورات التحذيرات الأمنية احمِ نفسك احمِ جهازك احمِ طفلك التهديدات العامة
Bug Bounty JO
JO CERT
التقارير الأمنية التقارير العامة التعاون المحلي التعاون الدولي النشرات
الأخبار ألبوم الصور
اتصل بنا

التحذيرات الأمنية

استخدام التطبيقات من جهات خارجية والتأكد من أمانها

25/10/2022

يعد استخدام الهواتف الذكية في بيئة العمل أمرًا اعتياديًا وضروريًا في كثير من الأحيان. في الوقت الحاضر فإن جميع الأنظمة في هذه الهواتف الذكية الحديثة والعديد من الأجهزة الأُخرى توفر سوقاً لتثبيت التطبيقات غير أنها أيضا تدعم استخدام تطبيقات خارجية (فيما يسمى بتطبيقات الطرف الثالث). مع أن السماح باستخدام هذه التطبيقات له عدة مزايا واضحة، من المهم أيضاً التفكير في المخاطر التي تتعرض لها أجهزة وبيانات المؤسسة من هذه التطبيقات.

 
لماذا يجب التأكد من أمان هذه التطبيقات؟

يتم تثبيت وتحديث البرامج الخارجية عادة بانتظام والتي بدورها ووفقا للصلاحيات الممنوحة لها من الممكن أن تقوم بقراءة و/أو تعديل بعض أو كل بيانات المستخدم على هذا الجهاز. في بعض الحالات، ستتمكن هذه التطبيقات أيضًا من الوصول إلى البيانات الخاصة بالمؤسسة ومن الصعب جدًا معرفة ما تم تنفيذه بالضبط بهذه البيانات. العديد من هذه التطبيقات يعمل بشكل مفيد، على سبيل المثال لمزامنة البيانات المحلية مع الخدمات السحابية، غير أن بعضها قد يتعامل معها بطرق غير آمنة، وقد يستخدم البعض الآخر تعليمات برمجية تابعة لجهات خارجية داخل التطبيق والتي قد تنطوي على مخاطر أمنية غير معلومة مسبقًا.

لذا يعد تطوير سياسة تنظيمية لتحديد التطبيقات المسموح بها أمرًا في غاية الأهمية لتتمكن المؤسسة من إدارة المخاطر المرتبطة بتشغيل تعليمات برمجية خارجية بشكل أكثر فعالية.

 
التعامل مع استخدام التطبيقات الخارجية داخل المؤسسة

من المهم للمؤسسة أن تستفيد من المزايا الإنتاجية التي توفرها هذه التطبيقات، لذلك فإنه من الضروري أن تقوم  بتطوير سياسة توازن بين حاجة العمل ومخاطر المعلومات المرتبطة باستخدام هذه التطبيقات.

يجب أن تعمل هذه السياسة على تحقيق المتطلبين التاليين:

 تقليل احتمالية وجود تطبيقات ضارة أو غير آمنة على أجهزتك.

 التقليل من تأثير أي تطبيق ضار أو غير آمن.

  1. تقليل احتمالية استخدام تطبيقات ضارة أو غير آمنة

من الصعب جدًا التأكد بنسبة 100% من منع وصول البرمجيات الخبيثة إلى الأجهزة، ولكن هناك العديد من الإجراءات التي يمكن اتخاذها.

 
قوائم السماح وقوائم الحظر:

معظم الأنظمة الأساسية تسمح بتحديد التطبيقات التي يمكن تشغيلها، ولكن هذا قد ينطوي على عبء إداري حيث سيتطلب موافقة يدوية على التطبيقات التي يمكن تشغيلها بالضبط. ومع ذلك، فهي استراتيجية فعالة للغاية لمنع تشغيل التعليمات البرمجية الضارة. في الأنظمة الشهيرة التي توفر منصة لتثبيت التطبيقات، من الممكن التأكد من إعدادات الجهاز بحيث لا يقوم بتشغيل التطبيقات من أي مصدر آخر.

يمكن بعد ذلك تحديد "قائمة رفض" بالتطبيقات المحظورة على وجه التحديد أو من الأفضل إعداد قائمة للسماح فقط بتثبيت قائمة التطبيقات المعتمدة فقط. يمكن إدراج إمكانية دعم "قائمة السماح" إلى إجراءات شراء وترخيص البرامج. إذا كان النظام يسمح بتثبيت البرامج من مصادر أُخرى، فإنه من الممكن في مثل هذه الحالات أن يتم التأكد من أن مصدر البرنامج موثوق وذلك إما بوجود "شهادة تعريف بالمصدر" أو أن البصمة الرقمية للبرنامج معروفة. على سبيل المثال، في نظام التشغيل Windows، من الممكن استخدام البرمجيات المعروفة مثل App Locker وWindows Defender Application Control لضمان تشغيل التطبيقات الموثوقة فقط.

إجراء تقييم و تحقق رسمي للتطبيق:

من الممكن إجراء عملية تقييم داخلية للتطبيق من قبل الموظفين المتخصصين أو الاستعانة بالشركات المتخصصة في هذه المجال. يمكن أن تكون هذه العمليات باهظة الثمن وقصيرة الأجل وقد لا تمنح الضمانات المطلوبة. تقوم العديد من المؤسسات بإعداد قواعد بيانات لتقييم التطبيق التي تتضمن أحيانًا "درجات المخاطر" التي يمكن استخدامها في إعداد سياسات المؤسسة ولإجراء التقييم الداخلي من الممكن استخدام نموذج عمل من قبل منظمة NIST.

التقييم اعتمادًا على بيانات مطوّر البرنامج الأمنية:

التقييمات الرسمية غالبًا ما تكون باهظة الثمن وبطيئة ويمكن أن يكون لها فائدة محدودة. تتمثل إحدى الطرق الفعالة من حيث التكلفة لتقييم مخاطر التطبيق في إجراء تقييم مخاطر لمطوّر التطبيق. يجب أن يتم الانتباه إلى 3 جوانب خاصة بأمن المطوّر:

 احتمالية أن يكون التطبيق أو المطوّر ضارًا: من غير المحتمل أن تكون التطبيقات المقدمة من قبل شركات كبرى ومطورين معروفين ضارة مقارنة بتطبيق مطوّر لم تسمع به من قبل.

 احتمال حدوث خرق أمني يشمل ذلك المطوّر أو التطبيق: يجب الحرص على استخدام التطبيقات المستقرة والشائعة من قبل مطوّر يتمتع بسجل جيد.

 حجم الأثر في حال حدوث خلل أمني: يجب الحرص على تقليل كمية البيانات الحساسة التي تسمح لتطبيق ما بالوصول إليها.

فحص متجر التطبيقات:

تقوم معظم متاجر التطبيقات بالتحقق من أن التطبيقات ليست ضارة عند إضافتها أو تحديثها، ومع ذلك تم اكتشاف العديد من البرامج الخبيثة ضمن هذه المتاجر لذا يجب اتخاذ خطوات إضافية لتقليل المخاطر بشكل أكبر. يجب الحرص على التأكد من عمليات الفحص التي تجريها متاجر التطبيقات. فعلى سبيل المثال معظم عمليات التدقيق التي يتم اجراؤها على التطبيقات هي لاكتشاف العمليات الضارة الصريحة التي يقوم بها التطبيق مثل الاحتيال عبر استخدام الرسائل القصيرة. بعض العمليات التي يتم السماح بها من خلال المتجر مثل عملية مزامنة البيانات الخاصة مع الخدمات السحابية قد يكون غير مسموح بها حسب السياسات الخاصة بالمؤسسة.

تطبيقات الأمان:

في حال السماح بتثبيت التطبيقات من جهات خارج المتجر الرسمي فإنه يمكن في مثل هذه الحالات استخدام تطبيقات الأمان أو برامج مكافحة الفيروسات للتقليل من المخاطر المحتملة من تنفيذ عمليات برمجية خبيثة من داخل التطبيق. ومع ذلك يساعد هذا الإجراء على تقليل المخاطر ولا يزيلها تمامًا.

تحديثات الدعم والأمان:

عند استخدام تطبيقات الجهات الخارجية يجب تحديثها بانتظام للتأكد من تثبيت آخر تحديثات الأمان.

  1.  تقليل تأثير استخدام التطبيقات الضارة أو غير الآمنة

لتقليل الآثار المترتبة في حال استخدام تطبيق غير آمن، يمكن اتباع التوصيات التالية:

استخدام مساحات مختلفة للفصل بين تطبيقات العمل والتطبيقات الشخصية:

معظم الأنظمة الأساسية توفر إمكانية لتهيئة مساحات للفصل بين التطبيقات الشخصية وبيانات العمل. على الرغم من أن هذه المساحات غير محكمة، إلا أنها تقلل من خطر وصول تطبيقات الجهات الخارجية إلى بيانات العمل الحساسة.

سياسات حصر التطبيقات الخطرة على الأفراد الذين يحتاجون إليها فقط:

عند وجود حاجة ضرورية لاستخدام بعض التطبيقات التي تعتبر محفوفة بالمخاطر، يمكن استخدام برامج إدارة الأجهزة المحمولة لتحديد المستخدمين المسموح لهم بتثبيت هذه التطبيقات واستخدامها. على سبيل المثال، من الممكن السماح للفريق المسؤول عن إدارة وسائل التواصل الاجتماعي من استخدام التطبيقات التي تقوم بمزامنة قوائم جهات الاتصال مع الخدمات السحابية ولكن ينبغي وضع بعض الضوابط الإجرائية للحد من محتوى قوائم الاتصال التي يتم مزامنتها.

إعداد بنية الشبكة للحد من الوصول إلى تطبيقات الجهات الخارجية:

عند استخدام تطبيقات الجهات الخارجية، قد تصبح بعض بنى الشبكات أكثر خطورة. على سبيل المثال، إذا تم السماح باستخدام طريقة الاتصال VPN (الشبكة الافتراضية الخاصة) على مستوى الجهاز إلى شبكة أساسية داخلية، فستتمكن جميع التطبيقات أيضًا من الوصول إلى تلك الشبكة الأساسية بما في ذلك تطبيقات الجهات الخارجية وبالتالي الوصول إلى تلك البيانات الخاصة. من الأفضل اعتماد منهجية "عدم الثقة" (Zero-Trust Approach) والذي يتطلب إجراء عملية مصادقة لكل اتصال لجعل الأنظمة أكثر مرونة في مواجهة هذا النوع من الهجمات.

التطبيقات التي تتطلب امتيازات مرتفعة:

غالبا يتم تشغيل تطبيقات معينة مثل تطبيقات الأمان وخدمات الإدارة بصلاحيات وامتيازات أعلى، وتشكل هذه التطبيقات خطرًا أكبر على البيانات لأنها قد تتمتع بإمكانية وصول أوسع أو قد تخضع لضوابط أقل للحد من تأثير الاختراق. لذا يجب التفكير مليًا في مدى أمان هذه التطبيقات.

كيفية إدارة تطبيقات الجهات الخارجية؟

تحديد مستوى معين من المخاطر المقبولة بالاتفاق مع الأطراف المعنية: يجب الاتفاق مع الأطراف المعنيين الرئيسيين على مستوى المخاطرة المقبول للمؤسسة. من هذه الامثلة:

تحديد عمليات التطبيق التي تعد محظورة أو عالية الخطورة (مثل إمكانية الوصول إلى جهات الاتصال على الأجهزة التي تستخدم خاصية المزامنة مع الخدمات السحابية)

كيفية تقييم مورد التطبيق

هل يمكن للتطبيق أن يجعل من الصعب عملية الالتزام بأية لوائح لتدقيق البيانات المخزنة؟

اعتماد عملية للموافقة على استخدام التطبيقات: يمكن تطوير عملية لتقييم التطبيقات بالاعتماد على المستوى المتفق عليه للمخاطرة المقبولة.

 
يجب أن تتوافق عملية التقييم مع احتياجات المستخدم:

يجب أن تشارك عدة أطراف في إعداد هذه العملية مثل المشتريات، والشؤون القانونية، ومسؤولي الأمن، ومسؤولي تكنولوجيا المعلومات، وممثلي المستخدمين إذا دعت الحاجة لذلك.

مراجعة للتطبيقات التي تمت الموافقة عليها بانتظام.

تحديد آلية التعامل مع تحديثات البرامج.

يمكن الاستعانة بتقييمات الجهات الخارجية للمساعدة في تحديد القرار ولكن لا ينبغي الاعتماد عليها بالكامل.

من الأفضل دمج هذه العملية ضمن الإجراءات القياسية المتبعة في إدارة البرامج وإجراء عملية التقييمات بشكل متوازٍ.

إعداد كتالوج خاص بالتطبيقات التي تم الموافقة عليها ليتم استخدامها من قبل الموظفين.

استخدام بنية خاصة للحد من المخاطر: عند وجود متطلب وضرورة لاستخدام التطبيقات التي قد تمثل مستويات غير مقبولة من المخاطر، من الممكن تطبيق إجراءات معينة للمساهمة في تخفيض مستوى المخاطر:

 توفر بعض الأنظمة الأساسية القدرة على إدارة المؤسسة للصلاحيات التي يمكن أن يطلبها التطبيق وذلك باستخدام نظام "إدارة الأجهزة المتنقلة MDM". يمكن استخدام هذه الميزات لمنع التطبيقات الخطرة من الوصول إلى بيانات العمل.

 من الأفضل عدم السماح للمستخدمين بتثبيت برامج من خارج متاجر التطبيقات.

 حظر تطبيقات الجهات الخارجية من الوصول إلى بيانات العمل ما لم تكن تقوم بوظيفة متعلقة بالعمل. لتحقيق ذلك يمكن استخدام منهجية (COPE) أو (BYOD).

 قد توفر بعض الأنظمة الأساسية ميزات لحفظ السجلات الخاصة بالتطبيقات والتي قد تساعد في عمليات التحقق والتدقيق.

 من الأفضل استخدام بيئة شخصية (Personal Container) ضمن بيئة للعمل أو تضمين بيئة العمل (Work Container) في البيئة الشخصية. من الأفضل تهيئة بيئة افتراضية منفصلة للاستخدام الشخصي أو في حال وجود حاجة لتنفيذ عمليات تعد أكثر خطورة.

كيف تقيم محتوى الصفحة؟

آخر تعديل 2024/04/21

تابعنا

روابط سريعة

مدونة السلوك الوظيفي الشكاوي والاقتراحات الإبلاغ عن حادث أمني الوظائف ‏ سياسة الخصوصية حقوق النشر شروط الاستخدام إخلاء المسؤولية سهولة الوصول ملفات الارتباط (Cookies)
اتصل بنا

آخر تعديل

2024/04/21

يدعم إنترنت إكسبلورر 10+, جوجل كروم, فايرفوكس, سفاري

من الأفضل مشاهدة هذا الموقع من خلال شاشة 768 × 1366

البرنامج المطلوب للتصفح: Adobe Reader

عدد زوار الموقع: 563647

تابعنا

جميع الحقوق محفوظة © 2024 المركز الوطني للأمن السيبراني

تصميم وتطوير Echo Technology

Scroll Top

جميع الحقوق محفوظة © 2024 المركز الوطني للأمن السيبراني

تصميم وتطوير Echo Technology