Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Ammar 2

    Hochgeladen von

    Amine Boubakeur
    55 Ansichten28 Seiten
    sécurité informatique

    Originaltitel

    ammar2

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    sécurité informatique

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    55 Ansichten28 Seiten

    Ammar 2

    Hochgeladen von

    Amine Boubakeur
    sécurité informatique

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 28

    ‫برنامــج التوعيـة بأمـن المعلومـات‬

    Information Security Awareness Program

    ISAP
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫مقدمة‬

    ‫عمار ياسر العلي‬


    ‫مبرمج وباحث أمني في مجال أمن المعلومات‬
    ‫حاصل على الشهادة الدولية في اإلختراق األخالقي واألمن اإللكتروني‬

    ‫‪@ammar3394‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫أمن المعلومات‬

    ‫تعريف أمن المعلومات ‪:‬‬

    ‫يُعرف أمن المعلومات بأنّه أحد فروع العلم الباحث في مجال توفير الحماية الالزمة للمعلومات ومنع الوصول إليها وهدرها من‬
    ‫أي تهديد خارجي‪.‬‬‫غير ذوي الصالحية وحمايتها من ّ‬

    ‫مجاالت أمن المعلومات ‪:‬‬

    ‫‪ -1‬أمن اإلنترنت‪.‬‬
    ‫‪ -2‬أمن الشبكات‪.‬‬
    ‫‪ -3‬أمن الهواتف الذكية‪.‬‬
    ‫‪ -4‬أمن األنظمة والتطبيقات‪.‬‬

    ‫أهداف أمن المعلومات ‪:‬‬

    ‫‪ -1‬السريّة ( ‪.) CONFIDENTIALITY‬‬


    ‫‪ -2‬التكاملية ( ‪.) INTEGRITY‬‬
    ‫‪ -3‬التوافر ( ‪.) AVAILABILITY‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫اإلختراق‬

    ‫تعريف اإلختراق ‪:‬‬

    ‫هو القدرة على الوصول لهدف معين بطريقة غير مشروعة‪.‬‬

    ‫أنواع اإلختراق ‪:‬‬

    ‫‪ ‬إختراق برمجي‪ ( .‬الفيروسات‪ ،‬الثغرات األمنية في األنظمة والتطبيقات)‬


    ‫‪ ‬إختراق مادي‪ ( .‬السطو )‬
    ‫‪ ‬الهندسة اإلجتماعية‪ ( .‬اإلصطياد اإللكتروني‪ ،‬اإلغراء اإللكتروني‪ ،‬التتبع‪ ،‬إنتحال الشخصية )‬

    ‫أهداف اإلختراق ‪:‬‬

    ‫‪ ‬الوصول إلى معلومات مالية أو غيرها من المعلومات الحساسة‪.‬‬


    ‫‪ ‬استخدام جهاز الكمبيوتر الخاص بك لمهاجمة أنظمة حاسوبية أخرى‪.‬‬
    ‫‪ ‬تعطيل عملك بحذف ملفاتك وتدمير جهازك‪.‬‬
    ‫‪ ‬اكتساب ميزة تنافسية (عن طريق اإلطالع على عمالئك ومورديك)‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫اإلنترنت‬

    ‫تعريف اإلنترنت ‪:‬‬

    ‫اإلنترنت أو الشبكة العنكبوتية هي شبكة إتصاالت عالمية تسمح بتبادل المعلومات بين شبكات أصغر تتصل من خاللها‬
    ‫الحواسيب والخوادم حول العالم‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫نحن نرى ‪ %4‬فقط من حجم اإلنترنت الكامل‬

    ‫ينقسم اإلنترنت إلى ثالثة أقسام‪:‬‬

    ‫‪ ‬شبكة اإلنترنت السطحية ‪: %4‬‬


    ‫( … ‪) Google, Wikipedia, Twitter, Yahoo,‬‬

    ‫‪ ‬اإلنترنت الخفي ‪: %90‬‬


    ‫( قواعد بيانات‪ ،‬سجالت طبية‪ ،‬ملفات قانونية‪ ،‬تقارير علمية )‬

    ‫‪ ‬اإلنترنت المظلم ‪: %6‬‬


    ‫( بيانات غير قانونية‪ ،‬مواقع مجرمين وعصابات)‬
    Information Security Awareness Program ‫برنامج التوعية بأمن المعلومات‬

    ‫هل الموقع التالي صحيح ؟‬

    www.alrajhibanksa.com.sa/ar/pages/default.aspx
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫هل الموقع التالي صحيح ؟‬


    ‫غير صحيح‬
    ‫الموقع عبارة عن صفحة مزيفة تحتوي على نفس تصميم موقع مصرف الراجحي والكن يوجد إختالف في رابط الموقع‬
    ‫رابط موقع مصرف الراجحي الحقيقي هو ‪www.alrajhibank.com.sa‬‬
    ‫‪www.alrajhibanksa.com.sa/ar/pages/default.aspx‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫هل يمكن إختراق العقل؟‬


    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫تعريف الهندسة اإلجتماعية‪:‬‬

    ‫هي فن التالعب باألشخاص أو العقول ألداء أفعال أو اإلقرار بمعلومات حساسة وتعتبر األكثر شيوعا في مجال اإلختراق‪.‬‬

    ‫أنواع الهندسة اإلجتماعية‬

    ‫‪ -1‬الهندسة اإلجتماعية البشرية‪.‬‬


    ‫‪ -2‬الهندسة اإلجتماعية ‪ -‬الحاسوب‪.‬‬
    ‫‪ -3‬الهندسة اإلجتماعية ‪ -‬المحمول ( التطبيقات )‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أسباب نجاح الهندسة اإلجتماعية على األفراد‬

    ‫‪ ‬الطبيعة البشرية في سرعة الثقة‪.‬‬

    ‫‪ ‬تجاهل مشكلة الهندسة اإلجتماعية وعدم توفر قوانين صارمة لمكافحتها‪.‬‬

    ‫‪ ‬الخوف والسكوت‪.‬‬

    ‫‪ ‬الهندسة اإلجتماعية تسحر الضحية وتجعلة يفصح عن بيانات بعد الوعود الكاذبة‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أسباب نجاح الهندسة اإلجتماعية على الشركات‬

    ‫‪ ‬عدم وجود تدريب أمني كافي للموظفين‪.‬‬

    ‫‪ ‬كثرة إختالف أقسام وفروع الشركة‪.‬‬

    ‫‪ ‬عدم التنظيم في الدخول إلى بيانات الشركة‪.‬‬

    ‫‪ ‬ضعف في سياسة الخصوصية واألمان‪.‬‬


    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫تأثير الهندسة اإلجتماعية‬

    ‫‪ ‬اإلنسان هو الحلقة األضعف في أمن المعلومات وهو أكثر سبب لنجاح تأثير الهندسة اإلجتماعية‪.‬‬

    ‫‪ ‬صعوبة التعرف على حالة الهندسة اإلجتماعية والتفرقة بينها وبين الحقيقية‪.‬‬

    ‫‪ ‬ال توجد أي طرق للحماية الكاملة من هجمات الهندسة اإلجتماعية غير المجال التوعوي‪.‬‬

    ‫‪ ‬ال يوجد أي برامج أو أجهزة للحماية والدفاع ضد الهندسة اإلجتماعية‪.‬‬


    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫خطوات الهندسة اإلجتماعية‬

    ‫‪ -1‬الوصول إلى الجهة المستهدفة‪.‬‬


    ‫( الموقع‪ ،‬الموظفين‪ ،‬نبذة عن الجهة المستهدفة وغيرها )‬

    ‫‪ -2‬إختيار الضحية‪.‬‬
    ‫( البحث عن الشخص الضعيف المحبط المتردد )‬

    ‫‪ -3‬بناء العالقة‪.‬‬
    ‫( يتم بناء عالقة مع الموظف لبناء الثقة المتبادلة )‬

    ‫‪ -4‬إستغالل العالقة‪.‬‬
    ‫( يتم استغالل العالقة لجمع البيانات الحساسة مثل البيانات المالية والتقنيات المستخدمة حاليا ً في جهة العمل)‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أشهر الطرق المتبعة في الهندسة اإلجتماعية‬

    ‫‪ -1‬اإلصطياد‬
    ‫مثال ‪ ( :‬رسائل البريد اإللكتروني العشوائية )‬
    ‫‪ -2‬اإلغراء‬
    ‫مثال ‪ ( :‬مواقع دعائية تفيد بكسب جائزة مالية وترغب بالحصول على حسابك البنكي لتحويل المبلغ )‬
    ‫‪ -3‬التتبع‬
    ‫مثال ‪ ( :‬دخول شخص غير مصرح له بالدخول خلف شخص مصرح له بالدخول إلى خزينة البنك )‬
    ‫‪ -4‬إنتحال الشخصية‬
    ‫مثال ‪ ( :‬التواصل مع موظف في شركة على أنه موظف في قسم الدعم الفني )‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -1‬التمثيل‬
    ‫‪ ‬التمثيل كمستخدم عام‬
    ‫مثال ‪ :‬التمثيل كموظف في الشركة واإلتصال على إدارة تقنية المعلومات وطلب كلمة المرور للجهاز أو النظام‪.‬‬

    ‫‪ ‬التمثيل كمستخدم مهم ( ‪) VIP‬‬


    ‫مثال ‪ :‬التمثيل كشخص من اإلدارة العليا واإلتصال على إدارة تقنية المعلومات وطلب كلمة المرور للجهاز أو النظام‪.‬‬

    ‫‪ ‬التمثيل بالدعم الفني التقني‬


    ‫مثال ‪ :‬اإلتصال بالضحية والتعريف بأن المتصل موظف في قسم الدعم الفني وانه قد حصل عطل فني فالنظام اليوم‬
    ‫ونحاول استرجاع والتأكد من بعض البيانات ويتم طلب اسم المستخدم وكلمة المرور‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -2‬صالحية الطرف الثالث‬


    ‫يتقمص المخترق هوية أحد الموظفين الموثوقين أو المعتمدين في الشركة لدى جهه معينة ‪ ،‬بحيث يتمكن من طلب أي معلومات سرية من الجهه‬
    ‫األخرى مثل ( اسم المستخدم وكلمة المرور للبوابة اإللكترونية للعميل )‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -3‬الفني‬
    ‫يتقمص المخترق هوية الفني إلصالح الحاسوب أو الهواتف النقالة للوصول للشركة المستهدفة ‪ ،‬بحيث يقوم بوضع أو تثبيت أجهزة أو برامج‬
    ‫تنصت للحصول على كلمات المرور والبيانات الحساسة المهمة للوصول للهدف‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -4‬التنصت‬
    ‫‪ ‬التنصت هو اإلستماع إلى المحادثات الغير مصرح بسماعها أو قراءة الرسائل الغير مسموح بقرائتها‪.‬‬

    ‫‪ ‬المكالمات‪ ،‬التسجيالت الصوتية‪ ،‬الرسائل‪ ،‬الفيديو‪.‬‬

    ‫‪ ‬التنصت يمكن أن يتم عبر قنوات التواصل مثل الهاتف‪ ،‬البريد اإللكتروني‪ ،‬الرسائل الفورية‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -5‬التنصت عن كثب‬
    ‫هو أسلوب مشهور في سرقة كلمات المرور والبيانات الشخصية المهمة بالوقوف خلف الضحية إلستراق النظر على البيانات المدخلة‪.‬‬
    ‫ويمكن أن تتم هذه الطريقة من مسافة بعيدة أيضا بإستخدام بعض األجهزة والتقنيات للتكبير وتقريب البعيد‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -6‬البحث في القمامة‬
    ‫هي طريقة متبعة في الكثير من عمليات الهندسة اإلجتماعية وسرقة المعلومات وهي اإلطالع على بيانات مهمة للضحية عن طريق القمامة أو سلة‬
    ‫المهمالت‪.‬‬

    ‫‪ ‬فواتير الهاتف‬

    ‫‪ ‬بيانات التواصل‬

    ‫‪ ‬معلومات تتعلق بحسابات مالية‬

    ‫‪ ‬المالحظات الملصقة‬

    ‫‪ ‬خطابات رسمية مطبوعة‬


    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -7‬المساعدة الغير مشروعة‬


    ‫شخص موثوق يساعد ويسمح للمخترق أو الشخص الغير موثوق بالدخول وتجاوز البوابات والقوانين األمنية‪.‬‬
    ‫مثل ‪ :‬أن يقول شخص عفوا لقد نسيت بطاقة الدخول الخاصة بي في المنزل من فضلك ساعدني بالدخول‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫أنواع الهندسة اإلجتماعية البشرية‬

    ‫‪ -8‬التتبع‬
    ‫هو شخص غير مصرح له بالدخول ويلبس بطاقة غير حقيقية ويحاول الدخول إلى مكان معين خالل دخول شخص موثوق ومسموح له بالدخول‬
    ‫بشكل مباشر‪.‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الهندسة اإلجتماعية‬

    ‫تعرضت شركة أرامكو السعودية للهندسة اإلجتماعية وتم سرقتهم بمبلغ ‪ 30‬مليون دوالر‬

    ‫تتعامل شركة أرامكو السعودية مع شركة النفط والغاز الطبيعي في الهند ‪ ،‬حيث وردهم بريد إلكتروني يفيد بسداد الفاتورة‬
    ‫المستحقة كما أنه تم تغيير الحساب البنكي إلى حساب بنكي آخر وقامت شركة أرامكو السعودية بتحويل المبلغ بالكامل‪.‬‬

    ‫‪ patel_dv@ongc.co‬البريد الرسمي للشركة الهندية‬


    ‫‪ patel_dv@ognc.co‬البريد المزيف للمخترقين المرسلين للبريد‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫نصائح أمنية‬

    ‫التقنية التكفي وحدها لحماية خصوصيتك‬


    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫نصائح أمنية‬

    ‫الوقاية من الوقوع ضحية للهندسة اإلجتماعية‬

    ‫‪ ‬احرص على خصوصيتك وعدم نشر أي معلومات شخصية أو سرية عن نفسك مالم يكن ذلك ضروريا‪.‬‬
    ‫‪ ‬ال تشارك كلمة السر الخاصة بك مع اآلخرين‪.‬‬
    ‫‪ ‬ال تشارك أسماء أو عنواين حساباتك مع غير المعنيين‪.‬‬
    ‫‪ ‬أحرص على اقفال جهازك الحاسب دائما قبل تركه‪ ،‬وأوقف تشغيل الجهاز حين مغادرة العمل‪.‬‬
    ‫‪ ‬تخلص من األوراق المهملة بطريقة آمنه وال تترك أي معلومات حساسة متناثرة على مكتبك حين مغادرتك للمكتب‪.‬‬
    ‫‪ ‬تأكد دائما بأن برنامج مكافحة الفيروسات مثبت على جهازك‪.‬‬
    ‫‪ ‬تحقق من شخصية من يتواصل معك عبر الهاتف أو البريد اإللكتروني‪.‬‬
    ‫‪ ‬تحقق من مرفقات البريد اإللكتروني وتجنب فتح الروابط المشكوك بها‪.‬‬
    ‫‪ ‬تحقق دائما قبل السماح بوصول شخص إلى منطقة عملك حيث تتم معالجة معلومات حساسة‪.‬‬
    ‫‪ ‬ال تستخدم كلمة مرور يسهل تخمينها‪.‬‬
    ‫‪ ‬ال تستخدم نفس كلمة المرور للعمل والحسابات الشخصية‪.‬‬
    ‫‪ ‬إستخدم كلمة مرور صعبة وسهلة التذكر ‪ ،‬حيث أن كلمات المرور الصعبة تحتوي على أحرف علوية وسفلية الحالة‬
    ‫باإلضافة إلى أرقام ورموز أخرى مثال ‪.) W!rE$5937 ( :‬‬
    ‫‪Information Security Awareness Program‬‬ ‫برنامج التوعية بأمن المعلومات‬

    ‫الفيروسات‬

    ‫موقع لفحص الملفات والروابط في أكثر من نظام حماية للتأكد من عدم وجود فيروسات ضارة‬
    ‫شكرا ً لكم‬

    Das könnte Ihnen auch gefallen