يعني إيه Hardening وإيه علاقته بأمن المعلومات؟
كلمة Hardening في أمن المعلومات معناها ببساطة إنك تقفل أي ثغرات أو نقاط ضعف في النظام علشان تقلل فرص الاختراق أو الاستغلال.
يعني إيه الكلام ده؟ 🤔
لما يكون عندك سيرفر، جهاز، شبكة، أو حتى ابلكيشن، بيكون فيه إعدادات افتراضية (default settings) أو خدمات/ بورتات مفتوحة مش كلّها ضرورية، ودي ممكن تكون بوابة للأستغلال في اي هجوم. الـ Hardening هنا بقى هو عملية "تحصين" النظام ده عن طريق مجموعة اجراءات منها:
- إيقاف الخدمات/البورتات اللي مالهاش لازمة (يعني لو السيرفر مش محتاج SSH، نقفله).
- تحديث النظام والتطبيقات أول بأول علشان تسد الثغرات الأمنية.
- تغيير الإعدادات الافتراضية زي الباسوردات والـ permissions اللي ممكن تسهل على الهاكرز الدخول.
- استخدام مبادئ مهمة زي (Least Privilege, Need to Know, Zero Trust) بحيث كل مستخدم أو برنامج يكون ليه أقل صلاحيات ممكنة لإنجاز شغله وكمان نثق ان دا المستخدم الي ليه الحق في الوصول للبيانات او الخدمات المطلوبة.
- مراقبة السجلات (Logs) للتأكد من عدم وجود أنشطة مريبة واستخدام انظمة للمراقبة زي SIEM Solutions.
مثال عملي 🎯
تخيل إنك مسؤول عن تأمين سيرفر ويب، ومطلوب تعمله Hardening فلازم:
✅ تقفل اي بورتات مش مستخدمة.
✅ تتأكد إن فيه Web Application Firewall (WAF).
✅ تقفل الـ directory listing علشان محدش يشوف ملفات السيرفر.
✅ تفرض استخدام HTTPS بدلاً من HTTP.
✅ تمنع تشغيل سكريبتات غير موثوقة.
قوائم تساعدك في تطبيق ال Hardening و Best Practices لأي نظام
لما نطبق Hardening و Best Practices لأي نظام، من الأفضل نعتمد على قوائم تحقق (Checklists) القوائم دي بتوفر معايير واضحة ومفصلة لضمان تأمين الأنظمة بأفضل الممارسات. ومن أهم هذه الجهات الي بتصدر القوائم دي:
1️⃣ CIS Benchmarks (Center for Internet Security)
CIS Benchmarks عبارة عن مجموعة إرشادات موثوقة لتأمين أنظمة التشغيل، الشبكات، والتطبيقات.
🔗 يمكن تحميل الـ Benchmarks مباشرة من موقع CIS الرسمي:
https://www.cisecurity.org/cis-benchmarks
2️⃣ NIST Security Checklists (National Institute of Standards and Technology)
NIST بتقدم مجموعة من الإرشادات الأمنية المعتمدة على المعايير الفيدرالية، مثل:
✔️ NIST SP 800-53: لضبط أمن الشبكات والأنظمة الحكومية.
✔️ NIST SP 800-171: لحماية البيانات الحساسة في المؤسسات الخاصة والحكومية.
✔️ NIST Cybersecurity Framework (CSF): لتقييم المخاطر وتعزيز الأمن السيبراني.
🔗 يمكن الوصول إلى قوائم NIST من خلال:
https://nvd.nist.gov/ncp/repository
3️⃣ NSA Hardening Guidelines (National Security Agency)
توفر وكالة الأمن القومي الأمريكية (NSA) Guides قوية جدًا لتأمين الأنظمة، وبتشمل:
- Windows & Linux Hardening
- Mobile Security (iOS & Android)
- Cloud Security Best Practices
🔗 يمكن الاطلاع على هذه الإرشادات عبر موقع NSA الرسمي:
https://www.nsa.gov/Cybersecurity/
4️⃣ DISA STIGs (Defense Information Systems Agency – Security Technical Implementation Guides)
هذه المعايير تُستخدم في البيئات العسكرية والحكومية لضمان مستويات أمنية عالية جدًا، وتشمل:
✔️ تأمين أنظمة التشغيل: Windows، Linux، Unix.
✔️ تأمين الشبكات والأجهزة: Cisco، Palo Alto، Fortinet.
✔️ تأمين الحوسبة السحابية والافتراضية: VMware، AWS، Azure.
🔗 يمكن تحميل STIGs من موقع DISA الرسمي:
https://public.cyber.mil/stigs/
سيناريوهات مختلفة لإيضاح فكرة ال Hardening
سيناريو 1: تأمين سيرفر ويب (Web Server Hardening)
المشكلة:
عمرو، مسؤول عن سيرفر بيستضيف موقع إلكتروني. السيرفر عليه إعدادات افتراضية وخدمات مفتوحة، ومفيش أي طبقات حماية مفعلة.
المخاطر:
- هجوم Brute Force: الهاكر ممكن يجرب ملايين كلمات المرور للدخول لحساب الأدمن.
- هجمات SQL Injection وXSS: بسبب عدم تأمين إعدادات السيرفر والتطبيقات.
- استخدام بورتات غير آمنة: خدمات مفتوحة مش مستخدمة بتسمح لأي حد يحاول يستغلها.
الحل (Hardening):
✅ تعطيل البورتات والخدمات اللي مش مستخدمة (مثلاً، لو مفيش FTP، نقفله).
✅ فرض استخدام SSH key authentication بدل من الباسورد العادي.
✅ تفعيل Web Application Firewall (WAF) لمنع الهجمات زي SQL Injection.
✅ تحديث النظام باستمرار لسد الثغرات.
✅ تفعيل HTTPS و HSTS علشان يمنع أي اتصال غير مشفر.
سيناريو 2: Hardening جهاز موظف في شركة
المشكلة:
سارة شغالة في شركة، وجهازها فيه ملفات حساسة عن مشروعات الشركة، لكنها مش مأمنة الجهاز كويس.
المخاطر:
- ممكن حد يخترق جهازها من خلال USB مجهول أو فايروس.
- ممكن حد يسرق بياناتها لو جهازها اتسرق ومفيش تشفير (Encryption).
- ممكن حد يدخل بالباسورد بتاعها لأنه ضعيف ومكتوب على ورقة جنبها.
الحل (Hardening):
✅ تفعيل Full Disk Encryption (BitLocker مثلاً) علشان البيانات تفضل مشفرة حتى لو الجهاز اتسرق.
✅ فرض باسورد قوي + 2FA علشان تمنع أي حد يخترق الحساب.
✅ تعطيل Autorun في الـ USB علشان تمنع تشغيل أي فايروس تلقائيًا او منع استخدام ال USB.
✅ استخدام EDR أو Antivirus لمراقبة أي نشاط مشبوه.
✅ تقليل صلاحيات المستخدم، يعني سارة تشتغل بحساب مستخدم عادي، مش Admin.
سيناريو 3: تأمين شبكة داخل شركة (Network Hardening)
المشكلة:
الشركة اللي بيشتغل فيها يوسف عندها Wi-Fi مفتوح وFirewall ضعيف، ومفيش أي قيود على الشبكة.
المخاطر:
- أي حد يقدر يعمل Sniffing ويشوف بيانات الموظفين.
- ممكن يتم استغلال الأجهزة غير المحمية داخل الشبكة.
- لو مفيش VLANs، ممكن أي حد يدخل على بيانات حساسة.
الحل (Hardening):
✅ إخفاء الـ SSID وفرض WPA3 بدلًا من بروتوكولات ضعيفة زي WEP.
✅ تفعيل Network Segmentation بحيث يكون كل جهاز أو قسم ليه VLAN خاصة بيه.
✅ ضبط Firewall قوي علشان يمنع أي هجمات غير مرغوب فيها.
✅ فرض MAC Filtering بحيث بس الأجهزة الموثوقة تدخل الشبكة.
✅ مراقبة الشبكة باستخدام IDS/IPS علشان تكتشف أي نشاط مريب.
سيناريو 4: Hardening في بيئة DevOps وCloud
المشكلة:
الشركة عندها خوادم على AWS، لكنها مفيش عندها سياسة واضحة لتأمين الكلاود، وممكن يكون فيه أخطاء في الكونفجريشن (Misconfigurations).
المخاطر:
- ممكن أي حد يوصل للـ S3 Bucket لو كان Public بالغلط.
- لو مفعلوش IAM Roles كويس، ممكن حد يسرق Credentials.
- ممكن يتم استغلال Weak Security Groups علشان يفتحوا بورتات خطر.
الحل (Hardening):
✅ تقييد صلاحيات IAM بحيث يكون لكل مستخدم أقل صلاحيات ممكنة.
✅ منع جعل أي S3 Bucket Public إلا عند الحاجة.
✅ ضبط Security Groups بحيث تمنع أي اتصال غير ضروري.
✅ تفعيل CloudTrail + GuardDuty علشان تراقب النشاط المشبوه.
✅ استخدام Key Management Service (KMS) لتشفير البيانات.
الخلاصة 🛡️
Hardening = تقفيل أي باب ممكن المهاجمين يدخلوا منه. كل ما كانت الإجراءات أقوى، كل ما كان النظام أصعب في الاختراق. 💪
وده بيتم من خلال:
✔️ تقليل الصلاحيات (Least Privilege).
✔️ إيقاف الخدمات اللي مش محتاجها.
✔️ تفعيل الجدران النارية (Firewalls) وأدوات المراقبة (IDS/IPS).
✔️ التشفير (Encryption) لحماية البيانات.
✔️ تحديث الأنظمة والتأكد من عدم وجود Misconfigurations.
كده معاك صورة كاملة عن Hardening في سيناريوهات مختلفة! 💪🔥
