WEBVTT

00:00.330 --> 00:01.350
المدرب: في هذا الدرس، سنناقش

00:01.350 --> 00:03.780
هجمات الأجهزة الافتراضية بما في ذلك عمليات الهروب من الأجهزة

00:03.780 --> 00:07.410
الافتراضية، والتنقل بين الأجهزة الافتراضية، وعمليات الهروب من وضع الحماية، ومخاوف

00:07.410 --> 00:09.360
الأجهزة الافتراضية الأخرى.

00:09.360 --> 00:12.680
أولاً لدينا عمليات الهروب من VM أو عمليات الهروب من الجهاز الظاهري.

00:12.680 --> 00:14.940
يعد الهروب من الجهاز الافتراضي (VM) أحد أنواع

00:14.940 --> 00:16.230
الهجمات التي يحاول فيها ممثل

00:16.230 --> 00:18.120
التهديد الخروج من جهاز افتراضي معزول ثم

00:18.120 --> 00:19.380
إرسال الأوامر مباشرةً إلى

00:19.380 --> 00:21.270
برنامج Hypervisor الأساسي.

00:21.270 --> 00:23.820
نظرًا لأنه من المفترض أن يتم عزل كل جهاز ظاهري، فإن

00:23.820 --> 00:25.350
تنفيذ الهروب من الجهاز الافتراضي

00:25.350 --> 00:27.300
سيكون أمرًا صعبًا للغاية.

00:27.300 --> 00:29.580
بعد كل شيء، لا ينبغي لكل نظام تشغيل ضيف أن

00:29.580 --> 00:31.200
يعرف نفسه أنه جزء من جهاز افتراضي،

00:31.200 --> 00:32.910
لأنه لا يزال يعتقد أن لديه حق الوصول

00:32.910 --> 00:34.710
الكامل إلى الجهاز الفعلي الذي

00:34.710 --> 00:36.330
تمت محاكاته والذي يوفره برنامج

00:36.330 --> 00:38.340
Hypervisor.

00:38.340 --> 00:40.260
لكي يكون الهروب من الجهاز الافتراضي

00:40.260 --> 00:42.780
فعالاً، يجب على المهاجم إيجاد طريقة للتفاعل

00:42.780 --> 00:44.880
مباشرة مع الموارد المادية الأساسية،

00:44.880 --> 00:46.830
مثل ذاكرة الخادم الفعلي أو محرك الأقراص

00:46.830 --> 00:48.990
الثابتة أو المعالجة.

00:48.990 --> 00:51.210
يحدث هذا عادةً عن طريق استغلال ثغرة أمنية

00:51.210 --> 00:53.220
في كود برنامج Hypervisor نفسه.

00:53.220 --> 00:54.480
كانت هناك حالات قليلة

00:54.480 --> 00:56.760
لحدوث ذلك، وقد تم تطوير التصحيحات وإصدارها

00:56.760 --> 00:59.310
من قبل الشركات المصنعة بمجرد اكتشافها لهذه

00:59.310 --> 01:00.840
الثغرات الأمنية.

01:00.840 --> 01:04.080
يعد تنفيذ الهروب من VM أسهل على برنامج Hypervisor من النوع الثاني

01:04.080 --> 01:06.330
مقارنةً ببرنامج Hypervisor من النوع الأول.

01:06.330 --> 01:08.940
إذا كنت تستخدم برنامج Hypervisor من النوع الثاني أو برنامج

01:08.940 --> 01:10.650
Hypervisor اللاحق، فقد يتمكن المهاجم

01:10.650 --> 01:12.210
من الوصول إلى نظام التشغيل الأساسي

01:12.210 --> 01:14.400
الذي يستضيف فعليًا أجهزتك الافتراضية.

01:14.400 --> 01:16.170
إذا استطاعوا، فيمكنهم بعد ذلك تصعيد

01:16.170 --> 01:17.370
امتيازاتهم والوصول إلى

01:17.370 --> 01:19.620
الأجهزة الافتراضية الأخرى التي تتم استضافتها

01:19.620 --> 01:21.203
على نفس الجهاز وفي الواقع، إنشاء

01:21.203 --> 01:23.820
هروب للجهاز الظاهري.

01:23.820 --> 01:25.620
لمنع هروب الجهاز الظاهري، من

01:25.620 --> 01:26.910
المهم دائمًا التأكد

01:26.910 --> 01:29.790
من أن نظام التشغيل الضيف ونظام التشغيل المضيف

01:29.790 --> 01:33.270
وبرنامج Hypervisor الخاص بك يظلون مصححين ومحدثين.

01:33.270 --> 01:36.750
ثانيًا، لدينا التنقل بين أجهزة VM أو التنقل بين الأجهزة الافتراضية.

01:36.750 --> 01:38.970
يعد التنقل عبر VM الآن نوعًا من الهجوم

01:38.970 --> 01:40.440
حيث يحاول ممثل التهديد

01:40.440 --> 01:43.860
الانتقال من جهاز افتراضي إلى آخر على نفس المضيف.

01:43.860 --> 01:46.530
سيركز هجوم التنقل عبر الأجهزة الافتراضية (VM) على

01:46.530 --> 01:48.750
استغلال برنامج Hypervisor لبرنامج المحاكاة

01:48.750 --> 01:51.360
الافتراضية أو أي نوع من الميزات للتنقل بين الجهازين

01:51.360 --> 01:53.730
الظاهريين المفترضين المعزولين.

01:53.730 --> 01:56.340
الآن، يبدو التنقل بين الأجهزة الافتراضية (VM) مشابهًا للهروب من

01:56.340 --> 01:57.960
الأجهزة الافتراضية (VM)، ولكن هناك اختلافًا

01:57.960 --> 02:00.090
رئيسيًا واحدًا وهو أن التنقل بين الأجهزة الافتراضية (VM)

02:00.090 --> 02:02.340
يركز الآن على التنقل بين جهاز افتراضي إلى آخر.

02:02.340 --> 02:03.818
بينما عندما تحدثنا عن الهروب

02:03.818 --> 02:06.720
من VM، فقد ركزنا على الوصول إلى برنامج Hypervisor الأساسي

02:06.720 --> 02:08.550
أو نظام التشغيل المضيف.

02:08.550 --> 02:10.170
للحماية من التنقل بين أجهزة VM، يجب عليك

02:10.170 --> 02:11.820
دائمًا التأكد من تحديث برنامج Hypervisor

02:11.820 --> 02:13.603
الخاص بك وتصحيحه بشكل صحيح.

02:13.603 --> 02:15.843
تحتاج أيضًا إلى التأكد من تكوين أنظمة

02:15.843 --> 02:18.750
التشغيل الضيف وبرنامج Hypervisor بشكل آمن باستخدام

02:18.750 --> 02:20.910
دليل تكوين أفضل الممارسات لضمان عدم

02:20.910 --> 02:22.830
وجود اتصالات خاطئة بين الأجهزة

02:22.830 --> 02:25.650
الافتراضية التي كان ينبغي عزلها.

02:25.650 --> 02:27.930
ثالثًا، لدينا مكان للهروب من وضع الحماية.

02:27.930 --> 02:30.000
الآن، يعد وضع الحماية بمثابة آلية أمان

02:30.000 --> 02:31.710
تُستخدم لفصل العمليات الجارية

02:31.710 --> 02:34.620
والبرامج في محاولة للتخفيف من حالات فشل النظام أو

02:34.620 --> 02:36.840
ثغرات البرامج من الانتشار.

02:36.840 --> 02:39.960
في أغلب الأحيان، يتم إنشاء صناديق الحماية باستخدام الأجهزة

02:39.960 --> 02:41.370
الافتراضية أو الحاويات.

02:41.370 --> 02:44.070
على سبيل المثال، تستخدم متصفحات الويب بشكل شائع مفهوم

02:44.070 --> 02:46.440
وضع الحماية لفصل كود الويب قيد التشغيل عن نظام

02:46.440 --> 02:48.030
التشغيل المحمي أو البرامج الأخرى

02:48.030 --> 02:49.950
الموجودة على النظام.

02:49.950 --> 02:51.630
سيحدث الآن هروب وضع الحماية عندما

02:51.630 --> 02:52.620
يتمكن المهاجم من

02:52.620 --> 02:54.690
التحايل على إجراءات حماية وضع الحماية

02:54.690 --> 02:57.057
من أجل الوصول إلى نظام التشغيل المحمي للعمليات

02:57.057 --> 02:59.190
المميزة الأخرى.

02:59.190 --> 03:01.130
لحماية أنظمتك من الهروب من وضع الحماية،

03:01.130 --> 03:02.880
من المهم التأكد من بقاء برامجك وأنظمة

03:02.880 --> 03:05.340
التشغيل الخاصة بك مصححة ومحدثة، بالإضافة إلى التأكد

03:05.340 --> 03:06.173
من أن لديك برنامجًا

03:06.173 --> 03:08.460
قويًا لحماية نقطة النهاية مثبتًا على العميل الخاص

03:08.460 --> 03:11.640
بك وأنك تحدد الامتدادات أو الإضافات الإضافية التي تم تثبيتها داخل

03:11.640 --> 03:14.490
متصفحات الويب الخاصة بك في حالة الحماية من عمليات الهروب

03:14.490 --> 03:16.920
من وضع الحماية لمتصفح الويب.

03:16.920 --> 03:19.530
رابعًا، لدينا بعض المخاوف التي نحتاج إلى التحدث عنها

03:19.530 --> 03:21.600
أيضًا عندما نفكر في الأجهزة الافتراضية

03:21.600 --> 03:23.160
والبيئات الافتراضية.

03:23.160 --> 03:26.250
يتضمن ذلك أشياء مثل عمليات الترحيل وبقايا البيانات.

03:26.250 --> 03:27.510
الآن، إحدى الفوائد الرئيسية

03:27.510 --> 03:28.890
لاستخدام البيئة الافتراضية

03:28.890 --> 03:30.570
هي أنه يمكنك ترحيل جهاز افتراضي

03:30.570 --> 03:33.270
من مضيف إلى آخر، حتى أثناء تشغيله.

03:33.270 --> 03:35.280
وهذا ما يسمى بالهجرة الحية.

03:35.280 --> 03:37.290
الآن يحدث هذا الترحيل عبر الشبكة.

03:37.290 --> 03:38.700
لذلك من المهم التأكد دائمًا

03:38.700 --> 03:41.276
من أن الترحيل يحدث فقط عبر شبكة موثوقة أو شبكة

03:41.276 --> 03:43.678
تستخدم التشفير المناسب بين الخادم الذي

03:43.678 --> 03:46.020
يقوم بإعداد الجهاز الظاهري والخادم الذي

03:46.020 --> 03:48.480
يستقبل هذا الجهاز الظاهري.

03:48.480 --> 03:49.830
إذا حدث الترحيل المباشر

03:49.830 --> 03:51.570
عبر اتصال غير مشفر، فسيكون

03:51.570 --> 03:53.700
هناك احتمال أن تتعرض البيانات الموجودة

03:53.700 --> 03:56.730
داخل هذا الجهاز الظاهري لأعين المتطفلين أو تتعرض

03:56.730 --> 03:58.674
سلامتها للخطر من قبل مهاجم باستخدام

03:58.674 --> 04:01.200
هجوم على المسار.

04:01.200 --> 04:03.150
ولمنع حدوث ذلك، يجب تشفير صور

04:03.150 --> 04:04.710
الجهاز الظاهري قبل إرسالها

04:04.710 --> 04:06.840
من خادم إلى آخر عبر الشبكة.

04:06.840 --> 04:09.810
تذكر أن الخوادم لم تعد مجرد أجهزة فعلية موجودة داخل

04:09.810 --> 04:11.580
مراكز البيانات الخاصة بنا ولكنها

04:11.580 --> 04:13.680
أصبحت أيضًا أجهزة افتراضية وهي مجرد

04:13.680 --> 04:16.410
ملف موجود على نوع ما من نظام الملفات.

04:16.410 --> 04:18.930
ويمكن للمهاجم سرقة هذه الملفات.

04:18.930 --> 04:21.300
أحد المخاوف الرئيسية الأخرى عند استخدام الأجهزة

04:21.300 --> 04:23.024
الافتراضية في بيئة سحابية هو بقايا

04:23.024 --> 04:24.420
البيانات التي يمكن أن تبقى عند

04:24.420 --> 04:27.150
إلغاء توفير الخوادم الافتراضية الزائدة.

04:27.150 --> 04:29.520
يستخدم العديد من موفري الخدمات السحابية تخزين

04:29.520 --> 04:31.323
الكتل الذي قد يسمح بترك البيانات التي

04:31.323 --> 04:34.230
لم تعد هناك حاجة إليها على أجهزة التخزين الخاصة بهم.

04:34.230 --> 04:36.622
إذا لم يتم مسحها بشكل صحيح، فقد يتم الوصول إلى هذه

04:36.622 --> 04:38.700
البيانات من قبل مستخدمين غير مصرح لهم.

04:38.700 --> 04:40.620
للتخفيف من هذا التهديد المتمثل في بقايا

04:40.620 --> 04:42.270
البيانات، يجب عليك دائمًا تشفير

04:42.270 --> 04:43.680
مواقع تخزين جهازك الظاهري

04:43.680 --> 04:45.240
والتأكد من تدمير مفتاح التشفير

04:45.240 --> 04:47.430
عندما لا تكون هناك حاجة إلى الجهاز الظاهري

04:47.430 --> 04:49.020
ويصبح غير متوفر.

04:49.020 --> 04:50.160
آخر شيء نحتاج إلى تغطيته

04:50.160 --> 04:52.650
فيما يتعلق بالأمان هو زحف الأجهزة الافتراضية (VM)،

04:52.650 --> 04:54.990
المعروف أيضًا باسم زحف الأجهزة الافتراضية.

04:54.990 --> 04:57.720
الآن، يعد تمدد الأجهزة الافتراضية هو النشر غير المنضبط لجهاز

04:57.720 --> 04:59.664
واحد أو أكثر من الأجهزة الافتراضية.

04:59.664 --> 05:01.920
هذه منطقة كبيرة من نقاط الضعف بالنسبة

05:01.920 --> 05:03.540
لك كمؤسسة، لأن لديك هذه الأجهزة

05:03.540 --> 05:05.340
الافتراضية المارقة التي يتم

05:05.340 --> 05:06.540
تثبيتها دون ترخيص في

05:07.403 --> 05:09.030
جميع أنحاء شبكتك.

05:09.030 --> 05:11.730
وهذا يعني الآن أن إدارة النظام لا تتم

05:11.730 --> 05:14.460
لهذه الأجهزة، لأنك لا تعلم بوجودها.

05:14.460 --> 05:15.990
ولأنك لا تعرف وجودها، فأنت

05:15.990 --> 05:17.610
لا تقوم بالتصحيح الأمني والتحديث

05:17.610 --> 05:20.370
ووضع حلول مكافحة البرامج الضارة أو برامج مكافحة

05:20.370 --> 05:23.130
الفيروسات لحماية تلك الأجهزة.

05:23.130 --> 05:25.845
ولهذا السبب، تصبح هذه الأجهزة الافتراضية

05:25.845 --> 05:27.300
عرضة جدًا للهجوم.

05:27.300 --> 05:29.310
وإذا تمكن أحد المهاجمين من العثور على إحدى

05:29.310 --> 05:30.843
هذه الأجهزة الافتراضية المارقة

05:30.843 --> 05:33.330
التي نتجت عن انتشار الأجهزة الافتراضية، فسيكون بمقدورهم

05:33.330 --> 05:36.480
الدخول ومهاجمتها والحصول على ذلك كنقطة محورية في بقية شبكتك ثم محاولة

05:36.480 --> 05:39.000
الهروب من الأجهزة الافتراضية أو التنقل عبر VM إلى مناطق

05:39.000 --> 05:40.860
أخرى من شبكتك.

05:40.860 --> 05:42.270
لذا ضع ذلك في الاعتبار، نظرًا

05:42.270 --> 05:45.240
لأن اتساع الأجهزة الافتراضية يمثل مشكلة كبيرة، خاصة

05:45.240 --> 05:46.725
إذا كان لديك الكثير من المقاولين

05:46.725 --> 05:49.470
والمطورين الذين يعملون على شبكتك وهم ليسوا جزءًا

05:49.470 --> 05:51.120
من فريقك العادي، ولا يتابعون

05:51.120 --> 05:52.290
التغيير العادي عمليات

05:52.290 --> 05:54.000
التحكم.

05:54.000 --> 05:56.880
لذا، مرة أخرى، تحدثنا في هذا الدرس عن بعض متطلبات

05:56.880 --> 05:59.045
الأمان التي يجب أن تفكر فيها وبعض

05:59.045 --> 06:00.810
نقاط الضعف التي يمكن أن تتعارض

06:00.810 --> 06:03.360
مع متطلبات الأمان تلك.

06:03.360 --> 06:06.330
يتضمن ذلك أشياء مثل عمليات الهروب من VM، والتنقل بين الأجهزة الافتراضية،

06:06.330 --> 06:09.303
وحالات الهروب من وضع الحماية، وامتداد الآلة الافتراضية.