الاستجابة - إزالة البنية التحتية

حالة استخدام

نظرنا في الموضوعات الفرعية السابقة في كيفية كشف البنية التحتية التي تقدم المحتوى الضار سواء كان ذلك محتوى غير مرغوب فيه أو برمجيات ضارة أو تصيد احتيالي. بمجرد الانتهاء من ذلك بنجاح، يحين وقت تحذير الآخرين منها وفي هذا الموضوع الفرعي نغطي الإبلاغ عن الإساءة وآليات التصفح الآمن الأخرى وآليات الثقب. يشمل ذلك الاتصال بمزود البنية التحتية للإبلاغ عن البنية التحتية الضارة بحيث يمكن إزالتها. قم بإقران هذا الجهد بأنشطة أوسع للاستجابة للحوادث بما في ذلك مشاركة التهديدات والتواصل مع المجتمعات التي ربما تكون قد استهدفت أيضًا بالهجمات الناشئة عن البنية التحتية ذاتها.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

• فهم أساسي لكيفية عمل الإبلاغ عن الإساءة وقواعد البيانات.
• تحديد قواعد بيانات إساءة الاستخدام التي تدرج عناوين مواقع ويب والنطاقات المشتبه بأنها ضارة.
• طلب البيانات من قواعد البيانات هذه والكتابة فيها.
• تحديد واستخدام آليات الإبلاغ عن إساءة الاستخدام لدى موفري البنية التحتية الأكبر.

العرض

الإبلاغ عن الإساءة في مقدمي خدمات الاستضافةs

تعمل العديد من نُسخ البنية التحتية الضارة على مزودي خدمات تجارية رئيسية تُعنى بالحفاظ على سلامة نظامهم واستقراره وسمعته ومواجهة التهديدات السيبرانية. يقدم موفرو الخدمات المسؤولون آليات فعالة للإبلاغ عن الإساءة وقد يؤدي استخدام هذه الآليات إلى الإزالة البنية التحتية النشطة على الفور.

تعلّم كيفية تحديد واستخدام آليات الإبلاغ عن سوء المعاملة هذه حيث تتوفر جهات اتصال إساءة بشأن المعاملة من خلال آليات عديدة:

• ستوفر سجلات النطاق على هو إز بريدًا إلكترونيًا لجهة اتصال معنية بإساءة الاستخدام ورقم هاتف.
• ابحث عن جهة اتصال إساءة الاستخدام ذات الصلة بعنوان بروتوكول إنترنت معين في رايب ستات RIPEstat.
• تتوفر أداة مساعدة برمجية على صفحة البدءبالعمل لقاعدة بيانات إساءة استخدام من أبيوزكس (Abusix Abuse Contacts Database)Getting Started والتي تشرح كيفية استخدام أداة بايثون (Python) أو بحث مضيف بسيط للحصول على جهات الاتصال المعنية بإساءة الاستخدام.
• استخدم البحث على الويب للحصول على تفاصيل الإبلاغ عن إساءة الاستخدام لأنواع أخرى من مقدمي الخدمات التي قد لا تكون متاحة من خلال الطرق المذكورة أعلاه، مثل إساءة الاستخدام على منصات مثل تويليو [Twilio](https://www.twilio.com/help/abuse وميل تشيمب Mailchimp.

تذكر أنه قد يكون هناك العديد من مقدمي الخدمات المعنيين، على سبيل المثال يمكن الإبلاغ عن صفحة تهدف إلى التصيد الاحتيالي إلى كل من مزود استضافة الويب ومسجل النطاق.

تعرف على كيفية كتابة تقرير إساءة باستخدام المعلومات التقنية التي جمعتها، علمًا أن تقريرك يجب أن يتضمن تفاصيل كافية حتى يتمكن مزود الخدمة من تحديد الحساب المعين على منصته الذي يقدم محتوى ضارًا، ويمكن أن يشمل ذلك:

• عناوين مواقع ويب للمحتوى
• عناوين بروتوكول الإنترنت للمحتوى المستضاف
• أي معرّف آخر ذي صلة بالخدمة
• أي أرشيفات/لقطات مأخوذة من المحتوى
• لقطات الشاشة
• رؤوس البريد الإلكتروني إذا كانت ذات صلة
• مسح أمني إيجابي أو مؤشرات للتهديدات
• كيفية إساءة استخدام الخدمة/المورد

أثناء تقديم لقطات الشاشة أو المرفقات، تأكد من عدم كشفك عن المعلومات الحساسة خاصتك أو الخاصة بعملائك المستهدفين بالمحتوى الضار.

في حين أنه من غير المحتمل أن يقدم مقدمو الخدمة معلومات إضافية عن حساب المستخدم الذي ينشر محتوى مسيئًا، يمكنك محاولة طلب هذه المعلومات في حال كانت مفيدة لتحقيقاتك.

في بعض الحالات، تبذل شركات خدمات الإنترنت والتكنولوجيا جهدًا خاصًا للتنسيق مع المجتمع المدني بشأن الهجمات المستهدفة وقد تقدم دعمًا إضافيًا. قد يكون من المفيد العمل مع أحد أعضاء منظمة سيفي سيرتCiviCERT member للبحث عن جهة اتصال للشركة لأغراض التحقيقات والاستجابة السريعة.

لاحظ أنه في كثير من الحالات تُستضاف البنية التحتية الضارة على حسابات أو خوادم مخترقة لأطراف ليس لها علاقة بالهجوم (على سبيل المثال، حساب غوغل مخترق أو موقع ويب مخترق أو جهاز مصاب مُنسق ضمن شبكات روبوتات). إذا كنت تسعى إلى الإلهام حول كيفية كتابة رسالة بريد إلكتروني إلى موفر البنية التحتية، راجع القوالب التالية التي أنشأها خط مساعدة آكسس ناو (Access Now):

• قالب بريد إلكترونيإلى مسجل نطاق ضار to a registrar of a malicious domain
• نموذج بريد إلكتروني إلى موفر خدمة استضافة [to a hosting provider](https://accessnowhelpline.gitlab.io/community-documentation/260-Disable_Malicious_Server_hosting_provider.html
• نموذج بريد إلكتروني إلى عميل، يطلب الإذن منه لمشاركة مؤشرات الاختراق مع المجتمع to a client

التصفح الآمن وآلية الثقب وقوائم الحظر

بالإضافة إلى التواصل مع جهات الاتصال المعنية بإساءة الاستخدام لإزالة المحتوى، توجد آليات مختلفة لإضافة البنية التحتية الضارة أو المؤشرات الضارة الأخرى إلى قوائم الحظر وقواعد البيانات المدمجة في الأدوات والخدمات المستخدمة على نطاق واسع.

ينطبق المبدأ نفسه على وسائل التواصل الاجتماعي ومنصات المراسلة ويعتمد على إجراءات إساءة الاستخدام أو الإبلاغ عن المحتوى على تلك المنصات (أو خدمات السلامة التكميلية). تعرف على بعض قوائم الحظر هذه والأماكن المدرجة فيها وكيفية الإبلاغ عنها مثل:

• غوغل سيف براوزنع Google Safe Browsing
• فيش تانك PhishTank
• أبيوس آي ب دي بي Abuse IP DB
• قاعدة بيانات التصيد الاحتياليPhishing Database (إرسال إضافات من خلال غيت هب)
• تُقدم قواعد بيانات تقارير وتهديدات أكثر تحديدًا بواسطة أبيوس دوت سي إتش abuse.ch وتتطلب المصادقة من أجل الإرسال مثل يو آر إل هاوس URLhaus وثريت فوكس ThreatFox وإس إس إل بلاك ليستSSL Blacklist.
• لإبلاغ عن التصيد الاحتيالي على ديسكورد (Discord) إلى فيش دوت جي جي phish.gg (أو إضافة خادم إلى خدمتهم).

الممارسة

• اعثر على جهات اتصال إساءة الاستخدام لثلاث شركات استضافة مواقع، بما في ذلك منصة رئيسية واحدة على الأقل (مثل إيه دبليو إس (AWS) وجي سي ب (GCP) وأزور (Azure) وأوراكل كلاود (Oracle Cloud) وعلي بابا كلاود (Alibaba Cloud)، وابحث عن أي معلومات إضافية يقدمونها حول عملية الإبلاغ عن الإساءة.
• تحقق من كيفية عمل قواعد بيانات إساءة الاستخدام والتصفح الآمن من غوغل واطلّع على عدد من الأدوات والخدمات المدمجة معها.
• جهّز مخطط سير عمل للاستجابة للحوادث وقائمة مرجعية تحتوي على الروابط والإجراءات ذات الصلة التي يجب اتخاذها في حالة وقوع حادث بنية تحتية ضارة على الإنترنت.

اختبار مهارة

تعاون مع مُرشِد أو نظير لديه بعض الخبرة في إزالة البنية التحتية الضارة لأداء المهام التالية:

• حضّر جميع الأدلة (عناوين بروتوكول الإنترنت وشفرات التجزئة والنطاقات وأي أدلة أخرى) ستحتاجها لتقديم تقرير إساءة الاستخدام. إذا كان لديك مثال على بنية تحتية ضارة في متناول اليد اجمع هذه الأدلة عنها وإذا لم تكن لديك فقم بجمع الأدلة من صفحة ويب سليمة (ولكن دون تقديم تقرير إساءة استخدام بالطبع). ناقش الأدلة مع نظيرك أو مرشدك الذي سيتحقق من أنك جمعت الأدلة الصحيحة ووثقتها بشكل صحيح.
• اشرح كيفية عمل التصفح الآمن وقاعدة بيانات إساءة الاستخدام ومقدمي قوائم الحظر. إذا كان لديك مثال على بنية تحتية ضارة في متناول اليد، أرسله إلى قاعدة بيانات أو موفر الخدمة. إذا لم يكن لديك مثال، انتقل إلى صفحة الويب الخاصة بمزود الخدمة وجرب عملية الإرسال مع نظير أو مُرشِد (اشرح المعلومات التي ستقوم بتحضيرها ولكن دون إرسالها).
• اطلب من مرشدك أو نظيرك إدراج ثلاثة من مقدمي خدمات استضافة الويب أو مقدمي الخدمات السحابية أو المسجلين أو غيرهم من مقدمي الخدمات، وبالنسبة لكل واحد من هؤلاء ابحث عن آلية الاتصال أو الإبلاغ عن الإساءة ذات الصلة.
• تحدث إلى مُرشِد أو النظير حول المخاطر الاستراتيجية والشخصية لبدء الإزالة والإفصاح المحتمل عن بيانات العميل واحتمال إعلام المهاجم بأن هجومه يخضع لفحص تحليلي. جرّب تمرين تمثيل الأدوار حيث تقوم بالإبلاغ عن هذه الاعتبارات إلى هدف الهجوم.

موارد التعلّم