Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L08
الفرق الزرقاء — الدفاعمتقدم70mL08

تحصين الأنظمة والدفاع المتعمق

استراتيجيات تحصين الأنظمة والشبكات المؤسسية

#CIS#WAF#Zero Trust#Patching

مبدأ الدفاع المتعدد الطبقات — Defense in Depth

تشبيه — شرح مبسط
القلعة في العصور الوسطى لم تعتمد على جدار واحد. كان هناك خندق، ثم سور خارجي، ثم سور داخلي، ثم برج رئيسي، ثم حرّاس. لو سقطت طبقة، تصمد التي تليها. هذا هو Defense in Depth.

مبادئ ذهبية

  1. Least Privilege — أقل صلاحية ممكنة لكل مستخدم و خدمة.
  2. Zero Trust — لا تثق بأي شخص أو شبكة، تحقق دائماً.
  3. Assume Breach — افترض أنك مخترق، و خطّط للكشف و الاحتواء.
  4. Defense in Depth — طبقات متعددة و متنوعة.
  5. Secure by Default — التكوين الافتراضي آمن.

تصلب نظام Linux

hardening checklist
# 1) تحديث دائم
unattended-upgrades + apt-listbugs

# 2) SSH
PermitRootLogin no
PasswordAuthentication no
AllowUsers admin
MaxAuthTries 3

# 3) UFW / nftables — deny by default
ufw default deny incoming
ufw allow from 10.0.0.0/8 to any port 22

# 4) fail2ban على SSH و web
# 5) auditd لمراقبة استدعاءات النظام
# 6) AIDE لمراقبة سلامة الملفات
# 7) AppArmor / SELinux في وضع enforcing
# 8) تعطيل خدمات غير مستخدمة
# 9) blacklist usb-storage
معايير قابلة للقياس
  • CIS Benchmarks — نقاط محددة بالتفصيل لكل توزيعة.
  • DISA STIGs — معايير وزارة الدفاع الأمريكية.
  • أتمها بـ OpenSCAP / Lynis / Wazuh SCA.

تصلب الويب — Web Hardening

HTTP Headers ضرورية

nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "DENY";
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'sha256-...';";

WAF — Web Application Firewall

  • Cloudflare WAF, AWS WAF, ModSecurity + OWASP CRS.
  • قواعد SQLi / XSS / LFI / RCE + rate limiting.
  • مراقبة الـ false positives أهم من إضافة المزيد من القواعد.

تصلب قاعدة البيانات

  • مستخدم لكل تطبيق بصلاحية محدودة. لا root أبداً.
  • لا DB على الإنترنت — فقط داخل VPC.
  • تشفير في الراحة (at rest) و في النقل (in transit).
  • Audit logging + slow query log + honey tables.
  • Backup منفصل + restore drills دورية.

إدارة الهويات — Identity Hardening

  1. MFA إجباري لكل المستخدمين، خاصة الـ admins.
  2. SSO مركزي — يسهّل الرفع و العزل عند التغيير.
  3. PAM (Privileged Access Management) — جلسات مسجّلة كاملة.
  4. تدوير passwords/keys دورياً.
  5. كشف credential stuffing عبر مقارنة بقواعد التسريبات.

الشبكة — Network Hardening

  • Microsegmentation — كل خدمة في subnet خاص.
  • Egress filtering — السيرفر لا يكلّم الإنترنت إلا لـ domains محددة.
  • DNS filtering (Cisco Umbrella, Quad9, Pi-hole) ضد C2.
  • VPN / SASE / ZTNA بدلاً من فتح RDP و SSH للإنترنت.
  • 802.1X + NAC داخل المؤسسة.

إدارة الأسرار — Secrets Management

  • HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager.
  • أبداً في الكود أو في الـ .env الذي قد يُرفع.
  • Pre-commit hooks: gitleaks, detect-secrets.
  • تدوير دوري + short-lived tokens.
السابق
ما بعد الاستغلال والتحرك الجانبي
التالي
الكشف والمراقبة الأمنية (SIEM / EDR)