تتطور التهديدات التي تواجه هوية الشركات باستمرار، وعندما يخترق أحد المهاجمين نظام الهوية، يكون التأثير طويل الأمد ومكلفًا. في هذا السياق، أصبح تدقيق وتعزيز Active Directory (AD) ونظيره السحابي، Entra ID/Azure AD، ضرورة يومية لتكنولوجيا المعلومات والأمن. اختيار الأدوات المناسبة وفهم ما تقدمه كل منها إنها الخطوة الأولى لإغلاق الثغرات قبل أن يستغلها أحد.
من بين أشهر الخيارات المجانية: Purple Knight (Semperis) وPingCastle (الذي أنشأه فينسنت لو تو أصلاً، وهو حاليًا جزء من منظومة Netwrix). يعمل كلا البرنامجين بسلاسة ويوفران تشخيصات قيّمة، إلا أنهما يختلفان في نهجهما ومنهجيتهما وجمهورهما المستهدف. قارن بينهما عن كثب، دون إغفال حدودهما ونقاط قوتهما.إنه يسمح لك بتحديد متى تستخدم أحدهما أو الآخر، أو لماذا يجب عليك الجمع بينهما للحصول على أقصى استفادة منهما.
أمان الهوية: لماذا التركيز على Active Directory و Entra ID
تركز AD وEntra ID عادةً على التحكم في الحسابات والأذونات والمصادقة وعلاقات الثقة؛ وفي حالة فشلهما، يفشل قلب الوصول إلى المؤسسة. يمكن أن تظل عمليات الاختراق لهذه الأنظمة غير مرئية لعدة أشهر.هذا يُعرِّض الأصول الحيوية للخطر ويُسهِّل التحركات الجانبية. لذلك، يتطلب تعزيز أمان الهوية إعطاء الأولوية لـ Active Directory وطبقته السحابية. تُساعد أدوات التقييم لمرة واحدة على تكوين صورة واضحة للمخاطر، بينما تُتيح أدوات المراقبة المستمرة التدخل في الوقت المناسب لمعالجة الانحرافات.
PingCastle: لقطة مبنية على النضج لبيئة AD
وُلِد PingCastle كأداة تقييم Active Directory تم تطويرها بلغة C# بواسطة Vincent Le Toux وتم دمجها في السوق بإصدار أساسي مجاني منذ عام 2017. الغرض منه هو قياس المخاطر ونضج الأمان لـ Active Directory استنادًا إلى النماذج والقواعدإنشاء تقرير عن الصحة والمخاطر يركز بشكل كبير على القرارات العملية.
ما يفعله PingCastle بشكل جيد
من نقاط قوته ترجمة البيانات التقنية إلى معلومات سياقية: فهو يحلل العمليات الفرعية لـ Active Directory، وعلاقات الثقة، والحسابات ذات الامتيازات، والكائنات القديمة، وغيرها. والنتيجة هي تقييم مخاطر وتقرير مفصل يمكن دمجه مع تقارير أخرى لتسهيل المقارنات مع مرور الوقت. بالإضافة إلى ذلك، فهو يتضمن خريطة Active Directory لتوضيح التسلسلات الهرمية والثقة.وهذا يسرع فهم البيئات المعقدة ويكشف المجالات المنسية.
- تقييم المخاطر والصحة بناءً على النماذج والقواعد الداخلية، مع التسجيل وإعداد التقارير عن المخاطر.
- رؤية الامتيازات والطرق المحتملة للأشياء الهامة، مع التركيز على الحسابات ذات الوصول العالي.
- تعيين النطاق والثقة لتصور العلاقات، بما في ذلك اعتبارات الثقة باستخدام Azure AD/Entra ID.
- توحيد التقارير للمقارنة المعيارية ومؤشرات الأداء الرئيسية ولوحات معلومات الإدارة (في الإصدارات الأعلى).
يتجاوز PingCastle أيضًا الدليل ويقوم بإجراء عمليات فحص لمحطة العمل بحثًا عن الممارسات غير الآمنة. يكتشف المسؤولين المحليين المفرطينالموارد المشتركة غير المحمية بشكل جيد، والثغرات الأمنية مثل WannaCry وحتى المخالفات في وقت بدء التشغيل، مما يساعد على اكتشاف الأبواب الخلفية ونقاط الضعف في التفويض التي يمكن أن تسهل الحركة الجانبية.
كيف يعمل وماذا يقدم
يقوم محرك PingCastle بجمع البيانات باستخدام استعلامات LDAP غير المميزة وWMI، ويمكن دمجه مع نصوص PowerShell، ويطبق نموذج المخاطر المجمع حسب الفئات: الأشياء العتيقة، والحسابات المميزة، والثقة، والشذوذ. يسلط التقرير الناتج الضوء على المشاكل الحرجة (على سبيل المثال، بروتوكولات الثقة القديمة، أو الوفود الهشة، أو تكوينات Kerberos الضعيفة، أو مسارات التحكم غير الآمنة) ويقوم بتعيين درجة صحة AD: كلما كانت أقل، كان ذلك أفضل.
في البيئات الهجينة، يمكن لـ PingCastle الإبلاغ عما إذا كانت علاقة الثقة مع Azure AD مؤمنة بشكل جيد. عرض الخريطة وتوحيد النتائج وهي مفيدة بشكل خاص للمؤسسات التي لديها العديد من المجالات أو علاقات الثقة المتعددة، حيث يكون من السهل فقدان المسار.
الطبعات والترخيص والنطاق
الإصدار الأساسي مجاني لتدقيق بيئتك الخاصة، بينما تضيف إصدارات Auditor/Standard وProfessional إمكانيات متقدمة ودعمًا تجاريًا. يتم تسويق الاشتراكات مثل Auditor (حوالي 3.449 دولارًا أمريكيًا سنويًا) و Professional. (حوالي ١٠٣٤٧ دولارًا أمريكيًا للنطاق الواحد سنويًا)، بالإضافة إلى إصدار Enterprise بميزات دمج ومنظور عالمي للشركات الكبيرة. يُوقّع المشروع ملفاته الثنائية ويُصدر الكود بموجب ترخيص OSL 3.0 (غير ربحي)، مع قيود على الاستخدام التجاري غير المُرخّص.
القيود المعروفة لـ PingCastle
في عمليات النشر التي تحتوي على العديد من المجالات، قد تكون التقارير كثيفة وصعبة التنقل إلى حد ما إذا لم يتم إنشاء عمليات التوحيد والعروض. لا يتضمن الإصدار المجاني تقارير متقدمة أو أدلة علاجية مفصلة.والتركيز هنا ينصب على مؤشرات التعرض والمخاطر، وليس على علامات التنازل التي ظهرت بالفعل.
الفارس الأرجواني: مؤشرات التعرض والمشاركة بنقرة زر واحدة
أطلقت شركة Semperis برنامج Purple Knight في عام ٢٠٢١ كأداة تقييم أمان مجانية لـ Active Directory والبيئات الهجينة. ومنذ ذلك الحين، أصبح البرنامج شائعًا نظرًا لتركيزه على مؤشرات التعرض (IOE) ومؤشرات الاختراق (IOC). ويهدف هذا البرنامج إلى الكشف عن التكوينات الخطرة وأدلة التطفل. في AD، أدخل ID/Azure AD وحتى Okta.
المؤشرات والفئات والأطر المرجعية
تقوم Purple Knight بتجميع النتائج في خمس مناطق رئيسية: تفويض AD، وأمان البنية الأساسية AD، وأمان الحساب، أمان سياسة المجموعة (GPO) وأمان Kerberos. يستخدم التقرير "نشرة" تحتوي على تصنيف حسب الفئة ونسبة مئوية إجمالية.، مع تقديم علاجات ذات أولوية، وشدّة (إعلامية أو تحذيرية أو حرجة) وتعيينات لأطر عمل مثل MITRE ATT&CK وANSSI، بالإضافة إلى المراجع إلى نموذج MITRE D3FEND.
- أكثر من مائة مؤشر (والإصدارات الأخيرة تتجاوز هذا الرقم بسهولة) تغطي متجهات الهجوم الشائعة.
- الفرق بين IOE و IOC لفصل سوء التكوين المحتمل عن أدلة الاختراق النشط.
- إرشادات التصحيح الوصفية ويتم ترتيبها حسب الأولوية حسب المخاطر واحتمالية الاستغلال.
- التغطية الهجينة مع AD المحلي، ودعم Enter ID/Azure AD وOkta.
تجربة المستخدم وإعداد التقارير
الأداة محمولة وواجهة رسومية. ما عليك سوى تنزيل ملف ZIP وفك ضغطه وتشغيل الملف الثنائي؛ عند بدء التشغيل، تكتشف الأداة الغابات والنطاقات وتسمح لك باختيار IOE/IOC المطلوب تشغيله، وهو مستوى من الدقة يُقدّره الفريقان الأزرق والأحمر. عادة ما يتم الانتهاء من الفحص في دقائق ويقوم بإنشاء تقرير HTML يتضمن قائمة مرجعية لـ IOE الهامة وشروحات واضحة مع روابط للوثائق.
يعتبر تنسيق "بطاقة التقرير" مناسبًا: فهو يتكون من حرف ونسبة مئوية، مع أوزان مختلفة لكل فئة. تتضمن الأوصاف السبب والتأثير والملاءمة ضمن أطر الأمان وخطوات العلاج.يتم تشغيل Purple Knight في وضع القراءة، ولا يقوم بإجراء أي تغييرات على Active Directory، ولا "يتصل بالمنزل"؛ ويمكن تكراره بشكل دوري دون المخاطرة بالإنتاج.
التسجيل وإصدار المجتمع والتطوير
لتنزيل الأداة، يتطلب Semperis التسجيل ويوفر الرابط؛ كما يُعلم المستخدمين بالإصدارات الجديدة والتحسينات المستمرة. يتم تحديث إصدار المجتمع بشكل متكرر ويحافظ على صقله الرائع على الرغم من حداثته، مع التحسينات القائمة على تعليقات المجتمع.
القيود وكيفية استكمالها
يقوم Purple Knight بإجراء تقييمات لمرة واحدة؛ فهو ليس حل مراقبة مستمر ولا يقوم بأتمتة التخفيف من حدته من تلقاء نفسه. يتم توفير هذه الطبقة بواسطة Directory Services Protector (DSP) من Semperis.وهي خدمة مدفوعة الأجر تهدف إلى اكتشاف التهديدات التي تواجه الهوية والاستجابة لها في الوقت الفعلي (ITDR)، مع التنبيهات وعكس التغييرات الضارة.
Purple Knight vs PingCastle: ما هو القاسم المشترك بينهما وكيف يختلفان
على الرغم من إمكانية استخدام كلتا الأداتين لتقييم أمان Active Directory ودعم البيئات الهجينة باستخدام Entra ID/Azure AD، إلا أن تركيزهما ليس متطابقًا. تُعطي PingCastle الأولوية لـ منهجية النضج وتقرير "فحص الصحة" مع تسجيل المخاطر؛ يركز Purple Knight على IOE/IOC وعلى توفير دليل علاجي قابل للتنفيذ بدرجة كبيرة. الأول ينظر عن كثب إلى "النموذج" وحالة النظام البيئي ADفي حين أن الثانية تقدم صورة غنية جدًا لتصحيحها بسرعة.
من حيث سهولة الاستخدام، يتميز Purple Knight بواجهته واختياره الدقيق للاختبار؛ في PingCastle، تتألق خريطة النطاق وتوحيد التقارير في المؤسسات التي تحتوي على العديد من الغابات والثقة. في إعداد التقارير، يقوم Purple Knight بالتصنيف حسب الفئة باستخدام النتيجة والنسبة المئوية.ويقدم PingCastle درجة صحية إجمالية حيث يكون الرقم الأقل أفضل.
بالنسبة للتغطية، يشتمل Purple Knight على AD وEntra ID/Azure AD وOkta ويقوم بربط النتائج بـ MITRE ATT&CK وANSSI، مع إعطاء الأولوية للإصلاح. من جانبه، يقدم PingCastle تحليلاً للوفود، والكائنات القديمة، والامتيازات المحلية، وثغرات نقاط النهاية.ويمكنه تقييم أمان الثقة باستخدام Azure AD. تُعد القدرة على اكتشاف النطاقات المنسية وتوحيد النتائج ميزة إضافية عندما يصبح المحيط غير واضح.
من حيث الترخيص، يتم تقديم Purple Knight كأداة مجانية (بعد التسجيل)؛ وتوجد القدرات المستمرة والتصحيحية في Semperis DSP، وهو برنامج تجاري. يقدم PingCastle إصدارًا أساسيًا مجانيًا للاستخدام الشخصي. والإصدارات المدفوعة (Auditor/Standard، Professional، Enterprise) مع وظائف موسعة، ودعم، وقابلية للتطوير.
أيهما تختار؟ إذا كنت تبحث عن تقييم سريع وواضح مع تعليمات إصلاح مُحددة، فإن Purple Knight هو الخيار الأمثل. إذا كنت بحاجة إلى طريقة نضج مع تعيين النطاق وتوحيد المخاطر بالنسبة لمئات أو آلاف الشرائح، قد يكون PingCastle الخيار الأمثل، خاصةً مع إصداراته المدفوعة. عمليًا، تستخدم العديد من المؤسسات كلا الخيارين: يوفر هذا المزيج مصادقة متبادلة وتغطية أعمق.
التفاصيل العملية للتنفيذ والنتائج
كلتا الأداتين محمولتان ويمكن تشغيلهما باستخدام بيانات اعتماد المستخدم القياسية في معظم السياقات، وجمع البيانات في المقام الأول عن طريق القراءة. وهذا يجعل من الأسهل على الفرق ذات الموارد المحدودة اعتماد هذه الفكرة. ويتجنب الاحتكاك مع أنظمة الإنتاج، حيث أنها لا تقوم بإجراء أي تغييرات.
يقوم Purple Knight بتخزين نتائجه بتنسيق HTML مع بنية منطقية وروابط للوثائق، بالإضافة إلى قائمة تحقق تسلط الضوء على ما هو عاجل. التفصيل حسب الشدة والإشارة إلى الأطر يُوفر هذا النظام سياقًا لمديري أمن المعلومات والفرق الفنية. أما PingCastle، فيُقدم تقريرًا يتضمن النتائج، والنتائج ذات الأولوية، ورؤىً مُجمّعة، عند الحاجة، لتسهيل مؤشرات الأداء الرئيسية والمراقبة الفصلية.
التحذيرات والاعتبارات التشغيلية
مع PingCastle، في بيئات متعددة الغابات أو مع عشرات المجالات، قد تتطلب التقارير عملاً إضافيًا للتنقل وتحديد الأولويات. يفتقر الإصدار الأساسي إلى الميزات المتقدمة وأدلة التدقيق اللغوي الشاملةهذه الميزات مُضمنة في التراخيص المدفوعة. "Purple Knight"، كونه تقييمًا لمرة واحدة، لا يُغني عن نظام المراقبة المستمرة، وقدراته على التخفيف التلقائي غير متوفرة في الإصدار المجاني.
لا يهدف أي منهما إلى أن يكون نظام اكتشاف الأعطال/نظام منع الانسداد لمرض الزهايمر؛ بل إنهما مكملان تشخيصيان يغذيان خطط الإصلاح والنضج. في السيناريوهات التي تتطلب التنبيه والاستجابة في الوقت الفعليوتدخل حلول ITDR مثل Semperis DSP أو عروض التدقيق المستمر حيز التنفيذ.
أدوات أخرى تكمل النظام البيئي
عندما يكون التركيز على الاستمرارية وتسجيل كل تغيير مع السياق، يوفر Netwrix Auditor التحكم في التغيير في Active Directory والأنظمة الأخرى (Exchange، وSQL Server، وSharePoint، وMicrosoft 365، وTeams، وما إلى ذلك). تركز هذه الميزة على تنبيه المستخدمين إلى التعديلات المشبوهة. (على سبيل المثال، إذا تمت إضافة مستخدم إلى مجموعة مسؤولي المجال) والحفاظ على سجل التكوين مع وجهات نظر مفيدة للحوكمة.
لفهم مسارات الهجوم وعلاقات التحكم، يعد BloodHound أداة مفتوحة المصدر (GPL-3.0) كلاسيكية تعمل على إنشاء نماذج للأشياء والعلاقات والأذونات في AD، باستخدام مُجمِّعات مثل SharpHound وAzureHound. إنه أمر أساسي للفرق الحمراء وكذلك للفرق الزرقاء الذين يريدون تصور "الطريق الأقصر" إلى الأهداف الحاسمة وإغلاق طرق التسلق.
في مجال الاستجابة والمراقبة في الوقت الفعلي، يقدم Directory Services Protector (DSP) من Semperis مراقبة مستمرة وتنبيهات وحتى التراجع التلقائي استجابة للتغييرات الضارة، سواء في AD أو Entra ID. ويعمل بمثابة طبقة ITDR المفقودة في تقييم النقاط. ويساهم في تسريع احتواء حوادث الهوية.
توفر الوكالة الفرنسية لأمن البيانات (ANSSI) أدوات مساعدة مثل ORADAD لـ Active Directory وORADAZ لـ Azure/Entra، تُستخدم في عمليات التدقيق المتقدمة. على الرغم من أن جمع البيانات متاح للعامة، إلا أن المعالجة الكاملة تتطلب أدوات غير منشورة. تعتبر هذه مراجع قيمة للفرق التي تتبع الإرشادات الحكومية. أو ترغب في مواءمة عمليات التدقيق مع أفضل الممارسات المعترف بها.
تظهر بعض مقارنات السوق عروضاً مع الاستضافة والنشر المتنوع (خدمة Windows أو المحمولة أو المحلية أو SaaS)، والارتباط بـ MITRE ATT&CK، والتصدير إلى CSV، والقدرة على تعدد المستأجرين وخيارات قبول المخاطر بطريقة موثقة. في الممارسة العملية، يتلخص الاختيار في تحقيق التوازن بين التدقيق الفوري واكتشاف الحوادث والحوكمة المستمرةمع الأخذ في الاعتبار الميزانيات والترخيص (مجاني للاستخدام الشخصي في بعض الحالات) ودعم الشركاء.
الأسئلة الشائعة: هل يمكنني منع المستخدم من تشغيل هذه الأدوات؟
هذا سؤال شائع عند اكتشاف إمكانية تشغيل الأدوات المحمولة دون الحاجة إلى صلاحيات المسؤول. عادةً، يعمل Purple Knight وPingCastle في وضع القراءة فقط مع منح المستخدم صلاحيات الاستعلام عن المجلد. إذا كان هدفك هو تقييد التنفيذ، فينبغي عليك أن تأخذ بعين الاعتبار التحكم في التطبيق.تساعد سياسات مثل AppLocker أو Windows Defender Application Control (WDAC)، أو قواعد تقييد البرامج، على الحد من الملفات الثنائية غير المصرح بها. بالإضافة إلى ذلك، يُقلل تعزيز الأذونات في Active Directory من تعرض البيانات الحساسة للمستخدمين العاديين.
مع ذلك، يفترض نموذج أمان AD أن بعض المعلومات يمكن قراءتها من قبل المستخدمين المعتمدين لأن العديد من التطبيقات تعتمد عليها. يتضمن التخفيف الفعال تعزيز التفويضات، ومراجعة طرق التحكم، وتقليل الامتيازات.استخدام هذه الأدوات لاكتشاف ما لا ينبغي أن يكون مرئيًا أو مُفعّلًا وتصحيحه. لا ينبغي أن تعتمد الوقاية على حظر الملفات القابلة للتنفيذ فحسب، بل على إزالة سطح الهجوم في التكوين.
حالات الاستخدام الشائعة والتركيبة الذكية
إن فريق تكنولوجيا المعلومات الصغير الذي يحتاج إلى تشخيص سريع ودليل واضح لاستكشاف الأخطاء وإصلاحها سوف يقدر Purple Knight. تحديد الأولويات حسب الشدة وربطها بأطر التمكين يتيح هذا النظام للمستخدمين إعداد اختبارات الاختراق، واستعراض التقدم المحرز، وإبلاغ الإدارة بالمخاطر. وفي الوقت نفسه، تستفيد عمليات التدقيق الداخلي الدورية وشركات الاستشارات التي تخدم نطاقات متعددة من نموذج نضج PingCastle، وتخطيط النطاقات، وقدرات التوحيد.
تستخدم العديد من المنظمات كلتا الأداتين في دورات مختلفة للحصول على رؤى تكميلية: أولاً "لقطة" مع IOE/IOC، تليها مراجعة العمليات والنضج مع فحوصات الصحة الموحدة. يقلل التحقق المتبادل من النتائج السلبية الخاطئة ويحسن أولوية العلاج.تسريع سد الفجوات الحرجة ورفع مستوى نظافة الهوية في الأمد المتوسط.
لا يوجد حل سحري. الاختيار الجيد يتطلب مواءمة الاحتياجات مع القدرات: صورة سريعة مع إرشادات توجيهية أو نماذج وخرائط نضج؟ تقييم لمرة واحدة أم مراقبة مستمرة مع ITDR؟ الإجابة عادة ما تكون "نعم، و..." بدلاً من "أو" المدويةالجمع بين التقييم المجاني وحلول المراقبة المصممة خصيصًا للمخاطر والميزانية.
إذا كان الهدف هو تحسين أمان الهوية بشكل مستدام، فمن المستحسن جدولة التقييمات المنتظمة ومراجعة الوفود والثقة والحفاظ على نظافة الحساب ومجموعات الشراء الجماعية (GPOs) ملفات ADMX) و Kerberos. الاستخدام المشترك لـ Purple Knight وPingCastle، بالإضافة إلى طبقة تدقيق التغيير و/أو ITDRإنه يوفر التوازن الصحيح بين الكشف المبكر والتصحيح ذو الأولوية والمراقبة المستمرة لحالة AD و Entra ID.