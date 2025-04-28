صُممت m-RAY كإطار عمل سهل التوسيع يبحث عن الثغرات في تكوينات الخدمات المختلفة ويبسط عملية تشغيل النصوص البرمجية في بيئة z/OS. ونظرًا إلى الطبيعة المخصصة لأجهزة الكمبيوتر المركزية، يمكن للمختبرين تكوين المزايا التي يرغبون في استخدامها لتناسب البيئة التي يعملون فيها بأفضل شكل.

جُمعت قائمة أخطاء التكوينات التي يجب التحقق منها من دليل التنفيذ التقني لأمان RACF (STIG) على z/OS . يتضمن دليل STIG متطلبات تكوين تستخدمها وزارة الدفاع لحماية أنظمتها، وهي مبنية على توصيات من المعهد الوطني للمعايير والتكنولوجيا (NIST). وسواء كانت الشركة ملزمة بالامتثال لهذه المتطلبات أم لا، يُعد دليل STIG مصدرًا لأفضل الممارسات في المجال لمختلف منتجات البرمجيات ويشكل أساس هذه الأداة الأمنية. حدد الفريق أهم 25 خطأ في التكوينات من شأنها أن توفر أكبر قيمة للمختبرين، والتي سيكون من المهم جدًا أن يكون العملاء على دراية بها، ثم نفذوا هذه الأخطاء للتحقق من الثغرات.

على سبيل المثال، تتحقق m-RAY مما إذا كان مستوى أذونات المستخدم متوافقة في بيئات Unix وTSO، وما إذا كان قد جرى تكوين SSH لاستخدام خوارزميات تشفير آمنة، وما إذا كانت الحسابات غير النشطة تُعطل تلقائيًا. في الوقت الحالي، توفر m-RAY معلومات حول أخطاء تكوينات الكمبيوتر المركزي في بيئة Unix System Services وفي RACF، وهو برنامج أمني يتعامل مع التحكم في وصول المستخدمين على z/OS. بعضها يقدم إجابة حاسمة حول ما إذا كان هناك خطأ في التكوين على النظام، بينما يقدم بعضها الآخر معلومات عن النظام مثل قائمة بحسابات المستخدمين التي يمكنها الوصول إلى مورد معين. ويمكن لمختبر الاختراق بعد ذلك العمل مع العميل لتحديد ما إذا كان الوصول مقيدًا بشكل صحيح أم لا.

وبالإضافة إلى فحص تكوينات النظام، يوجد هدف آخر لتقنية m-RAY يتمثل في دمج مزايا أدوات الكمبيوتر المركزي المتوفرة. غالبًا ما تُكتب أدوات التعداد هذه بلغة REXX، وهي لغة برمجة نصية خاصة بالكمبيوتر المركزي. ولاستخدام أحد هذه النصوص البرمجية في أثناء اختبار الاختراق، يجب على المختبر العثور على الأداة مفتوحة المصدر، وتحميلها على جهاز الكمبيوتر، ثم رفعها إلى الكمبيوتر المركزي وتشغيلها، ثم تفسير النتائج. ولتبسيط هذا الإجراء، تتضمن m-RAY أشهر نصين برمجيين مفتوحي المصدر بلغة REXX وتؤتمت عملية رفع النص البرمجي وتشغيله، بالإضافة إلى تنظيف البيئة بعد ذلك. يمكن للمختبرين أيضًا إضافة نصوصهم البرمجية المخصصة بلغة REXX إلى الأداة.

وبشكل عام، باستخدام m-RAY، يمكن لمختبري الاختراق أتمتة العديد من فحوصات الثغرات الأمنية التي كانوا يحتاجون إلى تنفيذها يدويًا، ويمكنهم تقليل الوقت المستغرق في الحصول على نظرة عامة أولية على النظام.