ترتدي المخاطر السيبرانية مظاهر عديدة. لقد تعلم كل رئيس أمناء أمن المعلومات الخوف من برامج الفدية، ولكنه سيدرك أن التهديدات التي تتعرض لها الأنظمة والبيانات يمكن أن تظهر بنفس السهولة في شكل برامج ضارة أو محاولات تصيد أو هجمات حجب الخدمة الموزعة (DDoS). ويتنوع الجناة أيضًا، بدءًا من الذئاب المنفردة إلى المطلعين الساخطين وحتى عصابات الجريمة المنظمة.
على مدى السنوات القليلة الماضية، ظهر قلق جديد في شكل ما يسمى “نظام التجسس البيئي”.
يستمر المقال أدناه
نائب الرئيس للهندسة الأمنية واستراتيجية الذكاء الاصطناعي في شركة أرياكا.
تتمتع أنظمة التجسس بمهارة في دمج التعليمات البرمجية الضارة في الشبكات، غالبًا عن طريق موظفين غير حذرين، مما يمكنهم من الوصول إلى الأعمال الداخلية للمنظمات الشرعية.
ومن غير المرجح أن تكون أنشطتهم عبارة عن ضربة “سحق واستيلاء” سريعة، وعادةً ما تعمل على الوصول العميق وطويل الأمد إلى الشبكات المهمة، بعد البحث عن نقاط الضعف عن طريق التخفي. إنهم ماهرون في تسليح الذكاء الاصطناعي على نطاق واسع لأتمتة هجماتهم، مما يسمح لهم باستخلاص المعلومات وتحليلها بمهارة ولكن بكفاءة.
قد يكون هدفهم هو خرائط طريق المنتج، أو خطط الاندماج والاستحواذ، أو نماذج التسعير، أو تفاصيل الإستراتيجية القانونية. في بعض الأحيان تكون مهمتهم ببساطة هي التدمير والتعطيل. وتشمل أهدافها مؤسسات القطاع الخاص التي تتمتع بملكية فكرية قيمة ووصولاً إلى البنية التحتية ذات الأهمية الاستراتيجية للقطاع العام.
يريد النظام البيئي التجسسي النموذجي في نهاية المطاف التسلل إلى المركز العصبي للمنظمة، وهو حمضها النووي الاستراتيجي. ومن خلال مراقبتهم بهدوء لعملية اتخاذ القرار والاتصالات وسير العمل مع مرور الوقت، سيجمعون رؤى حول كيفية تفكير المؤسسة وعملها.
يمكن أن يكون لهذا تأثير في استنزاف الميزة التنافسية قبل وقت طويل من ملاحظة أي شخص. وبحلول الوقت الذي يتم فيه إطلاق الإنذار، يكون قد تم بالفعل أخذ المعلومات المطلوبة واستخدامها.
وبعد اكتشاف عمل هذه الأنظمة البيئية، غالبًا ما تضعف الثقة في الأنظمة والبيانات بشكل قاتل. وتضطر الإدارة العليا إلى التساؤل ليس فقط عما تمت سرقته، بل أيضًا عما قد تم العبث به.
سوف يستمر عدم اليقين بشأن المعلومات مثل بيانات اعتماد المستخدم أو التكوينات أو أذونات الهوية أو بيانات دعم القرار.
وفي حين أن هذه الهجمات يمكن أن تكون خفية وبطيئة، إلا أن تأثيرها يمكن أن يكون كارثيا على المدى الطويل، حيث يتم قياسه من حيث المخاطر التنظيمية، وفقدان مكانة السوق، والإضرار بالسمعة. عندما تتأثر الهيئات الحكومية، يمكن أن تكون التكلفة مسألة تتعلق بالأمن القومي.
مشكلة التعقيد
التعقيد هو أفضل صديق لنظام التجسس البيئي. تعتمد الشركات اليوم على مجموعات SaaS المترامية الأطراف، وجيش من أدوات الذكاء الاصطناعي وفوضى من المنصات السحابية. يمكن للجهات الفاعلة السيئة استغلال هذه الغابة الكثيفة للتسلل أفقيًا عبر أنظمة الهوية والبريد الإلكتروني وأدوات التعاون وواجهات برمجة التطبيقات، وغالبًا ما تستفيد من مسارات الوصول المشروعة.
الدفاعات التقليدية غير فعالة لأن ما يتم مهاجمته وتقليده غالبًا ما يكون سلوك الأشخاص وليس بنية الأنظمة.
الأدوات المتاحة للأشرار حديثة وقوية، ومناسبة تمامًا لمهمة التنقل سرًا عبر متاهة تكنولوجيا المعلومات الخاصة بالشركة. تستفيد أنظمة التجسس من عدد من الأسلحة الإلكترونية المتقدمة، مثل أحصنة طروادة للوصول عن بعد (RATs).
يعد RAT أحد أشكال البرامج الضارة التي تتيح التحكم في جهاز كمبيوتر مصاب، مما يسمح للمتسلل بالاستفادة من بيانات اعتماد المستخدم حتى يتمكن من تثبيت البرامج أو إزالتها وسرقة الملفات. إن RAT النموذجي هو شكل من أشكال التعليمات البرمجية الضارة التي تعيش بالكامل في الذاكرة وليس في النظام الرئيسي، مما يجعل من الصعب اكتشافها.
يبدو كل شيء مشروعًا تمامًا للمستخدم الذي يقوم بعد ذلك بتنشيط الحمولة ونشر العدوى إلى المرحلة التالية. يتمتع كود RAT بالقدرة على إدخال نفسه في العمليات على مستوى النظام، حيث يبدأ ببطء ومنخفض في الشبكة، ولا يتم اكتشافه.
وينتهي الأمر بالقدرة على استخراج المعلومات من عدة مستخدمين، والبقاء في النظام لفترة طويلة دون علم أحد.
إذًا كيف يمكنك معرفة ما إذا كان نظام التجسس البيئي نشطًا في شبكتك، نظرًا لأن الهدف يعمل بمستوى من التعقيد حيث من غير المرجح أن يتم اكتشافه بسرعة؟ تحتاج المنظمات إلى حل يكتشف الانحرافات في السلوك ويكشف عنها. لماذا يصل هذا الشخص إلى هذا النظام بالذات؟
يتضمن الوضع الأمني الصحيح التغذية المستمرة للمعلومات لمنتجاتك الأمنية. ويجب تجميع المعلومات الاستخبارية بين المنظمات وعبر المناطق الجغرافية. أنت بحاجة إلى المشاركة بين جميع مجموعات الأدوات الخاصة بك، بشكل مستمر.
قد تختبر الهجمات جوانب مختلفة من دفاعاتك، لذلك تحتاج إلى معايير أمان متعددة للتحايل على ذلك. تحتاج إلى التحكم في تدفق المعلومات بقدر ما تستطيع. وستحتاج إلى معلومات استخباراتية من مصادر خارجية أيضًا. سيتيح لك ذلك إيجاد طريقة لكسر السلسلة وتعطيل الحملة.
يجب أن يحدد CISO حدود ترخيص البيانات، وأن يفهم حقًا كيفية تدفق البيانات داخل النظام. وبهذه الطريقة يمكنهم التأكد من بقاء البيانات المهمة ضمن حدود معينة. يجب أن يأخذوا العمليات الأمنية الحالية ويجعلوها مستمرة.
ومع ظهور الذكاء الاصطناعي، يمكنهم تعزيز تلك العمليات. لكنهم بحاجة أيضًا إلى توخي الحذر من المخاطر التي يشكلها الذكاء الاصطناعي في الظل.
من هو الهدف؟
لا يوجد نوع واحد من الأهداف تفضله هذه النظم البيئية. كل ما يهم هو أن الضحية لديه ما يستحق السرقة أو الإتلاف. قد يكون الهدف هو ضرب هيئات القطاع العام لتوجيه ضربة إلى دولة “معادية”.
أو يمكن أن يكون الأمر يتعلق بالتجسس الصناعي مع وضع نقطة نهاية تجارية في الاعتبار. ويبدو أن التهديدات التي يتعرض لها كلا النوعين من الأهداف آخذة في الازدياد.
يقدم هجوم عام 2020 على شركة برمجيات إدارة تكنولوجيا المعلومات SolarWinds، ومقرها تكساس، مثالًا حديثًا بارزًا على هدف تجاري. كان هذا الاختراق السيبراني، الذي حرض عليه جهاز المخابرات الخارجية الروسي (SVR)، أحد أخطر حالات التجسس في النظام البيئي في الآونة الأخيرة.
بدأ الأمر عندما تمكن أحد المتسللين من تحميل تعديل ضار على مجموعة منتجات SolarWinds Orion مما أدى إلى إرسال أوامر على مستوى المسؤول إلى عدد من المواقع الخارجية في سلسلة التوريد.
أظهر الهجوم، الذي تصدر عناوين الأخبار العالمية لعدة أسابيع، لكل رئيس أمناء أمن المعلومات كيف يمكن لموطئ قدم صغير على أطراف الشبكة أن يؤدي إلى اختراق التطبيقات الأكثر أهمية في مؤسسة ذات أهمية كبيرة، والتأثير على عملائها على نطاق واسع.
قام المركز الوطني للأمن السيبراني (NCSC) في الولايات المتحدة بالتحقيق في الحادث وتأثيره، وسرعان ما أدرك أن عددًا كبيرًا من المنظمات الأخرى قد تأثرت. في النهاية، تشير التقديرات إلى أن الاختراق قد أضر بحوالي 18000 من عملاء SolarWinds.
ولإثبات أن هيئات القطاع العام يمكن أن تكون معرضة للخطر على الأقل، فقد وقعت الحكومة الهندية مؤخرًا ضحية لنظام تجسس بيئي يسمى “القبيلة الشفافة” (APT36). كان الهدف من هذا الهجوم هو جمع معلومات استخباراتية طويلة المدى من خلال الوصول الخفي والمرن.
كان الهجوم في الواقع مكونًا من عدة حملات نشطة استهدفت مؤسسات الدفاع الهندية والمنظمات المتحالفة مع الحكومة عبر بيئتي Windows وLinux. استهدفت إحدى الحملات أنظمة Windows باستخدام رسائل البريد الإلكتروني التصيدية مع حصان طروادة للوصول عن بعد، وبالتالي تمكنت من تجنب الكشف التقليدي المعتمد على الملفات.
قام المهاجمون بتطبيق آليات بدء التشغيل متعددة الطبقات التي ضمنت استمرار الوصول حتى عند حدوث انقطاع في سلسلة العدوى. وكانت النتيجة موطئ قدم خفيف الوزن ولكنه متين، ومناسب تمامًا للاستطلاع الموسع وجمع المعلومات الاستخبارية.
ختاماً
أنظمة التجسس موجودة لتبقى، فهي نشطة في جميع أنحاء العالم وتكتيكاتها تتطور وتصبح أكثر ذكاءً. يتميز أحدث جيل من الأنظمة البيئية بابتكارات مثل الحمولات عبر الأنظمة الأساسية، والتنفيذ المقيم في الذاكرة، وقنوات القيادة والتحكم السرية.
وهذا يدل على أن النظام البيئي اليوم مصمم أكثر من أي وقت مضى مع أخذ الصبر بدلاً من السرعة في الاعتبار، مما يجبر المدافعين على التكيف باستمرار. عندما يقرأ مديرو أمن المعلومات عن إحدى هذه الهجمات، يجب أن يدركوا أنها قد تكون أكثر من مجرد حادثة معزولة.
ويمكن أن يشكل جزءًا من نمط من الجهود المنسقة ضمن نظام بيئي ناضج للتهديد. ويتطلب اكتشاف هذا المستوى من التهديد وتعطيله الرؤية عبر المنصات، والانتباه إلى الانحرافات السلوكية الصغيرة، وإدراك أن المثابرة هي السلاح المختار للمهاجم. عندها فقط يمكن لفرق الأمن البدء في اتخاذ إجراءات فعالة.
لقد عرضنا أفضل برامج حماية نقطة النهاية.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات