تقرير .. 30 % من الهجمات الإلكترونية تمت عن طريق تحويل وسائل شرعية

هبة بريس

أعلنت شركة “كاسبرسكي” عن نتائج التقرير العالمي الخاص بالاستجابة لحوادث أمن المعلومات الخاص بالسنة الماضية.

وكشفت الشركة المتخصصة في مجال الأمن الإلكتروني على مستوى العالم، في تقريرها الحديث عن كون حوالي ثلث الهجمات الإلكترونية (30 في المائة) التي تم التحقيق فيها من قبل فريق الاستجابة للحوادث العالمية التابع لـ”كاسبرسكي” تضمن برامج إدارية وتنظيمية معتمدة.

ويظل هذا الرقم أقل بصورة طفيفة في أوروبا. وتقدم هذه الطريقة في العمل للمهاجمين الإلكترونيين الأفضلية على البقاء بشكل غير مرئي لأطول وقت على شبكة الشركات المتضررة.

وتعمل برامج المراقبة والإدارة في تقديم يد المساعدة لمسؤولي الشبكة في إنجاز مهامهم على أساس يومي، على غرار الإصلاح والدعم الفني الخاص بالموظفين، حيث يعمل بعض بعض قراصنة المعلومات السيئين على استغلال البرامج المستخدمة بشكل مشروع، واستعمالها عند مهاجمة البنية الأساسية للشركة.

وبالاعتماد على هذه الأدوات الشرعية، يستطيع مجرمو الإنترنت التحايل على عناصر التحكم بالأمن للكشف عن البرامج الضارة، وبالتالي إطلاق تنفيذ البرامج على الأجهزة الطرفية المختلفة، والوصول إلى المعلومات الحساسة الخاصة بالشركة.

وأوضح تحليل “كاسبرسكي” الخاص بالاستجابة لحوادث أمن المعلومات أن المهاجمين استخدموا 18 حل معتمد ومصادق عليه عالميًا سنة 2019 لأغراض مغرضة وخبيثة. ونجد في الصدارة:

· باور شيل بنسبة 25 في المائة من الهجمات، ويُعد وسيلة إدارية فعالة يمكن استخدامها لأغراض كثيرة على غرار (جمع المعلومات، تشغيل البرامج الخبيثة وغيرها…).
· برنامج ” PsExec” بنسبة 22 في المائة من الحالات، حيث يهدف تطبيق وحدة التحكم إلى إطلاق العمليات على الأجهزة الطرفية والتحكم فيها عن بُعد.
• برنامج ” مسح الشبكة وكشف الأجهزة المتصلة بها ” بنسبة 14 في المائة من الهجمات، ويعتبر أداة لاسترداد المعلومات حول بيئات الشبكة.

ويمكن أن نجد نفس ترتيب الحلول المعتمدة بالنسبة لأوروبا، لكن الإحصائيات والأرقام تظل مختلفة، حيث أنه تم تسجيل 50 في المائة من الهجمات في “باور شيل” و”PsExec” وهي البرامج الأكثر استعمالا، ونجد بعدهما برنامج “مسح الشبكة وكشف الأجهزة المتصلة بها” بنسبة 37.5 من الهجمات المسجلة.

وتواجد الشركات صعوبة كبيرة في اكتشاف الهجمات التي يتم تنفيذها باستخدام وسائل مشروعة، ذلك أن الإجراءات التي يتم تنفيذها قد تكون جزء من النشاط العادي للجهاز.

هذه الصعوبة التي تواجهها الشركات، تسمح للمهاجمين بالبقاء في أماكنهم لفترة أطول، وبالتالي جمع بيانات المستخدمين لمدة طويلة، أو التجسس على نشاط الشركة ومعرفة تفاصيلها، ومن بين الهجمات طويلة الأمد، نجد أن متوسط مدة الهجمات هو 122 يوما.

في المقابل، يلاحظ خبراء “كاسبرسكي” أنه سرعان ما يتم اكتشاف الإجراءات الخبيثة في بعض المواقف التي يتم تنفيذها عبر البرامج الشرعية، ذلك هذه البرامج يتم استخدامها بشكل كبير في هجمات برامج الفدية، حيث يكون الضرر واضح جليا. وبالنسبة للهجمات القصيرة الأجل، فإن متوسط المدة هو يوم واحد فقط.

وفي الأخير، هناك نوع ثالث من الهجمات، تختلف مدته المتوسطية، ويمكن أن يدوم لفترة 10 أيام، ويتلخص التهديد التقليدي وراء هذه الهجمات متوسطة المدة في السرقة المالية.

وفي تعليقه على الموضوع، قال باسكال نودان، رئيس “B2B” داخل شركة “كاسبرسكي” شمال وغرب ووسط إفريقيا :”يعمد المهاجمون الإلكترونيون إلى استخدام البرامج التي يتم تطويرها عادة للاستعمال اليومي من من أجل تفادي اكتشافهم والبقاء بشكل غير مرئي لأطول فترة ممكنة على شبكة الشركة المستهدفة، ومن بين هذه البرامج التي يختبئون فيها، نجد معالج مهام إدارة الشبكة وتشخيصات النظام. وبفضل استخدام هذه الوسائل، يستطيع المهاجمون جمع المعلومات على شبكة الشركة، وتنفيذ إجراءات متوازية مع تلك التي يقوم بها المسؤولون، مثل تعديل إعدادات البرامج والأجهزة، أو وضع أنشطة خبيثة مثل تشفير بيانات العميل على سبيل المثال”.

وأضاف المتحدث ذاته :” ويمكن أن يساعد استخدام البرامج المصادق عليها والشرعية المتسللين على البقاء غير معروفين لمحللي الأمان، حيث لا يتم اكتشاف الهجوم في أكثر الأحيان إلا في حالة حدوث الضرر. وإذا لم يكن من الممكن للشركة استبعاد أدوات المراقبة والإدارة – لأنها تسمح بوظيفتها على النحو الصحيح – فإن وضع أنظمة المصادقة والكشف يتيح إمكانية تحديد أنشطة الشبكة المشتبه فيها والهجمات المعقدة في مراحل مبكرة”.

ومن أجل اكتشاف مثل هذه الهجمات والاستجابة معها بسرعة، يجب على المؤسسات التفكير في اعتماد حل ” EDR ” الذي يساعد المؤسسات في اكتشاف حوادث أمن تكنولوجيا المعلومات والتحقيق فيها، الاستجابة لها، بالإضافة إلى خدمة إدارة عمليات اكتشاف التهديدات والاستجابة لها “MDR”.

وبالإضافة إلى ما سبق، يمكن لعملية مراجعة تقييمات شركة Mitre ATT&CK ® – التي تقيّم الحلول المختلفة، بما في ذلك حل ” EDR ” و خدمة إدارة عمليات اكتشاف التهديدات والاستجابة لها “MDR”، أن يساعد المؤسسات في اختيار حل EDR الذي يلبي احتياجاتهم الخاصة المحددة على أفضل وجه.

وأثبت نتائج تقييم ATT&CK أهمية الحل الكامل الذي يجمع بين منتج أمن مرقمن بالكامل، وخدمة مطاردة التهديدات اليدوية.

و من أجل خفض مخاطر استخدام برامج الإدارة في عملية الدخول إلى البنية التحتية الخاصة بالمنشأة، توصي “كاسبرسكي” بما يلي:

• حصر الوصول إلى أدوات الإدارة من عناوين IP الخارجية، وتأكد من إمكانية الوصول إلى واجهات جهاز التحكم عن بُعد من عدد محدود من الأجهزة الطرفية فقط.

• وضع سياسة صارمة في ما يخص كلمات المرور الخاصة بجميع أنظمة تكنولوجيا المعلومات، وتطبيق نظام مصادقة متعدد العوامل،
فتح الامتيازات الإدارية للموظفين فقط الذين يحتاجون إليها من أجل تنفيذ مهامهم.