للعام الثالث عشر على التوالي، أصدرت (Verizon) تقرير تحقيقات خرق البيانات، وهو مصدر شامل للمعلومات المتعلقة بخرق البيانات والذي يقدم تحليلات لا تقدر بثمن لكبار مديري أمن المعلومات وكبار مسؤولي المعلومات. يتكون تقرير هذا العام من البيانات الواردة من 81 مؤسسة، بما في ذلك شركات الأمن السيبراني ووكالات إنفاذ القانون واللجان الاستشارية لنظم المعلومات، ومراكز الدراسات والبحوث للاتصالات، وشركات استشارية، ووكالات حكومية. وهو يشمل 157525 حادثة تم الإبلاغ عنها و108069 عملية خرق. في 119 صفحة، هناك الكثير لاستيعابه. و هنا، سنقوم بتفصيل أهم النتائج وتقديم توصياتنا الرئيسية لمساعدتك في الإعلام عن العمليات الأمنية الخاصة بك.
من وراء معظم الهجمات السيبرانية؟
في حين أن الهجمات الداخلية موجودة بالفعل (في الواقع بنسبة 30 ٪ من الهجمات) وقد تكون في ازدياد، فإن أكبر عدد من التهديدات التي تتعرض لها مؤسستك تأتي من منفذي تهديدات خارجيين. وتظهر بيانات العام الماضي أن 70٪ من عمليات الخرق كانت من قبل كيانات خارجية. وأن 1٪ فقط من قبل جهات متعددة، ومرة أخرى تم العثور على 1٪ فقط من قبل الشركاء. ويذكر التقرير ما يلي:
ومع ذلك، فإننا نحذر القارئ من عدم ارتكاب خطأ الاعتقاد بأن عدد التهديدات من أصل معين يعادل حجم المخاطر التي تشكلها تلك المخاطر – التهديدات: فهجوم واحد من الداخل يمكن أن يسبب عشرة أضعاف الضرر الناجم عن هجوم خارجي، اعتماداً على طبيعة الحادث. ومع ذلك، في حين أن فرق الأمن تحتاج إلى مواصلة التركيز على الهجمات من أي مصدر، فإن البيانات تجعل من الواضح تماماً أن عوامل الخطر – منفذي التهديدات الخارجيين لا يحاولون فقط اختراقك، ولكن يهدفون لضرب دفاعاتك.
ولكن من هم هؤلاء “الكيانات الخارجية”، غير الأشخاص الذين توظفهم؟ تم تصنيف حوالي 55٪ من الهجمات على أنها “جريمة منظمة”، والتي يقصد بها الباحثون الإشارة إلى “المجرمين الذين يقومون بعملية منظمة، وليس المافيا”. ولعل الطريقة الأفضل لفهم ذلك هي: هجوم من المجرمين مع هدف واضح ومنهجية يمكن ملاحظتها. سننتقل إلى “الأهداف” في القسم التالي، ولكن في الوقت الحالي، دعونا نلاحظ أن استخدام كلمة “إجرامي” هنا يستثني كيانات في الدول، واستخدام كلمة “عملية” يُستبعد بها الهجمات الانتهازية ونشطاء القرصنة الحاسوبية والهجمات حيث لا يمكن تمييز الدافع فيها.
ما الذي يريده منفذي التهديدات؟
إذا خمنت أن الإجابة على سؤال الـ 64 مليون دولار يشير إلى “المال”، فستكون على حق. على الأقل في الغالبية العظمى من الحالات. وجاء في التقرير أن نحو 86% من عمليات الخرق كان لها دوافع للحصول على المال. وهذا لا ينبغي أن يفاجئ أي شخص في مجال الأمان، ولكن بالنسبة للآخرين في مؤسستك، الذين يستمرون في السماع عن المتسللين البارزين للدول والتهديدات المستمرة المتطورة، قد يكون الأمر مفاجأة.
التركيز على المكافأة المالية أيضاً منطقي لنقطة بيانات أخرى مثيرة للاهتمام: ينخرط المهاجمون في الغالب في هجمات لا تتضمن أكثر من خطوتين أو ثلاث خطوات. أي شيء أكثر تعقيداً من ذلك إما يتم التخلي عنه أو من المحتمل أن ينشأ من مهاجمين أكثر إصراراً. تفسير ذلك هو أنك إذا كنت مجرم سيبراني وهدفك هو المكافأة المالية، فإنك تميل إلى أتمتة الهجمات قدر الإمكان؛ يُفضل دائماً قطف الثمار المتدلية على استثمار الزمن والجهد في هدف صلب. يعد العمل بالسرعة والحجم واستخدام أدوات الاستهداف والاستغلال الآلية عملية حساب بسيطة لعائد على الاستثمار. الدرس المستفاد للمدافعين واضح ومباشر: إذا حميت قواعدك وجعلت الأشرار يعملون بجد، فإن الغالبية العظمى منهم ستذهب إلى مكان آخر.
ولكن في حين أن المال قد يكون في النهاية هو ما يريده المهاجمون بشدة، إلا أنهم غالباً ما يجنون أكثر من ذلك. على وجه الخصوص، أدت 58٪ من الهجمات إلى اختراق معلومات التعريف الشخصية، و37٪ من الهجمات إما استخدمت أو سرقت بيانات اعتماد المستخدم. في الواقع، كما سنرى أدناه، تعد بيانات اعتماد المستخدم سلعة رئيسية لمنفذي التهديدات. لاحظ أيضاً أنه قد يتم اختراق مؤسستك كبوابة لهدف آخر أكثر قيمة. ربما يكون لديك خادم محمي بشكل ضعيف حيث لا يهتم المهاجم باستغلاله إلا كجزء من شبكة حواسيب مصابة في هجوم موزع لحجب الخدمة ضد شخص آخر. من ناحية أخرى، ربما كنت جزءاً من فريق سلسلة التوريد لضحية أكثر نفعاً، أو أنه تم اختراقك كموفر الخدمات المُدارة (MSP) أي أن القيمة الحقيقية بالنسبة منفذ التهديد تمكن في عملائك بدلاً من مؤسستك نفسها.
كيف يخترق المتسللين دفاعاتك؟
البيانات الموجودة في هذا الملف هائلة: بيانات الاعتماد المسروقة أو التي تم تصيدها أو التي تم فرضها بالقوة العمياء هي الوسائل الأساسية للمهاجمين في شبكتك، وبمجرد دخولهم إلى الشبكة، يعد الحصول على بيانات اعتماد أخرى للاستمرار أو للبيع أحد أهدافهم الأساسية. أكثر من 80% من عمليات الخرق التي تتضمن القرصنة اشتملت على شكل من أشكال القوة العمياء أو استخدام بيانات اعتماد المستخدم المفقودة أو المسروقة. وهذا أمر لا يفاجئنا. حشو بيانات الاعتماد، والتي تنطوي على إعادة تشغيل قائمة (غالباً ما تسربت في عمليات خرق أخرى) بمجموعات من اسم المستخدم/كلمة المرور ضد حسابات متعددة، ويقال أن ذلك يحدث عشرات الملايين من المرات في اليوم.
يرتبط هذا ارتباطاً وثيقاً بحقيقة أن العديد من المؤسسات قد حولت قدراً كبيراً من خدماتها وبياناتها إلى السحابة، حيث يكون من الصعب زرع البرامج الضارة. بدلاً من ذلك، يختار المهاجمون حلاً أبسط وقابلاً للتطوير: فهم يقومون بقصف الخدمة بطلبات تسجيل الدخول باستخدام بيانات الاعتماد التي سرقوها أو تم الحصول عليها من مجموعة النسخ للبيانات. ونظراً لأن هجمات برامج الفدية الضارة الأكثر عدوانية تقوم الآن بنقل غير مصرح للبيانات قبل تشفيرها، فمن المحتمل جداً أن يتم بيع هذه البيانات أو حتى إعادة استخدامها من قبل نفس المهاجمين “لحفر” طريقهم إلى حساب المؤسسة نفسه في زمن لاحق. وكما يقول كاتبو التقرير:
وبالنظر إلى التركيز الشديد على سرقة بيانات الاعتماد من أجل التوصل إلى الاختراق والاستمرار على حد سواء، يتحتم على المؤسسات أن تزيد من تركيزها على تأمين ذلك.
لا تزال الهندسة الاجتماعية هي الطريقة الرئيسية لسرقة بيانات الاعتماد الجديدة، والحصول على موطئ قدم و/أو للاحتيال على الشركات للحصول على المال. تمت صياغة نحو 96% من هجمات التصيد الاحتيالي من خلال رسائل البريد الإلكتروني الضارة أو بريد عشوائي ضار. كان نوع الملف الخادع المختار للكيانات هنا هو مستندات Office وتطبيقات “ويندوز” (Windows). وشملت أنواع الملفات الأخرى التي تم مشاهدتها واستخدامها بدرجة أقل البرامج النصية shell scripts والمحفوظات و (Java) و (Flash) و(PDFs) و(DLLs) و (Linux) و (Android) و (تطبيقات macOS).
ما هي الأصول التي يستغلها المهاجمون أكثر من غيرها؟
في حين أن الهجمات على الأصول الداخلية لا تزال تهيمن على مشهد التهديدات بحوالي 70% من عمليات الخرق، فقد تورطت أصول السحابة في حوالي 24% من عمليات الخرق في العام الماضي. من بين هذه الخوادم، تم استخدام خوادم رسائل البريد الإلكتروني أو تطبيقات الويب بنسبة 73٪، وفي تلك الحالات، تمت سرقة بيانات الاعتماد بنسبة 77٪. من الواضح أن المهاجمين يدركون أن المؤسسات تخزن الآن معلومات حساسة في البنية الأساسية والتطبيقات السحابية، وتقوم بتحويل جهودها بما يتماشى مع هذا الاتجاه من أجل الحصول على هذه المعلومات واستثمارها.
يتم استهداف خوادم تطبيقات الويب أكثر من أي أصل آخر (بما في ذلك الهندسة الاجتماعية للأشخاص). عادةً ما يتضمن ذلك إما استخدام بيانات اعتماد مسروقة (كما ذكرنا سابقاً) أو اختراق نقاط ضعف غير مصححة.
يجب أن تنتبه فرق الأمان إلى نقطة البيانات هذه: يتم تصحيح حوالي نصف إجمالي نقاط الضعف المبلغ عنها فقط في الربع الأول بعد الاكتشاف. وهذا يمثل نقطتي ضعف. أولاً، غالباً ما يتحرك المهاجمون بسرعة للتغلب على دورة التصحيح، باستخدام خدمات مثل (Shodan) لفحص الشبكة بأكملها بحثاً عن الأجهزة الضعيفة. ثانياً، وربما يتم التغاضي عنه بشكل أكبر، هو أن فرق تكنولوجيا المعلومات التي لم تقم بعملية التصحيح في الربع الأول بعد الاكتشاف وذلك أقل احتمالاً في التصحيح على الإطلاق. تشمل نقاط الضعف التي تحظى باهتمام خاص من المهاجمين تلك التي تؤثر على (SQL) و (PHP) و إدخال الملفات المحلية، لا سيما ضد أهداف في مجال البيع بالتجزئة.
هل تساهم الممارسات الأمنية السيئة في سقوطك؟
يقال إن الخطأ أمر بشري، لكن المؤسسات مكونة من مجموعة أشخاص يسترشدون بالعمليات، والخطأ البشري هو شيء يمكن حدوثه للشركات، إن لم يكن الأفراد داخلها، يمكنهم التحكم فيه من خلال تنفيذ أفضل للعملية والإشراف عليها. وعلى وجه الخصوص، فإن الخطأ البشري الذي يؤدي إلى التخزين بشكل خاطئ يتزايد في عمليات الخرق المبلغ عنها. ووفقاً للبيانات، كانت الأخطاء سبباً مهماً في حدوث 22٪ من عمليات الخرق المؤكدة. لوضع ذلك في السياق، هذه هي نفس النسبة المئوية المنسوبة إلى الهندسة الاجتماعية كتكتيك عبر مجموعة البيانات نفسها.
في حين أن الخبر السار هو أن بعض عمليات الخرق بسبب التخزين الخاطئ تم الإبلاغ عنها من قبل الباحثين الأمنيين بدلاً من اكتشافها من قبل منفذي التهديد، فإن الأخبار السيئة هي أن مثل هذه التقارير تميل إلى احتلال العناوين الرئيسية وإلحاق الضرر بسمعة المؤسسات، على الرغم من صعوبة قياس ذلك، إلا أنه يمكن أن يكون ذلك مكلفاً مثل سرقة البيانات من قبل منفذ ضار.
ما هي أنواع البرامج الضارة التي يفضلها المهاجمون؟
حوالي 17% من عمليات الخرق المؤكدة تنطوي على شكل من أشكال البرامج الضارة. ومن بين هؤلاء، كان 27% بسبب برامج الفدية الضارة تحديداً، وهو أمر لا ينبغي أن يكون مفاجئاً نظراً لحجم الحوادث البارزة التي تم الإبلاغ عنها في وسائل الإعلام خلال العام السابق.
وكما لاحظت “سنتينل وان” (SentinelLabs) منذ بعض الزمن، تطورت تكتيكات برامج الفدية الضارة في الأشهر الأخيرة لتشمل عنصر الابتزاز: من خلال نقل البيانات غير المصرح به قبل التشفير، تصبح عصابات برامج الفدية الضارة قادرة على التهديد بتسريب بيانات العملاء الحساسة أو بروتوكول الإنترنت (IP) إذا لم تدفع الضحايا لها. بدأ هذا الاتجاه بشكل جدي بعد نقطة الانقطاع لجمع بيانات Verizon، لذلك سنرى هذا الاتجاه أكثر وضوحاَ في تقرير العام المقبل. ومع ذلك، حتى قبل أكتوبر 2019 (آخر تاريخ للإدخال في تقرير عام 2020)، من الواضح أن برامج الفدية الضارة في ازدياد خلال الجزء الأول من العام. ولوحظ أن برامج الفدية الضارة هي:
ومن بين القطاعات المختلفة التي يغطيها التقرير، كان قطاعا التعليم والقطاع العام المستهدفين بشدة من قبل مشغلي برامج الفدية الضارة طوال العام.
كان النوع الأكثر شيوعاً من البرامج الضارة، بما يتماشى مع البيانات التي تظهر أن سرقة بيانات الاعتماد يمثل الأولوية القصوى لمنفذي التهديد، هو برامج نسخ كلمات المرور. بعد ذلك، جاءت برامج التحميل (مثل Emotet وTrickBot، على سبيل المثال) في المرتبة التالية، جنباً إلى جنب مع فيروسات حصان طروادة، والتي تعد إلى حد كبير أداة مرتبطة بالمهاجمين المتقدمين الذين يبحثون عن الاستمرار على المدى الطويل من خلال تقنيات الباب الخلفي ووظائف C2. ومن المثير للاهتمام، كان هناك انخفاض حاد في البرامج الضارة cryptojacking بعد زيادة شعبيته خلال عام 2017، وعلى وجه الخصوص في عام 2018.
توصيات سنتينل وان
في 119 صفحة، يوجد في التقرير تفاصيل أكثر بكثير مما يمكن أن نغطيه هنا، ولكننا نأمل أن نكون قد رسمنا صورة واضحة للنتائج الرئيسية للتقرير. في هذا القسم، نعرض بعض التوصيات بناء على فهمنا للتقرير بأكمله والقياس عن بعد الخاص بسنتينل وان.
وخلافاً للتهديدات المستمرة المتطورة، فإن غالبية المهاجمين لا يستخدمون الهجمات المعقدة للغاية ذات المراحل المتعددة. هذا يعني أن الكشف عن الهجوم في أي – بدلاً من كل – مرحلة من دورة حياة الخطر (المعروفة أيضاً باسم “مراحل الهجمات”) سيزيد بشكل كبير من فرصك لتجنب عمليات الخرق. علاوة على ذلك، كلما تمكنت من القيام بذلك مبكراً، كانت لديك فرصة أفضل لإجبار المهاجم على الخروج خالي الوفاض وعازماً على تجربة حظه في مكان آخر. وكما أثبتت نتائج تقييم MITRE ATT&CK الأخيرة، يتفوق سنتينل وان في وقف الهجمات في جميع المراحل، ولكن على وجه التحديد في منع الهجمات قبل أن تتخذ موطئ القدم. وبالتالي، توصيتنا الأولى والواضحة: تأكد من أن لديك منصة الذكاء الاصطناعي من الجيل التالي موثوق بها ومثبتة وتحمي النهاية الطرفية الخاصة بك.
وكما رأينا أعلاه، يستخدم المهاجمون هجمات آلية لجعل حياتهم سهلة. اجعل الأمر أكثر صعوبة بالنسبة لهم من خلال التأكد من عدم ترك المنافذ غير الضرورية مفتوحة وتقليل عدد المنافذ المكشوفة. السماح للخدمات الأساسية فقط للوصول إلى الإنترنت، والحد من الأشخاص المتمتعين بحق الوصول إليها. يعد (SSH) و (Telnet) على المنفذين الافتراضيين 22 و23 على التوالي هدفاً رئيسياً لمحاولات الاتصال الضارة. من في مؤسستك يحتاجهم حقا؟ حدد احتياجاتك وقم بتقييد أي شخص آخر.
إن بيانات الاعتماد هي الحلم الذي يسعى المهاجمون إلى تحقيقه. تأكد من أن أنظمة “ويندوز” (Windows) قد ابتعدت عن LM وNTLMv1 القديمة وتنفيذ توصياتنا هنا لحماية بيانات اعتماد “ويندوز” (Windows).
البيانات هي شريان حياتك. التحكم في الوصول إلى البيانات، والحفاظ على قائمة جرد محدثة من الملفات السرية والحساسة، وقبل كل شيء، استخدام التشفير.
بصرف النظر عن الخوادم المحمية بشكل ضعيف، يعد الأشخاص أحد “الأصول” الرئيسية التي يسعى المهاجمون إلى استغلالها من خلال الهندسة الاجتماعية وهجمات التصيد الاحتيالي. بكل الوسائل، حافظ على برامج توعية المستخدمين للمساعدة في تثقيف موظفيك بشأن هجمات التصيد الاحتيالي. ادعمهم من خلال برامج أمان النهاية الطرفية الآلية التي سوف تلتقط البرامج الضارة حتى إذا وقعوا ضحية ارتباط ضار أو من خلال تنزيل برامج مخادعة. اجعل مهمة المهاجمين صعبة من خلال فرض المصادقة الثنائية والمصادقة متعددة العوامل على جميع حسابات تسجيل دخول المستخدم.
يعد الخطأ والتهيئة الخاطئة بمثابة تقنية الباب الخلفي غير مقصودة للاختراق. قم بإجراء مراجعة شاملة لأذونات التخزين الخاصة بك، وبنفس القدر من الأهمية، تنفيذ عمليات المراجعة المناسبة التي يمكن أن تساعد على منع التكوينات الخاطئة والتعرف عليها. كم عدد الأشخاص المسموح لهم بتدوير المستودعات دون نوع من الرقابة الأمنية أو المراجعة؟ يجب أن يكون الجواب صفر.
وأخيراً، كنت قد سمعت ذلك من قبل، ولا شك أنك ستسمعه مرة أخرى. التصحيح المبكر، التصحيح في كثير من الأحيان. إن الفشل في التصحيح خلال الربع الأول من الكشف عن ثغرة أمنية هو إحصائية كاشفة لا تريد أن تضيف مؤسستك إليها، وهو فشل لا تريد أن يكتشفه الخصوم أيضاً.
خاتمة
إنه ليس بالخبر الجديد، ولكن من الجدير بالذكر أيضاَ التأكيد أن: معظم منفذي التهديدات تترصد المال. وبالتأكيد كما بدأت المؤسسات في الانتقال من مرحلة التخزين الداخلي إلى التخزين على السحابة، فإن المهاجمين يلاحقون هذه المراحل أيضاً. وعند تضييق النطاق، ينتشر نموذج أمان ثقة معدومة للشبكة عبر المؤسسات العالمية، إلا أن المهاجمين يهتمون أكثر بالحصول على بيانات اعتماد تسجيل الدخول التي لا تقدر بثمن. وبينما تستمر المؤسسات في الاعتماد على رسالة بريد إلكتروني وتتوقع من الأشخاص النقر على الروابط للقيام بعملهم، سيستمر المهاجمون في إرسال روابط التصيد الاحتيالي للقيام بعملهم أيضاً
وتمثل أحدث البيانات المتعلقة بالتحقيقات في عمليات الخرق انعكاساً للممارسات الحالية في السلوك التنظيمي. وأينما ما نذهب يتبعوننا. إن منع عمليات الخرق هي مسألة إدراك هذه العلاقة التكافلية، وتوقع التهديدات ووضع الحلول الأمنية، وممارسات الأفراد والعمليات التنظيمية التي ترفع تكلفة الهجوم بما يتجاوز ما يرغب منفذ التهديد دفعه.
إذا كنت ترغب في معرفة كيف يمكن لسنتينل وان المساعدة في حماية نشاطك التجاري من عمليات الخرق الأمنية، فاتصل بنا اليوم أو اطلب إصدار تجريبي مجاني.