"الاستجابة في الوقت المناسب" سرّ نجاح التصدّي لحوادث الأمن الرقمي في المؤسسات
الاثنين - 25 يوليو 2022
Mon - 25 Jul 2022
تواصل التهديدات المتقدّمة المستمرة اختبار قوة المؤسسات ومدى قدرتها على الصمود من خلال استغلال الثغرات الجديدة، وتنظيم هجمات واسعة تستهدف سلاسل التوريد والعديد من القطاعات المهمة. وقد أضحت الهجمات الرقمية اليوم أكثر تعقيدًا، وفقًا لما أفاد به 84% من المسؤولين المشاركين في إحدى الدراسات الحديثة التي أجريت على مستوى العالم، والذين أبدوا قلقهم من الثغرات والأسطح المعرضة للهجوم، ومن التكتيكات المتبعة في التهديدات، ومن البرمجيات الخبيثة ومدى أمن الأجهزة المحمولة، علاوة على المخاوف المرتبطة بلجوء الموظفين في المؤسسات إلى استخدام الخدمات السحابية الخاصة.
لكن ثمّة، لحسن الحظ، الكثير من الأدوات ومصادر المعلومات والإرشادات، مثل NIST أو SANS أو MITER D3FEND Knowledge Graph، والتي تساعد في تحسين مستويات الاستجابة للهجمات المعقّدة، بتوضيح سبل ملاحقة التهديدات ومعالجة المشكلات التي تصيب أنظمة تقنية المعلومات. لكنني في المقالة، أودّ التركيز على الإجابة عن السؤال المطروح في شأن "الوقت الأنسب" للانتقال من مرحلة التحقيق في الحوادث الأمنية إلى مرحلة الاستجابة لها.
لقد أظهر تقرير كاسبرسكي بشأن الاستجابة لحوادث الأمن الرقمي، أن متوسط زمن "الهجوم المستعجل" يستمر ليوم ونصف اليوم، ما يجعله يُعدّ هجومًا سريعًا حقًا! لذا، فإذا كانت الجهة التي تقف وراءه تتمتع بالخبرة، فإنه ينبغي لفريق الأمن الاستجابة للهجوم، لكن الاستجابة في الوقت المناسب لا تعني بالضرورة المسارعة إلى وجوب حظر الإجراءات الخبيثة على الفور.
إن من المهم تمييز اللحظة المناسبة لبدء احتواء الهجوم واستئصال آثاره والتعافي منه، فالاستجابة غير المناسبة، مثل المسارعة إلى حظر البرمجيات المصابة أو عناوين IP أو URL الخبيثة بمجرد اكتشاف العلامات الأولى للتهديد والهجوم، قد يُشعر المهاجمين بافتضاح أمرهم، ما يدفعهم إلى الاختباء في الشبكة أو تغيير تكتيكاتهم، الأمر الذي سوف يستدعي إعادة البدء في التحقيق، لكن سيكون بوسع المهاجمين الاختباء جيدًا ولفترة طويلة، سيكون اكتشافهم عندها مستحيلًا تقريبًا حتى يبدأوا في نشاطهم التالي.
إن الجهات التي تقف وراء التهديدات المتقدمة المستمرة تلجأ إلى أساليب "الحركة الجانبية" اتّقاءً للانكشاف، وتبقى كذلك لمددٍ قد تطول إلى سنوات، تسعى خلالها باحثة عن الأصول الحرجة في بيئة الضحية. وفي أحد هجمات Lazarus، على سبيل المثال، تمكنت هذه العصابة سيئة السمعة من التغلّب على إجراءات تجزئة الشبكة والوصول إلى الشبكة المراقبة، بعدما استطاعت إيجاد طريقة جانبية لاختراق جهاز الإدارة الذي يربط بين المؤسسة وأجزاء الشبكة الخاضعة للمراقبة. كذلك فقد كشف تحليل أجري لحملة تخريبية أخرى تُدعى TunnelSnake، ونُشر في العام 2020، عن حالة وقعت في جنوب آسيا، أحدثت فيها الجهة التخريبية موطئ قدم لها داخل الشبكة في وقت مبكر يعود إلى العام 2018.
وثمّة مشكلة أخرى قد تحدث في حالة الاستجابة المبكر، تتمثل في ترك بعض آثار الهجوم في أثناء مرحلة الاستئصال، لأن فريق أمن تقنية المعلومات لم يكتشفها أو يربطها بالهجوم أثناء مرحلة التحقيق.
وعلاوة على ذلك، قد تظلّ نقطة الدخول غير معروفة، فقد تكون ثغرة أمنية أو نقطة طرفية غير محمية أو أي ناقل هجوم آخر. وفي هذه الحالة، حتى إذا جرى إيقاف الهجوم والقضاء على جميع العناصر الخبيثة فيه، سيظل خطر إقدام المهاجمين على محاولة أخرى عبر المدخل نفسه قائمًا، ولكنهم سيراعون بالطبع اللجوء إلى تكتيكات وأساليب وإجراءات جديدة.
ثمّة في الواقع عدّة خطوات يمكن اتخاذها لتجنّب الوصول إلى هذه النتيجة:
1. اعثر على سلسلة "قتل الهجوم"
ما إن يكتشف فريق أمن تقنية المعلومات أن مؤسسته معرضة للخطر وأن هناك على الجانب الآخر مهاجمين متربصين، لا مجرّد برمجيات خبيثة، فإن عليه تتبع الهجوم والعثور على أكبر عدد ممكن من الآثار. وينبغي تتبع تصرفات المهاجمين على امتداد الشبكة بأكملها، لا في محيطها المباشر فقط، لأنه كلما تقدّم الهجوم، زادت الآثار التي يتركها، والتي يمكن للمحققين أن يتعرفوا عليها وينسبوها إلى الجهة التي تقف وراء الهجوم، أو على الأقلّ تخمين هدفها ثم تعقبها بأكثر الطرق فاعلية. لذلك، من المهمّ العثور على نقطة دخول الهجوم لتجنب تكرار هذا النوع من الحوادث.
لقد أورد كل من جيسون لوتغنز وماثيو بيبي وكيفين مانديا في كتابهم "الاستجابة والتحقيقات الجنائية في الحوادث الحاسوبية" ما يؤكّد أن التحقيق هو أصل الاستجابة للحوادث. وقد ذكروا في الطبعة الثالثة الصادرة في العام 2014 من الكتاب، أن الهدف المنشود من الاستجابة للحوادث يتحقق من خلال نشاطين؛ التحقيق والمعالجة. أما التحقيق فيتضمن تحديد ناقل الهجوم وأدواته، والأنظمة المتأثرة به، والأضرار الناجمة عنه، ووقت وقوعه، وما إلى ذلك، أي أن التحليل الشامل أمرٌ لا بدَّ منه قبل الانتقال إلى معالجة آثار الهجوم وتداعياته. وتعتبر معلومات التهديدات وأساليب تقييم الهجوم، مثل MITER ATT&CK، أساسية في هذه المرحلة.
2. اعرف متى توقف الهجوم
بالطبع، من المهم أن يظل فريق أمن تقنية المعلومات قادرًا على إيقاف المهاجمين قبل وصولهم إلى الخدمات المؤسسية الحيوية أو الانتقال إلى مؤسسة أخرى عبر المؤسسة المستهدفة. وهنا تلعب مهارات الفريق دورًا مهمًا يتمثل في جمع أكبر قدر من البيانات حول الهجوم للتمكّن من التخطيط للاستجابة الأكثر فاعلية مع ضمان استمرارية الأعمال قبل أن يبدأ المهاجمون التأثير فيها.
هذه الخطوة تقودنا إلى الخطوة التالية، التي لعلها الأكثر أهمية.
3. تعلم ومراقبة الشبكة
يجب أن يكون لدى فرق أمن تقنية المعلومات صورة واضحة لكامل الشبكة المؤسسية، بما يشمل الأجهزة والنقاط الطرفية وقطاعات الشبكة والمعدات المتصلة بها. ويمكن تحقيق ذلك من خلال مراقبة الشبكة وعمليات التدقيق المنتظمة ومسح الاتصالات وما إلى ذلك. المؤسسات والشركات الكبيرة التي لديها العديد من الكيانات الفرعية وتتعامل مع سلاسل توريد واسعة وشركات تابعة، عليها أن تعتبر ذلك أمرًا لا بد منه.
إن تنفيذ عمليات التدقيق على الشبكات ومراقبتها، بجانب اتخاذ تدابير مثل فرض السياسات الأمنية وتجزئة الشبكة، يساعد على تقليل عدد نقاط الدخول المحتملة.
إن معرفة الشبكة والتعرّف عليها أمر بالغ الأهمية لفهم وقت احتواء الهجوم والقضاء عليه، قبل أن يصل إلى العمليات المؤسسية المهمة. ويجب الحرص في مراحل الاستئصال والمعالجة على إزالة جميع البرمجيات الخبيثة وآثارها من جميع النقاط الطرفية، وإعادة تثبيت جميع الأنظمة المخترقة وإعادة تعيين بيانات اعتماد دخول جديدة إلى الحسابات المتأثرة. وقد يؤدي التغاضي عن وجود أي جزء من البرمجيات الخبيثة في خلفية الشبكة إلى حدوث جولة أخرى من الهجمات في المستقبل.
لحسن الحظ، كلما زاد الوقت الذي نقضيه في التعامل مع هذه الهجمات، عرفنا المزيد عن مجرمي الإنترنت. لقد صُمّمت خدمة معلومات التهديدات وأدوات محددة أخرى لمساعدة المؤسسات على اكتشاف الأنشطة الخبيثة. ولكن تظلّ الطريقة الأكثر فاعلية للحماية من الهجمات وتجنب تكرارها متمثلة في قيام المؤسسات بتنمية خبرات تخصصية داخلية، أو استقطاب خبرات خارجية، تعزيزًا لخطط الاستجابة للحوادث، ومعرفة وقت الاستجابة المناسب واكتساب القدرة على التخلّص تمامًا من جميع البرمجيات الخبيثة.
* المدير التنفيذي لمنطقة الشرق الأوسط وتركيا وإفريقيا لدى كاسبرسكي
لكن ثمّة، لحسن الحظ، الكثير من الأدوات ومصادر المعلومات والإرشادات، مثل NIST أو SANS أو MITER D3FEND Knowledge Graph، والتي تساعد في تحسين مستويات الاستجابة للهجمات المعقّدة، بتوضيح سبل ملاحقة التهديدات ومعالجة المشكلات التي تصيب أنظمة تقنية المعلومات. لكنني في المقالة، أودّ التركيز على الإجابة عن السؤال المطروح في شأن "الوقت الأنسب" للانتقال من مرحلة التحقيق في الحوادث الأمنية إلى مرحلة الاستجابة لها.
لقد أظهر تقرير كاسبرسكي بشأن الاستجابة لحوادث الأمن الرقمي، أن متوسط زمن "الهجوم المستعجل" يستمر ليوم ونصف اليوم، ما يجعله يُعدّ هجومًا سريعًا حقًا! لذا، فإذا كانت الجهة التي تقف وراءه تتمتع بالخبرة، فإنه ينبغي لفريق الأمن الاستجابة للهجوم، لكن الاستجابة في الوقت المناسب لا تعني بالضرورة المسارعة إلى وجوب حظر الإجراءات الخبيثة على الفور.
إن من المهم تمييز اللحظة المناسبة لبدء احتواء الهجوم واستئصال آثاره والتعافي منه، فالاستجابة غير المناسبة، مثل المسارعة إلى حظر البرمجيات المصابة أو عناوين IP أو URL الخبيثة بمجرد اكتشاف العلامات الأولى للتهديد والهجوم، قد يُشعر المهاجمين بافتضاح أمرهم، ما يدفعهم إلى الاختباء في الشبكة أو تغيير تكتيكاتهم، الأمر الذي سوف يستدعي إعادة البدء في التحقيق، لكن سيكون بوسع المهاجمين الاختباء جيدًا ولفترة طويلة، سيكون اكتشافهم عندها مستحيلًا تقريبًا حتى يبدأوا في نشاطهم التالي.
إن الجهات التي تقف وراء التهديدات المتقدمة المستمرة تلجأ إلى أساليب "الحركة الجانبية" اتّقاءً للانكشاف، وتبقى كذلك لمددٍ قد تطول إلى سنوات، تسعى خلالها باحثة عن الأصول الحرجة في بيئة الضحية. وفي أحد هجمات Lazarus، على سبيل المثال، تمكنت هذه العصابة سيئة السمعة من التغلّب على إجراءات تجزئة الشبكة والوصول إلى الشبكة المراقبة، بعدما استطاعت إيجاد طريقة جانبية لاختراق جهاز الإدارة الذي يربط بين المؤسسة وأجزاء الشبكة الخاضعة للمراقبة. كذلك فقد كشف تحليل أجري لحملة تخريبية أخرى تُدعى TunnelSnake، ونُشر في العام 2020، عن حالة وقعت في جنوب آسيا، أحدثت فيها الجهة التخريبية موطئ قدم لها داخل الشبكة في وقت مبكر يعود إلى العام 2018.
وثمّة مشكلة أخرى قد تحدث في حالة الاستجابة المبكر، تتمثل في ترك بعض آثار الهجوم في أثناء مرحلة الاستئصال، لأن فريق أمن تقنية المعلومات لم يكتشفها أو يربطها بالهجوم أثناء مرحلة التحقيق.
وعلاوة على ذلك، قد تظلّ نقطة الدخول غير معروفة، فقد تكون ثغرة أمنية أو نقطة طرفية غير محمية أو أي ناقل هجوم آخر. وفي هذه الحالة، حتى إذا جرى إيقاف الهجوم والقضاء على جميع العناصر الخبيثة فيه، سيظل خطر إقدام المهاجمين على محاولة أخرى عبر المدخل نفسه قائمًا، ولكنهم سيراعون بالطبع اللجوء إلى تكتيكات وأساليب وإجراءات جديدة.
ثمّة في الواقع عدّة خطوات يمكن اتخاذها لتجنّب الوصول إلى هذه النتيجة:
1. اعثر على سلسلة "قتل الهجوم"
ما إن يكتشف فريق أمن تقنية المعلومات أن مؤسسته معرضة للخطر وأن هناك على الجانب الآخر مهاجمين متربصين، لا مجرّد برمجيات خبيثة، فإن عليه تتبع الهجوم والعثور على أكبر عدد ممكن من الآثار. وينبغي تتبع تصرفات المهاجمين على امتداد الشبكة بأكملها، لا في محيطها المباشر فقط، لأنه كلما تقدّم الهجوم، زادت الآثار التي يتركها، والتي يمكن للمحققين أن يتعرفوا عليها وينسبوها إلى الجهة التي تقف وراء الهجوم، أو على الأقلّ تخمين هدفها ثم تعقبها بأكثر الطرق فاعلية. لذلك، من المهمّ العثور على نقطة دخول الهجوم لتجنب تكرار هذا النوع من الحوادث.
لقد أورد كل من جيسون لوتغنز وماثيو بيبي وكيفين مانديا في كتابهم "الاستجابة والتحقيقات الجنائية في الحوادث الحاسوبية" ما يؤكّد أن التحقيق هو أصل الاستجابة للحوادث. وقد ذكروا في الطبعة الثالثة الصادرة في العام 2014 من الكتاب، أن الهدف المنشود من الاستجابة للحوادث يتحقق من خلال نشاطين؛ التحقيق والمعالجة. أما التحقيق فيتضمن تحديد ناقل الهجوم وأدواته، والأنظمة المتأثرة به، والأضرار الناجمة عنه، ووقت وقوعه، وما إلى ذلك، أي أن التحليل الشامل أمرٌ لا بدَّ منه قبل الانتقال إلى معالجة آثار الهجوم وتداعياته. وتعتبر معلومات التهديدات وأساليب تقييم الهجوم، مثل MITER ATT&CK، أساسية في هذه المرحلة.
2. اعرف متى توقف الهجوم
بالطبع، من المهم أن يظل فريق أمن تقنية المعلومات قادرًا على إيقاف المهاجمين قبل وصولهم إلى الخدمات المؤسسية الحيوية أو الانتقال إلى مؤسسة أخرى عبر المؤسسة المستهدفة. وهنا تلعب مهارات الفريق دورًا مهمًا يتمثل في جمع أكبر قدر من البيانات حول الهجوم للتمكّن من التخطيط للاستجابة الأكثر فاعلية مع ضمان استمرارية الأعمال قبل أن يبدأ المهاجمون التأثير فيها.
هذه الخطوة تقودنا إلى الخطوة التالية، التي لعلها الأكثر أهمية.
3. تعلم ومراقبة الشبكة
يجب أن يكون لدى فرق أمن تقنية المعلومات صورة واضحة لكامل الشبكة المؤسسية، بما يشمل الأجهزة والنقاط الطرفية وقطاعات الشبكة والمعدات المتصلة بها. ويمكن تحقيق ذلك من خلال مراقبة الشبكة وعمليات التدقيق المنتظمة ومسح الاتصالات وما إلى ذلك. المؤسسات والشركات الكبيرة التي لديها العديد من الكيانات الفرعية وتتعامل مع سلاسل توريد واسعة وشركات تابعة، عليها أن تعتبر ذلك أمرًا لا بد منه.
إن تنفيذ عمليات التدقيق على الشبكات ومراقبتها، بجانب اتخاذ تدابير مثل فرض السياسات الأمنية وتجزئة الشبكة، يساعد على تقليل عدد نقاط الدخول المحتملة.
إن معرفة الشبكة والتعرّف عليها أمر بالغ الأهمية لفهم وقت احتواء الهجوم والقضاء عليه، قبل أن يصل إلى العمليات المؤسسية المهمة. ويجب الحرص في مراحل الاستئصال والمعالجة على إزالة جميع البرمجيات الخبيثة وآثارها من جميع النقاط الطرفية، وإعادة تثبيت جميع الأنظمة المخترقة وإعادة تعيين بيانات اعتماد دخول جديدة إلى الحسابات المتأثرة. وقد يؤدي التغاضي عن وجود أي جزء من البرمجيات الخبيثة في خلفية الشبكة إلى حدوث جولة أخرى من الهجمات في المستقبل.
لحسن الحظ، كلما زاد الوقت الذي نقضيه في التعامل مع هذه الهجمات، عرفنا المزيد عن مجرمي الإنترنت. لقد صُمّمت خدمة معلومات التهديدات وأدوات محددة أخرى لمساعدة المؤسسات على اكتشاف الأنشطة الخبيثة. ولكن تظلّ الطريقة الأكثر فاعلية للحماية من الهجمات وتجنب تكرارها متمثلة في قيام المؤسسات بتنمية خبرات تخصصية داخلية، أو استقطاب خبرات خارجية، تعزيزًا لخطط الاستجابة للحوادث، ومعرفة وقت الاستجابة المناسب واكتساب القدرة على التخلّص تمامًا من جميع البرمجيات الخبيثة.
* المدير التنفيذي لمنطقة الشرق الأوسط وتركيا وإفريقيا لدى كاسبرسكي
