شهدت السنوات القليلة الماضية اتجاهًا متزايدًا في مجال التهديدات السيبرانية ليصبح أكثر عدائية، حيث سيشهد عام 2023 مستوى كبيرًا من نشاط مجموعات التهديدات المستمرة المتقدمة (APT).
بدءًا من العصابات الإجرامية الأكثر تنظيمًا وحتى الجهات الفاعلة التي ترعاها الدولة، تمثل التهديدات المستمرة المتقدمة (APTs) واحدة من التهديدات السيبرانية الأكثر تحديًا وخطورة التي تواجه المنظمات اليوم. لديهم إمكانية الوصول إلى المعرفة والأدوات الهجومية الأكثر تقدمًا والموارد اللازمة لمتابعة أهدافهم بإصرار حتى ينجحوا.
ومن المقرر أن تكون هذه المجموعات غزيرة الإنتاج في عام 2024 وما بعده، لذلك يجب على المؤسسات التعرف على أبرز اتجاهات الهجوم وتشديد مواقفها الأمنية ضد هذه التهديدات المتطورة والمتطورة.
كيف تضرب التهديدات المستمرة المتقدمة أهدافها؟
وفي النصف الأول من عام 2023 وحده، تتبعت Rapid7 79 هجومًا متميزًا نظمتها جهات مدعومة من الدولة. ما يقرب من ربع (24%) الهجمات التي قمنا بتحليلها استخدمت برمجيات استغلال الثغرات ضد التطبيقات العامة. وانتشرت الهجمات عبر الحكومات المتسللة، والبنية التحتية الحيوية، وشبكات الشركات، وغالبًا ما كانت بمثابة بوابة لهجمات أوسع نطاقًا وأكثر ضررًا.
يعد التصيد الاحتيالي باستخدام المرفق أيضًا وسيلة هجوم مفضلة لمجموعات APT. وقد تم استخدام الأسلوب المخادع البسيط والفعال في 23% من هذه الهجمات، في حين تضمنت 22% إساءة استخدام حسابات صالحة.
هناك أيضًا العديد من الدوافع التي تحرك هذه الجماعات التي ترعاها الدولة. أصبحت الحرب السيبرانية منتشرة بشكل متزايد في الآونة الأخيرة، وخاصة فيما يتعلق بالصراع الدائر في أوكرانيا، حيث تعكس الهجمات السيبرانية على البنية التحتية الحيوية الضربات العسكرية المادية.
كما تزايد نشاط التجسس الإلكتروني، حيث يهدف النشطاء إلى استخراج معلومات استخباراتية قيمة أو ملكية فكرية لتحقيق النفوذ السياسي أو الاقتصادي. وترتبط بهذا العديد من الهجمات التي لها أهداف مالية، وتستهدف القطاع الخاص للتحايل على العقوبات الاقتصادية أو تمويل أنظمة الدولة.
مدير أول لتحليلات التهديدات في Rapid7.
استغلال نقاط الضعف القديمة والجديدة
غالبًا ما تكون مجموعات APT مرادفة لهجمات اليوم صفر. تعد ثغرات اليوم الصفري أصولًا ذات قيمة كبيرة للغاية في الاقتصاد الإجرامي السيبراني، وقد وجدنا أن عمليات تنفيذ التعليمات البرمجية عن بُعد (RCEs) لأجهزة الشبكة مثل Juniper وCisco تباع بأكثر من 75000 دولار على الويب المظلم.
غالبًا ما تعني الموارد والخبرات المتفوقة التي تتمتع بها مجموعات التهديدات المستمرة المتقدمة (APT) أنهم أكثر عرضة لاكتشاف أو شراء ثغرات أمنية جديدة ودمجها أولاً في هجماتهم. وبحلول منتصف عام 2023، تم استخدام ما يقرب من ثلث جميع الثغرات الأمنية المنتشرة على نطاق واسع في يوم الصفر.
ومع ذلك، فمن الخطأ الاعتقاد بأن مجموعات النخبة هذه تقتصر على استخدام أدوات النخبة. تعتبر التهديدات المستمرة المتقدمة انتهازية مثل أي عصابة إجرامية أخرى، وسوف تستخدم بسهولة نقاط الضعف القديمة والمعروفة إذا لم يقم هدفها بإغلاقها.
من بين الثغرات القديمة التي شهدت استغلالًا سائدًا في عام 2023، CVE-2021-20038، وهي ثغرة تم اكتشافها من قبل Rapid7 في أجهزة سلسلة SonicWall SMA 100، وCVE-2017-1000367، وهي ثغرة أمنية في أمر Sudo الذي يسمح بالكشف عن المعلومات وتنفيذ الأوامر. . حتى أن إحدى هجمات APT استخدمت ثغرة أمنية من عام 2013 (CVE-2013-3900)، عمرها عشر سنوات، وناجحة.
تؤكد شعبية هذه الثغرات الأمنية القديمة على الرقابة الحاسمة في العديد من استراتيجيات الأمن السيبراني. هناك ميل إلى التركيز على التهديدات الناشئة، الأمر الذي يؤدي في كثير من الأحيان إلى إهمال نقاط الضعف القائمة والتي لا تزال قابلة للاستغلال.
بشكل عام، شهدت Rapid7 مجموعة واسعة من التكتيكات من مجموعات التهديدات المتقدمة عبر تقنيات المؤسسات المنتشرة بشكل شائع، مع التركيز بشكل ملحوظ على أجهزة حافة الشبكة. ظهرت أجهزة التوجيه وأجهزة الأمان وبرامج إدارة الطباعة وحلول نقل الصوت عبر بروتوكول الإنترنت (VOIP) كأهداف رئيسية، مما يسلط الضوء على التحول الاستراتيجي نحو استغلال نقاط الضعف التي غالبًا ما يتم التغاضي عنها في محيط الشبكة.
يبدأ التأمين ضد التهديدات المتقدمة بالأساسيات
يعد الدفاع ضد خصم APT مصممًا ومسلحًا بـ Zero-day غير مرئي سابقًا بمثابة اقتراح صعب. ومع ذلك، فإن المنظمات التي اتخذت خطوات لتشديد محيطها تمثل هدفًا صعبًا يمكنها في كثير من الأحيان إرسال هذه المجموعات بحثًا عن فريسة أسهل.
كما ذكرنا سابقًا، هناك ميل إلى التركيز بشكل مفرط على التدابير الأمنية المتقدمة، الأمر الذي يمكن أن يترك عن غير قصد مسارات هجوم أكثر وضوحًا مفتوحة. التركيز المستمر على أساسيات إدارة الثغرات الأمنية مهم بشكل خاص هنا. سيؤدي إنشاء دورات تصحيح واضحة وقابلة للقياس وتحديد أولويات الثغرات المستغلة بشكل نشط إلى تقليل مخاطر وصول التهديدات المتقدمة المتقدمة بسهولة من خلال الثغرات القديمة وتقليل نافذة التهديد لبرامج الاستغلال المكتشفة حديثًا.
وبالمثل، يعد الأمان القائم على الهوية مهمًا جدًا هنا، وخاصة المصادقة متعددة العوامل (MFA). تم ربط ما يقرب من 40% من جميع الحوادث الأمنية التي تم تحليلها بواسطة Rapid7 في النصف الأول من عام 2023 بعدم كفاية تنفيذ MFA، لا سيما في الشبكات الافتراضية الخاصة (VPN)، والبنى التحتية لسطح المكتب الافتراضي، ومنتجات SaaS. يعد MFA خط دفاع حاسم، خاصة ضد التهديدات المستمرة المتقدمة (APTs) التي تستغل التطبيقات التي تواجه الجمهور. في حين أنه يمكن تخريبها من خلال أعداء مصممين بما فيه الكفاية، فإن عملية الـ MFA القوية ستجعل الحياة أكثر صعوبة بالنسبة للمهاجمين.
المراوغة فضلت تكتيكات APT
وبالنظر إلى التدابير الأمنية الأكثر تقدمًا، يجب أن تكون مكافحة تسرب البيانات أولوية. وهذا مهم بشكل خاص مع كون التجسس دافعًا شائعًا بشكل متزايد بين التهديدات المستمرة المتقدمة المدعومة من الدولة.
تشمل التدابير الرئيسية هنا التنبيه بشأن عمليات تحميل الملفات الكبيرة بشكل غير عادي أو تقييدها ومراقبة كميات كبيرة من حركة المرور إلى عنوان IP واحد أو مجال واحد. يعد اليقظة في مراقبة الوصول غير المعتاد إلى منصات التخزين السحابية مثل Google Drive وSharePoint وShareFile أمرًا ضروريًا أيضًا. بالإضافة إلى ذلك، يعد تنفيذ تصفية الخروج، وتقييد امتيازات المسؤول المحلي على المضيفين، ومراقبة وجود أو استخدام أدوات نقل البيانات والأرشفة، خطوات حاسمة في تعزيز وضع الأمن السيبراني للمؤسسة.
لاحظت Rapid7 أيضًا إساءة استخدام Microsoft OneNote المتفشية لنشر البرامج الضارة، وذلك في الغالب من خلال رسائل البريد الإلكتروني التصيدية. سيساعد حظر ملفات .one في المحيط أو بوابة البريد الإلكتروني في الحد من هذا التهديد.
يعد إعطاء الأولوية لأمن الأجهزة على حافة الشبكة بمثابة استراتيجية رئيسية أخرى. يجب أن تكون الأجهزة مثل شبكات VPN وأجهزة التوجيه وأجهزة نقل الملفات في دورة تصحيح عالية السرعة. تُعد هذه التقنيات، التي غالبًا ما تكون خط الدفاع الأول، أهدافًا أساسية للمهاجمين وتتطلب اهتمامًا فوريًا في حالة اكتشاف نقاط الضعف.
الاستعداد لما سيأتي
مع تطور التهديدات المتقدمة المستمرة وبرامج الفدية، من الضروري أن تقوم المؤسسات بتعزيز مواقفها الأمنية، مع إعطاء الأولوية للممارسات الأساسية مثل MFA، وإدارة التصحيح اليقظة، وتقييمات الثغرات الأمنية الاستباقية. إن الشركات التي تعمل على تقوية دفاعاتها وتتبع أحدث الاتجاهات سيكون لديها أفضل فرصة لدرء أو تقليل تأثير مجموعات التهديد هذه.
لقد أظهرنا أفضل إزالة للبرامج الضارة.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
