يجب على محترفي الأمن السيبراني أن يقلقوا بشأن الهجمات السيبرانية التي ترعاها الدولة – TechToday

أصبحت عمليات الاختراق السيبرانية التي ترعاها الدولة مصدر قلق متزايد لكل من الحكومات والمنظمات الأسترالية. حذر وزير الدفاع ريتشارد مارلز العام الماضي فقط من أن البلاد تشهد اهتمامًا أكبر من الجهات الحكومية بالبنية التحتية الحيوية.

وقال ناثان وينزلر، كبير الاستراتيجيين الأمنيين في شركة الأمن السيبراني Tenable، إن الجهات الفاعلة التي ترعاها الدولة تتسلل عادة عن طريق التخفي والانتشار. وقال وينزلر إن المنظمات الأسترالية يجب أن تعاملهم على محمل الجد مثل الجهات الفاعلة الأخرى وإلا ستواجه مخاطر جسيمة أثناء الصراع الجيوسياسي.

وفقًا لـ Wenzler، أظهر الهجوم الأخير الذي رعته الدولة من مجموعة Midnight Blizzard المدعومة من روسيا على Microsoft أن المنظمات الكبيرة محصنة ضد هذه الأسطورة. تحتاج الشركات إلى اكتساب فهم كامل لبيئتها ونضج نهجها في إدارة المخاطر.

تشكل الهجمات الإلكترونية التي ترعاها الدولة مصدر قلق متزايد في أستراليا

يتزايد نشاط التهديد السيبراني الذي ترعاه الدولة في أستراليا. ووجد مركز الأمن السيبراني الأسترالي أن إجمالي تقارير الجرائم الإلكترونية ارتفع بنسبة 23% إلى 94000 في العام حتى يونيو 2023، وأرجع جزءًا من هذه الزيادة إلى الهجمات التي ترعاها الدولة ضد البنية التحتية الحيوية.

وقال تقرير ACSC إن جزءًا من سبب هذه الزيادة في النشاط الذي ترعاه الدولة هو إنشاء شراكة دفاعية جديدة AUKUS بين أستراليا والمملكة المتحدة والولايات المتحدة، “مع تركيزها على الغواصات النووية وغيرها من القدرات العسكرية المتقدمة”.

انظر: لماذا يمثل عدم اليقين التحدي الأكبر لاستراتيجية الأمن السيبراني في أستراليا

وجد تقرير مراجعة للأمن السيبراني لعام من شركة Dragos، المتخصصة في أمن البنية التحتية الصناعية والحيوية، أن هناك اتجاهًا مستمرًا للخصوم الذين يستهدفون المنظمات الصناعية في جميع أنحاء العالم، والتي يرتبط بعضها بمجموعات ترعاها الدولة.

“على الرغم من عزلتها الجغرافية، فإن أستراليا ليست معفاة من الهجوم. وقال كونور ماكلارين، الباحث الرئيسي في Dragos: “في الواقع، لاحظ فريق Dragos Intel العديد من الحالات التي يستهدف فيها الخصوم بشكل مباشر كيانات البنية التحتية الحيوية الأسترالية”.

وشملت هذه العمليات “عمليات تجسس إلكترونية استراتيجية”، بحسب ماكلارين.

فولت تايفون مثال على التهديد للمصالح الجيوسياسية الأسترالية

وانضمت أستراليا ونيوزيلندا إلى شركاء استخبارات آخرين من منظمة Five Eyes العام الماضي في الكشف عن وجود صلة بين شبكة القرصنة Volt Typhoon والصين. وقد تبين أن Volt Typhoon قد أضر بآلاف الأجهزة والبنية التحتية الحيوية في الولايات المتحدة، بهدف التجسس والتخريب.

باستخدام تقنيات “العيش خارج الأرض”، والتي لا تثير عادةً إنذارات لمحترفي الأمن السيبراني عند انتشارها، تم تصنيف Volt Typhoon والمجموعات المرتبطة بها على أنها تهديد محتمل للبنية التحتية والمنظمات الأسترالية الحيوية، في حالة حصولهم على موطئ قدم.

صرح كيرت هانسن، الرئيس التنفيذي لشركة Tesserent، مؤخرًا لـ TechRepublic Australia أن البيئة الجيوسياسية الحالية خلقت مخاطر للمؤسسات التجارية في حالة تدهور التوترات وأن نماذج الأعمال معرضة للخطر. وحث هانسن المنظمات على توخي اليقظة تجاه هذه الهجمات.

كيف ولماذا تحدث الهجمات السيبرانية التي ترعاها الدولة عادةً؟

النمط الشائع في الهجمات التي ترعاها الدولة هو التخفي، وفقًا لما ذكره وينزلر من تينبل. وقال وينزلر إن المهاجمين يتسمون بالهدوء في أساليب هجومهم، ويتبعون “نهج الانتظار للتسلل إلى الشبكة، واختراق جهاز أو نظام، وانتظار الفرص”.

عادة، هدفهم هو الانتشار.

وأوضح وينزلر قائلاً: “إنها لا تسبب أضراراً، ولا تثير الإنذارات”. “لكنهم يواصلون الانتشار. سوف يستخدمون هذا المركز الأول لتقديم المزيد من التنازلات، والحصول على أوراق الاعتماد، والحصول على الطلبات، لأن الجهات الفاعلة في الدولة القومية لا تبحث عن مكافأة مالية.

في نهاية المطاف، تريد هذه الجهات الفاعلة إمكانية التسبب في الضرر إذا كان هناك صراع.

“إنهم يتطلعون إلى إغلاق البنية التحتية الحيوية أو العمليات العسكرية. وقال وينزلر: “إنهم يتطلعون إلى إثارة الذعر أو التأثير على المواطنين، من خلال إغلاق الخدمات مثل إمدادات المياه أو الطاقة”.

ويجب التعامل مع الجهات الفاعلة التابعة للدولة بجدية باعتبارها جرائم مالية

ربما لا تأخذ المنظمات الأسترالية المهاجمين السيبرانيين الذين ترعاهم الدولة على محمل الجد بما فيه الكفاية، وفقًا لما ذكره وينزلر. السبب الرئيسي هو أنه، على النقيض من مجرمي الإنترنت التقليديين مثل مهاجمي برامج الفدية، فإن المهاجمين الذين ترعاهم الدولة ليس لديهم أي تأثير مالي فوري.

وقال وينزلر: “لكن مستوى الضرر الذي يمكن أن تسببه أكبر بكثير”. “من الواضح أن الخسارة المالية هي مشكلة كبيرة، ولكن فكر في هذا النوع من الطبيعة المنهجية الدقيقة للتسلل إلى كل شيء في بيئتك، وبعد ذلك إذا كنت بحاجة إلى ذلك، يمكنهم إزالة كل شيء”.

وبينما يُنظر إلى هذا في كثير من الأحيان على أنه مشكلة حكومية، قال وينزلر إن هذه الجهات الفاعلة تسعى إلى تجاوز البنية التحتية الحيوية، وأي مزود خدمة مثل محلات السوبر ماركت أو الفنادق لديه مسؤوليات تجاه الجمهور.

وقال وينزلر: “لا يمكننا أن نغض الطرف عن هذه الأمور حتى في القطاع الخاص”.

عاصفة ثلجية منتصف الليل: دروس لمحترفي الأمن السيبراني الأسترالي

يعد كشف Microsoft في يناير 2023 عن حل وسط من قبل ممثل التهديد الذي ترعاه الدولة Midnight Blizzard بمثابة تحذير لا توجد منظمة محصنة ضد الهجمات التي ترعاها الدولة. حتى مع وجود المزيد من الموارد والوعي، لا تزال الشركات الكبيرة عرضة للتسوية.

انظر: أهم اتجاهات الأمن السيبراني التي ستهيمن على السوق الأسترالية في عام 2024

“تمتلك الكثير من المنظمات فكرة مفادها أن الشركات الكبرى تقوم بذلك بشكل أفضل… وأن الشركات الأصغر حجمًا هي وحدها التي يجب أن تقلق بشأن ذلك. وقال وينزلر: “وهذا ليس هو الحال”. “هذا مثال واضح للغاية على المكان الذي يمكن أن يحدث فيه نفس النوع من التحديات لأي شخص.”

تعتبر بيانات اعتماد الهوية بمثابة ناقل رئيسي للجهات الفاعلة في مجال التهديد للحصول على موطئ قدم

سلط حل Midnight Blizzard الضوء على الهوية وأوراق الاعتماد. وقال وينزلر إن الوجبات الجاهزة لفرق الأمن السيبراني الأسترالية هي أن تكون واضحة بشأن إدارة بيانات الاعتماد والتأكد من عدم وجود بيانات اعتماد منسية أو غير محمية.

يمكن أن يكون هذا موقفًا شائعًا حول حسابات الخدمة أو الحسابات غير البشرية. وقال وينزلر إن هذه الحسابات يتم تخصيصها لتطبيقات أو وظائف آلية حتى تعمل، ولكن غالبًا ما يتم تفويتها أو نسيانها، على الرغم من أنها غالبًا ما تتمتع بامتيازات أعلى.

وقال وينزلر: “إنهم أهداف رئيسية للمهاجمين”. “إذا تمكنت من الحصول على هذا النوع من الحسابات، فستحصل على وصول كبير إلى البنية التحتية، وهناك فرصة كبيرة ألا يهتم بها أحد. أنت بحاجة إلى التعامل مع الهوية والحقوق والأذونات التي يتمتع بها كل شيء.

تتطلب البيئات المترابطة نهجا شاملا للأمن

وقال وينزلر إن هجوم مايكروسوفت كشف أيضًا عن اعتقاد خاطئ بأن وظائف الأمان يمكن التعامل معها مثل “صوامع صغيرة معزولة”، حيث يكون تنفيذ قائمة مرجعية من المهام مثل تصحيح أنظمة Windows أو تقوية البنية التحتية السحابية هو كل ما هو مطلوب لحماية الأمن.

وأضاف: “التحدي هو أن كل هذه الأشياء مترابطة”. “يمكن لأنظمة Windows هذه أن توفر الوصول إلى البيئة السحابية الخاصة بك، ومن المحتمل أن تصل إلى البنية التحتية الحيوية لديك. إنه يتذكر أن كل هذه الأشياء مرتبطة ببعضها البعض.

كيف يمكن للفرق السيبرانية مكافحة التهديدات الأمنية التي ترعاها الدولة

بعد اختراق Midnight Blizzard لشركة Microsoft، جادل وينزلر بأنه يجب على فرق الإنترنت إعادة النظر في التدابير الأمنية مثل ضمان تمكين المصادقة متعددة العوامل، وتطبيق أفضل أساليب الممارسة مثل مبدأ الامتياز الأقل، لتقليل مخاطر التسوية.

ومع ذلك، أضاف أن المفتاح هو السعي إلى فهم شامل لبيئة المنظمة، واعتماد نهج ناضج لإدارة المخاطر فيما يتعلق بالأمن، والاستعداد لإشراك الوكالات الحكومية وجهات إنفاذ القانون للحصول على الدعم في حالة وجود تهديد.

تهدف إلى فهم البيئة المترابطة لمؤسستك

وقال وينزلر إنه ينبغي على المنظمات اتخاذ خطوات مسبقة لفهم بيئتها بشكل كامل قدر الإمكان. وكان هذا مفيدًا بشكل خاص في تحديد الأنشطة التي تقوم بها جهات التهديد التي ترعاها الدولة، والتي من خلال تقنيات “العيش خارج الأرض”، لم تكن تطلق تحذيرًا واضحًا لفرق الأمن السيبراني، مما يعني أنه كان من الصعب اكتشافها.

اتخاذ نهج استباقي لإدارة المخاطر لعمليات الأمن السيبراني

تُنصح المؤسسات أيضًا باتباع أطر عمل مثل NIST وThe Essential Eight، والتي تحولت بمرور الوقت من التركيز على إقامة الجدران والأمل في أن ترتد الجهات الفاعلة في مجال التهديد عليها، نحو تقديم المشورة بشأن نهج أكثر استباقية لإدارة المخاطر في مجال الأمن السيبراني.

“بما أننا نتبنى هذه الفكرة، فإن الأمن يتعلق بإدارة المخاطر أكثر من مجرد تنفيذ خدمات تكنولوجيا المعلومات، لذا عليك أن تبدأ في فهم مشهد المخاطر هذا؛ وهذا يعني أن تكون استباقيًا، وأن تفهم البيئة، وأن تفهم ملف تعريف المخاطر، وأن تستخدم ذلك لاتخاذ قرارات جيدة بشأن ما يجب فعله بعد ذلك، بما في ذلك الضوابط الأمنية المناسبة لك.

كن مستعدًا لإشراك سلطات إنفاذ القانون للحصول على الدعم

في حين أنه من المرجح أن تسعى المنظمات إلى حل مشكلة جهة التهديد التي ترعاها الدولة مثل حادث أمني عادي، قال وينزلر إنه من المهم أيضًا إشراك سلطات إنفاذ القانون والسلطات الحكومية المحلية، التي لديها معرفة تفصيلية بالجهات الفاعلة التي تهدد الدولة. وهذا من شأنه أن يدعم أيضًا المنظمات الأخرى، حيث قد يكون التهديد أكثر انتشارًا.

وقال وينزلر إن وكالات إنفاذ القانون تقدم في بعض الأحيان موارد إضافية. ومع ذلك، قال إن العديد من مؤسسات القطاع الخاص لا تزال لا تدرج تفاصيل الاتصال بالوكالات الحكومية وجهات إنفاذ القانون في خطط الاستجابة للحوادث. وقال إنه من المهم توثيق الجهة التي يجب التواصل معها مسبقًا، بدلاً من البحث عند وقوع حادث ما.