أصبحت الجريمة السيبرانية جزءًا لا مفر منه من الحياة عبر الإنترنت. من برامج الفدية ل إخماد، هناك العديد من المخاطر التي تأتي من الاتصال بالإنترنت. وبينما تتصدى الشركات لهذه الأنشطة الضارة، فإنها تحتاج إلى التطوير المستمر وتحسين مستوى الأمان الخاص بها للتحايل على أحدث الهجمات الإلكترونية.
زكي توريدي، المدير التنفيذي للتكنولوجيا الميداني في أوروبا والشرق الأوسط وأفريقيا كراود سترايك، شهد بشكل مباشر ظهور مجموعات الجريمة المنظمة (OCGs) عبر الإنترنت. بدأ توريدي مسيرته المهنية في مجال الأمن السيبراني بالعمل في مجال تكنولوجيا المعلومات لإنفاذ القانون، قبل الانضمام إلى إحدى الشركات المصنعة الطب الشرعي الرقمي برمجة.
في الوقت الذي بدأت فيه الجريمة السيبرانية في الظهور لأول مرة كعامل، كانت سلطات إنفاذ القانون لا تزال تستخدم تقنيات الطب الشرعي الرقمي التقليدية للاستجابة للحوادث. ومع ذلك، ومع الزيادة الواسعة النطاق في الهجمات السيبرانية في فترة زمنية قصيرة نسبيًا، لم تعد التقنيات والتقنيات القديمة مناسبة. وعلى هذا النحو، تم تطوير تقنيات الطب الشرعي الرقمية الجديدة للاستجابة للحوادث.
“لقد كان الطب الشرعي الرقمي دائمًا يدور حول العثور على القطع الأثرية؛ يوضح توريدي: “بصمات الأصابع وفتات الخبز الخاصة بالمهاجم تفعل شيئًا لا ينبغي أن تفعله”. “لا يزال الأمر يتعلق بالعثور على فتات الخبز هذه لفهم ما تحاول الجهات الفاعلة الخبيثة القيام به. هذه المرة، لا يتعلق الأمر بالتحقيق فيما حدث بعد الاختراق بقدر ما يركز أكثر على التأكد من قدرتنا على طرد الخصم في أسرع وقت ممكن قبل الاختراق.
لقد تطورت طبيعة الجرائم السيبرانية منذ تحول الإنترنت إلى سلعة في التسعينيات. في الأصل، في التجسيد الأول للإنترنت، كان المتسللون الوحيدون في غرف نومهم يرون ما يمكن أن يفلتوا منه؛ أما الآن، فقد أصبحت أداة لاستغلالها من قبل مجموعات الجريمة المنظمة.
“لقد أدركت الكثير من المنظمات الإجرامية في جميع أنحاء العالم أنها طريقة جيدة لتحقيق إيرادات إضافية واستثمرت في هذا المجال”
زكي توريدي، كراودسترايك
يقول توريدي: “لقد شهدنا نموًا كبيرًا في مجموعات الجرائم الإلكترونية، خاصة بعد كوفيد”. “لا تزال الدول القومية موجودة، لكننا نرى نفس العدد من الدول القومية الذي رأيناه دائمًا. وهذا يظهر أن الكثير من المنظمات الإجرامية في جميع أنحاء العالم قد أدركت أنها طريقة جيدة لتحقيق إيرادات إضافية واستثمرت في هذا المجال.
استخبارات التهديد
وكما أوصى الجنرال العسكري الصيني القديم والفيلسوف لاو تزو بمبدأ “اعرف عدوك”، فإن هذا هو أحد العناصر الأساسية للأمن السيبراني استخبارات التهديد – المعلومات المتعلقة بالهجمات السيبرانية الحالية التي يمكن تحليلها للتخفيف من مخاطر الأمن السيبراني.
أصبحت الأدلة الجنائية الرقمية جزءًا مهمًا من الاستخبارات المتعلقة بالتهديدات، حيث إن التعرف على الرموز والتقنيات المعروفة يمكّن خبراء الأمن من تحديد الجناة المشتبه بهم وراء الهجوم السيبراني. يوضح توريدي قائلاً: “تتطلب الاستخبارات المتعلقة بالتهديدات كل تلك المعرفة والخبرة اللازمة لحماية العملاء”. “إنها بيانات مبنية على معلومات مما رأيناه، من خلال التواجد العالمي لحماية العملاء في جميع أنحاء العالم والاستجابة للحوادث.”
في السنوات الأخيرة، أصبح من الواضح أن أي شخص يمكن أن يصبح هدفا للهجوم السيبراني. في السابق، كانت الشركات الكبرى مستهدفة بسبب حجم مبيعاتها، ولكن مع توافر أدوات القرصنة والخدمات الضارة على نطاق واسع، مثل برامج الفدية كخدمة (RaaS)، والتكلفة المنخفضة نسبيًا لها، يمكن الآن استهداف أي منظمة أو فرد واحتجازه للحصول على فدية.
مثلما تستخدم المنظمات الشرعية أرباحها للاستثمار في نفسها وتحسين وضعها الأمني، كذلك تفعل مجموعات OCG، حيث تشتري تقنيات جديدة وتتعلم التقنيات المتطورة.
تستخدم مجموعات OCG الآن التعلم الآلي لأتمتة هجماتها جزئيًا. وتقوم هجمات القوة الغاشمة بذلك بالفعل بدرجة أقل، من خلال قصف بوابات تسجيل الدخول بكلمات مرور شائعة، ولكن الآن تستخدم مجموعات OCG الأتمتة لفحص الشبكات بحثًا عن نقاط الضعف المعروفة التي يمكن استغلالها.
تشبه OCGs هيدرا في العصر الحديث – عندما تتم إزالة رأس واحد، يبدو أن المزيد يحل محله. تعد مجموعات OCG في كثير من الأحيان كيانات موزعة يمكنها تنسيق أعمالها مع مجموعات OCG الأخرى ومشاركة أذونات الوصول التي اكتسبتها.
تمثل الطبيعة الدولية للجريمة السيبرانية تحديًا إضافيًا يجعل من الصعب تعقب مجموعات OCG. وعلى الرغم من تحقيق بعض النجاح في القبض على المجرمين البارزين، فمن غير المرجح أن يتم القبض عليهم جميعًا.
“الكثير من هذه الجماعات الإجرامية ليست مجموعات منفردة، بل هي مجموعات متعددة تعمل معًا”، يوضح توريدي. “لديك مجموعة تعمل على تطوير برامج الفدية كخدمة، ثم لديك مجموعة أخرى تقوم بإنشاء مجموعة أدوات أخرى، ومجموعة مختلفة تمامًا تجمع كل الأجزاء معًا وتستهدف منظمة معينة. حتى أننا نرى فصلًا بين المجموعات التي ستستهدف في البداية شركة ما وتتمكن من الوصول إليها، ثم تبيع هذا الوصول إلى مجموعة إجرامية أخرى، والتي ستقوم بعد ذلك بتنفيذ برامج الفدية والتسلل.
بعد كوفيد، كان هناك يزيد في الجرائم السيبرانية. مع اتصال المزيد من الأشخاص بشبكات الشركات بسبب العمل عن بعد، اغتنمت مجموعات OCG الفرصة لاستغلال هذا الاتجاه.
يتذكر توريدي قائلاً: “كان هناك الكثير من الفرص عندما كانت الشركات تكافح من أجل ترتيب نفسها بعد الإغلاق”. “لقد رأينا الكثير من الجماعات الإجرامية الجديدة تظهر خلال تلك الفترة وتستغل هذه الفرصة. لقد رأيناهم يأخذون هذه المكافأة ويعيدون الاستثمار في أنفسهم.
كان هناك أيضًا تحول في منهجيات الهجوم. تماما كما تستخدم المنظمات الآن المصادقة متعددة العوامل (MFA) لمواجهة نقاط الضعف في كلمات المرور، تحاول OCGs تجاوز MFAs. تتظاهر الجهات الفاعلة الخبيثة كموظفين شرعيين وتتصل بمكاتب المساعدة لتحويل أذونات الوصول الثانوية وبالتالي الوصول إلى الشبكات الحساسة.
استجابة سريعة
وقد قدرت Turedi وCloudStrike أنه في المتوسط يمكن أن يستغرق ممثل خبيث 37 دقيقة للتنقل عبر النظام. لقد أصبح هذا وقتًا حرجًا للاستجابة للحوادث لأنه بمجرد أن يتمكن الممثل الخبيث من الانتقال إلى جزء آخر من الشبكة، تكون الشبكة بأكملها قد تم اختراقها.
يقول توريدي: “في اللحظة التي يتحرك فيها الخصم بشكل أفقي عبر منظمة ما، يبدأ في عبور الشبكة بسرعة ويصبح الوضع بمثابة “ضرب الخلد”. “من السهل الدفاع عن مؤسسة ما ضد أفضل جهة تهديد في العالم عندما تكون على جهاز واحد – يمكنك ببساطة إغلاقه والابتعاد. يمكن أن يكون لديك أفضل دولة قومية [hackers] في العالم وكن مستجيبًا واحدًا، ولكن إذا تمكنت من الوصول إلى هناك بالسرعة الكافية، فيمكنك إيقافهم. وبمجرد أن يبدأوا في التحرك أفقيًا، فهذا يعني أنهم حصلوا على بيانات الاعتماد وأن لديهم إمكانية الوصول إلى الشبكة.
“في اللحظة التي يتحرك فيها الخصم بشكل أفقي عبر منظمة، يبدأ في عبور الشبكة بسرعة ويصبح الوضع بمثابة “ضرب الخلد””
زكي توريدي، كراودسترايك
على هذا النحو، يعد الحصول على وقت استجابة سريع للحوادث أمرًا بالغ الأهمية للمؤسسات لمنع وقوع حادث أمني. إن الاستجابة بينما لا يزال الممثل الخبيث محتجزًا داخل النظام الأول يعني أنه يمكن إيقاف تشغيل النظام، مما يمنع الممثل الخبيث من الانتشار بشكل أكبر عبر شبكة الشركة ويضمن عدم تعرضه للخطر.
لسوء الحظ، قد يكون وجود فريق أمني متخصص يتمتع بمجموعة مهارات وأدوات شاملة أمرًا مكلفًا. يمكن أن يؤدي الاستثمار في الأمن أيضًا إلى تحويل الموارد من الخدمة الأساسية للمؤسسة، مما قد يؤدي إلى فقدان بعض مزاياها التنافسية.
إحدى طرق التحايل على ذلك هي الشراكة مع مؤسسة أمنية، وبالتالي تمكين المؤسسات من الحفاظ على وضع أمني قوي مع الاستمرار في الاستثمار في منتجاتها أو خدماتها. من خلال التدقيق الأمني، يمكن للشريك الأمني تحديد احتياجات العمل الأساسية وما هو الأكثر قيمة، وكيف يمكن حمايتها بشكل أفضل لضمان استمرار العمليات.
في حين أن المناخ الاقتصادي الحالي قد يتنبأ بتقليل الإنفاق، فإن الشراكة مع شركة أمنية أمر يجب إجراؤه في البداية، وليس في نهاية التطوير. ومع مشاركة شريك أمني منذ البداية، يمكنهم ضمان حماية بنية النظام بطبيعتها واتباع منهجية التصميم الآمن.
إذا تم إحضار شريك أمني فقط في نهاية المشروع، فلا يوجد سوى قدر كبير من الأمان الذي يمكن دمجه دون تكبد مراجعات مكلفة وزيادة وقت التطوير. قد تكون هناك أيضًا مشكلات أساسية ضمن البنية الأساسية مما يعني أنها عرضة للهجوم بطبيعتها.
“إن المشاكل التي نواجهها هي عندما يصبح الأمن فكرة لاحقة. هذا هو المكان الذي ننتهي فيه من “Sellotape واللصق”. يقول توريدي: “لديهم ثغرات يستغلها الخصم”. “عندما نأخذ الأمن إلى البداية، ونمتلك عقلية “الأمن أولاً”، فإن هذه الثغرات لا تظهر.”
على الرغم من العدد المتزايد من مجموعات OCG والتهديد السائد المتمثل في برامج الفدية ورسائل التصيد الاحتيالي، إلا أن توريدي يظل واثقًا من نفسه. مثلما استثمرت مجموعات OCG في هجماتها السيبرانية، كذلك قامت المنظمات الأمنية بتطوير أنظمة الحماية الخاصة بها.
كل هجوم سيبراني يترك معلومات حيوية. يمكن للطب الشرعي الرقمي الحصول على البيانات اللازمة لتحليل التهديدات الخاصة بهم. إن الرؤية اللاحقة المستمدة من تحليل التهديدات ستمكن من اتخاذ موقف أمني أكثر قوة ضد الهجمات السيبرانية المستقبلية. إن القدرة على الاستجابة بسرعة لأي حادث أمني يضمن إمكانية احتوائه وعدم تحوله إلى خرق أمني.
“نحن نواجه الزمن عندما يتعلق الأمر بالجهات الفاعلة الأكثر تعقيدًا في مجال التهديد. يقول توريدي: “إن هذه النافذة الزمنية مهمة حقًا”. “إذا كنا نعرف مدى سرعة الخصم، فإننا نعرف الآن مدى السرعة التي يجب أن نكون عليها. لا يتعلق الأمر بمدى سرعة التكنولوجيا فحسب، بل بمدى سرعة العمليات الداخلية.
