مركز الفكر الأمني: أصبحت السحابة أكثر تعقيدًا
أصبحت السحابة مؤخرًا أكثر تعقيدًا وأكثر أهمية من أي وقت مضى؛ لكنني سأترك الجزء الأفضل حتى النهاية. أحد المخاوف الأمنية الرئيسية المتعلقة باستخدام السحابة، على الرغم من أنني أقبل أن هناك العديد منها، هي تكوينات خاطئة. ويؤدي ذلك إلى اختراق البيانات، أو، في حالة القرصنة، تسمح التكوينات الخاطئة بهجمات رفض الخدمة.
حتى عندما تنجح المؤسسة في تكوين وتأمين المحيط، يستخدم الكثيرون السحابة لقدرتها على تخزين كميات هائلة من البيانات. غالبًا ما يتم تنفيذ فصل البيانات وحقوق الوصول والأذونات وتصنيفات البيانات وما إلى ذلك بشكل سيئ، أو يتم تجاهلها عمدًا لتوفير وصول أسرع وأكثر ملاءمة إلى كل تلك البيانات. وهذا يعني أنه في حالة الوصول غير المصرح به، سيتم سحب كميات هائلة من البيانات ووضعها في مواقع استضافة برامج الفدية وسرقة البيانات لتنزيلها.
تقليديًا، يقوم الأشخاص بتوجيه أداة فحص الثغرات الأمنية، تقريبًا في اتجاه خدماتهم. سيقوم البعض بإجراء اختبارات الاختراق واختبارات التكوين وإخفاء الخدمات وسيتم تشغيل الأكثر نضجًا إدارة سطح الهجوم الخارجي برامج (EASM). من المرجح أن أولئك الذين يستخدمون EASM قد تهربوا من العديد من الرصاصات. سيتم تشغيل برامج EASM الناضجة بواسطة فرق الاختبار الداخلية، استخبارات التهديدات السيبرانية فرق (CTI) أو موفري CTI الخارجيين. الهدف هو النظر باستمرار إلى المحيط وما وراءه، ليس فقط النظر إلى ما هو قيد التشغيل والإصدارات والخدمات والمنافذ وضوابط الأمان والتكوينات الخاطئة، ولكن أيضًا خدمات الظل الجديدة، التي يتم إعدادها عادةً عن طريق الخطأ بواسطة مطورين أو مهندسين أو مهندسين معماريين حمر. وهذا ما يؤدي باستمرار إلى حوادث أمنية وانتهاكات للبيانات.
من الناحية المثالية، ستكون برامج EASM على علم بالتهديدات. على سبيل المثال، تبحث فرق CTI باستمرار عما يفعله الممثلون فيما يتعلق بالعمليات والاستهداف وعمليات TTP ومواءمتها مع الخدمات السحابية التي يقومون بتشغيلها لضمان ملاءمة الضوابط. مع تطبيقات السحابة، لم تكن EASM بهذه الأهمية من قبل. خلال فترة كوفيد، عندما تم نشر الخدمات السحابية الجديدة بسرعة للسماح بالعمل عن بعد وطرق جديدة للتفاعل مع العملاء، أصبحت EASM ضرورية بسرعة.
أقوم بإجراء بانتظام اختبارات الاختراق التي يقودها التهديد (TLPT) التي تعد جزءًا من الأطر التنظيمية، مثل CBEST وGBEST في المملكة المتحدة وTIBER في أوروبا. يُطلق على أحد المكونات الرئيسية لعنصر استخبارات التهديد في هذه الاختبارات اسم “استخبارات الاستهداف”. إنه في الأساس استطلاع عدائي لكيان يتضمن أشياء كثيرة، ولكن الأهم من ذلك هو استطلاع محيط الكيان والخدمات السحابية للبحث عن نقاط الضعف التي يمكن استخدامها للحصول على موطئ قدم. على الرغم من أن الاستغلال الفني للخدمة المحيطة من قبل الفريق الأحمر أمر نادر الحدوث ضد الكيانات الناضجة مثل البنوك، إلا أن اكتشاف خدمات الظل ونطاقات IP والمجالات التي لم يكن الكيان على علم بها، ليس نادرًا بالتأكيد.
هناك علاقة مباشرة بين تلك الكيانات التي تعاني من اختراق البنية التحتية السحابية الخاصة بها وتلك التي ليس لديها برامج EASM قيد التشغيل باستمرار.
ومن خلال برامج إدارة الثغرات الجيدة، وEASM واختبار الاختراق المنتظم، ينبغي تخفيف الغالبية العظمى من التهديدات والمخاطر. فلماذا قلت في بداية هذا المقال أن الأمر أصبح في الآونة الأخيرة أكثر تعقيدا وأكثر أهمية؟ لماذا أنا حذر ولماذا سيزداد الأمر سوءًا قبل أن يتحسن؟ لقد خمنت ذلك، الذكاء الاصطناعي (AI). من فضلك، لا تتنهد، هذا ليس ترويجًا للموت ولكن تهديدا حقيقيا النامية. إنه تهديد أقرب إلى الواقع بكثير من العديد من المخاوف المتعلقة بالذكاء الاصطناعي.
بينما أكتب هذا، أقوم بمراجعة ورقة بحثية حول استخدامات الذكاء الاصطناعي في الوقت القريب من قبل الجهات التهديدية، وهناك تطوران ذوا صلة سنراهما على المدى القصير إلى المتوسط. أولاً، ستطرح المؤسسات خدمات جديدة للذكاء الاصطناعي، والتي من المحتمل أن تكون قائمة على السحابة بسبب القدرة الحصانية وتخزين البيانات التي يحتاجونها. سيؤدي هذا إلى زيادة مساحة الهجوم لأي كيان سيحتاج إلى تأمينه، ولكن أيضًا حلول الذكاء الاصطناعي جديدة ومن المرجح أن تكون أقل اختبارًا وأكثر عرضة للخطر. سيكون اختبار الاختراق المنتظم أمرًا ضروريًا.
ثانيًا، هو استخدام الذكاء الاصطناعي من قبل الجهات التهديدية في أدوات الاستطلاع والاستهداف الخاصة بهم. سيتم إنشاء أدوات معززة بالذكاء الاصطناعي من أجل الخير والشر. سيسمح هذا الأخير للمهاجمين ذوي القدرات المتوسطة، بالحصول على فهم مباشر لسطح الهجوم لأجزاء كبيرة من الإنترنت والرد بشكل فوري، دون مطالبة، على التكوينات الخاطئة ونقاط الضعف.
لن يكون لدى المدافعين بضعة أيام أو أسابيع لاكتشاف الأشياء، وسيتم استغلالهم بشكل أسرع بكثير وبطريقة آلية. أنا متأكد من أن أحد البائعين سيقدم قريبًا “الجيل التالي من التكنولوجيا العضوية العميقة المباشرة وأداة إعادة التكوين المظلمة”، ولكن على المدى القصير، استثمر الموارد في EASM لديك، واستثمر في برامج إدارة الثغرات الأمنية والتصحيحات لديك، وشارك مع فرق تكنولوجيا المعلومات لديك حتى يفهموا كيف سيكون الجزء السحابي من بيئتك أكثر أهمية من أي وقت مضى.