هناك هجوم سيبراني جاري. يوجد دخيل داخل شبكتك: يتحرك بحرية، ويجمع البيانات، ويقوم بإعداد عقدة القيادة والتحكم (C&C) للاتصالات المستقبلية. إلا أنك هذه المرة تراقبهم، ويمكنك أن ترى ما يفعلونه. وتبقى المعضلة: ماذا تفعل؟ هل تسمح لهم بمواصلة عبور الشبكة أثناء عملك، أو تنتظر وصول متخصصي الطب الشرعي أو تجد طريقة لإيقافهم؟
في وقت سابق من هذا العام، أ بي بي سي تقرير إخباري على حادثة التعاون ادعى أن فريق تكنولوجيا المعلومات في متاجر التجزئة في المملكة المتحدة “اتخذ قرارًا بإيقاف خدمات الكمبيوتر عن الاتصال بالإنترنت، مما منع المجرمين من مواصلة اختراقهم”.
أرسل المجرمون رسالة إلى بي بي سي، قائلاً: “لم تتعرض شبكة Co-op مطلقًا لبرامج الفدية. لقد انتزعوا المكونات الخاصة بهم – مما أدى إلى استنزاف المبيعات وحرق الخدمات اللوجستية وإحراق قيمة المساهمين.”
وقالت Co-op في بيانها إنها “اتخذت إجراءات مبكرة وحاسمة لحماية تعاونيتنا، بما في ذلك تقييد الوصول إلى بعض الأنظمة”، مما ساعد على احتواء المشكلة، ومنع الوصول إلى المزيد من البيانات وحماية المنظمة الأوسع.
وعندما تم استجواب ممثلي التعاونيات في اللجنة الفرعية للأعمال والتجارة في يوليو/تموز، لم يستخدموا عبارة “سحب القابس” مباشرة. لكن روب إلسي، كبير مسؤولي المعلومات الرقمية بالمجموعة في Co-op، وقال إن VPN والوصول عن بعد مقيدان “كوسيلة لضمان قدرتنا على إبعاد المجرمين عن أنظمتنا”.
وأوضح Elsey أن البرنامج الموجود داخل شبكته كان “يحاول بشكل فعال التواصل مع موقع الويب الخاص بممثل التهديد”، وبعد تحديد المصدر، اتخذ الفريق إجراء استباقيًا بإيقاف جميع الاتصالات مؤقتًا داخل تلك المنطقة.
وشدد على أن هذا لا يعني “سحب القابس”. أنظمة التعاونيات “مفصولة بشكل كبير، مما يعني أن هذا كان يركز بشكل كبير على منطقة واحدة محددة”. وقال للجنة: “طوال ذلك، استمرت جميع أعمالنا عبر الإنترنت في العمل بشكل طبيعي، وتم تقسيم متاجر البيع بالتجزئة والمدفوعات لدينا، لذلك لم تكن جزءًا من هذا الهجوم”.
أي قابس تسحب؟
ما إذا كانت Co-op قد سحبت القابس حقًا أم لا، فهذا أمر مفتوح للتفسير. ولكن في أعقاب الأحكام الأخيرة بشأن مدفوعات برامج الفدية، قد يؤدي خيار اتخاذ إجراءات فورية إلى قرارات أكثر واقعية.
إيف كونتسيفوي، الرئيس التنفيذي لشركة النقل الفورييقول، إنه على الرغم من أن سحب القابس قد يكون تكتيكًا فعالًا على المدى القصير، إلا أنه “نهج مطرقة ثقيلة، وليس استراتيجية”، مضيفًا: “إن جعل الأنظمة غير متصلة بالإنترنت قد يوقف الحركة الجانبية أو تسرب البيانات في الوقت الحالي، لكنه لا يحل المشكلة الجذرية: كيفية دخول المهاجمين، ومدة وجودهم هناك، وما الذي يمكنهم الوصول إليه. كما أنه يسبب تعطيلًا غير ضروري للأعمال، وهو أحد التأثيرات الملموسة للهجمات السيبرانية هذه الأيام. لا ينبغي لنا أن نفعل ذلك تشجيع المزيد من الاضطراب عن طريق إيقاف تشغيل الأنظمة.
تيم رولينز، المدير والمستشار الأول في مجموعة إن سي سي، يقول لـ Computer Weekly أن الأمر ليس بسيطًا مثل مجرد “سحب القابس”. ويقول إن السؤال الحاسم هو: أي القابس متصل بالعالم الخارجي أم متصل بالشبكة الداخلية؟
ويقول: “عندما يتحدث الناس عن سحب القابس، لا نريدهم أن يقوموا بإيقاف تشغيل الأنظمة بالكامل، لأننا بعد ذلك نفقد كل الأدلة الجنائية المتطايرة – البيانات الموجودة في الذاكرة. وإذا سحبت القابس بالمعنى الكلاسيكي “أطفئه، أعد تشغيله مرة أخرى”، فهذا ما نخسره”.
بدلاً من ذلك، ينصح رولينز بالصواب تجزئة الشبكة: “أنت تحاول زيادة صعوبة الانتقال من هذا الجزء إلى ذلك الجزء. فهو إما منفصل ماديًا تمامًا، أو به جدران حماية مع تحكم إضافي في الوصول يعتمد على الأدوار.”
ويضيف أن تقسيم الشبكة هو أفضل الممارسات بغض النظر. وفي حالة حدوث هجوم، فإن ذلك يجعل الحركة الجانبية أكثر صعوبة. يقول رولينز: “إذا تمكنت من سحب قابس الشبكة، وليس قابس الطاقة، فيمكنك تقليل فرص انتشاره من مضيف واحد إلى مضيفين متعددين – وهنا يأتي دور “سحب القابس”.
“هناك عنصر من عناصر إغلاق الأشياء التي تعتقد أنه لم يتم اختراقها. إذا كان بإمكانك رؤية المسار الذي وصلت إليه، فيمكنك استباق ذلك وإيقاف الوصول إليه. ولكن عليك التأكد من فشله بأمان. إذا قمت فقط بإيقاف تشغيل النظام – اسحب القابس حرفيًا – فسوف تتعطل الكثير من الأنظمة.
“يمكنك بدلاً من ذلك إغلاقها بحيث تكون خاملة وغير متاحة للهجوم – وهذا ما ستفعله الكثير من المنظمات. الاختصار هو سحب القابس، والاختصار هو أنه يتعين عليك التفكير في الأمر بعناية أكبر قليلاً.”
السياق مهم
فالمسألة ليست مجرد سحب القابس، بل ما يتطلبه الوضع. وفي استطلاع للرأي أجراه هذا المراسل على LinkedIn حول هذا الموضوع، قال 55% من المشاركين إن سحب القابس هو أفضل طريقة لوقف الهجوم في مساراته. ومع ذلك، أوضحت التعليقات على الاستطلاع أنه ليس ثنائيًا إلى هذا الحد. وقال أحد المشاركين إن الأمر كان “جذريًا، وهو الملاذ الأخير”. وشدد آخرون على الحاجة إلى النظر في “البنية، والتجزئة، والخوادم الهامة، ونوع الحادث والعديد من نقاط البيانات” قبل التصرف.
تيم أندرسون، كبير مسؤولي العملاء في المملكة المتحدة في سايبر سي اكس، يوضح أنه على الرغم من أن إيقاف الخوادم عن الاتصال بالإنترنت يعد خطوة شائعة وفعالة في كثير من الأحيان، إلا أنها ليست واضحة ويمكن أن تؤدي إلى مخاطر جديدة.
ويقول: “من المهم استهداف الأنظمة الصحيحة”. “بالنظر إلى مدى ترابط أنظمة الكمبيوتر الحديثة – داخليًا وعلى الإنترنت – فإن إيقاف تشغيل كل شيء يمكن أن يكون معقدًا ويستغرق وقتًا طويلاً ومدمرًا.
“حيثما أمكن، يفضل فريق الطب الشرعي الرقمي والمستجيبون للحوادث عزل الشبكة “الجراحي” لأنظمة أو أجزاء معينة من الشبكة. وهذا يؤدي بشكل فعال إلى فصل الأنظمة المتأثرة عن الإنترنت، بدلاً من سحب الطاقة. ويمكن أن يحتوي هذا الهجوم ويتيح للمحققين وقتًا حاسمًا لفهم الحجم والتأثير.”
ويعترف بأن سحب القابس يمكن أن يكون فعالاً في بعض الأحيان، لكنه ليس مفضلاً. يمكن أن يكون الأمر مزعجًا للغاية، وغالبًا ما ينشر المهاجمون المتطورون طرقًا لاستعادة الوصول بمجرد عودة الأنظمة إلى الاتصال بالإنترنت.
الاعتراف بالفشل؟
زاوية أخرى هي الإدراك. إذا قمت بسحب القابس، فهل تعترف فعليًا بالفشل؟ رافال لوس، مضيف البودكاست ورئيس خدمات GTM في اكستراهوب، يقترح نعم. ويقول: “هذا أحد الأشياء القليلة التي قد أطرد رئيس أمن المعلومات بسببها – هل تواجه مشكلة أمنية ويتعين عليك إغلاق عملك؟ لقد تم طردك”.
يستشهد لوس دودة SQL Slammer 2003 كمثال على متى انهارت الشبكات بالكامل، وترك إيقاف التشغيل هو الخيار الوحيد. ولكن بعد 18 شهرًا فقط، كما يقول، سمحت الممارسات الأفضل بمزيد من التدخلات الجراحية، مثل إغلاق أجزاء أو منافذ معينة من الشبكة.
يقول لوس: “في عام 2025، لا يمكن أن تكون هذه استراتيجية فعالة”. “إذا كان الجواب هو “أوقف كل شيء”، فهذا يعني أن لديك ما تعتبره نزيفًا لا يمكن السيطرة عليه في أحد أصابعك، وإجابتك هي قطعه.”
ويشير إلى أن التقسيم الجزئي وانعدام الثقة قد تمت مناقشتهما لسنوات. إذا كان دليل اللعب لا يزال ينتهي بسحب كابل الطاقة، فهذا يشير إلى أنك فقدت الرؤية والتحكم. ويقول: “في تلك المرحلة، هذا هو أسوأ كابوس على الإطلاق لكل خبير في الأمن السيبراني”. “لا أستطيع أن أتخيل إعطاء النصيحة لشخص ما لإغلاقه. يبدو هذا، أجرؤ على القول، غير مسؤول”.
السابقة
وعلى الرغم من هذه التحذيرات، هناك أمثلة بارزة لعمليات قطع الإنترنت. وفق نيوزويكفي عام 2012، أدى الهجوم السيبراني على شركة أرامكو السعودية إلى قيام فيروس شمعون بحذف محركات الأقراص الثابتة، مما أجبر الشركة على تدمير أكثر من 30 ألف جهاز كمبيوتر.
بصورة مماثلة، هجوم 2021 على خط أنابيب كولونيال أدى إلى قطع اتصال العديد من الأنظمة لاحتواء الاختراق. أدت هذه الخطوة إلى إيقاف عمليات خطوط الأنابيب مؤقتًا وتعطيل أنظمة تكنولوجيا المعلومات المتعددة.
يقر لوس بوجود حالات متطرفة يكون فيها إغلاق كل شيء هو الخيار الوحيد. لكنه قال، إذا كان هذا هو الحل الوحيد المطروح على الطاولة، فهو يعكس كوننا “غير مستعدين على الإطلاق كمنظمة”.
واتفق رولينز على أن قطع الوصول إلى الإنترنت أثناء الهجوم قد يكون منطقيًا في بعض الأحيان، لأنه يحرم المهاجمين من عقدة القيادة والتحكم الخاصة بهم. ولكن العواقب الأوسع نطاقا ــ وما الذي يعتمد على هذا الاتصال ــ لابد وأن توضع في الحسبان.
الأفكار النهائية
غالبًا ما تصور الصور الخيالية للأمن السيبراني سحب القابس كحل درامي. لكن في الواقع، نادرًا ما يكون هذا هو الخيار الأخير أو الأفضل. وفي أغلب الأحيان، يعكس هذا ضعف بنية الشبكة أو عدم كفاية التجزئة.
يكمن الحل الحقيقي في الاستعداد: التقسيم، وأدلة اللعب، وخطط الاستجابة للحوادث التي تم التدريب عليها. في مجال الأمن السيبراني، قد يؤدي إيقاف تشغيله وتشغيله مرة أخرى إلى حل بعض المشكلات – ولكن عندما يتعلق الأمر بهجوم نشط، نادرًا ما يكون هذا هو الخيار الأفضل.
