كاسبرسكي تحدد أهم العوامل الدافعة لهجمات التهديدات المتقدمة المستمرة
من بين المساهمين الرئيسيين في نجاح عمليات التهديدات المتقدمة المستمرة (APT) داخل شبكات الضحايا إلى العديد من العوامل، تأتي في مقدمتها العوامل البشرية، وعدم كفاية التدابير الأمنية، والتحديات المرتبطة بالتحديثات وإعدادات حلول الأمن السيبراني.
ومع أن بعض هذه الأسباب قد تبدو عادية نوعاً ما، إلا أن خبراء كاسبرسكي كثيراً ما يواجهونها في أثناء تعاملهم مع الحوادث. وقام خبراء الاستجابة للطوارئ الرقمية في نظم الرقابة الصناعية ICS CERT في كاسبرسكي بإعداد قائمة بالمشاكل الأكثر شيوعاً بهدف مساعدة الشركات على الحد من التهديدات ذات الصلة، وضمان تنفيذ أفضل الممارسات في بيئات العمل.
عدم عزل شبكة التكنولوجيا التشغيلية
اكتشف خبراء كاسبرسكي خلال إجرائهم التحقيقات في الحوادث الأمنية المختلفة، وجود مشاكل تتعلق بإبقاء شبكة التكنولوجيا التشغيلية منفصلة وآمنة. وعلى سبيل المثال، توجد هناك أجهزة مثل محطات العمل الهندسية تكون متصلة بشبكة تكنولوجيا المعلومات العادية وشبكة التكنولوجيا التشغيلية في آن واحد.
وقال إيفجيني جونتشاروف، رئيس فريق الاستجابة للطوارئ السيبرانية لأنظمة التحكم الصناعية في كاسبرسكي: “يستطيع المهاجمون المتمرسون إعادة ضبط إعدادات الأجهزة لصالحهم في تلك المواقف التي يعتمد فيها عزل شبكة التكنولوجيا التشغيلية بشكل حصري على إعادة ضبط إعدادات معدات الشبكات. وعلى سبيل المثال، يمكنهم تحويلها إلى خوادم بروكسي للتحكم في حركة مرور البرامج الخبيثة، كما يستطيعون استخدامها أيضاً لتخزين البرامج الخبيثة، ومن ثم نشرها عبر الشبكات التي يعتقد خبراء الأمن أنها معزولة، حيث اكتشفنا وجود مثل هذه الأنشطة الخبيثة في العديد من الحالات والمواقف”.
العامل البشري يبقى محرك لأنشطة المجرمين السيبرانيين
عندما يمنح الموظفون أو المقاولون إمكانية الوصول إلى شبكات التكنولوجيا التشغيلية، يتم التغاضي عن إجراءات أمن المعلومات في الغالب. ويمكن أن تبقى الأدوات الإدارية المساعدة عن بُعد، مثل TeamViewer أو Anydesk التي تم إعدادها مؤقتاً في البداية، فعالة من دون أن يلاحظها أحد. وهنا ينبغي التنويه إلى أنه يكون من السهل على المجرمين السيبرانيين استغلال هذه القنوات. وحققت كاسبرسكي خلال العام الحالي في حادثة حاول فيها أحد المقاولين القيام بأعمال تخريبية، بعد أن تم منحه وبطريقة شرعية حق الوصول عن بُعد إلى شبكة أنظمة التحكم قبل عدة سنوات.
إن مثل هذه القصة وغيرها من الحوادث ذات الصلة توضح أهمية وضع العامل البشري في الحسبان، لأن أي موظف غير راضٍ إزاء التقييم في العمل أو الدخل أو لأي دوافع أخرى، قد تؤدي به إلى الانخراط في أعمال الجريمة الإلكترونية.
وفي مثل هذه الحالة، يمكن اللجوء إلى مبدأ “عدم منح الثقة المطلقة”، وهو المفهوم الذي يفترض عدم الوثوق بالمستخدم أو الجهاز أو التطبيق داخل النظام. وعلى العكس من هذه الحلول، تعمد كاسبرسكي إلى توسعة نطاق هذا النهج وصولاً إلى مستوى نظام التشغيل، وذلك من خلال حلولها المبنية إلى نظامها التشغيلي KasperskyOS.
حماية غير كافية لأصول شبكة التكنولوجيا التشغيلية
اكتشف خبراء كاسبرسكي وجود قواعد بيانات قديمة للحلول الأمنية في أثناء قيامهم بتحليل الحوادث، إضافة إلى مفاتيح تراخيص مفقودة، وآثار محاولات قام بها المستخدمون لإزالة المفاتيح، فضلاً عن مكونات لأنظمة أمنية معطلة، وجهود مفرطة لاستبعاد المخاطر من خلال الفحوص والحماية، حيث تسهم هذه العوامل جميعها في انتشار البرامج الخبيثة.
وإذا كانت قواعد البيانات غير محدّثة، إلى جانب تعذّر تحديث الحلول الأمنية بطرق تلقائية، فإن ذلك يسمح بانتشار التهديدات المتقدمة بسرعة وبسهولة، كما هو الحال في هجمات التهديدات المتقدمة المستمرة، حيث يحاول المعتدون الذين يشنّون التهديدات المتطورة التخفي عن الأنظار دون اكتشاف ممارساتهم.
الإعدادات غير الآمنة للحلول الأمنية
من المعروف أن الإعدادات المناسبة للحلول الأمنية تعتبر على قدرٍ عالٍ من الأهمية لتجنب تعرضها لأي أعطال، أو حتى لتفادي إساءة استخدامها، خاصة من قبل المجموعات أو الجهات التي تطلق هجمات التهديدات المتقدمة المستمرة. ويقوم هؤلاء المجرمون السيبرانيون بسرقة المعلومات الموجودة على شبكات الضحايا، وتحديداً تلك المخزنة في الحل الأمني للوصول إلى أجزاء أخرى من النظام، أو التحرك بشكل جانبي، باستخدام إحدى اللغات الاحترافية لتقنية المعلومات.
وتمكن فريق الاستجابة للطوارئ الرقمية في نظم الرقابة الصناعية ICS CERT في كاسبرسكي في العام الماضي 2022، من رصد اتجاه جديد في الطرق التي يعتمدها المجرمون السيبرانيون لشن هجمات التهديدات المتقدمة المستمرة، الأمر الذي يبرز أهمية استخدام الإعدادات المناسبة. وعلى سبيل المثال، لم يعد المهاجمون يتوقفون عند اختطاف أنظمة تكنولوجيا المعلومات المهمة، مثل وحدة التحكم بالنطاق، خلال إجرائهم عملية البحث عن طرق للتحرك بشكل جانبي، بل إنهم يواصلون التقدم لبلوغ الهدف التالي المتمثل في خوادم إدارة الحلول الأمنية. وهنا قد تتفاوت الأهداف، وقد تبدأ من غرس البرامج الخبيثة في قائمة البرامج التي لن يتم التحقق منها، وصولاً إلى زرع الأدوات الخبيثة في النظام الأمني حتى يتم نشرها على نطاق أوسع للوصول إلى أنظمة أخرى، حتى تلك التي يفترض أن تكون منفصلة تماماً عن الشبكة المصابة.
غياب حماية الأمن السيبراني في شبكات التكنولوجيا التشغيلية
ربما يكون من الصعب على الكثيرين تصديق مسألة غياب حماية الأمن السيبراني، ولكن يلاحظ أنه لا يتم في بعض الأحيان تثبيت حلول الأمن السيبراني على العديد من نقاط النهاية مطلقاً في بعض شبكات التكنولوجيا التشغيلية.
وحتى لو كانت تلك الشبكة منفصلة تماماً عن الشبكات الأخرى وغير متصلة بالإنترنت، يمكن للمهاجمين السيبرانيين الاستعانة بطرق معينة لمساعدتهم على الوصول إليها. ومن ذلك على سبيل المثال قدرتهم على إنشاء إصدارات خاصة من البرامج الخبيثة التي يتم توزيعها عبر محركات أقراص قابلة للإزالة، مثل وحدات USB.
تحديات التحديثات الأمنية لمحطات العمل والخوادم
تتميز أنظمة التحكم الصناعية بطريقة أداء فريدة، حيث تحتاج المهام حتى البسيطة منها، مثل تثبيت التحديثات الأمنية على محطات العمل والخوادم، إلى عملية اختبار دقيقة للغاية. وفي الغالب، يحدث هذا الاختبار في أثناء إجراء عمليات الصيانة المحددة مسبقاً، ما يعني عدم تكرار تلك التحديثات. وبالتالي، يمنح هذا الوضع المعتدين السيبرانيين المزيد من الوقت لاستغلال نقاط الضعف المعروفة بهدف تنفيذ الهجمات التي يخططون لها.
ويضيف جونتشاروف: “قد يتطلب تحديث نظام تشغيل الخادم في بعض الحالات، إجراء تحديث للبرامج المتخصصة (مثل خادم “سكادا”)، علما أنه يتطلب بدوره ترقية الأجهزة ذاتها، وما قد يترتب عليه من تكاليف باهظة للغاية. وبالتالي، قد توجد أنظمة قديمة في شبكات أنظمة التحكم الصناعية. ومن المدهش معرفة أن الأنظمة المرتبطة بالشبكة في المؤسسات الصناعية، يمكن أن تبقى عرضة للخطر لفترة طويلة، مع أنه يمكن تحديثها بسهولة نسبياً. ومن شأن ذلك أن يضع التكنولوجيا التشغيلية عرضة للهجمات ومخاطر أخرى جسيمة، وفق ما أظهرته سيناريوهات الهجمات على أرض الواقع في الكثير من الحالات”.
يشار إلى أنه يتم نشر المزيد من النصائح على مدونة كاسبرسكي ICS CERT، مثل تلك المتعلقة بترتيب وإعدادات الحلول الأمنية، وعزل شبكات التقنيات التشغيلية، وحماية الأنظمة، وتشغيل نظام التشغيل القديم، وبرامج التطبيقات، والبرامج الثابتة للأجهزة.
ولحماية مؤسستك من هذه التهديدات، يوصي خبراء كاسبرسكي باتباع الإرشادات التالية:
• إذا كانت المؤسسة تعتمد على تقنية تشغيلية أو بنية تحتية حيوية، ينصح بفصلها عن شبكة الشركة، أو الابتعاد تماماً عن الاتصالات غير المصرح بها على الأقل.
• إجراء عمليات تدقيق أمنية منتظمة لأنظمة العمليات التشغيلية لتحديد نقاط الضعف المحتملة والتخلص منها تماماً.
• إنشاء تقييم مستمر لمكامن الضعف وإدارتها بصورة مستمرة.
• استخدام حلول مراقبة وتحليل واكتشاف حركة المرور عبر شبكة الأنظمة الأمنية، لضمان أفضل مستوى من الحماية ضد الهجمات التي قد تهدد العمليات التكنولوجية والأصول الرئيسية في الشركة.
• حماية نقاط النهاية الصناعية ونقاط النهاية الخاصة بالشركة، عن طريقة الاستعانة بالحلول المتقدمة في هذا المجال، مثل حل Kaspersky Industrial CyberSecurity، لتوفير حماية مخصصة لنقاط النهاية ومراقبة الشبكة للكشف عن أي نشاط مشبوه قد يلحق الضرر بالشبكة الصناعية.
• لفهم المخاطر المرتبطة بالثغرات الأمنية في حلول التكنولوجيا التشغيلية بطريقة أكثر واقعية، واتخاذ قرارات المستندة إلى المعلومات للحد من تبعاتها، توصي كاسبرسكي بالرجوع إلى Kaspersky ICS Vulnerability Intelligence على شكل تقرير أو موجز يمكن قراءتها بما يتماشى مع قدراتك واحتياجاتك الفنية.
• ضرورة إجراء التدريب الأمني المخصص لفرق أمن تكنولوجيا المعلومات ومهندسي التكنولوجيا التشغيلية، وذلك بهدف تحسين الاستجابة لمواجهة التقنيات الخبيثة الجديدة والمتقدمة.