أنواع المخترقين: فهم التهديدات وبناء دفاعات سيبرانية قوية

8 min read Aldawsari
دقائق القراءة: 8

مقدمة: لماذا يجب أن تفهم خصومك السيبرانيين؟

في عالم الأمن السيبراني المتطور باستمرار، لا يكفي مجرد تطبيق تدابير دفاعية عامة. لكي تتمكن من حماية أنظمتك وبياناتك بفعالية، يجب عليك أولاً أن تفهم جيدًا من تحاول الدفاع ضدّه. يتخذ المهاجمون السيبرانيون أشكالًا وأنماطًا مختلفة، ولكل منهم دوافعه وأساليبه وتقنياته وإجراءاته (TTPs) الخاصة به. إن تحديد الجهات الفاعلة أو مجموعات المهاجمين المحتملين الذين قد يستهدفون أنظمتك يمكن أن يساعدك في تحديد أولويات إجراءات التخفيف الأكثر أهمية وتخصيص مواردك الأمنية بذكاء.

أنواع المخترقين ودوافعهم

دعونا نتعمق في التصنيفات الرئيسية للمخترقين لفهم طبيعة التهديدات التي يمثلونها:

1. صغار البرمجيات (Script Kiddies)

يمثل Script Kiddies المخترقين الأقل خبرة تقنيًا. غالبًا ما يكونون صغار السن، حتى في سن المراهقة، ويفتقرون إلى القدرة على كتابة أكوادهم أو استغلالاتهم الخاصة. بدلاً من ذلك، يعتمدون على الأدوات والبرامج التي طورها آخرون. دافعهم الرئيسي عادة ما يكون المرح أو الرغبة في إثبات الذات. يستخدمون بشكل شائع هجمات التصيد الاحتيالي (phishing attacks) أو أدوات اشتروها من الأسواق المظلمة (dark web marketplaces) أو أدوات مجانية متاحة. لقد ارتبطوا في الماضي باختراقات استهدفت شركات ألعاب الفيديو.

2. المجرمون السيبرانيون (Cyber Criminals)

يتراوح المجرمون السيبرانيون في مستوى تعقيدهم التقني من Script Kiddies إلى عصابات منظمة بالكامل، حيث يؤدي كل عضو دورًا مختلفًا في حلقة الجريمة السيبرانية. إنهم مسؤولون عن غالبية اختراقات البيانات ودوافعهم الأساسية هي المال. يشتهرون بعمليات الاحتيال على أجهزة الصراف الآلي (ATM fraud) المعروفة باسم jackpotting، وسرقة بطاقات الائتمان وبطاقات الهدايا، وهجمات الفدية (ransomware)، وسرقة البيانات، وغيرها من الهجمات.

حملات التصيد الاحتيالي واسعة النطاق

الهجوم الأكثر شيوعًا من المجرمين السيبرانيين هو حملات التصيد الاحتيالي واسعة النطاق، حيث يمكن استخدامها لتوزيع برامج الفدية أو لتمكين سرقة البيانات. عندما ينقر مستخدم غير حذر على رابط أو يفتح مرفقًا، تصاب أجهزته ببرنامج الفدية (برنامج ضار يقوم بقفل ملفاته حتى يدفع فدية، عادة بعملة رقمية). بدلاً من ذلك، قد يطلب رابط التصيد الاحتيالي بيانات اعتماد المستخدم (اسم المستخدم وكلمة المرور) ثم يستخدم تلك المعلومات لسرقة المعلومات أو ابتزاز المستخدم.

الدفاع ضد المجرمين السيبرانيين

تتمثل الحماية ضد المجرمين السيبرانيين عمومًا في أن تكون أكثر أمانًا من ‘جيرانك’، حيث يبحث المجرمون السيبرانيون عن الهدف الأسهل. يمكن أن يساعد تصفية البريد العشوائي التلقائية، وفحص مرفقات البريد الإلكتروني والروابط، وتدابير مثل DMARC و SPF و DKIM في تقليل عدد رسائل التصيد الاحتيالي التي تصل إلى المستخدمين. يمكن أن تساعد برامج التوعية الأمنية أيضًا المستخدمين في تحديد رسائل التصيد الاحتيالي التي تفوتها المرشحات والإبلاغ عنها إلى فريق الأمن.

صيد الفرائس الكبيرة (Big Game Hunting)

في السنوات القليلة الماضية، تغير هذا إلى حد ما، حيث أصبح ‘صيد الفرائس الكبيرة’ أكثر شيوعًا. هذا هو عندما يختار المجرمون السيبرانيون كيانًا كبيرًا (غالبًا ما يكون لديه تسامح منخفض مع وقت التوقف) لاستهدافه، ويقضون أسابيع أو أشهر في محاولة اختراق شبكة الهدف، بحثًا تحديدًا عن الأصول عالية القيمة. ثم يقومون بنشر برامج الفدية واستخدام عدم قدرة الشركة على التعامل مع وقت التوقف للتفاوض على فدية (بالإضافة إلى سرقة البيانات واستغلال التهديد بتسريب تلك البيانات لحث الشركة على دفع الفدية). يميل هؤلاء المجرمون إلى أن يكونوا متطورين نسبيًا، ويمنحون الأولوية للتخفي. الحماية ضد هذه المجموعات أكثر صعوبة وتعتمد على دفاع متعدد الطبقات (عدد لا يحصى من آليات الحماية والتنبيه لحماية الأنظمة، واكتشاف الاختراقات، وتخفيف الثغرات الأمنية).

3. المخترقون النشطاء (Hacktivists)

يتحرك المخترقون النشطاء بدوافع قضايا معينة (سياسية، اقتصادية، دينية، وما إلى ذلك). بعض هؤلاء الفاعلين يعملون بشكل فردي، وبعضهم ينتمي إلى مجموعات مثل Anonymous (المعروفة بسلسلة من الهجمات على كنيسة السيانتولوجيا). غالبًا ما تستخدم هذه المجموعات هجمات حجب الخدمة الموزعة (DDoS) وتشويه المواقع الإلكترونية (website defacements).

  • هجوم DDoS: يحدث عندما يغمر المهاجم خادمًا بعدد كبير جدًا من الطلبات بحيث يصبح غير قادر على التعامل مع حركة المرور ويتعطل (غالبًا باستخدام شبكة روبوتات أو botnet).
  • تشويه المواقع: يحدث عندما تقوم مجموعة بإزالة الرسالة أو الصور المعروضة حاليًا على موقع ويب واستبدالها برسائلها أو صورها الخاصة.

لا يهدف المخترقون النشطاء عمومًا إلى المال أو سرقة البيانات (إلا إذا اعتقدوا أن كشف البيانات سيتسبب في إدانة أو إحراج الهدف)، بل يريدون نشر رسالتهم أو الإعلان عن قضيتهم. الحماية ضد هذه الهجمات تتطلب فحص المواقع العامة بحثًا عن الثغرات الأمنية، ووجود فريق استجابة للحوادث (وخطة استجابة للحوادث!)، ووجود حماية في مكانها للتخفيف من ارتفاعات حركة المرور المفاجئة (على سبيل المثال، Amazon Shield لخدمات AWS).

4. التهديدات الداخلية (Insider Threat)

يمكن تقسيم التهديدات الداخلية على نطاق واسع إلى مجموعتين: الموظفون الداخليون الخبيثون، والموظفون الداخليون العرضيون.

  • الموظفون الداخليون الخبيثون: هم أولئك الذين تم اختراقهم من قبل طرف خارجي، أو الذين قرروا السرقة من المنظمة لتحقيق مكاسب شخصية. الأشخاص الغاضبون من طردهم أو عدم ترقيتهم ويريدون الانتقام، أو الذين يحاولون سرقة معلومات للتداول من الداخل، هم أمثلة على الموظفين الداخليين الخبيثين.
  • الموظفون الداخليون العرضيون: يشملون أولئك الذين نقروا على رابط تصيد احتيالي (وتم اختراق حسابهم)، أو قاموا بتكوين قاعدة بيانات خاطئة، أو أرسلوا عن طريق الخطأ معلومات حساسة إلى الشخص الخطأ.

بغض النظر عن دوافع الموظف الداخلي، فإنهم يشكلون أحد أخطر التهديدات لأي منظمة. يجب أن يكون الشاغل الأساسي للتهديدات الداخلية هو سرقة البيانات، حيث تكون المعلومات عادة هي الهدف من هذا النوع من الهجمات. يجب أن تعتمد الدفاعات ضد التهديدات الداخلية بشكل كبير على التوعية الأمنية. يرغب الناس في أن يكونوا مفيدين، وهي سمة سيستغلها المخترقون من خلال هجمات الهندسة الاجتماعية للحصول على المعلومات. تستخدم برامج الأمن عادة التدريب الأمني، وبرامج ‘أبطال الأمن’ (Security Champions)، ومبادرات التوعية لتثقيف موظفيها حول هذا التهديد. بالإضافة إلى ذلك، يمكن أن يساعد المراقبة الشاملة للشبكات الداخلية بحثًا عن سلوك غير عادي (غالبًا باستخدام تحليلات سلوك المستخدم أو user behavior analytics) في تحديد التهديدات الداخلية والتخفيف منها.

5. مهاجمو الدول القومية (Nation State Attackers)

في عام 2018، كان مهاجمو الدول القومية مسؤولين عن 12% فقط من جميع اختراقات البيانات (وفقًا لتقرير اختراق البيانات من Verizon). ومع ذلك، فهم عمومًا مدربون جيدًا، وممولون جيدًا، ودوافعهم قوية للغاية. على عكس الموظفين الداخليين (الذين غالبًا ما يكونون غير مدربين جيدًا) أو المجرمين السيبرانيين (الذين لا يكونون متحفزين عمومًا لمهاجمة أهداف محددة)، بمجرد أن يستهدف مهاجمو الدول القومية (المعروفون أيضًا باسم APT، أو Advanced Persistent Threats) مؤسستك، فمن غير المرجح أن يتوقفوا حتى يخترقوا المنظمة.

غالبًا ما يكون هؤلاء المهاجمون موظفين برواتب، يعملون لدى وكالات استخبارات حول العالم. تختلف أهداف الدول القومية حسب البلد، ولكنها مصممة عمومًا لتعزيز الأهداف السياسية والاقتصادية للبلد. يشتهر هؤلاء المهاجمون بمجموعة من التكتيكات (أي شيء سيساعدهم على اختراق مؤسستك)، ولكن من المعروف أنهم يستخدمون هجمات التصيد الاحتيالي الموجه (spear phishing attacks)، والبرامج الضارة المخصصة (custom malware)، وهجمات اليوم الصفري (zero day attacks).

على عكس المجرمين السيبرانيين الذين يرغبون في تحقيق الدخل بسرعة من الأصول، يسعى مهاجمو الدول القومية غالبًا إلى الوصول طويل الأمد إلى بنيتك التحتية. سيبذلون قصارى جهدهم للحصول على الوصول الأولي بهدوء (ومن خلال نقاط دخول متعددة)، ثم يتحركون بهدوء عبر شبكاتك، ويرسمون خريطة لأكبر قدر ممكن. بهذه الطريقة، تقل احتمالية اكتشافهم، وتزداد احتمالية العثور على هدفهم، وسرقة البيانات دون أن يتم القبض عليهم. تعتمد الحماية ضد هذه المنظمات على أساسيات أمنية قوية في جميع أنحاء مؤسستك (مثل برامج إدارة التصحيحات والثغرات الأمنية، وبرامج التوعية الأمنية، والمراقبة والكشف، والاستجابة الفعالة للحوادث، وغيرها)، وحماية أكثر تقدمًا (مثل استخبارات التهديدات أو threat intelligence، والتي يمكن أن تساعدك في تحديد الجهات الفاعلة في التهديد التي قد تستهدف مؤسستك).

لماذا يهم نوع المهاجم الذي يستهدف مؤسستك؟

نظرًا لأن الموارد ليست لانهائية، يحتاج كل برنامج أمني إلى تحديد أولويات بعض الحمايات على حساب أخرى ولا يمكنه الحماية بفعالية ضد جميع الهجمات. قد تكون لديهم أيضًا قدرة محدودة على تنفيذ الضوابط بناءً على احتياجات العمل. يحتاج فريق الأمن الفعال إلى اختيار كيفية إنفاق نفوذه بحكمة عند التوصية بأداة أمنية.

بالنظر إلى ذلك، تتمثل إحدى فلسفات كيفية اختيار الضوابط التي يجب تحديد أولوياتها في إجراء ‘نمذجة التهديدات’ (threat modeling). على مستوى عالٍ جدًا، تم تصميم نمذجة التهديدات لتحديد الأصول الأكثر قيمة للمنظمة (أو ‘جواهر التاج’ crown jewels) وتحديد الجهات الفاعلة في التهديد (سواء حسب النوع عالي المستوى، وحتى المجموعات المحددة) التي من المرجح أن تهاجم المنظمة. قد يتضمن ذلك أيضًا تحديد الهجمات، أو أنواع الهجمات، التي من المرجح أن تواجهها المنظمة.

يمكن أن تساعد هذه المعلومات فريق الأمن في تحديد الضوابط الأكثر فعالية لبيئتهم وستوفر أكبر حماية مقابل التكلفة. بعد ذلك، يمكن للفريق تحديد أولويات الإجراءات الأمنية الأكثر أهمية لبيئتهم، والاستفادة القصوى من الموارد المحدودة والنفوذ المحدود لحماية بيئتهم من التهديدات التي من المرجح أن يواجهوها.

الخلاصة التقنية

إن فهم المشهد المتنوع للمهاجمين السيبرانيين، بدءًا من Script Kiddies ذوي الدوافع البسيطة وصولًا إلى مهاجمي الدول القومية شديدي التعقيد والتنظيم، هو حجر الزاوية في أي استراتيجية دفاع سيبراني فعالة. لا يمكن للمؤسسات أن تتبنى نهجًا واحدًا يناسب الجميع؛ بل يجب أن تقوم بتكييف دفاعاتها بناءً على تقييم دقيق للتهديدات الأكثر احتمالًا التي تواجهها وأصولها الأكثر قيمة. إن تطبيق نمذجة التهديدات وتطوير دفاعات متعددة الطبقات، بالإضافة إلى التوعية الأمنية المستمرة، يمثل الركائز الأساسية لبناء مرونة سيبرانية قوية وقادرة على مواجهة التحديات المتزايدة في الفضاء الرقمي.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *