تكنولوجيا

ما هو التهديد المتقدم والمستمر؟

مارس 8, 2022
بقلم رائد الأعمال العربي
19 قراءات
ما هو التهديد المتقدم والمستمر؟
بقلم رائد الأعمال العربي

التهديد المستمر المتقدم هو نوع من الهجوم حيث يقوم المتسلل أو أي مستخدم غير مصرح له بالوصول بقوة إلى نظام أو شبكة لفترة طويلة ويبقى هناك دون أن يلاحظها أحد.

تعتبر التهديدات المستمرة المتقدمة (APT) خطيرة بشكل استثنائي، لا سيما بالنسبة للمؤسسات لأن هؤلاء المتسللين لديهم وصول ثابت إلى بيانات الشركة شديدة السرية. الهدف الأساسي للتهديدات المستمرة المتقدمة ليس التسبب في أي ضرر لأي أجهزة أو شبكة محلية، بل يتعلق أكثر بسرقة البيانات.

ما هي خطوات التهديد المستمر المتقدم وكيف يعمل؟

عادةً ما يتم تنفيذ التهديدات المستمرة المتقدمة على مراحل، والتي تبدأ باختراق الشبكة متبوعًا بتجنب أي اكتشاف للاختراق. علاوة على ذلك، يضع المتسللون خطة هجوم، حيث يرسمون بيانات الشركة لمعرفة أين يمكن الوصول إلى النسب بسهولة. أخيرًا، يجمعون هذه البيانات الحساسة ويسحبونها.

قيل إن هذه التهديدات تسبب العديد من خروقات البيانات مما يؤدي إلى تأثير مالي كبير. ما يثير قلق الشركات هو قدرتها على عدم الكشف عن بعض الإجراءات الأمنية التقليدية. ولإضافة المزيد إلى مخاوف الشركات، يقوم المتسللون بإنشاء أساليب أكثر تعقيدًا لتحقيق أهدافهم، مما يتسبب في زيادة متفشية في التهديدات المستمرة المتقدمة.

تستخدم التهديدات المستمرة المتقدمة طرقًا مختلفة للوصول الأولي إلى الشبكة ؛ في بعض الحالات، قد يستخدم المهاجمون الإنترنت لدفع البرامج الضارة والوصول إليها. في بعض الأحيان، يتسببون أيضًا في الإصابة بالبرامج الضارة المادية أو الاستغلال الخارجي حتى يتمكنوا من الدخول في شبكة محمية.

بالمقارنة مع العديد من التهديدات التقليدية مثل الفيروسات والبرامج الضارة التي تعرض نفس السلوك باستمرار، في كل مرة، تختلف التهديدات المستمرة المتقدمة بطريقة مختلفة. التهديدات المستمرة المتقدمة ليس لها نهج واسع أو عام.

على العكس من ذلك، فهي تهديدات مخططة بدقة ودقة، مع هدف محدد بوضوح يتمثل في استهداف منظمة معينة. وبالتالي، فإن التهديدات المستمرة المتقدمة مخصصة للغاية ومصممة بشكل متطور للغاية للهروب من التدابير الأمنية الحالية في الشركة.

في كثير من الأحيان، استخدم المتسللون اتصالات موثوقة للحصول على الإدخال الأولي. هذا يعني أنه يمكن للقراصنة الوصول من خلال بيانات اعتماد من الموظفين أو شركاء الأعمال، والتي يتم الوصول إليها مرة أخرى من خلال هجمات التصيد الاحتيالي. باستخدام بيانات الاعتماد هذه، يمكن للمهاجمين أن يظلوا غير مكتشوفين في النظام لفترة طويلة، وهو ما يكفي لرسم خرائط لأنظمة وبيانات المؤسسة وإعداد خطة هجوم لاستنزاف بيانات الشركة.

من وجهة نظر نجاح التهديدات المستمرة المتقدمة، تعد البرامج الضارة مكونًا مهمًا. بمجرد اختراق شبكة معينة، يمكن للبرامج الضارة الاختباء بسهولة من بعض أنظمة التنقل القياسية، والانتقال من نظام إلى آخر، والبدء في جمع البيانات ومراقبة نشاط الشبكة.

جانب رئيسي آخر هو قدرة هؤلاء المتسللين على العمل عن بعد والتحكم في هذه التهديدات المستمرة المتقدمة عن بعد. إنه يمنح المتسللين فرصة للتنقل عبر شبكة بحث الشركة عن البيانات الهامة، والوصول إلى المعلومات ثم البدء في سرقة تلك البيانات.

خمس مراحل من هجوم متطور ومتطور ومستمر

يمكن تنفيذ هجوم التهديد المستمر المتقدم في خمس مراحل مختلفة مثل:

  • المرحلة 1: الوصول

    هذا هو المكان الذي يحصل فيه المتسللون أو نشطاء القرصنة على وصول أولي إلى شبكة بإحدى الطرق الثلاث. إما من خلال أنظمة قائمة على الويب أو شبكات أو مستخدمين بشريين. يبحثون عن نقاط الضعف في التطبيق ويقومون بتحميل الملفات الضارة.

  • المرحلة 2: إنشاء موطئ قدم

    بمجرد الحصول على الوصول الأولي، يقوم المتسللون بتسوية النظام الذي تم إدخاله عن طريق إنشاء حصان طروادة خلفي، يتم حجبه لجعله يبدو وكأنه برنامج شرعي. بهذه الطريقة يمكنهم الوصول إلى شبكة التحكم في النظام الذي تم إدخاله عن بعد.

  • المرحلة 3: تعميق الوصول

    بعد أن يثبتوا موطئ قدمهم، يجمع المهاجمون المزيد من المعلومات حول الشبكة. يحاولون الهجوم بقوة ويكتشفون نقاط الضعف في الشبكة، والتي من خلالها يمكنهم الوصول بشكل أعمق وبالتالي التحكم في أنظمة إضافية.

  • المرحلة 4: التحرك بشكل جانبي

    بمجرد تواجدهم بعمق داخل الشبكة، يقوم هؤلاء المهاجمون بإنشاء قنوات خلفية إضافية، مما يمنحهم الفرصة للتنقل بشكل جانبي عبر الشبكة والوصول إلى البيانات عندما يحتاجون إليها.

  • المرحلة الخامسة: انظر وتعلم واستمر

    بمجرد أن يبدأوا في التحرك عبر الشبكة، سيبدأون في جمع البيانات والاستعداد لنقلها خارج النظام – المعروف باسم exfiltration. سيقومون بإنشاء انحراف في شكل هجوم DDoS، بينما يقوم المهاجمون بسحب البيانات. إذا لم يتم اكتشاف هجوم APT، فسيظل المهاجمون داخل الشبكة وسيواصلون البحث عن فرص لهجوم آخر.

كيف تكتشف تهديدًا متقدمًا ومستمرًا؟

بسبب طبيعتها، لا يتم اكتشاف التهديدات المستمرة المتقدمة بسهولة. في واقع الأمر، تعتمد هذه التهديدات على قدرتها على البقاء دون أن يلاحظها أحد لأداء مهمتها. ومع ذلك، هناك بعض المؤشرات التي يمكن أن تواجهها شركتك، والتي يمكن التعامل معها كإشارات إنذار مبكر:

  • زيادة عدد عمليات تسجيل الدخول في وقت متأخر من الليل أو عند عدم وصول الموظفين إلى الشبكة.
  • عندما تلاحظ أحصنة طروادة على نطاق واسع. عادةً ما يستخدمها المتسللون الذين يستخدمون التهديدات المستمرة المتقدمة للتأكد من أنه يمكنهم الاحتفاظ بالوصول إلى الشبكة.
  • يجب أن تبحث عن تدفق مفاجئ وكبير للبيانات، من الأصول الداخلية إلى الأجهزة الداخلية والخارجية.
  • تحقق من باقات البيانات. يستخدم هذا عادةً من قبل المهاجمين الذين يخططون للتهديدات المستمرة المتقدمة أثناء قيامهم بتجميع البيانات داخل الشبكة قبل أن يقوم المتسللون بنقل البيانات خارج الشبكة.
  • تحديد هجمات تمرير التجزئة. عادةً ما يتم استهدافها على تخزين تمرير التجزئة أو الذاكرة حيث يتم الاحتفاظ ببيانات كلمة المرور. سيتيح الوصول إلى هذا فرصة لإنشاء جلسات مصادقة جديدة. على الرغم من أنه قد لا يكون تهديدًا متقدمًا ومستمرًا في جميع الحالات، إلا أن تحديد مثل هذه الحالة يخضع لمزيد من التحقيق.

ما كان يُعتقد سابقًا أنه هدف فقط للمؤسسات الكبيرة، فإن التهديدات المستمرة المتقدمة لا تخترق أيضًا الشركات الصغيرة والمتوسطة الحجم. نظرًا لأن هؤلاء المتسللين يستخدمون أساليب متطورة للهجوم، يجب على المؤسسات، بغض النظر عن حجمها، تنفيذ تدابير أمنية قوية لمعالجة هذا الأمر.

ما هي بعض الأمثلة المتقدمة للتهديدات المستمرة؟

تتعقب شركات الأمن السيبراني مثل Crowdstrike ( 1 ) أكثر من 150 من هذه المواقف المعاكسة في جميع أنحاء العالم ؛ يتضمن قرصنة ناشطين ومجرمين إلكترونيين. لديهم بالفعل طريقة لاستخدام أسماء الممثلين والحيوانات المرتبطة بالمنطقة.

على سبيل المثال، تشير BEAR إلى روسيا، و PANDA تشير إلى الصين، و KITTEN إلى إيران، و SPIDER هي جريمة إلكترونية لا تقتصر على منطقة. فيما يلي بعض الأمثلة على التهديدات المستمرة المتقدمة التي تم اكتشافها بواسطة Crowdstrike.

  1. APT 27 (GOBLIN PANDA)

    تم اكتشاف هذا لأول مرة في عام 2013 عندما هاجم المتسللون شبكة شركة تقنية كبيرة لها عمليات تجارية في قطاعات متعددة.

  2. APT28 (فانسي بير)

    يستخدم هذا التهديد المستمر المتقدم بشكل خاص انتحال مواقع الويب ورسائل التصيد الاحتيالي التي تشبه في الواقع الرسائل الشرعية للوصول إلى أجهزة مثل أجهزة الكمبيوتر والهواتف المحمولة.

  3. APT32 (جاموس المحيط)

    هذا عدو مقره في فيتنام ونشط منذ عام 2012. يستخدم هذا التهديد المستمر المتقدم مجموعة من الأدوات الجاهزة إلى جانب توزيع البرامج الضارة عبر استراتيجية الويب للتسوية، والمعروفة أيضًا باسم SWC.

علاوة على تلك المذكورة أعلاه، والتي تم اكتشافها بواسطة Crowstrike، هناك أمثلة أخرى للتهديدات المستمرة المتقدمة مثل:

  • Ghostnet: يستند هذا إلى الصين، حيث تم التخطيط للهجمات وتنفيذها من خلال رسائل البريد الإلكتروني التصيدية التي تحتوي على برامج ضارة. استهدفت المجموعة بالفعل أجهزة في أكثر من 100 دولة
  • Stuxnet: هو برنامج ضار يستهدف بشكل أساسي أنظمة SCADA (تطبيقات صناعية ثقيلة)، وهو ما يتضح من نجاحه في اختراق الآلات المستخدمة في البرنامج النووي الإيراني.
  • Sykipot: هذا نوع من البرامج الضارة التي تهاجم بشكل أساسي البطاقات الذكية.

تدابير أمن APT

من الواضح أن التهديد المستمر المتقدم هو هجوم متعدد الأوجه، ويجب على المرء اتخاذ تدابير أمنية متعددة، في شكل أدوات وتقنيات.

  • مراقبة حركة المرور: سيسمح هذا للشركات بتحديد الاختراقات وأي نوع من الحركة الجانبية واستخراج البيانات.
  • القائمة البيضاء للتطبيقات والمجالات: تأكد من وضع المجالات والتطبيقات المعروفة والجديرة بالثقة في القائمة البيضاء.
  • التحكم في الوصول: تحتاج إلى إعداد بروتوكولات مصادقة قوية وإدارة حسابات المستخدمين. إذا كانت هناك حسابات مميزة، فيجب أن يكون لها تركيز خاص.

أفضل الممارسات التي يجب اتخاذها عند تأمين شبكتك.

الحقيقة القاسية بشأن التهديدات المستمرة المتقدمة هي أنه لا يوجد حل واحد فعال بنسبة 100٪. ومن ثم، سننظر في بعض أفضل الممارسات لحماية APT.

  • قم بتثبيت جدار حماية:

    من المهم اختيار بنية جدار الحماية الصحيحة التي ستعمل كطبقة دفاع أولى ضد التهديدات المستمرة المتقدمة.

  • قم بتنشيط جدار حماية تطبيق ويب:

    يمكن أن يكون هذا مفيدًا لأنه سيمنع الهجمات القادمة من تطبيق الإنترنت / الويب، خاصةً التي تستخدم حركة مرور HTTP.

  • مضاد للفيروسات:

    احصل على أحدث برامج مكافحة الفيروسات التي يمكنها اكتشاف ومنع البرامج مثل البرامج الضارة وأحصنة طروادة والفيروسات.

  • أنظمة منع التطفل:

    من المهم أن يكون لديك أنظمة منع التطفل (IPS) لأنها تعمل كخدمة أمان تراقب شبكتك بحثًا عن أي رمز ضار وتقوم بإعلامك على الفور.

  • لديك بيئة رمل:

    سيكون هذا مفيدًا لاختبار أي نصوص أو أكواد مشبوهة دون التسبب في أي ضرر للنظام المباشر.

  • قم بإعداد VPN:

    سيضمن ذلك عدم وصول متسللي APT بسهولة إلى شبكتك.

  • إعداد حماية البريد الإلكتروني:

    نظرًا لأن رسائل البريد الإلكتروني هي أحد التطبيقات الأكثر استخدامًا، فهي أيضًا عرضة للخطر. وبالتالي، قم بتنشيط الحماية من البريد العشوائي والبرامج الضارة لرسائل البريد الإلكتروني الخاصة بك.

افكار اخيرة

التهديدات المستمرة المتقدمة تطرق الباب باستمرار وتحتاج فقط إلى فتحة صغيرة واحدة في شبكتك لإحداث ضرر واسع النطاق. نعم، لا يمكن اكتشاف هذه الهجمات، ولكن مع وجود التدابير المناسبة، يمكن للشركات أن تكون يقظة لتجنب أي محنة بسبب هذه الهجمات. سيؤدي اتباع أفضل الممارسات ووضع الإجراءات الأمنية إلى منع هذه الهجمات بشكل فعال.

قد يهمك أيضا

حول الكاتب

رائد الأعمال العربي

فريق متخصص في البحث والدراسة في عدة مجالات ضمن نطاق ريادة الأعمال، ومن أهم المجالات التي نتخصص في الكتابة عنها هي: كيفية إنشاء المشاريع بالسعودية، الإدارة، القيادة، إدارة الموارد البشرية...

عرض كل المقالات