الهجمات الأخيرة مزعومة تنفيذها من قبل مجموعة الصينية Salt Typhoon على شركات الاتصالات والاتصالات وبلدان – بينهم كانت تكون البرازيل – ترك العالم أجمع في حالة تأهب. أخبار تتكلم عن مستوى تعقيد الغزوات و, ما الذي هو أكثر إثارة للقلق – المجرمين, نظرياً, لا يزالون داخل شبكات هذه الشركات
أول المعلومات عن هذه المجموعة ظهرت في 2021, عندما فريق Threat Intelligence في مايكروسوفت نشر معلومات عن كيفية أن الصين ستتسلل بنجاح في العديد من مقدمي خدمات الإنترنت, لمراقبة الشركات – و التقاط بيانات. أحد من أول الهجمات التي قامت بها المجموعة كان من من خرق في أجهزة التوجيه Cisco, التي كانت بمثابة بوابة لمراقبة أنشطة الإنترنت التي تحدث من خلال هذه الأجهزة. بمجرد أن الوصول كان يتم الحصول عليه, كان القراصنة قادرين على توسيع نطاقهم إلى شبكات إضافية. في أكتوبر من عام 2021, شركة Kaspersky أكدت أن المجرمين السيبرانيين كانوا قد توسعوا الهجمات إلى بلدان أخرى مثل فيتنام, إندونيسيا, تايلند, ماليزيا مصر, إثيوبيا وأفغانستانا.
إذا كانت أول نقاط الضعف معروفة بالفعل منذ 2021 – لمَ مازلنا تعرضنا لهجوم? الجواب هو, بالضبط, في كيف نتعامل مع هذه الضعفيات في يوم إلى يوم
طريقة الاغتصاب
الآن, في الأيام الأخيرة, معلومات من الحكومة الامريكية أكدت سلسلة من الهجمات على ⁇ شركات وبلدان ⁇ – التي كانت قد حدثت من من نقاط الضعف المعروفة في تطبيق من VPN, من الشركة Ivanti, في Fortinet Forticlient EMS, يستخدم لجعل الرصد في خوادم, في firewalls Sophos وأيضا في خوادم Microsoft Exchange.
ضعف مايكروسوفت تم الكشف عنه في 2021 عندما, فور في التتابع, الشركة نشرت التصحيحات. الخلل في جدران الحماية Sophos تم نشره في 2022 – و مصححة في سبتمبر من 2023. المشاكل المكتشفة في Forticlient أصبحت علنية في 2023, و مصحوبين في مارس من 2024 – وكذلك كما تلك من Ivanti, التي كانت أيضا CVEs (Common Vulnerabilities and Exposures) المسجلة في 2023. الشركة, في الوقت نفسه, فقط أصلح الضعف في أكتوبر الماضي.
كل هذه الثغرات سمحت للمجرمين بأن يتسللوا بسهولة إلى الشبكات المهاجمة, باستخدام أوراق الاعتماد والبرمجيات المشروعة, ما يجعل الكشف عن هذه الاختراقات شبه مستحيل. منذ ذلك الحين, المجرمون تحركوا جانبي داخل هذه الشبكات, بوضع مالوارات, التي ساعدوا في عمل التجسس على المدى الطويل.
ما هو مثير للقلق في الهجمات الأخيرة هو أن الأساليب المستخدمة من قبل قراصنة مجموعة Salt Typhoon هي متسقة مع التكتيكات طويلة الأجل الملحوظة في حملات سابقة نسبت إلى عملاء الدولة الصينية. تشمل هذه الأساليب استخدام أوراق الاعتماد المشروعة للتستر على الأنشطة الخبيثة مثل العمليات الروتينية, rendering difficult the identification by conventional security systems. التركيز على softwares مستخدمة على نطاق واسع, مثل VPNs و firewalls, يظهر معرفة متعمقة بالمواطنات الضعيفة في بيئات الشركات والحكومات
مشكلة الثغرات الأمنية
تكشف الثغرات المستغلة أيضًا عن نمط مثير للقلق: تأخيرات في تطبيق التصحيحات والتحديثات. على الرغم من التصحيحات المتاحة من قبل المصنعين, الواقع التشغيلي لكثير من الشركات يصعب على التنفيذ الفوري لهذه الحلول. اختبارات التوافق, الحاجة إلى تجنب الانقطاعات في أنظمة الحرجة المهمة؛ و, في بعض الحالات, عدم وجود وعيٍ حول شدة الإخفاقات يساهم في زيادة نافذة التعرض
هذه المسألة ليست فقط تقنية, ولكن أيضا تنظيمية واستراتيجية, متضمنة عمليات, أولويات و, كثيرًا ما, ثقافة مؤسسية
جانب حرج هو أن العديد من الشركات تعامل تطبيق التصحيحات كمهمة ⁇ ثانوية ⁇ بالمقارنة مع الاستمرارية التشغيلية. هذا يخلق ما يسمى معضلة التوقف, حيث يجب على القادة أن يقرر بين الانقطاع الفوري لخدمات لتحديث أنظمة والمخاطر المحتملة من استغلال مستقبلي. ومع ذلك, الهجمات الأخيرة تظهر أن تأجيل هذه التحديثات يمكن أن يكون أكثر تكلفة بكثير, كل من الناحية المالية ومن الناحية السمعةية
بالإضافة إلى ذلك, اختبارات التوافق هي اختناق شائع. العديد من البيئات المؤسسية, خاصة في قطاعات مثل الاتصالات السلكية واللاسلكية, تعملون بمزيج معقد من التكنولوجيات القديمة والحديثة. هذا يجعل من كل تحديث يتطلب جهدًا كبيرًا لضمان أن اللطخة لا تسبب مشاكل في الأنظمة المعتمدة. هذا النوع من الحرص هو مفهوم, ولكن يمكن أن يتخفف مع تبني ممارسات مثل بيئات اختبار أكثر قوة وعمليات آلية للتحقق من الصحة
نقطة أخرى تساهم في التأخير في تطبيق لوحات هو الافتقار إلى الوعي الواعي حول خطورة الأخطاء. كثيرًا ما, فرق إلكترونية تقلل من أهمية CVE محدد, خاصة عندما لم يتم استكشافه على نطاق واسع حتى الآن. المشكلة هي أن نافذة الفرصة للمهاجمين يمكن أن تفتح قبل أن تدرك المنظمات خطورة المشكلة. هذا هو مجال حيث الذكاء للتهديد والاتصالات الواضحة بين موردي التكنولوجيا والشركات يمكن أن تجعل كل الفرق
أخيرًا, الشركات تحتاج إلى تبني نهج أكثر استباقية وأولوية لإدارة مواطن الضعف, ما الذي يشمل أتمتة عمليات الت patching, التجزئة للشبكات, الحد من تأثير من احتمالات الغزوات, الروتين من محاكاة بانتظام هجمات محتملة, ما الذي يساعد على العثور على الإمكانات ⁇ النقاط الضعيفة ⁇.
مسألة تأخرات في التصحيحات والتحديثات ليست فقط تحديًا تقني, ولكن أيضًا فرصة للمنظمات لتحويل نهجها للأمن, مما يجعلها أكثر رشاقة, قابل للتكيف و مرن. فوق كل شيء, هذه طريقة التشغيل ليست جديدة, ومئات من الهجمات الأخرى يتم تنفيذ بنفسهطريقة التشغيل, من خلال نقاط الضعف التي تُستخدم كبوابة دخول. الاستفادة من هذا الدرس يمكن أن يكون الفارق بين أن تكون ضحية أو تكون مستعد للهجوم التالي
