الهجمات الأخيرة التي يُزعم أن مجموعة تايفون الملحي الصينية نفذتها على شركات الاتصالات والدول - من بينها البرازيل - أطلقت إنذارًا عالميًا. تتحدث الأخبار عن مستوى تطور عمليات الاختراق، والأمر الأكثر إثارة للقلق هو أن المجرمين، نظريًا، لا يزالون داخل شبكات هذه الشركات.
ظهرت المعلومات الأولى عن هذه المجموعة في عام 2021، عندما كشفت فريق استخبارات التهديدات في مايكروسوفت عن كيفية تسلل الصين بنجاح إلى عدة مزودي خدمات الإنترنت، لمراقبة الشركات وجمع البيانات. واحدة من أولى الهجمات التي نفذها المجموعة كانت من خلال اختراق أجهزة التوجيه Cisco، التي كانت تعمل كبوابة لمراقبة أنشطة الإنترنت التي تحدث عبر هذه الأجهزة. بمجرد الحصول على الوصول، تمكن القراصنة من توسيع نطاقهم إلى شبكات إضافية. في أكتوبر 2021، أكدت شركة كاسبرسكي أن المجرمين الإلكترونيين قد وسعوا هجماتهم إلى دول أخرى مثل فيتنام وإندونيسيا وتايلاند وماليزيا ومصر وإثيوبيا وأفغانستان.
إذا كانت الثغرات الأولى معروفة منذ عام 2021 - فلماذا تعرضنا للهجوم بعد ذلك؟ الجواب يكمن، بالضبط، في كيفية تعاملنا مع هذه الثغرات في حياتنا اليومية.
طريقة الاغتصاب
في الأيام الأخيرة، أكدت معلومات من الحكومة الأمريكية سلسلة من الهجمات على "شركات وبلدان" - والتي حدثت نتيجة لثغرات معروفة في تطبيق VPN من شركة إيفانتي، على نظام Fortinet Forticlient EMS المستخدم لمراقبة الخوادم، وجدران حماية Sophos، وخوادم Microsoft Exchange.
تم الكشف عن ثغرة مايكروسوفت في عام 2021، ثم قامت الشركة بنشر التصحيحات على الفور. تم نشر خلل جدران الحماية Sophos في عام 2022 وتم تصحيحه في سبتمبر 2023. المشاكل التي تم العثور عليها في Forticlient أصبحت علنية في عام 2023، وتم تصحيحها في مارس 2024، بالإضافة إلى مشاكل Ivanti التي تم تسجيل CVEs (الثغرات الأمنية والتعرضات الشائعة) الخاصة بها أيضًا في عام 2023. لكن الشركة لم تصحح الثغرة إلا في أكتوبر الماضي.
سمحت كل هذه الثغرات للمجرمين بالتسلل بسهولة إلى الشبكات المستهدفة، باستخدام بيانات اعتماد وبرامج شرعية، مما يجعل اكتشاف هذه الاختراقات شبه مستحيل. من هناك، تحرك المجرمون أفقياً داخل هذه الشبكات، ونشروا برامج ضارة، التي ساعدت في عمل التجسس على المدى الطويل.
ما يثير القلق في الهجمات الأخيرة هو أن الأساليب التي يستخدمها قراصنة مجموعة Salt Typhoon تتوافق مع التكتيكات طويلة الأمد التي لوحظت في حملات سابقة تُنسب إلى عملاء حكوميين صينيين. تشمل هذه الطرق استخدام بيانات اعتماد شرعية لإخفاء أنشطة خبيثة مثل العمليات الروتينية، مما يصعب التعرف عليها من قبل أنظمة الأمان التقليدية. التركيز على البرامج المستخدمة على نطاق واسع، مثل الشبكات الخاصة الافتراضية (VPN) والجدران النارية، يظهر معرفة عميقة بضعفيات بيئات الشركات والحكومات.
مشكلة الثغرات الأمنية
كما تكشف الثغرات المستغلة عن نمط مقلق: التأخير في تطبيق التصحيحات والتحديثات. على الرغم من التصحيحات التي توفرها الشركات المصنعة، فإن الواقع التشغيلي للعديد من الشركات يصعب تنفيذ هذه الحلول على الفور. اختبارات التوافق، الحاجة إلى تجنب الانقطاعات في أنظمة المهمة الحرجة، وفي بعض الحالات، نقص الوعي بخطورة الأعطال يساهم في زيادة فترة التعرض.
ولا تقتصر هذه المشكلة على الجوانب الفنية فحسب، بل إنها تتعلق أيضا بالجوانب التنظيمية والإستراتيجية، وتشمل العمليات والأولويات، وفي كثير من الأحيان، الثقافة المؤسسية.
جانب حاسم هو أن العديد من الشركات تعتبر تطبيق التصحيحات مهمة ثانوية مقارنة بالاستمرارية التشغيلية. هذا يخلق ما يُعرف بمشكلة التوقف، حيث يحتاج القادة إلى اتخاذ قرار بين توقف مؤقت للخدمات لتحديث الأنظمة والخطر المحتمل لاستغلال مستقبلي. ومع ذلك، تظهر الهجمات الأخيرة أن تأجيل هذه التحديثات قد يكلف أكثر بكثير، من حيث المال والسمعة.
بالإضافة إلى ذلك، تعتبر اختبارات التوافق عنق زجاجة شائع. العديد من البيئات الشركاتية، خاصة في قطاعات مثل الاتصالات، تعمل بمزيج معقد من التقنيات القديمة والحديثة. هذا يجعل كل تحديث يتطلب جهداً كبيراً لضمان أن التصحيح لا يسبب مشاكل في الأنظمة المعتمدة. هذا النوع من العناية مفهوم، ولكنه يمكن تقليله من خلال اعتماد ممارسات مثل بيئات اختبار أكثر قوة وعمليات تحقق آلية.
نقطة أخرى تساهم في تأخير تطبيق التصحيحات هي نقص الوعي بخطورة الثغرات. غالبًا ما تقلل فرق تكنولوجيا المعلومات من أهمية ثغرة أمنية معينة، خاصة عندما لم يتم استغلالها على نطاق واسع حتى الآن. المشكلة هي أن نافذة الفرصة للمهاجمين قد تفتح قبل أن تدرك المؤسسات خطورة المشكلة. هذه حقل حيث يمكن لذكاء التهديدات والتواصل الواضح بين مزودي التكنولوجيا والشركات أن يحدث فرقًا كبيرًا.
وفي النهاية، تحتاج الشركات إلى اعتماد نهج أكثر استباقية وأولوية لإدارة الثغرات الأمنية، ويشمل ذلك أتمتة عمليات التصحيح، وتقسيم الشبكات، لتقليل تأثير الاختراقات المحتملة، وإجراء عمليات محاكاة منتظمة للهجمات المحتملة، مما يساعد على تحديد "نقاط الضعف" المحتملة.
مسألة التأخير في التصحيحات والتحديثات ليست مجرد تحدٍ تقني، بل هي أيضًا فرصة للمنظمات لتحويل نهجها في الأمن، مما يجعله أكثر مرونة وقابلية للتكيف ومرونة. قبل كل شيء، هذه طريقة التشغيل ليست جديدة، ويتم تنفيذ مئات الهجمات الأخرى بنفس الطريقةطريقة التشغيل،من ثغرات تُستخدم كنقطة دخول. استغلال هذه الدرس قد يكون الفرق بين أن تكون ضحية أو أن تكون مستعدًا للهجوم القادم.
