كيف يمكن للمؤسسات الدفاع عن نفسها ضد التهديدات المستمرة المتقدمة
برزت التهديدات المستمرة المتقدمة (APT) لتكون شواغل مشروعة لجميع المنظمات. APTs هي الجهات الفاعلة التي تهدد الشبكات والبنية التحتية وتكمن وراءها خلسة على امتداد فترات زمنية طويلة.
يؤدون عادة الاختراقات المعقدة التي تسمح لهم بسرقة أو تدمير البيانات والموارد.
وفقًا لـ Accenture ، تم تنظيم APTs أنفسهم في مجموعات تمكنهم من مشاركة التكتيكات والأدوات لتنفيذ هجمات على نطاق واسع. على سبيل المثال ، تم الإبلاغ عن أن المجموعة الروسية Silence APT تستهدف بشكل نشط المؤسسات المالية وسرقت ملايين الدولارات بنجاح من مختلف البنوك في جميع أنحاء العالم.
تحتاج المنظمات الأصغر أيضًا إلى الحذر من مثل هذه التهديدات. تستخدم مجموعات APT أيضًا الأدوات الآلية والشبكات الآلية للوصول إلى الشبكات ، ولا تميز هذه الأساليب على أساس الحجم أو الصناعة أو القيمة. يمكن اختراق أي بنية تحتية ضعيفة. من المهم الآن لجميع المنظمات أن تفهم كيف تعمل APTs وتنفذ التدابير الأمنية اللازمة لتخفيفها كتهديدات.
علامات على أن APT قد تكون كامنة
تعمل APTs بشكل سري ، لذلك قد لا تدرك المنظمات أنها قد تم خرقها حتى يحدث شيء ما في حالة تأهب. على سبيل المثال ، كانت شركة InfoTrax Systems قادرة فقط على اكتشاف الاختراق الذي دام سنوات بعد تجاوز سعة التخزين على خوادمها . يتعين على فرق تقنية المعلومات البحث عن المؤشرات التي تشير إلى أن APT ربما تكون موجودة داخل الشبكة.
تتضمن بعض العلامات المميزة ما يلي:
تسجيلات الدخول المفرطة - تعتمد APTs عادةً على بيانات اعتماد الوصول المخترقة للوصول إلى الوصول الروتيني إلى الشبكات. يمكنهم إما محاولات القوة الغاشمة باستخدام تفريغ بيانات تسجيل الدخول وكلمة المرور أو بيانات الاعتماد المشروعة التي سرقت من هجمات الهندسة الاجتماعية والتصيد. غالبًا ما تنسب أنشطة تسجيل الدخول المفرطة أو المشبوهة ، خاصةً في الساعات الفردية ، إلى APTs.
انفجار البرمجيات الخبيثة - تستخدم APTs أيضًا العديد من البرامج الضارة لأداء اختراقاتها. لذلك ، إذا غالبًا ما تكتشف أدوات مكافحة الفيروسات البرامج الضارة وتزيلها ، فمن المحتمل أن APT تزرع باستمرار أحصنة طروادة وأدوات الوصول عن بعد في الشبكة.
زيادة استخدام موارد الحوسبة - سيتعين على الجهات الفاعلة التي تهدد استخدام موارد الحوسبة في الشبكة لأداء اختراقاتها. سوف تستخدم البرامج الضارة النشطة طاقة الحوسبة والذاكرة ضمن نقاط النهاية. يمكن للمتسللين أيضًا تخزين بياناتهم المسروقة مؤقتًا داخل الخوادم. سيظهر أيضًا اختبار كميات كبيرة من البيانات كحركة مرور مفرطة صادرة.
تشديد المراقبة
اكتشاف هذه العلامات ليس بسيطًا ، لذلك يجب على فرق تقنية المعلومات البحث بنشاط عن هذه العلامات. لحسن الحظ ، توفر حلول الأمان الحديثة الآن إمكانات تمكن فرق تكنولوجيا المعلومات من مراقبة التواجد المحتمل لـ APT وأنشطتها.
تحليل السجل - يمكن للسجلات أن تعرض بدقة مختلف الأنشطة والأحداث والمهام التي ظهرت في الأجهزة والأنظمة والتطبيقات. ومع ذلك ، قد يكون التنقل عبر السجلات ، والتي غالبًا ما تكون بتنسيق نص عادي غير منسق ، أمرًا شاقًا. لمساعدة فرق تكنولوجيا المعلومات على فرز المعلومات ، تتميز أدوات تحليل السجل المتقدمة الآن بخوارزميات يمكنها البحث عن الأنماط عبر جميع مكونات البنية التحتية لتكنولوجيا المعلومات.
إدارة سجل وتحليل حل XpoLog، على سبيل المثال ، يمكن دمج جميع السجلات عبر مكونات البنية التحتية المختلفة. يمكن لـ Xpolog تحليل المعلومات الموجودة في ملفات السجل هذه ووضع علامات عليها. باستخدام الذكاء الاصطناعي (AI) ، يمكن لـ Xpolog بعد ذلك تحديد الأنماط الشاذة وتوليد رؤى ، بما في ذلك تلك التي تدل على المخاوف الأمنية.
يمكن استخدام المعلومات مثل استخدام النطاق الترددي وجلسات تسجيل الدخول والتوزيع الجغرافي لحركة مرور الشبكة للكشف عن وجود تهديدات. يمكن حتى تصور جميع البيانات لتسهيل العرض والمراجعة.
من خلال هذه النتائج ، يمكن للمنصة تنبيه فرق تقنية المعلومات بسهولة إلى هجمات APT المحتملة حتى يمكن اتخاذ إجراء فوري.
محاكاة الاختراق والهجوم - يمكن لمنصات محاكاة الاختراق والهجوم (BAS) إجراء اختبارات روتينية تحاكي الهجمات الإلكترونية الفعلية للتحقق مما إذا كانت إجراءات الأمان تعمل على النحو المنشود. أنها بمثابة بدائل لاختبار الاختراق التقليدية ، والتي تشكل تحديا لأداء على أساس روتيني.
BAS منصة Cymulate، على سبيل المثال ، يقدم مجموعة واسعة من الاختبارات التي تغطي متجهات الهجوم المحتملة للبنية التحتية. يمكنه اختبار بوابات الويب وجدران الحماية لتطبيق الويب بحثًا عن نقاط الضعف. يمكنه أيضًا نشر برامج ضارة وهمية في نقاط النهاية للتحقق مما إذا كانت برامج مكافحة الفيروسات أو برامج مكافحة الفيروسات يمكنها اكتشاف الملفات والعمليات الضارة. كما أن لديها عمليات محاكاة لهجمات التصيد الاحتيالي التي يمكنها تحديد المستخدمين المعرضين لهجمات الهندسة الاجتماعية.
يسمح Cymulate بإجراء اختبارات مجدولة وروتينية لمعرفة ما إذا كانت التدابير والأدوات الأمنية التي تطبقها المنظمة تعمل على النحو المنشود. تقوم APTs بإيقاف تشغيل الحلول الأمنية مثل مكافحة الفيروسات والجدران النارية ، لذا فإن الاختبارات الروتينية تشير بسهولة إلى ما إذا كان هناك شيء ما يعبث بهذه الحلول.
يجب تحسين الدفاعات
المراقبة والاكتشاف المبكر هما مفتاح الحفاظ على محيط دفاعي آمن. يجب على المنظمات دمج هذه الجهود كجزء من استراتيجية أمنية أوسع.
زيادة اليقظة - إن التحليل الفعال للسجلات وإجراء اختبارات روتينية للتدابير الأمنية يمكن أن يُبلغ فرق تكنولوجيا المعلومات بالوجود المحتمل لـ APTs ، مما يتيح لهم التعامل مع هذه التهديدات على الفور.
اعتماد أمان على مستوى المؤسسات - يجب على المؤسسات أيضًا استخدام حلول أمان قادرة. يمكن أن تحتوي البرامج الضارة التي تستخدمها APTs على رمز متعدد الأشكال يسمح لها بالتهرب من حلول مكافحة البرامج الضارة الشائعة أو الرخيصة.
الحفاظ على تحديث الأنظمة والتطبيقات -تستغل APTs نقاط ضعف الأجهزة والأنظمة للعديد من تكتيكاتها. يقوم المطورون بإطلاق تصحيحات وإصلاحات بانتظام لضمان معالجة الثغرات الحرجة.
يجب على المؤسسات التأكد من أن هذه التحديثات يتم تطبيقها بسرعة عند توفرها.
تدريب الأشخاص - يمكن لمحاولات APT أيضًا محاولة استغلال نقاط الضعف البشرية من خلال هجمات الهندسة الاجتماعية. يجب على المؤسسات تدريب الموظفين على أفضل ممارسات الأمان ، بما في ذلك تحديد رسائل البريد الإلكتروني ومحاولات الخداع بدقة واستخدام عبارات مرور قوية وتجنب إعادة استخدام كلمة المرور.
الأمن هو الاستثمار
يجب أن تدرك المؤسسات أن الأمان هو استثمار مهم عند العمل في بيئة اليوم. APTs يمكن أن يسبب أضرار لا يمكن إصلاحها للشركات. يمكن أن يقع الوقوع ضحية لأي هجوم ، وتوقف العمل ، وتآكل ثقة العملاء.
متوسط خرق الأمان المقدّر من قِبل المؤسسات التابعة لشركة IBM يبلغ 3.92 مليون دولار . لذلك ، من الأهمية بمكان بالنسبة للشركات أن تعتمد تدابير أمنية قادرة على اكتشاف هذه التهديدات وتخفيفها قبل أن تتسبب في أي ضرر كبير. على هذا النحو ، يجب أن تكون المنظمات الآن مستعدة لتحويل المزيد من الموارد لتعزيز أمنها.