ما المقصود بسلسلة الهجوم عبر الإنترنت؟

في عام 2011، تكيفت Lockheed Martin مع مفهوم عسكري يسمى سلسلة الهجوم لمجال الأمان عبر الإنترنت وسمته سلسلة الهجوم عبر الإنترنت. على غرار سلسلة الهجوم، تحدد سلسلة الهجوم عبر الإنترنت مراحل الهجوم وتقدم للمساعدين نظرة دقيقة عن الأساليب والتقنيات النموذجية للأعداء خلال كل مرحلة. كل من النموذجين خطي أيضاً مع توقع أن المهاجمين سيتبعون كل مرحلة بشكل تسلسلي.

منذ تقديم سلسلة الهجوم عبر الإنترنت لأول مرة، طور ممثلو المخاطر في مجال التهديد عبر الإنترنت تكتيكاتها ولا يتبعون دائماً كل مرحلة من مراحل سلسلة الهجوم عبر الإنترنت. واستجابة لذلك، حدثت صناعة الأمان نهجها وطورت نماذج جديدة. مصفوفة MITRE ATT&CK® هي قائمة مفصلة بالأساليب والأساليب استناداً إلى الهجمات الحقيقية. تستخدم مراحل مماثلة لسلسلة الهجوم ولكنه لا يتبع ترتيباً خطياً.

في عام 2017، تعاون بول بولس مع Fox-IT وجامعة ليدن لتطوير إطار عمل آخر، سلسلة هجوم موحدة، تجمع بين عناصر كل من مصفوفة MITRE ATT&CK وسلسلة الهجوم عبر الإنترنت في نموذج يتضمن 18 مرحلة.

الاستكشاف

تحدد سلسلة الهجوم عبر الإنترنت تسلسلاً من مراحل الهجوم عبر الإنترنت بهدف فهم عقلية المهاجمين عبر الإنترنت، بما في ذلك دوافعهم وأدواتهم وأساليبهم وتقنياتهم، وكيفية اتخاذهم للقرارات، وكيف يتجنبون اكتشافهم. فهم كيفية عمل سلسلة الهجوم عبر الإنترنت يساعد المدافعين على وقف الهجمات عبر الإنترنت في المراحل الأولى.

خلال مرحلة التسليح، يستخدم الممثلون السيئون المعلومات التي جرة الكشف عنها خلال الاستكشاف لإنشاء برامج ضارة أو تعديلها لاستغلال نقاط الضعف في المنظمة المستهدفة على أفضل وجه.

بمجرد إنشاء برامج ضارة، يحاول المهاجمون عبر الإنترنت شن هجومهم. إحدى الطرق الأكثر شيوعاً هي استخدام تقنيات الانتحال بالهندسة الاجتماعية مثل التصيد الاحتيالي لخداع الموظفين لتسليم بيانات اعتماد تسجيل الدخول الخاصة بهم. قد يتمكن الممثلون السيئون أيضاً من الدخول من خلال الاستفادة من الاتصال اللاسلكي العام غير الآمن للغاية أو استغلال ثغرة أمنية في البرامج أو الأجهزة التي جرى رصدها خلال الاستكشاف.

بعد أن يتطفل ممثلو المخاطر عبر الإنترنت على المؤسسة، يستخدمون وصولهم للانتقال لاحقاً من نظام إلى نظام. هدفهم هو العثور على البيانات الحساسة أو الثغرات الأمنية الإضافية أو الحسابات الإدارية أو خوادم البريد الإلكتروني التي يمكنهم استخدامها لإلحاق الضرر بالمؤسسة.

في مرحلة التثبيت، يثبت الممثلون البرامج الضارة التي تمنحهم التحكم في المزيد من الأنظمة والحسابات.

بعد حصول أجهزة التحكم عبر الإنترنت على عدد كبير من الأنظمة، فإنها تنشئ مركز تحكم يسمح لها بالعمل عن بعد. خلال هذه المرحلة، يستخدمون التعتيم لتغطية مساراتهم وتجنب الكشف. ويستخدمون أيضاً هجمات حجب الخدمة لتشتت انتباه محترفي الأمان عن هدفهم الحقيقي.

في هذه المرحلة، تتخذ الهجمات عبر الإنترنت خطوات لتحقيق هدفها الأساسي، والذي قد يتضمن هجمات سلسلة التزويد أو نقل البيانات أو تشفير البيانات أو إتلاف البيانات.

على الرغم من أن سلسلة الهجوم عبر الإنترنت الأصلية لشركة Lockhead Martin تضمنت سبع خطوات فقط، وسع العديد من خبراء الأمان عبر الإنترنت السلسلة إلى ثماني خطوات لأخذ الأنشطة التي ينفذها ممثلو المخاطر السيئون لتوليد الدخل من الهجوم في الحسبان، مثل استخدام برامج الفدية لانتزاع أموال من ضحاياهم أو بيع بيانات حساسة على شبكة الإنترنت المظلمة.

فهم كيفية تخطيط ممثلي المخاطر عبر الإنترنت لهجماتهم وتنفيذها يساعد متخصصي الأمان عبر الإنترنت في العثور على نقاط الضعف والتخفيف منها عبر المؤسسة. تساعدهم أيضاً في تحديد مؤشرات الاختراق خلال المراحل المبكرة من الهجوم عبر الإنترنت. تستخدم العديد من المؤسسات نموذج سلسلة الهجوم عبر الإنترنت لوضع إجراءات الأمان موضعها بشكل استباقي وتوجيه الاستجابة للحدث.

التحليل الذكي للمخاطر

إحدى الأدوات الأكثر أهمية لحماية المؤسسة من المخاطر عبر الإنترنت هي التحليل الذكي للمخاطر. تعمل حلول التحليل الذكي للمخاطر الجيدة على تجميع البيانات من خلال بيئة المؤسسة وتقديم نتائج تحليلات قابلة للتنفيذ تساعد محترفي الأمان على اكتشاف الهجمات عبر الإنترنت مبكراً.

غالباً ما يتطفل الممثلون السيئون على المؤسسة من خلال تخمين كلمات المرور أو سرقة كلمات المرور. بعد دخولهم، يحاولون تصعيد الامتيازات للوصول إلى البيانات والأنظمة الحساسة. تساعد حلول إدارة الهوية والوصول في اكتشاف الأنشطة الشاذة التي قد تكون إشارة إلى أن مستخدماً غير مصرح له قد حصل على حق الوصول. كما أنها توفر عناصر تحكم وتدابير أمنية، مثل المصادقة الثنائية، التي تجعل من الصعب على أي شخص استخدام بيانات الاعتماد المسروقة لتسجيل الدخول.

تترقب العديد من المؤسسات أحدث المستجدات عبر الإنترنت بمساعدة حل إدارة معلومات الأمان والأحداث (SIEM). تجمع حلول إدارة معلومات الأمان والأحداث البيانات من جميع أنحاء المؤسسة ومن مصادر خارجية لتسليط الضوء على المخاطر المهمة عبر الإنترنت لفرق الأمان لفرزها ومعالجتها. تستجيب العديد من حلول إدارة معلومات الأمان والأحداث تلقائياً لبعض التهديدات المعروفة، ما يقلل عدد الأحداث التي يحتاج الفريق إلى التحقيق فيها.

يوجد في أي مؤسسة المئات أو الآلاف من نقاط النهاية. بين الخوادم وأجهزة الكمبيوتر والأجهزة المحمولة وأجهزة إنترنت الأشياء (IoT) التي تستخدمها الشركات لخدمة الأعمال، قد يشكل إبقاءها جميعاً محدثة أمراً مستحيلاً. يعرف الممثلون السيئون هذا، ولهذا السبب تبدأ العديد من الهجمات عبر الإنترنت بنقطة نهاية مخترقة. تساعد حلول الكشف عن تهديدات نقاط النهاية والرد عليها فرق الأمان على مراقبتها بحثاW عن التهديدات والاستجابة بسرعة عندما تكتشف مشكلة أمنية في أحد الأجهزة.

تعمل حلول الكشف والاستجابة الموسعة (XDR) على تعزيز الكشف عن تهديدات نقاط النهاية والرد عليها بخطوة أخرى من خلال حل واحد يحمي نقاط النهاية والهويات والتطبيقات السحابية ورسائل البريد الإلكتروني.

لا تتوفر لدى كل الشركات موارد داخلية للكشف عن التهديدات والاستجابة لها بفعالية. لزيادة فريق الأمان الحالي، تتحول هذه المؤسسات إلى موفري الخدمات الذين يقدمون الكشف والاستجابة المدارة. يتحمل موفرو الخدمة هؤلاء مسؤولية مراقبة بيئة المؤسسة والاستجابة للتهديدات.

على الرغم من أن فهم سلسلة الهجوم عبر الإنترنت يمكن أن يساعد الشركات والحكومات على التحضير بشكل استباقي للتهديدات عبر الإنترنت المعقدة والأنواع المتعددة والرد عليها، قد يجعل الاعتماد عليها بشكل حصري المؤسسة عرضة لأنواع أخرى من الهجمات عبر الإنترنت. بعض الانتقادات الشائعة لسلسلة الهجوم عبر الإنترنت هي ما يلي:

• مركزة على البرامج الضارة. إطار عمل سلسلة الهجوم عبر الإنترنت الأصلي مصمم لاكتشاف البرامج الضارة والرد عليها، وهو ليس فعالاً ضد الأنواع الأخرى من الهجمات، مثل وصول مستخدم غير مصرح به باستخدام بيانات اعتماد مخترقة.

• مثالية للأمان المحيطي. مع التركيز على حماية نقاط النهاية، عمل نموذج سلسلة الهجوم عبر الإنترنت جيداً عندما كان هناك محيط شبكة واحد لحمايته. الآن مع وجود عدد كبير جداً من العاملين عن بعد، والسحابة، والعدد المتزايد باستمرار من الأجهزة التي تصل إلى أصول الشركة، قد يكون من المستحيل تقريباً معالجة كل ثغرة أمنية في نقطة النهاية.

• غير مجهزة للمخاطر الداخلية. من الصعب اكتشاف مخاطر المطلعين، الذين لديهم بالفعل إمكانية الوصول إلى بعض الأنظمة، باستخدام نموذج سلسلة الهجوم عبر الإنترنت. بدلاً من ذلك، تحتاج المؤسسات إلى مراقبة التغييرات في نشاط المستخدم واكتشافها.

• خطية جداً. على الرغم من أن العديد من الهجمات عبر الإنترنت تتبع المراحل الثمانية الموضحة في سلسلة الهجوم عبر الإنترنت، هناك أيضاً العديد من الهجمات التي لا تتبع ذلك أو تجمع العديد من الخطوات في إجراء واحد. قد تفوت المؤسسات التي تركز بشكل كبير على كل مرحلة هذه التهديدات عبر الإنترنت.

منذ عام 2011 عندما قدمت Lockhead Martin سلسلة الهجوم عبر الإنترنت لأول مرة، تغير الكثير في التكنولوجيا وطبيعة المخاطر عبر الإنترنت. غيرت حوسبة السحابة والأجهزة المحمولة وأجهزة إنترنت الأشياء طريقة عمل الأشخاص والشركات. استجاب الممثلون عبر الإنترنت لهذه التقنيات الجديدة باستخدام ابتكاراتهم الخاصة، بما في ذلك استخدام الأتمتة والذكاء الاصطناعي لزيادة سرعة هجماتهم عبر الإنترنت وتحسينها. توفر سلسلة الهجوم عبر الإنترنت نقطة بداية رائعة لتطوير استراتيجية أمان استباقية تأخذ في الحسبان عقلية المهاجم عبر الإنترنت وأهدافه. يوفر الأمان من Microsoft نظام SecOps الأساسي الذي يجمع بين الكشف والاستجابة الموسعة وإدارة معلومات الأمان والأحداث في حل واحد قابل للتكيف لمساعدة المؤسسات على تطوير دفاع متعدد الطبقات يحمي جميع المراحل في سلسلة الهجوم عبر الإنترنت. وتستعد المؤسسات أيضاً للمخاطر على الشبكات الناشئة القائمة على تكنولوجيا الذكاء الصناعي من خلال الاستثمار في الذكاء الاصطناعي لحلول الأمان عبر الإنترنت، مثل Copilot للأمان من Microsoft.