سيكيور ووركس تكشف عن الخطوات الواجب اتباعها في حال اختراق الأنظمة الإلكترونية للمؤسسات

الأربعاء 07 يونيو 2017

دبي - مينا هيرالد: ما الذي يحدث حالما يتم اكتشاف حالة اختراق أمني؟ ما الذي يتوجب على الشركة القيام به مباشرةً بعد اكتشافه؟ بالطبع، هناك العديد من الخيارات، لكن الإجراء الفوري للصدام مع الخصم (الجهة المُخْتَرِقة) قد لا يسفر عن النتائج المرجوة؛ لكن أفضل إجراء يمكن اتخاذه في هذا السياق غالباً هو عدم القيام بأي إجراء مباشر بعد اكتشاف عميلة الاختراق، لأنك لن تكون حينها في مكانة تؤهلك من الدخول في هذا الصراع والفوز به.

تم اختراق نظامك، ما الخطوة التالية؟

إذا تم رصد أو تحديد الخصم (الجهة المُخْتَرِقة)، أو تم الكشف عن سلوك غير عادي، ينبغي على الشركات معرفة مدى انتشار عملية الاختراق، إذ أن اتخاذ الإجراءات الاستباقية والصدام مع قراصنة الإنترنت لمحاولة طردهم سيزيد الأمر سوءاً في معظم الحالات. وهذا يقودنا إلى السؤال - ما الذي علينا القيام به؟ لنفترض الأمر على أرض الواقع: دخل لص إلى بهو شركة، الشركة تتألف من 20 طابق أو أكثر، وهناك الآلاف من المكاتب، إلى أين يستطيع اللص الوصول؟ لن يستطيع الوصول إلى أي مكان - فهو سيواصل النظر إلى حراس الأمن، وذلك لمعرفة آلية ونوع النظام الأمني للدخول، وكيفية الدخول إلى المزيد من مكاتب المبنى. إذا كان الأمر مشابهاً ضمن العالم الالكتروني - سنجد بأن الذعر، واتخاذ القرارات المتسرعة، وإلقاء اللص خارج الشركة لن يوفر أية معلومات عن الجهة المهاجمة، وسبب قيامها بهذه الهجمة. أما أفضل إجراء يتم اتخاذه فيتمثل بمراقبة الجهة المهاجمة ومعرفة كيف تمكنت من الاختراق؟ وما هو نطاق انتشارها؟ وما الذي يبحثون عنه؟ وآلية حركتهم؟ وهل هو شخص واحد أم أكثر؟ وهل يملكون خطة دخول احتياطية؟ فمن خلال مراقبة ورصد هذه السلوكيات تستطيع الشركات الحصول على فهم أكمل وأشمل عن الخصم (الجهة المُخْتَرِقة)، والسبب وراء هجومهم، وذلك من أجل استقصاء البيانات والمعلومات ليس من أجل هذه المعركة فحسب، بل للهجمات المستقبلية الوشيكة.

ما هو طريق الدخول؟

على أرض الواقع، نقطة الدخول ستكون عبر الباب الأمامي، أو باب الطوارئ، أو رصيف التحميل، لكن ماذا عن العالم الالكتروني؟ حالما يتم اكتشاف الخصم (الجهة المُخْتَرِقة)، من المهم بمكان معرفة كيف تمكنوا من الوصل إلى هذه النقطة، هل تم ذلك من خلال رسائل احتيالية عبر البريد الإلكتروني تحتوي على برمجيات خبيثة؟ أم من خلال عملية مسح واستغلال نقاط الضعف؟ أم عبر الثغرات الأمنية الاستراتيجية لشبكة الإنترنت؟ أم من خلال اختراق الحسابات وبيانات الاعتماد؟ فإذا انطلقت التنبيهات الأمنية الخاصة بوحدة التحكم بالنطاق، فإن عملية التسلل لم تبدأ من هناك.

وبهذه المناسبة، قال فيل بورديت، كبير الباحثين الأمنيين لدى شركة سكيور ووركس: "من الأهمية بمكان خلال مرحلة التفاعل والرد على الحوادث الأمنية إجراء عملية تحليل للسبب الجوهري وراء ذلك، ومعرفة كيف تمكن الخصم (الجهة المُخْتَرِقة) من اختراق الشبكة. وإلا، ما الذي سيمنعهم من المهاجمة مرة أخرى باستخدام نفس الآلية، ومضاعفة كلفة جهود الرد على الهجمة؟ ويجب علينا ألا ننسى أن الطريقة التي يتم من خلالها القبض على الخصم (الجهة المُخْتَرِقة) وهو يدخل إلى الشبكة غالباً ما لا تكون الطريقة التي اخترق فيها الشبكة أول مرة. كما يجب معالجة كافة الثغرات الأمنية في آن واحد لمنعه من العودة مرة أخرى".

لماذا الانتظار؟

لعبة الانتظار إجراء بديهي، لكنها غير معروفة جيداً خارج إطار عمل الخبراء الأمنيين. فمن الأهمية بمكان معرفة أن المكان الذي تم القبض فيه على الخصم (الجهة المُخْتَرِقة) لا يشكل سوى نقطة البداية في عملية البحث، وكأنها قطعة صغيرة من الجليد تطفو على سطح الماء، وتخفي تحتها جبلاً هائلاً، فأنت لا ترغب بارتكاب ذات الخطأ الذي ارتكبته سفينة التيتانيك، والتقليل من حجم وقوة التهديد الذي تواجهه. وهذا يعني يجب الانتظار لمعرفة المزيد عن القراصنة، وذلك كي تتمكن من إنشاء وتنفيذ خطة لاحتواء الهجوم والقضاء عليه. وهذه الخطوة ستمكنك من معرفة آلية عمل الخصم (الجهة المُخْتَرِقة)، ومن هم، وسبب هجماتهم، ما سيؤهلك للدفاع عن الشركة بشكل أفضل قبل موعد الهجوم التالي.

موعد التصدي الخصم (الجهة المُخْتَرِقة)

الإجابة على هذه النقطة تعتمد على مدى استعداد الشركات لتطبيق استراتيجية طويلة الأمد ضد الخصم (الجهة المُخْتَرِقة)، الذي يطبق بدوره هذا النوع من الاستراتيجيات. فالمؤسسة المخترقة في حالة أشبه ما تكون بلعب مباراة في الشطرنج، لذا ينبغي عليها التفكير بعدة حركات مستقبلية قبل القيام بأية خطوة، تماماً كما يفعل الخصم. كما أن الخصوم مستعدون للتضحية بالبرمجيات الخبيثة، وسيرفرات القيادة والتحكم، وبيانات الاعتماد المسروقة طالما أنها تساعدهم على تحقيق هدفهم في النهاية. لذا ينبغي على الجهات المدافعة الاستعداد لاتخاذ ذات الخطوات، وطالما أن الخصم لا زال بعيداً بما فيه الكفاية عن بيانات المؤسسة الهامة والحيوية، يجب على الخبراء الأمنيين مواصلة عملية المراقبة والتعلم، وعدم الاصطدام بالخصم إلا إذا اضطروا لذلك، وينبغي الاستعداد للقتال وجهاً لوجه مع الخصم في حال لم تكن الشركة قادرة على ضمان آلية طرد الخصم بناجح.

إقرأ أيضا

Search form