أهم الاستخبارات السيبرانية للتهديدات الحرجة وبشكل مباشر من الخطوط الأمامية
انخفاض متوسط الفترة الزمنية بين الاقتحام الأولي المفترض واكتشاف التسلل إلى حوالي أسبوعين فقط، ما يعكس أهمية تبادل المعلومات والدور المحوري للشراكات في بناء منظومة أمن سيبراني أكثر مرونة و فاعلية
دبي، الإمارات العربية المتحدة، 27 أبريل 2023 – أصدرت مانديانت (Mandiant Inc.)، شركة الأمن السيبراني الرائدة، والتي أصبحت مؤخراً جزءاً من شركة غوغل السحابية، نتائج تقريرها السنوي حول أبرز الاتجاهات المتوقعة لهذا العام. في عامه الرابع عشر، يقدم تقرير مانديانت بيانات حاسمة و في الوقت المناسب مصحوبة بتحليلات من أبرز الخبراء حول مشهد التهديدات المتطور باستمرار استناداً إلى استخبارات وتحقيقات الشركة في الخطوط الأمامية والإجراءات المُتّبعة للتصدّي للهجمات السيبرانية عالية التأثير في جميع أنحاء العالم. يكشف التقرير الجديد عن التقدم الذي أحرزته الشركات على مستوى العالم في تعزيز دفاعاتها ضد الخصوم وهجماتهم متزايدة التعقيد.
وبهذه المناسبة، صرّح يورغن كوتشر، نائب الرئيس، استشارات مانديانت في غوغل السحابية، قائلاً: “يوضح تقرير مانديانت لأبرز اتجاهات عام 2023 أنه رغم التحسّن والتطور المتواصل الذي تشهده صناعة الأمن السيراني، إلا أننا نتصدّى لخصوم متطورين وشديدي التعقيد بشكل متزايد. في عام 2022، استمرت العديد من الاتجاهات التي رأيناها في عام 2021، مثل تزايد عدد مجموعات البرامج الضارة الجديدة بالإضافة إلى زيادة معدّل التجسس السيبراني المدعوم من قبل بعض الحكومات والدول. ونتيجة لذلك، يجب ألا تتهاون الشركات والمؤسسات أبداً، بل ينبغي أن تستمر في تعزيز موقفها الأمني السيبراني وذلك بالاعتماد على قدرات الدفاع الإلكتروني الحديثة والتحقق المستمر من المرونة الإلكترونية ضد هذه التهديدات الأخيرة واختبار قدرات الاستجابة الشاملة.”
انخفاض متوسط الفترة الزمنية بين الاقتحام الأولي المفترض واكتشاف التسلل إلى أسبوعين تقريباً
وفقاً لتقرير مانديانت حول أبزر الاتجاهات لعام 2023، يستمر متوسط الفترة الزمنية بين الاقتحام الأولي المفترض واكتشاف التسلل – وهو متوسط عدد الأيام التي يتواجد فيها المهاجم في بيئة الهدف قبل اكتشافه – في الانخفاض عاماً بعد عام إلى أن وصل إلى 16 يوماً في عام 2022، وهو أقصر متوسط عالمي من جميع فترات الإبلاغ عن الاتجاهات التي رصدتها مانديانت، حيث بلغ المتوسط 21 يوماً في عام 2021.
عند مقارنة كيفية اكتشاف التهديدات، لاحظت مانديانت زيادة عامة في عدد الشركات التي تنبّهت لتسلّل كيان خارجي في السابق أو في الوقت الراهن. تم إخطار الشركات التي يقع مقرها الرئيسي في الأمريكيتين من قبل كيان خارجي في 55٪ من الحوادث، مقارنة بـنسبة 40٪ من الحوادث في العام الماضي، وهي أعلى نسبة من الإخطارات الخارجية التي شهدتها الأمريكيتان خلال السنوات الست الماضية. وبالمثل، تم تنبيه الشركات في أوروبا والشرق الأوسط وأفريقيا بتدخل كيانات خارجية في 74٪ من التحقيقات في عام 2022 مقارنة بـ 62٪ في عام 2021.
كما لاحظ خبراء مانديانت انخفاضاً في نسبة تحقيقاتهم العالمية المتعلقة ببرامج الفدية بين عامي 2021 و 2022. في عام 2022، اشتملت 18٪ من التحقيقات على برامج الفدية مقارنة بـ 23٪ في عام 2021. يمثل هذا أقل نسبة ترصدها تحقيقات مانديانت المتعلقة ببرامج الفدية منذ ما قبل عام 2020.
ومن جهتها، علّقت ساندرا جويس، نائب الرئيس، استخبارات مانديانت في غوغل السحابية، قائلة: “على الرغم من عدم توفر بيانات تشير إلى سبب الانخفاض الطفيف في الهجمات المرتبطة ببرامج الفدية التي لاحظناها إلى الآن، فعلى الأرجح أن التحولات المتعددة التي تشهدها بيئة التشغيل قد ساهمت في انخفاض هذه الأرقام. تشمل هذه العوامل، على سبيل المثال لا الحصر: جهود الحكومات المستمرة والقوانين النافذة التي تستهدف الأفراد وتعطيل برامج الفدية والتي تتطلب إعادة تجهيز أو تطوير شراكات جديدة من قبل جهات الهجوم؛ الصراع في أوكرانيا؛ حاجة جهات الهجوم إلى تعديل عملياتها الأولية الهادفة إلى الوصول إلى عالم غالباً ما يتم فيه تعطيل فيروسات الهجوم افتراضياً وبصورة مباشرة، بالإضافة إلى تحسّن قدرة المؤسسات على اكتشاف برامج الفدية ومنعها أو التعافي منها بمعدلات أسرع.”
ارتفاع معدل التجسس السيبراني ومجموعات البرمجيات الخبيثة حول العالم
حدّدت مانديانت مجموعة واسعة من عمليات التجسس السيبراني والوصول إلى المعلومات المهمة قبل وبعد الصراع في أوكرانيا منذ 24 فبراير 2022. على وجه الخصوص، شهدت مانديانت نشاطاً من قبلUNC2589 و APT28 قبل الصراع، ولاحظت المزيد من الهجمات الإلكترونية المدمرة في أوكرانيا خلال الأشهر الأربعة الأولى من عام 2022 عمّا كانت عليه في السنوات الثماني السابقة.
في عام 2022، بدأت مانديانت في تعقب 588 مجموعة جديدة من البرمجيات الخبيثة والكشف عن كيفية استمرار الخصوم في توسيع مجموعة أدواتهم. ضمن مجموعات البرمجيات الخبيثة التي تم تتبعها حديثاً، تشمل الفئات الخمس الأولى الأبواب الخلفية (34٪)، الجهات القائمة بالتنزيل (14٪)، فيروس دروبر “Dropper” (11٪)، برامج الفدية (7٪)، وفيروسات لونشر “Launchers” (5٪). ظلت نسبة فئات البرامج الضارة هذه ثابتة على مر السنين ولا تزال الأبواب الخلفية تمثل ما يزيد قليلاً عن ثلث مجموعات البرامج الضارة التي تم تعقبها حديثاً.
على غرار السنوات السابقة، فإنّ مجموعة البرمجيات الخبيثة الأكثر شيوعاً التي حدّدتها تحقيقات مانديانت: بيكون “BEACON”، وهو باب خلفي متعدد الوظائف. في عام 2022، تم العثور على بيكون في 15٪ من عمليات الاقتحام التي تحققت منها مانديانت، ولا يزال إلى حد بعيد البرنامج الأكثر تواجداً في التحقيقات عبر المناطق المختلفة حيث تم استخدامه من قبل مجموعة واسعة من مجموعات التهديد التي تتبعها مانديانت، بما في ذلك مجموعات التهديد المرتبطة بجماعات مختلفة من دول مثل الصين وروسيا وإيران، بالإضافة إلى مجموعات التهديد المالي وأكثر من 700 مجموعة UNC. من المحتمل أن يرجع تواجد فيروس بيكون في كل مكان إلى سهولة توافره واستخدامة، جنباً إلى جنب مع قابلية تخصيصه العالية، وفقاً للتقرير.
تعليقاً على التقرير، أفاد تشارلز كارماكال، كبير مسؤولي التكنولوجيا، استشارات مانديانت في غوغل السحابية، أنّ “مانديانت أجرت تحقيقاتها حول العديد من الاختراقات التي قامت بها جهات جديدة تعمل بذكاء خارق وفعالية عالية. تستفيد هذه الجهات من البيانات التي تمدّها بها أسواق الجرائم الإلكترونية السرية فتقوم بوضع مخططات هندسة اجتماعية مقنعة عبر المكالمات الصوتية والرسائل النصية، بل وتحاول رشوة الموظفين للوصول إلى الشبكات. تشكل هذه المجموعات خطراً كبيراً على الشركات، حتى الشركات التي تمتلك برامج أمنية قوية، حيث يصعب التصدّي لهذه الأساليب بصورة مجدية. ومع استمرار الشركات في تصميم وبناء فرق الأمان والبنية التحتية وتعزيز قدرات دفاعها، يجب أن تكون الحماية ضد الجهات الفاعلة التي تشكل تلك التهديدات جزءاُ رئيسياً من أهدافها.”
العمل وفقاً للاستخبارات
الهدف من تقرير مانديانت حول أبرز الاتجاهات هو تسليح المتخصصين في مجال الأمن السيبراني برؤى مستنيرة حول أحدث أنشطة المهاجمين مباشرة من الخطوط الأمامية للتهديدات، ودعمهم بمعلومات عملية لتحسين الموقف الأمني للمؤسسات ضمن مشهد التهديدات سريع التطوّر. لتحقيق هذا الهدف، تقدم مانديانت نظرة ثاقبة حول بعض أكثر الجهات النشطة في مجال التهديد وتكتيكاتها وتقنياتها وإجراءاتها الموسعة.
ولتحقيق هذا الهدف بفعالية، حدّدت مانديانت 150 نهج إضافي لإطار MITRE ATT&CK® المحدّث، ليصل إجمإلى الطرق التي استحدثتها مانديانت إلى أكثر من 2,300 نهج ونتائج لاحقة مرتبطة بالإطار ذاته. ينبغي أن تعطي الشركات والمؤسسات الأولوية للتدابير الأمنية التي يجب اعتمادها وتنفيذها بناءً على احتمالية استخدام أسلوب معين أثناء عمليات التصيّد والتدخّل السيراني.
بالإضافة إلى ذلك، تشمل أبرز المخرجات السريعة من تقرير “مانديانت حول أبرز الاتجاهات لعام 2023” ما يلي:
- ناقلات الفيروسات: للعام الثالث على التوالي، ظلت برمجيات التصيد والاحتيال أكثر الناقلات الأولية فاعلية إذ يستخدمها المهاجمون بنسبة 32٪. وفي حين أن هذا يمثل انخفاضاً عن 37٪ من عمليات الاقتحام التي تم تحديدها في عام 2021، تظل برامج التصيد والاحتيال أداة بالغة الأهمية يستخدمها الخصوم ضد أهدافهم. عاد التصيد الاحتيالي باعتباره ثاني أكثر ناقل مستخدم للفيروسات، ويمثل 22٪ من عمليات الاقتحام مقارنة بـ 12٪ في عام 2021.
- القطاعات المستهدفة: استحوذت جهود الاستجابة للمنظمات ذات الصلة بالحكومات على 25٪ من جميع التحقيقات، مقارنة بـ 9٪ في عام 2021. يعكس هذا دور مانديانت الرئيسي في استقصاء أنشطة التهديد الإلكتروني التي استهدفت أوكرانيا. الخدمات التجارية والمهنية، القطاع المالي، التكنولوجيا الفائقة، والرعاية الصحية هي الصناعات الأربع الأكثر استهدافاً في عام 2022، وذلك يتوافق مع ما لاحظه خبراء مانديانت في عام 2021. تظل هذه الصناعات أهدافاً جذابة لجهات الهجوم ذات الدوافع المالية وجهات التجسس.
- سرقة الهوية: كشفت تحقيقات مانديانت عن انتشار متزايد في استخدام البرمجيات الضارة لسرقة المعلومات على نطاق واسع وشراء بيانات الاعتماد في عام 2022 مقارنة بالسنوات السابقة. وفقاً للتحقيقات، من المحتمل أن بيانات الهوية قد سُرقت خارج بيئة المؤسسة في العديد من الحالات ثم استخدمت ضد المؤسسة، ربما بسبب إعادة استخدام كلمات المرور أو استخدام الحسابات الشخصية على أجهزة الشركة.
- سرقة البيانات: وجد خبراء مانديانت أن 40٪ من عمليات الاقتحام في عام 2022 قد شهدت إعطاء الأولوية من قبل الخصوم لسرقة البيانات. لاحظ المدافعون في مانديانت محاولات جهات التهديد للسرقة أو إكمال عمليات سرقة البيانات بنجاح في كثير من الأحيان في عام 2022 مقارنة بالسنوات السابقة.
- استخدام كوريا الشمالية للعملات المشفرة: إلى جانب مهام جمع المعلومات الاستخباراتية التقليدية والهجمات التخريبية، أظهرت الجهات التخريبية في جمهورية كوريا الديمقراطية الشعبية في عام 2022 اهتماماً أكبر بسرقة العملات المشفرة واستخدامها. ولأن هذه العمليات كانت مربحة للغاية، من المرجح أنها ستستمر بلا هوادة طوال عام 2023. لمزيد من المعلومات حول كيفية استخدام جهات التهديد في كوريا الشمالية للجرائم الإلكترونية كطريقة لتمويل عمليات التجسس الخاصة بها، الرجاء الاطلاع على تقرير Mandiant’s APT43.
المنهجية المتّبعة في تقرير مانديانت حول أبرز اتجاهات عام 2023:
تستند المقاييس التي تم اتباعها في تقرير مانديانت حول أبرز اتجاهات عام 2023 إلى تحقيقات “استشارات مانديانت” حول أنشطة الهجومات المستهدفة بين 1 يناير 2022 و 31 ديسمبر 2022. تم تنقيح المعلومات التي جمعتها مانديانت لحماية هويات الأهداف وبياناتها
عن مانديانت
مانديانت شركة رائدة و معروفة في مجال الدفاع السيبراني الديناميكي، واستخبارات التهديدات وخدمات الاستجابة لحوادث الاختراقات والهجوم. وسعت الشركة من نطاق خبراتها على مدار عقود من الزمن مما يجعلها الشريك المثالي لمساعدة المؤسسات والكيانات المختلفة على تعزيز جاهزيتها للتصدي للتهديدات السيبرانية والاستجابة لها. مؤخراً، أصبحت مانديانت جزءاً من غوغل السحابية.\
عن غوغل السحابية
تعمل غوغل السحابية، أكثر سحابة إلكترونية تنظيماً وفاعلية، على تسريع قدرات الشركات على تحويل أعمالها رقمياً وتقديم حلول مؤسساتية شاملة تستفيد من أحدث تقنيات غوغل. يلجأ العملاء في أكثر من 200 دولة وإقليم إلى سحابة غوغل كشريك موثوق لتمكين النمو وحل مشاكل العمل الحرجة.