أكثر من 50% من طلبات التعامل مع الهجمات الإلكترونية تحدث بعد وقوع الضرر الناجم عنها
توصّل أحدث تقرير أعدته كاسبرسكي حول تحليل الاستجابة للحوادث الإلكترونية والتعامل معها، إلى أن حوالي 56% من طلبات الاستجابة للحوادث التي تعامل معها خبراء الشركة الأمنيون في العام 2018، قد وردت بعد تعرضّ الشركات لهجمات كان لها عواقب واضحة، مثل سرقة الأموال وتشفير الأجهزة طلبًا للفدية علاوة على حجب الخدمات. وفي المقابل وردت 44% من طلبات الاستجابة للحوادث في المراحل الأولى للهجمات بعد اكتشافها مباشرة أو في مرحلة مبكرة، ما جنّب الشركات عواقب وخيمة محتملة.
وكثيرًا ما يفترض المعنيون في الشركات أن الاستجابة للحوادث لا تكون مطلوبة إلا في الحالات التي ينجم فيها ضرر ملموس عن الهجوم الإلكتروني، يرافقه حاجة إلى إجراء مزيد من التحقيق. ومع ذلك، يوضح تحليل حالات الاستجابة المتعددة للحوادث، والتي شارك فيها مختصو الأمن في كاسبرسكي خلال 2018 أن دور الحلّ الأمني لا يقتصر على الكشف عن الهجوم، وإنما إيقاف الهجوم في مراحله المبكرة لمنع وقوع الضرر.
وقد شُرع في التعامل مع 22% من طلبات الاستجابة للحوادث الإلكترونية في العام 2018 بعد اكتشاف نشاط تخريبي محتمل في الشبكة، في حين بدأ التعامل مع نسبة مماثلة من طلبات الاستجابة التي وردت بعد العثور على ملف خبيث في الشبكة. وقد تشير كلتا الحالتين إلى وقوع هجوم مستمر، من دون وجود أي علامات أخرى على حدوث اختراق للنظام. ومع ذلك، قد لا يتمكن كل فريق أمني مؤسسي من معرفة ما إذا كانت أدوات الأمن المؤتمتة قد اكتشفت النشاط الخبيث وأوقفته، أو أن هذه مجرد بداية لعملية تخريبية أكبر حجمًا تجري بالخفاء في الشبكة وأن هناك حاجة إلى متخصصين خارجيين للتعامل معها.
ويُظهر تقرير كاسبرسكي أن الافتقار إلى الدقة في تقييم النشاط التخريبي قد يفاقم الأمر بتطور هذا النشاط إلى هجوم إلكتروني واسع تنجم عنه عواقب وخيمة، فقد تبيّن في العام 2018 أن 26% من طلبات الاستجابة المتأخرة التي جرى التحقيق فيها ناجمة عن إصابة ببرمجية تشفير خبيثة، في حين أسفرت 11% من الهجمات عن سرقات مالية، وأن 19% من الحالات “المتأخرة” جاءت إما نتيجة الكشف عن بريد غير مرغوب فيه من حساب البريد الإلكتروني الرسمي للشركة، أو الكشف عن احتجاب الخدمة، أو اكتشاف وقوع اختراق ناجح.
وقال أيمن شعبان الخبير الأمني لدى كاسبرسكي إن هذا الموقف يشير إلى وجود مجال لتحسين طرق الكشف عن الحوادث وإجراءات الاستجابة لها في العديد من الشركات، مشيرًا إلى أن الشركات كلما بكّرت في اكتشاف الهجوم جاءت العواقب أقلّ ضررًا، لكنه أضاف: “استنادًا إلى خبرتنا، يمكن القول إن الشركات لا تهتم في كثير من الأحيان بالآثار المترتبة على الهجمات الخطرة، فغالبًا ما يُستدعى فريقنا الخاص بالاستجابة للحوادث عندما يكون الوقت قد فات. ومن ناحية أخرى، نرى أن العديد من الشركات تعلّمت كيفية تقييم الدلائل على وقوع هجوم إلكتروني خطر في شبكتها ما مكّننا من منع وقوع حوادث أمنية خطرة، لذلك ندعو الشركات إلى الاعتبار بمثل هذه الحالات والتعامل معها بوصفها حالات نجاح”.
وتشمل النتائج الإضافية للتقرير ما يلي:
- وُجد أن 81% من الشركات التي قدمت بيانات للتحليل الأمني لديها مؤشرات على وقوع نشاط تخريبي في شبكاتها.
- أظهرت 34% من الشركات علامات على وقوع هجوم موجّه متقدم.
- وُجد أن 54.2% من الشركات المالية تعرضت لمجموعة أو مجموعات من التهديدات المتقدمة المستمرة.
توصي كاسبرسكي باتباع التدابير التالية من أجل الاستجابة الفعالة للحوادث:
- الحرص على بناء فريق أمني متخصص (أو موظف واحد على الأقل) يكون مسؤولًا عن المسائل الأمنية التقنية.
- تنفيذ أنظمة نسخ احتياطي للأصول المهمة.
- الحرص على الاستجابة في وقت مبكر للهجوم الإلكتروني بالجمع بين فريق داخلي يمثل خط الاستجابة الأول، وشركة أمنية خارجية مختصة يجري تصعيد الحوادث الأكثر تعقيدًا إليها للتعامل معها.
- وضع خطة للاستجابة للحوادث مع توجيهات إرشادية وإجراءات مفصلة تغطي أنواعًا مختلفة من الهجمات الإلكترونية.
- تقديم التدريب التوعوي للموظفين لتعريفهم بالنظافة الرقمية وكيفية التعرّف على رسائل البريد الإلكتروني أو الروابط التي يُحتمل أن تكون خبيثة، وتجنُّبها.
- تنفيذ إجراءات لإدارة التصحيحات البرمجية من أجل ضمان التحديث المنتظم للبرمجيات.
- إجراء تقييم أمني منتظم للبنية التحتية التقنية.
