كاسبرسكي: “استغلال تطبيقات الإنترنت”هو أبرز ناقل هجوم أولي في 2021
أظهر تقرير كاسبرسكي لتحليلات الاستجابة للحوادث أن أكثر من نصف الهجمات الرقمية (53.6%) التي شُنّت في العام 2021 بدأت باستغلال الثغرات الأمنية. وتضمنت طرق الهجوم الأولية الشائعة الأخرى الحسابات المخترقة ورسائل البريد الإلكتروني الخبيثة.
وعادة ما يهدف المجرمون عند التخطيط لحملات تخريبية، إلى العثور على نقاط ضعف وثغرات أمنية يمكن التعرف عليها بسهولة، كتلك الموجودة في الخوادم العامة، أو كلمات المرور الضعيفة، أو الحسابات المخترقة. وتؤدي نواقل الهجوم الأولية هذه، عامًا بعد عام، إلى تزايد حوادث الأمن الرقمي عالية الخطورة.
ويُثبت تحليل البيانات مجهولة المصدر الواردة من حالات الاستجابة للحوادث التي عالجها فريق الاستجابة العالمي لحالات الطوارئ لدى كاسبرسكي في جميع أنحاء العالم، أن استغلال التطبيقات العامّة، والتي يمكن الوصول إليها إما عن طريق الشبكة الداخلية أو عبر الإنترنت، قد أصبح الناقل الأولي الأكثر استخدامًا لاختراق محيط المؤسسات[1]. وارتفعت حصّة هذه الطريقة كناقل للهجمات من 31.5% في العام 2020 إلى 53.6% في 2021، فيما انخفض اللجوء للحسابات المخترقة كنواقل للهجمات من 31.6% إلى 17.9%، ولرسائل البريد الإلكتروني الخبيثة من 23.7% إلى 14.3%. ويُحتمل أن يكون هذا التغيير مرتبطًا بالثغرات الأمنية التي اكتشفت العام الماضي في خوادم Microsoft Exchange، إذ أدى انتشار خدمة البريد ومحاولات استغلال هذه الثغرات إلى ارتفاع الحوادث ذات الصلة.
جاءت غالبية حالات الاستجابة للحوادث من منطقة الاتحاد الأوروبي (30.1%). أقلّ من ربع الحالات وقعت في الشرق الأوسط (23.7%) ووقعت 6.5% منها في إفريقيا.
التوزيع الجغرافي لجميع عمليات الاستجابة للحوادث التي أجرتها كاسبرسكي في العام 2021
ويُعدّ تشفير الملفات أحد أكثر أنواع برمجيات الفدية شيوعًا، إذ يحرم المؤسسات من الوصول إلى بياناتها، وقد بقيت المشكلة الرئيسية التي تواجه المؤسسات لثلاث سنوات متتالية. كذلك، زاد عدد المؤسسات التي واجهت برمجيات تعدين للعملات الرقمية في شبكتها زيادة كبيرة، من 34% في 2019 إلى 51.9% في 2021. وشملت الجوانب المثيرة للقلق في التقرير قضاء المهاجمين أكثر من شهر داخل الشبكة قبل إقدامهم على تشفير البيانات، وذلك في 62.5% من الحالات.
ويتمكن المهاجمين من البقاء داخل البنية التحتية من دون اكتشاف أمرهم، بسبب أدوات نظام التشغيل، والأدوات الهجومية المعروفة، وإلى استخدام الأطر التجارية التي تشترك في 40% من جميع الحوادث. ويستخدم المهاجمون بعد الاختراق الأولي أدوات رسمية سليمة لأغراض مختلفة، مثل PowerShell لجمع البيانات، وMimikatz لرفع امتيازات الوصول، وPsExec لتنفيذ الأوامر عن بعد، علاوة على أُطر مثل Cobalt Strike لجميع مراحل الهجوم.
ويوضح تقرير كاسبرسكي أن وضع سياسة مناسبة لإدارة التصحيحات، وحده يمكن أن يقلل إلى النصف من احتمالية وقوع هجوم ناجح، بحسب كونستنتين سابرونوف رئيس فريق الاستجابة العالمي لحالات الطوارئ لدى كاسبرسكي، الذي شدّد على ضرورة اتخاذ تدابير أساسية لضمان الأمن الرقمي. وقال: “لا يمكن ضمان الحماية التامة حتى عند التنفيذ الشامل لمثل هذه التدابير، نظرًا لحرص المهاجمين على اللجوء إلى أساليب متنوعة، ما يجعل أفضل الطرق لحماية المؤسسات يتمثل في استخدام الأدوات والأساليب التي تسمح بملاحظة وجود أي عمل تخريبي وإيقافه في أي من مراحل الهجوم المختلفة”.
وتوصي كاسبرسكي باتباع التدابير التالية لتقليل تأثير الهجوم في حالات الطوارئ:
- الاحتفاظ بنسخ احتياطية من البيانات في مأمن ليظل بالإمكان الوصول إلى الملفات المهمة في حالة التعرض لهجوم ببرمجيات الفدية، مع استخدام حلول قادرة على منع أي محاولات لتشفير البيانات.
- العمل مع شريك موثوق به للاستجابة للحوادث الأمنية ومعالجتها، من خلال اتفاقيات لمستوى الخدمة السريعة.
- تقديم التدريب المنتظم لفريق الاستجابة للحوادث للحفاظ على خبرتهم وإبقائهم مطلعين على التغيرات المتسارعة في مشهد التهديدات.
- تنفيذ برمجيات أمنية صارمة للتطبيقات باستخدام معلومات التعريف الشخصية.
- التعرّف على ملامح المهاجمين الذين قد يستهدفون المؤسسة والمنطقة، لإعطاء تطوير عمليات الأمن الأولوية.
- تنفيذ حل اكتشاف التهديدات والاستجابة لها عند النقاط الطرفية، يشتمل على خدمة الكشف والاستجابة المُدارة لاكتشاف الهجمات والرد عليها على الفور، إضافة إلى غيرها من المزايا.
بالإمكان الاطلاع على النسخة الكاملة من تقرير كاسبرسكي لتحليلات الاستجابة للحوادث، على Securelist.
[1] تقرير كاسبرسكي لتحليلات الاستجابة للحوادث يقدّم نظرة ثاقبة على خدمات التحقيق في الحوادث التي أجرتها كاسبرسكي بين يناير وديسمبر 2021 في أمريكا الجنوبية والشمالية وأوروبا وإفريقيا والشرق الأوسط وآسيا، إضافة إلى روسيا ورابطة الدول المستقلة.
