سمات الهجمات الإلكترونية الناجحة... وكيفيّة مواجهتها
سمات الهجمات الإلكترونية الناجحة... وكيفيّة مواجهتها
(بيل هيلتون)
تناولت مجلة إسرائيلية متخصصة في مجال الأمن، المعايير التي "ميّزت" الهجمات الأكثر نجاحًا والتي تمّت حتى الآن في إطار الحرب الإلكترونية. وأشارت مجلة "الدفاع الإسرائيلي" إلى أنه عند مراقبة الهجمات الإلكترونية "الأكثر تقدماً" التي نفذت حتى الآن، يتبين أنها تشترك في عدة سمات.
وفي مقابلة أجرتها المجلة معه، ونشرتها الجمعة، قال كوستين رؤيو، مدير طاقم الأبحاث في شركة "كاسبرسكي" لتأمين المعلومات، إن القراصنة الذين نفذوا الهجمات الأكثر نجاحاً وتقدماً تعمّدوا عدم استخدام الملفات في عمليات الهجوم. وحرصوا، بدلاً من ذلك، على استخدام "ذاكرة الوصول العشوائي" (RAM) لكي يتجاوزوا تأثير منظومات الدفاع والتأمين التي تعمل اعتماداً على قدرتها على التعرف على الملفات (مثل منظومة ساند بوكس).
وأشار رؤيو إلى أن المهاجم من أجل ضمان أن يبقى تأثير الهجوم الإلكتروني لأطول فترة ممكنة، يحرص على أن يشمل الهجوم معظم الحواسيب المرتبطة بالمنظومة المحوسبة المستهدفة؛ مستدركاً أن المهاجم يُعنى ببقاء بعض الحواسيب وقواعد البيانات سليمة وذلك من أجل ضمان تواصل الهجوم حتى لو ظلت منظومات تأمين المعلومات جاهزة للعمل. وأضاف: "الحركة العرضية التي يتخذها الهجوم، والتي تمكّن المهاجم من المسّ بمعظم الحواسيب المرتبطة بالمنظومة المحوسبة تضمن تواصل الهجوم... وعندما يكون هدف الهجوم منظومات محوسبة لجهاز أمني أو مؤسسة اقتصادية ما، فإن الحديث يدور عن آلاف الحواسيب، ما يعني أن فرص توقفها عن العمل نتيجة الهجوم في الوقت نفسه تؤول إلى الصفر، ما يضمن تواصل الهجوم".
وأوضح أنه يكفي أن يتحكم المهاجم في "ذاكرة الوصول العشوائي" لبعض الحواسيب حتى
يضمن تأثيرا كبيرا وتواصلا أطول للهجمة. وأشار رؤيو إلى أن من سمات الهجوم "الناجح" استخدام آلية "Zero-day attack" التي تقوم على استخدام نقاط ضعف في برامج تأمين المعلومات في المنظومات المحوسبة، والتي تكتشف لأول مرة، مشيرًا إلى أن هناك شركات متخصصة في التعرف على نقاط ضعف في برامج الحماية.
ولفت رؤيو إلى أن الهجوم بفيروس "stuxnet" الذي استهدف المنظومة المحوسبة، التي تتحكم في أجهزة الطرد المركزي في المرافق النووية الإيرانية عام 2009، ونسب إلى الاستخبارات الأميركية والإسرائيلية، يعد أحد صور هجمات "Zero-day attack"، والذي تسنى فقط بعد أن تمكن المهاجمون من التعرف على نقاط ضعف في منظومة تأمين المعلومات المستخدمة في المنظومات المحوسبة في المرافق النووية الإيرانية، ما ضمن تحقيق الأهداف المرجوة من الهجوم، الذي أفضى إلى تعطيل معظم أجهزة الطرد المركزي، وهو ما أثر على البرنامج النووي الإيراني بشكل كبير.
وقال رؤيو إنّ كلفة هجمات "Zero-day attack" تراجعت إلى حد كبير، مضيفاً أن كلفة التعرف على ثغرة في نظم الحماية كانت تصل إلى مئات ملايين الدولارات، كما هو الحال عند استخدام "stuxnet"، في حين أنه بات بالإمكان شن هجمات اعتمادا على "Zero-day attack" بكلفة مليون دولار فقط.
وأشار رؤيو إلى أن ما فاقم من خطورة الهجمات الإلكترونية في الوقت الحالي حقيقة أنه حدث تطور كبير وسريع في كل ما يتعلق بتطوير وسائل الهجوم الإلكتروني. وأضاف: "في الماضي كان الأمر يتطلب وجود مجموعة من القراصنة تضم أناسا من ذوي خبرة لا تقل عن 10 سنوات للنجاح في تطوير وسيلة هجومية جديدة، في حين أن المهاجمين بات بإمكانهم حالياً شراء وسائل هجومية جاهزة، وهذا ما يقصر الوقت اللازم لتطوير الوسائل الهجومية".
وما يزيد الأمور تعقيدًا، حقيقة أنه على الرغم من التطور الكبير في مجال تطوير التقنيات القادرة على التنبيه إلى شن هجمات إلكترونية، بحسب رؤيو، "إلا أن التعرف على شن هذه الهجمات يتحقق بعد مضي مئات الأيام على وقوعها". واستدرك أن التعرف على وقوع
الهجمات يتسنى بسرعة نسبية أحيانا بسبب "أخطاء يرتكبها المهاجم، ما يفضي إلى التعرف على الكود الذي استخدمه المهاجم في تنفيذ الهجوم".
وحسب رؤيو، فإنّ أهم وسائل الدفاع التي تضمن تقليص الضرر الناجم عن الهجمات الإلكترونية المتقدمة تتمثل في تدشين شبكات محوسبة غير متصلة بالإنترنت (Air Gap)، لا سيما عندما يتعلق الأمر بشبكات تضم معلومات سرية. وأضاف أنه يتوجب إصلاح كل قطع الغيار في الحواسيب، ووضع الغراء على كل البراغي والواجهات في الجهاز، وضمن ذلك USB ومخارج أخرى "لتقليص فرص أن يقوم أحد ما بوضع شيء ما لا تعرفونه في الشبكة".
وأضاف: "في حال كنتم معنيين بنقل معلومات من حاسوب إلى آخر.. فحذار حذار من استخدام أجهزة USB بل يتوجب استخدام الديسكات".
ونقل رؤيو أن روب جويس، الذي قاد ذراع الهجمات الإلكترونية في وكالة الأمن الوطني الأميركي (NSA)، أكد أن أهم وسائل تأمين المنظومات المحوسبة هو الحفاظ على عدم ربط "ملفات التسجيل" (LOG FILES) بالإنترنت، على اعتبار أن هذه الملفات هي التي تسجل وتوثق كل الأنشطة التي يقوم بها متصفحو موقع ما، وهذا ما يزيد من أهمية هذه الملفات كمصدر للمعلومات.
اقــرأ أيضاً
وفي مقابلة أجرتها المجلة معه، ونشرتها الجمعة، قال كوستين رؤيو، مدير طاقم الأبحاث في شركة "كاسبرسكي" لتأمين المعلومات، إن القراصنة الذين نفذوا الهجمات الأكثر نجاحاً وتقدماً تعمّدوا عدم استخدام الملفات في عمليات الهجوم. وحرصوا، بدلاً من ذلك، على استخدام "ذاكرة الوصول العشوائي" (RAM) لكي يتجاوزوا تأثير منظومات الدفاع والتأمين التي تعمل اعتماداً على قدرتها على التعرف على الملفات (مثل منظومة ساند بوكس).
وأشار رؤيو إلى أن المهاجم من أجل ضمان أن يبقى تأثير الهجوم الإلكتروني لأطول فترة ممكنة، يحرص على أن يشمل الهجوم معظم الحواسيب المرتبطة بالمنظومة المحوسبة المستهدفة؛ مستدركاً أن المهاجم يُعنى ببقاء بعض الحواسيب وقواعد البيانات سليمة وذلك من أجل ضمان تواصل الهجوم حتى لو ظلت منظومات تأمين المعلومات جاهزة للعمل. وأضاف: "الحركة العرضية التي يتخذها الهجوم، والتي تمكّن المهاجم من المسّ بمعظم الحواسيب المرتبطة بالمنظومة المحوسبة تضمن تواصل الهجوم... وعندما يكون هدف الهجوم منظومات محوسبة لجهاز أمني أو مؤسسة اقتصادية ما، فإن الحديث يدور عن آلاف الحواسيب، ما يعني أن فرص توقفها عن العمل نتيجة الهجوم في الوقت نفسه تؤول إلى الصفر، ما يضمن تواصل الهجوم".
وأوضح أنه يكفي أن يتحكم المهاجم في "ذاكرة الوصول العشوائي" لبعض الحواسيب حتى
ولفت رؤيو إلى أن الهجوم بفيروس "stuxnet" الذي استهدف المنظومة المحوسبة، التي تتحكم في أجهزة الطرد المركزي في المرافق النووية الإيرانية عام 2009، ونسب إلى الاستخبارات الأميركية والإسرائيلية، يعد أحد صور هجمات "Zero-day attack"، والذي تسنى فقط بعد أن تمكن المهاجمون من التعرف على نقاط ضعف في منظومة تأمين المعلومات المستخدمة في المنظومات المحوسبة في المرافق النووية الإيرانية، ما ضمن تحقيق الأهداف المرجوة من الهجوم، الذي أفضى إلى تعطيل معظم أجهزة الطرد المركزي، وهو ما أثر على البرنامج النووي الإيراني بشكل كبير.
وقال رؤيو إنّ كلفة هجمات "Zero-day attack" تراجعت إلى حد كبير، مضيفاً أن كلفة التعرف على ثغرة في نظم الحماية كانت تصل إلى مئات ملايين الدولارات، كما هو الحال عند استخدام "stuxnet"، في حين أنه بات بالإمكان شن هجمات اعتمادا على "Zero-day attack" بكلفة مليون دولار فقط.
وأشار رؤيو إلى أن ما فاقم من خطورة الهجمات الإلكترونية في الوقت الحالي حقيقة أنه حدث تطور كبير وسريع في كل ما يتعلق بتطوير وسائل الهجوم الإلكتروني. وأضاف: "في الماضي كان الأمر يتطلب وجود مجموعة من القراصنة تضم أناسا من ذوي خبرة لا تقل عن 10 سنوات للنجاح في تطوير وسيلة هجومية جديدة، في حين أن المهاجمين بات بإمكانهم حالياً شراء وسائل هجومية جاهزة، وهذا ما يقصر الوقت اللازم لتطوير الوسائل الهجومية".
وما يزيد الأمور تعقيدًا، حقيقة أنه على الرغم من التطور الكبير في مجال تطوير التقنيات القادرة على التنبيه إلى شن هجمات إلكترونية، بحسب رؤيو، "إلا أن التعرف على شن هذه الهجمات يتحقق بعد مضي مئات الأيام على وقوعها". واستدرك أن التعرف على وقوع
وحسب رؤيو، فإنّ أهم وسائل الدفاع التي تضمن تقليص الضرر الناجم عن الهجمات الإلكترونية المتقدمة تتمثل في تدشين شبكات محوسبة غير متصلة بالإنترنت (Air Gap)، لا سيما عندما يتعلق الأمر بشبكات تضم معلومات سرية. وأضاف أنه يتوجب إصلاح كل قطع الغيار في الحواسيب، ووضع الغراء على كل البراغي والواجهات في الجهاز، وضمن ذلك USB ومخارج أخرى "لتقليص فرص أن يقوم أحد ما بوضع شيء ما لا تعرفونه في الشبكة".
وأضاف: "في حال كنتم معنيين بنقل معلومات من حاسوب إلى آخر.. فحذار حذار من استخدام أجهزة USB بل يتوجب استخدام الديسكات".
ونقل رؤيو أن روب جويس، الذي قاد ذراع الهجمات الإلكترونية في وكالة الأمن الوطني الأميركي (NSA)، أكد أن أهم وسائل تأمين المنظومات المحوسبة هو الحفاظ على عدم ربط "ملفات التسجيل" (LOG FILES) بالإنترنت، على اعتبار أن هذه الملفات هي التي تسجل وتوثق كل الأنشطة التي يقوم بها متصفحو موقع ما، وهذا ما يزيد من أهمية هذه الملفات كمصدر للمعلومات.
