كتب : محمد شوقي
نشرت شركة "فاير آي" العالمية المتخصصة في مجال الأمن القائم على استقصاء البيانات والمعلومات، تقرير وحدة "مانديانت" لفعالية الأمن السيبراني لعام 2020 (Mandiant® Security Effectiveness Report 2020) والذي يكشف معلومات وبيانات حول مدى قدرة المنظمات على حماية نفسها ضد التهديدات السيبرانية والفعالية الشاملة لبنيتها التحتية الأمنية.
يُلخص التقرير نتائج آلاف الاختبارات التي أجراها خبراء من فريق وحدة "مانديانت" للتحقق من الأمان (Mandiant Security Validation) والمعروفة سابقاً باسم "فيرودن" (Verodin). حيث تضمنت الاختبارات هجمات حقيقية، وسلوكيات ضارة معينة، بالإضافة إلى تكتيكات وتقنيات منسوبة لجهات فاعلة معروفة والتي تعمل في بيئات إنتاج على مستوى المؤسسة، والتي تمثل 11 قطاعاً صناعياً مقابل 123 تقنية أمنية رائدة في السوق - بما في ذلك حلول الشبكات، والبريد الإلكتروني، والطرفيات، والحوسبة السحابية. ويكشف التقرير أنه بينما تواصل المؤسسات استثمار أموال كبيرة من ميزانيتها على الحلول والضوابط الأمنية والتي تعتقد بأن هذه الاستثمارات تحمي أصول الشركة بشكل كامل، فإن الحقيقة تكمن بأن غالبية الهجمات المُختبرة من قبلنا قد تسللت بنجاح إلى بيئات عمل المؤسسات دون علمها. بالإضافة إلى ذلك، يتضمن التقرير إرشادات لمساعدة المنظمات على ضمان أداء ضوابط الأمان الخاصة بها من خلال تنفيذ إستراتيجية تتضمن التحقق المستمر من طرق الأمان السيبراني.
من جهته قال كريس كي، نائب الرئيس الأول في وحدة "مانديانت" للتحقق من الأمان،كل مؤسسة تريد بيانات موثوقة تُخبرها بأن استثماراتها الأمنية تقدم قيمة حقيقية وتحميها من أن تصبح العنوان التالي للهجوم الإلكتروني. وأظهر بحثنا أنه على الرغم من أن غالبية الشركات تعتقد بأنها محمية، إلا أنه في حقيقة الأمر قد تتعرض لاختراقات في أغلب الأحيان.
أضاف باستخدام التحقق من الأمان المؤتمت والمتكامل مع أحدث المعلومات حول التهديدات والخبرة في مواجهة التهديدات المحتملة، يمكننا ذلك من مساعدة العملاء على التحقق من صحة بنيتهم التحتية عن طريق إجراء عمليات اختبار ضد التهديدات التي من المرجح أنها تستهدف مؤسساتهم. إن هذا المزيج ليس هو فقط إجراء دفاعي قوي، ولكنه يساعد أيضاً الشركات على تحديد أولويات الاستثمارات لتوجيهها نحو المواقع والثغرات التي تسبب الخسائر والأثر الأكبر في الشركة."
في الاختبارات التي تم اجراؤها، تمكنت 53٪ من الهجمات بالتسلل إلى بيئات عمل الشركات بنجاح دون اكتشافها. في حين بلغت نسبة الهجمات التي تسللت بنجاح وتم اكتشافها إلى نحو 26٪، بينما تم منع وصد 33٪ من الهجمات بواسطة أدوات الأمان المستخدمة في المؤسسات. وبلغت نسبة التنبيهات عن الهجمات 9% فقط، ما يدل على أن معظم المؤسسات والمنظمات وفرقها الأمنية لا تتمتع بالرؤية والوعي الكافي والتي تحتاجه لمواجهة التهديدات الخطيرة، وحتى عندما تستخدم منصات " معلومات الأمن وإدارة الأحداث" (SIEM) و"أتمتة واستجابة تزامن الأمان" (SOAR) المركزية ومنصات التحليل فإن ذلك لا يساعدها كثيراً.
وأثناء إجرائنا لعمليات التحليل، لاحظ فريق وحدة "مانديانت" للتحقق من الأمان أن الأسباب الأكثر شيوعاً وراء ضعف أدوات أمان المؤسسات هي:
· تثبيت ونشر هذه الأدوات وفقاً للإعدادات الافتراضية الجاهزة لها
· نقص الموارد لضبط وتعديل الأدوات بعد تثبيتها وتفعيلها
· الأحداث الأمنية والاختراقات لا تصل إلى منصات معلومات الأمان وإدارة الأحداث (SIEM)
· عدم القدرة على اختبار ضوابط القوة
· تغييرات غير متوقعة أو انحراف في البنية التحتية الأمنية الأساسية
كما يلقي التقرير نظرة أعمق على الأساليب والتكتيكات التي يستخدمها المهاجمون ويحدد التحديات الأساسية الأكثر شيوعاً في بيئات المؤسسات من خلال إجراء الاختبارات وعمليات التحقق من الأمان:
1. الاستطلاع: في اختبار حركة مرور الشبكة، أبلغت المنظمات أن ما نسبته 4٪ فقط من نشاط الاستطلاع قد تم التنبه له.
2. عمليات التسلل وبرامج الفدية: أفادت المنظمات والمؤسسات بأن حلولها الأمنية لم تصد أو حتى تكتشف الاختراقات التي تعرضت لها وبلغت نسبة تكرارها 68%.
3. التحايل على سياسة الشركة: بلغت نسبة تكرارها 65%، حيث لم تكن الحلول والبيئات الأمنية قادرة على منع أو اكتشاف الاختراقات المُختبرة.
4. نقل الملفات الضارة: لم تكن الضوابط والحلول المعتمدة قادرة على منع واكتشاف عمليات نقل الملفات الضارة أو حتى ضبط حركتها، وبلغت نسبتها 48%.
5. القيادة والتحكم: إن 97٪ من السلوكيات المُنفذة لم يظهر لها تنبيه في منصات "معلومات الأمان وإدارة الأحداث" (SIEM).
6. استخراج البيانات: بلغت نسبة نجاح تقنيات وطرق تسريب المعلومات والبيانات ما يقارب 68% وذلك أثناء الاختبار الأولي.
7. الحركة الجانبية: 54٪ من التقنيات والتكتيكات المستخدمة لتنفيذ اختبار الحركة الجانبية لم يتم اكتشافها.
بالإضافة إلى الرؤى المذكورة أعلاه والأسباب الكامنة وراء كل مشكلة على الأرجح، يُقدم تقرير "مانديانت" لفعالية الأمان لعام 2020 أمثلة واقعية تثبت الأثر السلبي لهذه الثغرات على الأداء في مختلف القطاعات الصناعية.
وتابع كي، قائلاً: "سواءً أدركوا ذلك أم لم يدركوا، فإن المؤسسات والشركات في مختلف القطاعات الصناعية بحاجة ماسة إلى محاربة الواقع المقلق والذي كشف عنه تقرير فعالية الأمن لدينا. وإن الطريقة الوحيدة المؤكدة للقيام بذلك هي من خلال التحقق المستمر من الحلول والضوابط الأمنية ضد التهديدات الجديدة والحالية، وذلك باستخدام التكنولوجيا التي تعمل على أتمتة قياس فعالية الأمن في المؤسسة، وتقدم فعالية البيانات للنتائج المقاسة. ويقدم تقريرنا إرشادات حول كيفية القيام بذلك".
لتحميل والاطلاع على النسخة الكاملة من تقرير وحدة "مانديانت" لفعالية الأمان لعام 2020 (Mandiant® Security Effectiveness Report 2020)، بما في ذلك قائمة الأساسيات العشرة للتحقق من فعالية الأمن السيبراني في المؤسسة، قم بزيارة