20% من طلبات تأكيد الهوية هي محاولات تخريبية

بقلم : ساندر فينبيرغ

مسؤول أبحاث التهديدات الإلكترونية في مختبرات F5

كشف بحث جديد أجرته مختبرات F5 أن الهويات الرقمية أصبحت تشكل الأرضية التي تدور عليها رحى معركة الأمن الإلكتروني، إذ أن نحو خُمس طلبات تأكيد الهوية مصدرها أنظمة آلية تخريبية.

وتم نشر البحث الذي حمل عنوان: "تقرير تهديدات الهوية 2023: الأمور غير القابلة للتصحيح" مؤخراً، وقام البحث بتحليل 320 مليار معاملة بيانات تمت في أنظمة 159 مؤسسة خلال الفترة ما بين مارس 2022 وأبريل 2023.

وخَلُصَ البحث إلى أنه في حالات عدم تطبيق معايير لتخفيف حدة الهجمات الإلكترونية، فإن المعدل المتوسط للأتمتة الذي يعد مؤشراً قوياً لضغط بيانات الاعتماد (credential stuffing) بلغ 19.4%، والذي شهد انخفاضاً ملموساً بأكثر من الثلثين إلى 6% وذلك عند اتخاذ إجراءات لتخفيف الحركة المشبوهة للبيانات.

وتستند هجمات ضغط بيانات الاعتماد على قيام الجهات التخريبية باستخدام أسماء المستخدمين وكلمات المرور المسروقة من نظام ما بهدف اختراق نظام آخر. ولا شك بأن الأدوات الآلية تقع في صلب هذه المحاولات وتتيح للجهات التخريبية توسيع نطاق محاولاتها الخبيثة.

لطالما حظيت الهويات الرقمية باهتمام الجهات التخريبية، كما أن نطاق التهديدات الإلكترونية يواصل توسعه بالتزامن مع تزايد انتشار الهويات غير البشرية. لقد أظهر البحث الذي أجريناه النطاق الواسع لتعرض الهويات الرقمية إلى الهجمات، وسلط الضوء على أهمية اتخاذ الإجراءات الفعالة للتخفيف من حدة الهجمات. ووجدنا خلال بحثنا نمطاً متكرراً تمثل في الانخفاض الفوري في استخدام الأدوات الآلية التخريبية إلى مستويات أقل عند تطبيق معايير حماية مناسبة، إذ تميل الجهات التخريبية إلى الاستسلام والبحث عن أهداف أكثر سهولة وغير محمية".

استطلع جزء رئيسي من الدراسة أثر إجراءات التخفيف على هجمات ضغط بيانات الاعتماد، وأظهر أن هذه الإجراءات أسهمت في تغيير سلوك الجهات التخريبية وأدت إلى انخفاض استخدام الأدوات الآلية التخريبية.

ووجدت مختبرات F5 أن الهجمات كانت أكثر وضوحاً ضد أجهزة الجوال مقارنة بالهجمات على شبكة الإنترنت عند غياب معايير مناسبة للتخفيف من حدة الهجمات. وبعد تطبيق هذه المعايير، تم تسجيل انخفاض أكبر في الهجمات على الجوال لتتركز الهجمات بعد ذلك عبر شبكة الإنترنت بصورة أكبر.

بالإضافة إلى ذلك فقد كان هناك أثر ملموس لإجراءات التخفيف على مدى تعقيد وتطور الهجمات.

وأظهرت الدراسة أنه في حالة الأجهزة الطرفية التي لا تتمتع بحماية لبيانات الهوية، تم تصنيف نحو 64.5% من الهجمات على أنها ذات مستويات "أولية" بسيطة، ما يعني أنه لم يكن هناك أي محاولات من قبل الجهات التخريبية لمحاكاة السلوك البشري بهدف تخطي الحماية الآلية الموجودة. وانخفضت نسبة الهجمات بشكل ملموس إلى 44% بعد تطبيق إجراءات التخفيف من حدة الهجمات.

وعلى النقيض من ذلك، فإن الهجمات من المستوى "المتوسط" -التي تبذل جهوداً إضافية للتلاعب بحلول الحماية الآلية الموجودة، والتي تصبح أكثر وضوحاً مع تطبيق معايير التخفيف من حدة الهجمات- قد ارتفعت من 12% إلى 27% بعد نشر معايير التخفيف من حدة الهجمات. أما الهجمات من المستوى "المتقدم" والتي تستخدم أدوات تحاكي نمط السلوك البشري في التصفح (ومن ضمن ذلك حركة الفأرة، والنقر على لوحة المفاتيح، وأبعاد الشاشة) فقد ارتفعت من 20% إلى 23%.

وأظهرت تحليلاتنا أن الكثير من الجهات التخريبية تتخلى عن المحاولة مجدداً عند تطبيق معايير حماية، وأن الجهات التخريبية التي تواصل استهداف نظام معين يستخدم معايير تخفيف من حدة الهجمات هي على الأرجح أكثر تصميماً وتعقيداً، وتستخدم أدوات تتيح لها محاكات السلوك البشري أو تعمل بجهد أكبر لتمويه أنشطتها".

لقد لاحظنا في أحد أمثلة الهجمات قيام الجهات التخريبية بمحاكاة نحو 513,000 تفاعل مستخدم فريد من مجموع 516,000 محاولة تخريبية، وقامت بإعادة تدوير واستخدام خصائص يمكن التعرف عليها في أقل 1% من الهجمات. أما في حالة الهجمات ذات مستويات التعقيد المرتفعة، فإن المراقبة اليدوية تصبح أمراً مطلوباً لتحديد السلوك التخريبي وإنشاء توقيع رقمي جديد للمستخدم".