أشار تقرير "M-trends" إلى انخفاض زمن مكوث المهاجم إلى أقل من شهر واحد نتيجة لتحسن الإمكانيات مع تزايد هجمات برامج الفدية.
كتب : محمد الخولي
نشرت اليوم شركة «فاير آي»، المتخصصة في مجال الأمن القائم على استقصاء البيانات والمعلومات (رمزها في بورصة ناسداك: FEYE)، تقرير وحدة "مانديانت" السنوي للأمن السيبراني (FireEye® Mandiant® M-Trends® 2021). وعلى العام الثاني عشر على التوالي، يجمع تقرير (M-Trends) بين أفضل الخبرات في مجال الأمن السيبراني و استقصاء التهديدات مع الإحصاءات والرؤى المستقاة من تحقيقات "مانديانت" الأخيرة في جميع أنحاء العالم.
يوضح تقرير هذا العام تفاصيل مهمة حول تقنيات المهاجم الشائعة والبرامج الضارة، وانتشار الابتزاز متعدد الأوجه وهجمات برامج الفدية، والتحضير لتهديد متوقع محاكي لـحادثة "صن بيرست" UNC2452 / SUNBURST، ناهيك عن التهديدات الداخلية المتزايدة، بالإضافة إلى الجهات و القطاعات المختلفة المستهدفة خلال فترة الجائحة. ومن التفاصيل أدناه تم تلخيص جميع نتائج هذا التقرير.
انخفاض متوسط "زمن المكوث العالمي" (Global Dwell Time) إلى أقل من شهر واحد للمرة الأولى
على مدار العقد الماضي، لاحظت "مانديانت" انخفاضاً في متوسط "زمن المكوث العالمي" (يُعرَّف بأنه المدة بين بداية التسلل السيبراني وحتى اكتشافه). ففي عام 2011 كان يبلغ متوسط زمن المكوث ما يقارب الـ 365 يوماً ولكن في العام المنصرم انخفض حتى بلغ 24 يوماً، وهذا أكثر من ضعف السرعة التي تم تحديدها مقارنةً بتقرير العام الماضي بمتوسط زمن مكوث بلغ 56 يوماً.
تعزو وحدة "مانديانت" هذا الانخفاض إلى التطوير المستمر وتحسين قدرات الكشف والاستجابة التنظيمية، جنباً إلى جنب مع زيادة في التحقيقات بسبب زيادة هجمات الابتزاز متعدد الأوجه وبرامج الفدية.
فقد تباينت فترات "زمن المكوث" حسب المنطقة الجغرافية، بدءاً مع الأمريكيتين حيث لوحظ تحسن في انخفاض زمن المكوث للهجمات المكتشفة داخلياً، حيث وصلت لحدود تسعة أيام فقط بدلاً من 32 يوماً. وعلى نقيض من ذلك، شهدت منطقة آسيا والمحيط الهادئ و أوروبا والشرق الأوسط وإفريقيا زيادة إجمالية في متوسط "زمن المكوث"، والذي يعتقد خبراء "مانديانت" أنه يتأثر بعدد أكبر من التدخلات طويلة الأمد مع فترات المكوث التي تمتد إلى ما بعد ثلاث سنوات، مقارنةً بالأميركيتين.
الكشف عن الاختراقات الداخلية في ازدياد
أشار تقرير العام الماضي إلى انخفاض في عمليات اكتشاف الاختراقات الداخلية الناتجة عن عمليات التسلل مقارنةً بعام 2019، حيث لاحظ خبراء "مانديانت" عودة المنظمات التي تكتشف معظم حوادثها الأمنية بشكل مستقل. فقد ارتفع معدل اكتشاف الحوادث الداخلية إلى 59٪ في عام 2020 - بزيادة قدرها 12 نقطة مقارنة بعام 2019. وتتماشى عودة هذه المؤسسات إلى اكتشاف غالبية عمليات التسلل داخل بيئاتها مع الاتجاه العام الذي لوحظ على مدى السنوات الخمس الماضية.
والجدير بالذكر أن الاكتشاف الداخلي كان في ارتفاع في جميع المناطق على أساس سنوي. ففي المقدمة كانت المنظمات في الأمريكيتين سباقة للكشف عن عمليات التهديد الداخلي بنسبة بلغت 61%، تليها منطقة أوروبا والشرق الأوسط وأفريقيا بنسبة 53% في حين بلغت نسبة اكتشاف التهديدات الداخلية في منطقة آسيا والمحيط الهادئ 52٪ فقط. وعلى وجه المقارنة، فقد تلقت منظمات منطقة آسيا والمحيط الهادئ ومنطقة أوروبا والشرق الأوسط وإفريقيا المزيد من إخطارات التسوية من كيانات خارجية، مقابل المنظمات في الأميركيتان.
الجهات الفاعلة تصب جل اهتمامها على قطاعات البيع بالتجزئة والضيافة والرعاية الصحية
رصد تقرير "مانديانت" لهذا العام أهم خمس صناعات مستهدفة، وهي مرتبة على الشكل التالي، بدايةً بالأعمال التجارية والخدمات المهنية، البيع بالتجزئة والضيافة، القطاع المالي، قطاع الرعاية الصحية وانتهاءً بالتكنولوجيا المتقدمة.
في حين لاحظ خبراء "مانديانت" بأن المؤسسات العاملة في قطاعي البيع بالتجزئة والضيافة تم استهدافها بشكل أكبر خلال فترة الجائحة، فقد احتلت المرتبة الثانية في عام 2020 بين أكثر القطاعات استهدافاً مقارنةً بالمرتبة 11 في تقرير العام الماضي، كما ارتفع قطاع الرعاية الصحية بشكل ملحوظ، لتصبح ثالث أكثر القطاعات استهدافاً في عام 2020، بعد أن شغلت المرتبة الثامنة في تقرير "مانديانت" للعام الماضي. يمكننا تفسير هذا التركيز المتزايد من الجهات الفاعلة حول هذه القطاعات لدورها الحيوي الذي لعبته خلال فترة الوباء العالمي.
وفي هذا السياق، يتحدث يورجن كوتشر، نائب الرئيس التنفيذي لتقديم الخدمات لدى وحدة "مانديانت"، قائلاً: "بينما تواصل المنظمات تحسين قدرتها على اكتشاف الاختراقات ضمن بيئاتها، فإن احتواء الخصوم اليوم يأتي مع تحديات فريدة. فقد أجبرت الجائحة الشركات على إعادة التفكير في استمرارية أعمالها واعتمادها سياسات العمل عن بُعد. ونتيجةً لهذه التغيرات أصبحت البنى التحتية للشبكات الافتراضية الخاصة ومنصات مؤتمرات الفيديو وبرامج مشاركة المعرفة أنظمة مهمة لضمان استمرارية الأعمال ما أدى إلى تغيير أرض المعركة للمؤسسات. ففي الكثير من الحالات أصبح الموظفون العاديون هم المسؤولون بشكل مباشر عن أمن اتصالاتهم والأمور الأخرى المتعلقة بالأمن السيبراني. فمنذ عام 2016، كان قطاع الأعمال والخدمات المهنية ضمن أعلى خمس قطاعات استهدافاً، ولكن في عام 2020 صعد إلى المرتبة الأولى ليصبح أهم القطاعات المستهدفة من قبل مجرمي الإنترنت والجهات الفاعلة المدعومة والتي ترعاها دول معينة. لذلك تحتاج الشركات على مستوى العالم في التكيُّف المستمر مع هذه التغيرات المتسارعة".
وتابع كوتشر حديثه قائلاً: " حدد تقرير "M-Trends" لهذا العام، ثلاث عوامل رئيسية وراء معظم عمليات الاختراقات وهي عمليات استغلال الثغرات وبلغت 29٪ في حين رسائل بريد إلكتروني للتصيد الاحتيالي وصلت نسبتها إلى 23٪ وأخيراً بلغت نسبة الهجمات المعتمدة على سرقة بيانات الاعتماد والأصول ما يقارب الـ 19٪. تبقى حملات التصيد الاحتيالي أهم الوسائل الهجومية المفضلة من قِبل الجهات الفاعلة، فقد رأينا المزيد من الجهات الفاعلة التي تستغل الثغرات لتعريض الضحايا للخطر. ما يذكر المؤسسات بأن يكون لديها خطة أكثر قوة لتصحيح الثغرات الأمنية في برمجياتها المستخدمة. و يتمثل أحد التحديات هنا في تحديد المصادر والمعلومات المتاحة لاتخاذ قرارات قائمة على المخاطر بشكل أفضل عند تحديد أولويات الأنظمة والتطبيقات التي يجب تصحيحها الآن وما يجب تصحيحه في مرحلة لاحقة بناءً على المعرفة الحالية حول الاستغلال والاستهداف من قبل الجهات الفاعلة في مجال التهديد".
في حين علق تشارلز كامرخال، النائب الأول للرئيس وكبير مسؤولي التكنولوجيا لدى "مانديانت"، قائلاً: "الابتزاز متعدد الأوجه وبرامج الفدية هو التهديد الأكثر انتشاراً للمؤسسات. في تقرير هذا العام، كانت المكاسب المالية المباشرة هي الدافع وراء ما لا يقل عن 36٪ من عمليات الاختراق التي حققنا فيها. فلا تزال سرقة البيانات وإعادة بيع الوصول غير المصرح به إلى المنظمات الضحايا تبلغ نسباً عالية حيث ابتعد ممثلو برامج الفدية والابتزاز متعدد الأوجه عن الحملات الانتهازية البحتة لصالح المنظمات المستهدفة التي من المرجح أن تدفع طلبات ابتزاز كبيرة. بالنظر إلى هذا الارتفاع المفاجئ، يجب على المؤسسات اتخاذ إجراءات استباقية للتخفيف من التأثير المحتمل ".
كما تحدثت ساندرا جويس، نائب الرئيس التنفيذي لاستخبارات التهديدات العالمية لدى "مانديانت"، قائلةً: "تذكرنا مجموعة (UNC2452) المسؤولة عن هجوم "سولار ويندز" (SolarWinds) بأنه لا يمكن الاستهانة بهكذا مجموعة ذات تهديد عالي وصبورة، فاهتمامها بالأمان التشغيلي والتجسس المضاد يميزهم عن أقرانهم. لذا لن يكون الدفاع ضد هذا الممثل سهلاً، وليس مستحيلاً أيضاً. فقد تعلمنا الكثير عن مجموعة "UNC2452" في الأشهر الأخيرة، والمعلومات الاستخباراتية التي جمعناها ستكون ميزتنا في المواجهات المستقبلية".
المراجع
• التقرير الكامل: https://www.fireeye.com/mtrends
• M-Trends 2021 First Look ندوة عبر الويب في 13 أبريل: استمع إلى تحليل مباشر من خبراء Mandiant حول أرقام هذا العام واتجاهات برامج الفدية والنشاط الذي يواصلون رؤيته
https://www.brighttalk.com/webcast/7451/472530
• اتجاهات M-Trends 2021 من The Numbers على الويب في 15 أبريل: الغوص العميق في أرقام تقارير هذا العام جنباً إلى جنب مع مؤسسات حلول التخفيف يجب أن تميل إلى التنفيذ.
https://www.brighttalk.com/webcast/7451/476778