ربما بدأ البعض يشعر بالملل من كثرة الحديث عن هجوم الفدية. لكن وجود هذا الموضوع تحت الضوء طيلة الفترة السابقة لربما كان تأكيداً على مدى خطورته و ضرره البالغ على منظمات الأعمال حول العالم. دعونا نتفق في البداية على بعض الأسباب الجوهرية التي قد تمهد للإصابة بفيروس الفدية وهي كما يلي:
1- عدم تطبيق برامج مكافحة الفيروسات على كل جهاز كمبيوتر متصل على الشبكة. أحياناً تترك بعض الأجهزة بلا حماية و ذلك لأسباب بيروقراطية أو مالية أو فنية و بسبب القصور في إدراك حجم المخاطر.
2- منح المستخدمين سماحيات مبالغ فيها على خادم الملفات file server تتجاوزاحتياجات العمل الفعلية.
3- ضعف برامج التوعية الأمنية في المؤسسة. بحيث لا يتلقى جميع الموظفين التدريب الكافي لفهم و محاربة التهديدات السيبرانية و إنما تبقى هذه البرامج بإطار من السطحية و الشكليات.
يقول Nate Drier أنه من الضروري القيام باختبارات أمنية مستمرة للحفاظ سلامة المؤسسات. و يقترح الأسئلة الخمسة التالية لمساعدة كل منظمة أعمال على قياس مدى قوة دفاعها السيبراني في مواجهة هجوم الفدية:
هل يمكن لهجوم الفدية خرق دفاعاتنا؟
هناك طرق لا حصر لها لاختراق دفاعات الشركة. يمكن للقراصنة مثلاً البحث عن ثغرة لتنفيذ SQL injection في أحد تطبيقات الويب الخاصة بك. يمكنهم محاولة تخمين بيانات اعتماد VPN الخاص بك. أو يمكنهم البحث عن خطأ في تكوين جدار الحماية firewall الذي يتيح لهم استغلاله الوصول إلى خدمة أو تطبيق حساس.
يعتبر هجوم الفدية إحدى مناطق الخطر الساخنة في العام 2022. لكن مع ذلك، من غير المرجح أن استهداف شركة محددة يتم وفق تخطيط مسبق أو من خلال مسح شبكة محددة بحثاً عن المشكلات ثم محاولة استغلال أحدها للوصول إلى الداخل.
في الحقيقة ، يقوم القراصنة على مدار الساعة بمسح الانترنت بالكامل بحثاً عن أي ثغرات محتملة يمكن استغلالها. عند عثورهم على مثل هذه الثغرة في أي هدف سيبدؤون بمهاجمته. قد يعثرون على 100نظام فيه هذه الثغرة الأمنية ، حينها سيتحققون من كل الشركات التي تمتلك تلك الأنظمة المائة. بعبارة أخرى ، ان استهدافك لايتم بالضرورة لما تقوم به في أعمالك و إنما بصفتك مالكاً لنظام ضعيف يمكن اختراقه.
هل موظفي المؤسسة محميين من هجمات التصيد الاحتيالي؟
تقوم الشركات بتحسين دفاعاتها في وجه الهجمات السيبرانية. من المؤكد أن وجود طبقات حماية إضافية سيقلل من فرص نجاح المحتالين السيبرانيين بمحاولاتهم. أو سيزيد الوقت الذي يستغرقه نجاح تلك المحاولات.
من وجهة نظر المهاجمين الذين يمكنهم شراء نطاقات domains بأسعار رخيصة، و يمكنهم كذلك استخدام رسائل البريد الإلكتروني المجانية ، فإن ذلك بغريهم بمتابعة لعبة التصيد الاحتيالي. تلك لعبة تحتوي على عدد غير محدود من المحاولات. يحتاج المهاجمون إلى إقناع مستخدم واحد على النقر على رابط مخادع مرة واحدة. بينما تحتاج أنت كمدافع سيبراني إلى أن تكون محظوظاً كفاية لعدم قيام أي من مستخدمي شركتك بالنقرعلى أي رابط تصيد احتيالي. سيتابع القراصنة الاستمرار في التجربة مراراً و تكراراً و تحت مسميات و عناوين عديدة حتى يستطيعوا اصطياد phishing أحدهم عبر نقرة واحدة خاطئة منه. حينها ستبدأ اللعبة.
تدرك الشركات الدفاعات التي يجب وضعها لإحباط مثل هذه الهجمات. هناك حاجة إلى عناصرتحكم قوية في end point ، بما في ذلك EDR والأذونات المقيدة restricted permissions. نحتاج أيضاً إلى تصفية البريد الإلكتروني لتتحقق من سمات الرسالة مثل عمر وسمعة المجال المصدر source domain. وبالطبع ، تحتاج إلى تدريب جميع المستخدمين – من كبار المديرين التنفيذيين إلى الموظفين الجدد – للتأكد من أنهم يدركون فعلاً مخاطرالبريد الإلكتروني.
هل النسخ الاحتياطية الهامة لدينا قابلة للاستعادة ومحمية بشكل جيد؟
في إحدى الدورات التدريبية لمدراء تكنولوجيا المعلومات، سأل المدرب الحاضرين: من منكم لديه خطة نسخ احتياطي في مؤسسته؟ طبعاً رفع الجميع أيديهم بكل ثقة. ثم عاد ذلك المدرب و سأل الحاضرين: من منكم لديه خطة موثقة لاختبار وسائط النسخ الاحتياطي. للأسف لم يرفع أي من الحاضرين يده. كانت لحظة حزينة لهم و لأمن المعلومات أيضاً.
إذا تمكن فيروس الفدية من اختراق البنية التحتية للنسخ الاحتياطي لمنظمة الأعمال فإن خيارات نجاتها قد تكون تلاشت تماماً. إذا تمكن مهاجمو فيروس الفدية من الوصول إلى النسخ الاحتياطية الهامة وحذف ملفات النسخ الاحتياطي أو تشفيرها ، فستفقد المؤسسة الخيار الوحيد الذي لديها لاستعادة أعمالها. سيؤدي ذلك إلى زيادة احتمال رضوخهم للمبتزين و دفع الفدية رغم ما قد يرتبه ذلك عليهم من تكلفة مالية و مساءلات قانونية.
للحفاظ على طوق النجاة في بحر متلاطم من هجمات فيروس الفدية فيجب حماية البنية التحتية للنسخ الاحتياطي. واعتماد المصادقة متعددة العوامل Multifactor authentication ، وكذلك التجزئة segmentation. يجب أن تكون خوادم النسخ الاحتياطي الخاصة بك على نطاق domain منفصل ولا يمكن الوصول إليه عبر الشبكة من قبل كل مستخدم في مؤسستك. أيضًا ، من الضروري ألا تشارك البنية التحتية للنسخ الاحتياطي بيانات الاعتماد credentials مع أنظمة الشركة الأساسية production systems.
أيضاً، يجب أن يتم اختبار وسائط النسخ الاحتياطي عبر تجارب استعادة دورية بشكل موثق. من واجب المؤسسة أن تتأكد أن المسؤول عن اختبار أنظمة النسخ الاحتياطي يقوم بذلك بانتظام. لا تريد أن تكتشف وجود خلل في إمكانية الاسترداد عندما تتعرض لهجوم برنامج الفدية.
ما هي المدة التي يمكننا خلالها اكتشاف هجوم الفدية و إحباطه؟
كلما زاد الوقت المتاح لدى المهاجمين لاستكشاف بيئة الهدف ، زادت فرص نجاحهم. إذا كان من الممكن كشف المهاجمين وطردهم في غضون ساعة بعد حصولهم على موطئ قدم. فعادة لن يكون هناك فرصة كبيرة لتنفيذ هجوم ناجح. ولكن إذا كان لديهم عدة أيام للتحرك بشكل خفي ولتعريض أنظمة إضافية للخطر ، حينها سيصلون حتماً إلى النقطة التي يمكنهم فيها فعل شيء ضار جداً للمؤسسة. يعد الكشف السريع والدقيق عن التهديدات أمراً بالغ الأهمية لجهود مكافحة برامج الفدية. تحتاج المؤسسة إلى الكثير من التتبع عن بُعد عبر الأجهزة endpoints والشبكة والسحابة الحاسوبية. يجب أن تكون قادرًا على فهم ما يجري حولك ، دون أن تغرق في دوامة من الإنذرات الأمنية الكاذبة . وتحتاج إلى الخروج من تلك الدوامة و اكتشاف المهاجم وتحديد أي تهديد نشط على الفور و من ثم اتخاذ إجراء حاسم لتحييده.
ما هي فرص نجاح المدافعين ضد برامج الفدية؟
إذا كانت المواجهة بين مهاجمين محترفين و فريق محدود العدد و الإمكانيات الفنية من المدافعين فسينتصر المهاجمون دائماً تقريباً. للأسف إنها الحقيقة المرة التي لا تحمل أي ضغينة شخصية و لكنها ببساطة لعبة أرقام و موارد و استثمار. لكن إذا كان المدافعون قد اختبروا من قبل عمليات محاكاة لهذه الهجمات و لديهم المعرفة و التدريب و الموارد اللازمين فسيكون كسر دفاعاتهم أكثر صعوبة. فأهمية المحاكاة أن تحدد تماماً الطرق المحتملة التي يمكن أن يتسلل منها المهاجمون و من ثم يتم إغلاقها. و بالتالي إحباط تلك الهجمات لحد كبير. أما بالنسبة للمهاجمين فسيفقدون حماسهم حينها و سوف ينتقل معظمهم بكل سرور إلى بيئة (هدف) أكثر ضعفاً.
الخبر السار هو أنه ليس على الشركات أن تكون محمية من الهجمات بشكل تام و مثالي. إذا تمكنت كمدافع من إبطاء المهاجمين ، فمن المحتمل أن يتخلوا عن الهجوم و ينتقلوا إلى هدف أسهل وقد يكون هذا في نهاية المطاف أفضل خطة دفاع لك.
هجوم فيروس الفدية هو من وحهة نظر المهاجمين هو استثمار، و بالتالي فإنه كلما كان عائد ذلك الاستثمار منخفضاً كلما بحثوا عن هدف آخر ذو ربحية أعلى.
