تُغفل العديد من أفضل الممارسات في الأمن السيبراني – على الرغم من صحتها -جوهر التخفيف من حدة الهجمات. فيما يلي دروس في الأمن السيبراني مستمدة من العالم الحقيقي لإعادة صياغة برامج الأمن في المؤسسات. نحن أمام فجوة حرجة، فالكثيرون يُقللون من تقدير سرعة تسلل المهاجمين إلى الشبكات، حتى تحول الأمن السيبراني إلى ما يشبه لعبة القط والفأر، حيث يُحسّن المهاجمون تكتيكاتهم باستمرار لتجاوز الدفاعات. على سبيل المثال، يختبر الخصوم البرامج الضارة ضد أدوات مكافحة الفيروسات الشائعة لتجنب الكشف. فيما يلي بعض الرؤى للحد من تأثير الهجوم.
ربما أنت الخبر القادم
الشركة المُخترقة التي تتصدر الأخبار اليوم، ليست مُهملة بطبيعتها. تخبرنا مراجعتنا لدروس في الأمن السيبراني أن اختراق شركتك هو الخبر الذي يتصدر الأخبار صباح الغد -لا قدر الله-. يحتاج المُهاجمون إلى ثغرة أمنية واحدة فقط للوصول، بينما يجب على المُدافعين تأمين جميع الثغرات. تُواجه المؤسسات الأكبر مخاطر مُضاعفة بسبب بيئات تكنولوجيا المعلومات المُعقدة واتساع سطوح الهجوم. افترض دائماً أن دفاعاتك ليست مجرد خطط على الورق وإنما كائنات حية تتعلم وتتطور و تتعرض للاختبار .
“متى” وليس “ما إذا”
تبدأ مُعظم الهجمات بالتصيد الاحتيالي، وليس باختراق جدران الحماية. علمتنا الدروس في الأمن السيبراني أنه حتى أدوات وبرامج مكافحة التصيد الاحتيالي القوية ليست مضمونة تماماً. في النهاية، سينقر المُستخدم على رابط ضار أو يُفصح عن بيانات اعتماده. وبالتالي، حماية نقاط النهاية ليست حلاً سحرياً يوفر لك حماية مطلقة. لذلك، استثمر في دفاعات مُتعددة الطبقات، إذا تم تجاوز أحد خطوط دفاعك فسيبقى هناك خطوط تحمي القلعة.
دروس في الأمن السيبراني – النقلة الأخيرة
يُمثل تشفير ملفاتك نتيجة الإصابة ببرنامج فيروس الفدية النقلة الأخيرة في الهجوم، وليس بدايته. يقضي المهاجمون أشهراً في استخراج البيانات وزيادة صلاحياتهم. وبحلول وقت تشفير الملفات، يكونون قد استغلوا بيئتك بالفعل. راقب السجلات، ونشاط نظام أسماء النطاقات (DNS)، وسلوك المستخدم للكشف المبكر عن التهديدات.
النطاق الجغرافي
من خلاصات الدروس في الأمن السيبراني، نتعلم أن حظر حركة المرور من الدول التي لا تعمل شركتك بها يؤدي إلى إحباط الهجمات. في حين أن المهاجمين يمكنهم استخدام شبكات VPN، إلا أن الدخول الأولي غالباً ما يعتمد على خوادم آلية مستضافة دولياً. وبالتالي، لا شيء يمنع تقييد عمليات تسجيل الدخول القادمة من دول لديها سمعة سيئة مرتبطة بكونها أرض خصبة لانطلاق الهجمات السيبرانية. كان هذا التقييد خياراً صائباً دائماً و جنب الشركات الكثير من الحوادث الأمنية. قيّد حركة المرور الواردة/الصادرة، واستثني موظفيك أو شركاءك المتواجدين في تلك الدول -إن وجدوا- واسمح لهم بالدخول إلى شبكتك عبر بنية VPN أنت تتحكم بها.
تحليل سجلات الحوادث الأمنية
في ظلّ المشهد الرقمي المتسارع اليوم، تواجه الشركات تهديداً أمنياً متصاعداً قد يُعطّل العمليات، ويُعرّض البيانات للخطر، ويُضرّ بسمعتها. وللحماية من هذه المخاطر، يجب على المؤسسات إعطاء الأولوية لتدابير واستراتيجيات أمنية تضمن مرونتها في مواجهة حوادث الأمن السيبراني. ويُعدّ كلٌّ من إدارة المعلومات الأمنية والأحداث (SIEM) ومركز عمليات الأمن (SOC) عنصرين أساسيين يُؤدّيان دورًا حاسماً في تعزيز الوضع الأمني للمؤسسة وتعزيز مرونة أعمالها. يوفر نظام إدارة معلومات الأحداث (SIEM) الرؤية، ويمنع التلاعب، ويُسرّع الاستجابة للحوادث. يكشف تحليل السجلات الاستباقي عن أي شذوذ أو نشاط ضار قبل تفاقمه.
المصادقة متعددة العوامل (MFA)
المصادقة متعددة العوامل، والتي تُعرف باسم MFA، هي ميزة أمان تتطلب منك التحقق من هويتك بطرق متعددة قبل الوصول إلى حسابك. قد تسمع عنها أحياناً باسم المصادقة الثنائية (2FA) أو التحقق بخطوتين. عند تسجيل الدخول، تُدخل اسم المستخدم وكلمة المرور كالمعتاد، ثم تُضيف خطوة أخرى لإثبات هويتك. قد تكون هذه الخطوة الثانية بصمة إصبع، أو رمزاً يُرسل إلى هاتفك، أو حتى إشعاراً من تطبيق.
لكن، لماذا كل هذا التعقيد؟ لأن كلمات المرور وحدها قابلة للسرقة أو التخمين، خاصةً إذا كانت قصيرة، أو أنك تستخدم كلمات شائعة، ومعاد استخدامها. للتذكير: يجب أن تكون كل كلمة مرور فريدة، لا يقل طولها عن 16 محرف، ومكونة من سلسلة عشوائية من الأحرف. تُصعّب المصادقة متعددة العوامل بشكل كبير على مجرمي الانترنت اختراق حساباتك. حتى لو عرفوا كلمة مرورك، تزيد المصادقة الثنائية (MFA) من أمان الحساب بنسبة 99%. وفقاً لتوصيات وكالة الأمن السيبراني والبنية التحتية (CISA)، لكن من المهم تذكر أن هذه الإحصائيات تتعلق بالهجمات الآلية. مع ذلك، عليك الحذر من هجمات الهندسة الاجتماعية، مثل التصيد الاحتيالي، حيث يحاول مجرمو الانترنت خداعك لإعطائهم كلمة مرورك أو رمز المصادقة الثنائية (MFA).
تُوسّع الخدمات السحابية نطاق الهجمات.وبالتالي فالمصادقة متعددة العوامل تعتبر من البديهيات في هذا المعنى، وخصوصاً للأدوار ذات الامتيازات. لنتذكر، أي طريقة لمصادقة متعددة العوامل أفضل بكثير من عدم استخدامها.
تجزئة الشبكة -دروس في الأمن السيبراني
تُعد تجزئة الشبكة تقنيةً فعّالة لتعزيز الأمن عبر تقسيم الشبكة إلى عدة أجزاء منطقية أو فيزيائية، يعمل كلٌّ منها كشبكة فرعية مستقلة، مما يوفر مزيداً من الأمان والتحكم. يُقلّل إنشاء حدود بين شبكات تكنولوجيا التشغيل (OT) وتكنولوجيا المعلومات (IT) من العديد من المخاطر المرتبطة بشبكة تكنولوجيا المعلومات، مثل التهديدات الناجمة عن هجمات التصيد الاحتيالي. تحد التجزئة من الوصول إلى الأجهزة والبيانات والتطبيقات، وتُقيّد الاتصالات بين الشبكات. كما تُفصل التجزئة طبقات شبكة تكنولوجيا التشغيل (OT) وتحميها لضمان عمل العمليات الصناعية وغيرها من العمليات الحيوية على النحو المطلوب.
يمكن للشبكة العازلة ـأو ما يصطلح على تسميته منطقة منزوعة السلاح (DMZ) وكذلك جدران الحماية المُطبّقة بشكل صحيح أن تمنع محاولات الجهات الخبيثة للوصول إلى الأصول عالية القيمة من خلال حماية الشبكة من الوصول غير المصرح به. يمكن أيضاً وضع جدران الحماية لحظر حركة المرور من عناوين الشبكة أو التطبيقات أو المنافذ مع السماح بمرور البيانات الضرورية. يجب أيضاً استخدام السياسات والضوابط لمراقبة وتنظيم الوصول إلى النظام وحركة المرور بين أقسام الشبكة.
تسمح الشبكات ،الغير مجزأة، للمهاجمين بالتنقل بحرية بين الخوادم وأجهزة انترنت الأشياء وأنظمة المستخدمين. ولذلك، فالحل هو تجزئة الشبكات حسب الوظيفة:
- عزل واجهات الإدارة والأجهزة المدمجة.
- تقييد وصول المخدمات إلى الخدمات الضرورية.
- تقسيم المستخدمين حسب الأدوار الوظيفية
- تطبيق مبادئ الحد الأدنى من الامتيازات عبر جدران الحماية وشبكات VPN.
رؤى استباقية
يعمل البحث الاستباقي عن التهديدات على تسريع عملية تحديد التهديدات والاستجابة لها من خلال البحث في الشبكات عن مؤشرات السلوك غير الطبيعي الناجم عن الهجمات المحتملة وتحديد نشاط أو نمط هجوم قد يكون موجوداً بالفعل في بيئة تكنولوجيا المعلومات. يمكن البحث عن مؤشرات الاختراق (IoCs) والأدوات غير المصرح بها مثل TeamViewer. يستغل المهاجمون البرامج القانونية لتجنب الكشف. يحدد البحث الاستباقي الاختراقات وانتهاكات السياسات مبكراً.
مخاطر المستخدمين
مازال التصيد الاحتيالي والمرفقات الضارة، الأدوات الأكثر جاذبية للمخترقين للوصول الأولي. يمكننا تخفيف من المخاطر من خلال:
- تثقيف المستخدمين لاكتشاف رسائل البريد الإلكتروني المشبوهة.
- الحماية باستخدام فلاتر بريد إلكتروني فعّالة، وأمان نقاط النهاية، وفلترة الويب.
- تقييد الوصول إلى الأنظمة المهمة للوظيفة.
خطة استجابة للحوادث
خطة الاستجابة للحوادث هي وثيقة مكتوبة، معتمدة رسمياً من الإدارة العليا، تساعد مؤسستكم قبل وأثناء وبعد وقوع حادث أمني مؤكد أو مشتبه به. توضح خطة الاستجابة للحوادث الأدوار والمسؤوليات، وتقدم إرشادات بشأن الأنشطة الرئيسة. كما يجب أن تتضمن قائمة بالأشخاص الرئيسيين المعنيين بالأمن السيبراني الذين قد تكون هناك حاجة إليهم أثناء الأزمات. وتتضمن هذه الخطة تحديد الأدوار، ومسارات التصعيد، وتنسيق جهود الموردين قبل وقوع الأزمة. إجراء تمارين سنوية لتحسين جاهزية الاستجابة.
للحديث بقية، انتظرونا
