لقد أصبحت تهديدات الأمن السيبراني معقدة ومتنوعة بشكل متزايد على مدى العقودالماضية. لم يعد الأمر مقتصراً على مجموعة هواة منفردين ولكن الجهات الفاعلة للتهديدات السيبرانية Threat Actors في عالم اليوم تتنوع بين تقنيين مهرة وعصابات إجرامية منظمة، وحتى مهاجمون ترعاهم حكومات معادية تسعى لاستغلال الفضاء السيبراني لتحقيق أهدافهم الخاصة كجزء من الجروب الحديثة. وبالتالي، بينما يعمل متخصصو الأمن السيبراني على حماية سرية ونزاهة وتوافر معلومات مؤسساتهم فالمطلوب منهم فهم كامل لهذه التهديدات لتطوير الدفاع السيبراني المناسب لها. يناقش روبودين فيما يلي الأنواع الرئيسة لممثلي التهديدات والخصائص التي تميز كل منهم.
تهديدات الأمن السيبراني
تختلف الجهات الفاعلة التي تهدد الأمن السيبراني اختلافاً كبيراً من حيث المهارات والقدرات والموارد والدافع. لكن حماية معلومات وأنظمة مؤسستك تتطلب فهماً جيداً لطبيعة هذه التهديدات المختلفة حتى تتمكن من تطوير مجموعة من ضوابط الأمن المطلوبة لحماية المؤسسة. يمكننا اتباع عدة طرق لتصنيف هذه التهديدات، ومنها:
- تهديدات داخلية / خارجية: غالباً ما نفكر جميعاً في التهديدات الموجودة خارج المؤسسة: كالمنافسين، ومجرمي الانترنت، . ومع ذلك، بعض من أكثر التهديدات الخطيرة تأتي من الداخل.
- مستوى التطور/القدرة: تختلف الجهات الفاعلة في مجال التهديد بشكل كبير حسب مستوى التطور و قدرات الأمن السيبراني الخاص بها ويبدأ التهديد من هواة يجربون بعض التعليمات البرمجية والأدوات إلى جهات تهديد APT تستغل الثغرات الأمنية المكتشفة في مختبرات الأبحاث الخاصة بها وغير المعروفة بعد لمجتمع الأمن السيبراني.
- الموارد/التمويل: بينما تختلف الجهات الفاعلة للتهديدات السيبرانية من حيث مدى تطورها، فإنها تختلف أيضاً في القدرات المادية و الموارد الموارد المتاحة لها. غالباً ما تتاح موارد غير محدودة لجهات التهديد المدعومة من الحكومات المعادية أو المنظمات الإجرامية. بينما نجد أن الهواة يعملون في أوقات فراغهم فقط و ربما دون أي تمويل يُذكر.
- النية/الدافع: يختلف المهاجمون أيضاً في دوافعهم ونواياهم. بينما يسعى الهواة لإرضاء غرورهم فإن المهاجمين الأكثر تقدماً يسعون لتحقيق أهداف مرتبطة بالأجندات الخاصة بهم أو بالمكاسب المالية المباشرة.
الجهات الفاعلة للتهديدات السيبرانية
الآن بعد أن أصبح لدينا مجموعة من السمات التي يمكننا استخدامها لمناقشة الأنواع المختلفة من الجهات الفاعلة في مجال التهديد، يمكننا البدء باستكشاف الأنواع الأكثر شيوعاً التي يواجهها متخصصو الأمن السيبراني في عملهم.
الهواة script kiddie
في مجتمع الأمن السيبراني فإن مصطلح script kiddie غالباً ما يُنظر إليه على أنه مصطلح مهين. إن يصف الأشخاص الذين يستخدمون تقنيات القرصنة ولكن لديهم مهارات تقنية ومنطقية محدودة. غالباً ما يعتمد هؤلاء المهاجمون بشكل كامل على الأدوات التي يقومون بتنزيلها من الانترنت. يمتلك هؤلاء المهاجمون القليل من المعرفة حول كيفية تنفيذ هجماتهم فعلياً ولذلك فهم يبحثون ببساطة عن أهداف مناسبة .
لا يقلل التوضيح السابق، المتعلق بالمصطلح من حقيقة أن الـ script kiddie يشكلون تهديداً أمنياً حقيقياً. ويعود ذلك لفكرة توافر أدوات هامة -غالباً مجانية- على الانترنت يمكن استخدامها لتنفيذ هجمات تعتبر خطيرة كهجمات رفض الخدمة (DoS)، أو إنشاء فيروسات، أو إنشاء حصان طروادة، وخصوصاً أن المهارات التقنية لم تعد عائقاً أمام تنفيذ الهجمات (فيروس الفدية كخدمة). وإضافة لما سبق، وإن كان أولئك الهواة أقل مهارة في اختيار أهدافهم إلا أن لديهم مستويات عالية من الفضول الذي يدفعهم للبحث مطولاً في كل ما يجدوه لمحاولة إثبات مهارتهم. يميل هؤلاء المهاجمون للعمل بمفردهم كما أنهم ليسوا قادرين على مهاجمة أهدافهم على مدار اليوم، لأنهم مازالوا مضطرين للذهاب للمدرسة أو الجامعة و للعمل أيضاً للحصول المال الكافي لتوفير متطلبات حياتهم اليومية.
ناشطو القرصنة Hacktivists
يستخدم ناشطو القرصنة تقنيات لتحقيق أهدافهم. قد يشوهون الموقع الإلكتروني لشركة لا يتفقون مع سياساتها. أو قد يهاجمون إحدى الشبكات بسبب قضية سياسية. السمة المميزة للناشطين في مجال القرصنة أنهم يعتقدون أن نشاطاتهم تخدم الصالح العام حتى لو كانت تنتهك القانون.
إن دوافعهم كناشطين تعني أن التدابير التي قد تردع المهاجمين الآخرين ستكون أقل فعالية تجاههم لأن لديهم مستوى أعلى من المخاطرة و حتى الوقوع في قبضة الجهات القانونية مقابل تحقيق أهدافهم. حتى أن بعضهم قد يعتبر القبض عليه شيئاً يدعو للفخر.
تتمايز مستويات مهارة نشطاء القرصنة بشكل كبير. البعض منهم مجرد هواة script kiddie، لكن آخرين لا تنقصهم المهارة والخبرة. بل أن هناك بعض محترفي الأمن السيبراني الذين -لأسباب فكرية- يشاركون نشطاء القرصنة في تنفيذ هجماتهم. يشكل هؤلاء المهاجمون ذوو المهارات العالية خطراً كبيراً على أهدافهم.
تختلف موارد نشطاء القرصنة. هناك من يعمل بمفرده وبالتالي فموارده محدودة. لكن بعض المنظمات ومنها مجموعة القرصنة Anonymous، والتي تنفذ مثل هذه الهجمات لديها موارد قوية للغاية كما يصعب تحديد هوية المشاركين في أنشطتها والتحقيق معهم ومحاكمتهم على أنشطة القرصنة الخاصة بهم.
عادة ما يكون الناشطون في مجال القرصنة مهاجمين خارجيين، ولكن في بعض الحالات، ينخرط الموظفون الداخليون الذين يختلفون مع سياسات شركتهم في نشاطات القرصنة تلك. يمكن مثلاً أن يشارك موظف بمهاجمة شركته من خلال الكشف عن معلومات سرية. ومن أهم الأمثلة على هذا السلوك ما فعله سنودن (Edward Snowden) المتعاقد السابق مع وكالة الأمن الوطني الأمريكية، والذي شارك في ،العام 2013، كمية كبيرة من المواد الحساسة والوثائق الحكومية مع الصحفيين.
المنظمات الإجرامية الفاعلة للتهديدات السيبرانية
يمكن إيحاد بصمات الجريمة المنظمة في أينما كانت هناك فرصة لجني الأموال، وبالتالي فالجرائم السيبرانية ليست
استثناءاً. لدى مجرمو الانترنت روابط مع عائلات الجريمة المنظمة والقاسم المشترك بين هذه المجموعات هو الدافع والنية. الدافع ببساطة هو تحقيق مكاسب مالية غير قانونية بعيداً عن أي معايير أخلاقية أو إنسانية. فعلى عكس ناشطي القرصنة، لا تتبنى العصابات الإجرامية المنظمة عادة القضايا السياسية كما أنهم لا يحاولون إظهار مهاراتهم للعلن وإنما يفضلون للبقاء في الظل. إنهم ببساطة يسعون لتحقيق أكبر قدر ممكن من الأرباح غير المشروعة بأسرع وقت و دون أي ضجة أو أثر.
تعتقد جماعات الجريمة المنظمة أن دفع الأموال لتوظيف مهاجمين ذوي كفاءات جيدة في نشاطاتهم هو استثمار يحقق لهم عائد كبير وبالتالي فإن هذه الجماعات لديها موارد كافية بشكل يجعلها خطراً حقيقياً على أمن عالمنا الرقمي. ومن الجرائم السيبرانية، المفضلة لدى تلك العصابات، ما يلي:
- الاحتيال الإلكتروني، بما في ذلك الاحتيال على بطاقات الائتمان وقرصنة البريد الإلكتروني الخاص بالعمل BEC.
- نشاطات الويب المظلم، بما في ذلك بيع السلع والخدمات غير القانونية.
- إساءة استخدام العملات المشفرة.
- الجرائم المعتمدة على الانترنت، بما في ذلك برامج الفدية، وهجمات حجب الخدمة الموزعة (DDoS)، وتشويه مواقع الويب، والهجمات ضد البنية التحتية الحيوية.
- جريمة تجارة المواد الإباحية على الانترنت والإساءة للقاصرين والفئات الأكثر ضعفاً.
التهديدات المستمرة المتقدمة APT
يصف مصطلح التهديدات المستمرة المتقدمة (APTs) الهجمات التي يقف وراءها جهات معادية مدعومة من الحكومات. يشرح مصطلح APT نفس عبر نقطتين. الأولى، أن منفذي هذه الهجمات يستخدمون تقنيات متقدمة وليس مجرد أدوات مجانية تم تنزيلها من الانترنت مثلاً. والنقطة الثانية، أن هذه الهجمات تكون عادة مستمرة، وتحدث على مدى فترة زمنية طويلة قد تصل في بعض الحالات لسنوات يطارد المجرمون فيها أهدافهم بصبر وإصرار، في انتظار الفرصة المناسبة للهجوم.
عادة ما يكون منفذو هجمات APT من ذوي المهارات عالية كما تتوفر لديهم موارد كبيرة من الناس و الوقت والمال. وقد يكون الدافع لتلك الهجمات سياسياً أو اقتصادياً وأحياناً بدافع جمع معلومات حول القدرات الدفاعية للهدف. في حالات أخرى، قد يستهدف الهجوم الملكية الفكرية أو الأصول الاقتصادية الأخرى.
التهديدات الداخلية – المطلعين Insiders
تحدث الهجمات الداخلية عندما يستخدم موظف أو متعاقد أو بائع أو أي فرد آخر لديه حق الوصول المصرح به إلى المعلومات والأنظمة هذا الوصول لشن هجوم ضد المؤسسة. غالباً ما تهدف هذه الهجمات إلى الكشف عن معلومات سرية، ولكن من الداخل. وقد تسعى أيضاً إلى تغيير المعلومات أو تعطيل العمليات التجارية.
قد يكون المطلع (Insider) من أي مستوى مهارة. يمكن أن يكون من فئة الهواة، أو محترفاً ماهراً تقنياً. أما دوافع التهديدات السيبرانية الداخلية فقد تكون لأفكار معينة كما هو حال بعض ناشطي الانترنت، أو لتحقيق مكاسب مالية أو بدافع الحنق. قد يشعر موظف بالانزعاج بسبب تجاوزه في الترقية أو إهانته مثلاً، فيسعى لإلحاق الضرر بالمؤسسة.
عادة ما يعمل الشخص المطلع بمفرده كما أن موارده المالية ووقته محدودين. ومع ذلك، فإن كونهم من المطلعين يمنحهم ميزة تفضيلية. هم بالفعل داخل القلعة، لديهم وصل لشبكتك مع مستوى لا يُستهان به من المعرفة وتحديداً إذا كان ذلك المطلع من تقتضي ضرورة عمله الحصول على صلاحيات عالية كموظفي تقنية المعلومات.
يمكن للتقييمات السلوكية الدورية أن تكون أداة هامة لتحديد التهديدات الداخلية المحتملة. وبالتالي يجب على مسؤولي الأمن السيبراني التعاون مع الموارد البشرية لتحديد المطلعين الذين يظهرون تصرفات مريبة كعمليات مسح الشبكة أو محاولة نسخ ملفات، ومن ثم يمكن للإدارات المعنية التدخل استباقياً قبل أن تسوء الأمور.
الجهات الفاعلة للتهديدات السيبرانية – المنافسين
قد يشارك المنافسون في عمليات تجسس ضد الشركات مصممة لسرقة معلومات حساسة من منافسيهم واستخدامها لصالح أعمالهم الخاصة. وقد يشمل ذلك سرقة معلومات العملاء، وسرقة البرمجيات ، وتحديد المنتجات قيد التطوير، أو الوصول إلى أي معلومات أخرى من شأنها أن تفيد المنافس.
في بعض الحالات، يستخدم المنافسون أحد المطلعين الحانقين (الساخطين) للحصول على معلومات عن شركته وقد يبحثون أيضاً عن أي معلومات داخلية عن المنافس متاحة للشراء على الويب المظلم.
في بعض الحالات، يتسلل القراصنة إلى الشبكة ويسرقون البيانات الحساسة التي يعثرون عليها ثم يبيعونها في سوق الويب المظلم. وفي حالات أخرى، يقوم المطلعون ببيع معلومات سرية هناك. في الواقع، تعلن بعض أسواق الويب المظلم عن رغبتها في الشراء البيانات السرية من المطلعين في شركات محددة. ويوفر ذلك مصدراً جاهزاً للمنافسين لشراء المعلومات.
كلمة أخيرة
مع عرض الجهات الفاعلة للتهديدات السيبرانية لا بد أن يوضح روبودين أنه لا يجب اعتبار قائمة التهديدات تلك، نهائية و كاملة ولكن يمكن لكل مؤسسة أن تضيف عليها بناءاً على نموذج عملها وطبيعة السوق والعوامل الجيوسياسية المؤثرة فيه. يمكن للتقييمات الدورية للتهديدات السيبرانية أن تكون أداة مهمة في تحديد مصادر التهديد وحجمها.