يمكن أن تكون محاولة فهم دوافع الجهات الفاعلة السيئة وتوقعاتها وسلوكياتها وأهدافها جزءاً أساسياً من خطة الأمن السيبراني القوية. يرى الخبراء قيمة في حكمة صن تزو الشهيرة “إعرف عدوك”. يمكننا استخدام المعرفة حول الخصوم السيبرانيين لإلهاءهم وخداعهم وتشتيت انتباههم وتطوير استراتيجيات للمساعدة في منع الجهات المهددة من الحصول على أي شيء. بعد. قد يعني ذلك وضع أفخاخ وإغراءات تستغل توقعاتهم لما سيجده المهاجم عند اختراق البيئة لأول مرة. أو قد يعني إرباكهم عمداً من خلال إنشاء سيناريوهات لا تتوافق مع تلك التوقعات. يتعلق الأمر بكيفية قيادة الدفاعات من خلال معرفة كيفية تصرف الخصوم فعلياً.
وفقاً لـ Mary K. Pratt فإن مفهوم فهم الخصم للفرد ليس جديداً. روج المحارب صن تزو من القرن السادس قبل الميلاد لفكرة “إعرف عدوك” في عمله الشهير فن الحرب. كما أن تطبيقه في الأمن السيبراني ليس جديداً. تعتمد القرصنة الأخلاقية ، التي يعود تاريخها إلى عقود ماضية ، جزئياً على التفكير و العنل كجهات تهديدات للعثور على نقاط ضعف في بيئات تكنولوجيا المعلومات الخاصة بالمؤسسات.
وبالمثل ، فقد عمل قادة أمن الشركات منذ فترة طويلة على تحديد خصومهم المحتملين وما قد يسعون وراءه. ومع ذلك ، فإن قدرتهم على الخوض في عقلية المتسللين كانت محدودة بسبب محدودية الموارد المتاحة ونقص المعرفة وكذلك تبني استراتيجيات تقليدية شددت على دفاعات المحيط الأول ثم تدرجت نحو الدفاعات التي توفر أعلى حماية للأصول الأكثر قيمة.
إعرف عدوك – فهم تفكير القراصنة
الآن، مسؤولو الأمن في المؤسسات مدعوون لاستخدام معلومات التهديدات وأطر العمل الأمنية ومهارات الـ Red team للتفكير مثل القراصنة – والأهم من ذلك – استخدام تلك الرؤية لتشكيل استراتيجيات الأمان. يعني ذلك، النظر في الدوافع والعقليات التي تؤثر على مستويات مثابرة المهاجمين ، والمسارات التي قد يسلكونها ، وما يريدونه بالضبط – وكلها يمكن أن تكون مختلفة أو أوسع مما هو مفترض. يجب أن تصب هذه الرؤية بعد ذلك في اتجاه الأمن الدفاعي في العمق. بحيث يتم استخدامها لإنشاء إستراتيجية أمنية قائمة على التهديد الحقيقي.
“إذا كنت لا تفكر مثل المهاجمين فلن تتمكن من اتخاذ الإجراءات المناسبة لبيئتك. ولكن كلما زادت معرفتك بالتهديدات ، زادت فعاليتك في تطبيق تلك التكنولوجيا “
يهدف مخططو السياسات الدفاعية لأمن المعلومات إلى فهم تعقيدات طريقة تفكير المهاجمين ، والأدوات التي يستخدمونها ، وسرعتهم ، وتخصصهم. والأهداف المفضلة لديهم وما إلى ذلك. إن هذه الأفكار بالغة الأهمية لقرارات الاستثمار عبر سطح هجوم معقد بشكل متزايد تزداد صعوبة حمايته. في كثير من الأحيان ، نرى منظمات الأعمال التي تستثمر في تقنيات الأمان التي تخفف من مجموعة واسعة من التهديدات تترك المنافذ والبروتوكولات التي تتعرض للهجوم بشكل شائع مفتوحة على مصراعيها. سيختار الأعداء المسار الأقل مقاومة أو المسار الأكثر دراية به – وفي كثير من الأحيان ، يكون هؤلاء المهاجمين متشابهين. إن السلامة التي يتم التغاضي عنها أو الافتراضات تمثل خطراً كبيراً.
الاستفادة من رؤية الهاكر
للحصول على فهم عميق للخصم أهمية بالغة، شئنا ذلك أم أبينا. “إعرف عدوك” هي استراتيجية يستخدمها الكثير للمحللين الأمنيين وصناع القرار على حد سواء. ومع ذلك ، فقد وجدت الأبحاث أن العديد من فرق الأمن ليس لديها تلك الرؤية ، ولا يبحثون عنها.
من الواضح للخبراء أن هناك مفهوم خاطئ لدى فرق الأمن حول كيفية استهداف المتسللين لشبكاتنا. تركز العديد من فرق الأمان بشكل مفرط على إدارة الثغرات وتندفع لإصلاح نقاط الضعف بأسرع ما يمكن لأنهم يعتقدون أن المتسللين يتطلعون على وجه التحديد إلى استغلال الثغرات الأمنية. في الواقع ، لا يقلل هذا من المخاطر بشكل كبير ، لأنه لا يتماشى مع سلوك المتسللين في الواقع. فالمتسللين ينظرون للاختراق كعمل تجاري ، ويسعون لتقليل الموارد وزيادة العوائد إلى أقصى حد.
بمعنى آخر ، يريدون عموماً بذل أقل جهد ممكن لتحقيق أقصى فائدة. لذلك يميلون عادةً لاتباع مسار معين في أعمالهم: بمجرد خرقهم لبيئة تكنولوجيا المعلومات والحصول على اتصال نشط ، يقومون بجمع بيانات مثل أسماء المستخدمين وعناوين IP وعناوين البريد الإلكتروني. ويستخدمونها لتقييم مدى نضج وضع الأمن السيبراني للمؤسسة. ثم يبدأون في الغوص أعمق بحثاً عن منافذ مفتوحة ، ومناطق ذات حماية رديئة مثل الأنظمة التي انتهى عمرها الافتراضي والموارد التي لا تتم إدارتها بشكل صحيح. والآن بعد أن فهم المتسللون أنظمة التشغيل في المؤسسة الهدف ، سيبدأون في فهم ما إذا كان هناك شيء يمكن استغلاله لإطلاق حملة قرصنة.
إعرف عدوك كما يعرفك
ينخرط المتسللون في عملية اكتشاف واسعة ، ويفحصون المنظمة بحثاً عن مؤشرات تدل على تدني مستوى الأمن. من هذه المؤشرات عدم وجود جدار حماية لتطبيق الويب ، أو وجود عدد كبير جداً من الخدمات التي يمكن الوصول إليهاanonymously دون مصادقة ، أو أي عدد من المؤشرات الأخرى.
إذا لم يصادفوا أي عناصر جذابة ، فإن احتمالية الاختراق تقل بشكل كبير. ومع ذلك ، إذا أثار شيء ما اهتمامهم ، فإنهم حينها سيتطلعون إلى تصعيد الهجوم بدءاً من تلك اللحظة. لهذا السبب ،يجب على المؤسسات تقييم أمن مؤسساتها ليس من منظورها الخاص ولكن من منظور المتسلل. فما يجذب المتسللين اليوم هو الأهداف السهلة.
فهم عقلية الهاكر ودوافعه
من المهم أيضاً فهم سبب رغبة المخترقين في استهداف المؤسسات – ولماذا قد يرغبون في ملاحقة مؤسستك. هل أنت مجرد هدف لبرامج الفدية؟ أو هل لديك الصيغة السرية لكوكاكولا؟ وإذا كنت أحد مجرمي الانترنت، فكيف يمكنني الاستفادة مما لديك على أفضل وجه لكسب ما أستطيع من المال أو التسبب في أكبر قدر ممكن من الضرر؟
يدخل ما سبق في الدوافع والعقليات التي تصب في مقولة: إعرف عدوك. وهو ما يمكن لقادة الأمن استخدامه أيضاً لتحسين استراتيجياتهم الأمنية.
الهدف هو التركيز على تحديد الأعداء أو المجموعات التي تضمر شراً للمؤسسة وتحديد نواياهم ، هل هو التسبب باضطراب الأعمال؟ هل هو مكسب مالي أم هو سرقة ملكية فكرية؟ أم الوصول إلى الموارد لتوظيفها في الوصول لأهداف أخرى؟ وهل يركزون على المهمة بحيث يكررون في المحاولة تلو المحاولة بغض النظر عن مدى قوة الدفاعات؟ أم أنهم يبحثون عن فرص؟ إن الحصول على هذه الصورة الكبيرة لفهم الأعداء المختلفين وما هي نواياهم يمكن أن يساعدك في تحديد الأنواع المختلفة للمخاطر .
هذه المحاكمة المنطقية مهمة لأنها تنسف الافتراضات الخاطئة وتكشف لقادة المؤسسات أنهم أهداف أكثر مما توقعوا. على سبيل المثال، كان لمثل هذه المحاكمة أن تساعدالجامعات التي تم اختراقها منذ ما يقرب من عقد من الزمن من قبل مهاجمين أجانب استهدفوا أعضاء هيئة التدريس بسبب صلاتهم بالشخصيات والمؤسسات السياسية الأمريكية.
في تلك الهجمات استخدموا تقنيات لاستهداف الاتصالات والحصول عليها – رسائل البريد الإلكتروني والوثائق – التي لم تكن ذات قيمة نقدية ، ولم تكن وثائق بحثية. لقد كان الهدف الحقيقي هو الوصول إلى المراسلات التي يمكن أن تكون ذات قيمة في المشهد السياسي الدولي. فاجئ ذلك المجتمع التعليمي مما أدى لاحقاً لتغيير الاستراتيجية الأمنية داخل مجتمع التعليم العالي.
عدم فهم وجهة نظر القراصنة يمكن أن يترك ثغرات أمنية
على الرغم من هذه الحكايات ، إلا أن خبراء الأمن يقولون إن العديد من إدارات أمن المؤسسات لا تدمج وجهة نظر القراصنة في استراتيجياتهم ودفاعاتهم.لذلك، ما زلنا نشهد هجمات وخروقات في مناطق لم تفكر فيها المؤسسات. فأغلب منظمات الأعمال تنفذ اختبار الاختراق للامتثال للوائح دون مراجعة الأسباب التي يمكن أن تكون سبباً لاستهدافها من قبل مهاجمين حقيقيين. لنأخذ شركة اتصالات ، على سبيل المثال ،قد تكون مستهدفة من قبل المتسللين الذين يبحثون عن عائد مالي من خلال هجوم فدية ، مما يعني عادةً أنهم يبحثون عن أهداف سهلة. ولكن إذا كانت شركة الاتصالات هذه جزءاً من منظومة اتصالات الشرطة ، فقد يتم استهدافها أيضًا من قِبل جهات تهديد ATP تسعى إلى إحداث اضطراب أمني.
لهذا السبب يطلب خبراء الأمن من العملاء مقاربة كل الافتراضات. يساعد ذلك في التنبؤ بالمسارات التي قد يسلكها المهاجم؟ بعدها، يجب التحقق من صحة هذه المسارات بمساعدة Red Team لاختبار تلك الافتراضات مع افتراض أن المتسللين لديهم نفس الوصول إلى جميع موارد الأمان والتدريب والأدوات الموجودة لدى المدافعين.
لاستفادة من تفكير الهاكر
ليس من المستغرب أن تواجه فرق الأمن تحديات في تنمية قدراتها على التفكير مثل المتسللين وكذلك استخدام الأفكار التي حصلوا عليها أثناء التمرين. كما يجب أن يوفر قادة الأمن الموارد للمهمة ، وهذه الموارد عادةً ما تكون أشخاصاً و ليس فقط أدوات وتقنيات يمكن السماح لها بالعمل ، وكلها مهام صعبة لفرق الأمن التي تفتقر أساساً إلى الموارد و كذلك تحدياً للمؤسسات الأمنية التي تكافح للعثور على المواهب في مجال الأمن السيبراني.
علاوة على ذلك ، قد يجد CISOs صعوبة في الحصول على التمويل اللازم لمثل هذه الأنشطة حيث أنه من الصعب إثبات عائد الاستثمار المتوقع منها للمدير المالي. من الصعب على إدارات المؤسسات الاتفاق على فكرة معينة إذا لم يتأكدوا مسبقاً من مدى الربحية التي توفرها تلك الفكرة .على الرغم من تنبيهات الخطر التي يتلقونها ، إلا أنه لا يزال من الصعب إثبات قيمتها و خصوصاً أن بعض الأدوات التي تدعم أنشطة الدفاع السيبراني باهظة الثمن نسبياً.
قد تجد فرق الأمن أيضاً صعوبة في تحويل مهاراتهم من الدفاع – على سبيل المثال ، تحديد نقاط الضعف وإغلاقها – إلى الهجوم. إنه عمل صعب للغاية لأنه يحتاج عقلية إجرامية وهو ما لايملكه عادة الأشخاص الذين يعملون في الدفاع السيبراني. ومع ذلك ، فإن الأمر يستحق تدريب الفرق الزرقاء blue team في بعض مهارات الفريق الأحمر red team ، كما يقول الخبراء.
تتمتع المنظمات الآن أيضاً بإمكانية الوصول إلى قائمة متزايدة من الموارد لمساعدتها على إجراء هذا التحول. تتضمن هذه الموارد أطر عمل NIST و MITER ATT & CK و غيرها.
بالنتيجة، إن المنظمات التي تقوم بمثل هذا العمل لا تتحدث عن أنشطتها ، لأنها لا تريد كشف جهودها لخصومها.لكن من الواضح أن المزيد من فرق الأمان يحاولون التفكير مثل القراصنة بعد أن اكتشفوا مزايا إجراء هذا التحول إلى عقلية الهاكرز. إن فهم نهج المخترقين سيساعد في إعادة توجيه أولوياتنا الأمنية لتصبح أكثر فعالية.
