يستخدم مجرمو الانترنت برامج الفدية Ransomware لإصابة أنظمة الضحايا ببرامج تشفر الملفات الشخصية للمستخدم. كما ترسل مفتاح التشفير إلى منفذ الهجمات، الذي يطلب بعد ذلك فدية لمنح المستخدم حق الوصول إلى بياناته مرة أخرى. إن استخدام التشفير بالمفتاح العام لاحتجاز بيانات الضحية كرهينة ليس بالأمر الجديد. ولكن التقدم التكنولوجي في تسليم البرامج الضارة، مكن المهاجمين من الوصول إلى أعداد كبيرة من الضحايا. وساعدهم في ذلك توفر طرق دفع صعبة التعقب مثل Bitcoin مما جعلها وسيلة أكثر أماناً للمجرمين لتحصيل الفدية. تعتبر برامج الفدية، أداة مفضلة لدى مجرمي الانترنت.
برامج الفدية
تعمل هجمات برامج الفدية على احتجاز البيانات القيمة كرهينة. ويتم من خلالها إجبار الضحايا على دفع الفدية تحت التهديد بالكشف عن البيانات أو منعهم من الوصول إليها. ومع ذلك، فإن فعالية دفع هذه الفدية أمر مشكوك فيه. وغالباً ما يؤدي إلى عدم استعادة البيانات مما يترك الضحايا عرضة لتهديدات مستقبلية مجدداً. في عام 2023، شكلت برامج الفدية ما يقرب من 10٪ من الحوادث الأمنية ذات التأثيرات العالمية الملحوظة عبر مختلف الصناعات.
رداً على ذلك، اقترحت بعض الحكومات حظر دفع الفدية. تهدف تلك الخطوة لتقليل شهية مجرمي الانترنت لتكرار هجماتهم. ومع ذلك، فإن مجرد علاج أعراض برامج الفدية و نتائجها عن طريق منع المدفوعات يفشل في معالجة الأسباب الجذرية لهجمات برامج الفدية.
لفهم هذه الصورة نأخذ مثال عن الرعاية الصحية في موضوع مرضى القلب. من الخطأ التركيز على علاج قلب المرضى طبياً فقط، مع إهمال الإجراءات الوقائية كممارسة الرياضة، الأكل الصحي، والتقليل من استهلاك الكحول . لذلك، يجب أن نفكر
في برامج الفدية بنفس الطريقة. من الجيد امتلاك خطة للاستجابة لحوادث هجمات الفدية. ولكن الأفضل عدم الحاجة أساساً إلى تلك الاستجابة من خلال التركيز على الوقاية.
مسببات فيروس الفدية
إن الأسباب الثلاثة التي أدت إلى ظهور برامج الفدية هي: تسرب بيانات الاعتماد، التطبيقات غير المصححة أمنياً، البنية التحتية المعرضة مباشرة للانترنت، والإفراط في مشاركة الموارد. وهنا يأتي دور النظافة السيبرانية. إنها تضمن الحفاظ على حد أدنى من معايير التكوين والتشغيل الأمني لتقليل فرصة فقدان بيانات باهظ الثمن يؤثر على الأعمال.إن إعطاء الأولوية للتدابير الأمنية قد لا يكون بنفس روعة تطوير المنتج. لكنه لا غنى عنه لتقليل المخاطر وتعزيز الوضع الأمني المرن.
النظافة السيبرانية
تلعب فرق الأمن دوراً محورياً في دمج ممارسات النظافة السيبرانية في سياسات وإجراءات منظمات الأعمال. يجب أن نبدأ بالتفكير النظافة السيبرانية بنفس الطريقة التي نتبعها في مجال الصحة والسلامة. نحن بحاجة إلى الأمن السيبراني للعمل بأمان و حماية بياناتنا.
تلعب فرق الأمان دوراً حاسماً في تسهيل التطوير الآمن للمنتجات. انهم لا يكتفون فقط بتقديم التوجيه، ولكن للتأكد من جود الآليات اللازمة لبناء أنظمة آمنة ومرنة. ولنستمر بذات المقاربة، إن ممارسة التمارين الرياضية تكون أسهل عندما تدمجها في روتينك اليومي، كذلك فإن الأمان أسهل عندما يكون جزءاً من عملك اليومي. وهذا يعني أن فرق الأمن وفرق الأعمال يجب أن تعمل معاً لدمج الأنشطة الأمنية بسلاسة في سير العمل الحالي. يقلل ذلك من المشاكل بين الموظفين ويساعد في زيادة إنتاجية العمل وخصوصاً مع التخلص من فكرة أن العمل الأمني ليس “ترفاً أو عبئاً إضافياً”. على سبيل المثال، إذا امتلكت فرق العمل حق الوصول فقط لما يحتاجونه للقيام بعملهم فإن ذلك سيقلل المخاطر. لذلك، لا نحتاج فقط إلى معالجة أعراض نقص النظافة السيبرانية، بل نحتاج أيضاً إلى معالجة جذور المشكلة.
منع وتخفيف حوادث برامج الفدية
- تعطيل جميع تطبيقات نظام التشغيل وبروتوكولات الشبكة غير الضرورية على الأصول المواجهة للانترنت.
- إجراء فحص منتظم للثغرات الأمنية لتحديد نقاط الضعف ومعالجتها. وخصوصاً تلك الموجودة على الأجهزة التي تواجه الانترنت، للحد من سطح الهجوم.
- إعطاء الأولوية لتصحيح وتحديث الخوادم التي تواجه الانترنت والتي تشغل البرامج لمعالجة بيانات الانترنت، مثل متصفحات الويب والمكونات الإضافية للمتصفح، خاصة بالنسبة لنقاط الضعف المعروفة المستغلة.
- لمواجهة الصعوبات التي تواجهها الشركات الصغيرة والمتوسطة في الحفاظ على تحديث الخوادم التي تواجه الانترنت، من المهم ترحيل الأنظمة إلى موفري الخدمات السحابية “المُدارة”.
- تأكد من تكوين جميع الأجهزة المحلية والخدمات السحابية والأجهزة المحمولة والشخصية بشكل صحيح وتمكين ميزات الأمان. على سبيل المثال، تعطيل المنافذ والبروتوكولات التي لا يتم استخدامها لأغراض العمل.
تطبيق المصادقة متعددة العوامل (MFA)، وتسجيل محاولات تسجيل الدخول إلى RDP وتحديث شبكات VPN وأجهزة البنية التحتية للشبكة والأجهزة المستخدمة للتحكم عن بعد في بيئات العمل باستخدام أحدث تصحيحات البرامج وتكوينات الأمان. - أطلب من العاملين عن بعد استخدام كلمات مرور مكونة من 15 حرفاً أو أكثر.
- تعطيل بروتوكول (SMB1) و ضرورة الترقية إلى الإصدار (SMBv3) لتخفيف التبعيات على الأنظمة أو التطبيقات الموجودة، حيث قد تنقطع عند تعطيلها.
- تسجيل ومراقبة حركة مرور الشركات الصغيرة والمتوسطة للمساعدة في الإبلاغ عن السلوكيات الضارة المحتملة وغير الطبيعية.
كلمة أخيرة
لمعالجة مشاكل الأمن السيبراني من الجذور، هناك خيارات تقنية كالتحكم بالوصول وحماية البيانات والمراقبة. وكذلك هناك أيضاً أساليب التوعية ونشر روح التعاون بين فرق الأمن والأعمال مما يساعد في تبني اختيارات أمان سليمة ذات جودة عالية تحمي المؤسسة من المخاطر السيبرانية بشكل أفضل.