انواع ممثلين التهديدات الامنية و ناقل الهجوم
لإجراء تقييم أمني فعال، يجب أن تكون قادرًا على شرح استراتيجيات كل من الدفاع والهجوم. قد تكون مسؤولياتك في المقام الأول هي الدفاع عن الأصول، ولكن للقيام بذلك يجب أن تكون قادرًا على شرح التكتيكات والتقنيات المستخدمة من قبل الجهات أو أولئك الذين يسببون لك الخطر.
ويجب أن تكون قادرًا أيضًا على التمييز بين أنواع وقدرات الجهات الفاعلة (Threat Actors) لأن مشهد التهديد يتطور باستمرار، يجب أن تكون قادرًا أيضًا على تحديد مصادر موثوقة لاكتشاف التهديدات الأمنية التي يكتشفها المحترفون يوميًا. يجب أن تكون لديك القدرة على تصنيف وتقييم قدرات أنواع الجهات الفاعلة (Threat Actors) بشكل أكثر فعالية.
لتقييم المخاطر الأمنية والتخفيف من حدتها. يعد فهم الطرق التي يتسلل بها المخترقون إلى الشبكات والأنظمة أمرًا ضروريًا بالنسبة لك لتقييم سطح الهجوم لشبكاتك ونشر عناصر تحكم لمنع نقل وانتشار الهجوم علي الشبكة.
Vulnerability, Threat, and Risk
كجزء من التقييم والرصد الأمنيين، يجب علي الفريق ألأمني أن يحدد الطرق الذي يمكن من خلالها مهاجمة الأنظمة تنطوي هذه التقييمات على نِقَاط الضعف والتهديدات والمخاطر:
Vulnerability: إنه نقطة ضعف يمكن تشغيلها عن طريق الخطأ ولكن يتم استغلالها عمداً. تشمل الأمثلة أضعف الأجهزة أو البرامج المثبتة بشكل غير صحيح، أو الفشل في إعدادها بشكل صحيح، أو عدم وجود أجهزة واقية مثل Firewall في المكان المناسب على الشبكة أو ما يعنيه تصميم الشبكة غير الصحيح، بالإضافة إلى استخدام بروتوكولات الاتصالات غير المضمونة. واستخدام أنظمة تشغيل قديمة مثل Windows 7 (End of Support, End of update).
Threat: المصطلح الذي يشير إلى أي تهديد للمؤسسة، والتهديد هو إمكانية استغلال الشخص لنقطة ضعف والتسبب في خرق أمني، سواء كان متعمدًا أو غير مقصود. يُطلق على الأشخاص أو الأشياء التي تسبب التهديد, فاعل التهديد (Threat actor) أو عامل التهديد (Threat agent). الطريقة أو الاستراتيجية أو الأداة التي تستخدمها الجهات الفاعلة في التهديد تسمي ناقل التهديد (Attack Vector).
Risk: هو نطاق تأثير التهديد (Threat). على سبيل المثال، إذا كان هناك ضعف (Vulnerability)، وتم استغلاله هنا، نقول إن هناك (Threat)، ولكن إذا تم تسريب البيانات، على سبيل المثال هنا، نقول إن هناك (risk). والمخاطر مصنفة على أنها قوة تهديد. وهناك سيناريو آخر يجب أن يكون الضعف، ويجب استغلاله بالإضافة إلى تأثيره، حتى نقول إن هناك خطر ويجب اتخاذ إجراءات.
Attributes of Threat Actors
في الواقع، هناك أنواع متعددة من الممثلين التهديدات التي كنت تعرفها ذات مرة باسم قراصنة، لكنك تعلم الآن أن أي شخص يمكن أن يسبب لك تهديدًا يسمى Threat actor أو Threat agent كمتخصص على المستوى الأمني يجب أن يكون لديه القدرة على معرفة تصنيفات ممثل التهديد وتحليلها والدوافع التي تمكنه من تنفيذ هجمات على المؤسسات بشكل عام.
Threat actors Internal/External
External Threat Actor: هؤلاء الأشخاص هم الذين يتسببون في تهديد المؤسسة من الخارج، وعلى الرغم من عدم حصولهم على إذن للوصول إلى النظام المستهدف، إلا أن لديهم بعض الاستراتيجيات التي يحاولون تحليلها للنظام المستهدف (network topology).
يتم استخدام هذه الاستراتيجيات حتى يتم معرفة جميع (security control) على الشبكة ويجب على المتسللين الخارجيين التسلل باستخدام البرامج الضارة أو الهندسة الاجتماعية على سبيل المثال أو ثُغْرَة أمنية تم اكتشافها على الشبكة أو النظام المستهدف خلال مرحلة المسح.
Internal Threat Actor: على عكس ممثل التهديد الخارجي، فإن هؤلاء الأشخاص هم الذين مُنحوا صلاحيات على النظام، وهذا يشمل بعض حسابات الشركة أيضًا. نظرًا لأنه يتمتع بإمكانية الوصول إلى النظام وكلما زادت مهارته من حيث الضرر، زاد الضرر الذي يلحق بالمؤسسة. في كثير من الأحيان، يكون دافع الموظف.
Threat Actors Intent/Motivation
برغم من جميع أنواع Threat actors ألا انهم جميعا يكون لديهم نوايا و دوافع, الذي يمكنهم من تنفيذ الضرر علي الشركات ووصف النية هنا ما يأمل المهاجم في تحقيقه من الهجوم, الدافع هو سبب المهاجم في ارتكاب الهجوم, و من الممكن ان يكون الدافع هو الجشع او الطمع او اي نوع من التظلم او الفضول وقد تكون النية هي التخريب وتعطيل النظام.
على الرغم من وجود أنواع مختلفة من الهجمات الإلكترونية، إلا أنها تنقسم جميعًا إلى جزأين من هجوم منظم وهجوم غير منظم. غالبًا ما يكون هجومًا منظمًا من قبل المهنيين، مما يعني أن احتمال إلحاق الأذى بالشركة أكبر وغالبًا ما يكون هجومًا غير منظم من قبل الأطفال، على سبيل المثال، ولكن في الأخير لديهم جميعًا دوافع ونوايا.
Hackers, Script Kiddies, and Hacktivists
تم وصف الهاكر في الأصل بأنه الشخص الذي لديه القدرة على التعامل مع أنظمة الكمبيوتر والبرامج بقوة لأن لدي القدرة على دخول تلك الأنظمة بطريقة غير عادية. الهاكر هو مصطلح محايد للمستخدم الذي برع في إدارة نظام الكمبيوتر وبرمجة الكمبيوتر. يدل اختراق أنظمة التشغيل على المهارات التقنية والإبداع الذي أصبح مرتبطًا تدريجيًا بانتهاكات غير قانونية وخبيثة للشركات والمؤسسات من أجل الربح المادي.
وللتقييم الكامل للنية والقدرة، من المفيد تحديد فئات مختلفة من الجهات الفاعلة المهددة.
Black Hat Hacker: إنهم أشخاص لديهم نفس القدرات أيضًا، لكنهم يعملون بشكل غير قانوني لغرض سرقة الأموال وتخريب اقتصاد الشركات.
White Hat Hacker: انهم لديهم نفس المهارات في التعامل مع ألأنظمة و البرمجيات المختلفة لكنهم يعملون بشكل قنوني لغرض اكتشاف الثغرات الأمنية وقفلها قبل ان يتمكن احد من تلك الثغرات الأمنية.
Gray Hat Hacker: إنه وسيط الاثنين يعني أنه ليس في الشكل القانوني الصحيح، وليس في الحق غير القانوني، وغالبًا ما يكسبون الجائزة المالية من قبل الشركات أو (Bug bounty).
Script Kiddies: الطفل هو الذي يستخدم أدوات القرصنة الإلكترونية دون أن يفهم كيف تعمل وما هي الأساليب أو الاستراتيجيات التي يجب أن يعرفها لفترة وجيزة. إنهم أناس ليس لديهم أي مهارات. باستثناء سيناريو إعادة الهجوم الإلكتروني الذي يشهدونه على منصات مختلفة مثل YouTube على سبيل المثال، قد يكون الدافع هو إثبات القدرة أو إشباع الرغبة.
Hacker Teams and Hacktivists
الصورة التاريخية للقراصنة هي الشخص الوحيد الذي ليس لديه تمويل ومصاب بالوحدة أيضًا ويطلق على هذا الشخص” Lone Hacker”. يشير هذا الاسم إلى القراصنة الذين يعملون بشكل فردي, وهو أيضًا خطر، لكن الخطر الكبير يكمن في القراصنة الذين يعملون بشكل جماعي أو فريق لأنهم يستطيعون تطوير استراتيجيات جديدة وكذلك القدرة على تطوير الأدوات حسب الرغبة.
غالبًا ما تستهدف مجموعات مثل WikiLeaks و LulzSec و Anonymous الشركات لأغراض سياسية وقد يحاول المتسللون تسريب المعلومات ونشرها على الجَمهور. و بتأكيد الشركات السياسية أنها الأكثر تعرضًا لهذا أو حتى تنفذ هجمات إلكترونية مثل هجوم اشباع الخدمة DoS ويمكن هو اكتر هجوم تنفذين لتلك المجموعات.
State Actors and Advanced Persistent Threats
(APT) Threat: يتم رعاية هذا الشكل من المجموعات من قبل دول مثل روسيا والصين والعديد من الدول الأخرى. وتستهدف هذه الجماعات أساسا لأغراض سياسية وللمؤسسات الحكومية للبلدان الخَصْم، ولديها القدرة على تطوير الهجوم لأشهر وسنوات والبقاء في الأجهزة المخترقة لفترة طويلة.
State actors: إنها تابعه للحكومات بشكل أسآسى وبرغم آنها بعيد كل البعد عن الحكومة الوطنية او جهاز ألامن او الجيش ومن المحتمل آن يتظاهرون انهم مجموعات مستقلة او حتي قراصنة يشنون لحمالات علم كاذبة لتوريط دول اخري لكنهم في النهاية تابعين لدولة بشكل أساسي ومدعوم.
وتورطت تلك الجهات علي هجومات إلكترونية علي البنيات التحتية لدول مثل أنظمة محطات الطاقة و الصحة ومحطات تنقية الماء وغيرها الكثير من الهجمات الإلكترونية التي تمس البنية التحتية لدول المستهدفة.
Insider Threat Actors Criminal Syndicates and Competitors
Criminal Syndicates-Organized crime: وتتجاوز الجريمة السيبرانية الجريمة الأولى من حيث الخسارة وعدد الحوادث. تشير الجريمة المنظمة إلى مجموعة من المجرمين الذين يعملون معًا لارتكاب جرائم ومن أجل الربح المالي. قد يكون هؤلاء رجال عصابات منظمين جيدًا.
Competitors: قد يكون المنافسون أيضًا هم أولئك الذين يشكلون خطرًا على الشركة وقد تهدف مثل هذه الهجمات إلى تعطيل أو سرقة أعمال المنافس أو حتى الإضرار بسمعة المنافس.
يمكن أن يكون التهديد الفعلي موظفًا حاليًا أو سابقًا أو شريكًا تجاريًا لديه إمكانية الوصول إلى حسابات متميزة أو معلومات حساسة. قد يكون الموظف قد تم تعيينه من منافس إلى شركة أو أي طرف آخر.
Attack Surface and Attack Vectors
Attack Surface: يتم تعريف سطح الهجوم علي انه العدد الإجمالي لجميع نُقَط الدخول الممكنة بطريقة الغير مصرح به ولتقييم سطح الهجوم عليك بتفكير في ممثل التهديد هل هو من داخل الشركة او من الخارج ويمكن ان يكون سطح الهجوم هي عملية رقمية او مادية وتشمل المواقع إلكترونية و الخوادم و التطبيقات و بروتوكولات و المنافذ.
Attack Vector: هي الطريقة أو الإستراتيجية أو الأداة التي يستخدمها فاعل التهديد حتى يتم الوصول إلى النظام. في معظم الحالات، يعني الوصول تشغيل الكود ضار على الهدف. يمكن استلام هذا الكود مباشرة أو عبر المنصات الاجتماعية وغيرها. دعونا نذكر بعض الطرق التي يمكن من خلالها نقل الكود الضار إلى الشركة.
- Direct access: النقل المباشر هو عملية نقل الكود الضار مباشرة. يمكن للمهاجم التسلسل إلى الشركة وزرع USB على سبيل المثال، واستراتيجيات أخرى مماثلة.
- Removable media: غالبًا ما يخفي المهاجم برامج ضارة في محرك أقراص أو USB أو بطاقة ذاكرة داخلية ويحاول خداع الموظفين لتوصيل تلك الوسائط على أحد أجهزة الشركة
- Email: يرسل المهاجم ملفًا ضارًا عبر البريد الإلكتروني أو أي نظام اتصال آخر ويحتاج المهاجم إلى استخدام تقنيات الهندسة الاجتماعية لإقناع المستخدم بفتح الملف وتشغيله
- Web and social media: يمكن للمهاجم إخفاء البرامج الضارة في الملفات المرفقة بمنشورات وسائل التواصل الاجتماعي ويمكنه أيضًا اختراق مواقع الويب ودمج الرموز الضارة التي تصيب جميع زوار الموقع. يمكن أيضًا استخدام وسائل التواصل الاجتماعي لتعزيز الهندسة الاجتماعية ونشر البرامج الضارة.
- Remote and wireless: يمكن للمهاجم أيضًا التحكم في النظام عن بُعد. ويرجع ذلك إلى نِقَاط الضعف في النظام التي تتسبب في دخول المهاجم إلى النظام. وهذا يشمل النظام Wireless.
اطرق تعليق لنري ما رضاكم علي الدروس التي نقدمها (إن كان هناك مشكلة في الدرس يمكنك التحدث مع فريق الدعم لحل لك المشكلة او طرق تعليق بتلك المشكلة ليتم التفاعل من خلال الزوار الآخرين).
