اقرأ في هذا المقال
ما هو التهديد المستمر المتقدم APT
التهديد المستمر المتقدم (Advanced persistent threat): هو مصطلح واسع يستخدم لوصف عملية هجوم يقوم فيها دخيل أو فريق من المتسللين بإنشاء وجود غير قانوني طويل الأمد على الشبكة من أجل استخراج البيانات شديدة الحساسية.
عادة ما تشمل أهداف هذه الاعتداءات، التي تم اختيارها والبحث بعناية شديدة، الشركات الكبيرة أو الشبكات الحكومية. حيث أن عواقب مثل هذه الاقتحامات واسعة النطاق وتشمل:
- سرقة الملكية الفكرية (مثل الأسرار التجارية أو براءات الاختراع).
- المعلومات الحساسة التي تم اختراقها (مثل البيانات الخاصة بالموظف والمستخدم).
- تخريب البنى التحتية التنظيمية الهامة (مثل حذف قاعدة البيانات).
- إجمالي عمليات الاستحواذ على الموقع.
يتطلب تنفيذ هجوم (APT) موارد أكثر من هجوم تطبيق الويب القياسي. وعادة ما يكون الجناة فرقًا من مجرمي الإنترنت ذوي الخبرة ولديهم دعم مالي كبير.
بماذا تختلف هجمات (APT) عن تهديدات تطبيقات الويب التقليدية
- إنها أكثر تعقيدًا بشكل ملحوظ.
- بمجرد اختراق الشبكة، يبقى الجاني من أجل الحصول على أكبر قدر ممكن من المعلومات.
- يتم تنفيذها يدويًا (غير آلي) ضد علامة محددة ويتم إطلاقها بشكل عشوائي ضد مجموعة كبيرة من الأهداف.
- غالبًا ما يهدفون إلى التسلل إلى شبكة بأكملها، بدلاً من جزء واحد محدد.
الهجمات أكثر شيوعا، مثل إدراج ملف عن بعد (RFI)، حقن (SQL) والبرامج النصية عبر المواقع (XSS)، كثيرا ما تستخدم من قبل الجناة إلى إيجاد موطئ قدم لها في الشبكة المستهدفة. وبعد ذلك، غالبًا ما تُستخدم أحصنة طروادة لإنشاء وجود دائم داخل المحيط المستهدف.
مراحل هجوم التهديد المستمر المتقدم APT
يمكن تقسيم هجوم (APT) الناجح إلى ثلاث مراحل:
1. التسلل
يتم اختراق المؤسسات عادةً من خلال اختراق أحد أسطح الهجوم الثلاثة: أصول الويب أو موارد الشبكة أو المستخدمين البشريين المصرح لهم. ويتم تحقيق ذلك إما من خلال التحميلات الضارة أو هجمات الهندسة الاجتماعية التهديدات التي تواجهها المؤسسات الكبيرة بشكل منتظم.
بالإضافة إلى ذلك، يمكن للمتسللين تنفيذ هجوم (DDoS) في نفس الوقت ضد هدفهم. ويعمل هذا كحاجب دخان لإلهاء موظفي الشبكة وكوسيلة لإضعاف محيط الأمان، ممّا يسهل اختراقه.
بمجرد تحقيق الوصول الأولي، يقوم المهاجمون بسرعة بتثبيت غلاف خلفي وهو برنامج ضار يمنح الوصول إلى الشبكة ويسمح بعمليات التخفي عن بُعد. ويمكن أن تأتي الأبواب الخلفية (backdoor shell—malware) أيضًا في شكل أحصنة طروادة مقنعة كأجزاء شرعية من البرامج.
ملاحظة: الباب الخلفي هو نوع من البرامج الضارة التي تلغي إجراءات المصادقة العادية للوصول إلى النظام.
2. التوسع
بعد إنشاء اختراق الشبكة، يتحرك المهاجمون لتوسيع وجودهم داخل الشبكة. ويتضمن ذلك رفع مستوى التسلسل الهرمي للمؤسسة، ممّا يؤدي إلى تعريض الموظفين للوصول إلى البيانات الأكثر حساسية. ومن خلال القيام بذلك، يمكنهم جمع معلومات العمل المهمة، بما في ذلك معلومات خط الإنتاج وبيانات الموظفين والسجلات المالية.
اعتمادًا على الهدف النهائي للهجوم، يمكن بيع البيانات المتراكمة إلى مؤسسة منافسة أو تعديلها لتخريب خط إنتاج الشركة أو استخدامها لتدمير مؤسسة بأكملها. وإذا كان التخريب هو الدافع، يتم استخدام هذه المرحلة للتحكم بمهارة في وظائف حرجة متعددة ومعالجتها في تسلسل محدد لإحداث أقصى قدر من الضرر. على سبيل المثال، يمكن للمهاجمين حذف قواعد البيانات بالكامل داخل الشركة ثم تعطيل اتصالات الشبكة من أجل إطالة عملية الاسترداد.
3. الاستخراج
أثناء إجراء حدث (APT)، عادةً ما يتم تخزين المعلومات المسروقة في مكان آمن داخل الشبكة التي يتم الاعتداء عليها. وبمجرد جمع البيانات الكافية، يحتاج اللصوص إلى استخراجها دون أن يتم اكتشافهم.
مراقبة حركة المرور
تعتبر مراقبة حركة الدخول والخروج من أفضل الممارسات لمنع تركيب الأبواب الخلفية ومنع استخراج البيانات المسروقة. ويمكن أن يساعد فحص حركة المرور داخل محيط الشبكة أيضًا في تنبيه أفراد الأمن إلى أي سلوك غير عادي قد يشير إلى نشاط ضار.
يعمل جدار حماية تطبيق الويب (WAF) على تصفية حركة المرور إلى خوادم تطبيقات الويب، وبالتالي حماية أحد أسطح الهجوم الأكثر ضعفًا. ومن بين الوظائف الأخرى، يمكن لـ (WAF) المساعدة في التخلص من هجمات طبقة التطبيقات، مثل هجمات (SQL injection)، التي تُستخدم بشكل شائع أثناء مرحلة تسلل (APT).
خدمات مراقبة حركة المرور الداخلية، مثل شبكة جدران الحماية، هي الجانب الآخر من هذه المعادلة. حيث يمكنهم تقديم عرض دقيق يوضح كيفية تفاعل المستخدمين داخل الشبكة، بينما يساعدون في تحديد تشوهات حركة المرور الداخلية، (على سبيل المثال، عمليات تسجيل الدخول غير المنتظمة أو عمليات نقل البيانات الكبيرة بشكل غير عادي).
