ما هو الهجوم المستهدف
يشير الهجوم المستهدف (Targeted Attacks) إلى نوع من التهديد الذي يقوم فيه الفاعلون بالتهديد بمطاردة البنية التحتية للكيان المستهدف بشكل فعال ويخترقونها مع الحفاظ على إخفاء الهوية. ويتمتع هؤلاء المهاجمون بمستوى معين من الخبرة ولديهم موارد كافية لتنفيذ مخططاتهم على المدى الطويل. ويمكنهم تكييف أو تعديل أو تحسين هجماتهم لمواجهة دفاعات ضحيتهم.
غالبًا ما تستخدم الهجمات المستهدفة في أساليب مماثلة موجودة في التهديدات التقليدية عبر الإنترنت مثل رسائل البريد الإلكتروني الضارة والمواقع المخترقة أو الضارة وعمليات الاستغلال والبرامج الضارة. تختلف الهجمات المستهدفة عن التهديدات التقليدية عبر الإنترنت من نواحٍ عديدة:
- عادة ما يتم تنفيذ الهجمات المستهدفة على شكل حملات. وغالبًا ما يتم إجراءها في حملات تكون عبارة عن سلسلة من المحاولات الفاشلة والناجحة بمرور الوقت للتعمق في شبكة الهدف وبالتالي فهي ليست حوادث معزولة.
- عادة ما تستهدف صناعات معينة مثل الشركات أو الوكالات الحكومية أو المجموعات السياسية. وغالبًا ما يضع المهاجمون أهدافًا طويلة الأجل في الاعتبار، مع وجود دوافع تشمل، على سبيل المثال لا الحصر، المكاسب السياسية أو الأرباح النقدية أو سرقة بيانات الأعمال.
غالبًا ما يقوم المهاجمون بتخصيص وتعديل وتحسين أساليبهم اعتمادًا على طبيعة قطاعهم المستهدف والتحايل على أي إجراءات أمنية يتم تنفيذها.
مراحل الهجوم المستهدف
يقوم ممثلو التهديد بتحديد وجمع المعلومات المتاحة للجمهور حول هدفهم لتخصيص هجماتهم. تهدف هذه المرحلة الأولية إلى اكتساب معلومات إستراتيجية ليس فقط عن بيئة تكنولوجيا المعلومات للهدف المقصود ولكن أيضًا عن هيكلها التنظيمي. يمكن أن تتراوح المعلومات التي تم جمعها من تطبيقات الأعمال والبرامج التي تستخدمها المؤسسة إلى الأدوار والعلاقات الموجودة داخلها. تستخدم هذه المرحلة أيضًا تقنيات الهندسة الاجتماعية التي تستفيد من الأحداث الأخيرة والقضايا أو الاهتمامات المتعلقة بالعمل ومجالات الاهتمام الأخرى للهدف المقصود.
1. نقطة الدخول
قد يستخدم القائمون بالتهديد أساليب متنوعة لاختراق البنية التحتية للهدف. وتشمل الأساليب الشائعة مثل استغلال يوم الصفر (zero-day). يستخدم المهاجمون أيضًا الرسائل الفورية ومنصات الشبكات الاجتماعية لجذب الأهداف للنقر فوق ارتباط أو تنزيل برامج ضارة. وفي النهاية، يتم الحصول على إنشاء اتصال مع الهدف.
2. اتصالات القيادة والسيطرة:
بعد اختراق الأمان، يتواصل ممثلو التهديد باستمرار مع البرامج الضارة إما لتنفيذ إجراءات ضارة أو جمع معلومات داخل شبكة الشركة. ويستخدم ممثلو التهديد تقنيات لإخفاء هذا الاتصال وإبقاء تحركاتهم تحت الرادار.
3. الحركة الجانبية
بمجرد دخولهم إلى الشبكة، تتحرك الجهات الفاعلة في التهديد بشكل جانبي عبر الشبكة للبحث عن المعلومات الأساسية أو إصابة الأنظمة القيمة الأخرى.
4.اكتشاف الأصول / البيانات
يتم تحديد الأصول أو البيانات البارزة وعزلها لاستخراج البيانات في المستقبل. ويمكن للجهات الفاعلة في التهديد الوصول إلى “المناطق” التي تحتوي على معلومات قيمة وأصول جديرة بالملاحظة. وثم يتم تحديد هذه البيانات ونقلها من خلال أدوات مثل الوصول عن بعد إلى أحصنة طروادة والأدوات المخصصة والشرعية.
قد تكون إحدى التقنيات المحتملة المستخدمة في هذه المرحلة هي إرسال قوائم الملفات في دلائل مختلفة حتى يتمكن المهاجمون من تحديد ما هو ذي قيمة.
5. استخراج البيانات
هذا هو الهدف الرئيسي للهجمات المستهدفة. حيث أن الهدف من الهجوم هو جمع المعلومات الأساسية ونقلها إلى موقع يسيطر عليه المهاجمون. ويمكن نقل هذه البيانات بشكل سريع أو تدريجي. كما تسعى الهجمات المستهدفة إلى عدم اكتشافها في الشبكة من أجل الوصول إلى جواهر الشركة أو البيانات القيمة. وتتضمن هذه البيانات القيمة الملكية الفكرية والأسرار التجارية ومعلومات العملاء.
بالإضافة إلى ذلك، قد تسعى الجهات الفاعلة في التهديد أيضًا إلى الحصول على بيانات حساسة أخرى مثل المستندات عالية السرية من الحكومة أو المؤسسات العسكرية.
متى يعتبر الهجوم هجومًا مستهدفًا
يمكن اعتبار الهجوم هجومًا مستهدفًا عندما يحقق ثلاثة معايير رئيسية:
- يضع المهاجمون هدفًا محددًا في ذهنهم وقد ثبت أنهم قضوا وقتًا طويلاً وموارد وجهدًا كبيرًا في إعداد أو تنفيذ الهجوم المستهدف.
- الهدف الرئيسي للهجوم المستهدف هو التسلل إلى شبكة الهدف وسرقة المعلومات من خوادمهم.
- الهجوم مستمر، حيث يبذل المهاجمون جهدًا كبيرًا لضمان استمرار الهجوم بعد اختراق الشبكة الأولي وتسلل البيانات.