كتب ابراهيم احمد
في الوقت الذي أطلق فيه رئيس الوزراء الأسترالي “سكوت موريسون” تحذيرًا بشأن الهجمات السيرانية ضد الدولة القومية التي تستهدف البنية التحتية الحيوية، أصدر مركز الأمن السيبراني الأسترالي تقرير تفصيلي للأساليب والتقنيات والإجراءات التي تمت ملاحظتها في تلك الهجمات.
يحذر التقرير الصادر من مركز الأمن السيبراني الأسترالي (ACSC) من أن الهجمات الشديدة التعقيد تجري حاليًا ضد المؤسسات في أستراليا. انتهكت الجهات الفاعلة بنجاح عددًا من الشبكات وتستخدم تقنيات ” living off the land ” للتجسس والتسلل للبيانات، بينما تحاول البقاء بعيدًا عن الكشف.
وتقنيات الهجوم “Living off the land” هي استراتيجية نموذجية لمجموعات التهديدات المستمرة المتقدمة (APT)؛ تتكون الإستراتيجية من استخدام أدوات مساعدة النظام القياسية وأدوات شرعية من طرف ثالث لإجراء هجوم سيبراني. هذا يساعد على تجنب الكشف السهل. كما قامت الجهات الفاعلة في مجال التهديد باختراق مواقع الويب الأسترالية الشرعية من أجل استخدامها كخوادم للتحكم وإصدار الأوامر، وبالتالي إخفاء اتصالها الضار بشكل أفضل.
ننصح المؤسسات بمراجعة مؤشرات التوافق التي أصدرها مركز الأمن السيبراني الأسترالي.
ومن أجل الحصول على رؤية شاملة وفورية لنقاط النهاية التي يحتمل أن تكون مخترقة، لا توجد أداة تخدم أفضل من حلول الكشف والاستجابة لنقاط النهاية (EDR). كما جاء في تقرير “فوريستر للتقنية لشهر فبراير 2020: الكشف و الإستجابة للشركات”، وذكر في تقريرها للربع الأول من 2020: “إحدى الفوائد الرئيسية لمنتجات الكشف والاستجابة لنقاط النهاية هي القدرة على البحث عن مؤشرات تدل على أن مخترق قد استعصى على ضوابط الأمن الخاصة بك وأنه متواجد في أعماق بنيتك التحتية”.
“التحقق من إسيت” (EEI) هو حل الكشف والاستجابة لنقاط النهاية التي تقدمها شركة «إسيت»وهو مصمم خصيصًا لاكتشاف الأساليب والتقنيات والإجراءات المستخدمة في الهجمات المستهدفة من قبل مجموعات التهديدات المستمرة المتقدمة. يوفر نشر EEI في بيئتك فائدتين رئيسيتين:
1. رؤية فورية للأحداث القائمة على نقاط النهاية
لا شيء يجعل وظيفة المستجيب للحادث السيبراني أسهل من أداة يمكن أن تتكامل بسهولة مع الأدوات أخرى، وتوفر سياقًا غنيًا للأحداث وتصفية البيانات وصولًا إلى السلوكيات المحددة التي تتخلص من وجود جهة تهديد. توفر EEI سياقًا حول طبيعة الملفات التنفيذية، بالإضافة إلى معلومات حول تسلسل العمليات والنصوص البرمجية ووسائط الأوامر والمسارات والتوقيعات والتجزئات.
ويوفر كذلك حل EEI شفافية كاملة في قانون القاعدة، مما يسمح للمستجيبين بفهم سبب اكتشاف سلوكيات معينة. يتم تعزيز الكشف من خلال قدرات بحث وتصفية واسعة النطاق التي تساعد على تحديد سلوك الجهات الخبيثة وكشفها بسرعة.
2. يطلق إنذارات تلقائية للأنشطة المشبوهة
مدعومًا بأكثر من 30 عامًا من الأبحاث المتعلقة بالسلوكيات السيبرانية الضارة، قام فريق أبحاث البرامج الضارة التابع لشركة «إسيت» بكتابة أكثر من 300 قاعدة مخصصة تكشف تلقائيًا عن سلوكيات تظهر عادة بواسطة التهديدات المستمرة المتقدمة. يقوم محرك EEI بتقييم أحداث نقاط النهاية وفقًا للقواعد. يتم حفظ العمليات المسيئة، إلى جانب فروع العمليات الخاصة بها، لمزيد من التحقيق من قبل المستجيبين للحوادث. EEI قوي بما فيه الكفاية- على سبيل المثال- لإطلاق الإنذارات تلقائيًا على العديد من التقنيات التي حددها مركز الأمن السيبراني الأسترالي في تقريرها.
كل دقيقة تتم في التحقيق لها قيمة. يحتاج المستجيبون للحوادث إلى أدوات قوية مثل EEI لاستكمال مجموعة أدواتهم وتمكينهم من إعادة بناء الأثار السلبية التي تحدث على نقاط النهاية بطريقة سهلة وسريعة. كلما تم اكتشاف الجهات الفاعلة في مجال التهديد السيبراني