كتب : محمود الضبع – صابر محمد
في الوقت الذي أطلق فيه رئيس الوزراء الاسترالي "سكوت موريسون" تحذيرًا بشأن الهجمات السيرانية ضد الدولة القومية التي تستهدف البنية التحتية الحيوية، أصدر مركز الأمن السيبراني الاسترالي تقريرا تفصيليا للأساليب والتقنيات والإجراءات التي تمت ملاحظتها في تلك الهجمات.
يحذر التقرير الصادر من مركز الأمن السيبراني الاسترالي (ACSC) من أن الهجمات الشديدة التعقيد تجري حاليًا ضد المؤسسات في استراليا. انتهكت الجهات الفاعلة بنجاح عددًا من الشبكات وتستخدم تقنيات " living off the land " للتجسس والتسلل للبيانات، بينما تحاول البقاء بعيدًا عن الكشف.
وتقنيات الهجوم "Living off the land" هي استراتيجية نموذجية لمجموعات التهديدات المستمرة المتقدمة (APT)؛ تتكون الإستراتيجية من استخدام أدوات مساعدة النظام القياسية وأدوات شرعية من طرف ثالث لإجراء هجوم سيبراني. هذا يساعد على تجنب الكشف السهل. كما قامت الجهات الفاعلة في مجال التهديد باختراق مواقع الويب الاسترالية الشرعية من أجل استخدامها كخوادم للتحكم وإصدار الأوامر، وبالتالي إخفاء اتصالها الضار بشكل أفضل.
ننصح المؤسسات بمراجعة مؤشرات التوافق التي أصدرها مركز الأمن السيبراني الاسترالي.
ومن أجل الحصول على رؤية شاملة وفورية لنقاط النهاية التي يحتمل أن تكون مخترقة، لا توجد أداة تخدم أفضل من حلول الكشف والاستجابة لنقاط النهاية (EDR). كما جاء في تقرير "فوريستر للتقنية لشهر فبراير 2020: الكشف والاستجابة للشركات"، وذكر في تقريرها للربع الأول من 2020: "إحدى الفوائد الرئيسية لمنتجات الكشف والاستجابة لنقاط النهاية هي القدرة على البحث عن مؤشرات تدل على أن مخترقا قد استعصى على ضوابط الأمن الخاصة بك وأنه متواجد في أعماق بنيتك التحتية.
"التحقق من إسيت" (EEI) هو حل الكشف والاستجابة لنقاط النهاية التي تقدمها شركة «إسيت» وهو مصمم خصيصًا لاكتشاف الأساليب والتقنيات والإجراءات المستخدمة في الهجمات المستهدفة من قبل مجموعات التهديدات المستمرة المتقدمة. يوفر نشر EEI في بيئتك فائدتين رئيسيتين:
الأولى: " رؤية فورية للأحداث القائمة على نقاط النهاية " لا شيء يجعل وظيفة المستجيب للحادث السيبراني أسهل من أداة يمكن أن تتكامل بسهولة مع الأدوات الأخرى، وتوفر سياقًا غنيًا للأحداث وتصفية البيانات وصولًا إلى السلوكيات المحددة التي تتخلص من وجود جهة تهديد. توفر EEI سياقًا حول طبيعة الملفات التنفيذية، بالإضافة إلى معلومات حول تسلسل العمليات والنصوص البرمجية ووسائط الأوامر والمسارات والتوقيعات والتجزئات.
ويوفر كذلك حل EEI شفافية كاملة في قانون القاعدة، مما يسمح للمستجيبين بفهم سبب اكتشاف سلوكيات معينة. يتم تعزيز الكشف من خلال قدرات بحث وتصفية واسعة النطاق التي تساعد على تحديد سلوك الجهات الخبيثة وكشفها بسرعة.
الثانية: " أطلاق إنذارات تلقائية للأنشطة المشبوهة "مدعومًا بأكثر من 30 عامًا من الأبحاث المتعلقة بالسلوكيات السيبرانية الضارة، قام فريق أبحاث البرامج الضارة التابع لشركة «إسيت» بكتابة أكثر من 300 قاعدة مخصصة تكشف تلقائيًا عن سلوكيات تظهر عادة بواسطة التهديدات المستمرة المتقدمة. يقوم محرك EEI بتقييم أحداث نقاط النهاية وفقًا للقواعد.
يتم حفظ العمليات المسيئة، إلى جانب فروع العمليات الخاصة بها، لمزيد من التحقيق من قبل المستجيبين للحوادث. EEI قوي بما فيه الكفاية- على سبيل المثال- لإطلاق الإنذارات تلقائيًا على العديد من التقنيات التي حددها مركز الأمن السيبراني الاسترالي في تقريرهم:
كل دقيقة تتم في التحقيق لها قيمة. يحتاج المستجيبون للحوادث إلى أدوات قوية مثل EEI لاستكمال مجموعة أدواتهم وتمكينهم من إعادة بناء الآثار السلبية التي تحدث على نقاط النهاية بطريقة سهلة وسريعة. كلما تم اكتشاف الجهات الفاعلة في مجال التهديد السيبراني بشكل أسرع، كلما تمكنا من اتخاذ خطوات علاجية أسرع للعودة إلى العمليات التجارية العادية.
