في عالم الأمن السيبراني الحديث، لم يعد القراصنة يعتمدون بشكل أساسي على البرمجيات الخبيثة التقليدية. بل أصبحوا يستخدمون أدوات النظام الموثوقة لاختراق شبكتك بهدوء، وهو ما يضع الشركات أمام تحديات أمنية غير مسبوقة.
كيف تغيرت تكتيكات الهجمات السيبرانية اليوم؟
وفقاً لمتابعة تيكبامين لتطور التهديدات الرقمية، يتجه المهاجمون اليوم لتقليل استخدام الفيروسات الصريحة. بدلاً من ذلك، يتم استغلال الأدوات المساعدة وبرامج الإدارة المشروعة الموجودة بالفعل داخل بيئة العمل.
هذا التكتيك يسمح للقراصنة بالتحرك بحرية داخل الشبكات، وتصعيد الصلاحيات، والبقاء لفترات طويلة دون إطلاق أي إنذارات أمنية. وغالباً ما تكتشف المؤسسات هذا الخطر بعد وقوع الكارثة وتسريب البيانات.
لماذا تفشل أنظمة الحماية في رصد الهجمات؟
يفضل المهاجمون دائماً الأساليب التي لا تبدو كاختراق صريح. وهذا ما يُعرف بأسلوب الهجوم باستخدام موارد النظام المحلّية (Living off the Land) للتمويه وتجاوز الرصد.
أبرز سمات هذه الهجمات الخفية:
- الاعتماد على أدوات مشروعة: أظهرت تحليلات حديثة أن 84% من الحوادث الأمنية الخطيرة تستخدم برامج نظام عادية للتهرب من الاكتشاف.
- استغلال برامج يومية: يتم توظيف أدوات يعتمد عليها فريق تقنية المعلومات يومياً مثل PowerShell و WMIC و Certutil.
- الاندماج مع العمليات الطبيعية: تصبح أنشطة القراصنة جزءاً من حركة البيانات المعتادة، مما يصعب التمييز بين الاستخدام الشرعي والنوايا الخبيثة.
النتيجة هي نقطة عمياء خطيرة، حيث لم تعد فرق الأمن تبحث فقط عن الملفات الضارة، بل تحاول تحليل السلوكيات المعقدة في الوقت الفعلي وتحت ضغط كبير.
هل مساحة الهجوم في نظامك أكبر مما تتخيل؟
يبحث المهاجمون دائماً عن أدوات غير خاضعة للإدارة الدقيقة داخل بيئتك التقنية. على سبيل المثال، عند تثبيت نظام Windows 11 جديد، فإنه يحتوي تلقائياً على مئات الملفات التنفيذية الأصلية.
هذه الأدوات موثوقة افتراضياً ومدمجة في نظام التشغيل، لكنها تُشكل تحديات جوهرية للفرق الأمنية، كما يؤكد تحليل تيكبامين.
نقاط الضعف في إدارة الصلاحيات:
- وصول غير ضروري: تشير التقييمات إلى أن ما يصل إلى 95% من عمليات الوصول إلى الأدوات الخطرة داخل النظام ليست ضرورية لعمل الموظفين.
- صلاحيات مفرطة: السماح للأدوات بأداء كافة الوظائف المتاحة لها، حتى تلك التي نادراً ما يستخدمها تقنيو المعلومات ولكن يستغلها القراصنة بكثرة.
- مسارات اختراق مجانية: كل صلاحية غير ضرورية تتحول إلى مسار محتمل للهجوم دون الحاجة لإدخال أي برمجيات جديدة.
لماذا لا تكفي أنظمة الاكتشاف وحدها؟
على الرغم من قوة أنظمة الحماية الحديثة مثل EDR و XDR في التصدي للبرمجيات الخبيثة، إلا أن المهاجمين يبحثون باستمرار عن بدائل لتجاوزها. استغلال أدوات النظام الموثوقة يجعل من الصعب جداً على هذه الأنظمة إيقاف الهجوم دون تعطيل سير العمل الطبيعي للمؤسسة.
في النهاية، يتطلب تأمين بيئة العمل استراتيجية شاملة تركز على مراقبة السلوكيات وتقييد صلاحيات أدوات النظام لتضييق الخناق على أي اختراق محتمل وحماية البيانات الحساسة.
