عربي English Türkçe أردو فارسى
pdf
Logo

رصد مصدر التهديدات الإلكترونية للشركات

74% منها خارجية

  • لندن: «الشرق الأوسط»
TT
TT
  • لندن: «الشرق الأوسط»

قدم فريق المخاطر التابع لشركة «فيريزون بزنيس» أخيرا تقريرا بعنوان «تحريات اختراق المعلومات لعام 2009» الذي يرسم صورة حديثة عن الجماعات المسببة للتهديد الأكبر للشركات: جماعات الموظفين في داخل المؤسسات والشركات، أم الآخرين في الخارج؟ واستخلص التقرير أن نسبة 74 في المائة من الاختراقات ناتجة عن المصادر الخارجية، وأن غالبية السجلات الإجمالية التي فُقدت، تُعزَى إلى الجماعات الخارجية. ومع حصول ثلاثة أرباع الهجمات من الخارج، فإنه من المغري تقبّل الفكرة القائلة بأن التهديد الداخلي هو الأقل شأنا. لكن التقرير يبين أن الاختراقات الخارجية قد انخفضت في وقت لاحق بنحو 20 في المائة خلال خمس سنوات. أما الزيادة الحاصلة فأساسها الشركاء، لا الأشخاص من الداخل. ولكن هل هناك من وسيلة للتأكد من ذلك؟ يقول دايفيد أوتينهايمر في مجلة «نتورك ورلد» الإلكترونية إن على الجميع أن يطرح مثل هذا السؤال، سواء عند تخزين المعلومات الشخصية التي تكشف عن الهوية، أو معالجتها، أو نقلها.

ولدى النظر إلى المعلومات ونتائج تقارير عمليات الاختراق هذه، فإنه من الضروري الأخذ في الاعتبار عدة عوامل قبل القبول بالنتائج، أو اتخاذ موقف يتعلق بالأمن. أولا: أن نظرة فريق المخاطر لا تعكس جميع البيئات أو الصناعات، فشركة «فيريزون» قدمت معلومات تتعلق بنحو 600 حادثة فقط خلال خمس سنوات، بينما تذكر المصادر العامة ومجموعات البحث 573 حادثة حصلت في العام الماضي فقط، ونحو 1500 حادثة أخرى حصلت خلال السنوات الخمس الأخيرة. ولكن ماذا يحصل لو قمنا بشمل جميع مؤشرات المعلومات الأخرى، أو قمنا بتقدير عدد الحوادث والاختراقات التي لم يجر الإفادة عنها، أو عزل الاختراقات التي وراءها الصناعة؟ وثانيا: المؤشرات الخاصة بالمعلومات ذاتها تبقى مشوشة غير واضحة، فغالبا ما تكون التهديدات الخارجية والداخلية غير حصرية، فعملاء الخارج غالبا ما يغطّون نشاطا داخليا أيضا. فهناك العديد من الأسباب لهذا الأمر كتعقد عملية الرصد والمراقبة في المحيط الذي تجري فيه عادة مقارنة مع القطاعات الداخلية.

* التهديد الداخلي

* ومن الملاحظ أن تقرير «فيريزون» يحدد التهديد الداخلي الذي يشمل الأفراد «الذين يسهمون في عملية الاختراق» لدى التقاطهم البرامج الضارة في أثناء عملية التصفح. ومع أخذ ذلك في الاعتبار فإن نحو 11 في المائة من الهجمات تُعزَى إلى عمليات الاختراق الداخلية لوحدها دون أن يكون هناك طرف خارجي متورط بها. وتنطوي 39 في المائة من عمليات الاختراق على مصادر متعددة. لذا فإن الهجمات الإجمالية المشتركة التي تنطوي على أشخاص من الداخل تصل إلى نسبة 50 في المائة فعلا. والأكثر من ذلك أن 11 في المائة من الهجمات التي تستثني الداخل تصل إلى نسبة 25 في المائة وفقا للسجلات التي تحققت تسوية بشأنها. ولدى اخذ ذلك بعين الاعتبار يبدو أن التهديد الذي يمثله الداخل يزداد بشكل ملموس بما يزيد عن 50 في المائة.

ولدى النظر إليها من هذه الزاوية، فإن تقرير «فيريزون» يساعد على وضع عملية الرصد الأمنية الحالية وفقا لمنظور معين، وهو: هل تستطيع أدوات المراقبة الخاصة بك التعرف على الهجمات الداخلية؟ ولنأخذ مثلا حادثة جامعة كاليفورنيا في لوس أنجليس UCLA، أو الاختراق الأخير الذي حصل في مؤسسة «كايزر بيرمنينتي». ولكن هل من الممكن ربط التعرض إلى مصادر الأخطار الخارجية بالنشاط الداخلي؟ إن الإجابة عن هذه الأسئلة تأتي من عمليات الدخول العصرية إلى الشبكة وحلول الرصد.

* توفير الأدلة

* وكان كارل سيغان يردد دائما أن «غياب الدليل ليس هو دليل الغياب». لذلك فإن جمع سجلات الدخول إلى الشبكة وتخزينها، ثم القيام بالتحاليل عند مختلف مستويات وطبقات النظام، والشبكة، والتطبيقات، من شأنها تقديم دليل على التهديدات. وإليكم مثالين حول كيفية تشييد الدليل الضروري لهذا الغياب:

الأسلوب الأول لتوفير الدليل، هو التوقف عن استخدام الوثائق المشتركة. وهناك سبب لكراهية المدققين القانونيين والمنظمين لها، إذ كيف يمكن التعرف ماذا فعل البعض إذا كان الجميع يستخدم حسابا واحدا؟ تخيل محاولة القبض على 23 مهاجما من الداخل والخارج عن طريق مؤشر معلومات واحد هو عبارة عن اسم مستخدم وحيد. والآن حاول أن تقبض على، أو تحدد، 23 مهاجما عن طريق عشرة عناوين من بروتوكولات إنترنت، و100 موقع للشبكة، و200 قراءة بطاقات. فحالما تصبح صورة سلوك الموظفين وعاداتهم في موضعها الصحيح، يمكن للهيئات والمنظمات رسم لوحة ذات مغزى لنشاط المستخدم. وهنا لن تبرز عملية الهجوم فحسب، بل إنها ستشير أيضا بنوع من التأكيد ما إذا كانت خارجية أو داخلية، أو أنها من النوعين معا، قبل أن يصبح الوقت متأخرا جدا، وبالتالي يتوجب إشراك المحققين الجنائيين أيضا.

المثال الثاني يبني على الفكرة ذاتها. فالمعدلات العالية من عمليات الدخول غالبا ما تعتبر إشارة لعملية اختراق ما خصوصا عندما تبدو الأمور غريبة وشاذة. ولكن على الشركات أن تكون قادرة على تعريف ما تعنيه هذه «المعدلات العالية». فقد تكون هذه المعدلات العالية خلال عمليات محددة تجري في نهاية الشهر مثلا، أو القيام بمشروع كبير، أو حصول ظروف معينة. لذلك فقد لا يكون حصول فورة النشاط، التي قد تكون فريدة أو نادرة الحصول، إشارة كافية إلى وقوع هجوم. من هنا بإمكان إنشاء نظام تسجيل مركزي إنارة الاتجاهات، وبالتالي غربلة المعلومات الخاصة بأي هجوم مفترض لتفادي الإيجابيات الخاطئة. فكلما زادت المعلومات التي يجري تحليلها بكفاءة، كان من المحتمل التعرف على الهجمات بشكل صحيح.

ومن شأن تكوين صورة صحيحة عن النشاط الأمني تناسب مؤسستك التجارية، أو الصناعية، تخفيض عدم اليقين المتعلق بمنشأ الاختراقات، وما إذا كانت المؤسسة هذه تعتمد بشكل كبير على الاتصالات مع الشركاء، وبالتالي تحتاج إلى فتح المجال والقنوات بالنسبة إلى الموظفين في الداخل، والتعرض للهجمات المستمرة من الخارج. والمفتاح هنا هو استخدام نظام يتيح لك الاعتياد بشكل مألوف على النشاط التسجيلي لتحري أي تهديدات، والتصدي لها، قبل أن تتحول إلى حادثة. وهذا ليس إجراء جيدا بالنسبة إلى الأعمال والشركات فحسب، بل هو يبعدك أيضا عن الجدال في ما يتعلق بالتقرير السنوي المقبل الخاص بهذه الاختراقات.