يصطحبك جيري جونسون، الرئيس التنفيذي للمختبر الوطني لشمال غربي المحيط الهادي في الولايات المتحدة في «رحلة داخل هجوم» تمكن من التصدي له.. ويكشف لكم عن دروس الحماية التي تعلمها بنفسه.
عندما رصد جونسون هجوما عبر الفضاء المعلوماتي ضد البنية التكنولوجية في يوليو (تموز) الماضي، استجاب المختبر سريعا وأزال البؤر الفاسدة وأمن شبكته، ثم قام جونسون بشيء قل أن يقوم به أحد، حيث قرر التحدث بصراحة عما حدث.
* هجوم موجه
* وقدم جيري جونسون نهاية شهر سبتمبر (أيلول) الماضي رواية مفصلة عن الهجمات الإلكترونية خلال مؤتمر «آي دبليو 500» في مدينة دانا بوينت في ولاية كاليفورنيا. ووصف جونسون كيف يستغل الدخلاء نقطة ضعف في أحد الخوادم الكومبيوترية للمختبر الموجهة للتعامل مع الناس، لزرع برنامج يستفيد من الأخطاء البرمجية أو ضعف النظام على أجهزة الكومبيوتر لزائري الموقع ومنهم العاملون لدى المختبر.
وظل القراصنة يستكشفون ولأسابيع شبكة المختبر في الخفاء من مراكز العمل. في الوقت ذاته، يوجه هجوم ثان إلى أحد شركاء المختبر في العمل الذي يتقاسم معه بيانات الشبكة. وتمكنت هذه المجموعة الثانية من القراصنة من الحصول على حساب يتمتع بامتيازات وكذلك على وحدة التحكم في المجال الأساسي (الجذر) الذي يتقاسمه كل من المختبر وشريكه. وعندما حاول الدخلاء إعادة إنشاء الحساب وتطوير مميزات الحساب، أدى ذلك إلى انطلاق الإنذار في المختبر منبها فريق الحماية من هجمات الفضاء المعلوماتي.
وفي غضون ساعات، كان المختبر قد اتخذ قرارا بفصل شبكته لقطع ممرات الاتصال التي يستخدمها القراصنة واحتواء أي ضرر آخر. في 4 يوليو قام فريق الحماية في المختبر بعمل تحليل إلكتروني خاص للفضاء المعلوماتي وإعادة إنشاء التحكم في المجال وإعادة رسم الأنظمة واستعادة خدمات الشبكة التي توقفت عن العمل.
* دروس من الهجمات
* من الذي كان يقف وراء الهجمات؟ هذا سؤال لن يناقشه جونسون، لكن الجدير بالملاحظة هو أن قسم مرافق الطاقة استهدف مجموعة من الهجمات التي تعرف بـ«أوبيريشين شادي رات» Operation Shady RAT التي تم تنفيذها ضد أكثر من 70 في المائة من الشركات ومقاولي الحماية والهيئات الحكومية على مدى السنوات القليلة الماضية. وتوقع بعض الخبراء استنادا إلى الأدلة المتاحة أن هذه الهجمات مصدرها الصين.
وخلال مؤتمر «آي دبليو 500» تحدث جونسون بصراحة عن استجابة المختبر للهجمات في محاضرة بعنوان «تحليل الهجوم في يوم الصفر» الذي يستغل نقاط الضعف في أجهزة الكومبيوتر، ما أوردت مجلة «انفورميشن ويك» الإلكترونية.
وقد عرض على الحضور قائمة تتضمن الدروس التي تعلمها من تجربته، وهي كما يلي:
1 - الانتباه إلى خطر وجود بيئات حماية متعددة المستويات. رغم أن نظام حماية المعلومات في المختبر كان محيطا قويا، فإن الهجمات اخترقته مع ذلك. ولذا يؤكد جونسون بصفته مؤيدا لاستراتيجية «الدفاع في العمق» على أهمية حماية المعلومات ذاتها.
2 - ضرورة تنقية العادات المتوارثة والتكنولوجيا التي لا تستخدم كثيرا. كانت الخوادم الكومبيوترية خلال الهجوم الأول تعتمد على تكنولوجيا غير شائعة الاستخدام في المختبر وهي «أدوب كولدفيوشن». هذا النوع من التكنولوجيا لا يستخدم كثيرا، وبالتالي يكون بعيدا عن الاهتمام ويتضمن نقاط ضعف كامنة لأنه لا يحظى بالقدر نفسه من الأهمية الذي تحظى به البرامج الأساسية للمختبر.
3 - مراقبة أمن الفضاء المعلوماتي على مدار اليوم وطوال أيام الأسبوع. تتطلب التهديدات المستمرة المتقدمة مثل تلك التي تصيب المختبر، يقظة وحذرا مستمرين. وتستثمر الحكومة الفيدرالية في «المراقبة المستمرة» بهدف الاطلاع المستمر على وضع نظام حماية أجهزة الكومبيوتر.
4 - المحافظة على القدرة التحليلية الأساسية. إذا تم اختراق شبكتك، يجب أن تكون فرق الحماية قادرة على إعادة بناء النظام وتقدير حجم الضرر. يمكن أن يساعدك ما تتعلمه من الهجمات على تجنب حدوث انتكاسة.
5 - ضرورة ضم مدير مشروع إلى فريق العمل الموكل إليه الرد على الهجمات. لا تتطلب الاستجابة إلى الهجوم الانتباه فحسب إلى التفاصيل والتنسيق الدقيق، بل أيضا تتطلب قدرة على تدخل القيادات العليا في لحظة اكتشاف الهجوم وتصعيد القرار.
6 - الاستعداد لطلب المساعدة والعمل بسرعة. ربما تكون بحاجة إلى الاستعانة بخبراء في الأمن وشركاء تجاريين أو سلطات الأمن أو أي جهات أخرى من خارج المختبر.
7 - وضع خطة لاستمرار الاتصالات في حالة الطوارئ. عندما أوقف المختبر عمل الشبكة، فقد القراصنة القدرة على إلحاق المزيد من الأضرار بها، لكن مع الأسف كان هذا القرار يعني فقدان العاملين لخدمات الاتصال عبر الشبكة ومن ضمنها خدمة البريد الإلكتروني والبريد الصوتي، لذا يجب الاستعداد لهذا الأمر من خلال إصدار تعليمات بتبادل أرقام الهواتف الجوالة وعناوين البريد الإلكتروني البديلة استباقا لأي هجوم. وتوضح هجمات «أوبيريشين شادي رات» وأي هجوم مشابه على موقع «غوغل» وشركات أخرى كم تكون المخاطر معقدة ومتزايدة. وعادة ما يتم الالتزام بالسرية عقب أي هجوم عبر الفضاء المعلوماتي، لكن الصراحة تساعد في الاستعداد بشكل أفضل لمثل تلك الهجمات. وقد وافق جونسون على التحدث عن الأمر لمساعدة المؤسسات الأخرى في دعم أنظمتها الدفاعية.