لاحظنا أنك تحجب الإعلانات

واصل دعمك للصحافة اللائقة بتعطيل أدوات حجب الإعلانات

في حال وجود استفسار عن سبب ظهور هذه الرسالة ، اتصل بنا

حجم الخط

- Aa +

الخميس 28 يونيو 2018 03:30 م

حجم الخط

- Aa +

الفريق الأحمر للهجمات الافتراضية: عندما يصبح الاختراق الأمني مطلباً

تثير عمليات الاختراق الأمنية القلق في أروقة المؤسسات، بدءاً من موظفي الخدمات وصولاً إلى المدير التنفيذي، إلا أن عمليات الاختراق المطروحة من قبل الفرق الحمراء هو خيار مرحب به، لأن أعضاء الفريق الأحمر المتمرسين يساعدون الشركات على كشف روابط نقاط الضعف (الثغرات الأمنية) لديهم قبل أن تتمكن الجهات المهاجمة من استغلالها. وهم يقومون بهذا الأمر من خلال محاكاة الطرق والسبل التي تتبعها الجهات المهاجمة، لكن بطريقة أخلاقية ووفقاً لتوجيهات المؤسسة التي استعانت بخبراتهم. وتقوم الشركات بتوظيف الفرق الحمراء من أجل إجراء عمليات اختراق موجهة ضمن بيئة عملهم، التي غالباً ما تكون محددة الأهداف أو الغايات.

الفريق الأحمر للهجمات الافتراضية: عندما يصبح الاختراق الأمني مطلباً
بقلم: محمد أبو خاطر، نائب الرئيس لمنطقة الشرق الأوسط وإفريقيا لدى فاير آي. (المقال الأول)

العديد من الأشخاص على معرفة وإلمام بعمليات الاختراق التجريبية، وهي عبارة عن تقييم أمني تقليدي واسع النطاق يهدف بشكل رئيسي إلى اكتشاف أكبر عدد ممكن من الثغرات الأمنية وعيوب التهيئة (التكوين) في شبكة المؤسسة ضمن الفترة الزمنية المحددة. ومن ثم يتم "استغلال" الثغرات الأمنية هذه من أجل اختراق شبكة الشركة لمعرفة طبيعة المخاطر التي قد تتعرض إليها الشركة في حال استهدافها بمثل هذه الهجمات. وتحقق عملية الاختراق التجريبية مهمتها عندما تصل إلى هدفها المحدد، كالوصول إلى معلومات التعريف الشخصية PII.

الفريق الأحمر للهجمات الافتراضية، عميلة الاختراق التجريبية عند أعلى مستوى
تشبه آلية التقييم المتبعة من قبل الفريق الأحمر (التي يشار إليها في كثير من الأحيان بمصطلح التنظيم الأحمر Red Teaming) عملية الاختراق التجريبي، لكن مع وجود بعض الاختلافات الجوهرية. فعادةً لا يتم تقييد عمل الفرق الحمراء بضوابط تحدد أسلوب اختراقهم، حيث يتاح لهم العمل وفق المنهجية والأسلوب المفضل لديهم كي يتمكنوا من تحقيق أهدافهم، وعادةً ما ينصب تركيزهم (على أهداف محددة) على تحديد جميع الثغرات الأمنية المحتملة، وغالباً ما يُطلب منهم تقديم يد المساعدة في اختبار قدرات الاستجابة التي تتمتع بها المؤسسة. ومن الأسئلة التي يسعى أعضاء الفريق الأحمر للإجابة عليها: هل تقوم الفرق الأمنية بتحديد أولويات التنبيهات بشكل صحيح؟ وهل يتابعون التنبيهات الأكثر أهمية (خطورةً)؟ هل بإمكان الأنظمة الأمنية الكشف عن إحدى الجهات المهاجمة، وإيقافها قبل أن تتمكن من الوصول إلى بيانات الشركة الهامة؟ هل تتسلل الجهة المهاجمة من شبكة الإنترنت القادرة على الوصول إلى أصولنا الأكثر أهمية؟ ما هي المدة الزمنية التي تحتاجها الجهة المهاجمة لاختراق شبكتنا وتحقيق أهدافها؟

وقد تختلف الوسائل والتقنيات والإجراءات TTPs المتبعة للاختراق من قبل الفريق الأحمر، وفقاً للمستوى الأمني المطبق من قبل العميل. فإذا ما كان لدى المؤسسة فريق أمني داخلي (غالباً ما يشار إليه بمصطلح الفريق الأزرق Blue Team)، نجد بأن الفريق الأحمر يستعين بقدرات وتقنيات الجهات المهاجمة الدولية والخارجية لاختبار دفاعات العميل.

لكن ينبغي على عملية الاختراق التي يسعى الفريق الأحمر النجاح لتحقيقها توفير الأهداف التالية للمؤسسة:
• الحصول على ملخص شامل وكامل للمدراء التنفيذيين والإدارة العليا، مكتوب بطريقة يسهل فهمها وتمكنهم من اتخاذ الإجراءات الفورية.
• الحصول على التفاصيل التقنية المرفقة بمعلومات مُوضّحة خطوة بخطوة، تتيح لفريق الأمن الداخلي إمكانية إعادة تحقيق نتائج الفريق الأحمر.
• تحليل المخاطر القائمة على الحقائق، الذي يساعد المؤسسات على معرفة فيما إذا كانت إحدى النتائج ترتبط ببيئتهم أم لا، وبالتالي تحديد درجة الأهمية لهذه النتيجة.
• توصيات منهجية من أجل إجراء تحسينات فورية على المنظومة الأمنية للمؤسسة، وغيرها من البنى التحتية.
• توصيات استراتيجية لإجراء تحسينات طويلة المدى على المنظومة الأمنية للمؤسسة، وغيرها من البنى التحتية.
• جني خبرة لا تقدر بثمن في كيفية الاستجابة لمثل هذه الحوادث على أرض الواقع، وإعداد الجميع بدءاً من الفريق الأمني وصولاً إلى المدراء التنفيذيين وقسم الشؤون القانونية للتعامل مع حالات الاختراق.

آلية عمل الفرق الحمراء؟
تحظى عمليات التقييم التي يقوم بها الفريق الأحمر بقواعد واضحة تم الاتفاق عليها مع العميل بشكل مسبق، ومنها فيما إذا كان مسموحاً للفريق الأحمر الوصول إلى أجهزة الكمبيوتر على أرض الواقع، أو استخدام الطرق الرقمية (بشكل افتراضي) فقط. كما ينبغي على العميل والفريق الأحمر تحديد الهدف أو الأهداف المنشودة من وراء هذه العملية، التي قد تشمل الاستحواذ على بيانات بطاقات الائتمان وغيرها من البيانات المالية، أو سرقة الملكية الفكرية، أو الوصول إلى الشبكات المعزولة عن الانترنت.

لذا، سيبذل الفريق الأحمر كل جهده من أجل تحقيق هدفه دون خرق القواعد المتفق عليها. وإليكم فيما يلي بعض الأمثلة على التقنيات التي تستعين بها الفرق الحمراء:

• الهجوم على الشبكة المحلية اللاسلكية WLAN: سيحاول الفريق الأحمر الوصول إلى الشبكة المحلية اللاسلكية WLAN للعميل، وذلك عبر قنوات خارجية، فالشبكات المحلية اللاسلكية WLAN غير المحمية تتيح إمكانية الوصول بكل سهولة إلى شبكة الشركة، ما سيتيح للفريق الأحمر فرصة اختراق الشبكة، والوصول إلى بيانات المستخدمين من ذوي الامتيازات، وبالنتيجة الاقتراب من تحقيق أهدافهم.

• الهندسة الاجتماعية: عادةً ما تقوم الفرق الحمراء بإرسال رسائل احتيالية عبر البريد الالكتروني إلى الموظفين، أو بإمكان أحد أعضاء الفريق الأحمر الاتصال بالموظف، على سبيل المثال، والادعاء بأنه يعمل مع قسم آخر ضمن المؤسسة. وفي كلتا الحالتين، قد يتسنى للفريق الوصول إلى حساب المستخدم وشبكة الشركة. وهناك طرق أخرى أكثر تفصيلاً وتعقيداً تتضمن إنشاء موقع الكتروني قادر على استقطاب أو خداع الضحية بالإيحاء أنه موقع الكتروني قانوني. ومن هناك، قد تُصاب الضحية بالبرمجيات الخبيثة التي تسمح للفريق الأحمر بالوصول إلى حسابها أو إلى نظام الشركة.

• انتحال الشخصية: قد يقوم أحد أعضاء الفريق الأحمر، في مثل هذا النوع من الهجوم، بالبحث عن أحد موظفي الشركة من ذوي المناصب العالية، الذي قد يكون خارجاً في رحلة أو إجازة وفقاً لأخبار وسائل التواصل الاجتماعي. بعد ذلك، يتوجه عضو الفريق الأحمر إلى المقر الإقليمي للشركة مدّعياً بأنه هذا الموظف، حاملاً معه بطاقة عمل أو بطاقة هوية مزورة. ومن ثم، سيخبرهم بكل بساطة أنه يزور المقر لإنجاز بعض الأعمال التي ستستغرق منه بضع ساعات فقط. وفي العديد من الحالات، تتم دعوة عضو الفريق الأحمر بشكل غير مباشر، ما يتيح له إمكانية الوصول وبسهولة إلى جهاز كمبيوتر متصل بشبكة الشركة.

• اختراق الشبكة الداخلية من الخارج: توفر تطبيقات الشبكة المتاحة للمتعاملين من الخارج موطئ قدم أولي للفريق الأحمر ضمن نطاق الشبكة المستهدفة. فعلى سبيل المثال، إذا تمكن الفريق الأحمر من تنفيذ برمجيته عبر إحدى التطبيقات المستضافة بخادم الشبكة المستضاف ضمن المنطقة المحيطة بالشبكة DMZ، فقد يتمكن الفريق الأحمر من الانتقال بشكل أفقي من خادم الشبكة (السيرفر) إلى غيرها من نطاقات ومناطق الشبكة. بالإضافة إلى ذلك، إذا كان الفريق الأحمر قادراً على اختراق لغة الـ SQL ضمن تطبيقات الشبكة، سيصبح بإمكانهم الاطلاع على البيانات الهامة انطلاقاً من قاعدة البيانات الاحتياطية، ما سيوفر لهم بيانات الاعتماد الخاصة بالتطبيقات والخدمات الأخرى.

بناءً على ما سبق، تعتبر الهجمات على الشبكة المحلية اللاسلكية WLAN وسيلة فعالة، إلا أن استهداف الأشخاص باعتبارهم الحلقة الأضعف في السلسلة الأمنية عادةً ما يبرهن على أنه الاستراتيجية الأكثر فعالية. لذا، يتم تشجيع المؤسسات على تقديم الدورات التدريبية الضرورية لجميع الموظفين، وذلك لضمان معرفتهم بالخطوات الرئيسية لشن الهجمات، واطلاعهم على أحدث موجات التهديد الشائعة في يومنا هذا.

أما بالنسبة للهجمات التي تتخطى حدود الاحتيال الموجه، فإن الفريق الأحمر سيحاول عندها الوصول شخصياً إلى مقر الشركة، وهي طريقة أثبتت جدارتها وفعاليتها بدرجة كبيرة، على الرغم من أنها تتطلب قدراً من الشجاعة والإقدام من قبل الجهات المهاجمة. لذا، فإننا نوصي الموظفين بضرورة بذل جهودهم من أجل اتمام واجباتهم ومهامهم أثناء تواجدهم في المكتب في حال التعرض لأية هجوم أو حالة مشبوهة، مع إبداء أعلى درجات الحذر لتجنب حدوث أية مواجهة شخصية مع الجهات المهاجمة.

وفي الجزء الثاني من مقالتنا هذه حول الفريق الأحمر للهجمات الإفتراضية Red Teaming، سنطرح على طاولة النقاش الأدوات والبرامج التي تستخدمها الفرق الحمراء، وما الذي سيحدث بعد أن تتمكن من الوصول إلى جهاز الموظف، وما هي الشروط الواجب تحقيقها ليصبح المرء أحد أعضاء الفريق الأحمر.