المراحل السبع للهجوم السيبراني

يعد ضمان الأمن السيبراني تحديًا متغيرًا باستمرار مع ظهور تهديدات جديدة ، وتطور التهديدات القديمة ، وتباين دوافع المتسللين
في بعض الحوادث الإلكترونية البارزة الأخيرة ، سعى المهاجمون إلى تعطيل الخدمات بدلاً من محاولة سرقة البيانات
يعد فهم تطور الهجوم السيبراني أساسًا سليمًا للتعرف على التهديدات قبل ووقت ظهورها
تظل سبع مراحل للهجوم الإلكتروني أساسية لفهم كيفية وصول المتسللين إلى البنية التحتية الحيوية واستغلالها
التغيير ثابت في المنافسة التي لا تنتهي بين فرق الأمن السيبراني والمتسللين. أصبحت الهجمات الإلكترونية على البنية التحتية الحيوية أكثر شيوعًا وتعقيدًا وإبداعًا. يمثل هذا تحديًا على مدار الساعة طوال أيام الأسبوع لفرق الأمن السيبراني ، الذين يحتاجون إلى معرفة مكان تعرض عملياتهم للتهديدات قبل أن يتمكن المتسللون من العثور عليها.
في بعض الحوادث البارزة الأخيرة ، تغيرت أيضًا دوافع المتسللين. على نحو متزايد ، تستهدف الهجمات تعطيل الخدمات بدلاً من السعي لسرقة البيانات لتحقيق مكاسب مالية. يستخدم المتسللون أيضًا ناقل هجوم جديد لم يسبق رؤيته من قبل. بدلاً من مهاجمة أهدافهم الأساسية مباشرةً ، استهدفوا البائعين الأقل أمانًا الذين تستخدمهم تلك الأهداف.
في حين أن تفاصيل الهجمات الفردية قد تختلف ، فمن الممكن تحديد سبع مراحل للهجوم السيبراني. يوفر هذا أساسًا مشتركًا لفهم كيف ومتى تنشأ التهديدات بحيث يمكن تحسين اليقظة والوقاية والاستجابات الفعالة.

المرحلة الأولى: إعادة اكتشاف هدف القرصنة
في مرحلة الاستطلاع ، يحدد المتسللون هدفًا ضعيفًا ويستكشفون كيفية استغلاله. يمكن أن يكون الهدف الأولي أي شخص في الشركة. يحتاج المهاجمون إلى نقطة دخول واحدة فقط للبدء. تعد رسائل التصيد الاحتيالي المستهدفة شائعة كطريقة فعالة لتوزيع البرامج الضارة في هذه المرحلة.

بيت القصيد هو التعرف على الهدف. في هذه المرحلة ، يسأل المتسللون أنفسهم من الأشخاص المهمين في الشركة ، ومن يتعاملون معه ، وما هي البيانات العامة المتاحة حول المنظمة المستهدفة. تعد مواقع الشركة وموارد الاتصال عبر الإنترنت مثل Linkedin مصدرين واضحين للبحث عن الأشخاص الرئيسيين في المؤسسات. قد يتضمن تحديد الموردين والعملاء "الهندسة الاجتماعية" حيث يقوم المتسلل بإجراء مكالمات بيع زائفة للشركة.

من بين البيانات المتاحة للجمهور ، يقوم المتسللون بجمع معلومات عنوان بروتوكول الإنترنت (IP) وإجراء عمليات مسح لتحديد الأجهزة والبرامج التي تستخدمها الشركة المستهدفة. يتحققون من قاعدة بيانات تسجيل الويب الخاصة بشركة الإنترنت للأسماء والأرقام المخصصة (ICAAN).

كلما زاد الوقت الذي يقضيه المتسللون في الحصول على معلومات حول الأشخاص والأنظمة في الشركة ، كانت محاولة القرصنة أكثر نجاحًا.

المرحلة الثانية: جمع معلومات عن الشركة
في مرحلة التسليح ، يستخدم المخترق المعلومات التي تم جمعها مسبقًا لإنشاء طرق للوصول إلى شبكة الهدف.

قد يتضمن ذلك إنشاء رسائل بريد إلكتروني تصيد احتيالي يمكن تصديقها تبدو مثل رسائل البريد الإلكتروني التي من المحتمل أن يتلقاها الهدف من بائع معروف أو جهة اتصال تجارية أخرى.

يتمثل أحد أساليب المخترقين الأخرى في إنشاء "ثغرات مائية" وصفحات ويب مزيفة تبدو متطابقة مع صفحة الويب الخاصة بالمورد أو البنك. يهدف هذا إلى الحصول على أسماء المستخدمين وكلمات المرور ، أو تقديم تنزيل مجاني لمستند مصاب ببرامج ضارة أو أي شيء آخر يثير الاهتمام.

يتمثل الإجراء النهائي للمهاجم في هذه المرحلة في جمع الأدوات لاستغلال أي ثغرات أمنية قد يجدونها بنجاح عندما يتمكنون لاحقًا من الوصول إلى شبكة الهدف على الشركة.

المرحلة الثالثة: "تسليم" الهجوم
يبدأ الهجوم في مرحلة التسليم. يتم إرسال رسائل البريد الإلكتروني للتصيد الاحتيالي ، ويتم نشر صفحات الويب الخاصة بـ "watering hole" على الإنترنت ، وينتظر المهاجم وصول جميع البيانات التي يحتاجها.

إذا كانت رسالة البريد الإلكتروني المخادعة تحتوي على مرفق مسلح ، فحينئذٍ ينتظر المهاجم أن يفتح شخص ما المرفق وينتظر البرنامج الضار الموجود فيه "الاتصال بالمنزل" للمتسلل.

المرحلة الرابعة: استغلال الخرق الأمني
في مرحلة الاستغلال ، يبدأ المخترق في جني ثمار التحضير للهجوم وتسليمه.

مع وصول أسماء المستخدمين وكلمات المرور ، يحاول المهاجم استخدامها ضد أنظمة البريد الإلكتروني المستندة إلى الويب أو اتصالات الشبكة الخاصة الافتراضية (VPN) بشبكة الشركة. إذا تم إرسال مرفقات مصابة ببرامج ضارة ، فسيصل المهاجم عن بعد إلى أجهزة الكمبيوتر المصابة.

يستكشف المخترق الشبكة المستهدفة ويكتسب فكرة أفضل عن تدفق حركة المرور عليها ، والأنظمة المتصلة بها ، وكيف يمكن استغلالها.

المرحلة الخامسة: تركيب باب خلفي دائم (زراعة الفايروس)
في مرحلة التثبيت ، يضمن المهاجم استمرار الوصول إلى الشبكة.

لتحقيق ذلك ، سيقوم المتسلل بتثبيت باب خلفي دائم ، وإنشاء حسابات مسؤول على الشبكة ، وتعطيل قواعد جدار الحماية. يمكنهم حتى تنشيط الوصول إلى سطح المكتب البعيد على الخوادم والأنظمة الأخرى على الشبكة.

هدف المخترق في هذه المرحلة هو التأكد من البقاء في النظام طالما كان ذلك ضروريًا لتحقيق أهدافه.

المرحلة السادسة: ممارسة القيادة والسيطرة
الآن لديهم وصول غير مقيد إلى الشبكة بالكامل وحسابات المسؤول ، وجميع الأدوات المطلوبة في مكانها لمرحلة القيادة والتحكم.

يمكن للمهاجم أن ينظر إلى أي شيء ، وانتحال شخصية أي مستخدم على الشبكة ، وحتى إرسال رسائل بريد إلكتروني من الرئيس التنفيذي إلى جميع الموظفين.

الآن تحت السيطرة ، يمكن للمتسلل قفل مستخدمي تكنولوجيا المعلومات التابعين للشركة خارج الشبكة بالكامل للمؤسسة إذا أرادوا ذلك ، وربما يطلبون فدية لاستعادة الوصول.

المرحلة السابعة: تحقيق أهداف الهاكر
تبدأ الآن مرحلة العمل على الأهداف. قد يتضمن ذلك سرقة معلومات عن الموظفين والعملاء وتصميمات المنتجات وما إلى ذلك. أو يمكن أن يبدأ المهاجم في تعطيل عمليات الشركة المستهدفة.

ليس كل المتسللين يسعون وراء بيانات يمكن تحقيق الدخل منها أو رسائل بريد إلكتروني تدينهم يمكنهم نشرها. يريد البعض ببساطة التسبب في الفوضى أو إلحاق الأذى بالشركة. إذا تلقت شركة طلبات عبر الإنترنت ، فيمكن للمتسلل إغلاق نظام الطلب أو حذف الطلبات ، على سبيل المثال. يمكنهم حتى إنشاء الطلبات وشحنها إلى عملاء الشركة.

إذا تمكن أحد المتطفلين من الوصول إلى نظام التحكم الصناعي ، فيمكنه إيقاف تشغيل المعدات وإدخال نقاط تعيين جديدة وتعطيل أجهزة الإنذار.