كورت باومجارتنر، خبير الهجوم المستهدف والباحث في المبادئ الأمنية في مختبر كاسبرسكي،أثار في إحدى الحلقات النقاشية موضوع تَغَيُّر السوق العالمي بالنسبة للإتجار بالمعلومات المالية، وكيف يعمل، وما الذي يمكن للشركات القيام به لحماية أنفسها، وذلك في مؤتمر قمة الأمن العالمي فيزا هذا الأسبوع.
وقد انضم كلٌ من بيرون أكوهيدو، مراسل الشؤون المالية في الولايات المتحدة الأمريكية اليوم، ودونالد جود، رئيس قسم العمليات الإلكترونية على الإنترنت ومهمة التوعية والتواصل بمكتب التحقيقات الفيدرالي، إلى باومجارتنر في الحلقة النقاشية، والإجابة عن الأسئلة المطروحة حول هذا الموضوع من قِبَل الجمهور والمشرف جوشوا ملتزر، عضو معهد بروكينجز للاقتصاد والتنمية العالمية .
وقد أوضح باومجارتنر أنه كان هناك وقت عندما استهدفت الغالبية العظمى من الهجمات شركات ووسطاء الدفع المرتبطة بشكلٍ مباشر بالخدمات المالية، في محاولةٍ للحصول على معلومات مالية قيمة على الفور، إلا أن هذه الشركات حَسَّنَت من دفاعاتها مما دفع المهاجمين إلى التحرك نحو أهدافٍ أقل صعوبة.
ويظل الهدف النهائي كما هو: اختراق حسابات الشركة وسرقة المعلومات الحساسة منها، وما تَغَيَّر هو الجهود والتكتيكات اللازمة لتحقيق هذا الهدف. الآن يتسلل المهاجمون بشكلٍ متزايد إلى شركات البيانات وغيرها من الشركات التي تحتوي على البيانات الثانوية، وغالبًا ما تكون معلومات التأكيد على العامل الثانوي مثل أسماء الحيوانات الأليفة، اسم الأم قبل الزواج، تواريخ الميلاد، .. إلخ، في محاولة لتقوية القنوات الجانبية داخل شبكات الشركة التي بها المعلومات الأكثر قيمة في الحياة بشكلٍ مباشر.
وقد أوضح الـ (SSNDOB) الخاص ببريان كريبس بالتفصيل كيف يسرق المهاجمون معلوماتٍ مثل تواريخ الميلاد، وأرقام الضمان الاجتماعي، والبيانات الائتمانية وفحص الخلفية، من سماسرة البيانات البارزين وبيعها في العالم السري الإجرامي، حيث يُعَد ذلك خير مثال على هذا الاتجاه.
وقد أوضح أكوهيدو أن النجاحات الأمنية النسبية لقطاع الدفع الإلكتروني هدَّأت الجمهور العام وعززت شعورهم بالأمان، وغالبًا ما يتم جَمْع معلومات حساسة وشخصية أخرى على نطاقٍ واسع بشكلٍ يتعذر فهمه، على العكس من سرقة بطاقات الائتمان، وقد أوضح أكوهيدو أيضًا أنه من المرجح أن تضع شركات بطاقات الائتمان حلاً لذلك؛ حيث لا يوجد تأمين حقيقي للهوية المسروقة.
لذلك، صرَّحَت الحلقة النقاشية أن البيانات المحددة والمنظمات المستهدفة من قِبَل المهاجمين قد تَغَيَّرَت بشكلٍ واضح، إلا أن طُرق ووسائل الدفاع ضد مثل هذه الهجمات قد تَغَيَّرَت فقط على النحو الأفضل.
في الحقيقة، وافق جميع المشاركون في الحلقة النقاشية على أن يكون التعاون بين وكالات تطبيق القانون في جميع أنحاء العالم، والتعاون بين أجهزة تطبيق القانون والصناعة الخاصة أقوى من أي وقتٍ مضى.
وقد أوضح جود أن مكتب التحقيقات الفيدرالي لديه ملحقين يعملون في سفارات أكثر من 75 دولة حول العالم، خاصةً في المناطق الساخنة الشهيرة بالجريمة الإلكترونية وتلك الدول التي تعتبر مأوى لعصابات مجرمي الإنترنت. ويعمل مكتب التحقيقات الفيدرالي ووكالات تطبيق القانون الأمريكية على نحوٍ منتظم مع أجهزة تطبيق القانون بالدول الأخرى، للتعاون في عمليات التَّعَقُّب وفي بعض الأحوال تسليم مجرمي الإنترنت الدوليين.
وقد تساءل أحد أعضاء الجمهور ما هي فِرَق أمن تكنولوجيا المعلومات التي يجب أن تنتبه أولاً في حالة وقوع عملية اقتحام، هل يكون فريق الاستجابة للحوادث التابع للشركة أم مكتب الاتحاد الفيدرالي.
واتفق باومجارتنر وجود على أن هذا القرار يحتاج إلى أن يُتَّخَذ مُقَدَّمًا بوقتٍ كافٍ وقبل وقتٍ طويل من حدوث الاقتحام، ويتم التحديد بوضوح للمبادىء التوجيهية لسياسات الاستجابة للحوادث داخل المنظمات.
وبالإضافة إلى ذلك، شَجَّع جود الشركات على تأسيس علاقات مع مكاتب تطبيق القانون الفيدرالية التي تقع بالقرب من أماكن عملها، وقد أوضح أن فرع مكتب التحقيقات الفيدرالي يُركز في المقام الأول على التواصل مع الشركات، لكي يُصبح لدى المتخصصين في أمن الشركات الموجودين في المنظمات المستهدفة علاقات عمل مع مكتب التحقيقات الفيدرالي قبل وقوع الهجوم.
وقال جود: “أثناء الحادث، تُعَد الاستجابة وقتًا سيئًا لبدء إقامة علاقات مع مكتب التحقيقات الفيدرالي”
وقد استمر جود في تشجيع المنظمات على الاتصال بمكتب التحقيقات الفيدرالي بمجرد رؤيتهم لحدوث شيءٍ ما.
وقد قال: “اتصلوا بأجهزة تطبيق القانون وسوف نأتي مع وكلاء مُدَرَّبين على التعامل مع الإنترنت؛ حيث تم تدريبهم خصيصًا للحفاظ على السِجلات وجمع معلومات قيمة أخرى عن التهديد.”
في وقتٍ لاحق سوف يشرح باومجارتنر في مقابلة مع مدونة العمل التابعة لكاسبرسكي أن هذه العملية كلها عبارة عن طريقٍ ذو اتجاهين، وأن مكتب التحقيقات الفيدرالي على مقربةٍ وشيكة من هذا الواقع، ولا يساعد مكتب التحقيقات الفيدرالي الشركات المهددة والمحاصرة عن طريق تزويدها بالخبراء الذين يتمتعون بالفهم الأفضل لكيفية اختراق هذه الهجمات المعقدة لشبكات الشركات بشكلٍ دقيقٍ وتامٍ فقط، ولكن يساعد نفسه أيضًا من خلال دراسة الطُرق الجديدة والمختلفة والتي يطلق الخصوم هجماتهم عن طريقها.
وبالإضافة إلى ذلك، تقوم الشركات أحيانًا بغلق الشبكات في محاولة لغلق الطريق الواضح للهجمات، وقد اتفق أيضًا جود وباومجارتنر على أنه في بعض الحالات تفشل الشركات في فهم العُمق الحقيقي لهذه الهجمات، مما يمنع الشبكات المُختَرَقَة من إدراك أن الهجوم يكون على نطاقٍ أوسع بكثير مما يدركون ويعتقدون.
وقد قال باومجارتنر في المقابلة: أن إغلاق الشبكة تمامًا غالبًا ما يوهم المهاجم أو مجموعة المهاجمين أن أجهزة الشركة قد تكون في الواقع مُعَطَّلَة وخاملة. وقد أوضح أن مجموعات الهجوم هذه تعمل أحيانًا على عددٍ من الأهداف في وقتٍ واحد، لأنهم قد يخترقون شبكةٍ معينة ويجعلون منها مُرتكزًا ونقطة انطلاق فقط، ولكنهم في الوقت ذاته يعملون بنشاط على شبكةٍ أخرى في مكانٍ آخر، ويعودون فقط إلى الشبكة الأولى مرةٍ أخرى في وقتٍ لاحق. لذلك قد لا تبدأ الحركة المشبوهة في القيام بأي سرقاتٍ فعلية بعد، وفي هذه الحالات، من الأفضل استدعاء مكتب التحقيقات الفيدرالي إلى هناك للقيام بأعمال الطب الشرعي ورفع الأدلة الجنائية بأسلوبٍ رفيع المستوى، وذلك قبل أن تفسد الأمر– إن صح التعبير – من خلال تدمير وتبديد الشبكة المصابة كلها.
هذه ليست مجرد مسألة العمل معًا وإلقاء القبض على المحتالين والتعلُّم منهم بعد وقوع الهجوم، لذلك تُعَد الحماية هي الأفضل لكلٍ من الشركات والأفراد مقارنةً بالوضع الذي اعتادوا عليه، والمنظمات تحتاج إلى أن تظل على قمة هذا.
وقال باومجارتنر في مقابلة مع شركة كاسبرسكي: “من جانب الزبون، عادةً ما يتم جمع البيانات المالية هذه من خلال استخدام فيروسات تروجان المصرفية، إلا أننا لدينا الآن حماية أفضل ضدها، وهذا يشتمل على حماية أفضل ضد تحفيظ المفاتيح، بل وضد حقن واختراق متصفحات الشبكة أيضًا، وذلك من أجل توفير المزيد من الحماية الأفضل للشخص الذي يقوم بتصفح المواقع المصرفية والتفاعل مع المواقع الأخرى المشابهة، كما توجد تحسينات ضخمة من جانب الزبون من أجل تعامله أيضًا مع عمليات الاستغلال مثل أدوات جافا، وعمليات الاستغلال الأخرى الشائعة التي تسعى إلى وضع فيروسات تروجان المصرفية على جهازك.
تُقَلِّل الحماية الأمنية بالنسبة للأفراد فرصة إصابة جهاز الموظف أو الزبون وانتشار الإصابة في شبكة الشركة، وبالإضافة إلى ذلك، توجد أدوات وتقنيات لتوفير حماية أفضل للشبكات ذاتها أيضًا.
وقال باومجارتنر: “من جانب الخادم، وذلك لأن تطبيقات الشبكة مخصصة لذلك، وتوجَه لتكون مخصصة، أو ممتلكة، لذلك أصبحت هذه التطبيقات قطعة أكثر صعوبة للتعامل معها. لذلك أصبحت الحماية الفعلية لتطبيقات الشبكة أكثر صعوبة، ولكن ما يمكنك القيام به هو العمل مع التكنولوجيا التي لا تتعامل فقط مع القائمة البيضاء للتطبيقات الموثوق بها، ولكن أيضًا مع إنكار صريح وتام (للتطبيقات السيئة).
إذا بدأ تشغيل بعض العمليات، التي شرحها، وتم تشغيل بعض الترميزات الغريبة أو تمت محاولة للتواصل مع بعض الخوادم غير المعروفة، يحتاج الأمرإلى مُدراء يكونوا قادرين على إيقافها.
قال باومجارتنر: “وهكذا سيستمر (المهاجمون) في استخدام الهجوم المخترق SQL (لغة قواعد البيانات)، وإسقاط بابهم الخلفي على النظام وسيشتمل هذا الباب الخلفي على تكنولوجيا مراقبة الشبكة، إلا أن الباب الخلفي سوف يشتمل على بعض الرموز الجديدة التي لا ينبغي أن يتم تشغيلها على الخادم. لذلك إذا كان لديك حقًا تكنولوجيا تستطيع أن تقدم إنكارًا وحظرًا بطريقةٍ قوية تسمح للمدير أن يقول “لا، هذا حقًا أمرًا حسنًا بالنسبة للعمل على الرغم مما يفعله الاختراق والقرصنة على الخادم الخاص بي؛ من المرجح أن تكون قادرًا على التحديد والمنع الفوري للأبواب الخلفية حيث تعمل هذه الطواقم في المقام الأول.”