التحديثات
غالبًا ما يستهدف المهاجمون حسابات الاختبار القديمة وغير المستخدمة، أو يعثرون بالصدفة على حاويات تخزين سحابي متاحة للعامة تحتوي على بيانات حساسة غطاها الغبار قليلاً. وفي بعض الأحيان، يستغل الهجوم ثغرة أمنية في أحد مكونات التطبيق تم تصحيحها بالفعل، لنقل، منذ عامين. وعند مطالعة تقارير الاختراقات هذه، يظهر نمط متكرر: اعتمدت الهجمات على شيء قديم: سواء كان خدمة أو خادمًا أو حساب مستخدم… أجزاء من البنية التحتية لتكنولوجيا المعلومات الخاصة بالشركات التي تخرج أحياناً عن نطاق رؤية فرق تكنولوجيا المعلومات والأمان. وتصبح، في المحصلة، غير محكومة، وغير نافعة، ومجرد أشياء منسية. وتشكل هذه الأصول “الميتة-الحية” لتكنولوجيا المعلومات خطرًا على أمان المعلومات والامتثال التنظيمي، وتتسبب في تكاليف تشغيلية لا داعي لها. يُعد هذا عمومًا عنصرًا من عناصر تكنولوجيا المعلومات الخفية، لكن مع وجود فرق جوهري واحد: لا أحد يريد هذه الأصول، أو يعلم بوجودها، أو يستفيد منها.
نحاول في هذه المقالة تحديد الأصول التي تتطلب اهتمامًا فوريًا، وكيفية التعرف عليها، وماهية الاستجابة المناسبة تجاهها.
الخوادم المادية والافتراضية
الأولوية: عالية. تُعد الخوادم المعرضة للاختراق نقاط دخول للهجمات الإلكترونية، وهي تستمر في استهلاك الموارد مع التسبب في مخاطر تتعلق بالامتثال التنظيمي.
معدل الانتشار: مرتفع. عادةً ما تُترك الخوادم الفعلية والافتراضية مهملة في البنى التحتية الكبيرة بعد مشاريع الترحيل، أو في أعقاب عمليات الدمج والاستحواذ. ويُنسى مرارًا خوادم الاختبار التي لم تعد مستخدمة بعد دخول المشاريع حيز التنفيذ، وكذلك خوادم الويب للمشاريع القديمة التي تعمل بدون اسم نطاق. ويظهر حجم هذه المشكلة بوضوح من خلال إحصائيات Let’s Encrypt: في عام 2024، جاء نصف طلبات تجديد النطاقات من أجهزة لم تعد مرتبطة بالنطاق المطلوب. ويوجد ما يقرب من مليون جهاز من هذا النوع في العالم.
الاكتشاف: يحتاج قسم تكنولوجيا المعلومات إلى تنفيذ عملية الاكتشاف والمطابقة الآلية (AD&R)، التي تدمج نتائج فحص الشبكة وجرد السحابة مع البيانات المستمدة من قاعدة بيانات إدارة التكوين (CMDB). وتتيح هذه العملية تحديد المعلومات القديمة أو المتعارضة حول أصول تكنولوجيا المعلومات في الوقت المناسب، وتساعد في تحديد موقع الأصول المنسية نفسها.
يجب تعزيز هذه البيانات بعمليات فحص الثغرات الأمنية الخارجية التي تغطي جميع عناوين بروتوكول الإنترنت (IP) العامة الخاصة بالمؤسسة.
الاستجابة: وضع عملية رسمية وموثقة لإخراج الخوادم من الخدمة / إحالتها للتقاعد. ويجب أن تتضمن هذه العملية التحقق من اكتمال ترحيل البيانات، والتأكد من إتلاف البيانات الموجودة على الخادم لاحقًا. وعقب هذه الخطوات، يمكن إيقاف تشغيل الخادم، أو إعادة تدويره، أو استخدامه لأغراض أخرى. وحتى اكتمال جميع الإجراءات، يجب نقل الخادم إلى شبكة فرعية معزولة.
للحد من هذه المشكلة في بيئات الاختبار، يجب تنفيذ عملية آلية لإنشائها وإخراجها من الخدمة. وينبغي إنشاء بيئة الاختبار عند بداية المشروع، وتفكيكها بعد فترة زمنية محددة أو عقب مدة معينة من الخمول. ويجب تعزيز أمن بيئات الاختبار من خلال فرض عزل تام عن بيئة الإنتاج الأساسية، وحظر استخدام بيانات العمل الحقيقية غير المجهولة في عمليات الاختبار.
حسابات المستخدمين والخدمات والأجهزة المنسية
الأولوية: حرجة. تُعد الحسابات غير النشطة والحسابات ذات الصلاحيات العالية أهدافًا رئيسية للمهاجمين الساعين لترسيخ وجودهم داخل الشبكة أو توسيع نطاق وصولهم داخل البنية التحتية.
معدل الانتشار: مرتفع جدًا. تُعد حسابات الخدمات الفنية، وحسابات المتعاقدين، والحسابات غير المخصصة من بين أكثر الحسابات عرضة للنسيان.
الاكتشاف: إجراء تحليل دوري لدليل المستخدمين (Active Directory في معظم المؤسسات) لتحديد جميع أنواع الحسابات التي لم تشهد أي نشاط خلال فترة زمنية محددة (شهر، أو ربع سنة، أو سنة). وبالتزامن مع ذلك، يُنصح بمراجعة الأذونات الممنوحة لكل حساب، وإزالة أي صلاحيات زائدة عن الحاجة أو غير ضرورية.
الاستجابة: بعد التحقق مع صاحب الخدمة المعني في الجانب الإداري أو المشرف المباشر للموظف، يجب ببساطة إلغاء تنشيط الحسابات القديمة أو حذفها. ويوفر نظام إدارة الهويات والوصول الشامل (IAM) حلاً قابلاً للتوسع لهذه المشكلة. وفي هذا النظام، يتم ربط عمليات إنشاء الحسابات وحذفها وتعيين الأذونات بشكل وثيق مع إجراءات الموارد البشرية.
بالنسبة لحسابات الخدمات، من الضروري أيضًا إجراء مراجعة روتينية لقوة كلمات المرور وتواريخ انتهاء صلاحية رموز الوصول، مع تدويرها حسب الحاجة.
مخازن البيانات المنسية
الأولوية: حرجة. شكلت البيانات ذات الرقابة الضعيفة في قواعد البيانات المتاحة خارجيًا، وأوعية التخزين السحابي وسلال المحذوفات، وخدمات مشاركة الملفات المؤسسية – حتى “الآمنة” منها – مصدرًا رئيسياً للاختراقات الكبرى في عامي 2024-2025. وغالبًا ما تشمل البيانات المكشوفة في هذه التسريبات نسخًا ضوئية من المستندات، وسجلات طبية، ومعلومات شخصية. ونتيجة لذلك، تؤدي هذه الحوادث الأمنية أيضًا إلى عقوبات بسبب عدم الامتثال للوائح مثل قانون نقل التأمين الصحي والمساءلة (HIPAA) واللائحة العامة لحماية البيانات (GDPR) وغيرها من أطر حماية البيانات التي تحكم التعامل مع البيانات الشخصية والسرية.
معدل الانتشار: مرتفع. بيانات الأرشفة، ونسخ البيانات الموجودة لدى المتعاقدين، وإصدارات قواعد البيانات القديمة الناتجة عن عمليات ترحيل الأنظمة السابقة – تظل كل هذه البيانات غالبًا غير خاضعة للمساءلة ومتاحة للوصول لسنوات (بل لعقود) في العديد من المؤسسات.
الاكتشاف: نظرًا للتنوع الهائل في أنواع البيانات وطرق التخزين، يعد الجمع بين عدة أدوات ضروريًا لعملية الاكتشاف:
- الأنظمة الفرعية للتدقيق الأصلية داخل منصات مزودي الخدمة الرئيسيين، مثل AWS Macie وMicrosoft Purview
- حلول اكتشاف البيانات المتخصصة وإدارة وضع أمان البيانات
- التحليل الآلي لسجلات المخزون، مثل S3 Inventory
للأسف، تظل هذه الأدوات محدودة الفائدة إذا أنشئ المتعاقد مستودع بيانات داخل بنيته التحتية الخاصة. وتتطلب السيطرة على هذا الموقف وجود شروط تعاقدية تمنح فريق الأمان في المؤسسة إمكانية الوصول إلى وحدات التخزين ذات الصلة لدى المتعاقد، مدعومة بخدمات معلومات التهديد القادرة على رصد أي مجموعات بيانات مكشوفة علنًا مرتبطة بالعلامة التجارية للشركة.
الاستجابة: حلل سجلات الوصول وادمج التخزين المكتشف في أدوات منع تسرب البيانات (DLP) ووسطاء أمن الوصول السحابي (CASB) لمراقبة استخدامها – أو للتأكد من أنه تم التخلي عنها حقًا. واستخدم الأدوات المتاحة لعزل الوصول إلى وحدة التخزين بشكل آمن. وإذا لزم الأمر، أنشئ نسخة احتياطية آمنة ثم احذف البيانات. وعلى مستوى سياسات المؤسسة، من الضروري تحديد فترات استبقاء لمختلف أنواع البيانات، مع فرض أرشفتها وحذفها تلقائيًا عند انتهاء صلاحيتها. ويجب أن تحدد السياسات إجراءات تسجيل أنظمة التخزين الجديدة، وتحظر صراحة وجود بيانات مجهولة المالك أو يمكن الوصول إليها دون قيود أو كلمات مرور أو تشفير.
التطبيقات والخدمات غير المستخدمة على الخوادم
الأولوية: متوسطة. تزيد الثغرات الأمنية الموجودة في هذه الخدمات من مخاطر الهجمات الإلكترونية الناجحة وتعقد جهود الإصلاح وتؤدي إلى إهدار الموارد.
معدل الانتشار: مرتفع جدًا. غالبًا ما يتم تمكين الخدمات بشكل افتراضي أثناء تثبيت الخادم، وتبقى بعد انتهاء أعمال الاختبار والتكوين، وتستمر في العمل لفترة طويلة بعد أن تصبح عملية الأعمال التي كانت تدعمها قديمة.
الاكتشاف: يحدث من خلال عمليات تدقيق دورية لتكوينات البرامج. ولضمان وجود تدقيق فعال، يجب أن تلتزم الخوادم بنموذج الوصول القائم على الأدوار، بحيث يكون لكل دور خادم قائمة مقابلة بالبرامج المطلوبة. وبالإضافة إلى قاعدة بيانات إدارة التكوين (CMDB)، تساعد مجموعة واسعة من الأدوات في هذا التدقيق: أدوات مثل OpenSCAP وLynis – التي تركز على الامتثال للسياسات وتقوية الأنظمة؛ وأدوات متعددة الأغراض مثل OSQuery؛ وماسحات الثغرات الأمنية مثل OpenVAS؛ بالإضافة إلى أدوات تحليل حركة مرور الشبكة.
الاستجابة: إجراء مراجعة مجدولة لوظائف الخادم مع أصحاب الأعمال. ويجب تعطيل أي تطبيقات أو خدمات غير ضرورية يتبين أنها قيد التشغيل. وللحد من هذه الحالات، ينبغي تطبيق مبدأ “الحد الأدنى من الصلاحيات” على مستوى المؤسسة، واستخدام صور أنظمة محصنة أو قوالب خوادم موحدة لعمليات بناء الخوادم القياسية. ويضمن خذا عدم تثبيت أو تمكين أي برامج زائدة عن الحاجة بشكل افتراضي.
واجهات برمجة التطبيقات القديمة
الأولوية: عالية. غالبًا ما يستغل المهاجمون واجهات برمجة التطبيقات لتسريب كميات ضخمة من البيانات الحساسة، والحصول على وصول أولي داخل المؤسسة. وفي عام 2024، زاد عدد الهجمات المرتبطة بواجهة برمجة التطبيقات بنسبة 41%، حيث استهدف المهاجمون على وجه الخصوص واجهات برمجة التطبيقات القديمة، كونها غالباً ما توفر البيانات بقيود وفحوصات أقل. وقد تجسد ذلك في تسريب 200 مليون سجل من منصة X/Twitter.
معدل الانتشار: مرتفع. عندما تنتقل خدمة ما إلى إصدار جديد من واجهة برمجة التطبيقات (API)، غالبًا ما يظل الإصدار القديم قيد التشغيل لفترة ممتدة، لا سيما إذا كان لا يزال مستخدمًا من قبل العملاء أو الشركاء. ولا يتم عادةً صيانة هذه الإصدارات المهجورة، مما يترك العيوب الأمنية والثغرات الأمنية في مكوناتها دون معالجة.
الاكتشاف: على مستوى جدار حماية تطبيقات الويب (WAF) أو جدار الحماية من الجيل التالي (NGFW)، من الضروري مراقبة حركة المرور إلى واجهات برمجة تطبيقات (APIs) محددة. ويساعد ذلك في اكتشاف الأنشطة غير الطبيعية التي قد تشير إلى استغلال الثغرات الأمنية أو تسريب البيانات، كما يساهم في تحديد الواجهات التي تستقبل قدرًا ضئيلاً من حركة المرور.
الاستجابة: بالنسبة لواجهات برمجة التطبيقات (APIs) ذات النشاط المنخفض التي تم تحديدها، يجب التعاون مع أصحاب المصلحة المعنيين لتطوير خطة لإخراجها من الخدمة، ونقل أي مستخدمين متبقين إلى الإصدارات الأحدث.
بالنسبة للمؤسسات التي تمتلك مجموعة واسعة من الخدمات، يمكن معالجة هذا التحدي بشكل أفضل من خلال استخدام منصة لإدارة واجهات برمجة التطبيقات بالتزامن مع سياسة معتمدة رسميًا لدورة حياة واجهة برامجة التطبيقات. ويجب أن تتضمن هذه السياسة معايير محددة بوضوح لإيقاف دعم واجهات البرامج القديمة وإحالتها إلى التقاعد.
البرامج ذات التبعيات والمكتبات البرمجية القديمة
الأولوية: عالية. هذا هو المكان الذي تكمن فيه الثغرات الأمنية الحرجة وواسعة النطاق مثل Log4Shell، مما يؤدي إلى اختراق المؤسسات وإثارة مشكلات تتعلق بالامتثال التنظيمي
معدل الانتشار: مرتفع جدًا، لا سيما في أنظمة الإدارة المؤسسية واسعة النطاق، وأنظمة الأتمتة الصناعية، والبرامج المصممة حسب الطلب.
الاكتشاف: استخدم مزيجًا من أنظمة إدارة الثغرات (VM/CTEM) وأدوات تحليل مكونات البرامج (SCA). وبالنسبة للتطوير الداخلي، فمن الإلزامي استخدام أدوات الفحص والأنظمة الأمنية الشاملة المدمجة في خط التطوير المستمر (CI/CD) لمنع بناء البرامج بمكونات قديمة.
الاستجابة: يجب أن تنص سياسات الشركة على إلزام فرق تكنولوجيا المعلومات والتطوير بتحديث تبعيات البرامج بشكل منهجي. وعند بناء برامج داخلية، ينبغي أن يكون تحليل التبعيات جزءًا أصيلاً من عملية مراجعة التعليمات البرمجية. وبالنسبة لبرامج الجهات الخارجية، فمن الضروري إجراء تدقيق منتظم لحالة التبعيات وعمرها.
بالنسبة لموردي البرامج الخارجيين، يجب أن يكون تحديث التبعيات مطلبًا تعاقديًا يؤثر على الجداول الزمنية للدعم وميزانيات المشاريع. ولجعل هذه المتطلبات قابلة للتنفيذ، من الضروري الاحتفاظ بقائمة مواد برامج محدثة (SBOM).
يمكنك قراءة المزيد عن المعالجة الفعالة للثغرات الأمنية وفي الوقت المناسب في مقالة منفصل على المدونة.
مواقع الويب المنسية
الأولوية: متوسطة. يمكن للمهاجمين استغلال أصول الويب المنسية في عمليات التصيد الاحتيالي، أو استضافة البرامج الضارة، أو تنفيذ عمليات احتيال تحت اسم العلامة التجارية للمؤسسة، مما يلحق الضرر بسمعتها. وفي حالات أكثر خطورة، قد تؤدي هذه الأصول إلى اختراق البيانات، أو تعمل كمنصة انطلاق للهجمات ضد الشركة المعنية. ويتضمن جزء محدد من هذه المشكلة النطاقات المنسية التي استُخدمت لأنشطة لمرة واحدة، ثم انتهت صلاحيتها ولم يتم تجديدها، مما يجعلها متاحة للشراء من قبل أي شخص.
معدل الانتشار: مرتفع – لا سيما للمواقع التي يتم إطلاقها لحملات قصيرة المدى أو لأنشطة داخلية لمرة واحدة.
الاكتشاف: يجب على قسم تكنولوجيا المعلومات الاحتفاظ بسجل مركزي لجميع مواقع الويب والنطاقات العامة، والتحقق من حالة كل منها مع مالكيها على أساس شهري أو ربع سنوي. بالإضافة إلى ذلك، يمكن استخدام أدوات الفحص أو مراقبة سجلات DNS لتتبع النطاقات المرتبطة بالبنية التحتية لتكنولوجيا المعلومات الخاصة بالشركة. وتوفر معلومات التهديد طبقة أخرى من الحماية، حيث يمكنها اكتشاف أي مواقع ويب مرتبطة بالعلامة التجارية للمؤسسة بشكل مستقل.
الاستجابة: وضع سياسة للإغلاق المجدول لموقع الويب بعد فترة محددة من انتهاء استخدامه الفعلي. ويجب تطبيق نظام تسجيل وتجديد تلقائي لنظام أسماء النطاقات لمنع فقدان السيطرة على نطاقات الشركة.
أجهزة الشبكة غير المستخدمة
الأولوية: عالية. تُعد أجهزة التوجيه وجدران الحماية وكاميرات المراقبة وأجهزة التخزين الشبكي المتصلة التي تُترك دون إدارة أو تحديث أمني، منصة انطلاق مثالية للهجمات. وغالبًا ما تحتوي هذه الأجهزة المنسية على ثغرات أمنية، كما أنها لا تخضع تقريبًا لأي مراقبة مناسبة – لعدم دمجها مع أنظمة EDR أو SIEM – ومع ذلك، فهي تحتل موقعًا متميزًا داخل الشبكة، مما يمنح المخترقين بوابة سهلة لتصعيد هجماتهم على الخوادم ومحطات العمل.
معدل الانتشار: متوسط. يتم ترك الأجهزة خلفنا أثناء عمليات نقل المكاتب، أو ترقيات البنية التحتية للشبكة، أو عند تجهيز مساحات العمل المؤقتة.
الاكتشاف: استخدم أدوات جرد الشبكة نفسها المذكورة في قسم الخوادم المنسية، بالإضافة إلى إجراء عمليات تدقيق مادية منتظمة لمقارنة عمليات فحص الشبكة مع الأجهزة المتصلة فعليًا. ويمكن أن تكتشف عمليات فحص الشبكة النشطة عن قطاعات كاملة من الشبكة لا يتم تتبعها واتصالات خارجية غير متوقعة.
الاستجابة: يمكن عادةً فصل الأجهزة التي ليس لها مالك عن الشبكة فورًا. لكن احذر: تتطلب عملية تنظيف هذه الأجهزة العناية ذاتها المتبعة عند تنظيف الخوادم؛ وذلك لمنع تسريب إعدادات الشبكة وكلمات المرور وتسجيلات الفيديو الخاصة بالمكتب، وما إلى ذلك.
النصائح