إذا كان ثمَّة شيء يقلق محترفي الأمن الإلكتروني للشركة، فهو التفكير في هجوم يستخدم مجموعة من الأساليب المعقدة المصمَّمة لسرقة المعلومات القيِّمة الخاصة بالشركة.
وكما توحي كلمة "متقدم"، فإن هجوم التهديد المستعصي المتقدم (APT) يستخدم أساليب اختراق متواصلة وخفيّة ومعقدة للوصول إلى نظام والبقاء بداخله لفترة زمنية طويلة، ما قد يؤدي إلى تداعيات مدمرة.
الأهداف الرئيسية
بسبب حجم الجهد المطلوب لتنفيذ هجمات التهديدات المستعصية المتقدمة (APT)، عادةً ما تُوجَّه هذه الهجمات إلى أهداف قيِّمة، مثل الدول والشركات الكبرى، ويتمثَّل الهدف الأساسي منها في سرقة معلومات خلال فترة زمنية طويلة، لا مجرد "الدخول" والخروج بسرعة، كما يفعل المتطفلون المفسدون أثناء الهجمات الإلكترونية متدنية المستوى.
التهديد المستعصي المتقدم (APT) هو أسلوب هجوم ينبغي أن تضعه الشركات ضمن اعتباراتها المهمة. ومع ذلك، فهذا لا يعني أن تتجاهل الشركات الصغيرة والمتوسطة هذا النوع من الهجمات.
يزداد استخدام منفذي هجمات التهديدات المستعصية المتقدمة (APT) للشركات الصغيرة التي تُشكل سلسلة التوريد لهدفهم الأساسي كوسيلة للوصول إلى المؤسسات الكبيرة. فهم يستخدمون تلك الشركات كنقطة انطلاق، خصوصًا أن مستوى الحماية الخاص بها يكون عادة أقل جودة.
هجوم متطور
الغرض الأساسي من هجوم التهديد المستعصي المتقدم (APT) هو الوصول المستمر إلى النظام. يحقق المتطفلون ذلك من خلال سلسلة من المراحل.
المرحلة الأولى: الوصول
مثلما يفتح لص بابًا عنوةً باستخدام عتَلَة، يدخل المجرمون الإلكترونيون عادة من خلال شبكة أو ملف مصاب أو بريد غير مهم أو ثغرة أمنية في أحد التطبيقات لإدخال برامج ضارة إلى الشبكة المستهدفة.
المرحلة الثانية: إنشاء مركز
يزرع المجرمون الإلكترونيون برنامجًا ضارًا يسمح بإنشاء شبكة من عناصر التسلل والأنفاق للتحرك داخل الأنظمة من دون اكتشافها. غالبًا ما يستخدم البرنامج الضار أساليب مثل إعادة كتابة التعليمات البرمجية لمساعدة المتطفلين على إخفاء آثارهم.
المرحلة الثالثة: تعميق الوصول
بمجرد الدخول، يستخدم المتطفلون أساليب مثل اختراق كلمات المرور للوصول إلى حقوق مسؤول النظام ليكون باستطاعتهم السيطرة على جزء أكبر من النظام والحصول على مستويات أعلى من الوصول.
المرحلة الرابعة: التحرك الجانبي
بعد التعمق داخل النظام باستخدام حقوق المسؤول، يستطيع المتطفلون التحرك كيفما أرادوا. يمكنهم كذلك محاولة الوصول إلى خوادم أخرى وغيرها من الأجزاء الآمنة في الشبكة.
المرحلة الخامسة: المشاهدة والتعلم والبقاء
من داخل النظام، يكتسب المتطفلون فهمًا كاملاً لكيفية عمل النظام والثغرات الأمنية به، ما يسمح لهم بجمع المعلومات التي يرغبون فيها كيفما أرادوا.
يمكن للمتطفلين إبقاء هذه العملية مستمرة — ربما إلى أجل غير مسمَّى — أو الانسحاب بمجرد تحقيق هدف محدد. وغالبًا ما يتركون مدخلاً سريًا مفتوحًا للوصول إلى النظام مرة أخرى في المستقبل.
العامل البشري
نظرًا إلى أن أساليب الحماية الإلكترونية الخاصة بالشركات تكون عادة أكثر تطورًا من تلك الخاصة بالمستخدم الفردي، غالبًا ما تتطلب وسائل الهجوم مشاركة نشطة من شخص في الداخل لتحقيق لحظة "الاختراق" المهمة للغاية. لكن هذا لا يعني مشاركة الموظف في الهجوم عن سابق معرفة. خلال العملية، ينشر المهاجم عادةً مجموعة من أساليب الهندسة الاجتماعية، مثل اختراق البيانات أو رسائل التصيُّد بالحربة.
تهديد باقٍ
يكمُن الخطر الحقيقي لهجمات التهديدات المستعصية المتقدمة في أنه حتى بعد اكتشافها وبعد اختفاء التهديد المباشر، من المحتمل أن يكون المتطفلون قد تركوا عدة مداخل سرية مفتوحة تسمح لهم بالعودة وقتما يريدون. إضافة إلى ذلك، لا يستطيع العديد من أساليب الحماية الإلكترونية التقليدية، مثل برامج مكافحة الفيروسات وجدران الحماية، توفير الحماية دائمًا من هذا النوع من الهجمات.
لا بد من نشر مجموعة متعددة من الإجراءات لزيادة فرص النجاح في الحماية المستمرة إلى أقصى حد، وتتراوح هذه الإجراءات ما بين حلول أمنية متطورة مثل Kaspersky Enterprise Security إلى قوة عاملة مدرَّبة وعلى دراية بأساليب الهندسة الاجتماعية.