content/ar-ae/images/repository/isc/2021/zero-day-exploit-1.jpg

معنى وشرح التهديد "الفوري"

إن لفظ "فوري" مصطلحٌ عام يعبر عن الثغرات الأمنية حديثة الاكتشاف، والتي يستطيع المتسللون استخدامها في مهاجمة الأنظمة. ويشير الوصف "فوري" إلى حقيقة أن البائع أو المطور قد علم للتو بالخلل، مما يعني أن عليه إصلاحه "على الفور". يقع الهجوم الفوري عندما يستغل المتسللون الخلل قبل أن تتاح للمطورين فرصة معالجته.

ويتم التعبير عن الوصف بـ "فوري" أحيانًا بعبارة "0 يوم". عادةً ما يتم استخدام كلمات "الثغرة" و"الاستغلال" و"الهجوم" جنبًا إلى جنب مع الوصف "فوري"، ومن المفيد فهم الفروق بينها:

  • يُقصد بالثغرات الأمنية الفورية ثغرات برمجية اكتشفها المهاجمون قبل أن يعلم البائع بها. ونظرًا لأن البائعين لا يكونون على دراية بها، فلا يوجد تصحيح يعالج الثغرات الأمنية الفورية؛ مما يجعل الهجمات محتملة النجاح.
  • يُقصد بالاستغلال الفوري الطريقة التي يستخدمها المتسللون لمهاجمة الأنظمة التي تحتوي على ثغرة أمنية لم يتم التعرف عليها من قبل.
  • يُقصد بالهجوم الفوري استخدام ثغرة أمنية فورية لإحداث ضرر أو سرقة البيانات من نظام مصاب بتلك الثغرة.

ما المقصود بالهجمات الفورية، وكيف تتم؟

غالبًا ما تحتوي البرامج على ثغرات أمنية يمكن للمتسللين استغلالها لإحداث الفوضى. ويبحث مطورو البرامج دائمًا عن الثغرات الأمنية من أجل "التصحيح"، أي تطوير حل يصدرونه في تحديث جديد.

ومع ذلك، في بعض الأحيان يسبق المتسللون أو الجهات الفاعلة الخبيثة مطوري البرامج إلى اكتشاف الثغرة الأمنية. ومتى ظلت الثغرة الأمنية مفتوحة، يمكن للمهاجمين كتابة التعليمات البرمجية وتنفيذها للاستفادة منها. وهذا ما يُعرف بعبارة "التعليمات البرمجية المُعطِّلة للأمان".

قد تؤدي التعليمات البرمجية المُعطِّلة للأمان إلى تعرض مستخدمي البرنامج للإيذاء؛ على سبيل المثال، من خلال سرقة الهوية أو وقوعهم ضحايا لأشكال أخرى من الجرائم الإلكترونية. بمجرد أن يحدد المهاجمون الثغرة الفورية، فإنهم يحتاجون إلى طريقة للوصول إلى النظام المصاب بالثغرة الأمنية. وغالبًا ما يفعلون ذلك من خلال بريد إلكتروني مصمم بالاستعانة بالهندسة الاجتماعية - أي بريد إلكتروني أو رسالة أخرى يفترض أنها من مراسل معروف أو مشروع، لكنها في الواقع مُرسلة من مهاجم. تحاول تلك الرسالة إقناع المستخدم بتنفيذ إجراء معين، مثل فتح ملف أو زيارة موقع ويب ضار. ويؤدي القيام بذلك إلى تنزيل برامج المهاجم الضارة، والتي تتسلل إلى ملفات المستخدم وتسرق البيانات السرية.

بمجرد أن تُعرف ثغرة أمنية، يسارع المطورون بمحاولة تصحيحها لإيقاف الهجوم. ومع ذلك، غالبًا ما لا يتم اكتشاف الثغرات الأمنية على الفور. فقد يستغرق الأمر في بعض الأحيان أيامًا أو أسابيع أو حتى شهورًا قبل أن يحدد المطورون الثغرة الأمنية التي أدت إلى الهجوم. وحتى عند إصدار تصحيح فوري، لا يسارع جميع المستخدمين في تنفيذه. في السنوات الأخيرة، بات المتسللون أسرع في استغلال الثغرات الأمنية في غضون وقت قصير من اكتشافها.

ويمكن بيع فرص الاستغلال على شبكة الإنترنت المظلمة مقابل مبالغ كبيرة من المال. بمجرد اكتشاف محاولات الاستغلال وتصحيحها، لا يشار إليها على أنها تهديد فوري.

وتعتبر الهجمات الفورية خطيرة بشكل خاص لأن الأشخاص الذين على دراية بها هم المهاجمون أنفسهم. وبمجرد اختراق المجرمين لشبكة، يمكنهم إما الهجوم فوريًا أو الانتظار حتى تحين اللحظة التي تمنحهم أكبر استفادة ممكنة من الهجوم.

من ينفِّذ الهجمات الفورية؟

تنقسم الجهات الفاعلة الخبيثة التي تتولى تنفيذ الهجمات الفورية إلى عدة فئات، على حسب دافعها لارتكاب هذا النشاط. على سبيل المثال:

  • مجرمو الإنترنت - هم المتسللون الذين يكون دافعهم عادة المكاسب المالية
  • المتسللون الناشطون - هم المتسللون الذين تحركهم قضية سياسية أو اجتماعية ويريدون أن تكون الهجمات مرئية للفت الانتباه إلى قضيتهم
  • التجسس على الشركات - يرتكبه متسللون يتجسسون على الشركات للحصول على معلومات عنها
  • الحرب الإلكترونية - هي تجسس الدول أو الجهات الفاعلة السياسية على البنية التحتية الإلكترونية لدولة أخرى أو مهاجمتها

من الضحايا المستهدفون من محاولات الاستغلال الفورية؟

يمكن للتسلل الفوري استغلال الثغرات الأمنية في مجموعة متنوعة من الأنظمة، بما في ذلك:

  • أنظمة التشغيل 
  • مستعرضات الويب 
  • تطبيقات المكتب
  • المكونات المفتوحة المصدر
  • الأجهزة والبرامج الثابتة
  • إنترنت الأشياء (IoT) 

نتيجة لذلك، تتسع دائرة الضحايا المحتملين:

  • الأفراد الذين يستخدمون نظامًا ضعيفًا، مثل المتصفح أو نظام التشغيل الذي يمكن للمتسللين استخدام الثغرات الأمنية به لاختراق الأجهزة وبناء شبكات بوت نت كبيرة
  • الأفراد الذين لديهم إمكانية الوصول إلى بيانات الأعمال القيمة، مثل الملكية الفكرية
  • الأجهزة والبرامج الثابتة وإنترنت الأشياء
  • الشركات والمؤسسات الكبرى
  • الوكالات الحكومية
  • الأهداف السياسية و/أو تهديدات الأمن القومي

من المفيد التمييز بين الهجمات الفورية المُستهدِفة مقابل نظيرتها غير المُستهدِفة:

  • تُشن الهجمات الفورية المُستهدِفة ضد أهداف ذات قيمة محتملة، مثل المنظمات الكبيرة أو الوكالات الحكومية أو الأشخاص البارزين.
  • في حين أنه عادة ما يتم شن الهجمات الفورية غير المُستهدِفة ضد مستخدمي الأنظمة الضعيفة، مثل نظام التشغيل أو المستعرضات المعيبة بالثغرات.

لكن حتى عندما لا يستهدف المهاجمون أفرادًا معينين، يظل من الممكن أن تتأثر أعداد كبيرة من الأشخاص بالهجمات الفورية، وعادةً ما يقع ذلك كضرر جانبي. ترمي الهجمات غير المُستهدِفة إلى أن تنال من أكبر عدد ممكن من المستخدمين، مما يعني أن بيانات المستخدم العادي يمكن أن تتعرض للهجمة.

كيفية تحديد الهجمات الفورية

نظرًا لأن الثغرات الأمنية الفورية يمكن أن تتخذ أشكالاً متعددة - مثل تشفير البيانات المفقود، والأذونات المفقودة، والخوارزميات المعطلة، والأخطاء، ومشكلات أمان كلمات المرور، وما إلى ذلك - فقد يصعُب اكتشافها. ونظرًا لطبيعة هذه الأنواع من الثغرات الأمنية، لا تتوفر المعلومات التفصيلية حول عمليات استغلال الثغرات الأمنية الفورية إلا بعد تحديد هذه الثغرات.

وقد تجد المؤسسات التي تتعرض للهجوم من خلال محاولة استغلال فورية حركة مرور غير متوقعة أو نشاط مسح مشبوهًا يمارسه عميل أو خدمة. تتضمن تقنيات اكتشاف العمليات الفورية ما يلي:

  1. استخدام قواعد البيانات الحالية للبرامج الضارة، وكيفية تصرفها، كمرجع. مع أن قواعد البيانات هذه يتم تحديثها بسرعة كبيرة ويمكن أن تكون مفيدة كنقطة مرجعية، بحكم التعريف، فإن محاولات الاستغلال الفورية جديدة وغير معروفة. وهذا يضع قيدًا على مدى الاستفادة الممكنة من قاعدة البيانات القائمة.
  2. بدلاً من ذلك، تبحث بعض التقنيات عن خصائص البرامج الضارة الفورية بناءً على كيفية تفاعلها مع النظام المستهدف. وبدلاً من فحص التعليمات البرمجية للملفات الواردة، تفحص هذه التقنية في التفاعلات التي تجريها هذه التعليمات مع البرامج الحالية وتحاول تحديد ما إذا كانت ناتجة عن إجراءات ضارة.
  3. يتزايد استخدام التعلم الآلي لاكتشاف البيانات من عمليات الاستغلال المسجلة مسبقًا لإنشاء خط أساس لسلوك النظام الآمن استنادًا إلى بيانات التفاعلات السابقة والحالية مع النظام. وكلما زادت البيانات المتاحة، أصبح الاكتشاف أكثر موثوقية.

وفي كثير من الأحيان، يتم استخدام مزيج من أنظمة الكشف المختلفة.

Zero day threats

أمثلة على الهجمات الفورية

يرد فيما يلي بعض الأمثلة الحديثة على الهجمات الفورية:

2021: الثغرة الأمنية الفورية بـ Chrome

في عام 2021، أصيب المستعرض Chrome من Google بسلسلة من التهديدات الفورية، مما تسبب في إصدار Chrome للتحديثات. وقد نشأت الثغرة الأمنية من خطأ في محرك جافا سكريبت V8 المستخدم في مستعرض الويب.

2020: Zoom

تم العثور على ثغرة أمنية في نظام مؤتمرات الفيديو الأساسي الشهير. انطوى مثال الهجوم الفوري هذا على دخول المتسللين إلى جهاز الكمبيوتر الخاص بالمستخدم عن بُعد إذا كان يستخدم إصدارًا قديمًا من Windows. فإذا كان الهدف مستخدمًا متمتعًا بصلاحيات المسؤول، أمكن للمتسلل الاستيلاء على جهازه بالكامل والوصول إلى جميع ملفاته.

2020: نظام التشغيل iOS من Apple

غالبًا ما يوصف نظام التشغيل iOS من Apple بأنه الأكثر أمانًا بين الأنظمة الأساسية للهواتف الذكية. ومع ذلك، في عام 2020، وقع iOS ضحية لمجموعتين على الأقل من الثغرات الأمنية الفورية، بما في ذلك الخطأ الفوري الذي سمح للمهاجمين باختراق هواتف iPhone عن بُعد.

2019: Windows من Microsoft بأوروبا الشرقية

ركز هذا الهجوم على امتيازات التصعيد المحلية، وهو جزء ضعيف من Microsoft Windows، واستهدف المؤسسات الحكومية في أوروبا الشرقية. ركزت محاول الاستغلال على ثغرة أمنية محلية في Microsoft Windows واستغلها لتشغيل تعليمات برمجية عشوائية وتثبيت التطبيقات وعرض البيانات وتغييرها على التطبيقات المخترقة. وبمجرد تحديد الهجوم وإبلاغ مركز الاستجابة الأمنية لـ Microsoft به، تم تطوير تصحيح له ونشره.

2017: Microsoft Word

عرضت محاولة الاستغلال الفوري هذه الحسابات المصرفية الشخصية للخطر. كان الضحايا أشخاصًا فتحوا عن غير قصد مستند Word ضار. عرض المستند مطالبة "تحميل المحتوى البعيد"، والتي تُظهر للمستخدمين نافذة منبثقة تطلب الوصول الخارجي من برنامج آخر. عندما نقر الضحايا على "نعم"، قام المستند بتثبيت برمجيات ضارة على أجهزتهم، استطاع على الحصول على بيانات اعتماد تسجيل الدخول إلى الخدمات المصرفية.

Stuxnet

لعل حادث Stuxnet أحد أشهر الأمثلة على الهجوم الفوري. تم اكتشاف فيروس الحواسب المتنقل الضار هذا لأول مرة في 2010 ولكن جذوره تمتد رجوعًا إلى 2005، وقد أصاب أجهزة الكمبيوتر التي تعمل بنظام التحكم المنطقي القابل للبرمجة (PLC). كان الهدف الأساسي هو محطات تخصيب اليورانيوم الإيرانية، لتعطيل برنامج إيران النووي. أصاب الفيروس المتنقل نظم التحكم المنطقي القابلة للبرمجة من خلال نقاط الضعف في برنامج Siemens Step7، مما تسبب في تنفيذ تلك النظم لأوامر غير متوقعة على آلات خط التجميع. وتم تحويل قصة Stuxnet لاحقًا إلى فيلم وثائقي بعنوان Zero Days.

كيف تحمي نفسك من الهجمات الفورية

للحماية ضد الهجمات الفورية والحفاظ على أمان أجهزة الكمبيوتر والبيانات، من الضروري لكل من الأفراد والمؤسسات اتباع أفضل ممارسات الأمن الإلكتروني. وتشمل هذه المعلومات:

المواظبة على تحديث جميع البرامج وأنظمة التشغيل. ذلك أن البائعين يضمِّنون تصحيحات الأمان لمعالجة الثغرات الأمنية التي تم تحديدها حديثًا في الإصدارات الجديدة. وبهذا تضمن لك المواظبة على التحديث المستمر أن تتمتع بأمان أكبر.

استخدام التطبيقات الضرورية فقط. كلما زاد عدد البرامج على جهازك، زادت نقاط الضعف المحتملة لديك. ويمكنك تقليل المخاطر على شبكتك باستخدام التطبيقات التي تحتاج إليها فقط.

استخدام جدار حماية. يلعب جدار الحماية دورًا أساسيًا في حماية نظامك من التهديدات الفورية. يمكنك ضمان أقصى قدر من الحماية عن طريق تكوينه للسماح بالمعاملات الضرورية فقط.

تثقيف المستخدمين داخل المؤسسات. يستفيد الكثير من الهجمات الفورية من الخطأ البشري. ومن ثم، سيساعد تعليم الموظفين والمستخدمين عادات السلامة والأمان الجيدة في الحفاظ على سلامتهم عبر الإنترنت وحماية المؤسسات من عمليات الاستغلال والتهديدات الرقمية الأخرى.

استخدام حل برنامج مكافحة فيروسات شامل. يساعد Kaspersky Total Security في الحفاظ على أمان أجهزتك عن طريق حظر التهديدات المعروفة وغير المعروفة.

مقالات ذات صلة:

ما المقصود بالهجوم الفوري؟ - التعريف والشرح

ما المقصود بـ "الفورية"، وما هي الثغرات الأمنية ومحاولات الاستغلال والهجمات؟ تعرف على الميزات الفورية، بما فيها الاكتشاف والوقاية الفوريان.
Kaspersky Logo