مكافي لابس: 93 % من مدراء مراكز العمليات الأمنية يواجهون كميات كبيرة من التحذيرات الأمنية وليس بإمكانهم تحديد أنواع التهديدات المحتملة

كشفت إنتل سكيورتي عن تقريرها الخاص بالتهديدات الأمنية بعنوان McAfee Labs Threats Report: December 2016 والذي تقدم من خلاله معلومات هامة عن كيفية استخدام الشركات لمراكز العمليات الأمنية SOCs ، وأهم تطورات برمجيات انتزاع الفدية الخبيثة بالإضافة إلى الكشف عن أحدث الطرق التي يستخدمها مجرمو الإنترنت لابتكار البرمجيات الخبيثة التي يصعب اكتشافها وذلك من خلال إدخال شفرات أو أكواد مشروعة في فيروسات التروجان (أحصنة طروادة) والاستفادة منها لإخفاء هذه الفيروسات لأطول فترة ممكنة. كما يوفر التقرير الجديد أهم تفاصيل النمو الذي تشهده برمجيات انتزاع الفدية وبرمجيات الأجهزة الجوالة الخبيثة وبرمجيات أو وحدات الماكرو بالإضافة إلى البرمجيات الخبيثة التي تُصيب نظام التشغيل Mac وغيرها من التهديدات الأمنية الخاصة بالربع الثالث 2016.
وقال فينسنت ويفر، نائب رئيس مكافي لابس التابعة لإنتل سكيورتي: "تكمن إحدى أكبر المشكلات في قطاع أمن المعلومات في تحديد الأنشطة الخبيثة التي تقوم بها الأكواد أو الشفرات التي تُصمم خصيصاً للعب دور البرمجيات القانونية والمشروعة. وكلما كان الكود المستخدم يبدو أكثر موثوقية، كان من الصعب على برمجيات الحماية اكتشافه. لقد تطورت برمجيات انتزاع الفدية بشكل مستمر لمواجهة برامج الحماية خلال 2016، وباتت الحاجة إلى إخفاء الأنشطة الضارة تلعب دوراً واضحاً في تعزيز عمليات تحويل التطبيقات المشروعة إلى أحصنة طروادة. تضع هذه التغييرات عبئاً أكبر من أي وقت مضى على مركز العمليات الأمنية في أي شركة، حيث يتطلب النجاح هنا خطوات عدة منها تعزيز القدرة على اكتشاف الهجمات المحتملة بسرعة ومطاردتها والقضاء عليها".
مراكز العمليات الأمنية خلال عام 2016
قامت إنتل سكيورتي في منتصف 2016 بتمويل دراسة بحثية أولية هدفها الحصول على فهم أعمق للطريقة التي تستخدم بها الشركات مراكز العمليات الأمنية SOCs، وكيف شهدت طرق الاستخدام هذه تغييرات عدة مع مرور الوقت وكيف ستبدو عليه في المستقبل. ومن خلال مقابلة ما يقارب 400 متخصص في أمن المعلومات من شركات ومناطق وقطاعات متنوعة، قدمت الدراسة معلومات هامة عن مراكز العمليات الأمنية للعام 2016 أهمها:
كميات كبيرة من التحذيرات الأمنية: الشركات بشكل عام غير قادرة على التحقيق بشكل كافٍ في 25 % من التحذيرات الأمنية التي تواجهها، مع عدم وجود تفاوت كبير بين البلدان أو أحجام الشركات.
مشكلة الفرز: في حين أن معظم المُستطلعين ضمن الدراسة قد اعترفوا بأعداد التحذيرات الأمنية الهائلة، إلا أن 93 % منهم غير قادرين على تحديد أو فرز التهديدات الأمنية التي يواجهونها.
زيادة كبير في الحوادث الأمنية: 67 % من المشاركين أقروا بوجود زيادة هائلة في الحوادث الأمنية إما بسبب زيادة الهجمات أو بسبب تراجع قدرات الشركات على المراقبة.
السبب وراء هذه الزيادة: 57 % من المشاركين الذين أشاروا إلى وجود زيادة في الحوادث الأمنية قالوا بأنهم يتعرضون للهجمات في معظم الأحيان، في حين أن 73 % منهم يعتقدون بأنهم قادرون على اكتشاف الهجمات على نحو أفضل.
التنبيهات حول التهديدات الأمنية: معظم حالات الكشف عن التهديدات الأمنية في أكثر الشركات (64٪) تأتي من نقاط المراقبة الأمنية التقليدية مثل تطبيقات مكافحة البرمجيات الضارة وجدران الحماية وأنظمة منع الاختراق.
الحماية الاستباقية مقابل الحماية التفاعلية: غالبية المشاركين يدعون بأنهم يحققون تقدماً نحو عمليات أمنية أمثل تتمتع بقدرات حماية استباقية، لكن 26 % منهم ما يزالون يعملون من خلال نموذج الحماية التفاعلي مع عمليات أمنية مخصصة يمكن من خلالها تحديد التهديدات الأمنية والاستجابة للحوادث.
الخصوم: أشارت أكثر من ثلثي التحقيقات (68%) في عام 2015 إلى مسؤولية طرف معين عن الهجمات، وهي إما هجمات خارجية مستهدفة أو تهديدات داخلية.
أسباب هذه التحقيقات: أشار المشاركون إلى أن البرمجيات الخبيثة العامة تتسبب بشكل رئيسي (30%) في الحوادث الأمنية التي تؤدي إلى إجراء التحقيقات، يليها الهجمات الإلكترونية الموجهة بنسبة (17%)، وهجمات استهداف الشبكات بنسبة (12%)، والحوادث الأمنية العرضية الداخلية التي تسفر عن تهديدات محتملة أو حالات فقدان للبيانات (12%)، والتهديدات الخبيثة الداخلية (10%)، والهجمات التي تقوم بها الدول بشكل مباشر (7%)، بالإضافة إلى هجمات الدول الغير مباشرة أو هجمات النضال الإلكتروني (7%).
كما أشار المشاركون في الدراسة إلى أن الأولوية القصوى في تطوير وتحسين مراكز العمليات الأمنية تتمثل في تعزيز القدرة على الاستجابة للهجمات الأمنية المؤكدة، وذلك يتضمن تعزيز القدرة على التنسيق والقضاء على هذه الهجمات والتعلم منها والتأكد من عدم تكرارها.
ظهور توجه "تحويل البرمجيات المشروعة إلى أحصنة طروادة"
قدمت الدراسة أيضاً مزيداً من التفاصيل حول الطرق المتعددة التي يعتمدها المهاجمون في دس فيروسات التروجان أو أحصنة طروادة في طيات الشفرات الموثوقة عموماً في سبيل إخفاء نواياهم والحصول على مبتغاهم. وقد حددت مكافي لابس مجموعة متنوعة من الأساليب المتبعة لتحقيق ذلك منها:
استغلال التطبيقات بشكل سريع ومباشر أثناء تحميلها على طريقة هجمات (الرجل في الوسط) التي تنفذ في الشبكات اللاسلكية.
تجميع الملفات "النظيفة" مع تلك التي تحتوي على الفيروسات باستخدام ملفات معينة أو أدوات ربط.
تعديل الملفات من خلال استخدام برامج الباتش مع الحفاظ على الاستخدام الأصلي لهذه الملفات.
القيام بالتعديل من خلال شفرات موثوقة ومفهومة ومفتوحة المصدر.
استهداف الكود الرئيسي خصوصاً ضمن مجموعة الأكواد المعاد توزيعها.
عام 2016 هو عام برمجيات انتزاع الفدية الخبيثة
بلغ عدد البرمجيات الخبيثة الجديدة الخاصة بانتزاع الفدية حتى نهاية الربع الثالث من عام 2016 مايقارب 3,860,603 ، بزيادة بنسبة 80 % مقارنة بأعداد البرمجيات من ذات النوع مع بداية العام. وبالإضافة إلى ما شهدته هذه البرمجيات من زيادة هائلة في العدد، فقد حققت تطورات عديد على الصعيد التقني خلال عام 2016 ، ومن تلك التطورات زيادة القدرة على التشفير الكلي أو الجزئي لأقراص التخزين، وتشفير المواقع الإلكترونية التي تستخدمها التطبيقات المشروعة، وزيادة قدرة هذه البرمجيات على مواجهة برامج الحماية وتوفير أدوات متطورة لتسليم الفدية، بالإضافة إلى التطورات التي تشهدها برمجيات انتزاع الفدية التي تُقدم كخدمات.
وأضاف ويفر بقوله: "توقعنا خلال العام الماضي أن يستمر النمو الكبير الذي شهدته برمجيات انتزاع الفدية حتى عام 2016. ولطالما سيتم ذكر العام 2016 على أنه عام البرمجيات الخاصة بانتزاع الفدية مع هذه الزيادة الكبيرة في أعداد هجمات هذا النوع من البرمجيات الخبيثة وعدد الهجمات البارزة التي استحوذت على اهتمام الإعلام بشكل واسع، بالإضافة إلى ما شهدته هذه الهجمات من تطورات تقنية ملحوظة. لكن على الجانب الآخر، شهدنا تعاوناً كبيراً بين قطاع حماية المعلومات والجهات القانونية بالإضافة إلى التعاون الفعال بين أبرز شركات قطاع الحماية الذي بدأنا نرى نتائجه الواضحة في تعزيز المواجهة ضد مجرمي فضاء الإنترنت. وكنتيجة لكل ذلك، نتوقع أن يتراجع نمو برمجيات انتزاع الفدية الخبيثة بشكل ملحوظ خلال عام 2017".
التهديدات الأمنية خلال الربع الثالث من عام 2016
سجلت شبكة مكافي لابس الخاصة بمعلومات التهديدات العالمية خلال الربع الثالث من 2016 تحولات كبيرة لأنشطة برمجيات انتزاع الفدية وبرمجيات الأجهزة الجوالة الخبيثة وبرمجيات أو وحدات الماكرو على النحو التالي:
برمجيات انتزاع الفدية الخبيثة: ارتفع العدد الإجمالي لهذه البرمجيات بنسبة 18 بالمئة خلال الربع الثالث من 2016 وبنسبة 80% منذ بداية العام نفسه.
برمجيات نظام التشغيل Mac الخبيثة: ارتفعت أعداد هذه البرمجيات بنسبة 637 بالمئة في الربع الثالث، وكانت هذه الزيادة بسبب نوع واحد من برمجيات الإعلانات وهو "باندلور". لكن تبقى أعداد البرمجيات الخبيثة الخاصة بنظام التشغيل ماك منخفضة جداً مقارنة مع غيرها من المنصات.
البرمجيات الخبيثة الجديدة: تراجع نمو هذه البرمجيات بنسبة 21 بالمئة خلال الربع الثالث.
برمجيات الأجهزة الجوالة الخبيثة: قمنا بفهرسة أكثر من مليوني تهديد من تهديدات البرمجيات الخبيثة الجوالة الجديدة في الربع الثالث. وقد تراجعت معدلات الإصابة بهذه البرمجيات في إفريقيا وآسيا بنسبة 1.5 بالمئة، بينما ارتفعت في أستراليا بنسبة 2 بالمئة في الربع الثالث.
برمجيات أو وحدات ماكرو الخبيثة: ماتزال برمجية الماكرو التي تصيب برنامج الأوفيس (برنامج Word في المقام الأول) تشهد نمواً أكبر وقد اكتشف هذه البرمجية لأول مرة في الربع الثاني.
برمجيات بوت نت المزعجة: تضاعف عدد برمجية Necurs الخبيثة خلال الربع الثاني بما يقرب من سبع أضعاف، لتصبح البرمجية الأكثر ازعاجاً خلال الربع الثالث. وقد شهدنا أيضاً تراجعاً في نشاط البرمجية المزعجة Kelihos والتي شكلت أولى حالات انخفاض في أعداد البرمجيات الخبيثة خلال عام 2016.
انتشار برمجيات البوت نت في جميع أنحاء العالم: حافظت البرمجية الخبيثة Wapomi التي تنشر الديدان وأدوات التحميل، على المرتبة الأولى خلال الربع الثالث على الرغم من تراجعها بنسبة 45 بالمئة خلال الربع الثاني. بينما تراجعت برمجية انتزاع الفدية الخبيثة CryptXXX التي يتم خدمتها عن طريق شبكات البوت نت، لتحل في المركز الثاني وقد كانت مسؤولة عن 2 بالمئة من الأنشطة الخبيثة خلال الربع الرابع.