آليات لتحديد مصادر الجرائم السيبرانية ومواجهتها لحماية بيانات الأفراد والشركات

المصدر:

دبي - الإمارات اليوم

التاريخ: 07 ديسمبر 2023

قال الدكتور جيمي كولير، كبير مستشاري استخبارات التهديدات في "مانديانت"، وشانين رونيس، مدير أول استخبارات التهديدات في "مانديانت": "غالبا ما يُنظر إلى الجرائم السيبرانية على أنها أمر لا مفر منه، لكن من المهم جدا أن ينسب التهديد إلى جهة ثابتة للتمكن من التعامل معه، ولكن إلى أي مدى؟. هذه عملية أكثر تعقيداً وتنطوي عادة على أبعاد معقدة، بدءاً من العثور على رابط بين مجموعات التهديد إلى تحديد هويات الخصوم. وتمثل أنماط وأشكال إسناد الجرائم السيبرانية إلى جهات التهديد المعنية تحديات ومتطلبات متعددة الأوجه. ينبغي على المحلّلين المعنيين بإسناد هذه الجرائم مراعاة الموازنة بين العديد من الأولويات و الالتزام بالمواعيد النهائية المطلوبة من قادة الأعمال، ونسبة اكتمال البيانات، ومستوى ثقتهم بتقييماتهم".

المستويات الثلاثة لجهات التهديد وتحليل نسب الجرائم السيبرانية لها

وأضافا أنه نادراً ما تقوم جهات البحث الأمني بإسناد التهديدات إلى أفراد أو مؤسسات محددة. فعليها مثلا القيام أولاً بجمع مؤشرات منفصلة مثل عناوين الإنترنت (IP)، أو النطاقات المرتبطة بها بطريقة ما، وهو ما يُعرف عادةً بالإسناد التكتيكي.
وبمجرد تحقيق ذلك، يبدأ الباحثون في استنباط خصائص الأنشطة التخريبية هذه لتكوين صورة واضحة عن النمط التشغيلي. تشمل الأنماط التشغيلية عبارات مثل "مجموعة سائبة مكونة في الغالب من هواة"، أو "مجموعة منظمة من المجرمين مع إمكانية الوصول إلى أدوات متطورة".
ومن خلال فهم هذه القدرات والسلوكيات والدوافع وغيرها، تتمكن الجهات المعنية من توقع ما إذا كانت الجهة الفاعلة مقدمة على تنفيذ تهديدها ومعرفة الكيفية ودوافع الهجوم ثم التصدي للتهديدات بشكل استباقي. وبمجرد تكوين صورة واضحة للطريقة التي يتم بها تفعيل التهديد، يأتي دور الإسناد الاستراتيجي، أي هوية مجموعة التهديد أو جهة التهديد، وهو ما يشمل هوية الفرد أو العناصر التي ينتمي إليها، أو قد تكون هويته مرتبطة بالجهة الراعية للتهديد، أو المستفيد النهائي من عمليات التهديد.
ولا يمكن تحقيق أي مستوى من مستويات إسناد التهديدات إلى جهة ما دون تحديد الإسناد التكتيكي أولاً، لأنه الدليل الرئيسي الذي تعتمد عليها جميع التحليلات المستقبلية. وينبغي على فرق الأمن بعدها أن تقرّر إن كانت هناك قيمة في الاستمرار في استثمار الوقت والموارد لتكوين مستوى أعلى من الإسناد. ويجب أن ينبع هذا القرار من السؤال الأساسي حول مستوى الإسناد الضروري لحماية شبكة العميل بشكل أفضل و تحقيق الأهداف الأمنية. وبمعنى آخر، ما هي الإجراءات التي يمكن لفريق الأمن اتخاذها بناءً على قدراته وأدواته وإمكانياته، وما هو مستوى الإسناد الضروري لتسهيل تلك الإجراءات؟

مقايضات الإسناد
وقال الدكتور جيمي كولير، كبير مستشاري استخبارات التهديدات في "مانديانت"، وشانين رونيس، مدير أول استخبارات التهديدات في "مانديانت": "يتطلّب تقييم الإسناد العديد من الأبعاد والقرارات الشائكة التي ينبغي أن يتخذها قادة الأمن، ومن بينها تخصيص الموارد حيث تتطلب مستويات الإسناد مستويات مختلفة من الموارد. في حين أن العديد من استخبارات التهديدات السيرانية تتمحور حول البنية التحتية للمهاجم لتنفيذ الإسناد التكتيكي، إلا أن الإسناد الاستراتيجي يتطلب المزيد من الموارد، بما في ذلك:
• عدد الموظفين الإضافيين ووقت المحللين.
• رؤية واضحة ومفصّلة للتهديدات والقدرة على جمع بيانات قيّمة.
• حاجة أكبر للإجراءات الرسمية المنظمة لضمان العمل المتّسق.

وقد لا تحتاج المؤسسات الصغيرة التي تركز على اكتشاف الأنشطة الخبيثة وحظرها للانتقال إلى خطوات أبعد من الإسناد التكتيكي. وفي الوقت نفسه، قد ترغب المؤسسات الكبيرة بفرقها الأمنية واستخباراتها القوية في تطوير قدرتها على تحديد الأنماط التشغيلية حتى تتمكن من تحديد مجموعات التهديد بصورة استباقية واتخاذ الإجراءات اللازمة للحماية من هجماتها. وأخيراً، قد تهتم الجهات الحكومية بالإسناد الاستراتيجي لاتخاذ إجراءات سياسية ضد جهات التهديد نفسها. وفي جميع الحالات، من المهم أن تفهم فرق الأمان متطلباتها ومحدوديتها أولاً قبل اتخاذ قرار بشأن مستوى الإسناد الذي يجب اتباعه، لأن هذا يسمح باتباع نهج مرن بما فيه الكفاية لتحقيق الأمن.

الاستقلال التحليلي
هناك عناصر مختلفة تؤثر على نهج الإسناد، بما في ذلك مصادر استخبارات التهديدات السيبرانية، والوكالات الحكومية، والباحثين المستقلين، وهو ما يطرح سؤالاً مهماً حول مدى الثقة التي ينبغي أن نضعها بالآخرين. وتجاهل المعلومات الاستخبارية الخاصة بالطرف الثالث يؤدي لصورة غير مكتملة عن الواقع. وعلى العكس من ذلك، فإن وضع جهات التهديد التابعة لكيانات مختلفة تحت مسمّىً واحد يؤدي بسرعة إلى الارتباك وعدم الدقة. على سبيل المثال، أصبحت مجموعة التهديد “Winnti” متخلخلة بشكل متزايد بسبب منهجيتها غير المتسقة، والتجمعات المشكوك فيها، ونقص التعاون بين المنظمات الأمنية المختلفة.
تولي مانديانت اهتماماً خاصاً لأبحاث التهديدات التي تنشرها مجموعة واسعة من المصادر والهيئات، كما يركز محللونا على اكتشاف أي تشابك في مجموعاتنا. ومع ذلك، نلتزم بإسناد أي تهديد وفقاً لتحليلنا المستقل والبيانات المجموعة من مصادر أولية.

مستويات الثقة
ويجب أن تتجنب استخبارات التهديدات السيبرانية إصدار أحكام طائشة حول الإسناد، إلا أن الإفراط في الحذر قد يعيق العمل. في نهاية المطاف، إذا كان من الصعب دمج مجموعات التهديدات، سيواجه أصحاب الأعمال صعوبة في معالجة التهديدات الرئيسية في الوقت المناسب. وتمارس "مانديانت إنتيليجينس" نهجاً مرناً من خلال استخدام مجموعات التهديد غير المصنفة (والتي يُشار إليها باسم مجموعات UNC)، وهو ما يتيح لنا الكشف عن معلومات مفيدة حول التهديدات بسرعة ودون الحاجة الفورية إلى تنفيذ عملية إسناد طويلة ومتشعّبة. على سبيل المثال، بعد وقت قصير من اختراق سلسلة توريد "SolarWinds" في عام 2020، أصدرت مانديانت إنتيليجينس تفاصيل حول جهة التهديد التي تقف وراء حملة "UNC2452". بعد عدة أشهر، تم دمج هذه المجموعة غير المصنفة مع APT29، لكن استخدام مجموعة التهديد غير المصنفة مكّن مانديانت من نشر معلومات استخباراتية قابلة للتنفيذ في أسرع وقت ممكن.
من جهة أخرى، يعني هذا عدم حاجة محللي مانديانت إنتيليجينس إلى الإسراع في عمليات الإسناد والدمج، وقد يستغرق ذلك وقتاً طويلاً بسبب الدقة التحليلية المطلوبة للتحقق بشكل مستقل بناءً على مجموعات البيانات الخاصة بنا. وتكشف مانديانت أيضاً عن إسناد بثقة منخفضة ضمن مانديانت أدفانتج، حيث نقوم بتفصيل مجموعات التهديدات المدمجة والتهديدات التي تحتوي على رابط مشتبه به. يتيح ذلك للعملاء متابعة تقييمات الإسناد الخاصة بشركة مانديانت مع تطورها بمرور الوقت.
ويجب على فرق استخبارات التهديدات التمييز بين مستويات الثقة ومواصفاتها. على سبيل المثال، قد يكون لدى فريق استخبارات التهديدات ثقة عالية في أن عملية سيبرانية معينة قد تمّت برعاية حكومة معينة، ولكن لديه ثقة أقل حول جهة التهديد السيبراني المعنية.

الظهور العلني
وفي حين أن ما يُنشر على المدوّنات المعنية باستخبارات التهديدات السيبرانية يستقطب اهتمام الكثيرين، خاصة عندما تنجح بكشف الغطاء عن أحدث حملة تهديدات مستمرة ومتطورة، فإن نشر أبحاث التهديدات يتضمن العديد من العناصر بما في ذلك: السرّية، ردة فعل الضحية، والسياق الجيوسياسي الحالي، والآثار المترتبة على عمليات الاستجابة الحالية، وردود الفعل المحتملة لجهة التحديد. في النهاية، سواء كان الأمر يتعلق بالعقوبات الإلكترونية الحكومية، أو مصدر استخبارات تهديدات سيبرانية يفضح مجموعة تهديدات مستمرة ومتطورة، فإن اتباع نهج مدروس ومتسق أمر بالغ الأهمية.

التكتيكات التحليلية
وتلعب التكتيكات المنظمة دوراً مهماً في تحسين دقة وجودة التقييمات التحليلية. ومع ذلك، قد تكون باهظة التكلفة وتتطلب الكثير من الوقت والموارد. ولذلك فإن أفضل طريقة للنظر إلى دور التكتيكات التحليلية هي أنها عبارة عن مقياس متدرج يمكن رفعه أو خفضه وفقاً للمتطلبات. على سبيل المثال، قد ترغب فرق استخبارات التهديدات السيبرانية في تكثيف استخدامها للتكتيكات التحليلية لعمليات الإسناد المهمة التي لها آثار كبيرة على مؤسستها أو عند التعامل مع معلومات ضعيفة الجودة.

أي أسلوب إسناد يناسبك؟
يتضمّن الإسناد الكثير من القرارات الصعبة الأبعاد المعقدة. ولكن ينبغي أن يُنظر إلى إسناد الأنشطة السيبرانية على أنه عامل تمكين وليس قيداً يعيق الحركة. تطرح مقايضات الإسناد أسئلة محرجة أمنياً، إلا أن الإجابة عادة ما تكون واضحة عندما نسأل ببساطة: ما هو الأفضل لمؤسستنا؟ تنجح عمليات الإسناد عندما ترتبط بمتطلبات تنظيمية واضحة وحالات استخدام محددة ونتائج واضحة. قد لا يتضمن هذا السياق عنصر الجذب والتشويق الذي تتمتع به عمليات وكالات الاستخبارات الحكومية، ولكنه أكثر فعالية لمؤسستك ولأصحاب العمل.

تويتر