أدى اختراق SolarWinds Orion الأخير، الذي اخترق الوكالات والشركات الحكومية الأمريكية في جميع أنحاء العالم من خلال هجوم معقد على النظام البيئي لبرامجها، إلى دفع النقاش حول أمن سلسلة التوريد Supply chain إلى دائرة الضوء هذا العام. ومع ذلك، فإن اختراق سلسلة التوريد في حد ذاته ليس تكتيكًا جديدًا. لطالما استهدفت الجهات الفاعلة في مجال التهديد البائعين الخارجيين داخل سلاسل التوريد الرقمية والمادية للتسلل إلى المؤسسات الأكبر والأكثر قيمة، مثل الحكومات أو المنظمات متعددة الجنسيات.
وجد تقرير يعرض بالتفصيل أكبر تهديدات سلسلة التوريد للشركات في عام 2019 والنصف الأول من عام 2020 أن التحذيرات من مخاطر الأمن السيبراني لسلسلة التوريد زادت بنسبة 80% في الربع الثاني من عام 2020. إلى جانب ذلك، مع ارتفاع هجمات سلسلة التوريد بنسبة 78% في عام 2018، فليس من المستغرب أن نشهد ارتفاعًا في هجمات سلسلة التوريد التي تستهدف شركات الرعاية الصحية في الأشهر الأخيرة. غالبًا ما يكون الشركاء والموردون رابطًا ضعيفًا ضمن أمن المؤسسة، خاصةً عند اقترانهم بالطبيعة بعيدة المدى لخرق SolarWinds.
هناك أربع نصائح يمكن للشركات اتباعها على الفور للحد بشكل كبير من تأثير هجوم سلسلة التوريد المحتمل، وكذلك إرساء الأساس لاستراتيجيات الحماية الاستباقية طويلة المدى:
1. حماية الوصول المميز Protect privileged access
يعد ضمان حماية كل جزء من سلسلة التوريد الخاصة بك من المتسللين أمرًا ضروريًا لبقاء الأعمال في المناخ الحالي، خاصة وأن مجرمي الإنترنت يواصلون إنشاء ناقلات هجوم جديدة واستخدامها على أساس يومي.
أدى المشهد السيبراني المتغير باستمرار وهجوم SolarWinds إلى تركيز متجدد على الدور الذي تلعبه إدارة الوصول المتميز في حماية كل من الشركات وسلاسل التوريد الخاصة بها. تدور المحادثة الآن حول ما إذا كان الوقت قد حان لبدء الأنشطة التجارية في تقليل مستوى وصول الموردين والمسئولين الخارجيين إلى بيانات الشركة الهامة. يجب أن تكون إجابة المنظمات "نعم" بشكل لا لبس فيه.
تعد الحسابات وبيانات الاعتماد المميزة أسطح هجوم شائعة داخل المؤسسات اليوم. لذلك، يعد تحديد وإدارة الوصول المميز أمرًا بالغ الأهمية لتعطيل سلسلة الهجوم وإيقاف هجوم سلسلة التوريد المحتمل من الوصول إلى الهدف المقصود. إن تنفيذ ممارسات وحلول إدارة الوصول المتميزة القوية عبر سلاسلها يعني أن الشركات يمكن أن تمنع الجهات الفاعلة في التهديد من الحصول على موطئ قدم في مؤسسة حيث يمكنهم سرقة وإساءة استخدام الهويات وبيانات الاعتماد الشرعية، وتصعيد الامتيازات، والتحرك أفقياً للوصول إلى الأصول والبيانات القيمة من المنظمات الكبيرة ذات التذاكر الكبيرة داخل السلسلة.
وجد تقرير يعرض بالتفصيل أكبر تهديدات سلسلة التوريد للشركات في عام 2019 والنصف الأول من عام 2020 أن التحذيرات من مخاطر الأمن السيبراني لسلسلة التوريد زادت بنسبة 80% في الربع الثاني من عام 2020. إلى جانب ذلك، مع ارتفاع هجمات سلسلة التوريد بنسبة 78% في عام 2018، فليس من المستغرب أن نشهد ارتفاعًا في هجمات سلسلة التوريد التي تستهدف شركات الرعاية الصحية في الأشهر الأخيرة. غالبًا ما يكون الشركاء والموردون رابطًا ضعيفًا ضمن أمن المؤسسة، خاصةً عند اقترانهم بالطبيعة بعيدة المدى لخرق SolarWinds.
هناك أربع نصائح يمكن للشركات اتباعها على الفور للحد بشكل كبير من تأثير هجوم سلسلة التوريد المحتمل، وكذلك إرساء الأساس لاستراتيجيات الحماية الاستباقية طويلة المدى:
1. حماية الوصول المميز Protect privileged access
يعد ضمان حماية كل جزء من سلسلة التوريد الخاصة بك من المتسللين أمرًا ضروريًا لبقاء الأعمال في المناخ الحالي، خاصة وأن مجرمي الإنترنت يواصلون إنشاء ناقلات هجوم جديدة واستخدامها على أساس يومي.
أدى المشهد السيبراني المتغير باستمرار وهجوم SolarWinds إلى تركيز متجدد على الدور الذي تلعبه إدارة الوصول المتميز في حماية كل من الشركات وسلاسل التوريد الخاصة بها. تدور المحادثة الآن حول ما إذا كان الوقت قد حان لبدء الأنشطة التجارية في تقليل مستوى وصول الموردين والمسئولين الخارجيين إلى بيانات الشركة الهامة. يجب أن تكون إجابة المنظمات "نعم" بشكل لا لبس فيه.
تعد الحسابات وبيانات الاعتماد المميزة أسطح هجوم شائعة داخل المؤسسات اليوم. لذلك، يعد تحديد وإدارة الوصول المميز أمرًا بالغ الأهمية لتعطيل سلسلة الهجوم وإيقاف هجوم سلسلة التوريد المحتمل من الوصول إلى الهدف المقصود. إن تنفيذ ممارسات وحلول إدارة الوصول المتميزة القوية عبر سلاسلها يعني أن الشركات يمكن أن تمنع الجهات الفاعلة في التهديد من الحصول على موطئ قدم في مؤسسة حيث يمكنهم سرقة وإساءة استخدام الهويات وبيانات الاعتماد الشرعية، وتصعيد الامتيازات، والتحرك أفقياً للوصول إلى الأصول والبيانات القيمة من المنظمات الكبيرة ذات التذاكر الكبيرة داخل السلسلة.
2. تبني نهج الدفاع في العمق mbracing a Defense-in-Depth approach
حتى الشركات التي تفتخر بأقوى الأنظمة البيئية الأمنية تدرك أنه لا يوجد حل سحري للأمن السيبراني، وأنه لا يوجد بائع أو أداة واحدة يمكنها منع الهجوم تمامًا. على الرغم من ذلك، وفقًا لتقرير عام 2020، تفتقر 43% من الشركات الصغيرة والمتوسطة في المملكة المتحدة والولايات المتحدة إلى أي نوع من خطط الدفاع عن الأمن السيبراني على الإطلاق.
لا يجب أن يحدث الأمن السيبراني دفعة واحدة، ويجب أن يكون رحلة. وكجزء من هذا، فإن تبني عقلية "افتراض الانتهاك assume breach"، حيث تقبل الشركة هجومًا سينجح وتبني دفاعاتها وفقًا لذلك، أمر حيوي للوضع الأمني الجيد. تستدعي هذه العقلية طبقات متعددة من الأمان (أو الدفاع المتعمق)، مثل مضاد الفيروسات من الجيل التالي، وإدارة الوصول المتميز القوي والتطبيق، وتصحيح نظام التشغيل.
بالنسبة لأولئك الذين لديهم خطة أو أنظمة للأمن السيبراني قليلة أو معدومة- أو أولئك الذين يمتلك شركاؤهم أو موردوهم نظام أمان بيئي ضعيف- من المهم الاستثمار أولاً في ضوابط الأمان التي تقلل أكبر قدر من المخاطر. بمجرد أن يتم وضع هذه العناصر في مكانها، يمكن بعد ذلك التركيز على بقية مجموعة الأمان ، مما يضمن تغطية جميع أسطح الهجوم.
3. باستمرار فرض الامتياز الأقل في كل مكان Consistently enforcing least privilege everywhere
الخروقات أمر لا مفر منه، بغض النظر عن مدى أمان النظام البيئي الأمني للمؤسسة. إن اتباع مبدأ الامتياز الأقل (Principle of Least Privilege PoLP) والقضاء على الامتيازات والأذونات غير الضرورية يسمح للشركات باتخاذ خطوات للحد من تأثير الهجوم.
PoLP هو مفهوم يتم فيه منح المستخدمين الحد الأدنى من مستوى الوصول اللازم لأداء وظائفهم بكفاءة، وهو أمر أساسي في أمن معلومات الشركة وأصولها عالية القيمة. يمكن أيضًا تطبيق المبدأ على التطبيقات والأنظمة والأجهزة المتصلة مثل أجهزة الكمبيوتر المحمولة التي تتطلب أذونات تتجاوز مجرد وصول الإنسان.
يعتبر فرض أقل الامتيازات على الأنظمة إجراء أمانًا من أفضل الممارسات لأنه يقلل من سطح هجوم المؤسسة ويساعد في إيقاف انتشار البرامج الضارة. يجب أن تفكر الشركات بجدية في تنفيذ هذه الممارسة لتقليل تأثير الخرق حقًا.
الخروقات أمر لا مفر منه، بغض النظر عن مدى أمان النظام البيئي الأمني للمؤسسة. إن اتباع مبدأ الامتياز الأقل (Principle of Least Privilege PoLP) والقضاء على الامتيازات والأذونات غير الضرورية يسمح للشركات باتخاذ خطوات للحد من تأثير الهجوم.
PoLP هو مفهوم يتم فيه منح المستخدمين الحد الأدنى من مستوى الوصول اللازم لأداء وظائفهم بكفاءة، وهو أمر أساسي في أمن معلومات الشركة وأصولها عالية القيمة. يمكن أيضًا تطبيق المبدأ على التطبيقات والأنظمة والأجهزة المتصلة مثل أجهزة الكمبيوتر المحمولة التي تتطلب أذونات تتجاوز مجرد وصول الإنسان.
يعتبر فرض أقل الامتيازات على الأنظمة إجراء أمانًا من أفضل الممارسات لأنه يقلل من سطح هجوم المؤسسة ويساعد في إيقاف انتشار البرامج الضارة. يجب أن تفكر الشركات بجدية في تنفيذ هذه الممارسة لتقليل تأثير الخرق حقًا.
4. مراقبة سرقة أوراق الاعتماد المميزة Monitoring for privileged credential theft
إن العناية الكبيرة التي يتخذها الفاعلون في التهديد لتجنب الاكتشاف تجعل من الصعب بشكل خاص اكتشاف تسلل سلسلة التوريد. يُعتقد أن هجوم SolarWinds، على سبيل المثال، قد بدأ في ربيع عام 2020. استخدم الفاعلون المهددون عددًا من تقنيات المراوغة للغاية لتجنب اكتشاف نشاطهم وإخفائه، أثناء التحرك بشكل جانبي. وتشمل هذه استخدام قطارة الذاكرة فقط التي لم تكن مرئية من قبل، والتي يطلق عليها اسم TEARDROP. من خلال مطابقة أسماء المضيف الخاصة بهم في البنية التحتية للقيادة والتحكم مع تلك الموجودة في بيئة الضحية، تمكن الممثل أيضًا من الاندماج وتجنب الاكتشاف. تعني مراقبة الجلسات المميزة أن المؤسسات يمكنها بسهولة اكتشاف السلوك المشبوه والأنماط التي تشير إلى سرقة بيانات الاعتماد والرد عليها.
كما هو موضح بواسطة SolarWinds، تمثل سلسلة التوريد ناقل هجوم بالغ الأهمية. القيادة بعقلية "افتراض الانتهاك"، وتأمين البيانات والأنظمة الحساسة من خلال الوصول المميز، وتطوير فهم أفضل للأصول الأكثر أهمية، يعني أن المؤسسات يمكنها ضمان ردود أفعال أسرع وأكثر حسماً للأمن التنظيمي. سيساعد هذا في التخفيف من حدة هجوم سلسلة التوريد المحتمل. إلى جانب ذلك، من خلال المراقبة الاستباقية لسرقة بيانات الاعتماد المتميزة وامتلاك أنظمة إدارة وصول مميزة، يمكن للشركات تعزيز نظام الأمان البيئي الخاص بها، مما يجعل من الصعب على المهاجمين تحقيق أهدافهم النهائية.
تحتاج المنظمات إلى العمل الآن لتقوية وضعها الأمني العام، فضلاً عن وضع سلسلة التوريد الخاصة بها. اتباع الخطوات المذكورة أعلاه، وفهم أن الأمن السيبراني رحلة ، يجب أن يقلل من التعرض للانتهاكات المحتملة مع وضع الأسس لاستراتيجيات استباقية طويلة الأجل للمساعدة في منع تسلل سلسلة التوريد والتسوية المميزة.
إن العناية الكبيرة التي يتخذها الفاعلون في التهديد لتجنب الاكتشاف تجعل من الصعب بشكل خاص اكتشاف تسلل سلسلة التوريد. يُعتقد أن هجوم SolarWinds، على سبيل المثال، قد بدأ في ربيع عام 2020. استخدم الفاعلون المهددون عددًا من تقنيات المراوغة للغاية لتجنب اكتشاف نشاطهم وإخفائه، أثناء التحرك بشكل جانبي. وتشمل هذه استخدام قطارة الذاكرة فقط التي لم تكن مرئية من قبل، والتي يطلق عليها اسم TEARDROP. من خلال مطابقة أسماء المضيف الخاصة بهم في البنية التحتية للقيادة والتحكم مع تلك الموجودة في بيئة الضحية، تمكن الممثل أيضًا من الاندماج وتجنب الاكتشاف. تعني مراقبة الجلسات المميزة أن المؤسسات يمكنها بسهولة اكتشاف السلوك المشبوه والأنماط التي تشير إلى سرقة بيانات الاعتماد والرد عليها.
كما هو موضح بواسطة SolarWinds، تمثل سلسلة التوريد ناقل هجوم بالغ الأهمية. القيادة بعقلية "افتراض الانتهاك"، وتأمين البيانات والأنظمة الحساسة من خلال الوصول المميز، وتطوير فهم أفضل للأصول الأكثر أهمية، يعني أن المؤسسات يمكنها ضمان ردود أفعال أسرع وأكثر حسماً للأمن التنظيمي. سيساعد هذا في التخفيف من حدة هجوم سلسلة التوريد المحتمل. إلى جانب ذلك، من خلال المراقبة الاستباقية لسرقة بيانات الاعتماد المتميزة وامتلاك أنظمة إدارة وصول مميزة، يمكن للشركات تعزيز نظام الأمان البيئي الخاص بها، مما يجعل من الصعب على المهاجمين تحقيق أهدافهم النهائية.
تحتاج المنظمات إلى العمل الآن لتقوية وضعها الأمني العام، فضلاً عن وضع سلسلة التوريد الخاصة بها. اتباع الخطوات المذكورة أعلاه، وفهم أن الأمن السيبراني رحلة ، يجب أن يقلل من التعرض للانتهاكات المحتملة مع وضع الأسس لاستراتيجيات استباقية طويلة الأجل للمساعدة في منع تسلل سلسلة التوريد والتسوية المميزة.
