49% من ضحايا برامج الفدية يفقدون بياناتهم قبل اكتشاف الهجوم

49% من ضحايا برامج الفدية يفقدون بياناتهم قبل اكتشاف الهجوم

لطالما كانت برامج الفدية مشكلة مؤلمة، لكن تقريرًا جديدًا يكشف عن مدى فشل آليات الكشف: ما يقرب من نصف ضحايا برامج الفدية سُرقت بياناتهم قبل أن يدركوا حتى أن مهاجمًا كان داخل شبكتهم. وقد قفز هذا الرقم بشكل حاد من 31% في العام السابق، مما يشير إلى أن المخترقين لا يزدادون جرأة فحسب، بل أصبحوا أكثر صبرًا وتخفياً بكثير.

يبلغ متوسط فترة البقاء قبل الاكتشاف حاليًا حوالي 2.5 أسبوع. أي 17 يومًا أو أكثر يمكن للمهاجم خلالها أن يرسم خريطة أنظمتك بهدوء، ويحدد ملفاتك الأكثر قيمة، وينقلها خارج الشبكة، كل ذلك قبل أن ينطلق أي إنذار.

التهديد الحقيقي هو تسريب البيانات، وليس مجرد التشفير

يتصور معظم الناس برامج الفدية كحدث دراماتيكي: تُغلق الملفات، وتظهر مذكرة فدية، وتتوقف العمليات. لكن هذه الصورة أصبحت قديمة بشكل متزايد. فقد تحولت مجموعات برامج الفدية الحديثة إلى استراتيجية من مرحلتين: أولاً، يسرقون البيانات. ثم، عندما ينشرون التشفير، يهددون ضحاياهم بتهديدين منفصلين: ادفع لاستعادة الوصول، وادفع مرة أخرى لمنع نشر البيانات المسروقة.

هذا النهج، الذي يُطلق عليه غالبًا الابتزاز المزدوج، يغير الحسابات بالكامل. فحتى المؤسسات التي لديها أنظمة نسخ احتياطي قوية يمكنها استعادة الملفات المشفرة بسرعة، لا تزال تواجه تعرض سجلات العملاء الحساسة أو المستندات المالية أو الملكية الفكرية للخطر. يصبح التشفير تقريبًا ثانويًا عند هذه النقطة.

بقاء سرقة البيانات سمة ثابتة في أنشطة الابتزاز عبر أكثر من نصف الحالات عامًا بعد عام يؤكد أن هذا ليس اتجاهًا عابرًا. إنها أصبحت الخطة الافتراضية الآن.

لماذا يزداد تأخر آليات الكشف

تشير الفجوة المتزايدة بين الاختراق والاكتشاف إلى عدة مشاكل متقاربة.

أولاً، يستخدم المهاجمون بشكل متزايد أدوات مشروعة موجودة بالفعل داخل بيئة الهدف. صُممت برامج الأمان للإبلاغ عن توقيعات البرمجيات الخبيثة غير المألوفة، ولكن عندما يستخدم المهاجم أدوات النظام المضمنة لنقل الملفات، غالبًا ما تبدو هذه الإجراءات مماثلة لسلوك المسؤول العادي.

ثانيًا، لا تزال العديد من المؤسسات تعتمد بشكل كبير على دفاعات الحافة. تحمي جدران الحماية والأنفاق المشفرة البيانات أثناء النقل، ولكن بمجرد أن يحصل المهاجم على بيانات اعتماد صالحة أو يثبت موطئ قدم داخل الشبكة، فإن أدوات الحافة لا تقدم رؤية تُذكر لما يحدث جانبيًا.

ثالثًا، الإرهاق من التنبيهات مشكلة حقيقية وموثقة جيدًا في مراكز العمليات الأمنية. عندما تولد أنظمة الكشف آلاف التنبيهات منخفضة الدقة يوميًا، تدفن إشارات الاختراق الحقيقية. يعرف المهاجمون ذلك ويوقتون أنشطتهم لتندمج في الفترات المزدحمة بالضوضاء.

هذا أيضًا هو السبب في أن الاعتماد على أداة واحدة، بما في ذلك شبكة VPN، يخلق شعورًا زائفًا بالأمان. تشفر شبكة VPN حركة المرور بين جهازك والإنترنت، مما يحمي البيانات أثناء النقل ويخفي عنوان IP الخاص بك. لكنها لا تفعل شيئًا لكشف أو حظر البرمجيات الخبيثة التي تعمل بالفعل على جهاز مخترق، ولا تقدم أي رؤية لسلوك المهاجم بمجرد سرقة بيانات الاعتماد. اختراق بيانات youX في أستراليا، حيث تمكن المهاجمون من الوصول إلى بيانات هوية حساسة في شركة تكنولوجيا مالية، يوضح كيف يمكن للاختراقات المتطورة تجاوز الحمايات السطحية والتسبب في عواقب واقعية متتالية.

ما يعنيه هذا بالنسبة لك

سواء كنت محترفًا فرديًا أو جزءًا من فريق تكنولوجيا المعلومات في مؤسسة، فإن متوسط فترة البقاء البالغ 2.5 أسبوع يجب أن يعيد تشكيل طريقة تفكيرك في الأمان.

لم يعد السؤال الوحيد هو "كيف أبقي المهاجمين خارجًا؟" بل هو أيضًا "ما مدى السرعة التي سأعرف بها إذا كان شخص ما موجودًا بالفعل، وماذا سيجد؟"

بالنسبة للأفراد والشركات الصغيرة، هذا يعني:

• افترض أن بيانات الاعتماد قد تتعرض للاختراق. استخدم المصادقة متعددة العوامل في كل مكان، خاصة على البريد الإلكتروني والتخزين السحابي وأي أدوات وصول عن بُعد. بيانات الاعتماد المسروقة هي نقطة الدخول الأكثر شيوعًا.
• قيّد ما يمكن الوصول إليه. ليس كل نظام أو مشاركة ملفات يجب أن يكون قابلاً للوصول من كل جهاز. تقييد الوصول يقلل ما يمكن للمهاجم الوصول إليه بعد الدخول الأولي.
• راقب الحالات الشاذة، وليس فقط التهديدات المعروفة. أدوات كشف نقطة النهاية التي تُبلغ عن السلوك غير العادي، مثل حساب مستخدم يصل فجأة إلى ملفات لم يلمسها من قبل، أكثر قيمة من مضادات الفيروسات القائمة على التوقيع وحدها.
• ضع خطة للاستجابة للحوادث. معرفة الخطوات الدقيقة التي يجب اتخاذها في الساعة الأولى من الاختراق المؤكد يحد من الضرر بشكل كبير. تكتشف العديد من المؤسسات أنه ليس لديها عملية موثقة حتى تحتاج إليها بشدة.
• قم بتجزئة النسخ الاحتياطية. النسخ الاحتياطية المخزنة على نفس الشبكة مثل الأنظمة الأساسية يمكن تشفيرها أو حذفها من قبل المهاجمين خلال فترة بقائهم. النسخ الاحتياطية غير المتصلة بالإنترنت أو غير القابلة للتغيير تشكل طبقة حماية منفصلة.

تظل شبكات VPN أداة مفيدة حقًا، خاصة لتأمين حركة المرور على الشبكات غير الموثوقة وحماية الخصوصية من المراقبة السلبية. لكن دورها هو طبقة واحدة من بين طبقات عديدة، وليس دفاعًا كاملاً.

بناء استراتيجية دفاع متعددة الطبقات

يعتبر الوضع الأمني الأكثر فعالية أن الكشف أولوية مساوية للوقاية. فالوقاية ليست مثالية أبدًا، وتؤكد البيانات أن المهاجمين يتحسنون في تجاوزها. المؤسسات والأفراد الذين يستثمرون فقط في إبقاء المهاجمين خارجًا، دون فعل أي شيء لاكتشافهم بمجرد دخولهم، يكونون فعليًا عميانًا خلال الفترة الأكثر أهمية.

الدفاع متعدد الطبقات يعني الجمع بين أدوات الحافة، ومراقبة نقاط النهاية، وتحليل حركة مرور الشبكة، والضوابط الصارمة للوصول، وتثقيف المستخدمين. لا يوجد منتج واحد يسد جميع الثغرات، ولهذا السبب يتحدث قطاع الأمان عن الدفاع المتعمق بدلاً من أي حل سحري واحد.

الارتفاع الحاد في سرقة البيانات قبل الاكتشاف هو إشارة واضحة على أن بيئة التهديدات قد نضجت. يعمل المهاجمون بمزيد من الانضباط والصبر أكثر من أي وقت مضى. الرد المناسب هو مطابقة هذا الانضباط بدفاعات متعددة الطبقات ومدروسة بنفس القدر، بدلاً من شراء أدوات رد الفعل بعد وقوع الحادث.

ابدأ بتدقيق البيانات الحساسة التي تحتفظ بها، وأين توجد، ومن يمكنه الوصول إليها. هذه الرؤية وحدها تضعك في مقدمة معظم الأهداف.