الثلاثاء , 7 ديسمبر 2021

73% من الاختبارات الناجحة في اختراق شبكات الشركات في 2017 استغلّت ثغرات في تطبيقات الويب

كشف تحليل لاختبارات اختراق أجراها باحثون لدى شركة كاسبرسكي لاب على شبكات تابعة لعدد من الشركات خلال العام 2017، عن أن نحو ثلاثة أرباع (73%) الاختراقات الناجحة قد تمت عبر اللجوء إلى تطبيقات ويب ضعيفة ذات ثغرات تقنية. وتم تلخيص النتائج في تقرير جديد أصدرته الشركة بعنوان “التقييم الأمني لنظم المعلومات المؤسسية في 2017”.

وتتسم البنى التحتية لتقنية المعلومات بتفرّد كل واحدة وتميزها عن الأخرى، ويتم التخطيط لشنّ أخطر الهجمات على البنى التحتية بالتركيز على مواطن الضعف في شركة معينة. ويقوم قسم خدمات الأمن في “كاسبرسكي لاب” كل عام بتقديم عرض عملي لسيناريوهات تتناول شنّ هجمات محتملة، وذلك لمساعدة الشركات في أنحاء العالم على تحديد مواطن الضعف والثغرات الموجودة في شبكاتها، وتجنّب الأضرار المالية والتشغيلية وتلك التي تمسّ السمعة. ويهدف تقرير اختبار الاختراق السنوي إلى جعل أخصائيي أمن تقنية المعلومات على دراية بالثغرات ونقاط الضعف الهامّة وعوامل الهجوم الموجّهة ضد أنظمة المعلومات الحديثة للشركات، وبالتالي تعزيز مستويات حماية الأمن الإلكتروني في شركاتهم.

وتُظهر نتائج البحث التي أوردها تقرير 2017 تقييماً منخفضاً أو منخفضاً للغاية للمستوى الإجمالي للحماية من المهاجمين الخارجيين، لدى 43% من الشركات التي خضعت للتحليل. وقد تمّ تحقيق 73% من الهجمات الخارجية الناجحة التي شُنّت على محيط الشبكات في الشركات المشاركة في الاختبارات في 2017 باستخدام تطبيقات ويب ضعيفة. وكان الهجوم على واجهات الاستخدام الإدارية المتاحة للعموم ببيانات اعتماد ضعيفة أو افتراضية، عاملاً آخر شائعاً لاختراق محيط الشبكات في الشركات. ونجح خبراء كاسبرسكي لاب في 29% من مشاريع اختبارات الاختراق الخارجي، في الحصول على أعلى امتيازات الدخول المتاحة في البنية التحتية التقنية بأكملها، بما يشمل الوصول بمستوى الإدارة إلى أهم أنظمة الأعمال والخوادم ومعدات الشبكات ومحطات العمل الخاصة بالموظفين، وذلك باعتبارها “مهاجماً” مكانه الإنترنت، وليست لديه معرفة داخلية بالشركة المستهدفة.

وقد وجد الخبراء أن أمن المعلومات في شبكات الشركات، كان أسوأ وضعاً. إذ وُجد أن مستوى الحماية ضد المهاجمين الداخليين منخفض أو منخفض للغاية في 93% من جميع الشركات التي تم تحليلها. وتم الحصول على أعلى امتيازات الدخول في الشبكات الداخلية في 86% من الشركات التي تم تحليلها، في حين لم تكن هناك حاجة إلى أكثر من خطوتين لنجاح الاختراق في 42% من الشركات. وتمّ في المعدل تحديد ناقلي هجوم إلى ثلاثة يمكن من خلالها الحصول على أعلى امتيازات الدخول في كل مشروع اختبار. وبمجرد حصول المهاجمين عليها، يمكنهم التمتع بالسيطرة الكاملة على الشبكة برمّتها، وبما يشمل أنظمة الأعمال المهمة.

تم الكشف عن وجود الثغرة سيئة السمعة MS17-010، المستغلّة على نطاق واسع في كل من الهجمات الموجهة الفردية وهجمات طلب الفدية مثل WannaCry وNotPetya/ExPetr، في 75% من الشركات التي خضعت لاختبارات الاختراق الداخلي وذلك بعد نشر المعلومات حول هذه الثغرة. ولم يقم بعض هذه الشركات بتحديث أنظمة “ويندوز” لديها حتى بعد فترة وصلت إلى 8 أشهر من إصدار التصحيح البرمجي للثغرة. وبشكل عام، وُجدت برمجيات قديمة على محيط الشبكات في 86% من الشركات التي تم تحليلها، وفي الشبكات الداخلية لدى 80% من الشركات، ما يدل على أن العديد من الشركات قد تصبح أهدافاً سهلة للمهاجمين بسبب ضعف تنفيذ بعض العمليات الأساسية في أمن تقنية المعلومات.

ووفقاً لنتائج مشاريع تقييم الأمن، وُجد أن تطبيقات الويب الخاصة بالجهات الحكومية كانت الأقلّ أمناً، إذ وُجدت ثغرات عالية الخطورة في جميع التطبيقات (100%). وعلى النقيض من ذلك، كانت تطبيقات التجارة الإلكترونية أفضل حماية من أي اختراقات خارجية محتملة؛ إذ وُجدت ثغرات عالية الخطورة لدى أكثر بقليل من ربع هذه التطبيقات.

وبهذه المناسبة، قال سيرغي أوخوتين، كبير محللي الأمن في قسم خدمات الأمن لدى كاسبرسكي لاب، إن التنفيذ النوعي للتدابير الأمنية البسيطة مثل الفلترة الشبكية وسياسة كلمات المرور “من شأنه أن يُعزّز مستوى الأوضاع الأمنية في الشبكات المؤسسية”، موضحاً أنه كان بالإمكان، على سبيل المثال “منع نصف نواقل الهجوم من خلال تقييد الوصول إلى واجهات الإدارة”.

وتنصح كاسبرسكي لاب الشركات، من أجل تحسين الأوضاع الأمنية في شبكاتها، باتباع الخطوات التالية:
إيلاء كل من أمن تطبيقات الويب، وسرعة التحديثات البرمجية لتصحيح الثغرات، وحماية كلمة المرور، والضوابط الخاصة بجدران الحماية، اهتماماً خاصاً.

إجراء تقييمات أمنية منتظمة للبنية التحتية التقنية تشمل التطبيقات.

التأكّد من الكشف عن حوادث أمن المعلومات في أسرع وقت ممكن؛ فقد يساعد الكشف في الوقت المناسب عن أنشطة التهديدات في مراحل مبكرة من الهجوم والتجاوب السريع معها، في منع الضرر الناتج عن الهجوم أو التخفيف منه بشكل كبير. وقد ترغب الشركات التي توجد بها عمليات راسخة للتقييم الأمني وإدارة الثغرات وكشف حوادث أمن المعلومات، في إجراء اختبارات من نوع Red Teaming، التي تساعد في التحقّق من كيفية حماية البنى التحتية بشكل جيد من المهاجمين المهرة الذين يعملون بأقصى قدر من التخفي، بالإضافة إلى المساعدة في تدريب فرق خدمة أمن المعلومات لتحديد الهجمات والرد عليها في ظروف واقعية.

عن مروة رزق