ما المقصود بالتهديد المتقدم المستمر (APT)؟

يُعد التهديد المتقدم المستمر (APT) نوعًا من الهجمات الأمنية المعقدة والمركّبة، ويستهدف أصولًا محددة داخل المؤسسات. التهديد المتقدم المستمر (APT) هو جهة غير مصرح لها تتسلل إلى بيئة المؤسسة، وتنتقل بين الأنظمة للحصول على الأصول، وتنقل المعلومات الحساسة، وتحاول الخروج دون أن يتم اكتشافها. تُعد التهديدات المتقدمة المستمرة (APT) من التحديات الأمنية نظرًا لأساليبها المعقدة ونهجها الدقيق في الاستهداف. يتطلب الحماية من التهديدات المتقدمة المستمرة (APTs) نهجًا متعدد الأنظمة ومتعدد التخصصات.

يمكن أن يكون لهجوم التهديد المتقدم المستمر (APT) أحد الأهداف التالية.

سرقة الملكية الفكرية

تشمل البيانات الحساسة الخاصة بالمؤسسة الملكية الفكرية مثل الأسرار التجارية أو الحكومية، والتعليمة البرمجية المحمية، والمراسلات الخاصة. تسعى مجموعات APT من خلال الوصول الأولي إلى هذه البيانات إلى الاستحواذ على معلومات بشكل غير مشروع، لاستخدامها في تحقيق تفوق تنافسي أو لإلحاق الضرر بشبكة الجهة المستهدفة.

الاحتيال المالي

يمكن للتهديدات المتقدمة المستمرة (APTs) السيطرة على أنظمة وعمليات الأعمال، مما يمنح الطرف غير المصرح له الوصول المتميز اللازم لارتكاب الاحتيال المالي. تشمل هذه الأنشطة تنفيذ تحويلات مالية من حسابات المستخدمين أو الاستيلاء على بيانات سرية بهدف التظاهر بأنهم أفراد يمتلكون صلاحيات عالية في الشركة.

هجوم فدية 

قد يكون هدف حدث التهديد المتقدم المستمر (APT) الناجح هو تنفيذ هجوم فدية. في هذا السيناريو، تقوم مجموعة APT بتشفير البيانات الحساسة وتقييد وصول المستخدمين إلى الشبكة المستهدفة. قد تطالب الجهات غير المصرح لها بفدية مرتفعة مقابل منح المفتاح اللازم لفك تشفير البيانات. 

الإضرار بسمعة المؤسسة

الهدف المحدد لبعض مجموعات التهديدات المتقدمة المستمرة (APT) هو التسبب في ضرر بالسمعة للمؤسسة من خلال تسريب المعلومات إلى العامة.

تركز التهديدات المتقدمة المستمرة (APTs) فقط على الأهداف التي تُعد عالية القيمة. التهديدات المتقدمة المستمرة (APT) أكثر تعقيدًا من حيث الاكتشاف من التهديدات السيبرانية النموذجية، نظرًا لعدم التزامها بالأنماط المعتادة. لأن هذه الأحداث الأمنية لا تتبع مسارًا أمنيًا شائعًا أو إطارًا زمنيًا موحدًا أو توقيعًا معروفًا، فإن اكتشافها والتعامل معها يمثل تحديًا أكبر. 

عادةً ما تتسم الأحداث الأمنية العادية بزيادة مفاجئة في نشاط قواعد البيانات أو حركة البيانات، في حين أن التهديدات المتقدمة المستمرة (APT) تتبع أسلوبًا أكثر تروّيًا يجعل اكتشافها أصعب.

التهديدات المتقدمة المستمرة (APT) لا تسعى دائمًا إلى مكاسب مباشرة، ما يمنحها المجال لبناء تهديد شامل على مدى أطول. عبر التسلل بصمت داخل الأنظمة، قد تبقى التهديدات المتقدمة المستمرة (APTs) في بيئة الشركة لفترة ممتدة دون أن تُكتشف، إلى أن تختار الجهة المهاجمة وقت التنفيذ.

إليك أبرز السمات والدلالات المرتبطة بالتهديدات المتقدمة المستمرة (APT).

أحداث معقدة متعددة المراحل تهدف إلى الحصول على الوصول

تتضمن التهديدات المتقدمة المستمرة (APT) هجمات مكوّنة من عدة مراحل، وعادةً ما تسير وفق نمط خطوات متكرر.

أولًا، يقوم طرف غير مصرح له بإجراء استطلاع على المؤسسة المستهدفة وأنظمتها لجمع معلومات حول الأصول والثغرات المحتملة. بعد ذلك، يعمل المهاجمون على إعداد طرق لاستغلال نقاط الضعف المكتشفة.

بمجرد أن يخترق الفاعل غير المصرح له أنظمة الشركة، ينتقل عبر مكونات النظام المختلفة. يحقق المهاجمون ذلك عن طريق الوصول إلى صلاحيات مرتفعة باستخدام أساليب مثل الهندسة الاجتماعية والتنقل عبر تقسيمات الشبكة وغيرها من الوسائل. كما قد يلجأون إلى تشتيت طاقم الأمن لإبعادهم عن النشاط الحقيقي. يتم إعداد خوادم القيادة والتحكم لتنسيق الاتصالات.

بمجرد الوصول إلى الأصول المستهدفة، غالبًا ما يقوم المهاجم باستخراج البيانات أو التلاعب بالنظام المتأثر، وفقًا لهدف العملية. تقوم بعض التهديدات المتقدمة المستمرة (APT) بعد تنفيذ المرحلة الأخيرة بمحاولة طمس أي دليل على وجودها، لمنع اكتشاف الواقعة.

يتم تنفيذها بواسطة مجموعة تهديد متقدم مستمر (APT) ذات دافع قوي

تصدر هجمات التهديدات المتقدمة المستمرة (APT) عن أطراف غير مصرح لها، ذات دوافع عالية، تعمل عادة ضمن مجموعات منظمة. تتنوع أشكال هذه المجموعات، وتشمل التهديدات المتقدمة المستمرة (APT) المدعومة من دول، ومنظمات الجريمة الإلكترونية الاحترافية، ومجموعات الهاكرز الناشطين، أو فرق صغيرة من القراصنة المأجورين.

على الرغم من أن أحد الأهداف الرئيسية للتهديدات المتقدمة المستمرة (APT) هو تحقيق مكاسب مالية، فإن بعض هذه المجموعات تنفذ هجمات APT لجمع معلومات حساسة، أو تسريب بيانات، أو تخريب البنية التحتية، أو التأثير على سمعة المؤسسات. 

حدث يمتد على فترة زمنية طويلة ويؤثر في أنظمة متعددة

قد تمتد المراحل السابقة لفترة طويلة قبل اكتشافها أو التدخل لإيقافها. نظرًا للطبيعة المستهدفة لهجمات التهديدات المتقدمة المستمرة (APT)، تقوم المجموعات بالتخطيط بعناية للتحرك بوتيرة بطيئة لتجنّب إثارة الانتباه أو إطلاق التنبيهات في الأنظمة. في بعض الحالات، تبقى التهديدات المتقدمة المستمرة (APT) غير مكتشفة لعدة أشهر أو سنوات قبل تنفيذ الخطوات اللازمة لتحقيق الهدف الأصلي.

مصممة لعدم ترك أي أثر

تتمثل المرحلة الأخيرة لتحركات جهة التهديد المتقدم المستمر (APT) في إخفاء أي أثر للهجوم، باستخدام تقنيات مثل حذف الملفات، أو تعديل السجلات، أو إخفاء بعض جوانب قاعدة البيانات. عندما تنخفض فرص اكتشاف فريق الأمن السيبراني لأنشطة غير طبيعية داخل النظام، يتمكن الفاعلون غير المصرح لهم من الانسحاب دون أن يواجهوا تبعات.

بالإضافة إلى ذلك، من خلال إخفاء أدلة وجودها، تستطيع التهديدات المتقدمة المستمرة (APTs) أيضًا إبقاء أسلوب التسلل الخاص بها سريًا. تمكنهم هذه المغادرة الخفية من تكرار أسلوبهم البطيء والمخطط بعناية ضد منظمات أخرى مستهدفة.

ذكاء التهديدات المتقدمة المستمرة (APT) هي شكل متخصص من ذكاء التهديدات يوجّه المؤسسات بشأن الحملات المستمرة لهجمات APT، والجهات غير المصرح لها المعروفة بتنفيذها، وتقنيات الهندسة الاجتماعية الحالية التي تستخدمها. 

تختلف استخبارات التهديدات المتقدمة المستمرة (APT) عن استخبارات التهديدات العامة من حيث المصادر، وتقنيات التثليث، والتقارير، والتحليل، والتطبيقات.

هناك العديد من الإجراءات الأمنية التي يمكن اتخاذها لمنع التهديدات المتقدمة المستمرة (APTs) والتصدي لها بفعالية.

ذكاء التهديدات

تعتبر أنظمة استخبارات التهديدات من الأساليب الفعّالة التي تساهم في الحد من التهديدات المتقدمة المستمرة (APTs). تقوم استخبارات التهديدات بجمع وتحليل بيانات الأمن من مصادر داخلية وخارجية لتوفير صورة متكاملة عن الحالة الراهنة والطرق المعتادة للهجمات. من خلال استخدام البيانات العامة والخاصة، يمكنك تحديد الخصوم الرئيسيين المحتملين في التهديدات المتقدمة المستمرة (APTs) والتكتيكات المتبعة وكيفية الدفاع ضدها.

يمكن للمؤسسات جمع المعلومات الاستخباراتية ووضع استراتيجيات من خلال تطبيق منصات استخبارات التهديدات، ومصادر ذكاء التهديدات مفتوحة المصدر، وأُطر مثل MITRE ATT&CK.

التسجيل والقياس عن بعد

يوفّر التسجيل التفصيلي لأنظمة الأمن السيبراني، والبنية الشبكية، ونقاط وصول الأصول، ومراقبة الأجهزة الطرفية، وحالة الأنظمة العامة، مرجعًا متكاملاً يمكّن خبراء الأمن من فهم بيئة العمل بالكامل. إن الاحتفاظ بسجلات دقيقة واستخدام التحليلات المتقدمة يعزز القدرة على اكتشاف الأنماط غير الطبيعية ويدعم تحليل الأحداث الأمنية غير المتوقعة بعد وقوعها.

التقنية

تتوفر تقنيات متعددة تساعدك في تحسين القدرة على رصد التهديدات المتقدمة المستمرة (APTs) والتعامل معها والحد من تأثيرها. إليك عددًا من التقنيات المحورية في منظومة التكنولوجيا الأمنية:

• أنظمة كشف التسلل (IDS): تقنيات تُستخدم لمراقبة حركة الشبكة والتعرف على الأنشطة غير الطبيعية.
• أنظمة إدارة معلومات وأحداث الأمان (SIEM): نظام يجمع ويحلل بيانات من مصادر أمنية متعددة للكشف الفوري عن التهديدات والتعامل مع الحوادث الأمنية المفاجئة.
• الكشف والاستجابة على مستوى النقاط الطرفية (EDR): يتتبع أجهزة النقاط الطرفية في المؤسسة، ويكشف عن أي نشاط غير معتاد، ويقوم بالاستجابة له بشكل آلي.

أمان متعدد الطبقات

إلى جانب تدابير الحماية من التهديدات المتقدمة المستمرة (APT)، يمكنك أيضًا تطبيق استراتيجية أمنية متعددة الطبقات لتقليل احتمالية وقوع حدث أمني غير متوقع. بإمكانك اعتماد تقسيم الشبكة، وتخزين البيانات في مواقع آمنة، وتقييد الوصول عبر أقل الامتيازات، وفرض التحقق متعدد العوامل على جميع حسابات الشركة، إلى جانب استخدام تشفير قوي للبيانات سواء أثناء تخزينها أو نقلها. كما أن إجراء التحديثات الدورية لبرامج الشبكة والنظام والتطبيقات يساهم في الحد من استغلال الثغرات الأمنية المعروفة.

التدريب

من بين أكثر الوسائل التي تستغلها التهديدات المتقدمة المستمرة (APTs) والحوادث السيبرانية المفاجئة للدخول هي التفاعل مع موظفي الشركة. عبر حيل التصيد أو أساليب الهندسة الاجتماعية، قد تُستهدف المؤسسة من خلال إقناع أحد الموظفين بالنقر على رابط ضار، مما يفتح بابًا للاختراق. بفضل تطور الذكاء الاصطناعي، باتت تقنيات الانتحال المتقدمة أكثر انتشارًا واستخدامًا.

بإمكانك تنظيم برامج توعية أمنية بشكل دوري للمساعدة في التصدي لتهديدات الهندسة الاجتماعية في بيئة العمل. يجب أن يكون موظفوك قادرين على التعرف على العلامات الأولية للتهديد المتقدم المستمر (APT) والإبلاغ عن الأحداث لفريق الأمان لديك.

توفر AWS مجموعة من الخدمات التي تهدف إلى حماية المؤسسات من التهديدات المتقدمة والمستمرة. يحدث AWS Security Hub نقلة نوعية في أمان السحابة عبر توفير رؤية موحدة، وتحليلات قابلة للتطبيق، وإجراءات مؤتمتة.

تقدم Amazon GuardDuty خدمة مدارة ومرنة للكشف عن التهديدات في بيئة السحابة. يمكن لـ Amazon GuardDuty تحديد التهديدات وربطها والاستجابة لها بسرعة من خلال التحليل الآلي وتوصيات العلاج المخصصة للمساعدة في تقليل تعطل الأعمال. تقدم Amazon GuardDuty كشف تهديدات ذكي للمساعدة في حماية حسابات AWS وأعباء العمل والبيانات الخاصة بك.

يكتشف Amazon Inspector تلقائيًا أعباء العمل مثل مثيلات Amazon Elastic Compute Cloud‏ (Amazon EC2)، وصور الحاويات، ووظائف AWS Lambda، بالإضافة إلى مستودعات التعليمة البرمجية، ويفحصها بحثًا عن ثغرات البرامج والتعرضات غير المقصودة للشبكة.

تكتشف Amazon Macie البيانات الحساسة باستخدام تعلّم الآلة ومطابقة الأنماط، وتوفّر معلومات حول مخاطر أمان البيانات، وتتيح الحماية الآلية ضد هذه المخاطر.

تساعدك خدمة الاستجابة للحوادث الأمنية في AWS على الاستعداد للأحداث الأمنية والاستجابة لها والتعافي منها. تعمل خدمة الاستجابة للحوادث الأمنية على أتمتة المراقبة والتحقيق، وتسريع التواصل والتنسيق، وتوفير وصول مباشر على مدار الساعة إلى فريق AWS للاستجابة لحوادث العملاء (CIRT).

ابدأ في حماية مؤسستك من التهديدات المتقدمة المستمرة (APT) على AWS من خلال إنشاء حساب مجاني اليوم.