جائحة الظل: المخاطر الحالية والمستقبلية لبرامج الفدية على الشركات

في خضم المعركة المستمرة ضد COVID-19 ، تواجه الحكومات والشركات العالمية تهديدًا فيروسيًا آخر - تهديد لا أحد محصن منه. تصاعدت هجمات برامج الفدية على مدار العامين الماضيين لدرجة أن الإنتربول يعتبرها الآن جائحة عالميًا. في نداء عاجل للعمل صدر في منتصف عام 2021 ، قال يورجن ستوك ، الأمين العام لمنظمة الأمن العالمية ، إن مكافحة برامج الفدية أصبحت مهمة أكبر من أن تقوم بها أي منظمة أو صناعة بمفردها. وقال إنه بدون استجابة عالمية ، لا شيء يمكن أن يحد من النمو المتسارع لفورة جرائم الفدية.

في أكتوبر ، عقد مجلس الأمن القومي بالبيت الأبيض قمة عالمية للأمن السيبراني ، والتزمت الدول الثلاثين المشاركة بتشكيل تحالف شبيه بحلف الناتو يركز على الدفاع السيبراني. لكن الخبراء الذين استشارهم Toptal يقولون إنه يجب على قادة الشركات المشاركة في المعركة ضد برامج الفدية أيضًا.

"يجب أن يكون هذا أكثر من مجرد مجموعة من الحكومات والمنظمات الدولية مثل الإنتربول" ، VS Subrahmanian ، رائد عالمي في أبحاث الأمن السيبراني ومكافحة الإرهاب ، وأستاذ وزميل في معهد روبرتا بافيت للشؤون العالمية في جامعة نورث وسترن ، يقول Toptal Insights. يجب أن يشمل منع برامج الفدية "الشركات الكبرى ، ويجب أن يشمل الأشخاص الذين يفكرون في هذه الأشياء بعمق شديد ، مثل الباحثين المستقلين أو الأكاديميين."

تصاعدت هجمات برامج الفدية إلى درجة أن الإنتربول يعتبرها الآن جائحة عالميًا.

سيؤدي إبطاء نمو النظام البيئي لبرامج الفدية والدفاع عن الاقتصاد العالمي إلى حماية الشركات الآن وفي المستقبل. حتى الشركات التي لديها قوائم مراجعة للأمن السيبراني ذات معايير ذهبية ليست محصنة ضد خطر برامج الفدية اليوم. وقد ينزعج قادة الشركات الذين يعتقدون أن بإمكانهم شراء وسيلة للخروج من الهجوم عندما يعلمون أن 8٪ فقط ممن يدفعون للقراصنة يستعيدون جميع بياناتهم.

"في الوقت الحالي ، يطور المهاجمون استراتيجياتهم باستمرار للتهرب من الدفاعات أو التغلب عليها ، لذا فهذه معركة مستمرة" ، حسب قول سوبراهمانيان ، الذي شارك في تأسيس شركة SentiMetrix ، وهي شركة تحليلات اجتماعية وعلوم البيانات تشارك مع وكالات حكومية أمريكية ، وشركات Fortune 500 ، والجامعات الرائدة. "عدد الهجمات آخذ في الارتفاع وجميع الشركات تحت التهديد."

الوضع الحالي للعب

كشف التحول المفاجئ إلى العمل عن بُعد وزيادة الاعتماد على الحوسبة السحابية خلال إغلاق COVID-19 لعام 2020 عن نقاط ضعف في العديد من شبكات الشركات وخلق المزيد من نقاط الدخول للبرامج الضارة - برامج البرامج الضارة التي تسمح للمتسللين بحبس بيانات المؤسسة وإزالتها من أجهزة الكمبيوتر الخاصة بالشركة ، واحتجازها كرهينة على خوادم خارجية.

ارتفع إجمالي المبلغ الذي دفعته المنظمات الأمريكية لمهاجمي برامج الفدية بأكثر من الضعف بين عامي 2019 ويونيو 2021 ، وفقًا لتقديرات شبكة إنفاذ الجرائم المالية التابعة لوزارة الخزانة الأمريكية (FinCen). كما ارتفع متوسط ​​دفع الفدية المطلوبة من كل ضحية ، من مليون دولار فقط في عام 2019 إلى أكثر من 5 ملايين دولار في عام 2020 ، وفقًا للوحدة 42 ، وهي مجموعة أبحاث عالمية حول التهديدات وتحليل البرمجيات الخبيثة مملوكة لشركة الأمن السيبراني بالو ألتو نتوركس.

في واحدة من أكثر الهجمات المعوقة في التاريخ الحديث ، أجبر المتسللون على إيقاف إمدادات البنزين عن معظم الساحل الشرقي للولايات المتحدة لمدة خمسة أيام في عام 2021 ، إلى أن دفعت شركة كولونيال بايبلاين كو 4.4 مليون دولار في صورة فدية. في نفس الوقت تقريبًا ، دفعت شركة التأمين العملاقة CNA ومقرها شيكاغو لمهاجمي برامج الفدية 40 مليون دولار ، مما وضع علامة جديدة عالية المستوى لهجوم فردي.

في أواخر عام 2021 ، تعرضت شركة Ultimate Kronos Group الرائدة في مجال حلول برامج الموارد البشرية العالمية لهجوم ترك أصحاب العمل الكبار يسعون لإيجاد طرق بديلة لدفع رواتب عمالهم - قبل أسبوعين من عطلة عيد الميلاد. لم يتم الإعلان عن مبلغ الفدية المطلوبة ، ولكن من المحتمل أن يكون ضخمًا ، مع الأخذ في الاعتبار أن UKG أعلنت عن أرباح قدرها 3.3 مليار دولار في عام 2021.

إن النمو الهائل في أرباح المجرمين يجذب المزيد من الانتهازيين من جميع أنحاء العالم. تشتهر الصين بكونها بؤرة ساخنة للجرائم الإلكترونية ؛ تشمل البلدان الأخرى النشطة للمتسللين البرازيل وبولندا وإيران والهند والولايات المتحدة وروسيا وأوكرانيا.

أصبحت هجمات برامج الفدية اليوم بلا رحمة على نحو متزايد

تستخدم هجمات برامج الفدية لاتباع إجراء بسيط للغاية: "ستتعرض للهجوم. سيتم تشفير بعض ملفاتك. يجب عليك دفع فدية بعملة البيتكوين لاستعادة هذه الملفات "، كما يقول سوبراهمانيان. بدأت هذه الأنواع من الهجمات في أواخر الثمانينيات ، عندما تم توزيع فيروسات الكمبيوتر على أقراص مرنة على الضحايا المطمئنين الذين يتعين عليهم إرسال أموال إلى صناديق بريد مجهولة لفتح أجهزة الكمبيوتر الخاصة بهم. مع انتقال الأعمال التجارية العالمية عبر الإنترنت ، كذلك انتقلت المخططات.

على مر السنين ، أدركت المؤسسات أن النسخ الاحتياطي للملفات بشكل متكرر إلى محركات أقراص صلبة خارجية أو خوادم سحابية يحيد تهديد تأمين البيانات. يقول سوبراهمانيان: "لذا فإن ما فعله ممثلو تهديد برامج الفدية هو تغيير طريقة عملهم". "عندما يشنون هجومًا ، فإنهم لا يقومون فقط بتشفير بياناتك. كما أنهم يسرقون بعضًا منه ".

من خلال الاستفادة من البيانات المسروقة ، يستخدم المتسللون الآن بانتظام ما يصل إلى أربعة أنواع من الابتزاز أثناء الهجمات. الأول هو تشفير بيانات الضحية ونقلها (إزالتها) إلى خادم يتحكم فيه المجرم الإلكتروني. والثاني هو التهديد بالإفراج العلني عن أسرار الملكية الخاصة بالمنظمة أو المعلومات التي قد تضر بسمعة الشركة. النوع الثالث من الابتزاز ينطوي على التهديد بشن هجوم رفض الخدمة (DOS) ، والذي يؤدي إلى إغلاق مواقع الويب الخاصة بالمنظمة التي تواجه الجمهور.

هذه هجمات إلكترونية عدوانية حقًا والأشخاص الذين ينفذونها لديهم قوة أكبر من الدول القومية. —أوستين ديمر ، خبير DevSecOps

ظهر نوع رابع جديد من ابتزاز برامج الفدية - يسمى "الابتزاز الخارجي" - في عام 2020 في أول هجوم من نوعه ضد شركة خاصة تدير 25 عيادة للصحة العقلية في فنلندا. لم يطالب المهاجمون بالمال فقط حتى تتمكن الشركة من استعادة الوصول إلى أنظمتها وتجنب نشر بياناتها الداخلية ، بل قام المجرمون أيضًا بابتزاز عشرات الآلاف من المرضى الأفراد ، مهددين بالإفراج علنًا عن ملاحظات المعالج وسجلات العلاج الخاصة بهم إذا لم يفعلوا ذلك. دفع ما معدله 200 يورو لكل منهما.

قال أوستن ديمر لموقع Toptal Insights: "هذه هجمات إلكترونية عدوانية حقًا ، والأشخاص الذين نفذوا هذه الهجمات ، لديهم قوة أكبر من الدول القومية الآن". خبير في DevSecOps (التطوير والأمن والعمليات) الذي بنى وأدار شبكات آمنة للمفوضية الأوروبية و Lego و Publicis Worldwide ، وقد شهد Dimmer حصته من عمل مجرمي الإنترنت. "إنهم لا يرحمون ولا يبدون أي رحمة."

الشبكة المعقدة تجعل من الصعب القبض على المهاجمين

تجعل الطبيعة اللامركزية والمعقدة لسوق برامج الفدية من الصعب للغاية القبض على المهاجمين. تتجاوز شبكة الأشخاص الذين يرتكبون هجومًا واحدًا مطور برامج ضار واحد يقوم بإنشاء البرامج الضارة. نادرًا ما يقوم المطورون بتنفيذ الهجمات بأنفسهم. بدلاً من ذلك ، يقومون بإلقاء بضاعتهم على الشبكة المظلمة للشراء أو الإيجار. في هذه المرحلة ، يتعاقد الموزعون مع المطورين للحصول على الحق في نشر البرنامج وتنفيذ الهجمات.

بعد ذلك ، بمجرد دفع الفدية ، تتقدم شبكة من مبييض الأموال بالعملات المشفرة ، وتنظف الأموال وتوزع الأرباح مرة أخرى على المطور (المطورين) والموزع (الموزعين) والجهات الفاعلة الأخرى.

حتى عند العثور على مهاجمي برامج الفدية والقبض عليهم ، يكون التعويض المالي للضحايا ضئيلًا بشكل عام. في قضية كولونيال بايبلاين ، على سبيل المثال ، كان مكتب التحقيقات الفيدرالي قادرًا فقط على تتبع معاملات العملة المشفرة لاسترداد حوالي نصف الفدية المدفوعة البالغة 4.4 مليون دولار.

توقع ومنع الهجمات المستقبلية

مع القليل من الأمل في تعقب المجرمين وأموال الفدية بعد اكتمال هجوم برامج الفدية ، يركز Subrahmanian على التنبؤ والوقاية. يعمل هو وفريقه في Northwestern حاليًا على تطوير نظام تنبؤي يمكنه توقع نوع وتوقيت هجمات برامج الفدية المستقبلية قبل اختراق البيانات.

يستخدم برامجه الذكاء الاصطناعي لتتبع الاتصالات والاتجاهات على شبكة الإنترنت المظلمة ووسائل التواصل الاجتماعي لتحديد البرامج الضارة الجديدة التي يتم تطويرها وملاحظة متى يتم ترقيتها إلى الموزعين المحتملين.

يهدف Subrahmanian إلى تحديد ليس فقط متى سيحاول المتسللون التسلل إلى الأنظمة ، ولكن أيضًا كيف سيحاولون ذلك. أظهرت النتائج الأولية التي توصل إليها أنه من بين الآلاف من نقاط الضعف المحتملة التي تم تحديدها في قوائم التحقق الأمنية ومن قبل المستشارين ، فإن المتسللين يستهدفون فقط 9.3٪ من نقاط الضعف. هذا يعني أن المؤسسات قد تهدر 90٪ من جهود أمن تكنولوجيا المعلومات الخاصة بها على وسائل الحماية الخاطئة.

على الرغم من أنه يكاد يكون من المستحيل توقع تصرفات مجموعات القرصنة المجهولة والأفراد المنتشرين على مستوى العالم ، إلا أن مراقبة الاتصالات الإجمالية التي تم وضع علامة عليها لربطها بجرائم الإنترنت يمكن أن تكون مؤشرا على مناطق التهديد المتزايدة. مثل مراقبة تدفق الأسواق المالية للتنبؤ بالاتجاهات ، يأمل Subrahmanian في أن تساعد مراقبة السوق الواسع لنشاط برامج الفدية الباحثين في التعرف على البرامج الضارة الناشئة وأهدافها المحتملة حتى تتمكن المؤسسات من اتخاذ خطوات استباقية.

طرق مبتكرة يمكن للقطاع الخاص أن يساعد في مكافحة الجرائم الإلكترونية

بدون هذا النوع من التنبؤ الموثوق الذي يحاول فريق Subrahmanian إنشاؤه ، لا تزال الخطوط الأمامية مكانًا مروّعًا للمؤسسات للعمل. لكن هذه الإستراتيجيات الأربع قد تساعد قادة الشركة على المقاومة الآن:

تقليل أرباح مهاجمي برامج الفدية

إذا استمرت هجمات برامج الفدية في تقديم مدفوعات ضخمة لمجرمي الإنترنت ، يعتقد ديمر أن معظم جهود الحكومة وإنفاذ القانون محكوم عليها بالفشل. ويرى أن هناك ببساطة الكثير من الفرص للربح ، خاصة إذا أخذنا في الاعتبار أن مثل هذه الفرص الاقتصادية الأخرى قد لا تكون موجودة في بعض البلدان التي يوجد بها مقر قراصنة.

لإضعاف هذا المحرك الاقتصادي ، يجب على الشركات التفكير في اعتماد قواعد داخلية ضد دفع الفدية ودعم التشريعات التي من شأنها أن تجعل دفع الفدية غير قانوني ، كما يقول Subrahmanian و Ismael Peinado ، كبير مسؤولي التكنولوجيا في Toptal. "فقط فكر في سبب تعرضنا لهذه الهجمات. لأن المهاجمين يحصلون على المال. ولماذا تزداد سوءا؟ يقول بينادو: "لأنهم ما زالوا يحصلون على المال". لماذا لا ندفع فدية لمن يذهبون للبنوك ويأخذون رهائن؟ لنفس السبب."

قد يبدو تجريم الإجراءات التي يتخذها ضحايا برامج الفدية أمرًا مثيرًا للجدل ، لكن Subrahmanian يشير إلى أن الشركات التي تدفع لمجرمي الإنترنت لإنقاذ بياناتهم قد تكون بالفعل تنتهك القانون الدولي إذا كان المهاجمون من دول تفرض عقوبات دولية ضدهم أو ينتمون إلى منظمات ترعى الإرهاب. أظهر تقرير عن مدفوعات العملات المشفرة للمتسللين الذين تعقبوا البلدان المقصودة لمدفوعات العملات المشفرة لبرمجيات الفدية أن ما لا يقل عن 15٪ من المدفوعات انتهى بها الأمر في أيدي كيانات محظورة ، في انتهاك للقوانين الدولية.

علاوة على ذلك ، لا يضمن الدفع أن المتسللين سيؤجلون نهايتهم من الصفقة. وفقًا لاستطلاع حديث لأكثر من 5000 من قادة تكنولوجيا المعلومات حول العالم من قبل شركة الأمن السيبراني Sophos ، حصلت المنظمات التي دفعت على 65٪ فقط من بياناتها في المتوسط. تمكن 8٪ فقط من الضحايا من استعادة جميع ملفاتهم.

ركز على عمليات SecOps بدلاً من قوائم المراجعة والتدقيق الخارجي

غالبًا ما يستخدم قادة التكنولوجيا الذين يحاولون حماية شركاتهم قوائم مراجعة لأفضل الممارسات الأمنية ، ويستثمرون في أحدث برامج الأمان ، ويوظفون مدققي أمان باهظين لاختبار ثغرات الشبكة. لسوء الحظ ، يقول Peinado - وهو رائد عالمي في مجال الأمن السيبراني يتمتع بخبرة 20 عامًا في العمل مع المنظمات الحكومية والشركات الناشئة والشركات الكبيرة ذات النمو المرتفع - إن هذا هو النهج الخاطئ.

إن مطاردة قوائم المراجعة والشهادات والتركيز على الامتثال التنظيمي البسيط يمكن أن يلتهم موارد تكنولوجيا المعلومات الخاصة بالمؤسسة بينما يخلق إحساسًا زائفًا بالأمان بين قيادة الشركة. مع نقاط الدخول الإضافية إلى الأنظمة والاعتماد على الحوسبة السحابية ، لم يعد الوصول إلى الشبكات صعبًا كما كان من قبل ، كما يقول. ومع ذلك ، لا تزال شركات الأمن تقضي ساعات لا حصر لها في البحث عن نقاط الضعف في الشبكات التي قد لا تكون أبدًا هدفًا للمتسللين. "في نهاية اليوم ، يفقدون التركيز على ما يفعله المتسللون الحقيقيون ، وهو أنه إذا قمت بتأمين طريق ما إلى منزلك ، فإنهم سيجدون طريقة أخرى للاقتحام" ، كما يقول.

بدلاً من ذلك ، يوصي Peinado بأن يقوم قادة التكنولوجيا بدمج الأمن مباشرة في العمليات الهندسية والتخلص من الدورة المستمرة للاختبار والتصحيح. هذه الأنواع من العمليات الأمنية ، التي يشار إليها باسم DevSecOps أو SecOps ، تدمج الأمان مباشرة في عمليات تطوير برامج الشركة وتعزز بيئة الاستجابات الذكية للتهديدات الجديدة ، كما يقول.

على سبيل المثال ، عندما يتم إنشاء وظيفة أو ميزة جديدة لموقع الويب الخاص بشركة ما وإطلاقها علنًا ، تظهر مجموعة جديدة من نقاط الضعف للقراصنة. في دورة العمل التقليدية ، يقوم المطورون بإنشاء وظائف موقع الويب الجديد في صومعة ثم إرسالها للاختبار بواسطة خبراء أمان داخليين (وأحيانًا خارجيين). سيتم بعد ذلك تصحيح الأمان ووضعه على نقاط الضعف التي تم العثور عليها بعد وقوع الحدث.

في بيئة SecOps ، يجلس المهندسون والمطورون الذين يقومون ببناء الموقع أو الوظيفة جنبًا إلى جنب مع مهندس أمان لضمان تكامل المستوى المناسب من الأمان أثناء تطوير المنتج. هذا النهج المتكامل يجعل مطوري SecOps أكثر وعيًا ومساءلة بطريقة غير ممكنة ببساطة في الإجراءات التقليدية ، كما يقول Peinado.

الاستفادة من موهبة الأمن السيبراني المحتملة

يقول ديمر ، الذي يعمل مع العملاء كجزء من شبكة مواهب مطوري Toptal ، إنه يتلقى ردود فعل متباينة عند محاولته تقديم وجهة نظر SecOps في عمليات العملاء ، غالبًا بسبب فجوات المهارات في فرق تقنية المعلومات الداخلية - تصبح الأنظمة أكثر صعوبة في الاستخدام مثل تجعلهم أكثر أمانًا. يقول إن النجاح لا يعني فقط وجود الأنظمة الصحيحة ، ولكن أيضًا وجود موظفين مدربين لاستخدامها.

لا يزال توظيف أدوار تقنية عالية القيمة مثل مهندسي الأمن يمثل نقطة ضعف للشركات. ما يقرب من 1 من كل 10 مؤسسات شملها الاستطلاع لتقرير حالة العمليات الأمنية من قبل TechBeacon قالت إن الافتقار إلى المواهب الماهرة كان التحدي الأول للأمن السيبراني في عام 2021 - وقال ما يقرب من 30٪ إنه كان من بين أكبر ثلاث عقبات.

يمكن توظيف المواهب التقنية المتميزة من خلال شبكات الوحدات ، مثل Toptal ، للمساعدة في سد هذه الثغرات. كان الطلب على المطورين الداخليين وقادة التكنولوجيا مثل Dimmer مرتفعًا لعقود من الزمن ، لكنهم أصبحوا أكثر من ذلك الآن بسبب النقص الهائل في العاملين في مجال الأمن السيبراني. قدرت جمعية أمن نظم المعلومات وجود فجوة قدرها 4 ملايين متخصص في الصناعة في عام 2019 ، ووجد استطلاعها لقادة تكنولوجيا المعلومات في عام 2021 أن الفجوة قد اتسعت منذ ذلك الحين.

قد يتردد بعض قادة الشركات في استخدام المواهب الخارجية في المشاريع الأمنية الأكثر حساسية ، مثل تضمين المستقلين في خنادق SecOps. لكن الاستعانة بمصادر خارجية في جزء من العمليات الأمنية إلى مواهب خارجية هو في الواقع القاعدة: أفادت أكثر من نصف المنظمات التي شملتها الدراسة بواسطة TechBeacon أنها تستخدم مزيجًا من الموارد الداخلية والخارجية لمعالجة وظائف الأمن السيبراني الخاصة بهم.

مستقبل مكافحة الجرائم الإلكترونية

حتى الآن ، أثبت برنامج الإنذار المبكر للذكاء الاصطناعي من Subrahmanian فعاليته بنسبة 70٪ في التنبؤ بهجمات برامج الفدية في النماذج التجريبية ، كما يقول. إذا استمر الاختبار على ما يرام ، فإنه يأمل في نشر توقعات لهجمات العالم الحقيقي التي تبدأ في منتصف عام 2022.

يركز بحثه أيضًا على الفجوة بين وقت تحديد الثغرات الأمنية في البرامج ومتى تكون تصحيحات البرامج والتحديثات الأمنية متاحة على نطاق واسع للجمهور. كشفت النتائج الأولية من هذا البحث أن ما يقرب من نصف هجمات البرامج الضارة تحدث خلال هذه الفترة ، والتي ، في المتوسط ​​، تستمر حوالي 132 يومًا. هذه الفترة الممتدة من الثغرات الأمنية تجعل سعيه وراء نموذج تنبؤي فعال أكثر أهمية لإيقاف المتسللين عند ظهور التهديدات الجديدة.

في غضون ذلك ، تتقدم شركات التكنولوجيا الكبيرة. التزمت Google بإنفاق 10 مليارات دولار على مدى السنوات الخمس المقبلة للمساعدة في تأمين سلسلة توريد البرامج وتوسيع استخدام أنظمة عدم الثقة ، وأطر الأمان التي تتطلب مصادقة جميع المستخدمين الداخليين والخارجيين بشكل مستمر. تقدم Microsoft 150 مليون دولار في شكل خدمات فنية لمساعدة الحكومات المحلية في الولايات المتحدة على ترقية دفاعاتها. وقد تعهدت أمازون بالبدء في تقديم نفس التدريب على الوعي الأمني ​​الذي تقدمه لموظفيها للجمهور وإجراء مصادقة من خطوتين مجانًا لجميع عملاء Amazon Web Services (AWS).

يقول سوبراهمانيان إن محاربة برامج الفدية باعتبارها تهديدًا دائم التطور سوف تأخذ قرية عالمية ، ويجب أن تكون الشركات - الكبيرة والصغيرة - جزءًا منها.

الموضوعات ذات الصلة: تصفح دليل مهارات مطوري Toptal للحصول على مواهب SecOps