هجوم التهديد المستمر المتقدم (APT) هو مصطلح يستخدم لوصف عملية هجوم يستهدف بالغالب الشركات الكبيرة أو الشبكات الحكومية، ويمكن حدوثها للشركات الصغيرة.
يقوم فيها مخترق أو فريق من المخترقين باستخدم اساليب اختراق متواصلة وخفية ومعقدة للبقاء اطول مدة في الشبكة واستخراج البيانات مثل:البيانات الحساسة، الملكية الفكرية، او تخريب البنى التحتية التنظيمية الهامة.
وتزداد هذه الهجمات للشركات
التي تشكل سلسلة التوريد لهدفهم الأساسي كوسيلة للوصول إلى المؤسسات الكبيرة، فهم
يستخدمون تلك الشركات كنقطة انطلاق لأن بالعادة مستوى الحماية الخاص بها يكون أقل.
و بما ان الغرض الأساسي من هذا الهجوم هو الوصول
المستمر إلى النظام، فـيحقق المخترقون ذلك من خلال سلسلة من المراحل.
1-
الوصول
يدخل المخترقون من خلال شبكة أو ملف مصاب أو بريد
غير مهم أو ثغرة أمنية في أحد التطبيقات لإدخال برامج ضارة إلى الشبكة المستهدفة.
2-
إنشاء مركز
يزرع المخترقون برنامج ضار بحيث يسمح بإنشاء شبكة
تساعد على التسلل والتحرك داخل الأنظمة من دون اكتشافهم، وغالبًا ما يستخدم
البرنامج الضار أساليب مثل إعادة كتابة التعليمات البرمجية لمساعدتهم على إخفاء
آثارهم.
3-
تعميق الوصول
بمجرد الدخول يستخدم المخترقون أساليب مثل اختراق
كلمات المرور للوصول إلى حقوق مسؤول النظام ليكون بمقدورهم السيطرة على جزء أكبر
من النظام والحصول على مستويات أعلى من الوصول.
4-
التحرك بصلاحية الوصول
الكامل
بعد التعمق داخل النظام يستطيع المخترقون التحرك بحيث
يمكنهم الوصول إلى كل أجزاء الشبكة كالخوادم او الاجهزة المهمة.
5-
البقاء
والتعلم
وتعتبر هذه الخطوة هي الهدف من الهجمة، البقاء
داخل النظام، لان ذلك يساعدهم بفهمه مثل: كيفية عمل النظام والثغرات الأمنية به، مما
يسمح لهم بجمع المعلومات التي يرغبون فيها.
وبعد ذلك يمكن للمخترقين إبقاء هذه العملية
مستمرة أو الانسحاب بمجرد تحقيق الهدف.
فكيف يمكننا تجنب هذا النوع من الهجوم ؟
الإجرات الأساسية:
1. مراقبة
حركة مرور البيانات، فمثلا قم بتكوين جدارالحماية WAF لانه ممكن أن يساعدك في التخلص من هجمات طبقة التطبيقات، مثل
هجمات RFI و SQL
injection ، التي يكثر استخدامها أثناء مرحلة تسلل APT، ايضا تثبيت جدار الحماية للشبكة مع التأكد من أنها تحتفظ
بسجلات الأحداث وتحظر جميع المنافذ غير المستخدمة.
2. قم
بإنشاء قائمة بمصادر البرامج الموثوقة وحظر تثبيت البرامج من مصادر الطرف الثالث.
3. قم
بمراجعة أجهزة وأنظمة الكمبيوتر بشكل متكرر للتحقق من سجلات الأحداث بحثًا عن
مؤشرات الهجوم.
4. قم
بإجراء اختبارات الاختراق بانتظام للتاكد من سلامة النظام وخلوه من الثغرات.
5. يجب
تأمين نقاط الوصول إلى الشبكة الرئيسية باستخدم
أساليب المصادقة الثنائية ورمز الأمان واستخدام كلمات المرور القوية التي يتم
تغييرها بشكل متكرر، لمنع
الاشخاص غير المصرح لهم من التحرك في جميع أنحاء شبكتك.
6. قم
بتحديث أنظمة التشغيل والتطبيقات المثبتة، فيفضل جدولة التحديثات التلقائية، وتجنب
أي تحديثات من مصادرغير قابلة للتحقق اوغير مشفرة.
7. تصفية رسائل البريد الإلكتروني الواردة لمنع البريد العشوائي وهجمات التصيد التي تستهدف شبكتك
الإجراءات المتقدمة
1-
قم بتقوية وتحسين الممارسات المستخدمة ، والبروتوكولات ، والقواعد
والإجراءات المطبقة للعمل ، وجعل كل مستخدم على دراية بها لزيادة أمان الكمبيوتر
للجميع لتجنب الهجمات من الداخل، وإذا لزم الأمر قم بتثبيت الأدوات التي تقلل من
احتمال استغلال الثغرات الأمنية.
2-
استخدم أدوات مثل Honeypot و Honeynets ، والتي تعمل بمثابة أفخاخ، بحيث يتم اكتشاف أي محاولة اقتحام
بسرعة، ويمكن تفعيل التصحيحات اللازمة في الوقت المناسب من خلال دراسة
التقنيات المستخدمة من قبل المخترقين الذين أضروا بأمن الشبكة.
3-
استخدام أنظمة كشف التسلل (IDS) على الشبكة لتحديد موقع المهاجمين ومنعهم من تنفيذ انتحال ARP أو خادم Rogue DHCP أو هجمات أخرى، وكذلك استخدم أنظمة كشف التسلل المستندة إلى المضيف (HIDS) على الجهاز لمراقبة حالة
النظام لكل كمبيوتر والتحذير في الوقت المناسب من التهديدات المحتملة.
4-
تنفيذ حلول أمان كمبيوتر متقدمة (قوية) خاصة فيما يتعلق بأنظمة
مكافحة الفيروسات أو مكافحة البرامج الضارة لأن الأنظمة التقليدية لا تكون فعالة
في العادة ضدها، و أيضا من خلال مراقبة وتحليل تدفق بيانات الإدخال والإخراج بحيث
يمكننا من اكتشاف هجمات APT .
تعليقات
إرسال تعليق