كشفت مكافي لابس عن تقريرها الجديد الخاص بالتهديدات الأمنية تحت عنوان McAfee Labs Threats Report: April 2017 والذي تقدم من خلاله معلومات تفصيلية بشأن التهديدات التي تواجهها الجهود الرامية لتبادل معلومات التهديدات الإلكترونية.
ويقدم التقرير أيضًا أحدث التحقيقات بشأن هيكلية وتصميم وطريقة عمل برمجية ميراي الخبيثة Mirai، بالإضافة إلى تقييم الهجمات التي أُبلغ عنها في مختلف القطاعات والكشف عن توجهات النمو التي تشهدها البرمجيات الضارة وبرمجيات انتزاع الفدية الخبيثة وبرمجيات الأجهزة الجوالة الخبيثة وغيرها من التهديدات الإلكترونية خلال الربع الأخير من عام 2016.
وقال نائب رئيس مكافي لابس، فينسنت ويفر: "يواجه قطاع أمن المعلومات مزيدًا من التحديات الحرجة فيما يتعلق بجهودنا المبذولة لتعزيز عمليات تبادل المعلومات حول التهديدات الأمنية بين المؤسسات وبين شركات تصنيع الحلول وحتى بين الأقسام المتنوعة ضمن كل شركة حدة. ومن خلال التعاون والعمل المشترك، فإن التصدي لهذه التهديدات سيحدد فعالية فرق العمل الخاصة بأمن المعلومات في أتمتة عمليات الكشف عن التهديدات وتحديد طرق الاستجابة لها وفي النهاية قدرتها على توجيه قطاع أمن المعلومات ليصب في صالح الجهات التي تسعى للتصدي لمثل هذه التهديدات الأمنية الحرجة".
ويستعرض التقرير الدوافع وراء عمليات تبادل المعلومات حول التهديدات الأمنية والعديد من مكونات هذه المعلومات والمصادر والطُرق المتبعة في مشاركتها، بالإضافة إلى تسليط الضوء على كيفية تبادل المعلومات خلال عمليات التصدي للتهديدات الأمنية والتحديات الحرجة التي يجب على قطاع أمن المعلومات التخلص منها. ومن تلك التحديات:
الحجم: ماتزال الجهات التي تسعى إلى تحديد وفرز الحوادث الأمنية والتصدي لها تواجه مشكلة ضخمة فيما يتعلق بالإشارة إلى حجم التحديات أو الحوادث الأمنية وتحديد فعاليتها وماذا يمكن أن تسببه من أضرار.
التحقق من صحة التهديدات: يمكن للمهاجمين إطلاق تقارير كاذبة حول التهديدات لتضليل أو للتغلب على الأنظمة الخاصة بملاحقة مثل هذه التهديدات الأمنية، كما يمكن التلاعب بالبيانات التي تأتي من مصادر موثوقة إذا ما تم الاحتفاظ بها بالشكل المناسب.
جودة المعلومات: يمكن أن تواجه شركات البيع، التي تركز على عمليات جمع وتبادل المعلومات فقط، مشكلة تكرار هذه المعلومات وهو الأمر الذي سيؤدي بالتأكيد إلى ضياع المزيد من الوقت والجهد. يجب أن تقوم أجهزة الاستشعار أيضًا بالتقاط بيانات أكثر أهمية للمساعدة في تحديد العناصر الرئيسية للهجمات المستمرة.
السرعة: المعلومات التي يتم الحصول عليها بشكل متأخر ما تزال ذات قيمة لكن فقط خلال عملية التخلص من الهجمة الإلكترونية. أما بالنسبة للأنظمة الأمنية وأجهزة الاستشعار، فيجب على هذه الأدوات تقديم البيانات فوريًا تقريبًا حتى تتمكن الفرق الأمنية من العمل بما يتناسب مع سرعة الهجمات الإلكترونية.
العلاقة المترابطة: هناك علاقة واضحة بين الفشل في تحديد الأنماط ذات الصلة والنقاط الرئيسية التي تتعلق بالبيانات، وبين الفشل في تحويل البيانات إلى معلومات محددة يمكن تقديمها لفرق العمليات الأمنية مباشرةً بهدف الاستفادة منها.
وللوصول بعمليات تبادل المعلومات حول التهديدات الإلكترونية إلى مستويات لا مثيل لها من الكفاءة والفعالية، تقترح مكافي لابس زيادة التركيز على ثلاثة مجالات رئيسية:
الفرز وتحديد الأولويات: إن تبسيط عمليات تحديد وفرز الحوادث الأمنية بحسب الأولوية يوفر بيئة أفضل لمتخصصي أمن المعلومات للتحقيق بشكل فعال في الحوادث ذات الأولوية القصوى.
ربط الأحداث: يجب تحديد علاقات واضحة بين المؤشرات التي تشير إلى اختراقات أمنية محددة، وذلك لمساعدة صائدي التهديدات في فهم ما يمكنهم القيام به ضد الحملات والهجمات الإلكترونية.
تحديد نماذج مشاركة أفضل: يجب تحسين طرق تبادل المعلومات المتعلقة بالتهديدات الأمنية بين الأقسام ومع شركات البيع.
وأضاف ويفر بالقول: "بات باستطاعة المهاجمين ذوي الخبرات العالية التخفي بشكل متزايد عن أنظمة الدفاع التي تعمل بشكل منفرد، حيث تسمح هذه الأنظمة المنفصلة بانتشار التهديدات الأمنية، التي يتم التصدي لها في أماكن أخرى حول العالم، وذلك بسبب عمل هذه الأنظمة بشكل منفرد وعدم مشاركتها للمعلومات المتعلقة بهذه التهديدات. يمكننا من خلال تبادل المعلومات حول كافة التهديدات الأمنية الاستفادة من تجارب بعضنا البعض والحصول على أفضل الطرق للتصدي لهذه التهديدات والتي بُنيت على خبرات عديدة مشتركة يمكن من خلالها بناء صورة كاملة لأية تهديدات أو حوادث أمنية".
انتشار برمجية ميراي الخبيثة Mirai
برمجية ميراي الخبيثة هي المسؤولة عن أكثر هجمات حجب خدمة الإنترنت خطورة خلال الربع الأخير من العام الماضي والتي تمت باستهداف إحدى أهم شركات إدارة نطاقات الويب وهي شركة Dyn. وقد اشتهرت برمجية ميراي الخبيثة بقدرتها على استهداف وإصابة أجهزة إنترنت الأشياء ذات الحماية الضعيفة وتحويلها إلى أجهزة إلكترونية أو روبوتات قادرة على تنفيذ هجمات إلكترونية ضد أهداف معينة.
وقد أدى إطلاق الشفرة المصدرية الخاصة ببرمجية ميراي الخبيثة في شهر أكتوبر/ تشرين الأول الماضي إلى انتشار مجموعة واسعة من الروبوتات الرقمية. وعلى الرغم من أن معظم هذه الروبوتات تبدو ذات نشاطات مدفوعة بأوامر أو نصوص طفولية تؤدي في تأثيرها إلى نتائج محدودة نسبيًا، إلا أن إطلاق هذه الشفرة المصدرية قد أدى إلى ظهور عروض الهجمات الموزعة كخدمة DDos as a Service المعتمدة على برمجية ميراي، وهو الأمر الذي ساعد المهاجمين من ذوي الخبرة الضحلة إلى تنفيذ هجمات فصل الخدمة بسهولة أكبر والاستفادة من أجهزة إنترنت الأشياء ذات الحماية الضعيفة. وتتوفر هجمات رفض الخدمة الموزعة DDos على شكل خدمات ضمن سوق الجريمة الإلكترونية بأسعار تتراوح بين 50 و 7500 دولار يوميًا.
وتشير مكافي لابس إلى أن 2.5 مليون جهاز يعتمد على إنترنت الأشياء قد تم اختراقها باستخدام برمجية ميراي الخبيثة مع نهاية الربع الأخير من عام 2016، مع إضافة خمسة عناوين بروتوكول الإنترنت لأجهزة إنترنت الأشياء إلى روبوتات ميراي في كل دقيقة في ذلك الوقت.
التهديدات الأمنية خلال الربع الأخير من عام 2016
سجلت شبكة مكافي لابس الخاصة بمعلومات التهديدات العالمية خلال الربع الأخير من 2016 تحولات كبيرة في معدلات نمو التهديدات الإلكترونية والهجمات على شبكة الإنترنت ضمن العديد من القطاعات على النحو التالي:
نمو البرمجيات الضارة: تراجعت أعداد البرمجيات الضارة الجديدة بنسبة 17% خلال الربع الأخير بينما ارتفع العدد الإجمالي لهذه البرمجيات بنسبة 24% في عام 2016 ليصل إلى 638 مليون برمجية.
برمجيات الأجهزة الجوالة الخبيثة: تراجعت عينات برمجيات الأجهزة الجوالة الخبيثة بنسبة 17% في الربع الأخير بينما ارتفع العدد الإجمالي لهذه البرمجيات بنسبة 99% في عام 2016.
برمجيات انتزاع الفدية الخبيثة: انخفض عدد عينات برمجيات طلب الفدية الخبيثة الجديدة خلال الربع الأخير بنسبة 71%، ويرجع ذلك بشكل أساسي إلى ضعف القدرة العامة على الكشف عن هذا النوع من البرمجيات الخبيثة فضلًا عن تراجع برمجيات أخرى خاصة بالتشفير مقابل الفدية مثل Locky و CryptoWall. وقد ارتفع العدد الإجمالي لبرمجيات الفدية الخبيثة بنسبة 88% في عام 2016.
برمجيات نظام التشغيل Mac الخبيثة: على الرغم من أن أعداد هذه البرمجيات ماتزال منخفضة مقارنة بنظيراتها ضمن نظام التشغيل ويندوز، إلا أنها شهدت ارتفاعًا ملحوظًا بنسبة 245% خلال الربع الأخير والسبب بذلك هو زيادة برمجيات الإعلانات. وقد شكل إجمالي النمو الذي شهدته هذه البرمجيات 744% خلال عام 2016.
رسائل البوت نت المزعجة: انخفضت رسائل البريد الإلكتروني المزعجة بنسبة 24%خلال الربع الأخير لتصبح 181 مليون بريد مزعج. وقد تم إطلاق 934 مليون رسالة بريد إلكترونية مزعجة خلال 2016 بشكل عام.
الحوادث الأمنية المُبلّغ عنها: استطاعت مكافي إحصاء 197 حادثة أمنية تم الكشف عنها علنًا خلال الربع الأخير بالإضافة إلى 974 حادثة أمنية تم الكشف عنها خلال عام 2016 كاملًا. والحوادث الأمنية هي تلك الحوادث التي تهدد سلامة أو سرية أو مستويات توافر المعلومات. بعض هذه الحوادث، وليس كلها، تمثل انتهاكات كاملة. هذه الانتهاكات هي الحوادث التي تكشف بشكل كامل (وليس جزئي) عن البيانات.
الهجمات الإلكترونية ضد القطاع العام: شهد القطاع العام أكبر عدد من الحوادث الأمنية، وتعتقد مكافي بأن ذلك قد يكون نتيجة المتطلبات الأكثر صرامة للإبلاغ عن الحوادث الأمنية وتبادل المعلومات حولها، بالإضافة إلى زيادة أعداد الهجمات المتعلقة بالانتخابات الأمريكية حيث كانت معظم الحوادث الأمنية عبارة عن هجمات على قاعدة بيانات الناخبين وتشويه المواقع الانتخابية.
هجمات القطاع المصرفي والألعاب: الزيادة التي شهدتها الحوادث الأمنية خلال الربع الثالث في قطاع تطوير البرمجيات سبب ارتفاعًا في أعداد الهجمات على منصات الألعاب. وفيما يخص القطاع المالي، فقد أدت الهجمات على رموز السويفت ضمن قطاع المصارف إلى قفزة نوعية في أعداد الحوادث الأمنية خلال الربع الثاني.
أنشطة شبكات البوت نت: شهدت شبكة البوت نت الخبيثة KelihosC، والتي قامت مؤخرًا بتمويل مستحضرات صيدلانية ولوازم سيارات روسية زائفة (مثل إطارات السيارات الشتوية والصيفية بأسعار تنافسية)، نموًا في حجمها الإجمالي خلال الربع الأخير من عام 2016.