أهم أنواع تهديدات أمن المعلومات لفرق تكنولوجيا المعلومات
تتراوح التهديدات الأمنية الشائعة من التهديدات الداخلية إلى التهديدات المستمرة المتقدمة ، ويمكنها أن تتمكن ما لم يكن فريق الأمن الداخلي على علم بها ومستعد للرد. على الرغم من ارتباط مصطلحات التهديد الأمني والحدث الأمني والحادث الأمني ، إلا أن تهديدات أمن المعلومات في عالم الأمن السيبراني لها معاني مختلفة.
التهديد الأمني هو عمل ضار يهدف إلى إتلاف البيانات أو سرقتها أو تعطيل أنظمة المؤسسة أو المؤسسة بأكملها. يشير حدث الأمان إلى حدث تم خلاله كشف بيانات الشركة أو شبكتها. والحدث الذي ينتج عنه خرق للبيانات أو الشبكة يسمى الحادث الأمني.
مع استمرار تطور تهديدات الأمن السيبراني وتصبح أكثر تعقيدًا ، يجب أن تظل تكنولوجيا المعلومات الخاصة بالمؤسسات يقظة عندما يتعلق الأمر بحماية بياناتها وشبكاتها. للقيام بذلك ، عليهم أولاً فهم أنواع التهديدات الأمنية التي يواجهونها.
فيما يلي أهم أنواع من تهديدات أمن المعلومات التي تحتاج فرق تقنية المعلومات إلى معرفتها.
- التهديدات من الداخل
يحدث التهديد من الداخل عندما يسيء الأفراد المقربون من منظمة ما الذين أذن بالوصول إلى شبكتها عن قصد أو عن غير قصد استخدام هذا الوصول للتأثير سلبًا على البيانات أو الأنظمة المهمة للمؤسسة.
الموظفون المهملون الذين لا يمتثلون لقواعد وسياسات عمل مؤسساتهم يتسببون في تهديدات داخلية. على سبيل المثال ، قد يرسلون بيانات العملاء عبر البريد الإلكتروني عن غير قصد إلى أطراف خارجية ، أو ينقرون على روابط التصيد الاحتيالي في رسائل البريد الإلكتروني أو يشاركون معلومات تسجيل الدخول الخاصة بهم مع الآخرين. المقاولون وشركاء الأعمال والموردون الخارجيون هم مصدر التهديدات الداخلية الأخرى.
يتجاهل بعض المطلعين عمدًا الإجراءات الأمنية بدافع الملاءمة أو محاولات غير مدروسة ليصبحوا أكثر إنتاجية. يتهرب المطلعون الضارون عمدًا من بروتوكولات الأمن السيبراني لحذف البيانات أو سرقة البيانات لبيعها أو استغلالها لاحقًا أو تعطيل العمليات أو إلحاق الضرر بالنشاط التجاري.
منع التهديدات الداخلية
تتضمن قائمة الأشياء التي يمكن للمؤسسات القيام بها لتقليل المخاطر المرتبطة بالتهديدات الداخلية ما يلي:
تقييد وصول الموظفين إلى الموارد المحددة التي يحتاجون إليها لأداء وظائفهم ؛ تدريب الموظفين والمقاولين الجدد على الوعي الأمني قبل السماح لهم بالوصول إلى الشبكة. دمج معلومات حول التوعية بالتهديدات الداخلية غير المقصودة والخبيثة في التدريب الأمني المنتظم ؛ إنشاء مقاولين وغيرهم من العاملين لحسابهم الخاص بحسابات مؤقتة تنتهي في تواريخ محددة ، مثل تواريخ انتهاء عقودهم ؛ تنفيذ المصادقة ذات العاملين ، والتي تتطلب من كل مستخدم توفير جزء ثانٍ من معلومات التعريف بالإضافة إلى كلمة المرور ؛ و
تثبيت برنامج مراقبة الموظفين للمساعدة في تقليل مخاطر خرق البيانات وسرقة الملكية الفكرية من خلال تحديد المطلعين المتهورين أو الساخطين أو الخبثاء.
نموذج خطة الاستجابة للحوادث القابلة للتحرير (IRP)
استخدم هذا كنقطة انطلاق لتطوير IRP لاحتياجات شركتك.
- الفيروسات والديدان
الفيروسات والديدان هي برامج ضارة (برامج ضارة) تهدف إلى تدمير أنظمة وبيانات وشبكات المؤسسة. فيروس الكمبيوتر هو رمز ضار يتكرر عن طريق نسخ نفسه إلى برنامج أو نظام أو ملف مضيف آخر. يظل كامنًا حتى يقوم شخص ما بتنشيطه عن قصد أو عن غير قصد ، وينشر العدوى دون علم أو إذن من المستخدم أو إدارة النظام.
دودة الكمبيوتر هي برنامج يتكاثر ذاتيًا ولا يحتاج إلى نسخ نفسه إلى برنامج مضيف أو يتطلب تفاعلًا بشريًا للانتشار. وتتمثل مهمتها الرئيسية في إصابة أجهزة الكمبيوتر الأخرى مع استمرار نشاطها على النظام المصاب. غالبًا ما تنتشر الديدان باستخدام أجزاء من نظام التشغيل تكون تلقائية وغير مرئية للمستخدم. بمجرد دخول الدودة إلى النظام ، فإنها تبدأ على الفور في تكرار نفسها ، مما يؤدي إلى إصابة أجهزة الكمبيوتر والشبكات غير المحمية بشكل كافٍ.
منع الفيروسات والديدان
لتقليل مخاطر هذه الأنواع من تهديدات أمن المعلومات التي تسببها الفيروسات أو الفيروسات المتنقلة ، يجب على الشركات تثبيت برامج مكافحة الفيروسات والبرامج الضارة على جميع أنظمتها وأجهزتها المتصلة بالشبكة والحفاظ على تحديث هذا البرنامج. بالإضافة إلى ذلك ، يجب على المؤسسات تدريب المستخدمين على عدم تنزيل المرفقات أو النقر فوق الروابط الموجودة في رسائل البريد الإلكتروني الواردة من مرسلين غير معروفين وتجنب تنزيل برامج مجانية من مواقع ويب غير موثوق بها. يجب على المستخدمين أيضًا توخي الحذر الشديد عند استخدام خدمات مشاركة ملفات P2P ويجب ألا ينقروا على الإعلانات ، لا سيما الإعلانات من العلامات التجارية ومواقع الويب غير المألوفة.
- بوت نت
الروبوتات عبارة عن مجموعة من وصلات الإنترنت التي تتصل بالأجهزة ، بما في ذلك أجهزة الكمبيوتر الشخصية والأجهزة المحمولة والخوادم وأجهزة إنترنت الأشياء المصابة والتي يتم التحكم فيها عن بُعد بواسطة نوع شائع من البرامج الضارة. عادةً ما تبحث برامج الروبوتات الضارة عن الأجهزة المعرضة للخطر عبر الإنترنت. الهدف من إنشاء عامل التهديد الذي ينشئ شبكة الروبوتات هو إصابة أكبر عدد ممكن من الأجهزة المتصلة ، باستخدام قوة الحوسبة وموارد تلك الأجهزة للمهام الآلية التي تظل مخفية عمومًا لمستخدمي الأجهزة. يستخدمها الفاعلون المهددون – غالبًا مجرمو الإنترنت – الذين يتحكمون في شبكات الروبوت هذه لإرسال بريد إلكتروني عشوائي والمشاركة في حملات النقر الاحتيالية وإنشاء حركة مرور ضارة لهجمات رفض الخدمة الموزعة.
تم توضيح الأمر والتحكم في Botnet
منع شبكات الروبوت
لدى المنظمات عدة طرق للوقاية من عدوى الروبوتات:
مراقبة أداء الشبكة ونشاطها لاكتشاف أي سلوك غير منتظم للشبكة ؛
الحفاظ على نظام التشغيل محدثًا ؛ الحفاظ على تحديث جميع البرامج وتثبيت أي تصحيحات أمنية ضرورية ؛ توعية المستخدمين بعدم الانخراط في أي نشاط يعرضهم لخطر الإصابة بعدوى الروبوتات أو البرامج الضارة الأخرى ، بما في ذلك فتح رسائل البريد الإلكتروني أو الرسائل أو تنزيل المرفقات أو النقر فوق الروابط من مصادر غير مألوفة ؛ و تنفيذ أدوات antibotnet التي تعثر على فيروسات الروبوت وتحظرها. بالإضافة إلى ذلك ، تشتمل معظم جدران الحماية وبرامج مكافحة الفيروسات على أدوات أساسية لاكتشاف شبكات الروبوت ومنعها وإزالتها.
- هجمات التنزيل بالسيارة
في هجوم التنزيل من محرك الأقراص ، يتم تنزيل التعليمات البرمجية الضارة من موقع ويب عبر متصفح أو تطبيق أو نظام تشغيل متكامل دون إذن المستخدم أو علمه. لا يتعين على المستخدم النقر فوق أي شيء لتنشيط التنزيل. مجرد الوصول إلى موقع الويب أو تصفحه يمكن أن يبدأ التنزيل. يمكن لمجرمي الإنترنت استخدام التنزيلات من محرك الأقراص لضخ أحصنة طروادة المصرفية ، وسرقة المعلومات الشخصية وجمعها ، بالإضافة إلى تقديم مجموعات استغلال أو برامج ضارة أخرى إلى نقاط النهاية.
منع هجمات التنزيل من محرك الأقراص
تتمثل إحدى أفضل الطرق التي يمكن للشركة من خلالها منع هجمات التنزيل من محرك الأقراص في تحديث الأنظمة وتصحيحها بانتظام بأحدث إصدارات البرامج والتطبيقات والمتصفحات وأنظمة التشغيل. يجب أيضًا تحذير المستخدمين بالابتعاد عن المواقع غير الآمنة. يمكن أن يساعد تثبيت برامج الأمان التي تفحص مواقع الويب بنشاط في حماية نقاط النهاية من التنزيلات من محرك الأقراص.
- هجمات التصيد
تعد هجمات التصيد الاحتيالي نوعًا من تهديد أمن المعلومات الذي يستخدم الهندسة الاجتماعية لخداع المستخدمين لكسر ممارسات الأمان العادية والتخلي عن المعلومات السرية ، بما في ذلك الأسماء والعناوين وبيانات اعتماد تسجيل الدخول وأرقام الضمان الاجتماعي ومعلومات بطاقة الائتمان والمعلومات المالية الأخرى. في معظم الحالات ، يرسل المتسللون رسائل بريد إلكتروني مزيفة تبدو وكأنها قادمة من مصادر مشروعة ، مثل المؤسسات المالية و eBay و PayPal – وحتى الأصدقاء والزملاء.
في هجمات التصيد الاحتيالي ، يحاول المتسللون حمل المستخدمين على اتخاذ بعض الإجراءات الموصى بها ، مثل النقر على الروابط في رسائل البريد الإلكتروني التي تنقلهم إلى مواقع الويب الاحتيالية التي تطلب معلومات شخصية أو تثبيت برامج ضارة على أجهزتهم. يمكن أن يؤدي فتح المرفقات في رسائل البريد الإلكتروني أيضًا إلى تثبيت برامج ضارة على أجهزة المستخدمين المصممة لجمع المعلومات الحساسة أو إرسال رسائل البريد الإلكتروني إلى جهات الاتصال الخاصة بهم أو توفير الوصول عن بُعد إلى أجهزتهم.
منع هجمات التصيد الاحتيالي
يجب على الشركات تدريب المستخدمين على عدم تنزيل المرفقات أو النقر فوق الروابط في رسائل البريد الإلكتروني الواردة من مرسلين غير معروفين وتجنب تنزيل البرامج المجانية من مواقع الويب غير الموثوق بها.
- هجمات حجب الخدمة الموزعة (DDoS)
في هجوم رفض الخدمة الموزع (DDoS) ، تهاجم العديد من الأجهزة المخترقة هدفًا ، مثل خادم أو موقع ويب أو مصدر شبكة آخر ، مما يجعل الهدف غير قابل للتشغيل تمامًا. يجبر تدفق طلبات الاتصال أو الرسائل الواردة أو الحزم المشوهة النظام المستهدف على الإبطاء أو التعطل والإغلاق ، مما يحرم المستخدمين أو الأنظمة الشرعية من الخدمة.
منع هجمات DDoS
للمساعدة في منع هجمات DDoS ، يجب على الشركات اتخاذ الخطوات التالية:
تطبيق تقنية لمراقبة الشبكات بصريًا ومعرفة مقدار النطاق الترددي الذي يستخدمه الموقع في المتوسط. تقدم هجمات DDoS أدلة مرئية حتى يتمكن المسؤولون الذين يفهمون السلوك الطبيعي لشبكاتهم من اكتشاف هذه الهجمات بشكل أفضل. تأكد من أن الخوادم لديها القدرة على التعامل مع الزيادات الكبيرة في حركة المرور وأدوات التخفيف الضرورية اللازمة لمعالجة المشكلات الأمنية.
تحديث وتصحيح جدران الحماية وبرامج أمان الشبكة.
قم بإعداد بروتوكولات تحدد الخطوات التي يجب اتخاذها في حالة حدوث هجوم DDoS.
- انتزاع الفدية
في هجوم برامج الفدية ، يتم قفل كمبيوتر الضحية ، عادةً عن طريق التشفير ، مما يمنع الضحية من استخدام الجهاز أو البيانات المخزنة عليه. لاستعادة الوصول إلى الجهاز أو البيانات ، يتعين على الضحية دفع فدية للمتسلل ، عادةً بعملة افتراضية مثل Bitcoin. يمكن أن تنتشر برامج الفدية عبر مرفقات البريد الإلكتروني الضارة وتطبيقات البرامج المصابة وأجهزة التخزين الخارجية المصابة ومواقع الويب المخترقة.
إخطار هجوم برنامج الفدية، منع برامج الفدية فيما يتعلق بهجمات برامج الفدية ، يجب على المستخدمين إجراء نسخ احتياطي لأجهزة الكمبيوتر الخاصة بهم بانتظام وتحديث جميع البرامج ، بما في ذلك برامج مكافحة الفيروسات. يجب على المستخدمين تجنب النقر فوق الروابط الموجودة في رسائل البريد الإلكتروني أو فتح مرفقات البريد الإلكتروني من مصادر غير معروفة. يجب على الضحايا بذل كل ما في وسعهم لتجنب دفع الفدية. يجب على المؤسسات أيضًا ربط جدار الحماية التقليدي الذي يمنع الوصول غير المصرح به إلى أجهزة الكمبيوتر أو الشبكات ببرنامج يقوم بتصفية محتوى الويب ويركز على المواقع التي قد تقدم برامج ضارة. بالإضافة إلى ذلك ، قم بتقييد البيانات التي يمكن لمجرم الإنترنت الوصول إليها عن طريق فصل الشبكة إلى مناطق متميزة ، تتطلب كل منها بيانات اعتماد مختلفة.
- مجموعات استغلال
مجموعة أدوات الاستغلال هي أداة برمجة تمكّن أي شخص بدون أي خبرة في كتابة تعليمات برمجية من إنشاء برامج ضارة وتخصيصها وتوزيعها. تُعرف مجموعات استغلال الثغرات بأسماء متنوعة ، بما في ذلك مجموعة العدوى ومجموعة أدوات الجريمة ومجموعة أدوات الهجوم التي تصنعها بنفسك ومجموعة أدوات البرامج الضارة. يستخدم مجرمو الإنترنت مجموعات الأدوات هذه لمهاجمة الثغرات الأمنية في النظام لتوزيع البرامج الضارة أو الانخراط في أنشطة ضارة أخرى ، مثل سرقة بيانات الشركة أو شن هجمات رفض الخدمة أو بناء شبكات الروبوت.
منع مجموعات الاستغلال
للحماية من مجموعات الاستغلال ، يجب على المؤسسة نشر برامج مكافحة البرامج الضارة بالإضافة إلى برنامج أمان يقوم باستمرار بتقييم ما إذا كانت ضوابط الأمان الخاصة بها فعالة وتوفر الحماية ضد الهجمات. يجب على الشركات أيضًا تثبيت أدوات مكافحة التصيد لأن العديد من مجموعات الاستغلال تستخدم مواقع الويب المخترقة أو المخترقة لاختراق الشبكة.
- هجمات التهديد المستمر المتقدمة
التهديد المستمر المتقدم (APT) هو هجوم إلكتروني مستهدف يخترق فيه متطفل غير مصرح به شبكة ويظل غير مكتشفة لفترة طويلة من الزمن. بدلاً من التسبب في تلف نظام أو شبكة ، فإن الهدف من هجوم APT هو مراقبة نشاط الشبكة وسرقة المعلومات للوصول إليها ، بما في ذلك مجموعات الاستغلال والبرامج الضارة. عادةً ما يستخدم مجرمو الإنترنت هجمات APT لاستهداف أهداف عالية القيمة ، مثل الشركات الكبيرة والدول القومية ، لسرقة البيانات على مدى فترة طويلة.
منع هجمات APT
قد يكون اكتشاف الحالات الشاذة في البيانات الصادرة هو أفضل طريقة لمسؤولي النظام لتحديد ما إذا كانت شبكاتهم مستهدفة أم لا. تشمل مؤشرات APTs ما يلي:
نشاط غير عادي على حسابات المستخدمين ؛
الاستخدام المكثف للبرامج الضارة لحصان طروادة المستتر ، وهي طريقة تمكّن APTs من الحفاظ على الوصول ؛
نشاط قاعدة البيانات الفردية ، مثل الزيادة المفاجئة في عمليات قاعدة البيانات التي تنطوي على كميات هائلة من البيانات ؛ و وجود ملفات بيانات غير معتادة ، مما قد يشير إلى أن البيانات التي تم تجميعها في ملفات للمساعدة في عملية الاستخراج.
لمكافحة هذا النوع من تهديد أمن المعلومات ، يجب على المؤسسة أيضًا نشر برنامج أو جهاز أو جدار حماية سحابي للحماية من هجمات APT. يمكن للمؤسسات أيضًا استخدام جدار حماية لتطبيق الويب لاكتشاف ومنع الهجمات القادمة من تطبيقات الويب من خلال فحص حركة مرور HTTP.
- Malvertising
Malvertising هي تقنية يستخدمها مجرمو الإنترنت لإدخال تعليمات برمجية ضارة في شبكات الإعلان وصفحات الويب المشروعة عبر الإنترنت. يعيد هذا الرمز عادةً توجيه المستخدمين إلى مواقع ويب ضارة أو يقوم بتثبيت برامج ضارة على أجهزة الكمبيوتر أو الأجهزة المحمولة الخاصة بهم. قد تصاب أجهزة المستخدمين بالعدوى حتى إذا لم ينقروا على أي شيء لبدء التنزيل. قد يستخدم مجرمو الإنترنت الإعلانات الضارة لنشر مجموعة متنوعة من البرامج الضارة لكسب المال ، بما في ذلك البرامج النصية للتشفير وبرامج الفدية وأحصنة طروادة المصرفية.
عرضت بعض المواقع الإلكترونية لشركات معروفة ، بما في ذلك Spotify و The New York Times و London Stock Exchange ، إعلانات ضارة عن غير قصد ، مما يعرض المستخدمين للخطر.
منع سوء الدعاية
لمنع سوء الدعاية ، يجب أن تضيف شبكات الإعلانات التحقق من الصحة ؛ هذا يقلل من فرص تعرض المستخدم للخطر. يمكن أن تشمل عملية التحقق ما يلي: فحص العملاء المحتملين من خلال طلب الأعمال الورقية القانونية ؛ توثيق ذو عاملين؛ فحص الإعلانات المحتملة بحثًا عن محتوى ضار قبل نشر إعلان ؛ أو ربما تحويل إعلانات فلاش إلى صور متحركة أو أنواع أخرى من المحتوى.
للتخفيف من الهجمات الإعلانية الخبيثة ، يجب على مضيفي الويب التحقق من مواقع الويب الخاصة بهم بشكل دوري من نظام غير مصحح ومراقبة هذا النظام لاكتشاف أي نشاط ضار. يجب على مضيفي الويب تعطيل أي إعلانات ضارة.
لتقليل مخاطر هجمات الإعلانات الضارة ، يجب أن تتأكد فرق أمان المؤسسات من تحديث البرامج والتصحيحات بالإضافة إلى تثبيت أدوات مكافحة البرامج الضارة على الشبكة.
