أهم التهديدات السيبرانية الأكثر خطورة في 2024 (ج1)
مؤتمر RSA 2024 – سان فرانسيسكو – بعد خمسة أشهر فقط من عام 2024، كان العام حافلاً بالنسبة لممارسي الأمن السيبراني، مع هجمات سلسلة التوريد لعدة سنوات، واستغلال الجهات الفاعلة التابعة للدولة نقاط ضعف متعددة في بوابات الشبكة والأجهزة الطرفية، وحوادث برامج الفدية المتعددة ضد كيانات الرعاية الصحية الكبيرة. ما الذي ينتظرنا لبقية العام؟
في مؤتمر RSA الذي عقد الأسبوع الماضي، قام إد سكوديس، رئيس معهد SANS للتكنولوجيا، بعقد لجنته السنوية المكونة من معلمي وزملاء معهد SANS للبحث في الموضوعات التي يجب أن تكون في مقدمة اهتمامات المدافعين عن الإنترنت للأشهر المتبقية من العام.
وقال سكوديس للحاضرين: “هذه هي اللجنة المفضلة لدي لهذا العام لأننا نستمع إلى خبراء حقيقيين حول ما يحدث بالفعل في البرية وما يمكننا القيام به حيال ذلك لجعل منظماتنا أكثر أمانًا وأمانًا”.
ومن غير المستغرب أن الذكاء الاصطناعي (AI) كان موضوعًا متكررًا لجميع التهديدات التي حددتها اللجنة تقريبًا. فيما يلي أهم خمسة تهديدات حددها خبراء SANS والتي يجب على الشركات القلق بشأنها.
التأثير الأمني للديون الفنية
قد لا تبدو التصدعات الأمنية التي خلفتها الديون التقنية بمثابة تهديد جديد ملح، ولكن وفقًا للدكتور يوهانس أولريش، عميد الأبحاث في معهد SANS للتكنولوجيا، فإن حزمة برامج المؤسسة عند نقطة انعطاف للمشاكل المتتالية. والأكثر من ذلك، “إنه يؤثر بشكل متزايد ليس فقط على تطبيقات مؤسستنا، ولكن أيضًا على مجموعتنا الأمنية”.
الدين الفني هو تراكم العمل في هندسة البرمجيات أو تصميم النظام الذي تم تركه دون تنفيذ أو تأجيله حتى الغد من أجل الحصول على الحد الأدنى من المنتج القابل للتطبيق وتشغيله اليوم. قد يتم تراكم الدين عن قصد لتحسين السرعة أو التكلفة، أو يمكن أن يتراكم دون قصد بسبب ممارسات هندسة البرمجيات غير الناضجة. وفي كلتا الحالتين، فإنه يميل إلى إثارة الكثير من مخاطر الأمن السيبراني مع نمو الديون.
ووفقًا لأولريش، فإن التراكم المتزايد للديون الفنية جنبًا إلى جنب مع التعقيد المتزايد لسلسلة توريد البرمجيات يزيد من ظهور ناقل التهديد هذا.
“حتى بوصفي مطورًا، فمن السهل جدًا أن أقول: “مرحبًا، هذه المكتبة الجديدة لا تحتوي حقًا على أي ميزات جديدة ولا تصلح أي ثغرات أمنية، لذلك لن أقوم بتطبيق هذا التحديث”. يقول. “تكمن المشكلة في أنه بعد خمس سنوات من الآن، بعد تخطي 10 إلى 15 تحديثًا إضافيًا مختلفًا، ستصل ثغرة أمنية كبيرة إلى تلك المكتبة، وسيتعين عليك الآن التعامل مع كل هذه المشاكل الصغيرة التي تراكمت على مر السنين حتى تتمكن من اصلحه.”
الهوية الاصطناعية في عصر الذكاء الاصطناعي
لقد كان إثبات الهوية عند بدء بيانات الاعتماد الجديدة والمصادقة بمثابة صراع دام عقودًا من الزمن بالنسبة لصناعة الأمن. وأوضح أولريش أن هذا الصراع سوف يستمر في التوسع في عصر الذكاء الاصطناعي.
وقال أولريش إن مقاطع الفيديو المزيفة والصوت المزيف تُستخدم لانتحال هوية الأشخاص، وسوف تحبط العديد من طرق المصادقة البيومترية التي اكتسبت زخمًا على مدار العقد الماضي.
وقال: “إن ما يغير قواعد اللعبة اليوم ليس جودة عمليات انتحال الشخصية هذه”. “إن التكلفة هي التي غيرت قواعد اللعبة. لقد أصبح القيام بذلك رخيصًا، بينما كان في الماضي مكلفًا للغاية. والآن أصبح تصنيع تلك المنتجات المزيفة بضعة دولارات مقابل عشرات الآلاف”.
تعمل الوسائط الاصطناعية التي ينشئها الذكاء الاصطناعي على قلب الكثير من الابتكارات التي قام بها موردو الخدمات الأمنية للمساعدة في تقليل الاحتكاك عند التسجيل والتحقق من الهوية، وكذلك عند تسجيل الدخول. على سبيل المثال، لا يقوم موقع الويب المسمى Onlyfakes.com بإنشاء معرفات مزيفة فحسب، بل يقوم أيضًا بإنشاء صور تبدو وكأنها صورة تلتقطها للحصول على رخصة قيادة أو معرفات أخرى مماثلة للتحقق من الهوية.
وأوضح أولريش: “إنها تحتوي على خلفية مثل السجادة أو قطعة من الخشب تبدو وكأن شخصًا التقط تلك الصورة في منزله”. “وقد تم استخدام هذا بالفعل لانتحال هوية ثابتة عبر الإنترنت مع بعض المساعدة المالية.”
ويحذر من أن هذا سيضع ضغطًا على ممارسي الأمن والبائعين على المدى القريب لمواصلة إعادة التفكير في كيفية قيام الصناعة بالتحقق من الهوية على أساس المخاطر.
الابتزاز الجنسي
وقالت هيذر ماهاليك بارنهارت، زميلة هيئة التدريس في SANS والمدير الأول، إن التهديد الرئيسي الثالث كان صادمًا بعض الشيء مقارنة ببعض القضايا الأخرى التي تركز على المؤسسات والتي تعالجها SANS عادةً، ولكنها مشكلة خطيرة تستحق الاهتمام من الصناعة. للمشاركة المجتمعية في Cellebrite.
“في كل عام آتي إلى هنا وأحاول أن أدمر عقلك بطريقة مختلفة، وربما هذا ما سيفعله هذا الموضوع لأنه تهديد حاد لا أحد يريد أن يتجاهله.