تركيبة الأجزاء المعرضة للهجوم الخارجي

تنشأ معظم الهجمات الإلكترونية على بعد أميال من الشبكة؛ تشتمل تطبيقات الويب على فئة المتجهات الأكثر استغلالًا في الانتهاكات المتعلقة بالقرصنة. لسوء الحظ، تفتقر معظم المؤسسات إلى رؤية كاملة لأصول الإنترنت الخاصة بها وكيفية اتصال هذه الأصول بالأجزاء المعرضة للهجوم العمومية. هناك ثلاثة مساهمين مهمين في هذا النقص في الرؤية وهم shadow IT وعمليات الدمج والاستحواذ (M&A)، وسلاسل التوريد الرقمية.

Shadow IT

عندما لا تتمكن تكنولوجيا المعلومات من مواكبة متطلبات العمل، تبحث الشركة في مكان آخر عن الدعم في تطوير وتوزيع أصول الويب الجديدة. غالبًا ما يكون فريق الأمان في حالة جهل فيما يتعلق بأنشطة shadow IT، ونتيجة لذلك، لا يمكنه وضع الأصول التي تم إنشاؤها ضمن نطاق برنامج الأمان الخاص به. يمكن أن تصبح الأصول غير المُدارة والمعزولة عائقًا أمام الأجزاء المعرضة للهجوم الخاصة بالمؤسسة بمرور الوقت.

أصبح هذا الانتشار السريع للأصول الرقمية خارج جدار الحماية هو القاعدة الآن. عادة ما يجد عملاء RiskIQ الجدد ما يقرب من 30 بالمائة من الأصول أكثر مما كانوا يعتقدون أنهم يملكون، وتكتشف RiskIQ 15 خدمة منتهية الصلاحية (عرضة للاستيلاء على النطاق الفرعي) و143 منفذًا مفتوحًا كل دقيقة.²

عمليات الدمج والاستحواذ

تعمل العمليات اليومية ومبادرات الأعمال المهمة مثل M&A والشراكات الإستراتيجية والإسناد إلى جهة أخرى على إنشاء وتوسيع الأجزاء المعرضة للهجوم الخارجية. اليوم، أقل من 10 بالمائة من الصفقات على مستوى العالم تحتوي على العناية الواجبة المتعلقة بالأمان الإلكتروني.

هناك عدة أسباب شائعة لعدم حصول المؤسسات على رؤية كاملة للمخاطر الإلكترونية المحتملة أثناء عملية الفحص الواجب. الأول هو الحجم الهائل للوجود الرقمي للشركة الذي تكتسبه. ليس من غير المألوف أن تمتلك مؤسسة كبيرة الآلاف - أو حتى عشرات الآلاف - من مواقع الويب النشطة وغيرها من الأصول المكشوفة علنًا. في حين أن فرق تكنولوجيا المعلومات والأمان في الشركة التي سيتم الاستحواذ عليها سيكون لديها سجل أصول لمواقع الويب، إلا أنه دائمًا ما يكون مجرد عرض جزئي لما هو موجود. كلما كانت أنشطة تكنولوجيا المعلومات في المؤسسة أكثر لا مركزية، زادت الفجوة.

سلاسل التوريد

تعتمد المؤسسة بشكل متزايد على التحالفات الرقمية التي تشكل سلسلة التوريد الحديثة. على الرغم من أن هذه التبعيات ضرورية للعمل في القرن الحادي والعشرين، إلا أنها تخلق أيضًا شبكة معقدة ومتعددة الطبقات ومعقدة للغاية من العلاقات مع الأطراف الثالثة، والتي يقع الكثير منها خارج نطاق اختصاص فرق الأمان والمخاطر للحماية والدفاع بشكل استباقي. ونتيجة لذلك، فإن التحديد السريع للأصول الرقمية الضعيفة التي تشير إلى المخاطر يمثل تحديًا هائلاً.

إن الافتقار إلى الفهم والرؤية لهذه التبعيات جعل من هجمات الطرف الثالث واحدة من أكثر العوامل فعالية وفعالية بالنسبة لممثلو المخاطر في مجال التهديد. يأتي الآن قدر كبير من الهجمات عبر سلسلة التوريد الرقمية. واليوم، أشار 70 بالمائة من متخصصي تكنولوجيا المعلومات إلى مستوى متوسط إلى مرتفع من الاعتماد على الكيانات الخارجية التي قد تشمل أطرافًا ثالثة أو رابعة أو خامسة.⁹ وفي الوقت نفسه، شهدت 53 بالمائة من المؤسسات خرقًا واحدًا للبيانات على الأقل بسبب طرف ثالث.¹⁰

في حين أن الهجمات واسعة النطاق على سلسلة التوريد أصبحت أكثر شيوعًا، فإن المؤسسات تتعامل مع الهجمات الأصغر حجمًا يوميًا. تؤثر البرامج الضارة التي تسرق بطاقات الائتمان الرقمية، مثل Magecart، على المكونات الإضافية للتجارة الإلكترونية التابعة لطرف ثالث. في فبراير 2022، اكتشفت RiskIQ أكثر من 300 نطاق متأثر ببرامج ضارة لمسح بطاقات الائتمان الرقمية Magecart.¹¹

لقد تحولت الأجزاء المعرضة للهجوم على الإنترنت العمومية اليوم بشكل كبير إلى نظام بنائي ديناميكي وشامل ومتشابك تمامًا، ونحن جميعًا جزء منه. إذا كان لديك تواجد على الإنترنت، فإنك تتواصل مع أي شخص آخر، بما في ذلك أولئك الذين يريدون إلحاق الأذى بك. ولهذا السبب، فإن تتبع البنية الأساسية للتهديدات لا يقل أهمية عن تتبع البنية الأساسية الخاصة بك.

ستقوم مجموعات التهديد المختلفة بإعادة تدوير البنية الأساسية ومشاركتها - عناوين IP والمجالات والشهادات - واستخدام أدوات السلع مفتوحة المصدر، مثل البرامج الضارة ومجموعات التصيد الاحتيالي ومكونات C2 لتجنب الإسناد السهل وتعديلها وتحسينها لتناسب احتياجاتها الفريدة.

يتم اكتشاف أكثر من 560 ألف قطعة جديدة من البرامج الضارة كل يوم، وتضاعف عدد مجموعات التصيد المُعلن عنها في أسواق الجرائم الإلكترونية السرية بين عامي 2018 و2019. وفي عام 2020، ارتفع عدد متغيرات البرامج الضارة المكتشفة بنسبة 74 بالمائة.¹⁴ يكتشف RiskIQ الآن خادم Cobalt Strike C2 كل 49 دقيقة.