اتصل بنا للحصول على مزيد من المعلومات

عندما تكشف الفرق الحمراء عن ما لا يمكن تصوره

الأمن السيبراني

عندما تكشف الفرق الحمراء عن ما لا يمكن تصوره

mm
تم النشر

تعتقد العديد من المنظمات أنها آمنة - حتى يثبت الفريق الأحمر عكس ذلك.

خلال خبرتي الممتدة لـ 28 عامًا في مجال الأمن الهجومي، رأيتُ بنفسي كيف تنهار الثقة بسرعة عند تطبيق تكتيكات عدائية واقعية على دفاعات الشركات. لا تقتصر عمليات الفريق الأحمر على اختبار الأنظمة فحسب، بل تتجاوزها إلى حدود الوصول الممكنة من منظور خصم مُصمم ومتطور. غالبًا ما تكون قواعد الاشتباك أوسع نطاقًا، مما يسمح ليس فقط بهجمات من جانب الخادم، بل أيضًا بالهندسة الاجتماعية، والتقنيات اللاسلكية، وحتى المادية. ما نكتشفه غالبًا في عملياتنا هو احتمالية وصول كارثية.

لقد اكتسبت أنا وفريقي موطئ قدم في الشبكة وامتيازات متزايدة للوصول إلى أفران الصهر التجارية والتحكم فيها، والبنية الأساسية لتوقيع رمز السائق، وأنظمة الرواتب، وعناوين IP الحساسة، وأنظمة استضافة البنوك، وأنظمة الدوائر التلفزيونية المغلقة، وصناديق الوارد الخاصة بالمديرين الماليين، ونتائج أجهزة التصوير بالرنين المغناطيسي/الأشعة السينية، ومشاركات الملفات المليئة بمعلومات الصحة الشخصية، وملفات مثيرة للاهتمام لا حصر لها، و2nd منازل الرؤساء التنفيذيين التي كانت مرتبطة بشبكات VPN مع شبكات الشركات، وتفريغات التجزئة الكاملة للعديد من غابات Active Directory.

لقد انتقلنا إلى الشبكات المحلية بعد اختراق موارد السحابة، وشهدنا تحولاً في عملياتنا من الشبكات المحلية إلى مراكز سحابية. في بعض الأحيان، كلما كبر حجم الهدف، كان الأمر أسهل، بغض النظر عن حجم ميزانية أمن المعلومات الخاصة به. ويعود ذلك إلى عدم التكافؤ الطبيعي بين المهاجمين والمدافعين. فالنطاق الأكبر يعني فرصاً أكبر لنقاط ضعف مكشوفة دون قصد. هذه ليست مخاطر نظرية، بل هي حقيقية، وعدد المؤسسات المعرضة لهذا المستوى من الاختراق أكبر مما تتصور.

موطئ قدم

تبدأ الاختراقات الخارجية بموطئ قدم - نقطة وصول أولية تفتح الباب أمام اختراق أعمق. في عملنا، نُصنّف موطئ القدم إلى أربعة أنواع رئيسية:

1. الهندسة الاجتماعية

رغم شيوعه، نعتبره الأقل ربحًا. خداع المستخدمين للنقر على الروابط أو الكشف عن بيانات اعتمادهم فعال، لكنه لا يعكس مهارة خصم متمرس. مع ذلك، رأينا المهاجمون يزيفون رسائل البريد الإلكتروني الخاصة بالمدير المالي لبدء التحويلات البنكية "الطارئة" أو استخدام استنساخات صوتية تم إنشاؤها بواسطة الذكاء الاصطناعي لتجاوز بروتوكولات مكتب المساعدة.

2. رش كلمة المرور

تظل هذه التقنية المنخفضة والبطيئة واحدة من أكثر التقنيات فعالية. تخمين كلمات المرور الشائعة عبر قوائم المستخدمين الكبيرة، يتجنب المهاجمون عمليات الإغلاق، وغالبًا ما ينجحون. لقد اخترقنا شبكاتنا باستخدام "Summer2025!" فقط، عبر آلاف أسماء المستخدمين المُجمعة من مصادر عامة. أعتقد أن أكثر من واحد من كل ألف من مستخدمي الشركات سيختارون هذا الخيار ما لم تُطبّق إجراءات حظر الكلمات المحظورة، والتي تحظر سلاسل مثل "summer" و"2025" و"25". للحصول على سياسة كلمات مرور أطول، أعتقد أن "Summertime2025!" مثال على ذلك.

3. نقاط الضعف في أسلوب العائالت المتعددة MFA

المصادقة متعددة العوامل أمرٌ أساسي، ولكنه ليس معصومًا من الخطأ. وكما هو الحال في جميع ضوابط الأمان، يُعدّ النشر الشامل والمتسق أمرًا بالغ الأهمية. لقد تجاوزنا مصادقة العوامل المتعددة (MFA) باستخدام إرهاق الدفع، وثغرات الوصول المشروط، وروابط التسجيل القديمة. في إحدى الحالات، سجّلنا جهازنا باستخدام رابط عمره ستة أشهر وُجد في صندوق بريد مُخترق.

4. الثغرات القابلة للاستغلال

تطبيقات الويب المخصصة معرضة للخطر بشكل خاص. لقد استغللنا كل شيء من حقن SQL من اجتياز المسار إلى أخطاء إلغاء تسلسل الكائنات إلى عيوب منطقية تُمكّن المستخدمين العاديين من تحديد أسعارهم عند الدفع أو الترقية إلى صلاحيات إدارية. قد تؤدي مكونات البرامج التجارية القديمة إلى تنفيذ برمجي عن بُعد إذا تُركت دون تصحيح.

التحقق من الواقع: الامتثال مقابل التعرض

غالبًا ما ترسم عمليات التدقيق الأمني ​​صورةً إيجابية. لكن الفرق الحمراء تعمل خارج الإطار. غالبًا ما تكون قواعد الاشتباك في عمليات الفرق الحمراء أوسع بكثير من اختبارات الاختراق التقليدية - فنحن نحاكي الخصوم بأهداف دقيقة.

في العديد من التعاملات، يمتلك العملاء مخزونًا كبيرًا من تقارير الاختراق السابقة من عدة شركات مختلفة، مع وجود القليل من الأدلة على "الاختراق" أو انعدامها. ليس من غير المألوف أن نصحح هذا التصور بتحقيق مستويات وصول عالية من خلال اختبارات اختراق خارجية بسيطة وغير مُصادق عليها. قد تكون الفجوة بين المخاطر المُتصورة والفعلية شاسعة. يُعدّ اختبار الاختراق عالي الجودة، والمُركز على التغطية، أكثر قيمة من عمليات الفريق الأحمر القائمة على الأهداف للمؤسسات ذات المواقف الأمنية الأقل نضجًا.

دور الذكاء الاصطناعي في الأمن الهجومي

مع أن الذكاء الاصطناعي لم يحلّ محلّ الإبداع البشري في فرق العمل الحمراء بعد، إلا أنه يُسرّع سير عملنا. نستخدم الذكاء الاصطناعي التوليدي لبناء ثغراتٍ برمجيةٍ أسرع، وتحليل مواطن الخلل، ومحاكاة الأصوات أثناء عمليات التصيد الصوتي، وحتى تصميم حملات تصيد احتيالي تبدو حقيقية. إن صعود الذكاء الاصطناعي الهجومي الوكيل الذي يحتل مراتب متقدمة في قوائم مكافآت الأخطاء العامة هو مؤشرٌ على ما هو آتٍ.

التعاطف مع المدافعين

رغم دورنا الهجومي، نحترم المدافعين بشدة. التفاوت حقيقي: يجب أن يكون المدافعون مثاليين على مدار الساعة طوال أيام الأسبوع؛ بينما يحتاج المهاجمون إلى خطأ واحد فقط. لهذا السبب، لا تقتصر تقاريرنا على تسليط الضوء على نقاط الضعف، وسلاسل الثغرات، ولقطات الشاشة، والتأثير الفعلي؛ بل نورد في أعلى ملخصنا التنفيذي الممارسات الإيجابية التي رصدناها أثناء الاختبار. نستمتع بكتابة هذه الممارسات أكثر من النتائج نفسها. نحن في فريقكم لتثقيفكم ومعالجتها، لا لكشفها.

النتيجة: غالبًا ما يكون الأمر غير المتوقع أمامك مباشرةً

لا تكتفي الفرق الحمراء باكتشاف العيوب، بل تُجبر المؤسسات على مواجهة حقائق مُقلقة. غالبًا ما تُخفي واجهة الأمن أنظمةً هشة، وتكوينات خاطئة، ومخاطر مُتجاهلة. وعندما نكشف ما لا يُصدق، فليس الهدف هو النقد، بل تعزيز المؤسسة.

لأن التحقق من الواقع في مجال الأمن السيبراني ليس أمرًا اختياريًا. فهو العامل الوحيد الذي يفصل بين "الأمن على الورق" والاختراق الظاهر.

مواضيع ذات صلة:
mm

جيك رينولدز هو مدير خدمات الأمن الهجومية في كل مغطاةبخبرة تزيد عن 28 عامًا في اختبار الاختراق واستراتيجيات الأمن السيبراني، يقود جيك فريقًا من نخبة الخبراء في مجال الأمن السيبراني، متخصصين في كشف الثغرات الأمنية الحقيقية. وهو متحدث دائم عن التكتيكات العدائية، وقد ساعد مئات المؤسسات على إعادة النظر في سياساتها الأمنية.