مشاركة عبر

الحماية من برامج الفدية الضارة في Azure

  • مقالة

برامج الفدية الضارة والابتزاز هي أعمال تجارية عالية الربح ومنخفضة التكلفة، والتي لها تأثير يهين المنظمات المستهدفة، والأمن الوطني/الإقليمي، والأمن الاقتصادي، والصحة العامة والسلامة العامة. ما بدأ كبرمجيات الفدية البسيطة والكمبيوتر الشخصي الواحد نمت لتشمل تقنيات الابتزاز المختلفة الموجهة إلى جميع أنواع شبكات الشركات والمنصات السحابية.

لضمان حماية العملاء الذين يعملون على Azure من هجمات برامج الفدية الضارة، تستثمر Microsoft بشكل كبير في أمان الأنظمة الأساسية السحابية لدينا، وتوفر عناصر التحكم في الأمان التي تحتاجها لحماية أحمال عمل سحابة Azure

باستخدام الحماية الأصلية من برامج الفدية الضارة في Azure وتنفيذ أفضل الممارسات الموصى بها في هذه المقالة، فإنك تتخذ تدابير تعمل على وضع مؤسستك لمنع هجمات برامج الفدية الضارة المحتملة على أصول Azure وحمايتها واكتشافها.

توضح هذه المقالة قدرات Azure الأصلية الرئيسية والدفاعات لهجمات برامج الفدية الضارة وإرشادات حول كيفية استخدام هذه بشكل استباقي لحماية أصولك على سحابة Azure.

تهديد متزايد

هجمات برامج الفدية الضارة هي واحدة من أكبر التحديات الأمنية التي تواجه الشركات اليوم. عند النجاح، يمكن لهجمات برامج الفدية الضارة تعطيل البنية التحتية الأساسية للأعمال تكنولوجيا المعلومات، والتسبب في تدمير يمكن أن يكون له تأثير موهين على الأمن المادي أو الاقتصادي أو السلامة للأعمال التجارية. تستهدف هجمات برامج الفدية الضارة الشركات من جميع الأنواع. وهذا يتطلب أن تتخذ جميع الشركات إجراءات وقائية لضمان الحماية.

والاتجاهات الأخيرة بشأن عدد الهجمات تبعث على القلق. في حين أن عام 2020 لم يكن عاماً جيداً لهجمات برامج الفدية الضارة على الشركات، إلا إن عام 2021 بدأ في مسار سيئ. في 7 مايو، أدى هجوم مسار التدفق الاستعماري (المستعمر) إلى إيقاف خدمات مثل نقل مسارات التدفق للديزل والبنزين ووقود الطائرات مؤقتاً. أغلق المستعمر شبكة الوقود الحيوية التي تزود الولايات الشرقية المكتظة بالسكان.

تاريخياً، كان يُنظر إلى الهجمات الإلكترونية على أنها مجموعة معقدة من الإجراءات التي تستهدف صناعات معينة، ما جعل الصناعات المتبقية تعتقد أنها خارج نطاق الجرائم الإلكترونية، ودون سياق بشأن تهديدات الأمن السيبراني التي يجب أن تستعد لها. تمثل برامج الفدية الضارة تحولا كبيرا في مشهد التهديد هذا، وهي تجعل الهجمات الإلكترونية خطرا حقيقيا وكلي العرض للجميع. أصبحت الملفات المشفرة والمفقودة وتهديد مذكرات الفدية الآن أكبر مخاوف معظم الفرق التنفيذية.

يستفيد النموذج الاقتصادي لبرامج الفدية الضارة من التصور الخاطئ بأن هجوم برامج الفدية الضارة هو مجرد حادث يتعلق بالبرامج الضارة. في حين أن برامج الفدية الضارة في الواقع هي خرق يشمل أعداء بشريين يهاجمون شبكة.

بالنسبة للعديد من المؤسسات، فإن تكلفة إعادة البناء من الصفر بعد حادثة برنامج الفدية تفوق بكثير الفدية الأصلية المطلوبة. مع الفهم المحدود لطبيعة التهديدات وكيفية عمل برامج الفدية الضارة، يبدو أن دفع الفدية هو أفضل قرار تجاري للعودة إلى العمليات. ومع ذلك، غالباً ما يحدث الضرر الحقيقي عندما يقوم المجرم الإلكتروني بتسريب الملفات للإفراج عنها أو بيعها، مع ترك الأبواب الخلفية في الشبكة للنشاط الإجرامي في المستقبل - وتستمر هذه المخاطر سواء تم دفع الفدية أم لا.

ما هو انتزاع الفدية

برنامج الفدية هو نوع من البرامج الضارة التي تصيب جهاز الكمبيوتر وتقيد وصول المستخدم إلى النظام المصاب أو ملفات معينة من أجل ابتزازهم مقابل المال. بعد اختراق النظام الهدف، فإنه عادة ما يقوم بتأمين معظم التفاعل ويعرض تنبيها على الشاشة، يفيد عادة بأن النظام مؤمن أو أن جميع ملفاتهم مشفرة. ثم يطلب دفع فدية كبيرة قبل إصدار النظام أو فك تشفير الملفات.

تستغل برامج الفدية الضارة عادةً الثغرات الأمنية أو الثغرات الأمنية في أنظمة تكنولوجيا المعلومات أو البنى الأساسية الخاصة بمؤسستك لتحقيق النجاح. الهجمات واضحة لدرجة أنه لا يتطلب الكثير من التحقيق للتأكد من أن عملك قد تعرض للهجوم أو أنه يجب الإعلان عن حادث. قد يكون الاستثناء هو البريد الإلكتروني العشوائي الذي يطلب فدية مقابل مواد يُفترض أنها تعرض للخطر. في هذه الحالة، يجب التعامل مع هذه الأنواع من الحوادث كبريد عشوائي ما لم يكن البريد الإلكتروني يحتوي على معلومات محددة للغاية.

يمكن مهاجمة أي شركة أو مؤسسة تشغل نظاماً لتكنولوجيا المعلومات به بيانات. على الرغم من إمكانية استهداف الأفراد بهجمات برامج الفدية الضارة، إلا إن معظم الهجمات تستهدف الشركات. رغم أن هجوم Colonial ransomware في مايو 2021 قد جذب اهتماماً كبيراً من الجمهور، فإن بيانات مشاركة برامج الفدية الضارة الخاصة بفريق الكشف والاستجابة (DART) تُظهر أن قطاع الطاقة يمثل أحد القطاعات الأكثر استهدافاً، إلى جانب القطاعات المالية والرعاية الصحية والترفيهية. وعلى الرغم من الوعود المستمرة بعدم مهاجمة المستشفيات أو شركات الرعاية الصحية أثناء الوباء، تظل الرعاية الصحية الهدف الأول لبرمجيات الفدية التي يديرها الإنسان.

مخطط دائري يوضح الصناعات التي تستهدفها برامج الفدية الضارة

كيف يتم استهداف الأصول الخاصة بك

عند مهاجمة البنية الأساسية السحابية، غالباً ما يهاجم الأعداء موارد متعددة لمحاولة الوصول إلى بيانات العملاء أو بيانات سرية الشركة. يوضح نموذج "سلسلة القتل" السحابية كيف يحاول المهاجمون الوصول إلى أي من مواردك التي تعمل في السحابة العامة من خلال عملية من أربع خطوات: التعرض والوصول والحركة الجانبية والإجراءات.

  1. التعرض هو المكان الذي يبحث فيه المهاجمون عن فرص للوصول إلى البنية الأساسية الخاصة بك. على سبيل المثال، يعرف المهاجمون أن التطبيقات التي تواجه العملاء يجب أن تكون مفتوحة للمستخدمين الشرعيين للوصول إليها. تتعرض هذه التطبيقات للإنترنت وبالتالي فهي عرضة للهجمات.
  2. يحاول المهاجمون استغلال التعرض للوصول إلى البنية الأساسية السحابية العامة. يمكن القيام بذلك من خلال بيانات اعتماد المستخدم المخترقة أو المثيلات المخترقة أو الموارد المهيأة بشكل خاطئ.
  3. خلال مرحلة الحركة الجانبية، يكتشف المهاجمون الموارد التي يمكنهم الوصول إليها وما هو نطاق هذا الوصول. تتيح الهجمات الناجحة على المثيلات للمهاجمين الوصول إلى قواعد البيانات والمعلومات الحساسة الأخرى. ثم يبحث المهاجم عن بيانات اعتماد أخرى. تُظهر بيانات Microsoft Defender for Cloud الخاصة بنا أنه دون أداة أمان لإعلامك بسرعة بالهجوم، يستغرق الأمر من المؤسسات 101 يوماً في المتوسط ​​لاكتشاف الاختراق. وفي الوقت نفسه، في غضون 24-48 ساعة فقط بعد الخرق، عادة ما يكون للمهاجم السيطرة الكاملة على الشبكة.
  4. تعتمد الإجراءات التي يتخذها المهاجم بعد الحركة الجانبية إلى حد كبير على الموارد التي تمكنوا من الوصول إليها خلال مرحلة الحركة الجانبية. يمكن للمهاجمين اتخاذ الإجراءات التي تتسبب في استخراج البيانات أو فقدان البيانات أو شن هجمات أخرى. بالنسبة للمؤسسات، يبلغ متوسط ​​الأثر المالي لفقدان البيانات الآن 1.23 مليون دولار.

مخطط انسيابي يوضح كيفية مهاجمة البنية الأساسية السحابية: التعرض والوصول والحركة الجانبية والإجراءات

لماذا تنجح الهجمات

توجد عدة أسباب وراء نجاح هجمات برامج الفدية الضارة. غالباً ما تقع الشركات المعرضة للخطر ضحية لهجمات برامج الفدية الضارة. فيما يلي بعض عوامل النجاح الحاسمة للهجوم:

  • يتم زيادة سطح الهجوم مع المزيد من الشركات التي تقدم المزيد من الخدمات من خلال المنافذ الرقمية
  • هناك سهولة كبيرة في الحصول على البرامج الضارة الجاهزة، Ransomware-as-a-Service (RaaS)
  • يفتح خيار استخدام العملة المشفرة لدفعات الابتزاز طرقا جديدة للاستغلال
  • التوسع في أجهزة الكمبيوتر واستخدامها في أماكن العمل المختلفة (مناطق المدارس المحلية، وأقسام الشرطة، وسيارات فرق الشرطة، وما إلى ذلك)، وكل منها يمثل نقطة وصول محتملة للبرامج الضارة، ما يؤدي إلى سطح هجوم محتمل
  • انتشار أنظمة وبرامج البنية الأساسية القديمة والقديمة والمتقادمة
  • نظم إدارة الرقعة السيئة
  • أنظمة التشغيل القديمة أو القديمة القريبة من تواريخ انتهاء الدعم أو التي تجاوزتها
  • نقص الموارد لتحديث بصمة تكنولوجيا المعلومات
  • الفجوة المعرفية
  • نقص الموظفين المهرة والاعتماد المفرط على الموظفين الرئيسيين
  • بنية أمنية ضعيفة

يستخدم المهاجمون تقنيات مختلفة، مثل هجوم القوة الغاشمة لبروتوكول سطح المكتب البعيد (RDP) لاستغلال الثغرات الأمنية.

مخطط حارة السباحة يوضح الأساليب المختلفة التي يستخدمها المهاجمون

هل يجب أن تدفع؟

هناك آراء متباينة بشأن الخيار الأفضل عند مواجهة هذا الطلب المزعج. ينصح مكتب التحقيقات الفيدرالي (FBI) الضحايا بعدم دفع الفدية، بل توخي الحذر بدلاً من ذلك واتخاذ إجراءات استباقية لتأمين بياناتهم قبل الهجوم. ويؤكدون أن الدفع لا يضمن إطلاق الأنظمة المؤمنة والبيانات المشفرة مرة أخرى. تقول المباحث الفيدرالية إن السبب الآخر لعدم الدفع هو أن المدفوعات لمجرمي الإنترنت تحفزهم على الاستمرار في مهاجمة المنظمات

ومع ذلك، يختار بعض الضحايا دفع طلب الفدية على الرغم من عدم ضمان الوصول إلى النظام والبيانات بعد دفع الفدية. من خلال الدفع، تتحمل هذه المؤسسات المخاطرة المحسوبة للدفع على أمل استعادة نظامها وبياناتها واستئناف العمليات العادية بسرعة. جزء من الحساب هو تخفيض التكاليف الإضافية مثل الإنتاجية المفقودة، وانخفاض الإيرادات بمرور الوقت، والتعرض للبيانات الحساسة، والضرر المحتمل للسمعة.

أفضل طريقة لمنع دفع الفدية لا تقع ضحية من خلال تنفيذ تدابير وقائية والحصول على تشبع الأداة لحماية مؤسستك من كل خطوة يتخذها المهاجم كليا أو تدريجيا للتسلل إلى نظامك. بالإضافة إلى ذلك، فإن القدرة على استرداد الأصول المتأثرة تضمن استعادة العمليات التجارية في الوقت المناسب. يحتوي Azure Cloud على مجموعة قوية من الأدوات لإرشادك على طول الطريق.

ما هي التكلفة النموذجية للعمل؟

من الصعب تحديد تأثير هجوم برامج الفدية الضارة على أي مؤسسة بدقة. ومع ذلك، اعتماداً على النطاق والنوع، يكون التأثير متعدد الأبعاد ويتم التعبير عنه على نطاق واسع في:

  • فقدان الوصول إلى البيانات
  • تعطيل العمليات التجارية
  • خسارة مالية
  • سرقة الملكية الفكرية
  • ثقة العملاء مشوهة وسمعة مشوهة

دفعت شركة كولونيال بايبلاين حوالي 4.4 ملايين دولار كفدية لنشر بياناتها. لا يشمل ذلك تكلفة وقت التوقف عن العمل وفقدان الإنتاجية والمبيعات المفقودة وتكلفة استعادة الخدمات. على نطاق أوسع، هناك تأثير كبير يتمثل في "التأثير الضار" للتأثير على أعداد كبيرة من الشركات والمؤسسات من جميع الأنواع بما في ذلك البلدات والمدن في مناطقها المحلية. كما أن التأثير المالي مذهل. وفقاً لMicrosoft، من المتوقع أن تتجاوز التكلفة العالمية المرتبطة باستعادة برامج الفدية الضارة 20 مليار دولار في عام 2021.

مخطط شريطي يظهر التأثير على الأعمال

الخطوات التالية

راجع المستند التقني: دفاعات Azure للدليل التقني للهجوم على برامج الفدية الضارة.

مقالات أخرى في السلسلة: