مشاركة عبر

الحماية من برامج الفدية الضارة في Azure

  • مقالة

برامج الفدية الضارة والابتزاز هي أعمال تجارية عالية الربح ومنخفضة التكلفة، والتي لها تأثير مهمل على المنظمات المستهدفة، والأمن الوطني/الإقليمي، والأمن الاقتصادي، والصحة العامة والسلامة العامة. ما بدأ كبرنامج فدية ضار بسيط يستخدمه جهاز كمبيوتر واحد، نما ليشمل مجموعة متنوعة من تقنيات الابتزاز الموجهة إلى جميع أنواع شبكات الشركات والأنظمة الأساسية السحابية.

لضمان حماية العملاء الذين يعملون على Azure من هجمات برامج الفدية الضارة، استثمرت Microsoft بكثافة في أمان الأنظمة الأساسية السحابية الخاصة بنا، وتوفر عناصر التحكم في الأمان التي تحتاجها لحماية أحمال عمل Azure السحابية

من خلال الاستفادة من حماية Azure الأصلية من برامج الفدية الضارة وتنفيذ أفضل الممارسات الموصى بها في هذه المقالة، فأنت تتخذ تدابير تضمن أن مؤسستك في وضع مثالي لمنع هجمات برامج الفدية الضارة المحتملة على أصولك في Azure وحمايتها واكتشافها.

توضح هذه المقالة إمكانات Azure الأصلية والدفاعات الأساسية لهجمات برامج الفدية الضارة وإرشادات بشأن كيفية الاستفادة بشكل استباقي من هذه الهجمات لحماية أصولك على Azure cloud.

تهديد متزايد

أصبحت هجمات برامج الفدية الضارة واحدة من أكبر التحديات الأمنية التي تواجه الشركات اليوم. عند النجاح، يمكن أن تؤدي هجمات برامج الفدية الضارة إلى تعطيل البنية الأساسية ل تكنولوجيا المعلومات الأساسية للأعمال، والتسبب في تدمير يمكن أن يكون له تأثير مهمل على الأمن المادي أو الاقتصادي أو سلامة الأعمال. تستهدف هجمات برامج الفدية الضارة الشركات من جميع الأنواع. وهذا يتطلب أن تتخذ جميع الشركات إجراءات وقائية لضمان الحماية.

الاتجاهات الحديثة بشأن عدد الهجمات مقلقة للغاية. في حين أن عام 2020 لم يكن عاماً جيداً لهجمات برامج الفدية الضارة على الشركات، إلا إن عام 2021 بدأ في مسار سيئ. في 7 مايو، أدى هجوم مسار التدفق الاستعماري (المستعمر) إلى إيقاف خدمات مثل نقل مسارات التدفق للديزل والبنزين ووقود الطائرات مؤقتاً. أغلق المستعمر شبكة الوقود الحيوية التي تزود الولايات الشرقية المكتظة بالسكان.

تاريخياً، كان يُنظر إلى الهجمات الإلكترونية على أنها مجموعة معقدة من الإجراءات التي تستهدف صناعات معينة، ما جعل الصناعات المتبقية تعتقد أنها خارج نطاق الجرائم الإلكترونية، ودون سياق بشأن تهديدات الأمن السيبراني التي يجب أن تستعد لها. تمثل برامج الفدية الضارة تحولاً كبيراً في مشهد التهديدات هذا، وقد جعلت الهجمات الإلكترونية خطراً حقيقياً وشاملاً للغاية للجميع. أصبحت الملفات المشفرة والمفقودة وتهديد مذكرات الفدية الآن أكبر مخاوف معظم الفرق التنفيذية.

يستفيد النموذج الاقتصادي لبرامج الفدية الضارة من التصور الخاطئ بأن هجوم برامج الفدية الضارة هو مجرد حادث يتعلق بالبرامج الضارة. في حين أن برامج الفدية الضارة في الواقع هي خرق يشمل أعداء بشريين يهاجمون شبكة.

بالنسبة للعديد من المؤسسات، فإن تكلفة إعادة البناء من الصفر بعد حادثة برنامج الفدية تفوق بكثير الفدية الأصلية المطلوبة. مع الفهم المحدود لطبيعة التهديدات وكيفية عمل برامج الفدية الضارة، يبدو أن دفع الفدية هو أفضل قرار تجاري للعودة إلى العمليات. ومع ذلك، غالباً ما يحدث الضرر الحقيقي عندما يقوم المجرم الإلكتروني بتسريب الملفات للإفراج عنها أو بيعها، مع ترك الأبواب الخلفية في الشبكة للنشاط الإجرامي في المستقبل - وتستمر هذه المخاطر سواء تم دفع الفدية أم لا.

ما هو انتزاع الفدية

برنامج الفدية هو نوع من البرامج الضارة التي تصيب جهاز الكمبيوتر وتقيد وصول المستخدم إلى النظام المصاب أو ملفات معينة من أجل ابتزازهم مقابل المال. بعد اختراق النظام الهدف، فإنه عادةً ما يغلق معظم التفاعلات ويعرض تنبيهاً على الشاشة، يشير عادةً إلى أن النظام قد تم قفله أو أن جميع ملفاته قد تم تشفيرها. ثم يطلب دفع فدية كبيرة قبل إصدار النظام أو فك تشفير الملفات.

تستغل برامج الفدية الضارة عادةً الثغرات الأمنية أو الثغرات الأمنية في أنظمة تكنولوجيا المعلومات أو البنى الأساسية الخاصة بمؤسستك لتحقيق النجاح. الهجمات واضحة جداً لدرجة أن الأمر لا يتطلب الكثير من التحقيق لتأكيد تعرض عملك للهجوم أو أنه يجب الإعلان عن وقوع حادث. قد يكون الاستثناء هو البريد الإلكتروني العشوائي الذي يطلب فدية مقابل مواد يُفترض أنها تعرض للخطر. في هذه الحالة، يجب التعامل مع هذه الأنواع من الحوادث كبريد عشوائي ما لم يكن البريد الإلكتروني يحتوي على معلومات محددة للغاية.

يمكن مهاجمة أي شركة أو مؤسسة تشغل نظاماً لتكنولوجيا المعلومات به بيانات. على الرغم من إمكانية استهداف الأفراد بهجمات برامج الفدية الضارة، إلا إن معظم الهجمات تستهدف الشركات. رغم أن هجوم Colonial ransomware في مايو 2021 قد جذب اهتماماً كبيراً من الجمهور، فإن بيانات مشاركة برامج الفدية الضارة الخاصة بفريق الكشف والاستجابة (DART) تُظهر أن قطاع الطاقة يمثل أحد القطاعات الأكثر استهدافاً، إلى جانب القطاعات المالية والرعاية الصحية والترفيهية. وعلى الرغم من الوعود المستمرة بعدم مهاجمة المستشفيات أو شركات الرعاية الصحية أثناء الوباء، تظل الرعاية الصحية الهدف الأول لبرمجيات الفدية التي يديرها الإنسان.

مخطط دائري يوضح الصناعات التي تستهدفها برامج الفدية الضارة

كيف يتم استهداف الأصول الخاصة بك

عند مهاجمة البنية الأساسية السحابية، غالباً ما يهاجم الأعداء موارد متعددة لمحاولة الوصول إلى بيانات العملاء أو بيانات سرية الشركة. يوضح نموذج "سلسلة القتل" السحابية كيف يحاول المهاجمون الوصول إلى أي من مواردك التي تعمل في السحابة العامة من خلال عملية من أربع خطوات: التعرض والوصول والحركة الجانبية والإجراءات.

  1. التعرض هو المكان الذي يبحث فيه المهاجمون عن فرص للوصول إلى البنية الأساسية الخاصة بك. على سبيل المثال، يعرف المهاجمون أن التطبيقات التي تواجه العملاء يجب أن تكون مفتوحة للمستخدمين الشرعيين للوصول إليها. تتعرض هذه التطبيقات للإنترنت وبالتالي فهي عرضة للهجمات.
  2. سيحاول المهاجمون استغلال التعرض للوصول إلى البنية الأساسية السحابية العامة الخاصة بك. يمكن القيام بذلك من خلال بيانات اعتماد المستخدم المخترقة أو المثيلات المخترقة أو الموارد المهيأة بشكل خاطئ.
  3. خلال مرحلة الحركة الجانبية، يكتشف المهاجمون الموارد التي يمكنهم الوصول إليها وما هو نطاق هذا الوصول. تتيح الهجمات الناجحة على المثيلات للمهاجمين الوصول إلى قواعد البيانات والمعلومات الحساسة الأخرى. ثم يبحث المهاجم عن بيانات اعتماد إضافية. تُظهر بيانات Microsoft Defender for Cloud الخاصة بنا أنه دون أداة أمان لإعلامك بسرعة بالهجوم، يستغرق الأمر من المؤسسات 101 يوماً في المتوسط ​​لاكتشاف الاختراق. في غضون ذلك، في غضون 24-48 ساعة فقط بعد الاختراق، عادة ما يكون للمهاجم سيطرة كاملة على الشبكة.
  4. تعتمد الإجراءات التي يتخذها المهاجم بعد الحركة الجانبية إلى حد كبير على الموارد التي تمكنوا من الوصول إليها خلال مرحلة الحركة الجانبية. يمكن للمهاجمين اتخاذ الإجراءات التي تتسبب في استخراج البيانات أو فقدان البيانات أو شن هجمات أخرى. بالنسبة للمؤسسات، يبلغ متوسط ​​الأثر المالي لفقدان البيانات الآن 1.23 مليون دولار.

مخطط انسيابي يوضح كيفية مهاجمة البنية الأساسية السحابية: التعرض والوصول والحركة الجانبية والإجراءات

لماذا تنجح الهجمات

توجد عدة أسباب وراء نجاح هجمات برامج الفدية الضارة. غالباً ما تقع الشركات المعرضة للخطر ضحية لهجمات برامج الفدية الضارة. فيما يلي بعض عوامل النجاح الحاسمة للهجوم:

  • لقد زاد سطح الهجوم حيث تقدم المزيد والمزيد من الشركات المزيد من الخدمات من خلال المنافذ الرقمية
  • هناك سهولة كبيرة في الحصول على البرامج الضارة الجاهزة، Ransomware-as-a-Service (RaaS)
  • فتح خيار استخدام العملة المشفرة في مدفوعات الابتزاز طرقاً جديدة للاستغلال
  • التوسع في أجهزة الكمبيوتر واستخدامها في أماكن العمل المختلفة (مناطق المدارس المحلية، وأقسام الشرطة، وسيارات فرق الشرطة، وما إلى ذلك)، وكل منها يمثل نقطة وصول محتملة للبرامج الضارة، ما يؤدي إلى سطح هجوم محتمل
  • انتشار أنظمة وبرامج البنية الأساسية القديمة والقديمة والمتقادمة
  • نظم إدارة الرقعة السيئة
  • أنظمة التشغيل القديمة أو القديمة جداً التي اقتربت من تواريخ انتهاء الدعم أو تجاوزتها
  • نقص الموارد لتحديث بصمة تكنولوجيا المعلومات
  • الفجوة المعرفية
  • نقص الموظفين المهرة والاعتماد المفرط على الموظفين الرئيسيين
  • بنية أمنية ضعيفة

يستخدم المهاجمون تقنيات مختلفة، مثل هجوم القوة الغاشمة لبروتوكول سطح المكتب البعيد (RDP) لاستغلال الثغرات الأمنية.

مخطط حارة السباحة يوضح الأساليب المختلفة التي يستخدمها المهاجمون

هل يجب أن تدفع؟

هناك آراء متباينة بشأن الخيار الأفضل عند مواجهة هذا الطلب المزعج. ينصح مكتب التحقيقات الفيدرالي (FBI) الضحايا بعدم دفع الفدية، بل توخي الحذر بدلاً من ذلك واتخاذ إجراءات استباقية لتأمين بياناتهم قبل الهجوم. يزعمون أن الدفع لا يضمن أن الأنظمة المقفلة والبيانات المشفرة سيتم إصدارها مرة أخرى. يقول مكتب التحقيقات الفيدرالي إن سبباً آخر لعدم الدفع هو أن المدفوعات لمجرمي الإنترنت تحفزهم على مواصلة مهاجمة المنظمات.

ومع ذلك، يختار بعض الضحايا دفع طلب الفدية على الرغم من عدم ضمان الوصول إلى النظام والبيانات بعد دفع الفدية. من خلال الدفع، تتحمل هذه المؤسسات المخاطرة المحسوبة للدفع على أمل استعادة نظامها وبياناتها واستئناف العمليات العادية بسرعة. جزء من الحساب هو تخفيض التكاليف الإضافية مثل الإنتاجية المفقودة، وانخفاض الإيرادات بمرور الوقت، والتعرض للبيانات الحساسة، والضرر المحتمل للسمعة.

أفضل طريقة لمنع دفع الفدية هي عدم الوقوع ضحية من خلال تنفيذ تدابير وقائية وامتلاك أداة تشبع لحماية مؤسستك من كل خطوة يتخذها المهاجم كلياً أو تدريجياً لاختراق نظامك. بالإضافة إلى ذلك، فإن امتلاك القدرة على استرداد الأصول المتأثرة سيضمن استعادة العمليات التجارية في الوقت المناسب. يحتوي Azure Cloud على مجموعة قوية من الأدوات لإرشادك على طول الطريق.

ما هي التكلفة النموذجية للعمل؟

من الصعب تحديد تأثير هجوم برامج الفدية الضارة على أي مؤسسة بدقة. ومع ذلك، اعتماداً على النطاق والنوع، يكون التأثير متعدد الأبعاد ويتم التعبير عنه على نطاق واسع في:

  • فقدان الوصول إلى البيانات
  • تعطيل عمليات الأعمال
  • الخسارة المالية
  • سرقة الملكية الفكرية
  • ثقة العملاء مشوهة وسمعة مشوهة

دفعت شركة كولونيال بايبلاين حوالي 4.4 ملايين دولار كفدية لنشر بياناتها. لا يشمل ذلك تكلفة وقت التوقف عن العمل وفقدان الإنتاجية والمبيعات المفقودة وتكلفة استعادة الخدمات. على نطاق أوسع، هناك تأثير كبير يتمثل في "التأثير الضار" للتأثير على أعداد كبيرة من الشركات والمؤسسات من جميع الأنواع بما في ذلك البلدات والمدن في مناطقها المحلية. كما أن التأثير المالي مذهل. وفقاً لMicrosoft، من المتوقع أن تتجاوز التكلفة العالمية المرتبطة باستعادة برامج الفدية الضارة 20 مليار دولار في عام 2021.

مخطط شريطي يظهر التأثير على الأعمال

الخطوات التالية

راجع المستند التعريفي التمهيدي: دفاعات Azure للورقة البيضاء لهجمات برامج الفدية الضارة .

مقالات أخرى في هذه السلسلة: