
أنظمة الدفاع الصينية المعرضة للإنترنت: دروس مستفادة في الفشل السيبراني الحديث


برايوكت كيه في
في مجال الاستخبارات السيبرانية المعاصرة، لا تزال هناك مفارقة مستمرة قائمة. فالجهات الهجومية المدعومة من الدول والقادرة على هندسة هجمات سلاسل توريد معقدة ومتعددة المراحل غالباً ما تعاني من إخفاقات أساسية في ممارسات النظافة الأمنية الدفاعية داخل بنيتها التحتية. وتبرز عمليات رصد الاستخبارات مفتوحة المصدر (OSINT) الأخيرة، بما في ذلك المؤشرات الفنية التي تم تجميعها وتحليلها بواسطة منصات مثل «الموجز السيبراني الدولي» (International Cyber Digest)، حالات عدة تم فيها ترك الأنظمة المواجهة للإنترنت وعقد البنية التحتية الحيوية المرتبطة بالقوات المسلحة الصينية ومنظومة مقاولي الدفاع عرضة للإنترنت العام. مثل هذا الانكشاف لا يجعل القوات المسلحة الصينية عرضة للمراقبة طويلة المدى و/أو العمليات السيبرانية الهجومية فحسب، بل يقدم هذا الحدث أيضاً العديد من الدروس للجهات الدفاعية والمؤسسات في كل مكان.
وعلى الرغم من أن التعرض للمخاطر بشكل عام يعتمد على عوامل متعددة، فإن كشف المنافذ والأصول المواجهة للإنترنت يمكن أن يضعف بشدة كل التدابير الدفاعية الأخرى. وهو يُعد من بين أكثر الإخفاقات الأمنية الأساسية والتي يمكن تجنبها التي يمكن أن ترتكبها أي مؤسسة.
يقيّم تحليلنا الانهيارات الهيكلية، والتأثيرات الاستراتيجية، وإخفاقات أمن العمليات (OPSEC) الممنهجة التي تؤدي غالباً إلى مثل هذه الانكشافات. وبالنسبة لمحللي الاستخبارات، ومشغلي السيبرانية العسكريين، والمسؤولين التنفيذيين للبنية التحتية الحيوية، فإن هذا الحدث يمثل تذكيراً صارخاً. إذ تظل الأنظمة المكشوفة للإنترنت واحدة من أخطر الثغرات في حوكمة الأمن الحديثة. فجهاز طرفي واحد غير مدار أو حتى بوابة تمت تهيئتها بشكل خاطئ يمكن أن يقوض سنوات من الاستثمارات الأمنية والتشغيلية الاستراتيجية.
تستند هذه المقالة إلى الأبحاث التي أجرتها مجموعة «الموجز السيبراني الدولي» والتي يمكن الوصول إليها من هنا.
قبل أن نمضي قدماً، لا تنسَ الاطلاع على منشور مدونتنا السابق حول سبب عدم جدوى تقييمات مخاطر تكنولوجيا التشغيل (OT) التقليدية وكيف يقوم حل OThello Assess بإصلاح ذلك من هنا.
تحليل الحادثة
تكشف بيانات مسح الإنترنت وتتبع الاستخبارات المتاحة للعلن أن الأصول المكشوفة تتكون أساساً من البنية التحتية الطرفية، وبوابات الوصول عن بُعد غير المدارة، وبيئات الإعداد المحلية. وفي حين يبدو أن النواة الداخلية للقيادة والتحكم العسكري (C2) تظل معزولة بشكل كبير، فإن ثغرات المحيط الخارجي ترتبط عادةً بالشبكات المساعدة، ومعاهد البحوث، ومزودي الخدمات اللوجستية الدفاعية من الطرف الثالث.
طبيعة الانكشاف
تظهر الأنظمة المكشوفة عموماً عبر المتجهات التالية:
التوجيه الطرفي وجدران الحماية التي تمت تهيئتها بشكل خاطئ: واجهات خارجية تُركت قابلة للوصول عبر بروتوكولات الويب القياسية (HTTP/HTTPS) أو منافذ الإدارة عن بُعد (SSH، RDP) دون أي إدراج للقوائم البيضاء لعناوين IP أو إلزامية المصادقة متعددة العوامل (MFA).
أنظمة إنترنت الأشياء الصناعي (IIoT) وأنظمة إدارة المباني (BMS) المكشوفة: عناصر التحكم البيئية وأنظمة أتمتة المرافق الثانوية التي يمكن الاستعلام عنها مباشرة عبر محركات المسح العالمية مثل Shodan أو Censys.
بيئات إعداد تكنولوجيا المعلومات غير المصرح بها (Shadow IT): بيئات اختبار البرمجيات ومستودعات البيانات التي يستخدمها مقاولو الدفاع من الباطن والتي تحاكي بيئات الإنتاج ولكنها تفتقر إلى تطبيق السياسات الأمنية الأساسية.

الفجوات الهيكلية الكامنة
يشير هذا الانكشاف إلى انهيار في ممارسات وبروتوكولات وحوكمة إدارة الأصول الأساسية والنظافة السيبرانية، بدلاً من كونه فشلاً في الأدوات الأمنية المتقدمة. وهو يشير مباشرة إلى ضعف تقسيم الشبكة وعدم كفاية إدارة دورة حياة الأصول (ALM).
عندما يتم ربط العقد المساعدة أو شبكات التطوير ببنية الإنتاج التحتية دون تصفية صارمة ومحددة لحركة المرور الصادرة والواردة، فإن مجرد انكشاف المحيط الخارجي في معهد أبحاث من مستوى منخفض قد يوفر مساراً واضحاً للاستطلاع المعادي، والاستمرار، والتحرك الجانبي.
التأثيرات الاستراتيجية والجيوسياسية
عندما تنكشف بنية تحتية ذات طابع عسكري أو تابعة للدولة، فإن العواقب الاستراتيجية تمتد إلى ما هو أبعد بكثير من الإدارة الفورية للتحديثات الأمنية.
الإعداد العملياتي لساحة المعركة (OPB)
بالنسبة لأجهزة الاستخبارات المعادية، تُعد الانكشافات العامة مصدراً لا يقدر بثمن للمعلومات الاستخباراتية السلبية الدقيقة. ولا يحتاج الخصوم إلى مسح الشبكة أو فحصها بنشاط، وهي إجراءات قد تفعل أنظمة كشف التسلل. بدلاً من ذلك، يمكنهم ببساطة جمع البيانات من مستودعات المسح التاريخية الشاملة للإنترنت من أجل:
رسم خريطة للبصمة الرقمية والموقع الجغرافي للكيانات التابعة للدولة.
تحديد بائعي الأجهزة وإصدارات البرامج الثابتة المحددة قيد الاستخدام، مما يسمح لهم بتكديس ثغرات اليوم N أو اليوم الصفر المستهدفة.
ربط أرقام الأنظمة المستقلة (ASNs) وتخصيصات عناوين IP بوحدات أو إدارات عسكرية محددة.
مفارقة التحديث العسكري
مع خضوع الجيوش العالمية للتحول، ودمج بنيات السحاب، والخدمات اللوجستية القائمة على البيانات، وهياكل القيادة المترابطة، تتسع مساحة الهجوم لديها بشكل كبير. وفي حالة القوات المسلحة الصينية، فإن التركيز على النتائج التشغيلية فاق بكثير الأولويات الأمنية، مما أدى إلى ظهور سلسلة من الفجوات الأمنية التي توسعت في آثارها الأمنية ونطاق تعطيلها بمرور الوقت. وبالنسبة لجيش يفخر بتشغيل أنظمة دفاعية متقدمة، فإن هذه الحادثة تنعكس سلباً على وضعه الأمني.
توضح هذه الحادثة أن التحديث العسكري دون وجود نظافة دفاعية مقابلة ومطبقة بصرامة يخلق خطراً غير متكافئ. إن تعقيد إدارة المليارات من نقاط النهاية المتصلة غالباً ما يفوق الآليات البيروقراطية والتشغيلية المصممة لتأمينها.
جوانب فريدة ولم تحظ بالتغطية الكافية في هذه الواقعة
غالباً ما تركز تحليلات العمليات السيبرانية المدعومة من الدول بشكل كبير على القدرات الهجومية المتقدمة مع إغفال الواقع العملي لإدارة الشبكات اليومية.
الاختلال التشغيلي: التطور الهجومي لا يعني النضج الدفاعي. يمكن لمؤسسة ما أن تنشر وحدات تجسس سيبراني نخبوية وفي الوقت نفسه تفشل في تأمين بنية توجيه المحيط الخارجي العادية الخاصة بها. ويمكن أن يكون لهذه الثنائية نتائج غير مواتية في ساحة المعركة في أوقات النزاع.
الراحة مقابل الانضباط الأمني
داخل الأنظمة البيئية للدفاع، غالباً ما يكون الدافع الرئيسي لتكنولوجيا المعلومات غير المصرح بها والانكشاف غير المصرح به للإنترنت هو العقبات التشغيلية. فغالباً ما يتجاوز المحللون والمطورون والباحثون الضوابط الأمنية المركزية الصارمة لتسهيل العمل عن بُعد، أو مشاركة البيانات، أو النمذجة الأولية السريعة. وعندما تكون البنيات الأمنية مقيدة بشكل مفرط أو بطيئة في التكيف، يبتكر الموظفون حلولاً بديلة غير مصرح بها، مثل نشر شبكات VPN غير مصرح بها أو كشف خوادم الإعداد، للحفاظ على السرعة التشغيلية المطلوبة.
ضعف منظومة المقاولين
تعتمد هياكل الدفاع الحديثة على شبكة واسعة من المقاولين التجاريين، والمؤسسات الأكاديمية، ومزودي الخدمات اللوجستية. وغالباً ما تكون هذه المنظومة الممتدة هي الخاصرة الرخوة للعمليات الميدانية. وفي حين قد تطبق جهة عسكرية مركزية سياسات عزل شبكي صارمة وسياسات الثقة الصفرية، فإن مقاول برمجيات من المستوى الثالث أو مورد مكونات قد يعمل بممارسات أمنية تجارية قياسية، مما يجعله بمثابة بوابة خلفية غير مراقبة إلى الإطار الاستراتيجي الأوسع. وهذا بدوره يصبح نقطة فشل وحيدة.
دروس للمؤسسات والبنية التحتية الحيوية
بالنسبة لمديري أمن المعلومات (CISOs) ومشغلي البنية التحتية الحيوية، توفر هذه الحادثة نتائج عملية قابلة للتطبيق لتأمين البيئات المعقدة.
أولوية إدارة مساحة الهجوم الخارجي (EASM)
لا يمكنك حماية ما لا تعرف بوجوده. تفترض قوائم جرد الأصول التقليدية منظوراً داخلياً؛ فهي تعتمد على الأدوات الداخلية للإبلاغ عن الأصول النشطة. يتطلب الدفاع الحديث منظوراً خارجياً. يجب على المؤسسات مراقبة مساحة IPv4/IPv6 العامة باستمرار من وجهة نظر الخصم لاكتشاف الأصول المارقة، وبيئات الإعداد المنسية، والتهيئات غير المصرح بها قبل أن يفعل ذلك الفاعلون الخبثاء.
إجراءات التخفيف الأساسية في البنية الهيكلية
الركيزة الدفاعية | التطبيق التشغيلي |
الوصول إلى الشبكة القائم على الثقة الصفرية (ZTNA) | استبدال شبكات VPN التقليدية القائمة على المحيط الخارجي بوكلاء وصول يدركون الهوية والسياق. لا ينبغي الوثوق بأي أصل بشكل ضمني بناءً على موقعه في الشبكة. |
التقسيم الدقيق (Micro-Segmentation) | عزل بيئات التطوير، والإعداد، والإدارة عن شبكات الإنتاج باستخدام سياسات جدار حماية صارمة ترفض الوصول افتراضياً (default-deny). |
التحقق الآلي من الانكشاف | استخدام أدوات مسح ومحاكاة هجمات (Red-Teaming) آلية ومستمرة للتحقق من أن دفاعات المحيط الخارجي تعمل كما هو مخطط لها. |
منظور تكنولوجيا التشغيل وأنظمة التحكم الصناعي (OT/ICS) والبنية التحتية الحيوية
يمثل التقاطع بين تكنولوجيا المعلومات (IT) وتكنولوجيا التشغيل (OT) داخل البنية التحتية الحيوية منطقة ضعف بالغة الأهمية. وإذا كانت الكيانات التابعة للدولة تكافح للحفاظ على محيط خارجي نظيف على الشبكات المساعدة، فإن الخطر على أنظمة التحكم الصناعي (ICS) التي تدير التصنيع وشبكات الطاقة ومرافق المياه يكون جسيماً.
تمثل واجهات التفاعل بين الإنسان والآلة (HMIs) أو أجهزة التحكم المنطقي القابلة للبرمجة (PLCs) المكشوفة خطراً تشغيلياً غير متناسب. وخلافاً لأصول تكنولوجيا المعلومات التقليدية، حيث يؤدي الاختراق عادةً إلى تسريب البيانات، فإن الاختراق في بيئة تكنولوجيا التشغيل يمكن أن يتسبب في تدمير مادي، وتوقف تشغيلي مطول، وتهديدات للحياة البشرية. ويتطلب تقارب تكنولوجيا المعلومات مع تكنولوجيا التشغيل حماية أي جسر بين الطبقتين بقوة بواسطة بوابات أمنية أحادية الاتجاه (صمامات البيانات) والتحقق الصارم من البروتوكولات.
استخبارات التهديدات السيبرانية وأساليب الخصم
تستغل التهديدات المتقدمة المستمرة (APTs) المدعومة من الدول بشكل منهجي الانكشافات الخارجية كمتجه وصول رئيسي أولي لها.
الاستيعاب الآلي والتوظيف كسلاح
تعتمد أساليب الخصم الحديثة بشكل كبير على قنوات الاستطلاع المؤتمتة. وتحافظ الجهات الفاعلة بالتهديدات المعقدة على تدفقات استيعاب مستمرة من منصات مسح الإنترنت التجارية والخاصة. وعند الكشف عن ثغرة أمنية جديدة في جهاز طرفي (على سبيل المثال، خلل فادح في جدار حماية رئيسي أو جهاز VPN)، تقوم هذه القنوات تلقائياً بمطابقة الثغرة الأمنية وقاعدة بياناتها للأصول المكشوفة.

استخدام شبكات الترحيل التشغيلية (ORNs)
لإخفاء هويتهم ومصدرهم الجغرافي، يستغل الفاعلون الحكوميون بشكل متزايد أجهزة توجيه المكاتب الصغيرة/المكاتب المنزلية (SOHO) وأجهزة إنترنت الأشياء المخترقة كشبكات ترحيل تشغيلية (ORNs). وتشكل هذه الأجهزة المخترقة شبكة وكيل موزعة بشكل كبير. وإذا عانت البنية التحتية الخاصة بالفاعل من الانكشاف أو سوء التهيئة، فقد تصبح شبكات الوكيل السرية الخاصة بهم مرئية لفرق مكافحة التجسس، مما يعطل حملات التجسس النشطة على مستوى العالم.
التوصيات والتدابير الدفاعية
للدفاع عن البيئات المؤسسية المعقدة وبيئات البنية التحتية الحيوية ضد قدرات التهديد على مستوى الدول، توصي شركة Shieldworkz بأن يطبق قادة الأمن الضوابط الهيكلية التالية:
إنشاء جرد ثنائي الاتجاه للأصول: مطابقة قواعد بيانات إدارة التهيئة الداخلية (CMDB) مع بيانات مسح إدارة مساحة الهجوم الخارجي (EASM) المستمر أسبوعياً على الأقل. ويجب التعامل مع الاختلافات كحوادث حرجة.
تطبيق تصفية صارمة لحركة المرور الصادرة: منع الأنظمة الداخلية من إنشاء اتصالات صادرة إلى الإنترنت ما لم يكن ذلك مطلوباً صراحة ومدرجاً في القائمة البيضاء. ويتم اكتشاف العديد من حوادث الانكشاف لأن الأصول الداخلية المخترقة تنجح في الاتصال بالبنية التحتية الخارجية الخبيثة.
إجراء تقييمات النظافة السيبرانية بشكل متكرر والتحقق من الضوابط والتدابير الأمنية.
إيقاف تشغيل البنية التحتية القديمة: فرض سياسة صارمة لدورة حياة الأجهزة والبرامج القديمة. ويجب إزالة الأنظمة التي لا يمكنها دعم آليات المصادقة الحديثة (مثل SAML/OIDC مع مصادقة متعددة العوامل مدعومة بالأجهزة) تماماً من الحدود المواجهة للإنترنت.
تحديد حدود المسؤولية التنفيذية: يجب أن تحمل أطر الحوكمة قادة وحدات الأعمال والموردين من الطرف الثالث المسؤولية القانونية والتشغيلية عن عمليات النشر غير المصرح بها للإنترنت (Shadow IT). ويجب إدارة الحدود الخارجية عبر عمليات تحكم مركزي ومدققة في التغيير دون استثناء.
تعرف على المزيد حول Othello Assess، وهي أداة لتقييم المخاطر تعتمد على معيار IEC 62443 تتيح لك إجراء تقييمات شاملة للمخاطر، ومراجعات البنية الهيكلية، وتحليل مستوى الأمان (SL)، وتتبع الامتثال، ومراجعة الفجوات الأمنية والمزيد في أقل من يوم واحد. يمكنك التسجيل لتجربة أداة Othello من هنا.
احصل على تحديثات أسبوعية
الموارد والأخبار
تعرف على كيفية معالجة حلولنا الرائدة في مجال أمن تكنولوجيا التشغيل (OT) للتحديات الأمنية الحيوية
قد تود أيضًا

Why IEC 62443 Is the Leading OT Cybersecurity Standard

Team Shieldworkz

Preliminary Investigation Report: Data Extortion targeting Kudankulam Nuclear Plant engineering documents

Prayukth K V

Key Components of a Cyber Physical System Explained

Team Shieldworkz

Preparing European critical infrastructure for the next phase of Russian cyber operations

Prayukth K V

Nihon Kotsu cyber incident: Analysis and investigative report

Prayukth K V

Understanding the operational and cybersecurity risks of AI integration in Industrial Control Systems

Prayukth K V

