في مجال الاستخبارات السيبرانية المعاصرة، لا تزال هناك مفارقة مستمرة قائمة. فالجهات الهجومية المدعومة من الدول والقادرة على هندسة هجمات سلاسل توريد معقدة ومتعددة المراحل غالباً ما تعاني من إخفاقات أساسية في ممارسات النظافة الأمنية الدفاعية داخل بنيتها التحتية. وتبرز عمليات المراقبة الأخيرة للاستخبارات مفتوحة المصدر (OSINT)، بما في ذلك المؤشرات الفنية التي تم تجميعها وتحليلها بواسطة منصات مثل International Cyber Digest، العديد من الحالات التي تُرِكت فيها الأنظمة المتصلة بالإنترنت وعقد البنية التحتية الحيوية المرتبطة بالقوات المسلحة الصينية ومنظومات مقاولي الدفاع عرضة للإنترنت العام. مثل هذا التعرض لا يجعل القوات المسلحة الصينية عرضة للمراقبة طويلة المدى و/أو العمليات السيبرانية الهجومية فحسب، بل تقدم هذه الحادثة أيضاً العديد من الدروس والعبار لكيانات الدفاع والمؤسسات في كل مكان.

على الرغم من أن التعرض للمخاطر بشكل عام يعتمد على عوامل متعددة، فإن كشف المنافذ والأصول المتصلة بالإنترنت يمكن أن يضعف بشدة كل التدابير الدفاعية الأخرى. وهي تُعد من أكثر الإخفاقات الأمنية الأساسية والتي يمكن تجنبها التي قد ترتكبها أي مؤسسة.

يُقيّم تحليلنا التصدعات الهيكلية، والتداعيات الاستراتيجية، وإخفاقات الأمن العملياتي المنهجي (OPSEC) التي تؤدي غالباً إلى مثل هذه الانكشافات. وبالنسبة لمحللي الاستخبارات، ومشغلي العمليات السيبرانية العسكرية، والمسؤولين التنفيذيين في البنية التحتية الحيوية، فإن هذه الحادثة تمثل تذكيراً صارخاً. إذ تظل الأنظمة المعرضة للإنترنت واحدة من أخطر نقاط الضعف في حوكمة الأمن الحديثة. فجهاز طرفي واحد غير مدار أو حتى بوابة تمت تهيئتها بشكل خاطئ يمكن أن يقوض سنوات من الاستثمارات الأمنية والعملياتية الاستراتيجية.

تستند هذه المقالة إلى الأبحاث التي أجرتها مجموعة International Cyber Digest والتي يمكن الوصول إليها من هنا.

قبل أن نمضي قدماً، لا تنسَ الاطلاع على منشور مدونتنا السابق حول سبب عدم جدوى تقييمات مخاطر تكنولوجيا التشغيل (OT) التقليدية وكيف يعالج أداة OThello Assess ذلك من هنا.

تفصيل الحادثة

تكشف بيانات مسح الإنترنت وتتبع المعلومات الاستخباراتية المتاحة للجمهور أن الأصول المكشوفة تشتمل في المقام الأول على البنية التحتية الطرفية، وبوابات الوصول عن بُعد غير المدارة، وبيئات الإعداد المحلية. وفي حين يبدو أن النواة الداخلية للقيادة والسيطرة العسكرية (C2) تظل مجزأة للغاية، فإن الثغرات الأمنية المحيطية ترتبط عادةً بالشبكات المساعدة، ومعاهد البحوث، ومزودي الخدمات اللوجستية الدفاعية من الطرف الثالث.

طبيعة الانكشاف

تظهر الأنظمة المكشوفة عموماً عبر المتجهات التالية:

• التكوين الخاطئ لتوجيه الحدود وجدران الحماية: واجهات خارجية تُرِكت قابلة للوصول من خلال بروتوكولات الويب القياسية (HTTP/HTTPS) أو منافذ الإدارة عن بُعد (SSH, RDP) دون أي قائمة بيضاء لعناوين IP أو مصادقة متعددة العوامل إلزامية (MFA).

• أنظمة إنترنت الأشياء الصناعية (IIoT) وأنظمة إدارة المباني (BMS) المكشوفة: عناصر التحكم البيئية وأنظمة أتمتة المرافق الفرعية القابلة للاستعلام المباشر عبر محركات المسح العالمية مثل Shodan أو Censys.

• بيئات إعداد تكنولوجيا المعلومات الظلية (Shadow IT Staging): بيئات اختبار البرمجيات ومستودعات البيانات المستخدمة من قبل مقاولي الدفاع الفرعيين والتي تحاكي بيئات الإنتاج ولكنها تفتقر إلى تطبيق السياسات الأمنية الأساسية.

الفجوات الهيكلية الكامنة

يشير هذا الانكشاف إلى خلل في إدارة الأصول الأساسية، وممارسات وبروتوكولات النظافة السيبرانية، والحوكمة، بدلاً من كونه فشلاً في الأدوات الأمنية المتقدمة. وهو يشير مباشرة إلى ضعف تجزئة الشبكة وعدم كفاية إدارة دورة حياة الأصول (ALM).

عندما يتم توصيل العقد المساعدة أو شبكات التطوير ببنية الإنتاج التحتية دون تصفية صارمة وحتمية لحركة المرور الصادرة والواردة، فإن مجرد تعرض المحيط الخارجي في معهد أبحاث منخفض المستوى يمكن أن يوفر مساراً واضحاً للاستطلاع المعادي، والترسيخ، والتحرك الجانبي.

التداعيات الاستراتيجية والجيوسياسية

عندما يتم الكشف عن بنية تحتية ذات طابع عسكري أو تابعة للدولة، فإن العواقب الاستراتيجية تمتد إلى ما هو أبعد بكثير من الإدارة الفورية للتصحيحات البرمجية.

الإعداد العملياتي لساحة المعركة (OPB)

بالنسبة لأجهزة الاستخبارات المعادية، تُعد الانكشافات العامة مصدراً لا يقدّر بثمن للمعلومات الاستخباراتية السلبية الدقيقة. ولا يحتاج الخصوم إلى مسح الشبكة أو فحصها بنشاط، لأن هذه الإجراءات قد تؤدي إلى تشغيل أنظمة كشف التسلل. بدلاً من ذلك، يمكنهم ببساطة جمع البيانات من مستودعات مسح الإنترنت التاريخية من أجل:

• رسم خريطة للبصمة الرقمية والموقع الجغرافي للكيانات التابعة للدولة.

• تحديد بائعي الأجهزة وإصدارات البرامج الثابتة المستخدمة بدقة، مما يسمح لهم بتكديس ثغرات اليوم N (N-day) أو اليوم الصفر (Zero-Day) المستهدفة.

• ربط أرقام الأنظمة المستقلة (ASNs) وتخصيصات عناوين IP بوحدات أو مديريات عسكرية محددة.

مفارقة التحديث العسكري

مع خضوع الجيوش العالمية للتحول الرقمي، ودمج بنيات السحابة، والخدمات اللوجستية القائمة على البيانات، وهياكل القيادة المترابطة، تتسع مساحة الهجوم بشكل كبير. وفي حالة القوات المسلحة الصينية، فإن التركيز على النتائج العملياتية فاق بكثير الأولويات الأمنية، مما أدى لظهور سلسلة من الفجوات الأمنية التي توسعت في آثارها الأمنية ونطاق تعطيلها على مدار فترة زمنية. وبالنسبة لجيش يفخر بتشغيل أنظمة دفاعية متقدمة، فإن هذه الحادثة تنعكس سلباً على وضعه الأمني.

توضح هذه الحادثة أن التحديث العسكري من دون وجود نظافة دفاعية مطبقة بصرامة ومماثلة له يخلق مخاطر غير متكافئة. وغالباً ما تتجاوز تعقيدات إدارة مليارات من الأجهزة الطرفية المتصلة الآليات البيروقراطية والعملياتية المصممة لتأمينها.    

جوانب فريدة ولم تحظ بالتغطية الكافية في هذه الحادثة

غالباً ما تركز تحليلات العمليات السيبرانية المدعومة من الدول بشكل كبير على القدرات الهجومية المتقدمة بينما تتجاهل الحقائق العملية لإدارة الشبكات اليومية.

عدم التماثل العملياتي: التعقيد الهجومي لا يعني النضج الدفاعي. إذ يمكن لمؤسسة ما أن تنشر وحدات نخبوية للتجسس السيبراني، بينما تفشل في الوقت نفسه في تأمين بنية توجيه الحدود البسيطة الخاصة بها. هذا الانقسام يمكن أن يؤدي إلى نتائج غير مواتية في ساحة المعركة في أوقات الصراع.

الملاءمة مقابل الانضباط الأمني

تعتبر الاحتكاكات والتعقيدات العملياتية الدافع الرئيسي وراء ظهور تكنولوجيا المعلومات الظلية والانكشاف غير المصرح به للإنترنت داخل الأنظمة الدفاعية. وغالباً ما يتجاوز المحللون والمطورون والباحثون الضوابط الأمنية المركزية الصارمة لتسهيل العمل عن بُعد، أو مشاركة البيانات، أو النمذجة الأولية السريعة. وعندما تكون البنيات الأمنية مقيدة بشكل مفرط أو بطيئة في التكيف، يقوم الموظفون بإنشاء حلول بديلة غير مصرح بها، مثل نشر شبكات VPN غير مصرح بها أو كشف خوادم الإعداد، للحفاظ على السرعة العملياتية المطلوبة.

ضعف منظومة المقاولين

تعتمد ההياكل الدفاعية الحديثة على شبكة واسعة من المقاولين التجاريين والمؤسسات الأكاديمية ومزودي الخدمات اللوجستية. وغالباً ما تكون هذه المنظومة الممتدة هي الخاصرة الرخوة للعمليات الميدانية. وبينما قد يفرض فرع عسكري مركزي سياسات عزل شبكي صارمة وسياسات الثقة الصفرية (Zero-Trust)، فإن مقاول برمجيات أو مورّد مكونات من المستوى الثالث قد يعمل بممارسات أمنية تجارية قياسية، مما يجعله بمثابة باب خلفي غير مراقب للوصول إلى الإطار الاستراتيجي الأوسع. وهذا بدوره يصبح نقطة فشل فردية.

دروس للمؤسسات والبنية التحتية الحيوية

بالنسبة لمديري أمن المعلومات (CISOs) ومُشغّلي البنية التحتية الحيوية، توفر هذه الحادثة ركائز عملية قابلة للتطبيق لتأمين البيئات المعقدة.

أولوية إدارة مساحة الهجوم الخارجي (EASM)

لا يمكنك حماية ما لا تعرف بوجوده. فجرد الأصول التقليدي يعمل من الداخل إلى الخارج؛ إذ يعتمد على أدوات داخلية للإبلاغ عن الأصول النشطة. أما الدفاع الحديث فيتطلب منظوراً من الخارج إلى الداخل. ويجب على المؤسسات مراقبة نطاق IPv4/IPv6 العام بشكل مستمر من منظور الخصم لاكتشاف الأصول المارقة، وبيئات الإعداد المنسية، والتكوينات غير المصرح بها قبل أن يفعل ذلك المهاجمون.

إجراءات التخفيف الهيكلية الأساسية

منظور تكنولوجيا التشغيل أنظمة التحكم الصناعي (OT/ICS) والبنية التحتية الحيوية

يمثل التداخل والتقاطع بين تكنولوجيا المعلومات (IT) وتكنولوجيا التشغيل (OT) داخل البنية التحتية الحيوية منطقة ضعف بالغة الخطورة. وإذا كانت الكيانات التابعة للدول تكافح للحفاظ على محيط حماية نظيف لشبكاتها المساعدة، فإن الخطر الذي يهدد أنظمة التحكم الصناعي (ICS) التي تدير التصنيع وشبكات الطاقة ومرافق المياه يصبح جسيماً.

أما واجهات المستخدم الرسومية للمكائن (HMIs) أو أجهزة التحكم المنطقي القابلة للبرمجة (PLCs) المكشوفة فتمثل خطراً عملياتياً غير متكافئ. وخلافاً لأصول تكنولوجيا المعلومات التقليدية، حيث يؤدي الاختراق عادةً إلى تسريب البيانات، فإن الاختراق في بيئة تكنولوجيا التشغيل (OT) يمكن أن يسبب دماراً مادياً، وتوقفاً طويلاً للعمليات، وتهديداً لحياة البشر. ويتطلب التقارب بين تكنولوجيا المعلومات وتكنولوجيا التشغيل حراسة أي جسر يربط بين هاتين الطبقتين بشكل مشدد بواسطة بوابات أمنية أحادية الاتجاه (صمامات ثنائية للبيانات) وتحقق صارم من البروتوكولات.

معلومات التهديدات السيبرانية وأساليب الخصوم

تستغل التهديدات المستمرة والمتقدمة (APTs) المدعومة من الدول بشكل منهجي الانكشافات المحيطية كمتجه رئيسي للوصول الأولي.

الاستيعاب الآلي واستغلال الثغرات كأداة هجومية

تعتمد أساليب الخصوم الحديثة بشكل كبير على مسارات الاستطلاع المؤتمتة. وتحتفظ الجهات الفاعلة بالتهديدات المتقدمة بملقمات استيعاب مستمرة من منصات مسح الإنترنت التجارية والخاصة. وعند الكشف عن ثغرة أمنية جديدة في جهاز طرفي (على سبيل المثال، خلل فادح في جدار حماية رئيسي أو جهاز VPN)، تقوم هذه المسارات تلقائياً بمطابقة الثغرة الأمنية مع قاعدة بياناتها للأصول المكشوفة.

استخدام شبكات الترحيل العملياتية (ORNs)

لإخفاء هويتهم ومصدرهم الجغرافي، تستغل الجهات الفاعلة التابعة للدول على نحو متزايد أجهزة توجيه المكاتب الصغيرة/المكاتب المنزلية (SOHO) وأجهزة إنترنت الأشياء المخترقة كشبكات ترحيل عملياتية (ORNs). وتشكل هذه الأجهزة المخترقة شبكة وكيلة موزعة للغاية. وإذا عانت البنية التحتية الخاصة بالمهاجم نفسه من الانكشاف أو سوء التكوين، فإن شبكاته الوكيلة السرية قد تصبح مرئية لفرق مكافحة التجسس، مما يعطل حملات التجسس النشطة على مستوى العالم.

التوصيات والتدابير الدفاعية

للدفاع عن المؤسسات المعقدة وبيئات البنية التحتية الحيوية ضد قدرات التهديد على مستوى الدول، توصي Shieldworkz القادة الأمنيين بتطبيق الضوابط الهيكلية التالية:

• إنشاء نظام جرد أصول ثنائي الاتجاه: مطابقة قواعد بيانات إدارة التكوين الداخلي (CMDB) مع بيانات مسح EASM الخارجي المستمر أسبوعياً على الأقل. ويجب التعامل مع الاختلافات والتعارضات كحوادث حرجة.

• فرض تصفية صارمة لحركة المرور الصادرة: تقييد الأنظمة الداخلية من إنشاء اتصالات صادرة بالإنترنت ما لم يكن ذلك مطلوباً بشكل صريح وضمن القائمة البيضاء. ويتم اكتشاف العديد من حوادث الانكشاف لأن الأصول الداخلية المخترقة تنجح في الاتصال بالبنية التحتية الخارجية الضارة.

• إجراء تقييمات النظافة السيبرانية بشكل متكرر وإجراء التحقق من الضوابط والتدابير الأمنية.

• إيقاف تشغيل البنية التحتية القديمة: فرض سياسة دورة حياة صارمة للأجهزة والبرامج القديمة. والأنظمة التي لا تدعم آليات المصادقة الحديثة (مثل SAML/OIDC مع مصادقة MFA القائمة على الأجهزة) يجب إزالتها تماماً من الحدود المتصلة بالإنترنت.

• تحديد حدود المسؤولية التنفيذية: يجب أن تحمّل أطر الحوكمة قادة وحدات الأعمال والبائعين الخارجيين المسؤولية القانونية والعملياتية عن عمليات النشر غير المصرح بها على الإنترنت (تكنولوجيا المعلومات الظلية). ويجب إدارة الحدود المحيطية عبر عمليات مراقبة التغيير المركزية والمدققة دون استثناء.

تعرف على المزيد حول Othello Assess، وهي أداة لتقييم المخاطر تعتمد على معيار IEC 62443 تتيح لك إجراء تقييمات شاملة للمخاطر، ومراجعات البنية التحتية الهيكلية، وتحليل مستوى الأمان (SL)، وتتبع الامتثال، ومراجعة الفجوات الأمنية، والمزيد في أقل من يوم واحد. يمكنك التسجيل لتجربة أداة Othello من هنا.