هناك شيئين قاما بتعريف تغييرات مشهد التهديدات الموثقة في الأسابيع الثلاثة الماضية.

· الفاعلون المدعومون من الدول الآن يهاجمون معظم الأهداف.

· المهاجمون لا يستخدمون البرمجيات الخبيثة ولكنهم يقومون بتسجيل الدخول باستخدام بيانات اعتماد مسروقة ويقومون بتسليح التطبيقات والخدمات.

لقد أعاد عام 2026 تعريف "المتقدم" في APT بشكل كبير. نحن لم نعد نحارب البرمجيات الخبيثة فقط، بل نحارب تقنيات "العيش على الأرض" (LotL) حيث يستخدم الفاعلون المدعومون من الدول أدوات إدارية قانونية للتخفي وسط الضوضاء الخلفية لبيئة التصنيع أو المرافق. عادة ما يكون هذا التمويه ناجحًا للغاية لدرجة أن مجموعات APT تستطيع الهجوم في الوقت الذي تختاره، بعد حصاد بيانات الاعتماد من وسطاء البيانات.

في هذا المشهد، يصبح NIST SP 800-171 معيارًا أساسيًا لتأمين بنيتك التحتية. إذا تجاوزت جدول أعمال المدقق، فإن 800-171 هو مخطط لتقليل الفوضى التشغيلية التي تحتاجها APTs للاختباء. كما يحتوي أيضًا على أدوات تحكم قادرة على توفير مستوى عالٍ للغاية من الردع ضد المتسللين وثقة للدفاع لزيادة وضعها الأمني بطريقة قابلة للقياس.

صمم NIST SP 800-171 في الأصل لتقديم مجموعة موحدة من متطلبات الأمن السيبراني لتأمين المعلومات غير المصنفة التي يتم التحكم فيها (CUI) الموجودة في الأنظمة والمنظمات غير الفيدرالية. تم تطويره لضمان أن المقاولين والمقاولين الفرعيين والباحثين الذين يحافظون على بيانات الحكومة يحافظون على ممارسات أمنية متسقة دون الحاجة إلى تنفيذ ضوابط على مستوى الوكالات الفيدرالية المعقدة.

أحد المزايا الرئيسية هو هذا: NIST SP 800-171 يقدم أيضًا مجموعة فرعية من الضوابط الأكثر صرامة المدرجة في NIST SP 800-53. هذا يساعد في جعل الامتثال أكثر فعالية وتوقيتًا للشركات الصغيرة والمنظمات غير الفيدرالية.

في الولايات المتحدة، يساعد NIST SP 800-171 المقاولين على الامتثال لملحق نظام تنظيم الاستحواذ الاتحادي الدفاعي (DFARS) ليصبحوا مؤهلين للفوز بالعقود الحكومية التي تعود بمكافآت مالية وتعزز السمعة.

في منشور المدونة اليوم، نقوم بغوص عميق في أساسيات NIST SP 800-171 وكيفية الامتثال لهذا المعيار الأساسي. كما نقدم قائمة مرجعية يمكنك استخدامها للدفاع عن بنيتك التحتية باستخدام هذا المعيار.

قبل أن نتقدم، لا تنسَ الاطلاع على منشور المدونة السابق الخاص بنا عن "تفكيك اختراق بيانات Intuitive Surgical" هنا.

خندق التحكم في الوصول (AC): تفكيك المحور الجانبي

من النادر أن ترى فاعل APT يهبط مباشرة على واجهة آلة بشرية (HMI). بل يهبطون بدلاً من ذلك على محطة عمل تقنية المعلومات ويتمحورون. يمكن أن يكون عائلة التحكم في الوصول (3.1) الخاصة بـ 800-171 هي أداتك الرئيسية لكسر هذا السلسلة.

• التغير التكتيكي: لا تدير المستخدمين فقط؛ بل ادير التدفقات والفجوات. استخدم التحكم 3.1.3 (التحكم في تدفق CUI) لتحديد "الممرات" بين مناطق تقنية المعلومات والتكنولوجيا التشغيلية. إذا لم تكن محطة العمل بحاجة مطلقة للتحدث إلى شبكة PLC الفرعية، فلا ينبغي أن توجد هذه المسار، ولا حتى للمشرفين.

• الاحتكاك مع APT: من خلال فرض أقل امتياز (3.1.5)، تجبر المهاجم على القيام بإجراءات "صاخبة" (مثل تفريغ بيانات الاعتماد أو تصعيد الامتيازات) التي تطلق تنبيهات وتكشف عن أنشطته.

إدارة التكوين (CM): حرمان استراتيجية "العيش خارج الأرض"

APT الحديثة مثل APT 41 لا تحضر أدواتها الخاصة. بل يستخدمون أدواتك (PowerShell، WMI، SSH). إذا كانت بيئتك عبارة عن "اختر مغامرتك الخاصة" من إصدارات أنظمة تشغيل مختلفة ومنافذ مفتوحة، فأنت تقدم للمهاجم مجموعة أدوات ضخمة. استخدام البنية التحتية الخاصة بك ضدك يجعل مهمة التحكم في الهجوم السيبراني أو الحادث أكثر تحدياً. لذا يوصى بالتصرف مبكرًا.

• التغير التكتيكي: استخدم التحكم 3.4.1 المرتبط بإعداد تكوينات أساسية كسلاح دفاعي. في بيئة تكنولوجيا التشغيل، ليست القاعدة مجرد وثيقة؛ إنها حالة معروفة. إذا كان هناك في محطة عمل هندسية قائمة على نظام Windows فجأة خدمة جديدة قيد التشغيل أو منفذ غير مصرح به مفتوحًا، فإن ذلك يعتبر مؤشرًا على الاختراق (IoC). قد لا تكون مؤشرات الاختراق صاخبة دائمًا، ولكنك ستتمكن على الأقل من تضييق نطاق الأهداف التي قد تكون معرضة للخطر. وهذا يمنحك نطاقًا أكبر للتركيز على العمليات أو الأصول الأخرى التي قد تظل معرضة للخطر بعد أن تكون قد أمنت معظم بنيتك التحتية ضد التغيرات غير المصرح بها.

• النتيجة: تنتقل من "البحث عن الملفات السيئة" إلى "اكتشاف التغيرات غير المصرح بها".

الاستجابة للحوادث والمراقبة (IR/SI): العثور على الشبح

أعظم قوة لـ APT هي وقت الوجود. يبقون في النظام لأشهر في انتظار الضرب بالصبر. صُممت عائلات النظام وسلامة المعلومات (3.14) والتدقيق والمساءلة (3.3) في 800-171 لتقليل تلك الفترة.

• التغير التكتيكي: ركز على التحكم 3.14.6 (مراقبة نظام المعلومات). في تكنولوجيا التشغيل، يعني هذا مراقبة الشذوذات في البروتوكولات الصناعية (Modbus، DNP3، S7). قد لا يطلق APT فحص الفيروسات التقليدي، لكنه سيطلق إنذارًا إذا بدأ بتسجيل وحدات لم يلمسها من قبل. يمكنك أيضًا إجراء عمليات تدقيق محددة لاستهداف APT التي قد تتواجد في بيئتك

• النتيجة: بالإضافة إلى كشف أي نشاط من APT، تكتسب الوقت. ما يعنيه هذا هو أنك يمكنك فعلاً منع وقوع حادث عن طريق إزالة وجود APT بشكل أكثر جراحياً.

NIST SP 800-171 المقاييس المهمة (KPIs)

توقف عن تتبع "عدد الهجمات المحظورة". هذا مقياس غرور. لقياس قدرتك على الصمود ضد APT، تتبع هذه النتائج:

الوقت المتوسط لاكتشاف (MTTD) التغيرات غير المصرح بها في التكوين

• الهدف: اكتشاف التغيير في قاعدة قياسية (3.4.1) في غضون دقائق، وليس أسابيع.

• KPI: الوقت المنقضي من تغيير التكوين على أصل تكنولوجيا التشغيل الحرج إلى ظهور تنبيه في لوحة التحكم/SOC.

معدل محاولة "التحايل" على التقسيم

• الهدف: التأكد من أن "المناطق والممرات" معزول ومفروض.

• KPI: عدد محاولات الاتصال المرفوضة من منطقة تقنية المعلومات إلى منطقة تكنولوجيا التشغيل التي لا تتطابق مع "التدفق" المصرح به المحدد في 3.1.3.

نطاق تأثير بيانات الاعتماد

• الهدف: تقييد المدى الذي يمكن أن تصل إليه الحساب المخترق.

• KPI: نسبة حسابات الإدارة التي لديها وصول لكل من بيئات تقنية المعلومات وتكنولوجيا التشغيل. (يجب أن يكون هذا محصلته 0).

تكامل سجلات التدقيق

• الهدف: ضمان أنه عندما يحدث هجوم، لم يتم العبث بـ "مسجل الصندوق الأسود".

• KPI: معدل النجاح لفحوصات تكامل السجلات الآلية (التحكم 3.3.1/3.3.2).

أخيرًا وليس آخراً: الامتثال هو الأرضية، وليس السقف

تفوز مجموعة APT عندما تجد فجوة بين سياستك وواقعك. استخدام NIST SP 800-171 لصد APTs ليس مجرد أوراق أو تدريب فقط؛ بل في إنشاء بيئة عالية الدقة. عندما تكون شبكتك نظيفة، مجزأة، ومرصودة وفقًا لأساس صارم، تصبح تقنيات الفاعلين المدعومين من الدولة تقنيات متقدمة واضحة كأنها شذوذ.

موارد إضافية

إليك قائمة مرجعية محددة قمنا بإنشائها لمساعدتك في الامتثال لـ NIST SP 800-171 بطريقة منسقة.
إرشادات موقف الدفاع
قائمة تحقق لتقييم الخط الأساسي لأمان تكنولوجيا التشغيل 
NIST MEP للمصنعين