ما هو التهديد المتقدم المستعصي(APT)؟
هو هجوم إلكتروني سري على شبكة كمبيوتر حيث يحصل ويحافظ الهاكرعلى وصول غير مصرح به إلى الشبكة المستهدفة ويظل غير مكتشف لفترة طويلة، وخلال الفترة الفاصلة بين الإصابة والعلاج غالبًا ما يقوم الهاكر بمراقبة المعلومات والبيانات الحساسة واعتراضها ونقلها، فالغرض من APT هو سرقة البيانات أو تسريبها بدلاً من التسبب في انقطاع الشبكة أو رفض الخدمة(denial of service) أو إصابة الأنظمة ببرامج ضارة.
غالبًا ما تستخدم APT تكتيكات الهندسة الاجتماعية(Social Engineering) أو تستغل نقاط ضعف البرامج في المؤسسات ذات المعلومات عالية القيمة.
كيف يعمل التهديد المتقدم المستعصي عند إطلاق عملية جديدة، يهدف الـAPT عادةً إلى إكمال العملية التالية:
1.البحث و تحديد هدف.
2.تنظيم فريق.
3.البناء أو الحصول على الأدوات.
4.القيام بإجراء اختبارات الكشف.
5. النشر والتطفل.
6.القيام بتأسيس اتصال خارجي.
7.القيام بتوسيع الوصول.
8.تقوية موطئ قدم.
9.سرقة البيانات تغطية المسارات والهروب غير مكتشفة.
لإنجاز هذه الدورة، غالبًا ما تستخدم APTs مزيجًا من الهندسة الاجتماعية، والتصيد الاحتيالي، والجذور الخفية (rootkits).
أحد الأسباب الرئيسية لنجاح APTs هو الافتقار إلى الرؤية داخل المنظمة، فبدون القدرة على التعمق في حالة البنية التحتية، يصبح من الصعب جدًا حمايتها، حيث لا تظهر النقاط العمياء إلا اثناء الاكتشاف، فإذا كنت لا تعرف مكان معالجة البيانات، فإن اكتشاف التهديدات يصبح مشكلة معقدة.
يعد الاطلاع على نشاط المستخدم أمرًا أساسيًا، حيث يمكن أن تطلق APTs موجة مدمرة من العواقب ببساطة عن طريق الحصول على بيانات الاعتماد الصحيحة والتصعيد عبر سلسلة الامتيازات(privilege chain). فالقدرة على رؤية وتتبع تشوهات المستخدم هي إحدى الطرق لمنع مثل هذا الضرر.
تشمل أهداف الـ APT النموذجية أثناء الهجوم ما يلي:
1.البيانات المصنفة – Classified data
2.البيانات الحساسة (مثل السجلات المالية) – Sensitive data (such as financial records)
3.المعلومات شخصية – Personal information
4.الملكية الفكرية – Intellectual property
5.Access credentials
6.أي مادة حساسة يمكن استخدامها لابتزاز الهدف أو إلحاق الضرر به .
7.بيانات البنية التحتية -Infrastructure data
تتضمن بعض نواقل الهجوم الأكثر شيوعًا ما يلي:
1.التصيد – Phishing
2.الهندسة اجتماعية – Social Engineering
3.DNS modifications
4.هجمات Zero-day
5.استغلال االضعف – Vulnerability exploits
6.هجمات سلسلة التوريد – Supply chain attacks
7.الهجمات الداخلية (المساومة على الموظف ) – Internal attacks (compromising a target’s employee)
8.البرمجيات المقرصنة
9.برامج الفدية – Ransomware
م.أمــل عبـــدالكــريــم الأصـــبحي،،،
مصدر المعلومات موقع: www.cisco.com & www.xmcyber.com
