اكتشاف برامج الفدية والوقاية منها

الكشف عن تهديدات برامج الفدية الضارة والاستجابة لها

أصبحت برامج الفدية من أقوى البرامج الضارة التي تؤثر على الأعمال في مجال الجرائم الإلكترونية، حيث تكلِّف المؤسسات مليارات الدولارات كل عام. في هجوم برامج الفدية، يقوم مجرمو الإنترنت بسرقة أو تشفير البيانات القيِّمة ثم يطلبون الدفع مقابل إعادتها بشكل آمن. وتطورت هذه الهجمات عبر مراحل؛ من مجرد إزعاج على مستوى المستهلكين إلى برنامج ضار متطور بقدرات تقنية متطورة، ولا توجد أي صناعات أو مناطق جغرافية أو حجم أعمال محصَّنة ضدها.

تتطلب حماية مؤسستك من برامج الفدية وغيرها من أنواع البرامج الضارة استجابةً سريعة؛ لأنه مع كل ثانية تمر، يتم تشفير مزيد من الملفات وإصابة مزيد من الأجهزة، مما يؤدي إلى زيادة الضرر والتكلفة. يساعدك IBM QRadar SIEM على اكتشاف هذه التهديدات بسرعة، لتتمكن من اتخاذ إجراءات فورية ومدروسة لمنع آثار الهجوم أو تقليلها.

تعرَّف على مخاطر برامج الفدية الضارة

اقرأ تقرير تكلفة اختراق أمن البيانات لعام 2024

تقرير Gartner لعام 2024: تصنيف شركة IBM كشركة رائدة للمرة الرابعة عشرة على التوالي. اقرأ التقرير.

اطَّلِع على تقرير مؤشر X-Force Threat Intelligence لعام 2024

اقرأ مؤشر استعلامات التهديدات لعام 2024

احصل على موجز حل QRadar SIEM

خطر برامج الفدية

في المعركة ضد برامج الفدية، يُعَد الاكتشاف المبكر والوقاية أمرين ضروريين. يوفر QRadar SIEM تحليلات أمنية ذكية تمنحك رؤى قابلة للتنفيذ للتصدي للتهديدات الحساسة.

24%

من كل الهجمات الإلكترونية تأتي من هجمات الفدية الضارة.

5.13

يبلغ متوسط تكلفة هجوم برامج الفدية الضارة 5.13 ملايين دولار أمريكي.¹

108

تمكَّنت المؤسسات التي تستخدم الذكاء الاصطناعي والأتمتة الأمنية من تحديد واحتواء حالات اختراق أمن البيانات بمعدل أسرع، من غيرها من المؤسسات التي لم تستخدم الذكاء الاصطناعي، وسبقتها في الاكتشاف بمقدار 108 أيام..¹

كيف يساعد QRadar SIEM على الحماية من برامج الفدية؟

برامج الفدية الضارة

تتطور برامج الفدية، مثلها مثل معظم البرامج الضارة، عبر عدة مراحل. لكن QRadar SIEM يستطيع اكتشاف برامج الفدية المعروفة وغير المعروفة عبر هذه المراحل. ولا شك أن الكشف المبكر يساعد في منع الضرر الذي يحدث في المراحل اللاحقة. يوفر QRadar ملحقات المحتوى التي تتضمن مئات من حالات الاستخدام لتوليد تنبيهات طوال كل هذه هذه المراحل. يتم تقديم ملحقات المحتوى من خلال App Exchange حيث يوفر إمكانية الحصول على أحدث حالات الاستخدام.

يمكن اكتشاف معظم البرامج الضارة وبرامج الفدية "المعروفة" في مراحل أولى مبكرة. ولكشف برامج الفدية غير المعروفة، يوفر QRadar SIEM حالات استخدام تركِّز على اكتشاف سلوكيات برامج الفدية. وتُتيح الرؤية عبر نقاط النهاية وخوادم التطبيقات (المحلية والسحابية) وأجهزة الشبكة (جدران الحماية) لبرنامج QRadar SIEM Use Case Manager اكتشاف أنماط سلوك برامجك وتقنياتك التشغيلية. يساعدك Use Case Manager في تصور إذا ما كانت لديك حالات استخدام أو قواعد تمتد عبر هذه المراحل باستخدام مصفوفة MITRE ATT&CK.

مرحلة التوزيع (أساليب MITRE ATT&CK: الوصول الأولي)

خلال هذه المرحلة، تبدو برامج الفدية مثل بقية البرامج الضارة الأخرى. وتستخدم أساليب التصيد الاحتيالي لاستدراج الموظفين الذين لا يأخذون الاحترازات الكافية لديك للنقر على رابط أو ملف قابل للتنفيذ في رسالة إلكترونية أو فخ إلكتروني أو عبر وسائل التواصل الاجتماعي أو رسالة نصية.

أمثلة على حالات استخدام QRadar SIEM لاكتشاف سلوكيات التوزيع وبرامج الفدية المعروفة:

ملف تنفيذي مضمّن في رسالة بريد إلكتروني
رسالة بريد إلكتروني أو تواصل عبر الويب مع جهاز مضيف احتيالي
اسم موضوع مريب في خانة موضوع البريد الإلكتروني

مرحلة العدوى (أساليب MITRE ATT&CK: التنفيذ، الاستمرار)

هذه هي اللحظة التي تبدأ فيها ساعة الإيقاف. أصبح برنامج الفدية الآن داخل بيئتك. وإذا استخدم برنامج الفدية "أداة إسقاط" لتجنب اكتشافه في مرحلة التوزيع، فهذا هو الوقت الذي تتصل فيه أداة إسقاط البرنامج بالخادم الخاص بها وتقوم بتنزيل "ملف تنفيذي حقيقي" وتشغيله.

أمثلة على حالات استخدام QRadar SIEM للعثور على سلوكيات الإصابة:

الكشف عن ملف ضار أو عملية ضارة
الكشف عن مؤشرات الاختراق الضارة
فك تشفير الملف أو تنزيله متبوعًا بنشاط مريب

مرحلة التدريج (أساليب MITRE ATT&CK: الاستمرار، تصعيد الامتيازات، مراوغة وسائل الدفاع، الوصول إلى بيانات الاعتماد)

يفحص برنامج الفدية الجهاز لتحليل الحقوق الإدارية التي يمكنه الحصول عليها، وتشغيل ذاته عند بدء التشغيل، وتعطيل وضع الاسترداد، وحذف النسخ التي يجري إنشاؤها أثناء الاستخدام، وغير ذلك.

أمثلة على حالات استخدام QRadar SIEM لاكتشاف سلوكيات التدريج:

محاولة حذف النسخ الاحتياطية والنسخ التي يجري إنشاؤها أثناء الاستخدام
تعطيل الاسترداد في تكوين التمهيد

مرحلة الاستطلاع (أساليب MITRE ATT&CK: الاكتشاف، التنقل غير المباشر، الجمع)

الآن بعد أن استحوذت برامج الفدية على الجهاز منذ مرحلة البداية، ستبدأ مرحلة استطلاع الشبكة (مسارات الهجوم) والمجلدات والملفات ذات الملحقات المحددة مسبقًا وغيرها.

أمثلة على حالات استخدام QRadar SIEM لاكتشاف سلوكيات الاستطلاع:

محاولة حذف النسخ الاحتياطية والنسخ التي يجري إنشاؤها أثناء الاستخدام
تطبيق قيود على حجم نقل البيانات

أساسيات مراقبة نقطة النهاية في QRadar

مرحلة التشفير (أساليب MITRE ATT&CK: النقل غير المصرَّح به البيانات، التأثير)

من هنا يبدأ الضرر الحقيقي. تتضمن الإجراءات الاحترازية النموذجية: إنشاء نسخة من كل ملف، وتشفير النسخ، ووضع الملفات الجديدة في الموقع الأصلي. قد يتم استخراج الملفات الأصلية وحذفها من النظام، مما يسمح للمهاجمين بابتزاز الضحية بالتهديد بنشر الاختراق على الملأ، أو تسريب المستندات المسروقة.

حالة استخدام ®QRadar SIEM نموذجية كمثال لاكتشاف سلوكيات التشفير:

الإفراط في حذف الملفات أو إنشائها
كمية مريبة من الملفات المُعاد تسميتها أو حركة الملفات على الجهاز (UNIX) نفسه
تطبيق قيود على حجم نقل البيانات

هل تحتاج إلى مساعدة لمراقبة النقل غير المصرَّح به للبيانات؟

إشعار الفدية

يحدث الضررُ ويتلقى المستخدم إشعارًا حول كيفية دفع الفدية للحصول على مفتاح فك التشفير. في هذه المرحلة لم يَعُد هناك الكثير مما يجب اكتشافه، باستثناء إنشاء ملف تعليمات فك التشفير.

أمثلة على حالات استخدام QRadar SIEM لاكتشاف سلوكيات إشعار الفدية:

تم إنشاء تعليمات فك تشفير برامج الفدية

تتوفر حالات الاستخدام لاكتشاف برامج الفدية في ملحقات المحتوى التالية الموجودة على App Exchange:

تعرَّف على المزيد حول حالات استخدام QRadar SIEM لكل مرحلة

التخطيط لهجوم الفدية

بعد مرحلة الإصابة الأولية، يصبح الوقت عاملاً حاسمًا. فكلما اكتشفت الأمر مبكرًا، تمكَّنت من بدء خطة الاستجابة للحوادث (IR) الخاصة بك مبكرًا. وكلما كانت خطة الاستجابة للحوادث أفضل، كان إيقاف برامج الفدية عن التقدم خلال المراحل أسرع وأسهل. وضع معهد NIST ومعهد SANS إرشادات للاستجابة للحوادث (IR) أثبت صمودها مع مرور الزمن أمام التحديات. هناك عدد قليل من الجوانب الرئيسية في أي خطة استجابة للحوادث.

إعداد نسخ احتياطية. تُعدُّ النسخ الاحتياطية غير المتصلة بالإنترنت أمرًا بالغ الأهمية في هجوم برامج الفدية. لِذا عليك أن تتأكَّد من معرفة مكان وجود هذه النسخ الاحتياطية وكيفية استعادة أنظمتك. وتأكَّد أيضًا من تضمين الخطوات المتعلقة بالجهة التي يجب التواصل معها لكل أصل من أصول تقنية المعلومات المهمة لديك في عملية الاستجابة للحوادث.

تحديد فرق العمل والأدوات والأدوار. مع تقدم برامج الفدية عبر مراحلها المختلفة من الإصابة الأولية إلى التشفير، يتغير تشكيل وتكوين فريق الاستجابة. وهذا يعني عادةً ضرورة مشاركة مزيد من الأشخاص من مختلف أنحاء المؤسسة. في كثير من الأحيان، يتضمن ذلك استخدام خدمات من جهات خارجية للمساعدة أو قد يعني ذلك الاتصال بالجهات القانونية والجهات التنظيمية الخارجية والعملاء في حالة حدوث الاختراق. وتُعَد معرفة من يجب الاتصال به ومتى ينبغي الاتصال أمرًا بالغ الأهمية. والاحتفاظ بقائمة جهات اتصال محدَّثة أمر مهم كذلك، لكن دمج أدوار الاتصال هذه في عمليتك أمر حيوي لتحقيق الاستجابة الفعَّالة. تُعدُّ الأوراق وملفات PDF جيدة كافية، لكن وجود الأدوات والأتمتة المناسبة التي توفر للفريق بأكمله إمكانية الوصول إلى عملية الاستجابة لبرامج الفدية والإجراءات والتوثيق التاريخي هو سر النجاح.

عمليات وأتمتة محددة بشكل جيد. تحتوي عملية الاستجابة للحوادث على العديد من المهام وتشمل نقاط قرار متعددة. ومن الممارسات الجيدة أن تتواءم عمليتك مع المراحل التي حددها معهد NIST ومعهد SANS. فمثلاً يمكنك تنظيم عملية الاستجابة للحوادث الخاصة بك حسب المراحل التالية:

الاكتشاف والتحديد
الإثراء والتحقق من الصحة
الاحتواء والمعالجة
التعافي والتواصل

يوفر QRadar SOAR أدلة تشغيلية لتحديد عملية الاستجابة للحوادث وأتمتة العديد من الإجراءات التي قد يحتاج المحلل إلى تنفيذها للتقدم خلال المراحل بسرعة. يمكن لميزة الاستجابة للاختراقات في QRadar SOAR إنشاء مهام إعداد التقارير التنظيمية اللازمة بناءً على المعلومات الشخصية المكشوفة.

مخزون أصول تقنية المعلومات، والمالكين، والمعلومات الشخصية. عندما يُصاب نظام ما، يحتاج محلل الأمن إلى معرفة مالك النظام والتطبيقات والبيانات. يمكن أن تساعد حلول إدارة الأصول مثل ServiceNow أو SAP على إدارة جهات الاتصال الخاصة بالأنظمة. ويمكن أن يساعدك IBM Guardium Discover and Classify على العثور على مصادر البيانات والمعلومات الشخصية في كل مصدر. وبالتالي، في حالة حدوث اختراق لأمن البيانات، يعرف المحللون إذا ما كان الأمر يتطلب أي لوائح.

تعرَّف على المزيد حول التخطيط لهجوم برامج الفدية

دراسات حالة

تعزيز دفاعات المدينة باستخدام استعلامات التهديدات

تعاونت مدينة لوس أنجلوس ومختبر LA Cyber Lab وشركة IBM لتقديم استعلامات حول التهديدات وتعزيز الشركات المحلية المعرضة للخطر.

تسريع معالجة التهديدات باستخدام QRadar SIEM

يساعد دمج البيانات وتحليل السجلات وتحديد أولويات الحوادث شركة الاستثمار والتطوير العقاري في فيتنام على اكتشاف التهديدات والاستجابة لها.

إدارة الأمن الإلكتروني باستخدام حلول IBM المركبَّة

من خلال استضافة حل QRadar SIEM على وحدة تخزين IBM FlashSystem عالية الأداء، يوفر Data Action (اختصارًا DA) أمنًا محسَّنًا للبنوك البديلة.

حالات الاستخدام ذات الصلة

يُسهم الكشف عن التهديدات من المركز إلى نقاط النهاية باستخدام QRadar SIEM في تحسين حماية مؤسستك بعدة طرق مختلفة.

صيد التهديدات

يمكنك دمج حلول IBM Security لتعقب التهديدات الإلكترونية في استراتيجيتك الأمنية لمكافحة التهديدات والحد منها بسرعة أكبر.

الامتثال

تمكَّن من دمج حِزَم الامتثال في QRadar SIEM لضمان الامتثال وأتمتة إعداد التقارير.

الكشف عن التهديدات

أوقف الهجمات الإلكترونية سريعًا باستخدام خاصية الكشف عن التهديدات في الوقت شبه الفعلي من QRadar SIEM.

موارد ذات الصلة

IBM Security QRadar

تعرَّف على كيفية مساعدة QRadar في الدفاع ضد التهديدات المتزايدة مع تحديث وتوسيع نطاق العمليات الأمنية من خلال الرؤية المتكاملة والكشف والتحقيق والاستجابة.

شاهِد كيف يساعد QRadar SIEM المحللين عند التحقيق في حادثة أمنية، وتحديد إن كانت تمثل تهديدًا أم لا، وإرسالها إلى نظام SOAR لمعالجتها.

كيفية زيادة معدلات الكشف وتوفير الوقت المستغرق في تصيد التهديدات

نهج فعَّال لاصطياد التهديدات لتقليل الوقت المستغرق من الاختراق إلى الاكتشاف، مما يقلل من مقدار الضرر الذي يمكن للمهاجمين التسبب فيه.

اتخِذ الخطوة التالية

حدد موعدًا للحصول على عرض مخصص لمنصة QRadar SIEM أو استشر أحد خبراء المنتجات لدينا.

احجز عرضًا توضيحيًا مباشرًا

مزيد من الطرق للاستكشاف

الوثائق

الدعم

المجتمع

الشركاء

الموارد

المدونة

أكاديمية تعليمية

الحواشي

¹ تقرير تكلفة اختراق أمن البيانات لعام 2024