الحركة الجانبية هي الأسلوب الذي يستخدمه مجرم إلكتروني للتعمق في شبكة مؤسسة بعد الحصول على وصول غير مصرح به. أثناء الحركة الجانبية، قد تقوم عناصر التهديد بنشر برنامج ضار، واختراق حسابات المستخدمين والتهرب من الضوابط الأمنية للبحث عن أهداف عالية القيمة مثل البيانات الحساسة أو الملكية الفكرية.
الحركة الجانبية ليست سمة كل هجوم إلكتروني، لكنها يمكن أن تكون من أكثر تهديدات الأمن الإلكتروني ضررًا. وذلك لأن الحركة الجانبية تعتمد على سرقة بيانات اعتماد المستخدم للتعمق التدريجي في الشبكة المخترقة. يتطلب هذا النوع من الاختراق استجابة أكثر تعقيدًا للحوادث من قبل فرق الأمن، وعادةً ما يكون له دورة استجابة أطول من أي ناقل إصابة آخر.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
بشكل عام، تنقسم هجمات الحركة الجانبية إلى جزئين: اختراق أولي تتبعه حركة داخلية. يجب أن يتمكن المخترقون أولاً من الوصول إلى الشبكة عن طريق التهرب من أمن نقطة النهاية. قد يستخدمون هجمات التصيّد الاحتيالي أو برنامج ضار لاختراق جهاز أو تطبيق، أو الحصول على وصول أولي من خلال منفذ خادم مفتوح.
بعد دخول المهاجمين إلى الداخل، يمكنهم البدء في التفرع إلى مناطق أخرى من الشبكة من خلال هذه المراحل من الحركة الجانبية:
بعد أن يكتسب المهاجمون موطئ قدم لهم، يقومون برسم خريطة للشبكة ويخططون مسارًا للوصول إلى هدفهم. ويبحثون عن معلومات عن التسلسلات الهرمية للشبكة، وأنظمة التشغيل، وحسابات المستخدمين، والأجهزة، وقواعد البيانات، والتطبيقات لفهم كيفية ارتباط هذه الأصول. كما أنهم قد يستكشفون أيضًا ضوابط أمن الشبكة ثم يستخدمون ما يتعلمونه لمراوغة الفرق الأمنية.
عندما يفهم المتسللون تخطيط الشبكة، يمكنهم استخدام مجموعة متنوعة من تقنيات الحركة الجانبية للوصول إلى المزيد من الأجهزة والحسابات. من خلال اختراق المزيد من الموارد، لا يقترب المخترقون من هدفهم فحسب —بل يجعلون من الصعب حذفها أيضًا. حتى إذا حذفتها العمليات الأمنية من جهاز واحد أو جهازين، فلا يزال بإمكانهم الوصول إلى الأصول الأخرى.
بينما يتحرك المخترقون أفقيًا، فإنهم يحاولون الاستيلاء على الأصول والحسابات ذات الامتيازات الأعلى. ويُطلق على هذا الفعل اسم "تصعيد الامتيازات." وكلما زادت الامتيازات التي يتمتع بها المهاجمون، زاد ما يمكنهم فعله داخل الشبكة. في نهاية المطاف، يهدف المخترقون إلى الحصول على امتيازات إدارية تسمح لهم بالذهاب إلى أي مكان عمليًا والقيام بأي شيء تقريبًا.
يجمع المتسللون تقنيات الحركة الجانبية ويكررونها حسب الحاجة حتى يصلوا إلى هدفهم. في كثير من الأحيان، يبحثون عن معلومات حساسة لجمعها وتشفيرها وضغطها للنقل غير المصرح للبيانات إلى خادم خارجي. أو قد يرغبون في تخريب الشبكة عن طريق حذف البيانات أو إصابة أنظمة حساسة ببرنامج ضار. واعتمادًا على هدفهم النهائي، قد يحتفظ المتسللون بخدع ونقاط وصول عن بُعد لأطول فترة ممكنة لتحقيق أقصى قدر ممكن من الضرر.
تفريغ بيانات الاعتماد: يسرق المخترقون المستخدمين الشرعيين وكلمات المرور الخاصة بهم، ثم "يفرغون" هذه البيانات على أجهزتهم الخاصة. قد يسرقون أيضًا بيانات الاعتماد الخاصة بالمشرفين الذين سجلوا الدخول إلى الجهاز مؤخرًا.
هجمات تمرير التجزئة: تعمل بعض الأنظمة على تحويل أو "تجزئة" كلمات المرور إلى بيانات غير مقروءة قبل نقلها وتخزينها. يمكن للمتسللين سرقة تجزئات كلمات المرور واستخدامها لخداع بروتوكولات المصادقة لمنح أذونات للأنظمة والخدمات المحمية.
تمرير التذكرة: يستخدم المخترقون تذكرة Kerberos المسروقة للوصول إلى الأجهزة والخدمات على الشبكة. (Kerberos هو بروتوكول المصادقة الافتراضي المستخدم في Microsoft Active Directory).
هجمات القوة الغاشمة: يخترق القراصنة الحساب باستخدام البرامج النصية أو الروبوتات لإنشاء كلمات مرور محتملة واختبارها حتى تنجح إحداها.
الهندسة الاجتماعية: يمكن أن يستخدم المخترقون حساب البريد الإلكتروني للموظف المخترق لشن هجمات تصيد احتيالي مصممة لجمع بيانات اعتماد تسجيل الدخول لحسابات مميزة.
سرقة الموارد المشتركة: يمكن أن ينشر المخترقون برنامجًا ضارًا من خلال الموارد المشتركة وقواعد البيانات وأنظمة الملفات. على سبيل المثال، قد يختطفون إمكانيات Secure Shell (SSH) التي تربط أنظمة التشغيل عبر نظامي التشغيل macOS وLinux.
هجمات PowerShell: يمكن أن يستخدم المخترقون واجهة سطر أوامر Windows (CLI) وأداة البرمجة النصية PowerShell لتغيير التكوينات أو سرقة كلمات المرور أو تشغيل البرامج النصية الخبيثة.
العيش من الأرض يمكن للمخترقين الاعتماد على أصول داخلية ألحقوا الضرر بها بدلاً من برنامج ضار خارجي في المراحل اللاحقة من الحركة الجانبية . هذا النهج يجعل أنشطتهم تبدو مشروعة ويجعل من الصعب كشفها.
التهديدات المستمرة المتقدمة (APT): الحركة الجانبية هي استراتيجية أساسية لمجموعات هجمات APT، والتي تهدف إلى التسلل إلى شبكة ما لفترة طويلة من الزمن واستكشافها وتوسيع نطاقها. وفي أغلب الأحيان يستخدمون الحركة الجانبية ليظلوا غير ملحوظين أثناء تنفيذ هجمات إلكترونية متعددة لأشهر أو حتى سنوات.
التجسس الإلكتروني: نظرًا لأن طبيعة التجسس الإلكتروني تتمثل في تحديد موقع البيانات أو العمليات الحساسة ومراقبتها، فإن الحركة الجانبية هي القدرة الرئيسية للجواسيس الإلكترونيين. في أغلب الأحيان توظف الدول القومية مجرمين إلكترونيين متطورين لقدرتهم على التحرك بحرية داخل الشبكة المستهدفة، والقيام بعمليات استطلاع على الأصول المحمية دون أن يتم كشفهم.
برامج الفدية: يعمل مهاجمو برامج الفدية على مهاجمة العديد من الأنظمة والنطاقات والتطبيقات المختلفة والسيطرة عليها. وكلما زادت قدرتهم على الاستحواذ، زادت حساسية تلك الأصول بالنسبة لعمليات المؤسسة، وزاد نفوذهم عند المطالبة بدفع مقابلها.
عدوى البوت نت: مع تقدم الحركة الجانبية، يسيطر المخترقون على المزيد من الأجهزة عبر الشبكة المخترقة. يمكنهم توصيل هذه الأجهزة لإنشاء شبكة روبوتات أو بوت نت. يمكن استخدام عدوى البوت نت الناجحة لشن هجمات إلكترونية أخرى أو توزيع البريد المزعج الإلكتروني غير المرغوب فيه أو الاحتيال على مجموعة كبيرة من المستخدمين المستهدفين.
نظرًا لأن الحركة الجانبية يمكن أن تتصاعد بسرعة عبر الشبكة، فإن الكشف المبكر مهم للغاية للتخفيف من الأضرار والخسائر. يوصي خبير الأمن باتخاذ الإجراءات التي تساعد على تمييز عمليات الشبكة العادية عن الأنشطة المشبوهة، مثل:
تحليل سلوك المستخدم: يمكن أن تكون الكميات الكبيرة غير المعتادة من عمليات تسجيل دخول المستخدمين، أو عمليات تسجيل الدخول التي تتم في وقت متأخر من الليل، أو وصول المستخدمين إلى أجهزة أو تطبيقات غير متوقعة، أو زيادة في عمليات تسجيل الدخول الفاشلة، كلها علامات على وجود حركة جانبية. يمكن أن تحدد التحليلات السلوكية باستخدام التعلم الآلي السلوك غير الطبيعي للمستخدمين وتنبه الفرق الأمنية لذلك.
حماية نقاط النهاية: تُعدّ الأجهزة المتصلة بالشبكة والمعرضة للثغرات، مثل: محطات العمل الشخصية، والهواتف الذكية، والأجهزة اللوحية، والخوادم، الأهداف الأساسية للتهديدات السيبرانية. الحلول الأمنية، مثل: كشف نقطة النهاية والاستجابة لها (EDR) وجدران الحماية لتطبيقات الويب، ضرورية لمراقبة نقاط النهاية ومنع اختراق الشبكة في الوقت الفعلي.
إنشاء أقسام الشبكة: يمكن أن يساعد تقسيم الشبكة على إيقاف الحركة الجانبية. إن اشتراط بروتوكولات وصول منفصلة لمناطق مختلفة من الشبكة يحد من قدرة المخترق على التوسع في نشاطاته. كما أنه يجعل من الأسهل كشف حركة مرور الشبكة غير المعتادة.
مراقبة عمليات نقل البيانات: قد يشير التسارع المفاجئ في عمليات قاعدة البيانات أو عمليات النقل الضخمة للبيانات إلى موقع غير معتاد إلى أن الحركة الجانبية مستمرة. تساعد الأدوات التي تراقب وتحلل سجلات الأحداث من مصادر البيانات، مثل: إدارة المعلومات الأمنية والأحداث (SIEM) أو الكشف عن الشبكة والاستجابة لها (NDR)، في تحديد أنماط نقل البيانات المشبوهة.
استخدام المصادقة متعددة العوامل (MFA): إذا نجح المخترقون في سرقة بيانات اعتماد المستخدم، فستساعد المصادقة متعددة العوامل في منع الخرق عن طريق إضافة طبقة أخرى من الأمان. وبفضل استخدام المصادقة متعددة العوامل، لن تكفي كلمات المرور المسروقة وحدها للوصول إلى الأنظمة المحمية.
استكشف التهديدات المحتملة: يمكن للأنظمة الأمنية المؤتمتة أن تقدم نتائج إيجابية كاذبة بينما تغفل تهديدات إلكترونية غير معروفة أو غير معالجة من قبل. يمكن أن يساعد صيد التهديدات اليدوي المستنير بأحدث استعلامات التهديدات في استكشاف التهديدات المحتملة والاستعداد للاستجابة الفعالة للحوادث.
كن استباقيًا: يمكن أن يساعد تصحيح البرامج وتحديثها، وفرض الوصول إلى النظام بأقل امتيازات ممكنة، وتدريب الموظفين على التدابير الأمنية، واختبار الاختراق في منع الحركة الجانبية. من الأهمية بمكان الاستمرار في معالجة الثغرات الأمنية التي تخلق فرصًا للمخترقين.