ما المقصود بالاستغلال دون انتظار؟

يشار إلى الثغرة الأمنية غير المعروفة أو غير المعالجة على أنها ثغرة أمنية فورية أو تهديد أمني فوري. الهجوم دون انتظار يكون عندما يستخدم طرف خبيث الاستغلال دون انتظار لتثبيت برامج ضارة أو سرقة بيانات أو إلحاق ضرر بالمستخدمين أو المؤسسات أو الأنظمة بطريقة أخرى.

مفهوم مماثل ولكن منفصل، وهو البرامج الضارة الفورية،هي فيروس أو برنامج ضار تكون توقيعها غير معروفة أو غير متاحة حتى الآن، وبالتالي لا يمكن اكتشافها بواسطة العديد من حلول برامج مكافحة الفيروسات أو تقنيات الكشف عن التهديدات القائمة على التوقيعات الأخرى.

فريق X-Force® threat intelligence التابع لشركة IBM سجل 7327 ثغرة أمنية من النوع "الفوري" منذ عام 1988، وهو ما يمثل 3% فقط من جميع الثغرات الأمنية المسجلة. ومع ذلك، فإن الثغرات الأمنية الفورية—خاصةً في أنظمة التشغيل أو أجهزة الحوسبة المستخدمة على نطاق واسع—تشكل خطراً أمنياً كبيراً. إنها تترك أعدادًا هائلة من المستخدمين أو مؤسسات بأكملها عرضة واسعة للجريمة الإلكترونية إلى أن تحدد الشركة البائعة أو مجتمع الأمن السيبراني المشكلة ويصدر حلًا.

توجد ثغرة أمنية فورية في إصدار من نظام تشغيل أو تطبيق أو جهاز منذ لحظة إصداره، لكن بائع البرنامج أو مصنّع الجهاز لا يعلم بها. يمكن أن تظل الثغرة الأمنية غير مكتشفة لأيام أو شهور أو سنوات حتى يجدها شخص ما.

في أفضل السيناريوهات، يجد الباحثون الأمنيون أو مطورو البرامج الخلل قبل أن يكتشفه عنصر التهديد. ومع ذلك، يصل المتسللون أحيانًا إلى الثغرة الأمنية أولاً.

بغض النظر عمن يكتشف الخلل، غالبًا ما يصبح معروفًا للجمهور بعد فترة وجيزة. عادةً ما يخبر البائعون ومحترفو الأمن العملاء حتى يتمكنوا من اتخاذ الاحتياطات. يمكن للقراصنة تعميم التهديد فيما بينهم، ويمكن للباحثين التعرف عليه من خلال مراقبة نشاط المجرمين الإلكترونيين. قد يحتفظ بعض البائعين بسرية الثغرة الأمنية إلى أن يقوموا بتطوير تحديث برمجي أو إصلاح آخر، ولكن هذا قد يكون مغامرة. إذا اكتشف المخترقون الثغرة قبل أن يقوم البائعون بتصحيحها، فقد تتفاجأ المؤسسات.

تبدأ معرفة أي ثغرة أمنية فورية جديدة سباقًا بين متخصصي الأمن الذين يعملون على الإصلاح، والقراصنة الذين يطورون برنامج استغلال دون انتظار يمكنهم من اختراق النظام. فبمجرد أن يطور المخترقون عملية استغلال دون انتظار قابلة للتطبيق، فإنهم يستخدمونها لشن هجوم إلكتروني.

يمكن للقراصنة غالبًا تطوير الاستغلال بشكل أسرع من قدرة فرق الأمان على تطوير التصحيحات. وفقًا لأحد التقديرات، تتوفر عمليات الاستغلال عادةً في غضون 14 يومًا من الكشف عن الثغرة الأمنية. ومع ذلك، بمجرد أن تبدأ برامج الهجمات دون انتظار، غالبًا ما تتبعها تصحيحات في غضون أيام قليلة فقط لأن البائعين يستخدمون معلومات من الهجمات لتحديد الثغرة التي يحتاجون إلى إصلاحها بدقة. لذلك، في حين أن الثغرات الأمنية فورية يمكن أن تكون خطيرة، إلا أن المتسللين لا يمكنهم عادةً استغلالها لفترة طويلة.

كان Stuxnet عبارة عن دودة حاسوبية معقدة استغلت أربع ثغرات برمجية مختلفة لم تكن معروفة من قبل في أنظمة تشغيل Microsoft Windows. في عام 2010، استخدمت Stuxnet في سلسلة من الهجمات على المرفق النووي في إيران. بمجرد أن اخترق الدود أنظمة الحاسوب في محطة نووية، أرسل أوامر خبيثة إلى أجهزة الطرد المركزي المستخدمة لتخصيب اليورانيوم. تسببت هذه الأوامر في دوران أجهزة الطرد المركزي بسرعة كبيرة لدرجة أنها تعطلت. في المجمل، ألحقت Stuxnet أضرارًا بـ 1000 جهاز طرد مركزي.

يعتقد الباحثون أن الحكومتين الأمريكية والإسرائيلية عملتا معا لبناء Stuxnet، لكن هذا غير مؤكد.

كان Log4Shell ثغرة أمنية فورية في Log4J، وهي مكتبة Java مفتوحة المصدر تُستخدم لتسجيل رسائل الخطأ. يمكن للمخترقين استغلال ثغرة Log4Shell للتحكم عن بُعد في أي جهاز تقريبًا يشغل تطبيقات Java. بسبب استخدام Log4J في برامج شائعة مثل Apple iCloud و Minecraft، تعرضت مئات الملايين من الأجهزة للخطر. منحت قاعدة بيانات الثغرات والتعرضات الشائعة (CVE) التابعة لمؤسسة MITRE ثغرة Log4Shell أعلى درجة خطورة ممكنة، وهي 10 من 10.

كانت ثغرة Log4Shell موجودة منذ عام 2013، لكن المتسللين لم يبدأوا في استغلالها حتى عام 2021. تم ترقيع الثغرة الأمنية بعد اكتشافها بوقت قصير، لكن باحثي الأمن اكتشفوا أكثر من 100 هجوم Log4Shell في الدقيقة الواحدة في ذروتها.

في أوائل عام 2022، استغل قراصنة كوريون شماليون ثغرة أمنية فورية لتنفيذ تعليمات برمجية عن بُعد في متصفحات الويب Google Chrome. استخدم القراصنة رسائل الاحتيالية لإرسال الضحايا إلى مواقع مزيفة، والتي استخدمت ثغرة Chrome لتثبيت برامج التجسس وبرنامج ضار للوصول عن بُعد على أجهزة الضحايا. تم تصحيح الثغرة الأمنية على الفور لكن القراصنة أخفوا آثارهم جيدًا، ولا يعرف الباحثون بالضبط البيانات التي سُرقت.

تُعد الهجمات الفورية من أصعب التهديدات الإلكترونية التي يجب مكافحتها. يمكن للمتسللين استغلال الثغرات الأمنية الفورية قبل أن يعرف الأهداف عنها حتى، مما يسمح للجهات الضارة بالتسلل إلى الشبكات دون أن يتم اكتشافها.

حتى لو كانت الثغرة الأمنية معروفة للعامة، فقد يستغرق الأمر بعض الوقت قبل أن يتمكن مزودو البرامج من إصدار تصحيح، مما يترك المؤسسة مكشوفة في هذه الأثناء.

في الوقت الحاضر، يستغل المخترقون الثغرات الأمنية الفورية بشكل متكرر. وجدت دراسة أجرتها شركة Mandiant عام 2022 أن عدد الثغرات الأمنية الفورية والتي تم استغلالها في عام 2021 وحده كان أكبر من مجموع الثغرات التي تم استغلالها في الفترة من 2018 إلى 2020.

من المرجح أن يكون الارتفاع في الهجمات الفورية مرتبطًا بحقيقة أن شبكات الشركات تزداد تعقيدًا. تعتمد المؤسسات اليوم على مزيج من التطبيقات السحابية والمحلية، والأجهزة المملوكة للشركة والمملوكة للموظفين، وأجهزة إنترنت الأشياء (IoT) وأجهزة التكنولوجيا التشغيلية (OT). كل هذه العوامل توسع حجم سطح هجوم المؤسسة، وقد تكون الثغرات الأمنية الفورية كامنة في أي منها.

نظرًا للفرص القيّمة التي توفرها الثغرات الأمنية الفورية للمتسللين، يقوم مجرمو الإنترنت الآن بتداول الثغرات الأمنية الفورية واستغلالات دون انتظار في السوق السوداء مقابل مبالغ باهظة. على سبيل المثال، في عام 2020، كان المتسللون يبيعون الهجمات الفورية لبرنامج Zoom مقابل ما يصل إلى 500000 دولار أمريكي.

تُعرف الجهات الفاعلة من الدول القومية أيضًا بأنها تسعى إلى الثغرات الفورية. فضل الكثيرون عدم الكشف عن الثغرات الأمنية الفورية التي يعثرون عليها، مفضلين بدلاً من ذلك صياغة استغلالات دون انتظار سرية خاصة بهم لهذه الثغرات لاستخدامها ضد الخصوم. ينتقد العديد من البائعين والباحثين الأمنيين هذه الممارسة، بحجة أنها تعرض المؤسسات غير المقصودة للخطر.

غالبا ما تكون فرق الأمان في وضع غير مؤات بسبب الثغرات الأمنية الفورية. نظرًا لكون هذه العيوب غير معروفة وغير مُعالجة، لا تستطيع المؤسسات أخذها في الحسبان عند إدارة مخاطر الأمن السيبراني أو جهود تخفيف الثغرات الأمنية.

ومع ذلك، يمكن للشركات اتخاذ خطوات للكشف عن المزيد من الثغرات وتقليل تأثير الهجمات الفورية.

إدارة التصحيحات الأمنية: يسارع البائعون إلى طرح التصحيحات الأمنية عندما يعلمون عن الثغرات الأمنية، ولكن العديد من المؤسسات تهمل تطبيق هذه التصحيحات بسرعة. يمكن أن يساعد برنامج إدارة التصحيحات الأمنية الرسمي فرق الأمان على مواكبة هذه التصحيحات الحساسة.

إدارة الثغرات الأمنية: تساعد عمليات تقييم الثغرات الأمنية المتعمقة و اختبارات الاختراق الشركات في العثور على الثغرات الأمنية الفورية في أنظمتها قبل أن يفعل ذلك المتسللون.

إدارة سطح الهجوم (ASM): تسمح أدوات ASM لفرق الأمان بتحديد جميع الأصول الموجودة في شبكاتها وفحصها بحثًا عن الثغرات الأمنية. تقوم أدوات ASM بتقييم الشبكة من منظور المتسللين، مع التركيز على كيفية استغلال عناصر التهديدات للأصول للوصول إلى الشبكة. نظرًا لأن أدوات إدارة سطح الهجوم تساعد المؤسسات على رؤية شبكاتها من منظور المتسللين، فإنها يمكن أن تساعد في الكشف عن الثغرات الأمنية الفورية.

مواجز استعلامات التهديدات: غالبًا ما يكون باحثو الأمن من أوائل من يبلغون عن الثغرات الأمنية الفورية. تستطيع المؤسسات التي تبقى مُحدَّثة بشأن استعلامات التهديدات الخارجية أن تسمع عن الثغرات الأمنية الفورية الجديدة عاجلًا.

أساليب الكشف القائمة على حالات الخلل: يمكن أن تتفادى البرمجيات الخبيثة في يوم الصفر طرق الكشف القائمة على التوقيع، ولكن الأدوات التي تستخدم التعلم الآلي لاكتشاف النشاط المشبوه في الوقت الحقيقي يمكنها في كثير من الأحيان اكتشاف هجمات يوم الصفر. تشمل حلول الكشف الشائعة القائمة على حالات الخلل تحليلات سلوك المستخدم والكيان (UEBA)، ومنصات الكشف والاستجابة الموسعة (XDR)، وأدوات الكشف والاستجابة لنقاط النهاية (EDR)، وبعض أنظمة كشف التسلل ومنع التسلل.

بنية الثقة الصفرية: إذا استغل أحد المتسللين ثغرة أمنية فورية لاختراق الشبكة، فإن بنية الثقة الصفرية يمكن أن تحدّ من الضرر. تستخدم الثقة الصفرية المصادقة المستمرة ووصولًا بأقل الامتيازات لمنع الحركة الجانبية وحظر الجهات الخبيثة من الوصول إلى الموارد الحساسة.