اجعل الشبكة الخفية نظام الإنذار المبكر الخاص بك
باستخدام الأدوات والفريق المناسبين، يمكنك تحويل الشبكة الخفية إلى نظام إنذار مبكر—عصفور الكناري في منجم الفحم الذي يكتشف الهجمات قبل أن تُحدث ضررًا كبيرًا.
تخيل أنك مدير تنفيذي في شركة طيران، تجلس إلى مكتبك مع فنجان قهوة طازج في صباح يوم اثنين هادئ بشكل غير معتاد. تشعر بالانتعاش والاسترخاء والاستعداد للأسبوع المقبل.
وبينما أنت تتابع رسائل بريدك الوارد، يجذب انتباهك صوت طقطقة مألوف لإشعار من تطبيق Slack.
تقوم بسحب النافذة. إنها رسالة من مسؤول مركز العمليات الأمنية (SOC) لديك، وهي ليست جيدة: "يوجد وسيط بيانات على الشبكة المظلمة يعلن عن بيع كنز ضخم من سجلات عملائنا."
ماذا تفعل؟ عقد اجتماع طارئ لقادة الشركة؟ الاتصال بالشرطة؟
ربما يكون رد فعلك الأول هو الذعر. بياناتنا موجودة على الشبكة الخفية. هذا أمرٌ سيء.
ولكن، من الناحية المثالية، يجب أن تطلب من محللي استعلامات التهديدات لديك البحث بشكل أعمق قليلاً قبل اتخاذ أي إجراء.
لأن مجرمي الإنترنت ليسوا جديرين بالثقة على الإطلاق، وتلك السجلات التي يبيعونها قد لا تكون كما يزعمون. ربما ما يملكونه بالفعل هو بيانات طرف ثالث من موقع سفر ليست مرتبطة بك إلا بشكل سطحي. ربما يستخدمون فقط اسم مؤسستك لجذب المشترين.
وهذا يعني أن بيانات عملائك آمنة وسليمة، وأنك لست بحاجة إلى إطلاق استجابة عامة ضخمة ومكلفة. قد لا تحتاج إلى فعل أي شيء على الإطلاق.
هدف هذا التمرين الفكري—والمقتبس من حادثة حقيقية تعامل معها فريق IBM X-Force—هو أن الشبكة الخفية أكثر اعتيادية وبساطة مما قد توحي به سمعتها الشريرة.
إنها اعتيادية، ويمكن معرفة ما يدور فيها.
من المؤكد أن الشبكة الخفية هي موطن للكثير من الأنشطة المشبوهة والخبيثة بشكل صريح، لكن الأساطير المحيطة بهذا الركن الغامض من الإنترنت قد تُعمي بصيرة الناس.
من خلال المراقبة الدقيقة، الهادئة، والعقلانية لنشاطات الشبكة الخفية، يمكن للمؤسسات تجاوز الخرافات وتكوين صورة دقيقة لما يحدث حقًا في ملاذ القراصنة الشهير.
ومع ذلك، قد تكون الشبكة الخفية أرضًا صعبة للتنقل فيها. قد يصيب المجرمون بعضهم البعض بالبرامج الضارة للحصول على معلومات أو الوصول إلى البيانات والحسابات المصرفية. من المفيد الحصول على دعم متخصصي الأمن السيبراني المؤهلين الذين يمكنهم التمييز بين التهديدات الفارغة والمخاطر الحقيقية.
النشرة الإخبارية الخاصة بالمجال
أحدث الأخبار التقنية، مدعومة برؤى خبراء
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
انظر إلى ما وراء الاسم المخيف والأساطير الحضرية. الشبكة الخفية هي، في النهاية، مجرد جزء معين من الإنترنت—ولكنه جزء غامض عن قصد.
على مستوى عالٍ، يمكننا القول أن الإنترنت يتكون من ثلاث طبقات.
- الشبكة المفتوحة، وهي تشمل جميع المواقع المتاحة للجمهور والتي يمكن العثور عليها عبر محركات البحث.
- الشبكة العميقة، وهي تشمل الأشياء التي لا تقوم محركات البحث بفهرستها. الشبكة العميقة أكبر بكثير من الشبكة المفتوحة، ومعظمها غير ضار. حسابك المصرفي عبر الإنترنت؟ محتوى مدفوع؟ هذه هي الشبكة العميقة.
- الشبكة الخفية هو قسم فرعي من الشبكة العميقة، والذي يتطلب برنامج تصفح خاص، مثل متصفح Tor، للوصول إليه.
كيف تبدو الشبكة الخفية؟ لا تختلف كثيرًا عن الشبكة المفتوحة. يتجمع الناس في المنتديات. يبيعون الأشياء في الأسواق. الفرق الكبير هو أن الأشياء التي يناقشونها ويبيعونها تتطلب قدرًا معينًا من عدم الكشف عن الهوية.
ليس كل ما يحدث على الشبكة الخفية شريرًا. يمكن للصحفيين، على سبيل المثال، استخدامها للحصول على معلومات سرية ومشاركتها.
ولكن، نعم، العديد من سكان الشبكة المظلمة هم مجرمون إلكترونيون. منتدياتهم ليست مخصصة للبرامج التلفزيونية والهوايات المتخصصة، بل هي لتداول الثغرات الأمنية وتجنيد أعضاء جدد للعصابات. وبدلاً من بيع الملابس وألعاب الفيديو، يبيعون البرامج الضارة، وأرقام بطاقات الائتمان، وبيانات الاعتماد المسروقة. الكثير من بيانات الاعتماد المسروقة.
وفقًا لمؤشر X-Force Threat Intelligence Index، يُعد اختراق الحسابات الصالحة أحد أكثر الطرق شيوعًا لبدء اختراق أمن البيانات، حيث يمثل 30% من الهجمات السيبرانية.
في الربع الرابع من عام 2024 وحده، رصدت X-Force بيع 1.2 مليون مجموعة من بيانات الاعتماد على الشبكة المخفية، وبأسعار زهيدة تصل أحيانًا إلى 14 دولارًا أمريكيًا لكل سجل. يشتري قراصنة آخرون هذه البيانات لاستخدامها في ارتكاب سرقة الهوية أو اختراق شبكات الشركات.
يقدم بعض مجرمي الإنترنت ما نطلق عليه "البرامج الضارة كخدمة"، وهو نموذج يطبق مفهوم البرمجيات كخدمة (SaaS) الكلاسيكي على برامج الفدية وغيرها من البرامج الخبيثة. يبيع هؤلاء الفاعلون في مجال التهديدات برامج ضارة مملوكة لجهات تابعة، والذين يستخدمون هذه البرامج لشن هجمات ويتقاسمون جزءًا من عائداتهم غير المشروعة مع المبتكرين.
بالإضافة إلى ذلك، يوجد وسطاء الوصول، الذين يكتسبون موطئ قدم في الأنظمة المستهدفة ويبيعون إمكانية الدخول لمجرمي الإنترنت الآخرين ليفعلوا ما يشاؤون.
سواء كانوا يبيعون البيانات، أو إمكانية الوصول، أو البرامج الضارة، فإن هؤلاء المجرمين الإلكترونيين عادةً ما ينظمون أنفسهم في عصابات بدلاً من العمل بمفردهم. لكن مراقبة هذه العصابات أمر صعب. فهم يميلون إلى التشكّل، والصعود، والتلاشي بسرعة كبيرة. على سبيل المثال، أكثر من نصف عصابات الفدية الأكثر نشاطًا على الشبكة الخفية في الربع الأول من عام 2025 كانت موجودة منذ عام واحد أو أقل.
ميزان القوة دائمًا في تغير مستمر في عالم الشبكة الخفية. فسلطات إنفاذ القانون تطيح بالعصابات. والمنتسبون المفضوحون ينفصلون ليشكلوا مشاريعهم الخاصة. وأحيانًا تؤدي المنافسة بين العصابات إلى هجمات مباشرة. وهذا ما حدث في شهر فبراير من هذا العام، عندما سربت عصابة منافسة شفرة أحدث إصدار من برنامج الفدية التابع لمجموعة Lockbit سيئة السمعة.
إن هذا التغير السريع والديناميكيات المعقدة بين العصابات والأسواق ما هما إلا سببان من الأسباب التي تجعل من المفيد العمل مع محللي استعلامات التهديدات المتخصصين القادرين على مراقبة تعاملات الشبكة الخفية من أجل مؤسستك. ففي خضم هذه الفوضى، من السهل جدًا تفويت الإشارات الحمراء التي قد تشير إلى تهديد فعلي لعملك.
معظمنا يدرك جيدًا أنه لا ينبغي تصديق منشورات وسائل التواصل الاجتماعي التي لا أساس لها، والتي ينشرها الغرباء. ومع ذلك، عندما يزعم مجرمو الإنترنت أنهم يمتلكون بيانات حساسة، فإننا نميل إلى تصديقهم دون وجود أي دليل مادي.
لا ينبغي لنا ذلك حقاً. وهنا تبرز فائدة أخرى لمحللي استعلامات التهديدات الخبراء: التمييز بين الحقيقة والخيال على الشبكة الخفية.
المجرمون الإلكترونيون يكذبون. كثيرًا. هم يدّعون بشكل روتيني أن لديهم بيانات من منظمات كبرى ورائدة—وهي بيانات لا يملكونها في الواقع. لماذا؟ ليبدون أكثر كفاءة مما هم عليه حقًا، وبالتالي بناء سمعة لا أساس لها كقرصان ماهر. أو ليحاولون استقطاب عمل لبعض البيانات الأقل جاذبية المتوفرة لديهم.
على سبيل المثال، قد تزعم عصابة أنها تمتلك بيانات من علامة تجارية عالمية كبرى. وعندما يأتي العملاء المحتملون، تدّعي العصابة أن تلك البيانات قد بيعت بالفعل—لكن يمكنها أن تعرض بدلاً من ذلك بعض البيانات الأخرى من مؤسسة أقل شهرة. وذلك في جوهره شكل من أشكال الهندسة الاجتماعية الموجهة ضد مجرمي الإنترنت الآخرين.
بدلاً من ذلك، لا يعلن مجرمو الإنترنت دائمًا بشكل صريح عن البيانات التي يملكونها. ولتجنب الوقوع في الفخ، غالبًا ما يقومون بإخفاء هوية ضحاياهم. فبدلاً من القول إن لديهم بيانات من الشركة "س"، قد يقولون: "لدينا بيانات من شركة بحجم "س" في قطاع الصناعة "ص" بقيمة "ع".
ما تحتاجه المؤسسات هو برنامج مراقبة متطور يمكنه تحديد التسريبات المزيفة والتهديدات الحقيقية المقنّعة بدقة.
القيمة الحقيقية للاستثمار في مراقبة الشبكة الخفية ليست مجرد تبديد الخرافات وكشف أكاذيب مجرمي الإنترنت. بل إن وجود الأدوات والفريق المناسبين يمكّن المؤسسات من تحويل الشبكة الخفية إلى نظام إنذار مبكر، أو "عصفور الكناري في منجم الفحم"، الذي يكتشف الهجمات قبل أن تُحدث ضررًا كبيرًا.
الآن، إذا كانت بيانات مؤسسة ما أو نقاط دخول شبكتها تُباع على الشبكة الخفية ، فهذا يعني أنها قد تعرضت للاختراق بالفعل. لكن في بعض الأحيان، تكون هذه هي النقطة الأبكر التي يمكن عندها اكتشاف الهجوم.
هذا ينطبق بشكل خاص اليوم، حيث يتبنى المهاجمون بشكل متزايد أساليب هجوم أكثر سرية، مثل الاستيلاء على حسابات المستخدمين أو حتى الشراكة مع موظفين داخلين مخربين يسيئون استخدام صلاحياتهم المشروعة. لقد رأينا وسطاء وصول على الشبكة الخفية يزعمون أنهم موظفون، أو شركاء لموظفين، في الشركات التي اخترقوها.
استخدم المهاجمون أيضًا برامج ضارة ثانوية، يطلق عليها "برامج إزعاج"، لإيصال حمولات أكبر، مثل إدخال برامج الفدية خلسةً عبر برامج سرقة المعلومات. وعندما يدخلون إلى شبكة ما، فإنهم غالبًا ما "يعيشون على الأرض". أي أنهم يستخدمون البنية التحتية الشرعية للشبكة، مثل نصوص PowerShell وحسابات المستخدمين الحقيقية، للتنقل داخل الشبكة والوصول إلى الأصول الحساسة.
أدوات أمان الشبكة التقليدية غالبًا ما تفوت هذا النشاط لأنه لا يبدو ضارًا؛ فهو يظهر كأنظمة ومستخدمين مصرح لهم يقومون بأمور مصرح بها.
لذا، قد يحدث أحيانًا، أن لا يكتشف أحد وجود مشكلة إلا بعد تسرب البيانات إلى الشبكة الخفية. ومن خلال رصد تلك البيانات فور ظهورها، يمكن للمؤسسات اتخاذ إجراءات سريعة لتقليل الأضرار. يمكنهم تغيير بيانات الاعتماد للحسابات المخترقة أو إغلاق الخوادم التي تحتوي على أبواب خلفية معروفة. وبذلك تصبح مجموعات البيانات المسربة عديمة الفائدة، ولا يتحقق النطاق الكامل للهجوم.
يتطلب تحقيق هذا المستوى من المراقبة أكثر من مجرد شراء بعض خلاصات استعلامات التهديدات أو منصة ذاتية الخدمة. إنه يتطلب محللين متخصصين يعرفون كيفية الاستفادة من كل تلك البيانات وكيفية العثور على التهديدات التي يخفيها مجرمو الإنترنت عمدًا. يمكن لهؤلاء المحللين تفسير النتائج، وإضافة السياق، وتحديد أولويات المخاطر الحقيقية، وتوجيه المؤسسة نحو اتخاذ إجراءات فعالة.