إن أكبر مخاطر الأمن السيبراني على الإطلاق التي تتغاضى عنها: هي مكتبك.

العلامات
الأمن
7 أبريل 2025

المؤلفين

Stephanie Carruthers

Chief People Hacker for IBM X-Force Red

لديك أحدث وأعظم فلاتر البريد العشوائي تم تثبيتها على حسابات البريد الإلكتروني للجميع. أدوات كشف نقطة النهاية والاستجابة لها على كل جهاز توفره الشركة. يحرس نظام الكشف عن التسلل ومنعه بوابات الشبكة الخاصة بك، ويصرخ "توقف!" في وجه كل حزمة حتى وإن كانت تبدو مضحكة.

أنظمتك مقفلة تمامًا. لن يتمكن أي مخترقين من الدخول إلى هنا.

أما الباب الأمامي لمبنى مكتبك - فهذه قصة أخرى. من المحتمل أن يتسلل المهاجم من هناك دون عناء.

صدقني. أنا أعلم ذلك من تجربتي. فوظيفتي هي التسلل دون عناء.

أحد أكثر الأجزاء إمتاعًا في كوني كبير المخترقين البشريين لدى IBM هو أنني أقوم بإجراء تقييمات الأمن المادي. في الأساس، أقتحم مباني العملاء - بإذن طبعًا! - للمساعدة في تحديد العيوب في دفاعاتهم المادية.  

وعندما أكون في الداخل، يمكنني إحداث الكثير من الضرر. ذلك الكمبيوتر المحمول غير المراقب في غرفة الاستراحة؟ حسنًا. إنه لي الآن، إلى جانب الوصول إلى كل مستند يمكن لمالكه الوصول إليه. تلك الملفات السرية التي تقبع على منضدة مكتب في غرفة مكتب فارغ وغير مقفل؟ ملكي أيضًا.

يعتقد معظمنا أن الأمن السيبراني هو شأن رقمي بحت. وهذا أمر منطقي— فكلمة "سيبراني" واردة في الاسم. لكن الهجمات الإلكترونية يمكن أن تبدأ بالفعل هنا في العالم المادي، وأنا لا أتحدث عن الروبوتات الواعية ذات الجسد المادي (على الأقل، ليس بعد).

أنا أتحدث عن المتسللين الخارجيين الخبيثين - بل وحتى القائمين بالهجوم الداخلي الخبيث- الذين يمكنهم اختراق أنظمة الكمبيوتر الخاصة بك مباشرة من داخل المبنى الذي تدير به أعمالك. الخطر يأتي من داخل المنزل!

مع تزايد عدد المؤسسات التي تعيد الموظفين إلى المكاتب، قد تصبح هذه الهجمات المادية أكثر شيوعاً - وأكثر نجاحاً. بعد سنوات من العمل عن بعد، أصبح الكثير منا صدئا عندما يتعلق الأمر بالحفاظ على أمان مكاتبنا.

دعونا نلقي نظرة على بعض مخاطر الأمن السيبراني المادية وما يمكن للمؤسسات فعله للمواجهة. 

رجل ينظر إلى كمبيوتر

تعزيز الذكاء الأمني لديك 


ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية. 


اشترك اليوم

تشريح الاقتحام المادي

يمكن أن تحدث الاقتحامات المادية بعدة طرق، ولكن بناء على خبراتي، فإنها تميل إلى الحدوث على ثلاث مراحل:

  • المرحلة 1: جمع المعلومات الاستخباراتية
  • المرحلة 2: الحصول على الوصول
  • المرحلة 3: تنفيذ الهجوم

دعونا نقسم هذه المراحل.

المرحلة 1: جمع المعلومات الاستخبارية

تتمثل المرحلة الأولى من التقييم المادي من خلال IBM X-Force في جمع المعلومات الاستخبارية حول أهدافنا. بالطبع، لا نطلب من العميل هذه المعلومات. لأننا لسنا بحاجة إلى ذلك. إنه لأمر مدهش ما يمكنك اكتشافه عن شركة ما بمجرد مشاهدة موظفيها وهم يمارسون حياتهم اليومية.

على سبيل المثال، قد أزور حساب الشركة على Instagram للبحث عن صور الموظفين. هل يرتدون الزي الرسمي؟ هل لديهم قواعد للزيّ؟ هذه معلومات يمكنني استخدامها للاندماج. (وكنت تعتقد - لا ، بل كنت تأمل- ألا ينظر أحد إلى صور حفلة عطلة المكتب.)

إذا كنتُ محظوظًا حقًا، فقد أتمكن من التقاط لمحة من شارة موظف، مما سيساعدني في تزوير مزيف مقنع. لن يجعلني ذلك أدخل من الباب، لكنه سيخفف من وطأة الأمر أثناء تجولي في الجوار.

ربما أجد قائمة بالبائعين على موقع الويب الخاص بك. الآن يمكنني انتحال شخصية موظف توصيل اللوازم المكتبية.

ربما أتوجه إلى المبنى الخاص بك وأقوم بمراقبة صغيرة. ما هي الأبواب التي يستخدمها الموظفون؟ هل توجد مداخل منفصلة للجمهور؟ هل لديك موظفو أمن، وأين يتمركزون؟

حتى أكثر التفاصيل التي تبدو غير مهمة يمكن استخدامها ضدك. على سبيل المثال، قد أتمكن من معرفة مواعيد التخلص من القمامة لديك. إن الأمر غريب، أعلم ذلك، لكن اتبعني هنا: إذا كان يوم القمامة هو الأربعاء، فإن زيارتي ستكون ليلة الثلاثاء لأنني أعلم أن القمامة ممتلئة. هذا يعني أن هناك فرصة جيدة للعثور على كلمة مرور شبكة مكتوبة على ورقة لاصقة، أو مذكرة سرية لم يكلف شخص ما عناء تمزيقها.

(أعرف كيف تنظر إلي الآن. أستطيع أن أشعر به من خلال الشاشة. ليس الأمر كما لو أنني أستمتع بهذا الجزء من الوظيفة! لذا، إذا كان بإمكانك تمزيق مستنداتك الحساسة، فسيكون ذلك رائعاً بالنسبة لي. حقًا.)

المرحلة 2: الحصول على الوصول

أتمنى أن أقول إنني أقوم ببعض مناورات جيمس بوند الجادة لاقتحام مباني عملائي، لكن الحقيقة هي أنني عادة ما أمشي مباشرة عبر الباب الأمامي مع أي شخص آخر. هذه طريقة هجوم تسمى "التعقّب".

والتعقّب هو عندما يقوم أحد الأشخاص السيئين بتتبع شخص مصرح له بالدخول إلى منطقة آمنة. فكر في مبنى مكتبي: غالباً ما يحتاج الموظفون إلى نوع من الشارة أو الهوية لفتح الباب. بصفتك مهاجماً، من الواضح أنك لا تملك واحدة. لذا ما تفعله هو السير بالقرب من الموظف بحيث أنه، عندما يمرر الشارة، إما أنه سيترك الباب مفتوحًا أو يمكنك الإمساك به قبل إغلاقه.

كما هو واضح، فإن التعقّب ناجح للغاية. الناس مهذبون! حتى عندما يعرفون أنك لا تنتمي إلى هناك، فإن معظمهم لا يريدون قول أي شيء. محرج للغاية. وتعتمد الهندسة الاجتماعية على هذا النوع من الاستجابة البشرية بالضبط.

هذا لا يعني أن المجرمين لا يقتحمون المباني بالطريقة القديمة. فقط أنهم لا يحتاجون إلى ذلك حقًا.

المرحلة 3: تنفيذ الهجوم

عندما أدخل، على الأرجح سأسرق شيئًا. (حسنًا، تظاهر بسرقة شيء ما). تعتبر المستندات والأجهزة الحساسة المتروكة في العراء أهدافاً رئيسية، ولكن هذا ليس كل شيء. يمكنني تمرير شارة الموظف أو مجموعة من مفاتيح المبنى لتوسيع نطاق دخولي والعودة إذا اضطررت إلى المغادرة.

إذا تمكنت من الحصول على أحد أجهزة الشركة، يمكنني الوصول إلى شبكة الشركة. يمكنني انتحال شخصية مالك الجهاز وإرسال رسائل بريد إلكتروني للتصيد الاحتيالي من حسابه. يمكنني زرع ملفات ضارة في أدلة الشركة.

شيء ممتع آخر يمكنني القيام به هو الاصطياد - إسقاط محركات أقراص USB محملة برنامج ضار (حسنًا، برنامج ضار مزيف) حول المبنى.

الناس مضحكون: عندما يرون محرك أقراص USB عشوائياً، يكون لديهم الرغبة في توصيله ومعرفة ما بداخله. ربما هم سامريون صالحون يبحثون عن هوية المالك. ربما هم فقط فضوليون. في كلتا الحالتين، هم في ورطة. سيقوم محرك أقراص USB هذا بإصابتهم سراً بشيء خبيث، مثل برنامج تسجيل المفاتيح أو برامج الفدية

Mixture of Experts | 25 أبريل، الحلقة 52

فك تشفير الذكاء الاصطناعي: تقرير إخباري أسبوعي

انضم إلى لجنة عالمية المستوى من المهندسين والباحثين وقادة المنتجات وغيرهم في أثناء سعيهم للتغلب على الفوضى والضوضاء المحيطة بالذكاء الاصطناعي لتزويدك بأحدث أخباره والرؤى المتعلقة به.
شاهد أحدث حلقات البودكاست

ثلاث خطوات لإبقاء المهاجمين خارج مبنى أعمالك

في أي تقييم مادي معين، عادة ما أتطلع لمعرفة المدة التي يستغرقها شخص ما لإيقافي. 

أتذكر تقييمًا استغرق فيه رجال الأمن أربع ساعات ليبدؤوا البحث عني، رغم أن موظفة لاحظتني أتبعها إلى داخل المبنى. (ومع ذلك، تسللت للخارج قبل أن يجدوني!)

من وجهة نظري، أن ممارسات الأمن المادي لدينا غالبًا ما تكون سيئة للغاية. إليك ما يجب عليك فعله بدلاً من ذلك:

أعد النظر في افتراضاتك

نعلم جميعا ما يحدث عندما تفترض، أليس كذلك؟

إنك تجعل مهمة الفاعل السيء أسهل كثيراً.

أحد أكبر الأخطاء التي يرتكبها الأشخاص في مجال الأمن المادي هو أنهم يفترضون أن جميع وسائل الحماية الصحيحة في مكانها الصحيح. وأنا أتحدث عن أشياء بسيطة، مثل افتراض أن "الباب ذاتي القفل" يُغلق تلقائياً بالفعل. أو أن الأشخاص يستخدمون آلات التمزيق. أو أن الموظفين سيوقفون غرباء تماماً في القاعة ليسألوه عما يفعله.

ثم أدخلُ، وإليك ما أجده: تعطل قفل الباب منذ فترة طويلة. يقوم الأشخاص بإلقاء الوثائق السرية في سلة المهملات العادية. يرون شخصاً غريباً في القاعة ويفكرون، "ليس هذا من شأني!"

كل هذه الإخفاقات الصغيرة تتراكم، مما يسمح للمهاجمين بتنفيذ هجمات معقدة على مرأى من الجميع. (راجع منشوري السابق حول تلك المرة التي خدعت فيها موظفة استقبال لتوصيل محرك أقراص وميضي لم يتم التحقق منه بجهاز الكمبيوتر الخاص بها بينما كان الأمن يقف خلفي مباشرة، يبحث عني.)

أشجع المؤسسات على ألا تفترض أي شيء. تأكد من أن الباب يغلق. لا تثق فقط في الضوء الأحمر الصغير الذي يظهر عند تمرير الشارة. اسحبه. أخبر الأشخاص بما يجب تمزيقه. إذا رأيت شخصًا غريبًا، فلا تخف من أن تسأله عما يفعله. (يمكنك حتى القيام بذلك بأدب: "مرحبًا، أرى أنه ليس لديك شارة زائر. دعني آخذك إلى الأمن، وإلا فسوف يستمر إيقافك!") 

تقديم تدريب أفضل على الأمن المادي

يجب أن يخصص التدريب على الأمن السيبراني مزيداً من الوقت لممارسات الأمن المادي. قد لا يكون هذا هو طريق الهجوم الأكثر شيوعًا، ولكنه يمثل ثغرة كبيرة في دفاعات العديد من المؤسسات.

فكر في التدريب المتوسط للأمن السيبراني. إذا كان يقول أي شيء عن الأمن المادي على الإطلاق - وهذا نادر الحدوث - فعادة ما لا يكون أعمق من قول "لا تسمح بسرقة الكمبيوتر المحمول الخاص بشركتك".

يجب التعامل مع الأمن المادي بنفس العمق الذي يتم التعامل به مع الموضوعات الأخرى. على سبيل المثال، غالبًا ما تغطي التدريبات العلامات الحمراء البارزة في رسائل التصيد الاحتيالي، مثل القواعد النحوية السيئة والطلبات العاجلة. ماذا عن تعليم الأشخاص كيفية اكتشاف العلامات التحذيرية في زوار المكاتب، مثل التجول دون شارة أو بدون مرافق؟

كلما كانت التعليمات أكثر وضوحاً ، كان ذلك أفضل. خذ التعقّب، على سبيل المثال. إن مجرد إخبار الأشخاص بعدم السماح للغرباء بالدخول إلى المبنى لا يؤهلهم للرد على أي شخص متعقّب في العالم الحقيقي.

وبدلاً من ذلك، يجب أن يعرف الأشخاص بالضبط ما هي العملية التي يجب أن يقوم بها الأشخاص عندما يكتشفون شخصاً غريباً. عادة ما يكون الأمر بسيطًا مثل، "من الذي أتيت إلى هنا لرؤيته؟ دعني آخذك إلى الأمن حتى تتمكن من إجراء فحص الدخول." إذا كنت تتعامل مع زائر حقيقي، فسيقدر المساعدة. إذا كنت تتعامل مع أحد المهاجمين، فمن المحتمل أن يلغي المهمة الآن بعد أن تم رصده.

وهل تتذكر ذلك الجزء الخاص بإعادة النظر في الافتراضات؟ لا يوجد ما يسمى بتفاصيل بسيطة جداً بحيث لا يمكن تضمينها في تدريب الأمن المادي. اطلب من الأشخاص قفل البيانات والأجهزة الحساسة. تأكد من أنهم على دراية بسلات التمزيق. احفر مخاطر محركات أقراص USB غير المعروفة في رؤوسهم.

قم بإعداد مكان العمل لديك لتشجيع الأمن المادي

اجعل من السهل قدر الإمكان على الموظفين اتباع سياسات الأمن المادي والعمليات وأفضل الممارسات من خلال ضمان حصولهم على الموارد التي يحتاجونها في متناول أيديهم.

على سبيل المثال، أوصي بوضع رقم الهاتف وعنوان البريد الإلكتروني لجميع جهات الاتصال الأمنية في كل مكتب وعلى كل جهاز. وبهذه الطريقة، إذا حدث شيء ما، يعرف الموظفون الجهة التي يجب إبلاغها على الفور. كما يجب أن يكون من السهل أيضاً إحضار الزوار فعلياً إلى قسم الأمن، لذا ضع في اعتبارك وضع مكتب أمن مادي.

وتأكد من أن الموظفين لديهم طرق لتأمين أجهزتهم ومستنداتهم، مثل الخزائن الشخصية وخزائن الملفات المقفلة وأقفال الكمبيوتر في كل مكتب.

الأمن السيبراني يبدأ بالأمن المادي

لا تحدث الهجمات الإلكترونية عبر الإنترنت فقط، لذلك لا يمكنك الاعتماد على الدفاعات الرقمية البحتة.

إذا كان هناك درس رئيسي واحد يمكن استخلاصه هنا، فربما يكون هذا هو الدرس: بالنسبة للأمن المادي، فإن التفاصيل الصغيرة مهمة بقدر أهمية الصورة الكبيرة - وربما أكثر منها.

بالطبع، أنت بحاجة إلى استراتيجية شاملة للأمن المادي، والتي ترتبط بدورها بإستراتيجية شاملة للأمن السيبراني. ولكن ليس بالضرورة أن يكون الافتقار إلى التفكير الاستراتيجي هو ما يجعل المؤسسة عرضة للهجمات المادية. غالبًا ما تكون المسألة مسألة عملية: هل يعرف الأشخاص بالضبط ماذا يفعلون حيال التهديدات المادية، وهل هم مخولون للقيام بذلك؟

من خلال إعادة التفكير في افتراضاتك والاستثمار في تدريب أفضل وتزويد الأشخاص بالموارد المناسبة، يمكنك إحباط الكثير من الهجمات المحتملة. وبينما ستجعل عملي أكثر صعوبة، ستجعل العالم أكثر أماناً.

لذلك ربما يستحق الأمر المقايضة. 

الموارد

الأمن الإلكتروني في عصر الذكاء الاصطناعي التوليدي

تعرَّف على كيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مجال الأمن الإلكتروني.

تقرير مشهد التهديدات السحابية لمنصة ®IBM® X-Force لعام 2024

تعرف على أحدث التهديدات وعزز دفاعاتك السحابية من خلال تقرير مشهد التهديدات السحابية لمنصة ®IBM® X-Force.
ما المقصود بأمن البيانات؟

اكتشف كيف يساعد أمن البيانات على حماية المعلومات الرقمية من الوصول غير المصرح به أو التلف أو السرقة طوال دورة حياتها بأكملها.
ما المقصود بالهجوم الإلكتروني؟

الهجوم الإلكتروني هو جهد متعمد لسرقة البيانات أو التطبيقات أو غيرها من الأصول أو كشفها أو تغييرها أو تعطيلها أو إتلافها من خلال الوصول غير المصرح به.
مؤشر X-Force Threat Intelligence لعام 2024

احصل على رؤى للاستعداد والاستجابة للهجمات الإلكترونية بسرعة وفاعلية أكبر باستخدام IBM X-Force Threat Intelligence Index.
مدونة الذكاء الأمني

ابق على اطلاع على أحدث الاتجاهات والأخبار المتعلقة بالأمن.
حلول ذات صلة
حلول الأمن المؤسسي

طوّر برنامجك الأمني بشكل غير مسبوق بفضل الحلول المقدمة من أكبر موفري خدمات الأمن المؤسسي.

 استكشف حلول الأمن الإلكتروني
خدمات الأمن الإلكتروني

يمكنك تحويل أعمالك وإدارة المخاطر من خلال الخدمات الاستشارية في الأمن الإلكتروني والخدمات السحابية وخدمات الأمان المُدارة.

         استكشف خدمات الأمن الإلكتروني
    الأمن الإلكتروني بالذكاء الاصطناعي (AI)

    حسِّن سرعة الفرق الأمنية ودقتها وإنتاجيتها باستخدام حلول الأمن السيبراني المدعومة بالذكاء الاصطناعي.

         استكشف الأمن السيبراني بالذكاء الاصطناعي
    اتخِذ الخطوة التالية

    سواء كنت بحاجة إلى حلول أمن البيانات أو إدارة نقاط النهاية أو إدارة الهوية والوصول (IAM)، فإن خبرائنا مستعدون للعمل معك لتحقيق وضع أمني قوي. طوّر أعمالك وتمكّن من إدارة المخاطر في مؤسستك مع شركة عالمية رائدة في مجال استشارات الأمن السيبراني، والخدمات السحابية، والخدمات الأمنية المُدارة.

         استكشف حلول الأمن الإلكتروني اكتشف خدمات الأمن السيبراني