الصفحة الرئيسية الموضوعات التهديدات المستمرة المتقدمة ما التهديدات المستمرة المتقدمة؟
استكشف خدمات إدارة التهديدات من IBM اشترِك للاطلاع على مستجدات الأمن
رسم توضيحي مع مجموعة من الصور التوضيحية لسحابة وهاتف محمول وبصمة إصبع وعلامة اختيار

تاريخ النشر: 3 إبريل 2024
المساهمون: جريج ليندمولدر وأمبر فورست

ما التهديدات المستمرة المتقدمة؟

التهديدات المستمرة المتقدمة (APT) هي هجمات إلكترونية غير مكتشفة مصممة لسرقة البيانات الحساسة أو إجراء عمليات التجسس الإلكتروني أو تخريب الأنظمة الحيوية على مدار فترة طويلة من الزمن. وعلى عكس التهديدات الإلكترونية الأخرى مثل برامج الفدية الضارة، فإن الهدف من مجموعة هجمات التهديدات المستمرة المتقدمة هو أن تظل غير ملحوظة في أثناء تسللها وتوسيع وجودها عبر إحدى الشبكات المستهدفة.

غالبًا ما تنفذ فرق المجرمين الإلكترونيين التي ترعاها الدول هجمات التهديدات المستمرة المتقدمة للوصول إلى المعلومات الحساسة للدول القومية الأخرى أو للملكية الفكرية للمؤسسات الكبيرة. وعلى الرغم من أن تلك الجهات المُهدِّدة قد تستخدم تقنيات الهندسة الاجتماعية التقليدية في البداية، فإنها معروفة بتخصيص الأدوات والأساليب المتقدمة لاستغلال الثغرات الأمنية الفريدة لمؤسسات محددة. وقد يستمر هجوم التهديدات المستمرة المتقدمة الناجح لعدة شهور أو حتى لسنوات.

IBM X-Force Exchange
محتوى ذو صلة

حلل الإحصائيات الرئيسية من تقرير تكلفة خرق البيانات

مراحل هجوم التهديدات المستمرة المتقدمة
التسلل

غالبًا ما تحصل مجموعات هجوم التهديدات المستمرة المتقدمة على إمكانية الوصول الأولي إلى شبكتها المستهدفة من خلال الهندسة الاجتماعية والتصيد الاحتيالي الموجّه. باستخدام المعلومات التي جُمعت من مصادر داخل المؤسسة وخارجها، سيقوم مهاجمو التهديدات المستمرة المتقدمة بإنشاء رسائل بريد إلكتروني متطورة للتصيد الاحتيالي الموجّه تقنع المديرين التنفيذيين أو كبار القادة بالنقر فوق رابط ضار. وقد يسعى المهاجمون أيضًا إلى تتبع نقاط الدخول وأسطح الهجوم الأخرى لاختراق الشبكة. على سبيل المثال، قد يقومون بشن هجوم من دون انتظار على ثغرة أمنية غير مصححة في تطبيق ويب، أو تضمين برامج ضارة على أحد موقع الويب العامة التي يُعرف أن الموظفين يزورونه.

الاستكشاف والتوسع

بعد الاقتحام الأولي، ستقوم مجموعات التهديدات المستمرة المتقدمة باستكشاف الشبكة وتخطيطها لتحديد أفضل الخطوات التالية للحركة الجانبية عبر المؤسسة. من خلال تثبيت سلسلة من الأبواب الخلفية التي تسمح لها بالوصول إلى الشبكة من نقاط دخول متعددة، يمكنها الاستمرار في إجراء الاستطلاع وتثبيت البرامج الضارة المخفية. وقد تحاول أيضًا اختراق كلمات المرور والحصول على حقوق إدارية لتأمين المناطق التي توجد بها البيانات الحساسة. والأهم من ذلك أن المهاجمين سينشئون اتصالاً بخادم قيادة وتحكمًا خارجيًا لإدارة الأنظمة المخترقة عن بعد.

التسلل

ستنقل مجموعات التهديدات المستمرة المتقدمة المعلومات التي جمعتها بمرور الوقت إلى موقع مركزي وآمن داخل الشبكة للتحضير لأول حالة من سرقة البيانات. ويمكنها أيضًا تشفير البيانات وضغطها لتسهيل عملية النقل غير المصرح به. وبعد ذلك، قد تنظم حدث "ضجيج أبيض" مثل هجوم موزع لحجب الخدمة (DDoS)) لتشتيت انتباه أفراد الأمن وتحويل الموارد. في هذه المرحلة، يمكنها نقل البيانات المسروقة إلى خادم خارجي من دون اكتشافها.

الصيانة

قد تبقى مجموعات التهديدات المستمرة المتقدمة داخل شبكة مخترقة لفترة طويلة أو إلى أجل غير مسمى، حيث تنتظر فرصًا جديدة لشن الهجوم. خلال هذا الوقت، قد تحافظ على وجودها المخفي عن طريق إعادة كتابة التعليمات البرمجية لإخفاء البرامج الضارة وتثبيت أدوات rootkits التي توفر الوصول إلى الأنظمة الحساسة من دون اكتشافها. وفي بعض الحالات، قد تزيل أدلة الهجوم وتغادر الشبكة تمامًا بعد تحقيق أهدافها.

التقنيات الشائعة لهجوم التهديدات المستمرة المتقدمة
هندسة اجتماعية

تقنع مجموعات التهديدات المستمرة المتقدمة المستخدمين بالنقر فوق الروابط الضارة أو الكشف عن المعلومات التي تمنحها الوصول إلى الأنظمة المحمية باستخدام رسائل البريد الإلكتروني الاحتيالية الموزعة على نطاق واسع، أو رسائل البريد الإلكتروني المخصصة للغاية التي تهدف إلى التصيد الاحتيالي الموجّه أو غيرها من أساليب التلاعب الاجتماعي.

هجوم من دون انتظار

من خلال نشر shellcode الضار الذي يفحص الشبكات بحثًا عن الثغرات الأمنية غير المصححة في البرامج، يمكن لمجموعات التهديدات المستمرة المتقدمة استغلال مناطق الضعف قبل أن يتمكن مسؤولو تكنولوجيا المعلومات من الاستجابة.

هجمات سلسلة التوريد

قد تستهدف مجموعات التهديدات المستمرة المتقدمة شركاء الأعمال أو التكنولوجيا أو البائعين الموثوق بهم بالنسبة إلى المؤسسة للحصول على وصول غير مصرح به من خلال سلاسل توريد البرامج أو الأجهزة المشتركة.

Rootkits

لقدرتها على توفير الوصول المخفي عبر الأبواب الخلفية إلى الأنظمة المحمية، تُعد rootkits أداة قيمة لمساعدة مجموعات التهديدات المستمرة المتقدمة على إخفاء العمليات التي تُنفذ عن بُعد وإدارتها.

خوادم الأوامر والتحكم

بمجرد اكتساب مجموعات التهديدات المستمرة المتقدمة موطئ قدم في شبكة مخترقة، فإنها تنشئ اتصالاً بخوادمها الخارجية لإدارة الهجوم عن بُعد ونقل البيانات الحساسة من دون تصريح.

تقنيات أخرى

قد تستخدم مجموعات التهديدات المستمرة المتقدمة مجموعة من الأدوات الأخرى لتوسيع وجودها عبر شبكة وإخفائه، مثل البرامج الضارة ورصد لوحة المفاتيح والروبوتات واختراق كلمات المرور وبرامج التجسس وتشويش التعليمات البرمجية.

أمثلة على مجموعات التهديدات المستمرة المتقدمة
APT34 (Helix Kitten)

تشتهر Helix Kitten برسائل البريد الإلكتروني للتصيد الاحتيالي الموجّه المقنعة والمدروسة جيدًا، ويُزعم أنها تعمل تحت إشراف الحكومة الإيرانية. وتستهدف المجموعة في المقام الأول الشركات في الشرق الأوسط عبر صناعات مثل الطيران والفضاء والاتصالات والخدمات المالية والطاقة والكيماويات والضيافة. ويعتقد المحللون أن هذه الهجمات تهدف إلى إفادة مصالح إيران الاقتصادية والعسكرية والسياسية.

APT41 (Wicked Panda)

Wicked Panda هي مجموعة تهديدات مستمرة متقدمة سيئة السمعة وغزيرة الإنتاج، وتقع في الصين ولها علاقات مزعومة مع وزارة أمن الدولة الصينية والحزب الشيوعي الصيني. بالإضافة إلى إجراء عمليات التجسس الإلكتروني، يُعرف أعضاء هذه المجموعة أيضًا بمهاجمة الشركات لتحقيق مكاسب مالية. ويعتقد البعض أنهم مسؤولون عن اختراق سلاسل توريد الرعاية الصحية، وسرقة بيانات حساسة من شركات التكنولوجيا الحيوية، وسرقة مدفوعات الإغاثة من كوفيد-19 في الولايات المتحدة.

Stuxnet

Stuxnet هو عبارة عن برنامج ضار عبر الكمبيوتر استُخدم لتعطيل البرنامج النووي الإيراني من خلال استهداف أنظمة التحكم الإشرافي والحصول على البيانات (SCADA). وعلى الرغم من أنه لم يعد نشطًا اليوم، فإنه كان تهديدًا فعالاً بقوة عندما اكتُشِف في عام 2010، ما تسبب في حدوث أضرار جسيمة لهدفه. ويعتقد المحللون أن الولايات المتحدة وإسرائيل اشتركتا في تطوير برنامج Stuxnet على الرغم من عدم اعتراف أي من الدولتين علنًا بمسؤوليتها عن تطويره.

مجموعة لازاروس

مجموعة لازاروس هي مجموعة تهديدات مستمرة متقدمة تقع في كوريا الشمالية، ويُعتقد أنها مسؤولة عن سرقة مئات الملايين من دولارات العملة الافتراضية. ووفقًا لوزارة العدل الأمريكية، فإن الجرائم هي جزء من إستراتيجية لتقويض الأمن الإلكتروني العالمي وإدرار إيرادات لحكومة كوريا الشمالية. في عام 2023، اتهم مكتب التحقيقات الفيدرالي الأمريكي مجموعة لازاروس بسرقة 41 مليون دولار أمريكي بالعملة الافتراضية من ملهى على الإنترنت.

الكشف عن هجوم التهديدات المستمرة المتقدمة

نظرًا إلى أن هجمات التهديدات المستمرة المتقدمة مصممة لتقليد عمليات الشبكة العادية، فقد يكون من الصعب اكتشافها. ويوصي الخبراء بالعديد من الأسئلة التي يجب على فرق الأمن طرحها إذا كانوا يشتبهون في استهدافهم.

هل يوجد نشاط غير عادي على حسابات المستخدمين؟

تستهدف الجهات المُهدِّدة التي تستخدم التهديدات المستمرة المتقدمة حسابات المستخدمين عالية القيمة التي لديها امتيازات الوصول إلى المعلومات الحساسة. وقد تتعرض هذه الحسابات لأحجام كبيرة من عمليات تسجيل الدخول بشكل غير معتاد في أثناء الهجوم. ونظرًا إلى أن مجموعات التهديدات المستمرة المتقدمة غالبًا ما تعمل في مناطق زمنية مختلفة، فقد تحدث عمليات تسجيل الدخول هذه في أوقات متأخرة من الليل. قد تستخدم المؤسسات أدوات مثل كشف نقطة النهاية والاستجابة لها (EDR) أو تحليلات سلوك المستخدم والكيان (UEBA) لتحليل النشاط غير المعتاد أو المشبوه على حسابات المستخدمين وتحديده.

هل توجد زيادة كبيرة في أحصنة طروادة المخترقة؟

تواجه معظم بيئات تكنولوجيا المعلومات أحصنة طروادة المخترقة، ولكن في أثناء هجوم التهديدات المستمرة المتقدمة قد يصبح وجودها واسع الانتشار. تعتمد مجموعات التهديدات المستمرة المتقدمة على أحصنة طروادة المخترقة كوسيلة احتياطية لإعادة الدخول إلى الأنظمة المخترقة بعد اختراقها.

هل هناك نشاط نقل بيانات عير اعتيادي؟

قد يشير الانحراف الكبير عن خط الأساس العادي لنشاط نقل البيانات إلى هجوم التهديدات المستمرة المتقدمة. وقد يشمل ذلك زيادة مفاجئة في عمليات قاعدة البيانات والنقل الداخلي أو الخارجي لكميات هائلة من المعلومات. قد تكون الأدوات التي تراقب سجلات الأحداث وتحللها من مصادر البيانات - مثل معلومات الأمان وإدارة الأحداث (SIEM) أو اكتشاف الشبكة والاستجابة لها (NDR)- مفيدة في الإبلاغ عن هذه الحوادث.

هل جُمعت البيانات ونُقلت إلى موقع غير عادي؟

عادة ما تجمع مجموعات التهديدات المستمرة المتقدمة كميات كبيرة من البيانات من جميع أنحاء الشبكة، وتنقل هذه المعلومات إلى موقع مركزي قبل نقلها بشكل غير مصرح به. وقد تشير الحزم الكبيرة من البيانات الموجودة في موقع غريب إلى هجوم التهديدات المستمرة المتقدمة، خاصةً إذا كانت بتنسيق مضغوط.

هل تلقى بعض المديرين التنفيذيين رسائل بريد إلكتروني للتصيد الاحتيالي الموجّه؟

تُعد هجمات التصيد الاحتيالي الموجّه التي تستهدف عددًا صغيرًا من القادة رفيعي المستوى أسلوبًا شائعًا بين مجموعات التهديدات المستمرة المتقدمة. وغالبًا ما تحتوي رسائل البريد الإلكتروني هذه على معلومات سرية وتستخدم تنسيقات المستندات مثل Microsoft Word أو Adobe Acrobat PDF لتشغيل البرامج الضارة. يمكن أن تساعد أدوات مراقبة سلامة الملفات (FIM) المؤسسات على اكتشاف ما إذا كانت أصول تكنولوجيا المعلومات المهمة قد تعرضت للتلاعب بسبب البرامج الضارة المضمنة في رسائل البريد الإلكتروني للتصيد الاحتيالي الموجّه.

الحماية من هجمات التهديدات المستمرة المتقدمة

هناك إجراءات أمنية يمكن للمؤسسات اتخاذها للتخفيف من حدة مخاطر حصول المخترقين الذين يستخدمون التهديدات المستمرة المتقدمة على إمكانية الوصول غير المصرح به إلى أنظمتها. ونظرًا إلى أن مجموعات التهديدات المستمرة المتقدمة تتكيف باستمرار مع أساليب جديدة لكل ناقل هجوم، يوصي الخبراء باتباع نهج واسع يجمع بين حلول وإستراتيجيات أمنية متعددة بما في ذلك:

 

  • تصحيح البرامج لحماية الثغرات الأمنية في الشبكة وأنظمة التشغيل من الاستغلال من دون انتظار.
  • مراقبة حركة مرور البيانات على الشبكة في الوقت الفعلي لاكتشاف الأنشطة الضارة مثل تثبيت الأبواب الخلفية أو تسريب البيانات المسروقة.
  • استخدام جدران حماية تطبيقات الويب على نقاط نهاية الشبكة التي تقوم بتصفية حركة المرور بين تطبيقات الويب والإنترنت لمنع الهجمات الواردة.
  • تطبيق ضوابط وصول صارمة تمنع المستخدمين غير المصرح لهم من الوصول إلى الأنظمة والبيانات الحساسة أو عالية المستوى.
  • إجراء اختبار الاختراق لتحديد مناطق الضعف والثغرات الأمنية التي قد تستغلها مجموعات التهديدات المستمرة المتقدمة في أثناء الهجوم.
  • الاستفادة من استعلامات التهديدات لفهم دورة حياة هجوم التهديدات المستمرة المتقدمة بشكل أفضل والتخطيط للاستجابة الفعالة للحوادث في حال وقوعها.
حلول ذات صلة
خدمات إدارة الثغرات الأمنية

حدد معالجة العيوب التي يمكن أن تكشف عن أصولك الأكثر أهمية وضع أولوياتها وأدرها.

استكشف خدمات إدارة الثغرات الأمنية
الموارد IBM X-Force Threat Intelligence Index

يمكنك الحصول على معارف قابلة للتنفيذ لمساعدتك على التعرّف على الطريقة التي تتبعها الجهات المُهدِّدة لتنفيذ الهجمات—وكيفية حماية مؤسستك بشكل استباقي.

ما المقصود بإدارة التهديدات؟

إدارة التهديدات هي عملية يستخدمها محترفو الأمن الإلكتروني لمنع الهجمات الإلكترونية واكتشاف التهديدات الإلكترونية والاستجابة للحوادث الأمنية.

ما الجهات المُهدِّدة؟

الجهات المُهدِّدة، والمعروفة أيضًا باسم الجهات المُهدِّدة في مجال التهديدات الإلكترونية أو الجهات الضارة، هي أفراد أو مجموعات تتسبب عمدًا في إلحاق الضرر بالأجهزة أو الأنظمة الرقمية.

اتخِذ الخطوة التالية

تقدم خدمات الأمن الإلكتروني من IBM خدمات أمنية تتعلق بالاستشارات، وخدمات التكامل، والخدمات الأمنية المدارة، والقدرات الهجومية والدفاعية. نفتخر بأننا نجمع فريقًا عالميًا من الخبراء ونوفر لهم تقنياتنا الخاصة إلى جانب تقنيات الشركاء من أجل التعاون على إنشاء برامج أمنية مصممة خصيصًا لإدارة المخاطر.

استكشف خدمات الأمن الإلكتروني اشترِك في خدمة رسائل Think الإخبارية.