برمجيات مكافحة الفيروسات ليست كافية للحماية من المتسللين الإلكترونيين

يتعرف على السلوك الطبيعي للمستخدمين ويحدد أي انحرافات عنه

في عام 2024 وحده، بلغ متوسط التكلفة العالمية لاختراق البيانات ما يقرب من 5 ملايين دولار. وقد بدأ العديد من هذه الهجمات على جهاز واحد، ثم انتشرت.

الأجهزة مدخل القراصنة نحو السحابة

لا ينبغي أن يكون ذلك مفاجئاً عندما تفكر في الأمر. فقد أصبحت أجهزة الكمبيوتر الجوالة، ومحطات العمل، وأدوات إدارة المراقبة عن بُعد، والشبكات الافتراضية الخاصة «VPN»، وحتى أجهزة نقاط البيع أكثر من مجرد أدوات إنتاجية للشركات. لقد صارت مداخل للقراصنة الخبثاء.

تُعرف هذه الأنظمة التقنية باسم «نقاط النهاية» في الأوساط التقنية، وهي أهداف ساخنة. لكن المهاجمين لا يستهدفون بالضرورة الأجهزة، بل إنهم يستهدفون الوصول الذي تمنحه إلى مكان آخر تماماً: السحابة.

نقاط النهاية هذه هي منصة الإطلاق إلى السحابة. إذ عندما تقوم بتسجيل الدخول إلى تطبيقات قائمة على السحابة مثل «مايكروسوفت 365» أو «غوغل وورك سبيس»، يقوم جهازك بحفظ ملف «تعريف ارتباط» جلسة المتصفح. إنه مثل مُعرف رقمي يتيح للتطبيق معرفة أنك مستخدم معتمد.

يمكن للقراصنة الذين يخترقون أي جهاز ويسرقون ملف تعريف ارتباط مُخزّناً على محرك الأقراص الثابتة خاصتك، الحصول على وصول غير مقيد إلى تطبيقاتك. وهذا يعني عدم وجود كلمات مرور، أو مطالبات تسجيل الدخول، أو مصادقة متعددة العوامل.

إنهم ببساطة يستولون على جلستك للتنقل في بيئة تكنولوجيا المعلومات الخاصة بك كما لو كانوا يمتلكون المكان. ما هو هدفهم النهائي؟ الوصول إلى جميع بياناتك، بما في ذلك معلومات الزبائن، ودفع المبالغ المالية، والمعلومات المصرفية، وغير ذلك المزيد.

وتُستخدم هذه البيانات لابتزازك مالياً. والأسوأ من ذلك، غالباً ما يتم بيع ملفات تعريف الارتباط المسروقة على شبكة الإنترنت المظلمة. ومقابل بضعة دولارات فقط، يمكن للقراصنة المشبوهين اختراق أنظمتك، وسرقة عنوان بروتوكول الإنترنت الخاص بك، واختراق منصات السحابة بسهولة مخيفة.

إخفاق برامج مكافحة الفيروسات

لماذا تخفق برامج مكافحة الفيروسات؟ كان هناك وقت كنت تشتري فيه جهاز كمبيوتر جديداً وتجد برنامج «نورتون - Norton» أو «مكافي - McAfee» لمكافحة الفيروسات مثبتاً بالفعل. كان هذا كل ما تحتاجه في ذلك الوقت لحماية نفسك. قم بتثبيت برنامج مكافحة الفيروسات وتحديثه من حين لآخر، وستكون على ما يرام.لكن الزمن تغير.

يمكن للتهديدات الإلكترونية الحالية أن تتجاوز بسهولة كل ما صُممت برامج مكافحة الفيروسات لإيقافه. إذ أصبح القراصنة أكثر مكراً، حيث يختبئون داخل أدوات شرعية، ويقلدون السلوكيات العادية، ويتسللون عبر دفاعاتك من دون إثارة أي إنذار.

تواجه برامج مكافحة الفيروسات التقليدية صعوبات لأنها:

-لا تكتشف سوى ما تعرفه: إذ لا يمكنها التعرف على التهديدات الجديدة والناشئة، وأصبح القراصنة أكثر دهاء في الاختراق والدخول.

-تتجاهل السلوكيات المشبوهة: كما هو الحال عندما ينشئ المتسلل حساباً لإداري مزيف، أو يثبت أدوات الوصول عن بُعد بهدوء.

-تتغاضى عن سرقة الجلسات: إذ لن تسجل حتى اختطاف ملفات تعريف الارتباط.

لا يعني هذا أن برامج مكافحة الفيروسات عديمة الفائدة. ولكنها يجب أن تكون بمثابة أداة مساعدة لأدوات الأمن السيبراني الأكثر تقدماً.

نظام الرصد والاستجابة

ما هو نظام الرصد والاستجابة لنقاط النهاية endpoint detection and response (EDR)، وماذا يفعل؟ للبقاء في الصدارة، يجب على الشركات إقران برامج مكافحة الفيروسات الخاصة بها بطبقة حماية أكثر ذكاء تسمى الكشف عن النقاط النهائية، والاستجابة لها «EDR».

وعلى عكس برامج مكافحة الفيروسات، التي تعتمد على فحص الملفات بحثاً عن البرامج الضارة المعروفة، يراقب نظام «EDR» باستمرار السلوك على النقاط النهائية.

وهو يتعلم كيف تبدو أنشطتك «الطبيعية» ويحدد أي انحرافات، ما يضمن الإبلاغ عن أي نشاط مشبوه قبل أن يتسبب في أي ضرر.

إليك ما يقدمه نظام «EDR» النموذجي:

- الرصد القائم على السلوك: يحدد نظام «EDR» الأنشطة المشبوهة، مثل حذف ملفات النسخ الاحتياطي، أو إضافة مستخدمين جدد، أو تشفير كل شيء بصورة مفاجئة.

-حماية الجلسة: يُعد نظام «EDR» نقطة انطلاق لإحباط الهجمات القائمة على الهوية من خلال الكشف عن محاولات سرقة ملفات تعريف الارتباط.

-مع ازدياد تعقيد هجمات المتسللين، تُصبح أنظمة «EDR» قادرة على التعرف عندما يتم استغلال أدوات الإدارة الشرعية لأغراض خبيثة.

على عكس برامج مكافحة الفيروسات، لا يقتصر دور النظام على تحذيرك من التهديدات المحتملة، بل يتخذ إجراءات سريعة وحاسمة. فعندما يكتشف وجود مشكلة ما، يمكنه عزل نقطة النهاية المتأثرة، وإيقاف العمليات الضارة، ومنع انتشار التهديد، كل ذلك في الوقت الفعلي.

صعوبات تأمين خدمات النظام

لدى أنظمة «EDR» جانب سلبي: فهي ليست أدوات سهلة الضبط، ولا تحتاج إلى المتابعة، بل بالعكس. فالعديد منها مصمم للشركات ذات الميزانيات والبنى التحتية الأمنية الكبيرة التي تضاهي الشركات الغنية جداً، مثل تلك الموجودة ضمن «Fortune 500». ولكي تكون هذه الأنظمة فعالة، فإنها تحتاج إلى مراقبة مستمرة، وتعديل دقيق منتظم، وخبراء للاستجابة للتهديدات. قد يبدو هذا غير قابل للتحقيق بالنسبة للشركات الصغيرة، خاصة إذا لم يكن لديها الوقت، أو الموارد، أو الفريق الداخلي للتعامل مع كل ذلك.

وهنا يأتي دور مزودي الخدمات المُدارة managed service providers (MSPs)، أو مزودي خدمات الأمان المُدارة managed security service providers (MSSPs). يمكن لهذه الشركات المتخصصة -التي غالباً ما تكون موجودة على المستوى الإقليمي- إدارة البنى التحتية لتكنولوجيا المعلومات، مع توفير حماية على مستوى المؤسسات من دون التعقيد، أو التكلفة.

سيقوم مزود الخدمات المدارة/ مزود خدمات الأمان المدارة الموثوق بما يلي:

نشر وإدارة نظام «EDR» عبر جميع الأجهزة. مراقبة النشاط عبر جميع نقاط النهاية، على مدار الساعة طوال أيام الأسبوع. الاستجابة للتهديدات، والتخفيف من حدتها في الوقت الفعلي.

لا ينبغي أن يكون الأمن السيبراني رفاهية مخصصة للشركات الكبيرة. إنه الآن ضرورة للشركات من جميع الأحجام. لكن العديد من الحلول تتطلب فرقاً أمنية متخصصة، ما يجعلها غير عملية للشركات الصغيرة والمستقلة.

ضع في اعتبارك أن نقاط النهاية الخاصة بك هي أدوات قوية. فهي تربط فريقك بعملك، ولكن إذا تُركت من دون حماية، فإنها تصبح بوابات للمتسللين الخبثاء الذين سيخاطرون بكل ما بنيته.

* مجلة «إنك» ـ خدمات «تريبيون ميديا»