نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
أكدت المعلومات الاستخباراتية الحديثة المتعلقة بـ APT37 على حقيقة بالغة الأهمية مفادها أن العديد من المؤسسات لا تزال تعتبر الشبكات المعزولة عن الإنترنت (air-gapped) منيعة، على الرغم من وجود أدلة تثبت عكس ذلك. فعندما تُحرم الجهات المعادية من نقاط الدخول عبر الشبكة، تلجأ إلى قنوات الهجوم المادية. وفي بيئات الصناعة والدفاع والبنية التحتية الحيوية، تكون هذه القناة في الغالب وسائط تخزين قابلة للإزالة.
تظل USB ضرورية من الناحية التشغيلية لمهام مثل تحديثات البرامج الثابتة، واستخراج السجلات، وصيانة الموردين، ونقل الملفات الهندسية. ويُعد استخدام مجموعة APT37 لملفات الاختصارات LNK الخبيثة مثالاً نموذجياً على كيفية استغلال هذه الثغرة الأمنية بأقل قدر من التعقيد التقني وأقصى قدر من التأثير التشغيلي.
لماذا تشكل ملفات LNK تهديدًا خطيرًا للبيئات المعزولة
ملف LNK هو اختصار أصلي في نظام ويندوز. ولا يمكن تمييز شكله عن شكل أي مجلد أو مستند حقيقي، وهي تفصيلة قد يستغلها المهاجم عن عمد.
وراء مظهره البريء، يمكن لملف LNK الذي تم استغلاله أن:
تشغيل PowerShell أو برامج تفسير أخرى مدمجة في النظام
تنفيذ البرامج النصية المخفية المخزنة على الجهاز القابل للإزالة
تنفيذ الحمولات وتشغيلها دون الحاجة إلى اتصال خارجي
الاستفادة من أدوات نظام التشغيل الموثوقة للتملص من الكشف
لا يتطلب أي من مسارات التنفيذ هذه الوصول إلى الشبكة، أو موافقة المستخدم على الماكرو، أو وجود ملف ثنائي مستقل للبرمجيات الخبيثة. وهذا يجعل الاختصار نفسه آلية نقل التهديد، الأمر الذي يمكن أن يكون له تأثير كبير داخل بيئة معزولة عن الشبكة. على سبيل المثال، يقوم المشغل بإدخال USB ثم ينقر مرتين على ما يبدو أنه مستند هندسي عادي، فتبدأ عملية الاختراق بصمت داخل البيئة المحلية، دون إثارة أي إنذارات فورية.
الواقع العملي Media القابلة للإزالة
المشكلة الأساسية لا تكمن في وجود تقنية USB بل في غياب آليات الرقابة على استخدامها. ففي العديد من بيئات تكنولوجيا التشغيل (OT)، تعكس الحالة الراهنة فجوة كبيرة في الرقابة:
يتم إدخال الوسائط القابلة للإزالة مباشرةً في محطات عمل الإنتاج والهندسة دون فحص مسبق
يتم فتح الملفات دون إخضاعها لأي شكل من أشكال فحص المحتوى
لا توجد رؤية مركزية للبيانات التي تم نقلها، أو متى تم نقلها، أو من قام بنقلها
السياسات التي تنظم أنواع الملفات القابلة للتنفيذ، مثل ملفات LNK أو EXE أو ملفات البرامج النصية، إما غير موجودة أو لا يتم تطبيقها بشكل متسق
لا يحتاج الجهات الفاعلة المتطورة في مجال التهديدات إلى التغلب على الضوابط التقنية عندما توفر الممارسات التشغيلية مسارًا خالٍ من العوائق. وهذه هي الفجوة بين APT37 والجهات الفاعلة المماثلة التي تستغل هذه الثغرات بشكل فعال.
أخطر افتراض في مجال أمن شبكات التشغيل (OT) هو أن العزل المادي يساوي الحماية. ففي كل بيئة من بيئات البنية التحتية الحيوية التي عملت معها، تُعد الوسائط القابلة للإزالة ضرورية من الناحية التشغيلية، وهذه الضرورة هي بالضبط ما يعتمد عليه مرتكبو التهديدات. فعندما يتجاوز USB إجراءات الفحص ويصل إلى محطة عمل هندسية، فإنك لم تعد تتعامل مع مشكلة شبكية. بل أصبحت تتعامل مع العواقب.
إيتاي جليك
مدير عام، OT Security Hardware
لماذا Kiosk USB المزود بواجهةUSB عنصرًا أساسيًا في نظام التحكم
الاعتماد على الكشف عن النقاط الطرفية بعد إدخال USB في أحد أصول الإنتاج هو نهج رد الفعل. وفي بيئات التكنولوجيا التشغيلية (OT)، يؤدي اتباع نهج رد الفعل إلى تأخر احتواء الاختراق بشكل كبير. أما النهج الأكثر فعالية من الناحية التشغيلية فهو فرض فحص المحتوى قبل وصول الوسائط القابلة للإزالة إلى أي نظام إنتاج.
يُعد كشك USB حلاً يُنشئ نقطة تفتيش خاضعة للرقابة وإلزامية بين البيئة الخارجية وحدود شبكة OT/ICS. وبما أن الوسائط القابلة للإزالة تُخضع للفحص عبر محطة تفتيش مجهزة قبل استخدامها، فإن كل جهاز يخضع لما يلي:
فحص البرامج الضارة باستخدام محركات متعددة للكشف عن التهديدات المعروفة
إزالة المخاطر من محتوى الملفات وإعادة بنائها لتحييد المحتوى النشط داخل الملفات
تطبيق سياسة أنواع الملفات لمنع دخول التنسيقات غير المعتمدة إلى البيئة
فحص على مستوى الجهاز لتقييم سلامة الوسائط نفسها
تسجيل شامل لعمليات التدقيق للحفاظ على سلسلة حيازة كاملة لكل عملية نقل
تفصل هذه البنية عملية الفحص ماديًا عن أنظمة الإنتاج، مما يضمن معالجة المحتوى عالي المخاطر قبل وصوله إلى أي من الأصول التشغيلية.
كيف تعمل أكشاك الخدمة الذاتية على التخفيف المباشر من سلاسل الهجمات القائمة على LNK
يعامل سير عمل كشك المسح الضوئي المُعد بشكل صحيح ملفات LNK والملفات المماثلة القابلة للتنفيذ كعناصر عالية الخطورة بشكل افتراضي. ومن الناحية العملية، يعني ذلك:
يتم حظر ملفات الاختصارات والبرامج النصية تلقائيًا في مرحلة الفحص
يتم حذف المحتوى القابل للتنفيذ من أنواع الملفات المعتمدة
يتم تحديد الهياكل الأمرية المشبوهة المضمنة في الملفات وتحييدها
لا يُسمح بتمرير سوى أنواع الملفات المصرح بها صراحةً إلى بيئة OT
إذا قام أحد المهاجمين بتضمين حمولة خبيثة داخل ملف LNK، يتم اعتراضها ومعالجتها قبل أن يصل USB إلى محطة عمل الهندسة. وإذا كانت سياسة المؤسسة تحظر ملفات الاختصارات تمامًا، يتم تصفية هذه الملفات عند نقطة الوصول، ويتم قطع سلسلة الهجوم قبل أن تبدأ.
تأمين المحيط الخارجي
توفر "الفجوات الهوائية" أقصى درجات الضمان الأمني عندما يتم تطبيق الضوابط على المستوى المادي. ويوفر كشك USB للمؤسسات ما يلي:
التطبيق المركزي للسياسات عبر المنشآت والمواقع التشغيلية المتفرقة
تطبيق متسق للرقابة يقلل من الاعتماد على تقدير المستخدم الفردي
رؤية تشغيلية كاملة لجميع أنشطة الوسائط القابلة للإزالة
تقليل التعرض للمخاطر فيما يتعلق بمحطات العمل الهندسية وأنظمة السلامة والأصول الأخرى ذات الآثار الخطيرة
ويعد هذا الأمر بالغ الأهمية بشكل خاص في البيئات التي يمكن أن يؤدي فيها اختراق نقطة نهاية واحدة إلى انتشار الخطر والتأثير على استمرارية العمليات الإنتاجية أو سلامة الموظفين أو موثوقية الشبكة.
الفحص قبل الإدخال ليس أفضل الممارسات. بل هو الممارسة الوحيدة التي تسد الثغرة.
إيتاي جليك
مدير عام، OT Security Hardware
كيف OPSWAT Secure البنية التحتية الحيوية Secure
لا تتعرض البيئات المعزولة عن الشبكة للخطر بسبب اتصالها بالشبكة، بل بسبب الثقة الممنوحة افتراضيًا للوسائط القابلة للإزالة. وفي ظل الحملات المتطورة والموجهة ضد البنى التحتية الحيوية، أصبح هذا الافتراض الافتراضي عبئًا لا تستطيع المؤسسات تحمله بعد الآن. وعندما تكون الوسائط القابلة للإزالة جزءًا من سير العمل التشغيلي لديك، حلول Media الطرفية Media القابلة للإزالة» OPSWAT ضوابط متعددة الطبقات تعمل على سد هذه الثغرة.
MetaDefender Kiosk™: Secure Media Secure من Media عند نقطة الدخول
للتصدي لوسائل الهجوم التي تستخدم USB، MetaDefender Kiosk كمحطة مسح مادية لحماية أصول المؤسسات. يتكامل مع حلول نيات مجربة ورائدة في القطاع لتطهير البيانات قبل دخولها إلى البيئات الحيوية. وبالاقتران مع حلول MetaDefender File Transfer™ (MFT) و MetaDefender Media Kiosk MetaDefender Kiosk طبقات دفاعية إضافية يمكن إضافتها لدعم عمليات نقل الملفات الآمنة وفرض سياسات المسح.
MetaDefender Endpoint™: الحماية قبل التشغيل والتحكم في الأجهزة
MetaDefender Endpoint أمن النقاط الطرفية ويوفر الحماية للأجهزة الطرفية والوسائط القابلة للإزالة في البيئات الحرجة. يقوم بشكل فعال باكتشاف أجهزة الوسائط القابلة للإزالة وحظرها حتى يتم فحصها بدقة والتحقق من خلوها من الفيروسات قبل السماح لها بالوصول إلى النظام.
التحقق من صحة Media كطبقة دفاع إضافية
OPSWAT حلول إضافية حلول استراتيجية الدفاع المتعدد المستويات، بهدف توفير حماية متعددة الطبقات من خلال التحقق من صحة الوسائط وتطبيق سياسات الفحص والتطهير.
MetaDefender Media Firewall هو حل مادي سهل الاستخدام لحماية أنظمة المضيف الحيوية من التهديدات التي تحملها الوسائط القابلة للإزالة. يعمل جنبًا إلى جنب مع MetaDefender Kiosk مادية داخل بيئات OT لضمان عدم تمكن أي وسائط قابلة للإزالة لم يتم فحصها من تجاوز نقاط الدخول.
تعد أداةMetaDefender Validation أداة خفيفة الوزن يتم تثبيتها على أجهزة النهاية، وتعمل كنقطة تفتيش لضمانKiosk أجهزة النهاية من فتح الملفات أو نسخها أو تحديدها أو الوصول إليها إلا إذا كانت قد خضعت للفحص بواسطة MetaDefender Kiosk .
تقنيات رائدة في القطاع
Endpoint Kiosk MetaDefender Kiosk MetaDefender Endpoint تقنيات مجربة وموثوق بها عالميًا، مثل Metascan™ Multiscanning التي تحقق معدلات كشف للبرامج الضارة تصل إلى 99.2% باستخدام أكثر من 30 محركًا لمكافحة البرامج الضارة. كما يستخدمان تقنية Deep CDR™ لإزالة المحتوى الضار من الملفات بشكل استباقي دون المساس بوظائفها. إلى جانب إجراء تقييمات للثغرات الأمنية لتحديد عيوب البرامج المعروفة في الوسائط القابلة للإزالة وتوفير حماية قوية ضد تسرب البيانات الحساسة، حلول كلتا حلول دفاعًا عميقًا ومتعدد الطبقات لشبكات تكنولوجيا المعلومات/التكنولوجيا التشغيلية (IT/OT) ضد تهديدات الوسائط الطرفية والقابلة للإزالة.
النقطة الأساسية
لم تتغلب مجموعة APT37 على عزل الفجوة الهوائية من خلال اختراق بنية أمن الشبكة. بل استغلت وظائف نظام التشغيل وسير عمل الوسائط القابلة للإزالة، وهي أمور تقع بالكامل ضمن نطاق سيطرة المؤسسة.
ولمواجهة هذا التحدي، يجب اتخاذ إجراءات الوقاية قبل وصول العمليات إلى نقطة النهاية، إذا كانت الوسائط القابلة للإزالة جزءًا من سير العمل التشغيلي لديك. وفي معظم بيئات OT/ICS، هذا هو الحال بالفعل. ونتيجة لذلك، يجب تنظيمها بصرامة مثل أي إجراء من إجراءات مراقبة حدود الشبكة:
التحقق قبل الإدخال: لا ينبغي أن يصل أي جهاز إلى نظام الإنتاج دون فحص مسبق
التسجيل قبل النقل: يجب أن ينتج عن كل تفاعل مع الوسائط سجل قابل للتدقيق
معالجة المشكلة قبل الوصول: يجب تحييد المخاطر عند الحدود، لا اكتشافها بعد وقوعها
لمعرفة كيف OPSWAT مساعدتك في التصدي لتهديدات الوسائط القابلة للإزالة والملحقات قبل وصولها إلى بيئتك الحيوية، تحدث إلى أحد الخبراء اليوم.
