يُعد تقرير CERT Polska لعام 2025 حول الحوادث في قطاع الطاقة تذكيرًا بأن العديد من الحوادث السيبرانية لا تبدأ بتقنيات متطورة أو ثغرات أمنية مجهولة. بل تبدأ بنقاط ضعف أساسية لم يتم إصلاحها قط. مثل بيانات الاعتماد الافتراضية، والوصول غير الخاضع للمراقبة، وسجلات الأنشطة التي يمكن للمهاجمين محوها، والنسخ الاحتياطية التي لا تشمل الأنظمة المهمة فعليًا.
في العديد من الحوادث المذكورة، لم يضطر المهاجمون إلى بذل جهد كبير. فقد كانت البيئة المحيطة تساعدهم بالفعل.
كيف تشكلت الهجمات
يستعرض التقرير العديد من الحوادث التي دخل فيها المهاجمون عبر مسارات مألوفة. الخدمات رسائل البريد الإلكتروني الاحتيالية، والمرفقات الخبيثة، والمواقع الإلكترونية المخترقة، الخدمات المعرضة الخدمات جميعها نقاط انطلاق شائعة. وبمجرد اختراق نقطة نهاية واحدة، ركز المهاجمون على التحرك بهدوء، مستخدمين أدوات شرعية وبروتوكولات قياسية.
كان يُفترض غالبًا أن الأجهزة الموجودة داخل الشبكات الداخلية آمنة. لكن تبين أن هذا الافتراض كان خاطئًا. ففي بعض الأحيان، كانت معدات الشبكة وواجهات الإدارة وأنظمة التشغيل تُنشر باستخدام بيانات اعتماد افتراضية أو مشتركة. وفي حالات قليلة، لم يكن المهاجمون بحاجة إلى استغلال الثغرات الأمنية على الإطلاق، بل اكتفوا بتسجيل الدخول ببساطة.
كما لعب الوصول عن بُعد دورًا في ذلك. فلم تكن اتصالات الشبكة الافتراضية الخاصة (VPN) تخضع دائمًا لمراجعة دقيقة، كما تباينت إجراءات المصادقة باختلاف البيئات. وبمجرد الاتصال، استخدم المهاجمون جلسات بروتوكول الوصول البعيد (RDP) ومشاركة الملفات عبر بروتوكول SMB للتحرك أفقيًا، مختلطين مع حركة المرور العادية ومتجنبين الكشف الفوري.
لماذا لا تزال بيانات الاعتماد الافتراضية تمثل أحد أكبر المخاطر
لا تزال بيانات الاعتماد الافتراضية من أكثر المخاطر التي يمكن تجنبها، ومع ذلك لا تزال تظهر في حوادث حقيقية. ويوضح التقرير أن الأمر لا يقتصر على الأجهزة المتصلة بالإنترنت فحسب. فقد تُركت الأنظمة الداخلية، بما في ذلك مكونات التكنولوجيا التشغيلية وخوادم الإدارة، ببيانات اعتماد لم يتم تغييرها أو بحقوق وصول إدارية واسعة النطاق.
يبحث المهاجمون عن هذه الثغرات أولاً. وعندما يعثرون عليها، يستولون على السيطرة بسرعة ودون ضجة.
إن تغيير بيانات الاعتماد الافتراضية، والحد من الحسابات المشتركة، وفرض المساءلة على الوصول ذي الامتيازات ليست إجراءات متقدمة، بل هي أساسيات. وعندما تغيب هذه العناصر، يصبح كل شيء آخر أكثر صعوبة.
الاكتشاف بعد التنفيذ يكون متأخراً جدًا
تجدر الإشارة إلى أن أدوات أمان النقاط الطرفية أدوات رصدت في بعض الحالات أنشطة ضارة. وقد ساعد ذلك في الحد من الأضرار. ومع ذلك، غالبًا ما كان الكشف يتم بعد أن تكون البرامج الضارة قد بدأت بالفعل في العمل.
بمجرد تشغيل البرمجيات الخبيثة، يمكن للمهاجمين سرقة بيانات الاعتماد وتعديل الإعدادات وإرساء وجود دائم. وعند هذه النقطة، تصبح عملية الاستجابة أكثر تعقيدًا وأكثر إضرارًا.
يُبرز التقرير أهمية فحص الملفات قبل تشغيلها. يجب فحص مرفقات البريد الإلكتروني والملفات التي يتم تنزيلها والملفات التي يتم إدخالها عبر الوسائط القابلة للإزالة وتطهيرها قبل وصولها إلى الأنظمة التشغيلية. إن إيقاف التهديدات عند نقطة الدخول يقلل من الحاجة إلى إجراء عمليات التنظيف لاحقًا.
مراقبة ما يستخدمه المهاجمون فعليًا
تضمنت العديد من الحوادث الموصوفة في التقرير عمليات انتقال جانبية بدلاً من استغلالات مبهرة: مثل جلسات RDP بين الأنظمة، ومشاركات SMB المستخدمة لنقل أدوات، وتغييرات بسيطة في التكوين التي فتحت ثغرات أمنية بمرور الوقت.
تعد مراقبة الاتصالات الداخلية أمرًا بالغ الأهمية. غالبًا ما تحظى حركة المرور بين الشبكات الداخلية باهتمام أقل مقارنة بالأنشطة الموجهة نحو الإنترنت، ومع ذلك فهي المكان الذي يقضي فيه المهاجمون معظم وقتهم بمجرد اختراقهم للشبكة.
تستحق تغييرات التكوين نفس القدر من الاهتمام. فلا ينبغي أن تُجرى تغييرات على Firewall وإعدادات الشبكة الافتراضية الخاصة (VPN) وأذونات Active Directory دون علم. تحتاج المؤسسات إلى رؤية واضحة لما تم تغييره، ومن قام بالتغيير، ولماذا. فغالبًا ما تكون التغييرات غير المتوقعة أول علامة على حدوث اختراق.
السجلات والنسخ الاحتياطية: الأجزاء التي يحاول المهاجمون اختراقها
كما يوضح التقرير كيف يستهدف المهاجمون عمليات التسجيل والاستعادة. ففي بعض الحوادث، تم حذف السجلات أو تغييرها، مما أدى إلى إبطاء التحقيقات وتقييد فهم ما حدث.
يجب توجيه سجلات التدقيق إلى مكان آمن لا يستطيع المهاجمون تعديلها أو محوها. ومن الناحية المثالية، يجب أن تنتقل السجلات في اتجاه واحد فقط. فإذا تمكن المهاجمون من حذف السجلات، فسيتمكنون من إخفاء آثارهم.
تحتاج النسخ الاحتياطية إلى نفس القدر من العناية. تقوم العديد من المؤسسات بعمل نسخ احتياطية للتكوينات، لكنها تغفل عن البرامج الثابتة وصور النظام الكاملة وحالات نقاط النهاية. وعندما تتعرض البرامج الثابتة أو الملفات الثنائية للنظام للاختراق، لا تكفي النسخ الاحتياطية للتكوينات وحدها. فوجود برامج ثابتة نظيفة ونسخ احتياطية للخوادم وصور موثوقة لنقاط النهاية أمر ضروري لعملية الاستعادة.
الخلاصة الحقيقية
لا يتناول تقرير CERT Polska حالات الفشل الناتجة عن نقص أدوات. بل يتناول حالات الفشل الناتجة عن إهمال الأساسيات مثل:
- تم الإبقاء على بيانات الاعتماد الافتراضية.
- الوصول عن بُعد لا يخضع لمراقبة كاملة.
- السجلات المخزنة في مكان يمكن للمهاجمين الوصول إليه.
- لم يتم اكتشاف البرمجيات الخبيثة إلا بعد أن أصبحت نشطة.
من حسن الحظ أن بعض الهجمات تم اكتشافها قبل أن تتسبب في اضطرابات كبيرة. لكن الحظ ليس عاملاً يمكن الاعتماد عليه.
يجب على مؤسسات قطاع الطاقة الحد من المخاطر في مرحلة مبكرة من سلسلة الهجوم — قبل تشغيل البرامج الضارة، وقبل استغلال بيانات الاعتماد، وقبل أن يتمكن المهاجمون من إخفاء آثارهم. ويوضح التقرير أمراً واحداً: المهاجمون يستخدمون مسارات يمكن التنبؤ بها. وهذا يعني أن المدافعين قادرون على إغلاقها.
هذه الإصلاحات ليست غير مألوفة، لكنها ملحة.
لا تنتظر حتى يتم تشغيل البرامج الضارة قبل أن تتصرف. تعرف على كيفية القيام بذلك OPSWAT MetaDefender من التهديدات عند نقطة الدخول عن طريق فحص الملفات وتطهيرها قبل وصولها إلى أنظمتك الحيوية.
