شرح الثغرات Cloud والمخاطر الأمنية الشائعة

الثغرات Cloud هي نقاط أمنية عمياء أو نقاط دخول عمياء يمكن استغلالها من قبل جهات خبيثة.

على عكس البيئات التقليدية، حيث يمكن العثور على الثغرات الأمنية في أغلب الأحيان على مستوى المحيط الخارجي (مثل جدران الحماية)، يمكن أن تأتي الثغرات الأمنية في السحابة من عدة أماكن؛ مثل التهيئة الخاطئة، والتحكم في الوصول، ونموذج المسؤولية المشتركة غير المحدد، وتكنولوجيا المعلومات في الظل، وما إلى ذلك.

بيئة السحابة مترابطة بطبيعتها مع العديد من المستخدمين والشركاء والتطبيقات والبائعين.

مثل هذا السطح الواسع للهجوم يعني أن الأصول السحابية معرضة للتهديدات القادمة من عمليات اختطاف الحسابات، والمصادر الداخلية الخبيثة، واختطاف الحسابات، وسوء إدارة الهوية وبيانات الاعتماد، وواجهات برمجة التطبيقات غير الآمنة.

يكمن الفرق الواضح بين التهديدات ونقاط الضعف في مدى إلحاحها.

إذا كانت الثغرة الأمنية تمثل نقطة ضعف موجودة في طي النسيان، في انتظار استغلالها، فإن التهديد هو حدث خبيث أو سلبي يحدث عادةً في الوقت الحاضر، ويتطلب تدخلاً عاجلاً.

بعد ذلك، فإن الثغرة الأمنية هي أول ما عرّض المؤسسة لتهديدات أمنية سحابية.

على سبيل المثال، تمثل عمليات التهيئة السحابية الخاطئة ثغرة أمنية يمكن أن تؤدي إلى ضعف ضوابط الوصول، مما يؤدي في النهاية إلى تهديد هجوم إلكتروني.

باختصار، الثغرة الأمنية هي نقطة ضعف، والتهديد هو الفعل أو الحدث المحتمل الذي يمكن أن يستغل نقطة الضعف هذه. إذا كانت السحابة باباً مغلقاً، فإن نقطة الضعف هي قفل به نقطة ضعف، والتهديد هو شخص ما يقوم بفتحه بالقوة.

البنى التحتية السحابية مبنية في جوهرها على طبقات ومكونات مختلفة؛ ويمكن أن توجد نقاط ضعف في كل طبقة.

نتيجة مباشرة لإعدادات غير صحيحة أو متساهلة أكثر من اللازم، تجعل التهيئة الخاطئة النظام أقل أماناً مما ينبغي. يمكن أن تحدث في الحاويات المستندة إلى السحابة (مثل دلاء S3 المهيأة بشكل خاطئ)، أو جدران الحماية، أو الأجهزة الافتراضية غير المصححة.

تتضمن أمثلة التهيئة الخاطئة الوصول العام للقراءة والكتابة في حين يجب أن يكون خاصاً، أو الأذونات القديمة أو غير المصححة، أو حتى عدم وجود إعدادات تشفير.

يمكن أن تحدث عمليات التهيئة الخاطئة بسبب خطأ بشري أو نقص المعرفة أو سوء كتابة البرامج النصية للتشغيل الآلي وتؤدي إلى فقدان البيانات أو تسريبها والإضرار بالسمعة في حالة وقوع هجوم، وعدم الامتثال للمعايير التنظيمية.

كان هذا هو الحال مع شركة CapitalOne في عام 2019، عندما مكّن جدار حماية تطبيق الويب الذي تم تكوينه بشكل خاطئ من الوصول غير المصرح به إلى دلو S3 يحتوي على بيانات حساسة (بما في ذلك أرقام الضمان الاجتماعي) لأكثر من 100 مليون عميل. وقد اضطرت CapitalOne إلى دفع غرامة قدرها 80 مليون دولار بسبب هذا الاختراق.

بحكم تعريفها، فإن البيئات السحابية سريعة الحركة ولا مركزية وغالباً ما لا تتحكم فيها فرق الأمن بشكل كامل، لذلك يحدث نقص معين في الرؤية.

يمكن أن يحدث ذلك إما لأن مقدمي الخدمات لا يقدمون سوى الأدوات الأساسية للرؤية، أو لأن المراقبة الأعمق تأتي بتكلفة إضافية، أو لأن الفرق داخل المؤسسة تعمل بأعداد كبيرة ولا تمتلك المهارات المناسبة الخاصة بالسحابة اللازمة لمراقبة البنية التحتية بشكل حقيقي.

كما أن ميل المؤسسات إلى الدفع نحو السرعة على حساب الأمان عامل مساهم أيضاً.

ومع ذلك، عندما تبدو الرؤية وكأنها تكلفة، وليست محركًا للقيمة، يمكن للخصوم اختراق البنية التحتية السحابية والبقاء دون أن يلاحظها أحد لفترة أطول من الوقت.

مع وجود العديد من الأدوات ولوحات المعلومات والسجلات داخل الشبكة السحابية، من الصعب الربط بين ما يحدث واكتساب رؤى قابلة للتنفيذ حول ما يحدث.

تحدد إدارة الوصول أي مستخدم أو تطبيق يمكنه الوصول إلى أصل سحابي.

وهو يتضمن إدارة الهويات الرقمية والتحكم في الوصول إلى الخدمات السحابية والتطبيقات والبيانات.

يجب وضع بعض الحدود والقيود لضمان عدم وصول المعلومات الحساسة إلى أيادٍ غير مصرح لها. في عالم تؤثر فيه عمليات الاستيلاء على الحسابات على أكثر من 77 مليون شخص في الولايات المتحدة وحدها، تصبح بعض الممارسات ذات أهمية قصوى:

• تطبيق MFA (المصادقة متعددة العوامل)
• تطبيق مبدأ الوصول الأقل امتيازات (لا تمنح حق الوصول إلا إذا كانت المهمة تتطلب ذلك)
• استخدام التحكم في الوصول المستند إلى الأدوار لإدارة الوصول بناءً على المهام الوظيفية

وإلا فإن المؤسسات تخاطر بحدوث انتهاكات للبيانات، وعدم الامتثال للوائح، والاضطرابات التشغيلية.

يمكن للمهاجمين اختراق النظام من خلال حساب مختطف واستغلال سياسات الوصول الضعيفة، ويمكنهم الانتقال إلى موارد أو أنظمة ذات مستوى أعلى؛ والهدف من ذلك هو اكتساب المزيد من السيطرة على النظام وربما التسبب في أضرار كبيرة.

داخل البنية التحتية السحابية، يمكن API أن تسمح للأنظمة أو الخدمات أو التطبيقات المختلفة بالتفاعل مع بيئة السحابة.

مما يعني أنه يمكن لواجهات برمجة التطبيقات التحكم في الوصول إلى البيانات والبنية التحتية والوظائف.

قد تعني API غير الآمنة أنها لا تتطلب مستخدمًا صالحًا أو رمزًا مميزًا للوصول إليها، أو أنها تمنح وصولًا أكثر من المطلوب، أو أنها تسجل بيانات حساسة.

إذا تمت تهيئة واجهات برمجة التطبيقات بشكل خاطئ أو تم كشفها، يمكن للمهاجمين الوصول إلى البيانات (معلومات المستخدم، البيانات المالية، سجلات الرعاية الصحية)، حتى بدون بيانات اعتماد كاملة.

كان هذا هو الحال في عام 2021، عندماسمحت ثغرة في API Pelotonلأي شخص بالوصول إلى بيانات حساب المستخدم، حتى بالنسبة للملفات الشخصية الخاصة. وقد سمحت الثغرة التي اكتشفها Pen Test Partners، حيث سمحت هذه الثغرة للطلبات غير المصادق عليها بالوصول إلى بيانات مثل العمر والجنس والموقع والوزن وإحصائيات التمارين وأعياد الميلاد.

كان من الممكن أن يتطور الوصول إلى قاعدة بيانات معقدة كهذه إلى مزيد من الاختراق أو سرقة الهوية أو هجمات الهندسة الاجتماعية.

تشير تقنية معلومات الظل إلى استخدام البرمجيات أو الأجهزة أو أنظمة تكنولوجيا المعلومات الأخرى داخل المؤسسة دون علم أو موافقة أو سيطرة قسم تكنولوجيا المعلومات أو الأمن.

إما بدافع الراحة أو بدافع الحقد، يمكن للموظفين البحث عن أدوات أخرى غير تلك المتوفرة رسمياً، مما يؤدي إلى إدخال مخاطر كبيرة على الأمن السيبراني في المؤسسة.

يمكن أن تبدو تكنولوجيا معلومات الظل في الممارسة العملية:

• موظف يقوم بتحميل مستندات هندسية حساسة على التخزين السحابي الشخصي.
• شخص يستخدم أدوات الوصول عن بُعد غير المصرح بها (مثل AnyDesk) لاستكشاف أخطاء الأنظمة الصناعية وإصلاحها أو الوصول إلى بيئات SCADA في البنية التحتية الحرجة.
• إجراء مكالمات الفيديو عبر منصات غير مدققة (مثل واتساب) بدلاً من مكالمات الفيديو القياسية للمؤسسات.

في البنية التحتية الحرجة أو البيئات عالية الأمان، يمكن لتكنولوجيا المعلومات في الظل أن تخلق نقاطًا عمياء خطيرة - مما يفتح مسارات لتسريب البيانات أو إدخال البرامج الضارة أو عدم الامتثال التنظيمي.

قد يكون من الصعب اكتشاف المطلعين الخبيثين أو المهملين أو المخترقين بسبب الطبيعة الموثوقة للمستخدم أو النظام المعني.

الأضرار المحتملة الناجمة عن هؤلاء الأشخاص يمكن أن تؤدي إلى اختراق البيانات، وتعطيل الخدمات، والانتهاكات التنظيمية، والخسائر المالية.

الثغرة الأمنية في يوم الصفر هي ثغرة أمنية غير معروفة سابقًا لا يتوفر لها إصلاح متاح وقت اكتشافها، ويمكن استغلالها قبل أن يصبح البائع على علم بها.

في البيئات السحابية، يشمل ذلك الثغرات الأمنية في واجهات برمجة التطبيقات في المنصات السحابية أو أنظمة تنسيق الحاويات أو تطبيقات SaaS أو أعباء العمل المستضافة على السحابة.

تسمح الطبيعة الديناميكية والمترابطة والمتعددة المستأجرين للسحابة بانتشار العيوب بسرعة والتأثير على العديد من الموارد، بينما يفتقر المستخدمون إلى الرؤية اللازمة للبنية التحتية للكشف السريع.

بالإضافة إلى ذلك، يمكن أن يستغرق ترقيع الأنظمة السحابية بعض الوقت، مما يزيد من فترة التعرض لأيام الصفر.

وبدءاً من عام 2023، أصبح منع سوء تهيئة السحابة مصدر قلق رئيسي لأكثر من نصف الشركات، وفقاً لهذا التقرير، مما يوضح خطورة العواقب المحتملة.

من أكثر العواقب الوخيمة للثغرات الأمنية السحابية هو انكشاف البيانات الحساسة أو فقدانها.

غالباً ما تعتمد المؤسسات على حلول التخزين السحابي للاحتفاظ بسجلات عملائها أو معلومات الملكية أو البيانات التشغيلية.

وبالتالي، يمكن أن يعني الاختراق سرقة الهويات الشخصية أو المعلومات المالية أو الملكية الفكرية أو حتى الأسرار التجارية.

وبالإضافة إلى الآثار المباشرة، يمكن أن تؤدي مثل هذه الحوادث أيضًا إلى الإضرار بالسمعة على المدى الطويل وانهيار ثقة العملاء.

قد يتخلى الأفراد المتضررون عن الخدمات، وقد يعيد الشركاء النظر في علاقات العمل.

حتى لو تم احتواء الاختراق بسرعة، فإن تكلفة التحقيق، والمعالجة، وإخطار العملاء، والدعاوى القضائية المحتملة قد تصل إلى ملايين الدولارات، دون احتساب تكاليف الفرصة البديلة للإنتاجية الضائعة وتآكل العلامة التجارية.

تخضع معظم الصناعات لأطر امتثال صارمة - مثل اللائحة العامة لحماية البيانات أو قانون حماية خصوصية البيانات العامة (GDPR) أو قانون حماية البيانات الشخصية (HIPAA) أو قانون حماية البيانات الشخصية (PCI DSS) أو قانون حماية البيانات الشخصية (CCPA) - التي تحدد كيفية تخزين البيانات والوصول إليها وحمايتها.

عندما تؤدي الثغرات إلى الوصول غير المصرح به أو عدم كفاية التحكم في البيانات الحساسة، فإن الشركات تخاطر بانتهاك هذه القوانين. وقد تفرض الجهات التنظيمية غرامات كبيرة أو تبدأ إجراءات قانونية أو تفرض قيودًا تشغيلية.

على سبيل المثال، في الولايات القضائية مثل الاتحاد الأوروبي، يمكن أن تصل العقوبات بموجب اللائحة العامة لحماية البيانات إلى 4% من الإيرادات العالمية السنوية، مما يجعل حتى حادثة واحدة حدثًا عالي المخاطر.

لقد كانت الثغرات Cloud موجودة منذ وقت كافٍ حتى تتمكن المؤسسات من تطوير منهجيات كاملة مصممة للتخفيف من مخاطر الثغرات.

تتسم البنى التحتية Cloud بالديناميكية العالية، حيث يتم نشر خدمات جديدة وإضافة عمليات تكامل بانتظام.

كل واحد من هذه التغييرات يقدم إمكانية حدوث سوء تهيئة أو تعرض للتعرض، مما يجعل تقييم الثغرات الأمنية مهمة مستمرة.

حتى عندما تحدد المؤسسات الثغرات الأمنية وتبدأ في تصحيحها، قد لا تعمل بعض الأنظمة بشكل صحيح مع الإصدارات المحدّثة.

في مثل هذه الحالات، يجب أن تبقى بعض نقاط الضعف من أجل الاستمرارية التشغيلية، مما يجعل من الضروري إدارتها.

تحتاج فرق الأمن إلى نهج منظم لتوثيق هذه الاستثناءات، وتقييم المخاطر المرتبطة بها، وتطبيق استراتيجيات التحكم المناسبة، مثل عزل الثغرة عن الشبكة.

تتضمن CSPM فحص البنية التحتية بحثاً عن أي تكوينات خاطئة وانتهاكات للسياسة وعناصر التحكم في الوصول المتساهلة بشكل مفرط.

وبدلاً من التركيز على عيوب البرامج، تعالج إدارة دعم البرامج وإدارة المحتوى مخاطر الهندسة المعمارية والتكوين (دلاء S3 المهيأة بشكل خاطئ أو التخزين غير المشفر أو عمليات نقل إدارة شؤون الموظفين) التي يمكن أن تؤدي إلى انكشاف البيانات أو فشل الامتثال.

يوفر CSPM إمكانية الرؤية في الوقت الفعلي في البيئات السحابية، والتحقق التلقائي من أطر الامتثال (مثل CIS أو PCI أو GDPR)، والتنبيه بشأن سوء التهيئة.

تعمل منصات CNAPP على تعزيز أمن السحابة على توحيد طبقات متعددة من الحماية، حيث تجمع بين منصات حماية أمن Cloud وإدارة الموقف الأمني Cloud ومنصات حماية أعباء العمل Cloud (CWPP) وإدارة الثغرات الأمنية في إطار عمل واحد.

فهي توفر رؤية أعمق عبر دورة حياة التطبيق، بدءاً من تكوين البنية التحتية إلى سلوك عبء العمل وتهديدات وقت التشغيل.

يمكن أن تتكامل تطبيقات CNAPPs مع أدوات الأمان الأخرى من خلال تضمين الكشف القائم على المضيف، والمراقبة السلوكية، وفحص الثغرات الأمنية مباشرةً في الأجهزة الافتراضية والحاويات والبيئات بدون خادم.

في البيئات المحلية، من المرجح أن تظهر الثغرات الأمنية على الأرجح على مستوى المحيط الخارجي؛ أي الحدود بين الشبكة الداخلية الآمنة للمؤسسة والشبكة الخارجية غير الموثوق بها في كثير من الأحيان.

قد تعني الثغرات الأمنية في مكان العمل وجود برامج قديمة، وخوادم مهيأة بشكل خاطئ، وأعطال في الأجهزة، وحتى انتهاكات أمنية مادية.

ومع ذلك، في البيئات السحابية، لم تعد جدران الحماية والشبكات تشكل محيطاً مستقراً، حيث أصبحت الهوية هي الحدود الأمنية الأولى والأكثر أهمية.

حتى لو ظلت مبادئ الأمن الأساسية ذات صلة، فإن السحابة تقدم ديناميكيات جديدة، خاصةً فيما يتعلق بالمسؤولية والرؤية وتقلب الأصول.

وتتعرض البيئات Cloud في الغالب لتهديدات ديناميكية API على عكس البيئات المحلية حيث يكمن الخطر في المخاطر المفهومة جيدًا مثل الوصول المادي غير المصرح به أو الهجمات الداخلية أو الاختراقات المحيطية.

تشمل الاختلافات الرئيسية انتشار التهيئة الخاطئة كسبب رئيسي للاختراقات، ووجود موارد قصيرة العمر (الحاويات والوظائف بدون خادم)، والتي غالباً ما تتهرب من أدوات الفحص التقليدية، والهجمات القائمة على الهوية التي أصبحت أكثر تواتراً وتفضيلاً لدى المهاجمين.

علاوة على ذلك، تتحول مسؤوليات الأمان أيضًا في السحابة، ويرجع ذلك في الغالب إلى نموذج المسؤولية المشتركة الذي تمت مناقشته سابقًا.

في هذا الإطار، تكون المؤسسات مسؤولة عن تأمين البيانات والتطبيقات والتكوينات والهويات، بما في ذلك جميع المنطق المتعلق بمعالجة الملفات:

• التحقق من صحة الملفات التي تم تحميلها وتعقيمها.
• تكوين أذونات الوصول على مستوى الكائن أو الدلو.
• تشفير البيانات أثناء النقل وفي حالة السكون.
• تنفيذ المراقبة والكشف عن التهديدات على تفاعلات التخزين السحابي.

وأخيراً، لمواكبة سرعة السحابة وتعقيداتها، يجب على قادة الأمن فهم لغة التهديدات وطبيعتها المتطورة.

إن وجود مفردات مشتركة بين فرق DevOps والأمن والقيادة أمر أساسي لتنسيق الدفاع، ويجب أن يكون جميع أعضاء الفريق متوافقين حول المصطلحات الرئيسية في المجال مثل