41 ساعة: النقطة العمياء في MDR التي كلفت الملايين
نظرة عميقة في حادثة حديثة حيث أغفل مزود خدمة الكشف والاستجابة المدارة (MDR) تنبيهًا حرجًا لمدة 41 ساعة، مما أتاح اختراقًا متعدد الشركات التابعة وسلط الضوء على نقاط الضعف المنهجية في الأمن المعتمد على مصادر خارجية. نحلل أساليب المهاجم ونحدد الدفاعات القابلة للتنفيذ.
ماذا حدث
في اختراق رفيع المستوى مؤخرًا، تعرضت مجموعة QSR كبرى لاضطراب كبير وتسريب بيانات عبر ثلاث شركات تابعة متميزة. نشأ الاختراق الأولي من حملة تصيد متطورة استهدفت مسؤولًا تقنيًا متوسط المستوى يتمتع بامتيازات عالية. أدى ذلك إلى اختراق ناجح للبيانات الاعتمادية وتثبيت موطئ قدم لاحقًا داخل شبكة الشركة.
اعتمدت المنظمة على مزود بارز لخدمة الكشف والاستجابة المدارة (MDR) للمراقبة على مدار الساعة طوال أيام الأسبوع وتصنيف الحوادث. على الرغم من اتفاقيات مستوى الخدمة (SLAs) الخاصة بالمورد للتنبيهات عالية الخطورة، فإن تنبيهًا حرجًا ناتجًا عن نشاط إداري غير طبيعي واتصالات شبكة مشبوهة لم يتم الاعتراف به لمدة 41 ساعة. أثبت هذا التأخير الطويل أنه كارثي، مما سمح للمهاجمين بتصعيد الامتيازات وتثبيت الاستمرارية.
خلال هذه النقطة العمياء، تحرك المهاجمون جانبيًا بكفاءة مثيرة للقلق، مستغلين العلاقات الموثوقة بين الشركة الأم والشركات التابعة لها. لقد استغلوا الثقة التي تم تكوينها بشكل خاطئ وضعف ضوابط الوصول للانتقال من البيئة المخترقة الأولية إلى وحدتين تجاريتين أخريين متميزتين. بدأ تسريب البيانات بعد وقت قصير من تثبيت الاستمرارية، مستهدفًا بيانات العملاء والبيانات التشغيلية الحساسة.
لماذا يتكرر هذا النمط باستمرار
هذه الحادثة ليست شذوذًا معزولًا؛ إنها تمثل نمط فشل متكرر في عمليات الأمن المعتمدة على مصادر خارجية. الأسباب الجذرية متعددة الأوجه، وغالبًا ما تنبع من تضافر الغموض التعاقدي والعوامل البشرية والقيود التكنولوجية. غالبًا ما تحدد عقود MDR شدة التنبيه وأوقات الاستجابة، ولكن التنفيذ العملي يمكن أن يختلف بشكل كبير.
إحدى المشكلات الرئيسية هي الحجم الهائل للتنبيهات التي يتم إنشاؤها في المؤسسات الحديثة. حتى مع الارتباط المتقدم، يواجه محللو مركز العمليات الأمنية (SOC) إرهاق التنبيهات، مما يؤدي إلى إشارات مفقودة أو تحقيقات متأخرة. يتفاقم هذا عندما يعطي مزودو MDR الأولوية للكمية على الجودة، أو عندما تفتقر عملياتهم الداخلية إلى الإشراف والمساءلة الكافية لكل تنبيه على حدة.
عامل آخر مساهم هو طبيعة 'الصندوق الأسود' لبعض خدمات MDR. غالبًا ما يفتقر العملاء إلى الرؤية الكاملة لسير عمل التصنيف الداخلي للمورد، ومستويات التوظيف، وآليات مراقبة الجودة. يمكن أن يحجب هذا الغموض المشكلات المنهجية، مثل نقص الموظفين خلال التحولات الحرجة أو التدريب غير الكافي للمحللين المبتدئين، حتى تكشفها حادثة كبرى.
"أكبر نقطة ضعف ليست دائمًا ثغرة يوم الصفر؛ إنها الفجوة بين سياسة أمنية وتطبيقها في العالم الحقيقي، خاصة عندما يكون هذا التطبيق خارجيًا."
خطة عمل المهاجم خطوة بخطوة
نفذ المهاجمون بدقة خطة عمل معروفة، مما يدل على فهم واضح لنقاط الضعف الشائعة في المؤسسات والنقاط العمياء الدفاعية. تم الحصول على وصولهم الأولي عبر رسالة بريد إلكتروني تصيدية مستهدفة للغاية، تحتوي على مستند ضار مصمم لجمع بيانات الاعتماد. وفر هذا الوصول الأولي حساب مستخدم شرعي.
بعد الوصول الأولي، انخرط المهاجمون في الاستطلاع، ورسم خرائط للشبكة الداخلية باستخدام أدوات مثل BloodHound لتحديد تكوينات Active Directory الخاطئة ومسارات تصعيد الامتيازات المحتملة. ركزوا بشكل خاص على تحديد حسابات الخدمة والمجموعات الإدارية ذات الأذونات الواسعة، وهو هدف شائع للحركة الجانبية.
تم تحقيق تصعيد الامتيازات من خلال ثغرة أمنية معروفة (متغير من CVE-2021-42287/CVE-2021-42278) مما سمح لهم بانتحال شخصية وحدة تحكم المجال. منحهم هذا التحكم في مسؤول المؤسسة. بامتيازات مرتفعة، أنشأوا آليات استمرارية متعددة، بما في ذلك المهام المجدولة، وحسابات الخدمة الجديدة، والتعديلات على كائنات سياسة المجموعة (GPOs).
استفادت الحركة الجانبية عبر الشركات التابعة من ثقة VPN الحالية واتصالات RDP، والتي سهلتها بيانات اعتماد مسؤول المؤسسة المخترقة. قاموا بنشر أدوات مخصصة لتسريب البيانات، وتجهيز البيانات الحساسة على مشاركات الملفات الداخلية قبل نقلها إلى التخزين السحابي الذي يملكه المهاجمون. جعل هذا النهج متعدد المراحل الكشف أكثر صعوبة.
ما فات المدافعين
تم إنشاء التنبيه الأولي عالي الخطورة بواسطة حل EDR، والذي أشار إلى أنماط تنفيذ عملية غير عادية ومحاولات اتصال C2 صادرة من محطة عمل مستخدم. كان يجب أن يؤدي هذا التنبيه إلى تحقيق فوري وبروتوكولات احتواء. يعني التأخير لمدة 41 ساعة في الاعتراف أن قدرة الكشف في EDR تم إبطالها فعليًا بواسطة العنصر البشري.
بالإضافة إلى التنبيه المفقود، فشلت عدة طبقات دفاعية. لم يتم فرض المصادقة متعددة العوامل (MFA) عالميًا على حسابات المسؤولين، لا سيما تلك المستخدمة في الحركة الجانبية بين الشركات التابعة. سمح هذا بإعادة استخدام بيانات الاعتماد المخترقة بتأثير مدمر. كان تقسيم الشبكة بين الشركات التابعة غير كافٍ أيضًا، مما قدم شبكة مسطحة للمهاجمين بمجرد دخولهم.
علاوة على ذلك، لم تكن عمليات التسجيل والتدقيق للبنية التحتية الحيوية، مثل Active Directory والخوادم الهامة، شاملة بما يكفي أو لم يتم دمجها بشكل صحيح في مكدس مراقبة MDR. حد هذا من الرؤية المتاحة لمحللي MDR، حتى لو تم الاعتراف بالتنبيه على الفور. كشف تحليل ما بعد الحادث عن فجوات كبيرة في الاحتفاظ بالسجلات وإمكانية الوصول إليها.
أخيرًا، ربما كانت خطة الاستجابة للحوادث نفسها بها أوجه قصور. بينما قد تكون خطة الاستجابة للحوادث موجودة على الورق، فإن الفشل في الاعتراف بتنبيه حرج لهذه الفترة الطويلة يشير إلى انهيار في التطبيق العملي لتلك الخطة، لا سيما فيما يتعلق بإجراءات التسليم والتصعيد مع مزود MDR الخارجي.
قائمة مرجعية دفاعية عملية
- فرض المصادقة متعددة العوامل الشاملة (MFA): طبق MFA قوية ومقاومة للتصيد لجميع حسابات المسؤولين، والوصول إلى VPN، وتطبيقات الأعمال الهامة، خاصة تلك المستخدمة للوصول بين الشركات التابعة.
- تقسيم الشبكات بدقة: طبق مبادئ الثقة الصفرية وتقسيم الشبكة القوي بين وحدات الأعمال والأصول الهامة. حد من مسارات الحركة الجانبية بشكل افتراضي.
- تدقيق أداء MDR باستمرار: أنشئ مقاييس أداء واضحة وقابلة للقياس لمزود MDR الخاص بك، بما في ذلك أوقات الاعتراف بالتنبيه، وشمولية التحقيق، ومعدلات الإيجابيات الكاذبة. قم بإجراء عمليات تدقيق منتظمة ومستقلة.
- التحقق من التسجيل والقياس عن بعد: تأكد من أن جميع الأنظمة الهامة (AD، EDR، أجهزة الشبكة، الخدمات السحابية) ترسل سجلات شاملة إلى SIEM/MDR الخاص بك. اختبر بانتظام استيعاب السجلات وتوليد التنبيهات.
- إجراء تمارين الفريق الأرجواني: ادمج اختبار الأمن الهجومي (red teaming) مع التحليل الدفاعي (blue teaming) لتحديد الفجوات في الكشف والاستجابة. محاكاة التكتيكات والتقنيات والإجراءات (TTPs) الواقعية، بما في ذلك تلك التي تستفيد من ثغرات CVEs المعروفة وتقنيات الحركة الجانبية.
- مراجعة واختبار خطط الاستجابة للحوادث: قم بتحديث خطط الاستجابة للحوادث واختبارها بانتظام، مع التركيز على السيناريوهات التي تتضمن مزودين خارجيين. قم بتضمين إجراءات محددة للتنبيهات المفقودة ومساءلة البائع.
- تطبيق إدارة الوضع الأمني السحابي (CSPM): للمؤسسات التي لديها بيئات هجينة أو متعددة السحابات، راقب التكوينات باستمرار بحثًا عن التكوينات الخاطئة التي قد تؤدي إلى وصول غير مصرح به أو تسريب بيانات.
كيف كان الاختبار الهجومي الحديث سيكشف هذا
تهدف مشاركات الأمن الهجومي المتقدمة، لا سيما تلك التي تركز على فرق الاختراق المستمرة أو محاكاة الاختراق والهجوم (BAS)، إلى الكشف عن هذه الأنواع من النقاط العمياء التشغيلية. كان تمرين الفريق الأرجواني المنفذ جيدًا سيستفيد من نفس متجه الوصول الأولي أو ما شابهه، محاولًا إطلاق تنبيهات من EDR وعناصر التحكم الأمني الأخرى.
يكمن الاختلاف الحاسم في حلقة التغذية الراجعة الفورية. خلال مثل هذا التمرين، عندما يتم إنشاء تنبيه، سيتوقع فريق الاختبار رؤية اعتراف سريع وتحقيق من فريق المراقبة. إذا تم إغفال التنبيه، فسيتم تسليط الضوء عليه على الفور على أنه فشل حرج خلال جلسة استخلاص المعلومات بعد التمرين، قبل أن يتمكن المهاجمون الحقيقيون من استغلاله.
علاوة على ذلك، تحاكي منصة BAS الفعالة باستمرار تقنيات المهاجمين، وتتحقق مما إذا كانت عناصر التحكم الأمني تولد القياس عن بعد المتوقع وما إذا كان فريق المراقبة يتصرف بناءً عليه. يتم تسجيل كل إشارة وتوقيتها، مما يضمن أن أي اكتشاف مفقود أو استجابة متأخرة قابلة للقياس والتدقيق على الفور، مما يمنع مثل هذه الإخفاقات من الاكتساح تحت السجادة. هذا السجل الموضوعي والقابل للتحقق يجعل المساءلة واضحة.
ما الذي يجب مراقبته لاحقًا
ستستمر الصناعة في التصدي لتعقيدات الاستعانة بمصادر خارجية لوظائف الأمن الحيوية. توقع زيادة التدقيق في تفاصيل عقود MDR، لا سيما فيما يتعلق باتفاقيات مستوى الخدمة (SLAs)، وسير عمل معالجة التنبيهات، والشفافية في عمليات البائع. قد تقدم الهيئات التنظيمية أيضًا إرشادات أكثر صرامة للمؤسسات التي تعتمد على خدمات الأمن من طرف ثالث، مع التركيز على العناية الواجبة والإشراف المستمر.
من الناحية التكنولوجية، سيتكثف الدفع نحو اكتشاف الشذوذ المدفوع بالذكاء الاصطناعي والاستجابة الآلية. ومع ذلك، يظل العنصر البشري في تفسير التنبيهات المعقدة واتخاذ قرارات الاحتواء الحاسمة أمرًا بالغ الأهمية. سيكون التحدي هو دمج الذكاء الاصطناعي بفعالية دون إدخال نقاط عمياء جديدة أو الاعتماد المفرط على الأتمتة التي تفتقر إلى الفهم السياقي.
أخيرًا، سيصبح تقارب عمليات الأمن والاختبار الأمني الهجومي أكثر وضوحًا. ستبحث المنظمات عن حلول لا تكتشف التهديدات فحسب، بل تتحقق أيضًا بشكل استباقي من دفاعاتها ضد التكتيكات والتقنيات والإجراءات (TTPs) المتطورة، مما يضمن أن وظيفة 'الكشف' في إطار عمل NIST فعالة حقًا وتتحسن باستمرار. سينتقل التركيز من مجرد وجود MDR إلى ضمان أن MDR يؤدي بشكل واضح تحت ضغط العالم الحقيقي.
