العدد : ١٤٤٨٦ - الاثنين ٢٠ نوفمبر ٢٠١٧ م، الموافق ٠٢ ربيع الأول ١٤٣٩هـ

العدد : ١٤٤٨٦ - الاثنين ٢٠ نوفمبر ٢٠١٧ م، الموافق ٠٢ ربيع الأول ١٤٣٩هـ

مقالات

مكافحة التهديدات السيبرانية بالاستخبارات

بقلم: الدكتور جاسم حاجي

الثلاثاء ١٢ ٢٠١٧ - 01:30

مع الهجومات المتتالية مثل WannaCry وPetya التي كانت لها أضرار وآثار مدمرة، أصبح من المهم جدا تشكيل استخبارات التهديد السيبراني. هناك أنواع مختلفة من استخبارات التهديد السيبرانية التي يمكن تطبيقها بطرق مختلفة، حيث يتم الحصول على الاستخبارات من مصادر مفتوحة تشمل وسائل الإعلام الرئيسية ومنتديات الإنترنت ووسائل الإعلام الاجتماعية وخدمات المناقشة.

يمكن أن تأتي الاستخبارات من مصادر مفتوحة في عديد من الأشكال، وتكون متاحة بلغات متعددة، وهذا يمكن أن يجعل الاستفادة منها مستهلكة للوقت وصعبة التصنيف والعمل. إن الحجم الكبير لهذه المعلومات في حد ذاته هو أكبر عائق لاستخراج الاستخبارات من مجموعة واسعة من المعلومات التي تم لصقها في المصادر المفتوحة. ولذلك فإنه من المهم استخدام التعلم الآلي ونهج علوم البيانات الضخمة لمساعدة المحللين البشريين في هذه المعالجة.

تتعلق الاستخبارات التقنية حول المؤشرات التقنية المرتبطة بنشاط التهديد السيبراني، ويشمل ذلك عادة مجموعات البيانات مثل العناوين الإلكترونية الخاصة بالنظم المرتبطة بالسلوك الضار، ونمط البرامج الضارة، والملفات المرتبطة بالمهاجمين، والأدوات التي يستخدمونها.

الاستخبارات التقنية غالبا لا تتعلق بمعلومات مثل من هو المهاجم؟ أو متى وقع الهجوم؟ وما إلى ذلك، ولكن لديها مجموعة غنية جدا من البيانات التي يمكن أن تكون قابلة للتنفيذ فورا. على سبيل المثال، يمكننا الاستفادة من مواقع الويب المرتبطة بهجمات ضارة، ومنعها باستخدام التقنيات الأمنية الموجودة مثل جدران الحماية والبروكسي. 

الاستخبارات التقنية هي الأكثر تقليدية من أنواع الاستخبارات عندما نفكر في المشاركة. وعلى مدى سنوات، شكل المدافعون على الإنترنت بشكل غير رسمي مجتمعات لتبادل هذه المعلومات عن المهاجمين الذين واجهوهم، وعينات البرمجيات الخبيثة التي جمعوها وغيرها من العناصر التقنية. 

على الرغم من ذلك، فإن آليات المشاركة تكون مخصصة ومتعددة الشكل، وغير محددة بشكل جيدا، وهذا يؤدي إلى أن تكون الاستخبارات أقل قابلية للتنفيذ.

وقد أظهرت الأبحاث الحديثة أن هناك قليلا من التداخل بين مجموعات بيانات الاستخبارات التقنية؛ وهذا يعني أن المنظمات يجب أن تتحمل عبء الاشتراك، أو أن تكون جزءا من مجتمعات المشاركة المتعددة. وعلى الرغم من أن مجتمع استخبارات التهديد يشهد الآن فترة من التوحيد، فإن الحجم لا يزال صغيرًا. وعلاوة على ذلك، يتم الحصول على إشارات المخابرات من رصد وتحليل الإشارات في شبكات الاتصالات، مثل شبكة الكمبيوتر الداخلية الخاصة بالشركة وبيئات مركز البيانات.

يمكننا أن ننظر في أنظمة الأمن والتشغيل الموجودة كمصادر بيانات، والتي يمكن استخلاص إشارات الاستخبارات منها. على سبيل المثال برامج مكافحة الفيروسات، إذ إن المعلومات حول أنواع البرامج الخبيثة التي تم اكتشافها يمكن أن تبلغنا كيف يتم نشر هذه البرمجيات الخبيثة، وقد يشير أيضا إلى الحالات التي لم تكن فيها الضوابط الأمنية الأخرى فعالة كما كان متوقعا.

وهناك أعمال المراقبة على مستوى الدولة على شبكات الاتصالات. وقد سهل تحليل البيانات الشرحية لهذه الاتصالات تحديد الجهات الفاعلة المعنية بالتهديدات الفردية وجمع المعلومات الاستخبارية على نطاق عالمي.

إشارات الاستخبارات كانت تقليدية وأقل عرضة لمشاركتها. ولذلك فإن المخاوف التنظيمية حول إعلام العملاء المحتملين والمنافسين حول أي شيء يمكن اعتباره سلبيا قد دفعت المشاركة إلى مستوى منخفض. ومع ذلك، فإن المنظمات المستنيرة تترفع عن هذا الأمر، حيث أدركوا أن خصومهم من المهاجمين يقومون بالمشاركة في كثير من الأحيان وعلى نطاق واسع.

يمكن لثغرة أمنية جديدة أن تتحول من أمر تم الكشف عنه واحتواؤه، إلى أمر تم تسليحه في غضون ساعات. وبعد بضعة أيام، تصبح تلك الهجمات المسلحة نفسها جزءا من أجنحة هجومية بأكملها. الأشرار يقومون بمشاركة المعلومات للنجاح زيادة في الضرر.

كمدافعين، يمكننا أن ندرك أن هناك قيمة كبيرة في التعلم من أقراننا. تعاوننا ومشاركة المعلومات والمخابرات التي قمنا بجمعها من بيئاتنا الخاصة يمكن أن يساعدنا على تقليل الوقت المتاح للخصوم لتنفيذ هجماتهم ضدنا.

كلمات دالة

هل ترغب بالتعليق على الموضوع؟

لا تتردد في إعطاء تعليقك ومشاركة رأيك

الاسم:
النص:
تبقى لديك (600حرف

aak_news