في الخطوط الأمامية: فك تشفير الأساليب الصينية لممثل المخاطر وتقنياتها

بسبب فيروس كورونا، شهدنا الكثير من التغيرات. بالنسبة للعملاء، تغير العالم. بين عشية وضحاها، عاد الجميع إلى منازلهم وحاولوا الاستمرار في أداء عملهم. رأينا الكثير من الشركات مضطرة إلى إعادة تشكيل شبكاتها بالكامل ورأينا الموظفين يغيرون طريقة عملهم، وبالطبع رأينا الممثلون في مجال المخاطر تستجيب لكل ذلك.

على سبيل المثال، عندما طُرحت نُهج العمل من المنزل لأول مرة، تعين على العديد من المؤسسات تمكين الوصول من العديد من المواقع المختلفة إلى بعض الأنظمة والموارد الحساسة للغاية التي لم تكن متاحة عادةً خارج مكاتب الشركة. شهدنا بعد ذلك ممثلي مخاطر يحاولون بعد ذلك الاندماج مع الضوضاء، والتظاهر بأنها عاملة عن بعد، والوصول إلى هذه الموارد.

عندما وقع فيروس كورونا لأول مرة، كان لا بد من وضع نُهج الوصول إلى بيئات المؤسسة بسرعة، وفي بعض الأحيان تم تنفيذها دون وقت للبحث ومراجعة أفضل الممارسات. نظراً لأن العديد من المؤسسات لم تعد النظر في تلك السياسات منذ الطرح الأولي، فإننا نرى اليوم ممثلين يحاولون اكتشاف التكوينات الخاطئة ونقاط الضعف واستغلالها.

لم يعد وضع البرامج الضارة على أجهزة الكمبيوتر المكتبية ذا قيمة بعد الآن. يتعلق الأمر الآن بالحصول على كلمات المرور والرموز المميزة التي تتيح الوصول إلى الأنظمة الحساسة بنفس الطريقة التي يفعلها العاملون عن بعد.

لا أعرف ما إذا كان على الممثلين في مجال المخاطر العمل من المنزل لكن لدينا بيانات توفر بعض الأفكار حول كيفية تأثير عمليات الإغلاق بسبب فيروس كورونا على نشاطهم في المدن التي يعيشون فيها. بغض النظر عن مكان أداء بعملهم، فقد تأثرت حياتهم-تماماً مثل حياة الجميع.

في بعض الأحيان يمكننا أن نرى تأثير عمليات الإغلاق على مستوى المدينة بسبب قلة النشاط على أجهزة الكمبيوتر الخاصة بهم. كان من المثير للاهتمام رؤية تأثير جميع عمليات الإغلاق المستمرة على مستوى المنطقة في بياناتنا.

لدي مثال رائع – أحد ممثلي المخاطر التي نتعقبهم، Nylon Typhoon. اتخذت Microsoft إجراءات ضد هذه المجموعة في ديسمبر 2021 وعطلت البنية التحتية المستخدمة لاستهداف أوروبا وأمريكا اللاتينية وأمريكا الوسطى.

في تقييمنا، من المحتمل أن بعض أنشطة الضحايا تضمنت عمليات جمع معلومات استخباراتية تهدف إلى تقديم نظرة ثاقبة للشركاء المشاركين في مبادرة الحزام والطريق الصينية (BRI) لمشاريع البنية التحتية التي تديرها الحكومة الصينية في جميع أنحاء العالم. نعلم أن ممثلو المخاطر الذين ترعاهم الدولة الصينية يتجسسون بالطريقة التقليدية والاقتصادية، وتقييمنا هو أن هذا النشاط من المحتمل أن يمتد إلى كلا الأمرين.

لسنا متأكدين بنسبة 100% لأنه ليس لدينا دليل دامغ. بعد 15 عاماً، أستطيع أن أخبرك أن العثور على الدليل القاطع أمر صعب حقاً. مع ذلك، ما يمكننا فعله هو تحليل المعلومات، ووضعها في سياقها، والقول: "إننا نقيم بمستوى الثقة هذا الذي نعتقد أنه محتمل لهذا السبب."

يتضمن أحد أكبر الاتجاهات تحويل التركيز من نقاط النهاية الخاصة بالمستخدم والبرامج الضارة المخصصة إلى الممثلين الذين يعيشون فعلياً متوترين- مع تركيز الموارد على استغلال الأجهزة الطرفية ومواصلة المثابرة. هذه الأجهزة مثيرة للاهتمام، لأنه إذا تمكن شخص ما من الوصول إليها، فمن الممكن أن يقيم هناك لفترة طويلة جداً.

تعمقت بعض المجموعات بطريقة مثير للإعجاب في هذه الأجهزة. يعرفون كيف تعمل البرامج الثابتة الخاصة بهم. إنهم يعرفون الثغرات الأمنية في كل جهاز، ويعلمون أن العديد من الأجهزة لا تدعم برامج مكافحة الفيروسات أو التسجيل الدقيق.

بالطبع، يعلم الممثلون أن الأجهزة مثل الشبكات الافتراضية الخاصة أصبحت الآن بمثابة مفاتيح للمملكة. مع إضافة المؤسسات طبقات من الأمان مثل الرموز المميزة والمصادقة متعددة العوامل (MFA) ونُهج الوصول، أصبح الممثلون أكثر ذكاءً فيما يتعلق بالتحايل والتسلل عبر الدفاعات.

أعتقد أن الكثير من الممثلين قد أدركوا أنهم إذا كانوا قادرين على الحفاظ على استمرارها على المدى الطويل من خلال جهاز مثل VPN، فلن يحتاجون حقاً إلى نشر البرامج الضارة في أي مكان. يمكنهم فقط منح أنفسهم حق الوصول الذي يتيح لهم تسجيل الدخول كأي مستخدم.

إنهم يمنحون أنفسهم بشكل أساسي "وضع السيادة" على الشبكة من خلال تعريض هذه الأجهزة المتطورة للخطر.

نرى أيضاً اتجاهاً حيث يستخدم الممثلون Shodan أو Fofa أو أي نوع من قواعد البيانات التي تفحص الإنترنت وتفهرس الأجهزة وتحدد مستويات التصحيح المختلفة.

نرى أيضاً ممثلين يجرون عمليات فحص خاصة بها لمساحات كبيرة من الإنترنت - أحياناً من قوائم الأهداف الموجودة مسبقاً - بحثاً عن الأشياء التي يمكن استغلالها. عندما يعثرون على شيء ما، سيجرون فحصاً آخر لاستغلال الجهاز فعلياً ثم يعودون لاحقاً للوصول إلى الشبكة.

الاثنان. يعتمد الأمر على الممثل. بعض الممثلين مسؤولون عن بلد معين. هذه هي المجموعة المستهدفة، لذا كل ما يهمهم هو الأجهزة الموجودة في ذلك البلد. لكن الممثلون الآخرون لديها مجموعات أهداف وظيفية ــ لذا فإنها ستركز على قطاعات محددة مثل التمويل، أو الطاقة، أو التصنيع. سيكونون قائمة مستهدفة على مدار عدة سنوات للشركات التي يهتمون بها، ويعرف هؤلاء الممثلون بالضبط ما هي الأجهزة والبرامج التي تعمل عليها أهدافهم. لذلك، نلاحظ أن بعض الممثلين يفحصون قائمة أهداف محددة مسبقاً لمعرفة ما إذا كانت الأهداف قد صححت ثغرة أمنية معينة.

يمكن أن يكون الممثلون مستهدفين للغاية ومنهجيين ودقيقين، لكنهم أيضًا يحالفهم الحظ في بعض الأحيان. علينا التذكر أنهم بشر. عندما يجرون عمليات المسح الخاصة بهم أو يحصلون على البيانات باستخدام منتج تجاري، في بعض الأحيان يكونون محظوظين ويحصلون على المجموعة الصحيحة من المعلومات منذ البداية، للمساعدة في بدء عملهم.

هذا بالتأكيد ما عليه الأمر. لكن الدفاع الصحيح هو أكثر من مجرد التصحيح. الحل الأكثر فعالية يبدو بسيطاً لكنه صعب للغاية في الممارسة العملية. يتعين على المنظمات فهم أجهزتها المعرضة للإنترنت وجردها. يجب عليهم أن يعرفوا كيف تبدو محيطات شبكتهم، ونعلم أنه من الصعب تنفيذ ذلك بشكل خاص في البيئات المختلطة مع كل من الأجهزة السحابية والمحلية.

إن إدارة الأجهزة ليست سهلة، ولا أريد أن أتظاهر بذلك، ولكن معرفة الأجهزة الموجودة على شبكتك - ومستويات التصحيح لكل منها - هي الخطوة الأولى التي يمكنك اتخاذها.

بمجرد أن تعرف ما لديك، يمكنك زيادة إمكانية التسجيل والقياس عن بعد من تلك الأجهزة. نسعى جاهدين للحصول على التفاصيل في السجلات. من الصعب الدفاع عن هذه الأجهزة. أفضل رهان لمدافع الشبكة للدفاع عن هذه الأجهزة هو التسجيل والبحث عن الحالات الشاذة

أتمنى لو كان لدي كرة بلورية لمعرفة ما هي خطط الحكومة الصينية. لسوء الحظ، ليس لدي. لكن ما يمكننا رؤيته ربما هو الرغبة في الوصول إلى المعلومات.

لكل أمة غايتها.

نحب معلوماتنا كذلك. نحب بياناتنا.

جودي هي خبيرة مبادرة الحزام والطريق (BRI) والخبيرة الجغرافية السياسية. نعتمد على نتائج تحليلات عندما ننظر إلى الاتجاهات، وخاصة في الاستهداف. في بعض الأحيان سنرى هدفاً جديداً يظهر، وهذا ليس له أي معنى حقاً. إنه لا يتناسب مع ما فعلوه سابقاً، ولذا سننقل الحديث إلى جودي، التي ستخبرنا، "أوه، هناك اجتماع اقتصادي مهم يعقد في هذا البلد، أو هناك مفاوضات حول بناء مصنع جديد في هذا الموقع."

تقدم لنا جودي سياقاً قيماً – سياقاً أساسياً – حول سبب فعل ممثلي المخاطر ذلك. نعلم جميعاً كيفية استخدام Bing Translate، ونعرف كيفية البحث عن القصص الإخبارية، ولكن عندما لا يكون هناك معنى لشيء ما، يمكن لجودي أن تخبرنا، "حسناً، هذه الترجمة تعني هذا بالفعل،" ويمكن أن يكون هذا هو كل ما في الاختلاف.

يتطلب تتبع ممثلي المخاطر الصينيين معرفة ثقافية حول كيفية هيكلة حكومتهم وكيفية عمل شركاتهم ومؤسساتهم. يساعد عمل جودي في فك تشابك هيكل هذه المنظمات ويتيح لنا معرفة كيفية عملها، وكيف تجني المال وتتفاعل مع الحكومة الصينية.

كما قالت سارة، إنه الاتصال. نحن دائماً متاحون على دردشة Teams. نشارك دائماً الأفكار التي ربما رأيناها من القياس عن بعد والتي ساعدتنا في العمل على التوصل إلى نتيجة محتملة.

ما حيلتي؟ قضاء الكثير من الوقت على الإنترنت والقراءة. على محمل الجد، أعتقد أن أحد الأشياء الأكثر قيمة هو ببساطة معرفة كيفية استخدام محركات البحث المختلفة.

أنا مرتاحة في استخدام Bing، ولكن أيضاً في استخدام Baidu وYandex.

وذلك لأن محركات البحث المختلفة تقدم نتائج متنوعة. لا أؤدي أي شيء خاص لكن أعلم أنني أبحث عن نتائج مختلفة من مصادر مختلفة حتى أتمكن من تحليل البيانات من هناك.

الجميع في الفريق على دراية كبيرة. كل شخص لديه قوى خارقة، كل ما في الأمر هو معرفة من يجب أن يسأل. ومن الرائع أن نعمل ضمن فريق حيث يشعر الجميع بالراحة في طرح الأسئلة على بعضهم بعضاً، أليس كذلك؟ نقول دائماً أنه لا توجد أسئلة سخيفة.

يعتمد هذا المكان على الأسئلة السخيفة.

الآن هو الوقت المثالي للدخول في مجال أمان تكنولوجيا المعلومات. عندما بدأت لأول مرة، لم يكن هناك الكثير من الفصول أو الموارد أو طرق الاستكشاف. الآن هناك برامج البكالوريوس والماجستير! الآن هناك طرق عديدة للانضمام إلى هذه المهنة. نعم، هناك مسارات يمكن أن تكلف الكثير من المال لكن هناك مسارات أقل تكلفة ومجانية أيضاً.

طُورت أحد موارد التدريب الأمني ​​المجانية بواسطة Simeon Kakpovi وGreg Schloemer، زملائنا في التحليل الذكي للمخاطر من Microsoft. هذه الأداة، التي تسمى KC7، تجعل الدخول في مجال أمن تكنولوجيا المعلومات، وفهم الشبكة والأحداث المضيفة، والبحث عن الممثلين في متناول أي شخص.

أصبح من الممكن الآن التعرف على جميع أنواع المواضيع المختلفة أيضاً. عندما بدأت لأول مرة، كنت بحاجة إلى العمل في شركة تبلغ ميزانيتها عدة ملايين من الدولارات لشراء هذه الأدوات. بالنسبة للكثيرين، كان ذلك عائقاً أمام الدخول. ولكن الآن، يمكن لأي شخص تحليل عينات البرامج الضارة. كان من الصعب العثور على عينات البرامج الضارة والتقاط الحزم. لكن تلك الحواجز تنخفض باستمرار. يوجد اليوم العديد من الأدوات والموارد المجانية والمتاحة عبر الإنترنت حيث يمكنك التعلم بنفسك وبالسرعة التي تناسبك.

نصيحتي هي اكتشاف المجال الذي يثير اهتمامك. ما أهمية البحث العلمي للبرامج الضارة؟ التحليلات الرقمية؟ التحليل الذكي للمخاطر؟ ركز على موضوعاتك المفضلة واستفد من الموارد المتاحة للعامة وتعلم قدر المستطاع باستخدامها.

الشيء الأكثر أهمية هو أن تتمتع بالفضول، أليس كذلك؟ جنباً إلى جنب مع الفضول، عليك أن تعمل بشكل جيد مع الآخرين. عليك أن تتذكر أن هذه رياضة جماعية، ولا يستطيع أحد ضمان الأمان عبر الإنترنت بمفرده.

من المهم التمكن من العمل في فريق. من المهم التمتع بالفضول وحب التعلم. يجب أن تكون مرتاحاً لطرح الأسئلة وإيجاد طرق للعمل مع زملائك في الفريق.

ذلك بالتأكيد بالتأكيد صحيح. أود التأكيد على أن التحليل الذكي للمخاطر من Microsoft يعمل مع الكثير من الفرق الشريكة في Microsoft. نعتمد بشكل كبير على خبرة زملائنا لمساعدتنا في فهم ما يفعله الممثلون ولماذا يفعلون ذلك. لم نتمكن من أداء عملنا بدونهم.