إجراءات تتيح للمؤسسات التصدّي للهجمات الالكترونية التي تستغلّ فيروس كورونا المستجدّ
رصد فريق البحث في وحدة مكافحة التهديدات الإلكترونية لدى شركة “سيكيوروركس” عدّة حملات من محاولات الاختراق التي تحاول استغلال انشغال المستخدمين بجائحة وباء فيروس كورونا المستجدّ، وذلك من خلال تتبع بعض التقارير الصادرة عن أطراف مستقلة أو متابعة معلومات العملاء عن بعد.
ووجدت سيكيوروركس أدلة واضحة على محاولة اختراق تقف خلفها جهات متخصصة في الاختراق وجرائم المعلومات أو حتى جهات حكومية في بعض الأحيان، بهدف استغلال انشغال الرأي العام بمتابعة مستجدات فيروس “كوفيد-19” وإغراء ضحاياها بزيارة روابط مشبوهة أو تشغيل ملفات برمجيات خبيثة.
وقد لاحظ فريق الباحثين لدى سيكيوروركس أن محاولات التسلل التي ترعاها بعض الجهات الحكومية تستخدم مستندات “أوفيس” تبدو مرتبطة بفيروس كورونا، كما أن الخبراء في الجرائم الإلكترونية الأكثر تطورا يستهدفون المؤسسات والبنى التحتية الحيوية في المناطق التي تضررت بشدة من جراء جائحة الوباء الصحي هذه.
ولا تتغير أساسيات أسلوب العمل والسعي لجني مكاسب من محاولات الاختراق التي تُقدم عليها مجموعات الجريمة الإلكترونية بسبب هذه الجائحة العالمية. غير أن الخوف من المجهول، وعدم اليقين مما يحمله قادم الأيام، والتعطّش للبحث عن المعلومة يزيد من أعداد الضحايا المحتملين وبالتالي زيادة فرص نجاح هجمات الاختراق في بلوغ مبتغاها.
وينصح فريق الباحثين لدى سيكيوروركس باتباع المؤسسات عدد من الإجراءات التي من شأنها المساعدة في الحد من مخاطر هذه الهجمات التي تستغل ظروف الانشغال بمتابعة فيروس كورونا المستجدّ، وهي:
تدريب الموظفين على كيفية التعرف على محاولات الاختيال والتصيّد الإلكتروني وآليات الإبلاغ عنها. فهذه المحاولات قد تلقى رواجا عبر البريد الإلكتروني، أو الهواتف، أو منصات التواصل الاجتماعي، أو الرسائل النصية القصيرة، أو غيرها من تطبيقات التراسل
إجراء عمليات فحص منتظمة لأية نقاط ضعف محتملة، لا سيما البنى التحتية المتصلة بشبكة الإنترنت. والتأكد من أن سيطرتهم على إدارة الأجهزة والتطبيقات، وتثبيتها عبر وسائط معروفة وموثوقة، والتحقق من إجراء عمليات الترقية والتحديث دوريا
استخدام آليات التحقق من هوية المستخدم متعددة العوامل حيثما أمكن. فطلب عناصر إضافية للتحقق من الهوية يصعّب المهمة على من يقف خلف محاولات الاختراق باستخدام معلومات مسروقة من المستخدمين
تطبيق ضوابط رصد للأنشطة المشبوهة عبر الشبكة وعلى النقاط الطرفية، والتركيز على رصد والتحقق من أي نشاط غير معتاد للملفات المستخدمة في محاولات الاختراق باستخدام أدوات مثل PowerShell، أو WMI، أو WScript، أو أي اتصال غير معتاد عبر الشبكة
إلزام المستخدمين بالاتصال عبر موارد الشركة مثل الشبكات الافتراضية الخاصة وأنظمة خادم النطاق (DNS) عند الحاجة للاتصال بشبكة الإنترنت. فهذه المنهجية توفّر فرص مراقبة إضافية في حال نجاح محاولات اختراق نقطة اتصال المستخدم
التركيز على متطلبات الأمان للمؤسسة عند تحديد أداة عقد المؤتمرات عن بعد والشركات التي تقدمها، وذلك للتأكد من أن الأداة تسمح بالحفاظ على مستوى الحماية اللازم للمحادثات والبيانات
تقديم الإرشادات للموظفين حول طرق الاستخدام السليم لخدمات المؤتمرات عن بعد، واستخدام مزايا التحقق من هوية المستخدم مثل كلمات المرور وغيرها من المزايا المتاحة، وتجنّب الإفصاح عن مضمون الاجتماعات للعلن.
مراجعة خطط الاستجابة لحوادث الاختراق والتأكد من أنها لا تزال مناسبة لبيئة العمل بعد هذه التغييرات، إذ يجب التفكير في كيفية اختبار هذه الخطط دون أن يتسبب ذلك في مزيد من الضغوط غير الضرورية على المؤسسة
اختيار مزوّد خدمة يقدّم قائمة متكاملة من خيارات تتبع التهديدات، أو يتيح خيارات مكمّلة لها، وقادر على توفير الدعم اللازم لنموذج التعامل مع التهديدات لدى المؤسسة، وهو ما يساعد في الحد من احتمال أن يضيع فريق الأمن الداخلي ساعات من الوقت في تتبع خيوط معلومات غير دقيقة
