قامت أحدى الشركات الرائدة في مكافحة الهجمات الالكترونية عن إصدار تقرير مانديانت إم-تريندس 2016 لمنطقة آسيا والمحيط الهادي. والذي يقدمه كبار الاستشاريين لدى مانديانت معلومات قيمة ولمحة عن التحديات الخاصة بكل منطقة بحيث تتمكن المؤسسات من تحسين وضعها الأمني والدفاع بطريقة أفضل عن الشبكات ضد المهاجمين المتطورين والممولين تمويلا جيدا.
حيث يتبع تقرير آسيا والمحيط الهادي تقرير مانديانت إم-تريندس لسنة 2016 لمنطقة أوروبا والشرق الأوسط وأفريقيا الذي صدر في بداية هذا العام ويتعمق في الإحصاءات التي تم تجميعها خلال التحقيقات التي تم إجراؤها في أوروبا والشرق الأوسط وأفريقيا.
استنادا إلى الملاحظات المعينة في التقريرين، تصدر فاير آي الآن تحليلاً مقارنا للمنطقتين من حيث التهديد ومدى الجاهزية له.
المقارنة بين منطقة آسيا والمحيط الهادي ومنطقة أوروبا والشرق الأوسط وأفريقيا:
- كشف التهديد: متوسط الوقت المستغرق في منطقة آسيا والمحيط الهادي في الكشف عن التهديد كان 520 يوما – ما يزيد بـ51 يوما عن متوسط الوقت في منطقة أوروبا والشرق الأوسط وأفريقيا والذي بلغ 469 يوماً.
- المعلومات المسروقة: استهدفت معظم الهجمات في منطقة آسيا والمحيط الهادي والتي لاحظها استشاريو مانديانت، البريد الإلكتروني (40%) ومستندات حساسة (20%) ومستندات بنية تحتية (205) ومعلومات شخصية (20%)، بينما كانت الهجمات في منطقة أوروبا والشرق الأوسط وأفريقيا تتركز بشكل كبير على الاستحواذ على محتويات قاعدة البيانات (19%) يليها مستندات بنية تحتية (18%) ومن ثم الملكية الفكرية (18%)
- فقدان البيانات: أظهرت كل حادثة تم التحقق منها بواسطة مانديانت في المتوسط، أن كل منظمة في منطقة آسيا والمحيط الهادي فقدت بيانات حجمها 3.7 غيغابايت بسبب الهجمات الإلكترونية؛ بينما مقارنة مع منطقة أوروبا والشرق الأوسط وأفريقيا بلغت البيانات المفقودة في المتوسط 2.6 غيغابايت عن كل منظمة
- الكشف الداخلي مقابل الخارجي: أظهرت التحقيقات التي أجرتها مانديانت في منطقة آسيا والمحيط الهادي بأن المنطقة مقسمة بالتساوي تقريباً فيما يتعلق بكشف التهديدات الداخلية والخارجية، حيث تم اكتشاف 45% من الحالات داخليا و55% منها بإخطار من مصادر خارجية. تعتمد المؤسسات في منطقة أوروبا والشرق الأوسط وأفريقيا في الغالب على مقدرات الكشف الداخلي عن التهديدات (88%) ونادراً ما تتلقى إخطارات انتهاك من الغير (12%).
- القدرة على الكشف عن التهديدات: أظهر التقرير الخاص بمنطقة آسيا والمحيط الهادي بأن القليل من المؤسسات في تلك المنطقة لديها المزيج الصحيح من القدرات الاستخباراتية والتكنولوجيا والخبرة الصحيحة لإنشاء والمحافظة على أنظمة كشف قوية. وفي المقابل أظهر التقرير الخاص بمنطقة أوروبا والشرق الأوسط وأفريقيا بأن القليل من المنظمات لديها قدرات استخباراتية للكشف عن التهديد، ولهذا فهي تعتمد على التكنولوجيا في الكشف.
- آليات الاستمرارية: كشف محققو مانديانت أن هنالك مجموعة من الآليات يستخدمها المهاجمون للمحافظة على وصول طويل الأجل للبيئات التي تمت مهاجمتها في المؤسسات في منطقة آسيا والمحيط الهادي ومنطقة أوروبا والشرق الأوسط وأفريقيا. وتعد واحدة من أكثر الآليات شيوعا هي الأبواب الخلفية الخبيثة والقذائف على شبكة الانترنت ووصول الشبكات الخاصة الافتراضية
قال ستيوارت ديفيز، مدير خدمات مانديانت لدى فاير آي “يثبت تقرير مانديانت – إم اتجاهات التطور المطرد والتقدم الذي حققه المهاجمون. الفروق الصارخة بين الملاحظات التي أعلن عنها في مناطق آسيا والمحيط الهادي وأوروبا والشرق الأوسط، تكشف لنا كيف أن المهاجمين يستخدمون مناهج مدروسة ومتنوعة تهدف إلى الاستفادة من الحالات المتنوعة وفهم أمن الانترنت في أجزاء مختلفة من العالم”، ثم أردف قائلا “يجب على المؤسسات أن تفهم بأن الجهات التي تقوم بالتهديدات الإلكترونية هي مشكلة عالمية بشكل متزايد مع الإفلات من العقاب غير مبالين بالقيود واللوائح. يجب أيضا على الشركات الحديثة ملاحظة تنامي ظاهرة الهجمات المتقدمة المستمرة APTs مع التوسع في أنشطتها، والتعامل معها على هذا الأساس. من المهم اعتماد نهج التحليل السلوكي للكشف عن التهديدات الأمنية ذات المخاطر العالية، مثل APTs حيث أن الكشف القياسي سوف يكشف فقط التهديدات المعروفة، وسواء كان في منطقة أوروبا والشرق الأوسط وأفريقيا أو منطقة آسيا والمحيط الهادي، يجب على المؤسسات الاستثمار في تعزيز موقفها الأمني العام – الاستثمار في الأشخاص والمعالجات والتكنولوجيا المناسبة لتحسين المقدرات الخاصة بالكشف عن الحوادث والاستجابة”
ملامح إضافية:
تم استخدام بعض أدوات المهاجمين لكي تستهدف على وجه الحصر تقريبا المؤسسات في منطقة آسيا والمحيط الهادي.
مثال على ذلك APT30. في شهر إبريل 2015 تم اكتشاف APT30، تهديد يشتبه في أنها مجموعة تهديد في الصين قامت باستغلال شبكات الحكومات والمنظمات في منطقة آسيا والمحيط الهادي، وقد كانت تستهدف معلومات سياسية واقتصادية وعسكرية في غاية الحساسية. وقد ظهر أن المجموعة كانت تعمل دون توقف لمدة لا تقل عن عشر سنوات وعلى الأرجح لم يكن لديها سبب وجيه لتغيير طرق عملها لأنه لم يتم اكتشافها.
تم في المتوسط اختراق 10 حسابات مستخدمين وثلاثة حسابات في مستوى إداريين في منطقة آسيا والمحيط الهادي خلال كل عملية اختراق أمني.
استخدم المهاجمون في منطقة آسيا والمحيط الهادي حسابات شرعية للانسجام في البيئة دون أن يتم اكتشافهم بينما يحاولون القيام بمهامهم غير الشرعية. لاحظ مستشارو مانديانت في منطقة أوروبا والشرق الأوسط وأفريقيا أن المهاجمين استخدموا في المتوسط 37 من حسابات المستخدمين وسبعة حسابات في مستوى الإدارة أثناء الاختراق.