ما هي الحركة الجانبية وكيفية اكتشافها ومنعها

تشير الحركة الجانبية إلى التقنيات التي يستخدمها المهاجمون السيبرانيون للتحرك تدريجيًا عبر الشبكة، بحثًا عن بيانات وأصول رئيسية مستهدفة. تحدث الحركة الجانبية بعد الاختراق الأولي لنقطة نهاية. تتطلب هذه المنهجية الهجومية اختراقًا إضافيًا لبيانات اعتماد حسابات المستخدمين. باستخدام هذه البيانات، يحاول المهاجم الوصول إلى عقد أخرى من خلال التحرك جانبيًا عبر الشبكة.

تقنيات الحركة الجانبية تُستخدم على نطاق واسع في الهجمات الإلكترونية المتطورة مثل التهديدات المستمرة المتقدمة (APTs). يستخدم الخصم هذه التقنيات للوصول إلى مضيفين آخرين من نظام مخترق والحصول على الوصول إلى موارد حساسة، مثل صناديق البريد، والمجلدات المشتركة، أو بيانات الاعتماد. يمكن استخدام هذه بدورها لاختراق أنظمة إضافية، أو لتصعيد الامتيازات، أو لسرقة بيانات اعتماد أكثر قيمة. قد يمنح هذا النوع من الهجوم في النهاية الوصول إلى وحدة التحكم في المجال ويوفر السيطرة الكاملة على بنية تحتية قائمة على ويندوز أو حسابات مشغل ذات صلة بالأعمال.

كيف تعمل الحركة الجانبية؟

بينما يجمع المهاجمون المعلومات حول البيئة، يقومون بمحاولات متوازية لسرقة بيانات اعتماد إضافية، واستغلال الأخطاء في التكوينات، أو عزل الثغرات البرمجية حتى يتمكنوا من التعمق أكثر في الشبكة.

ثم يستخدم المهاجم الحركة الجانبية للسيطرة على نقاط رئيسية في الشبكة المصابة. تساعد هذه المواقع الإضافية المهاجم في الحفاظ على استمراريته حتى لو اكتشفتهم فرق الأمان على جهاز مخترق.

يمكن تقسيم الحركة الجانبية إلى هذه الخطوات الخمس:

1. الاستطلاع الخارجي— الخطوة الأولى للمهاجم هي إجراء استطلاع على المنظمة المستهدفة. تشمل أنشطة الاستطلاع مسح الشبكة الخارجية، ووسائل التواصل الاجتماعي، وبيانات كلمات المرور. الهدف هو فهم شبكة الهدف وأفضل طرق الهجوم المحتملة. على سبيل المثال، إذا كانت بيانات الاعتماد متاحة لموظفي المنظمة المستهدفة، فقد يحاول المهاجم المصادقة للوصول إلى شبكة VPN الخاصة بالمنظمة أو البريد الإلكتروني الخارجي. طريقة أخرى هي استخدام أدوات مفتوحة المصدر مثل شودان لتحديد المنافذ المفتوحة والثغرات في الهدف دون إجراء مسح.

2. التسلل الأولي— بمجرد أن يحدد المهاجم طريقة الهجوم، يستغل الثغرة للوصول إلى شبكة الهدف. يمكن أن تتراوح طرق المهاجمين من جهاز أو تطبيق ضعيف يمكن الوصول إليه عبر الإنترنت العام. هذا هو تحرك عمودي، من الخارج إلى الداخل. بمجرد الانتهاء من ذلك، يمكنهم بعد ذلك التحرك أفقيًا داخل الشبكة للوصول إلى هدفهم.

3. الاستطلاع الداخلي— يقوم المهاجمون بجمع المعلومات، مثل أنظمة التشغيل، وهيكل الشبكة، والموارد المستخدمة في الخوادم لرسم خريطة للبيئة وفهم أماكن وجود الثغرات. تشمل أدوات نظام التشغيل التي يمكن أن يستخدمها المهاجمون لتنفيذ الاستطلاع الداخلي Netstat، IPConfig/IFConfig، ARP cache، جدول التوجيه المحلي، وPowerShell. بالإضافة إلى ذلك، يمكن أن توفر صفحات الإنترانت غير المؤمنة للمهاجمين وثائق داخلية حول البنية التحتية وموقع البيانات المستهدفة.

4. سرقة بيانات الاعتماد— بمجرد دخولهم إلى الشبكة، يبحث المهاجمون عن أجهزة جديدة لتوسيع سيطرتهم. للانتقال من نظام إلى آخر، قد يحاولون جمع بيانات اعتماد المستخدمين الصالحة باستخدام مسجلات المفاتيح، أو أدوات تحليل الشبكة، أو كسر كلمات المرور، أو التصيد لخداع المستخدمين لتقديم بيانات الاعتماد. ومع ذلك، ليس من غير المألوف أن يجد المهاجمون بيانات الاعتماد على صفحات الإنترانت، أو السكربتات، أو ملفات/أنظمة أخرى يسهل الوصول إليها. يمكن للمهاجم استخدام هذه البيانات لتصعيد صلاحياته وتوسيع وصوله. الهدف النهائي للمهاجم هو تصعيد صلاحياته إلى مديري النطاق للحصول على وصول كامل وتحكم في النطاق. مع صلاحيات مدير النطاق، يمكن للمهاجمين استهداف وحدة تحكم النطاق وتفريغ NTDS.dit من نسخة الظل لحجم النظام. هذا يمنح المهاجم وصولاً إلى تجزئة كلمة المرور لجميع مستخدمي النطاق، بما في ذلك حسابات الخدمة. الحصول على تجزئة كلمة المرور لـ KRBTGT يمكن أن يسمح للمهاجمين بإنشاء تذكرة ذهبية مع وصول غير مقيد.

5. اختراق المزيد من الأنظمة— الآن بعد أن حصل المهاجمون على بيانات الاعتماد للوصول إلى أنظمتهم المستهدفة، سيستخدمون أدوات التحكم عن بعد مثل psexec و PowerShell وبروتوكول سطح المكتب البعيد أو برامج الوصول عن بعد للوصول إلى تلك الأنظمة. غالبًا ما يصل موظفو تكنولوجيا المعلومات إلى أجهزة الكمبيوتر بهذه الطريقة، لذا فإن الوصول عن بعد لا يرتبط عمومًا بهجوم مستمر. ومع ذلك، سيقوم المهاجمون بإنشاء اتصال دائم بالشبكة للحفاظ على عدة طرق للوصول مفتوحة. أخيرًا، سيقوم المهاجم بتهريب البيانات إلى خادم القيادة والتحكم باستخدام تقنيات مثل ضغط البيانات و تشفير البيانات و التحويلات المجدولة للبقاء غير مكتشف.

كيفية اكتشاف الحركة الجانبية

يمكن أن يكون اكتشاف الحركة الجانبية في الشبكة تحديًا، حيث يستخدم المهاجمون غالبًا أدوات شرعية، وبيانات اعتماد موثوقة، ويستغلون العمليات العادية للاندماج مع حركة المرور العادية. ومع ذلك، هناك استراتيجيات وأدوات متنوعة يمكن استخدامها لتحديد الأنشطة المشبوهة التي تشير إلى الحركة الجانبية. إليك بعض الأساليب:

• مراقبة سلوك المستخدم: تحليل سلوك المستخدم للكشف عن الشذوذ، مثل أوقات تسجيل الدخول غير المعتادة، المواقع، أو أنماط الوصول. يمكن أن تساعد أدوات مثل تحليل سلوك المستخدم والكيان (UEBA) في اكتشاف الانحرافات عن السلوك الطبيعي.
• تقسيم الشبكة: قم بتقسيم الشبكة إلى أجزاء أصغر مع وصول محدود بينها. هذا لا يقتصر فقط على تقييد حركة المهاجم داخل الشبكة ولكن أيضًا يسهل اكتشاف أنماط حركة المرور غير العادية.
• مراجعة الحسابات المميزة بانتظام: راقب الحسابات ذات الامتيازات العالية وتأكد من أن الوصول مقصور على أولئك الذين يحتاجون إليه حقًا. راجع هذه الحسابات بانتظام للأنشطة غير العادية.
• مراجعة نشاط حسابات الخدمة بانتظام: راقب حسابات الخدمة. يجب أن تؤدي أي انحرافات في الوصول إلى أنظمة جديدة أو محاولات لتبديل تسجيلات الدخول إلى مراجعة فورية وإجراء.
• نشر أنظمة كشف التسلل (IDS) وأنظمة منع التسلل (IPS): يمكن أن تساعد هذه التقنيات في تحديد ووقف الأنشطة المشبوهة داخل الشبكة من خلال مراقبة حركة المرور والبحث عن أنماط الهجوم المعروفة.
• مراقبة حركة مرور الشبكة: تحليل حركة مرور الشبكة بحثًا عن أنماط غير عادية، مثل الزيادات في نقل البيانات، والاتصالات بمنافذ غير عادية، أو الاتصالات بعناوين IP معروفة بأنها خبيثة.
• مراقبة أنشطة النقاط النهائية: تنفيذ أدوات الكشف والاستجابة للنقاط النهائية (EDR) لتتبع الأنشطة على النقاط النهائية (مثل الخوادم ومحطات العمل والأجهزة المحمولة) واكتشاف تنفيذ العمليات غير العادية أو تعديلات الملفات.
• تفقد سجلات الملفات: قم بمراجعة سجلات الملفات بانتظام من مصادر مختلفة، مثل الجدران النارية والخوادم والتطبيقات، لتحديد الأنشطة المشبوهة. يجب أن تُعتبر حركة الملفات الكبيرة من مصادر غير متوقعة أو إلى وجهات غير معروفة دائمًا حدثًا.
• تنفيذ مصادقة قوية: استخدم المصادقة متعددة العوامل (MFA) لتقليل احتمالية استخدام بيانات اعتماد مخترقة في الحركة الجانبية.
• تحديثات وصيانة منتظمة: حافظ على تحديث البرمجيات وأنظمة التشغيل والبرامج الثابتة بأحدث تصحيحات الأمان لتقليل الثغرات التي يمكن استغلالها للحركة الجانبية.
• تدريب الأمن والوعي: تعليم الموظفين حول أفضل الممارسات الأمنية وكيفية اكتشاف التهديدات المحتملة، مثل رسائل البريد الإلكتروني الاحتيالية، التي يمكن أن تؤدي إلى حصول المهاجم على الوصول الأولي إلى الشبكة.

تذكر أن لا توجد طريقة واحدة مضمونة. من الضروري اعتماد استراتيجية أمان متعددة الطبقات تجمع بين تقنيات متنوعة للكشف عن الحركة الجانبية ومنعها بشكل فعال.

أفضل الممارسات لمنع الحركة الجانبية

هناك عدة ممارسات يمكنك استخدامها لمنع وحماية الحركة الجانبية داخل شبكتك:

1. أقل امتياز— يجب تصنيف كل مستخدم بشكل صحيح ومنحهم الوصول فقط إلى الأنظمة أو التطبيقات أو تقسيمات الشبكة التي تتطلبها وظائفهم. على سبيل المثال، في شبكة مؤسسية، يجب على موظفي تكنولوجيا المعلومات فقط إدارة الأجهزة مثل أجهزة الكمبيوتر المكتبية والمحمولة. يجب ألا يمنح موظفو تكنولوجيا المعلومات المستخدمين امتيازات المسؤول.

2. السماح بالقائمة البيضاء— يجب تقييم أي تطبيق يطلبه المستخدم بعناية. من المفيد اتباع قائمة بالتطبيقات الموثوقة وتقييد تلك التي تحتوي على ثغرات معروفة. إذا كانت هناك طلبات لتطبيق وظائفه مُلبيّة بالفعل من قبل تطبيق آخر، فقد لا يكون هناك حاجة لتمكين الخدمة. على سبيل المثال، أصاب NotPetya شركة شحن كبيرة عبر تحديث تطبيق تابع لجهة خارجية.

3.أمان EDR— حلول الكشف والاستجابة على مستوى النقاط النهائية (EDR) تراقب النقاط النهائية على الإنترنت وخارجها، تجمع وتخزن البيانات حول الأحداث التاريخية للنقاط النهائية وتقوم بربط تلك البيانات مع تغذيات معلومات الأمان القابلة للتنفيذ والتكتيكات والتقنيات والإجراءات المعروفة (TTPs). البيانات التي تجمعها حلول EDR توفر رؤية تساعد في تحديد الأنماط والسلوكيات التي يتركها المهاجمون أثناء محاولتهم السيطرة على بيئة معينة. يمكن لموظفي تكنولوجيا المعلومات إيقاف الهجمات النشطة أثناء إصلاح الأضرار بسرعة، وعزل الأنظمة المصابة لمنع الحركة الجانبية، وإزالة الملفات الضارة التي تركها المهاجمون.

4. إدارة كلمات المرور— إن فرض إدارة كلمات المرور هو ممارسة مهمة لحماية حسابات المستخدمين الخاصة بك ويساعدك أيضًا على التعامل مع محاولات الحركة الجانبية المحتملة. يجب على المنظمات فرض سياسة كلمات مرور قوية وفريدة عبر جميع الأنظمة والحسابات المميزة. والأهم من ذلك، يحتاج المسؤولون إلى ممارسة نظافة جيدة في إدارة الحسابات. على سبيل المثال، توصي مايكروسوفت، "تأكد من أنك تغير كلمة المرور [KRBTGT] وفق جدول زمني منتظم." يُوصى بذلك على الأقل كل ثلاثة أشهر، بما في ذلك للحسابات الإدارية أو حسابات الخدمة.

5. المصادقة متعددة العوامل— تضيف المصادقة متعددة العوامل طبقة أمان إضافية إلى المصادقة القياسية باستخدام اسم المستخدم وكلمة المرور. يتم ذلك من خلال تنفيذ المصادقة متعددة العوامل للوصول إلى الأنظمة الداخلية والتطبيقات والبيانات. هذا يزيد من مستوى الجهد الذي يحتاجه المهاجمون لاختراق حساب محمي بواسطة المصادقة متعددة العوامل.

اختتام

تلعب الحركة الجانبية دورًا كبيرًا في الهجمات السيبرانية وتستخدمها مجموعات التهديد المتقدمة. هذه هي المرحلة التي يستكشف فيها المهاجمون بنشاط شبكة المنظمة للعثور على عناصرها الضعيفة. ستجعل اتباع ممارسات مثل تطبيق مبدأ أقل الامتيازات، والقوائم البيضاء، وتنفيذ حل EDR، ومتطلبات المصادقة متعددة العوامل وكلمات المرور القوية، من الصعب على المتسللين التنقل، حتى عندما يكونون داخل الشبكة بالفعل.

الحركة الجانبية هي أيضًا المرحلة التي تكون فيها أنشطة المهاجم أكثر انكشافًا. من الممكن الاستفادة من هذا الانكشاف للكشف عن الحركة الجانبية باستخدام حلول EDR التي تقدم رؤية على شبكة المؤسسة. سيتمكن فريق عمليات الأمان من التعرف على أي سلوك غير طبيعي واكتشاف الحركة الجانبية قبل تحقيق هدفهم، وهو تسريب البيانات. لمعرفة المزيد حول كيفية مساعدة Exabeam في الكشف عن الحركة الجانبية داخل مؤسستك، يمكنك معرفة المزيد هنا.