ما المقصود بالتنقّل الجانبي داخل الشبكة؟
- مصطلحات إدارة الهوية والوصول
- ما المقصود بالتنقّل الجانبي داخل الشبكة؟
التنقّل الجانبي داخل الشبكة هو أسلوب يستخدمه المخترقون للتنقل عبر الشبكة بعد حصولهم على وصول أولي إلى أحد الأنظمة. فبدلًا من البقاء داخل جهاز واحد تم اختراقه، ينتقل المخترقون إلى أجهزة كمبيوتر أو خوادم أو موارد سحابية أخرى لتوسيع نطاق وصولهم، وتصعيد امتيازاتهم، والوصول إلى البيانات الحساسة أو البنية التحتية الحيوية. ويشيع رصد هذا الأسلوب في الهجمات الإلكترونية المتقدمة، بما في ذلك حوادث برامج الفدية واختراق أمن البيانات، لأنه يمكّن المخترقين من توسيع نطاق التسلل وزيادة تأثيره.
لماذا يتنقّل المجرمون الإلكترونيون جانبيًا داخل الشبكة؟
نادرًا ما يتوقف المجرمون الإلكترونيون عند أول نظام يتمكنون من اختراقه. بل يستخدمون موطئ القدم الأولي هذا لاستكشاف البيئة الأوسع وتحديد الأهداف الأعلى قيمة داخل الشبكة. ومن خلال هذا الاستكشاف، يستطيع المخترقون فهم طريقة ترابط الأنظمة على نحو أفضل، ومعرفة أماكن تخزين البيانات الحساسة.
الوصول إلى أنظمة ذات قيمة أعلى
غالبًا ما يتحقق الوصول الأولي عبر نقاط نهاية أقل قيمة، مثل محطات عمل الموظفين. ومن هناك، يتنقّل المخترقون جانبيًا داخل الشبكة للوصول إلى الأنظمة التي تخزّن بيانات حساسة، مثل قواعد البيانات أو خوادم الملفات أو الأنظمة المالية. وغالبًا ما تحتوي هذه الأنظمة على معلومات يمكن سرقتها أو تعديلها أو استخدامها لتعطيل عمليات الأعمال. ومن خلال تجاوز نقطة الدخول الأصلية، يزيد المخترقون التأثير المحتمل للاختراق، ويحصلون على وصول إلى موارد أكثر أهمية. كما يتيح الوصول إلى أنظمة ذات قيمة أعلى للمخترقين ترسيخ وجودهم داخل الشبكة وتنفيذ إجراءات ضارّة من دون اكتشافهم على الفور.
تصعيد الامتيازات
تفرض العديد من الأنظمة قيودًا على ما يمكن لحساب المستخدم القياسي الوصول إليه. ولتجاوز هذه القيود، يحاول المخترقون الحصول على مستويات أعلى من الصلاحيات أثناء تنقّلهم عبر الشبكة. وقد تتضمن هذه العملية أساليب مثل استغلال الثغرات الأمنية في البرامج أو سرقة بيانات الاعتماد. ويتيح تصعيد الامتيازات للمخترقين السيطرة على أنظمة إضافية، والوصول إلى بيانات مقيّدة، والعمل بقيود أقل. ومع الامتيازات المرتفعة، يستطيع المخترقون تجاوز التدابير الأمنية، أو إنشاء حسابات جديدة، أو تعديل الأنظمة لتعزيز موضعهم داخل البيئة.
الوصول إلى وحدات التحكم بالمجال أو البنية التحتية الحيوية
في بيئات المؤسسات، تؤدي وحدات التحكم بالمجال والأنظمة الإدارية دورًا محوريًا في إدارة الوصول والمصادقة. وغالبًا ما يستهدف المخترقون هذه الأنظمة للحصول على سيطرة واسعة النطاق على الشبكة. ونظرًا إلى أن هذه الأنظمة تدير هويات المستخدمين وصلاحياتهم، فإن اختراقها قد يتيح للمخترقين انتحال صفة مستخدمين شرعيين والتنقّل بحرية أكبر عبر البيئة. وعند هذا المستوى من الوصول، قد يتمكن المخترقون من تعطيل الخدمات أو الاحتفاظ بسيطرة طويلة الأمد على الأنظمة.
نشر برامج الفدية أو نقل البيانات بشكل غير مصرّح به
عندما يتمكن المخترقون من التنقّل جانبيًا داخل الشبكة، يكونون غالبًا قد اقتربوا من المرحلة النهائية من هجومهم. فبعد تحديد الأصول عالية القيمة، قد ينشر المخترقون برامج الفدية عبر أنظمة متعددة أو ينقلون البيانات الحساسة بشكل غير مصرّح به. وقد يؤدي توزيع برامج الفدية على عدة أنظمة في وقت واحد إلى زيادة صعوبة التعافي وزيادة الضغط على المؤسسات لدفع الفدية. ومن خلال التنقّل الجانبي أولًا، يستطيع المخترقون زيادة مستوى التعطيل إلى أقصى حد وتعزيز فعالية هجومهم.
المراحل الشائعة للتنقّل الجانبي داخل الشبكة
يتبع التنقّل الجانبي داخل الشبكة عادةً تسلسلًا منظمًا مع توسيع المخترقين نطاق وصولهم داخل الشبكة.
الاختراق الأولي
يبدأ الهجوم عند اختراق أحد الأنظمة لأول مرة، وقد يحدث ذلك من خلال التصيّد الاحتيالي، أو استغلال الثغرات الأمنية، أو استخدام بيانات اعتماد مسروقة. ويوفر موطئ القدم الأولي هذا للمخترقين نقطة انطلاق داخل الشبكة.
الاستطلاع الداخلي
بمجرد الدخول إلى الشبكة، يجمع المخترقون معلومات عن البيئة. ويشمل ذلك رسم خريطة للشبكة، وتحديد الأنظمة عالية القيمة، واكتشاف حسابات المستخدمين وعلاقات الثقة. وتساعد المعلومات التي تُجمع في هذه الخطوة المخترقين على تحديد وجهتهم التالية، ومعرفة الأنظمة الأعلى قيمة.
الوصول إلى بيانات الاعتماد
يحاول المخترقون الحصول على بيانات اعتماد صالحة تتيح لهم المصادقة على أنظمة أخرى. قد يشمل ذلك تسريب بيانات الاعتماد، أو جمع كلمات المرور، أو سرقة الرموز المميزة. استخدام بيانات اعتماد مشروعة يساعد المهاجمين على الاندماج في حركة البيانات العادية على الشبكة وتجنب إطلاق تنبيهات الأمان.
تصعيد الامتيازات
بعد الوصول إلى حسابات إضافية، يحاول المخترقون رفع مستوى وصولهم من خلال استغلال أخطاء التكوين أو إساءة استخدام حسابات الخدمة. وتتيح الامتيازات الأعلى للمخترقين التحكم في عدد أكبر من الأنظمة، والوصول إلى موارد حساسة، وتنفيذ إجراءات تكون مقيّدة في الأحوال العادية.
الانتقال الجانبي بين الأنظمة
باستخدام وصول ذي امتيازات مرتفعة، ينتقل المخترقون بين الأنظمة داخل الشبكة. وقد يشمل ذلك الوصول إلى خوادم الملفات، أو الدخول إلى بيئات Active Directory، أو الوصول إلى وحدات التحكم بالمجال. وفي بعض الحالات، قد ينتقل المخترقون أيضًا إلى بيئات سحابية أو هجينة متصلة، مما يوسع نطاق الهجوم.
التنفيذ الموضوعي
بمجرد وصول المخترقين إلى هدفهم، ينفذون الغرض من الهجوم. وقد يشمل ذلك نقل البيانات بشكل غير مصرّح به، أو نشر برامج الفدية، أو ترسيخ وجودهم للحفاظ على وصول مستمر.
الأساليب الشائعة المستخدمة في التنقّل الجانبي داخل الشبكة
يستخدم المخترقون أساليب متعددة للانتقال بين الأنظمة مع تقليل فرص اكتشافهم إلى أدنى حد:
- استخدام تجزئات كلمات المرور المسروقة (Pass-the-hash): يعيد المخترقون استخدام تجزئات كلمات المرور المسروقة للمصادقة على أنظمة أخرى من دون الحاجة إلى معرفة كلمة المرور الأصلية. يرتبط هذا الأسلوب تحديدًا بالبيئات التي تستخدم مصادقة NTLM، وتقل فعاليته في البيئات التي تُطبَّق فيها مصادقة Kerberos بصرامة.
- استخدام تذاكر Kerberos المسروقة (Pass-the-ticket) تُستخدم تذاكر Kerberos لانتحال صفة مستخدمين شرعيين والوصول إلى موارد الشبكة.
- بروتوكول سطح المكتب البعيد (RDP) يستخدم المخترقون بيانات اعتماد صالحة للوصول إلى الأنظمة عن بُعد عبر RDP، وهو بروتوكول مشروع للوصول عن بُعد كثيرًا ما يستهدفه المخترقون بسبب شيوع تفعيله في بيئات المؤسسات.
- أداة Windows Management Instrumentation (WMI): يستخدم المخترقون هذه الأداة المدمجة في Windows لتنفيذ الأوامر عن بُعد عبر الأنظمة.
- التنفيذ عن بُعد عبر PowerShell يتيح هذا الأسلوب تنفيذ الأوامر والنصوص البرمجية على أجهزة بعيدة.
- استغلال بروتوكول SMB يستغل المخترقون بروتوكولات مشاركة الملفات للانتقال بين الأنظمة.
- سرقة مفتاح SSH واختطاف الجلسة: في بيئات Linux، قد يسرق المخترقون مفاتيح SSH الخاصة لاستخدامها في المصادقة على أنظمة أخرى، أو قد يسيئون استخدام ميزة تمرير وكيل SSH لاختطاف جلسات نشطة. وهذان أسلوبان مختلفان، لكنهما يعتمدان على استغلال علاقات الثقة القائمة عبر SSH.
- استغلال الأدوات الأصلية في النظام (Living-off-the-Land Binaries - LOLBins) يستخدم المخترقون أدوات نظام مشروعة لتنفيذ أنشطة ضارّة بطريقة تبدو كأنها جزء من العمليات المعتادة.
لماذا يصعب اكتشاف التنقّل الجانبي داخل الشبكة؟
يصعب اكتشاف التنقّل الجانبي داخل الشبكة لأن المخترقين يعتمدون غالبًا على بيانات اعتماد مشروعة وأدوات إدارية مدمجة في النظام، بدلًا من استخدام أنشطة ضارّة واضحة يمكن رصدها بسهولة.
ونتيجة لذلك، قد تبدو أفعالهم مشابهة لسلوك المستخدمين العاديين، مثل تسجيل الدخول إلى الأنظمة أو الوصول إلى الموارد الداخلية. وهذا يساعدهم على التخفي وسط حركة بيانات الشبكة المعتادة وتجنب إطلاق تنبيهات الأمان التقليدية.
ومع أن فهم آلية التنقّل الجانبي داخل الشبكة مهم، فإن على المؤسسات أيضًا أن تكون قادرة على اكتشافه قبل أن يصل المخترقون إلى الأنظمة الحساسة.
كيفية منع التنقّل الجانبي داخل الشبكة
يمكن للمؤسسات منع التنقّل الجانبي داخل الشبكة من خلال تقليل قدرة المخترقين على الانتقال بين الأنظمة بعد حدوث الاختراق الأولي. ويركز المنع الفعّال للتنقّل الجانبي داخل الشبكة على تقليص صلاحيات الوصول غير الضرورية، وضبط الاتصال بين أجزاء الشبكة، ورصد أي نشاط مريب.
تطبيق الوصول وفق مبدأ الحد الأدنى من الامتيازات
يُعد تطبيق الوصول وفق مبدأ الحد الأدنى من الامتيازات من أكثر الطرق فعالية في منع التنقّل الجانبي داخل الشبكة. ينبغي ألا يمتلك كل مستخدم أو حساب خدمة إلا الصلاحيات اللازمة لأداء دوره المحدد فقط. وبذلك، إذا تعرض حساب واحد للاختراق، فلن يتمكن المخترقون من استخدامه للوصول إلى أنظمة وموارد تقع خارج نطاق صلاحيات ذلك الحساب. ينبغي للمؤسسات مراجعة هذه الصلاحيات وتعديلها بانتظام لمنع تمدد صلاحيات الوصول تدريجيًا بمرور الوقت.
تقسيم الشبكة
يساعد تقسيم الشبكة على الحد من التنقّل الجانبي داخل الشبكة من خلال تجزئتها إلى مناطق معزولة، بحيث لا يؤدي اختراق جزء منها تلقائيًا إلى إتاحة الوصول إلى الأجزاء الأخرى. ويعزز التقسيم الدقيق للشبكة هذا النهج عبر تقييد حركة البيانات بين الأنظمة الفردية، بحيث تقتصر على الاتصالات المطلوبة صراحةً فقط. ويجبر ذلك المخترقين على تجاوز حواجز إضافية في كل مرحلة، مما يمنح فرق الأمان وقتًا أطول لاكتشاف محاولات التنقّل الجانبي داخل الشبكة والاستجابة لها.
تعزيز ضوابط المصادقة
تساعد ضوابط المصادقة القوية على تقليل خطر التنقّل الجانبي داخل الشبكة من خلال الحد من جدوى بيانات الاعتماد المسروقة. وتضيف المصادقة متعددة العوامل (MFA) طبقة تحقق تمنع المخترقين من الوصول إلى الحسابات باستخدام كلمات المرور المخترقة وحدها. وينبغي للمؤسسات أيضًا التخلص من بيانات الاعتماد المشتركة أو الافتراضية، إذ تُعد من الأهداف الشائعة للمخترقين. أما بالنسبة إلى الحسابات ذات الامتيازات المرتفعة، فيوفر حل إدارة الوصول المميز (PAM) حماية إضافية من خلال التحكم في توقيت استخدام هذه الحسابات وكيفية استخدامها، وضمان سحب الوصول عندما لا تعود هناك حاجة إليه.
رصد السلوك غير المعتاد
حتى مع وجود ضوابط وقائية قوية، تحتاج المؤسسات إلى رؤية واضحة للنشاط عبر أنظمتها. ويمكن أن تساعد مراجعة سجلات الوصول واستخدام تحليلات السلوك في اكتشاف الأنماط غير المعتادة، مثل اتصال حساب بأنظمة لم يسبق له الوصول إليها، أو تسجيل الدخول في أوقات غير متوقعة. ويساعد اكتشاف هذه المؤشرات مبكرًا المؤسسات على احتواء التنقّل الجانبي داخل الشبكة قبل أن يصل المخترقون إلى الأنظمة الحساسة.
تدقيق الحسابات وتنظيفها
كثيرًا ما يستهدف المخترقون الحسابات الخاملة، ولا سيما تلك المرتبطة بموظفين سابقين أو بخدمات أُخرجت من الخدمة، لأنها غالبًا لا تخضع لمراقبة كافية. وتساعد عمليات التدقيق المنتظمة على تحديد الحسابات غير المستخدمة وتعطيلها، مما يغلق هذه المداخل أمام المخترقين. وينبغي للمؤسسات أيضًا مراجعة صلاحيات الحسابات النشطة دوريًا للتأكد من أنها لم تكتسب صلاحيات تتجاوز ما يحتاجه أصحابها لأداء أدوارهم.