Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

في الخطوط الأمامية: فك تشفير الأساليب الصينية لممثل المخاطر وتقنياتها

صورة لمدير إستراتيجية التحليل الذكي للمخاطر من Microsoft، شيرود ديجريبو

في هذه المقابلة الجذابة، يتعمق شيرود ديجريبو، وهو خبير متمرس في التحليل الذكي للمخاطر ويتمتع بخبرة تزيد عن 19 عاماً، في عالم التجسس عبر الإنترنت. انضمت إليهما جودي إنج وسارة جونز، وهما متخصصتان هائلتان ملتزمتان بفك تشابك الشبكة المعقدة من المخاطر عبر الإنترنت الناشئة من الصين، حيث سلطتا الضوء على الأنشطة السرية ضمن مشهد المخاطر الحديثة. يناقشون معاً التحديات التي يواجهها أولئك الذين يحمون عالمنا المترابط. استعد للانغماس في الحكايات التي لا توصف والخبرة الاستثنائية لهؤلاء المحققين الرقميين خلال تنقلهم في العالم الخفي لساحة المعركة عبر الإنترنت في الصين.

سارة جونز

بصفتي أحد كبار محللي المخاطر، أجري أبحاثاً حول مجموعات APT (الخطر المستمر المتقدم) التي تنشأ من الصين وتعمل نيابة عن الحكومة الصينية. أتتبع تطور البرامج الضارة الخاصة بهم بمرور الوقت وأبحث عن أساليبهم لإنشاء البنية التحتية واختراق شبكات الضحايا. قبل الانضمام إلى التحليل الذكي للمخاطر من Microsoft، ركزت بشكل أساسي على الصين، لكنني عملت أيضاً مع مجموعات إيرانية وروسية.

معظم خلفيتي، وخاصة في بداية حياتي المهنية، عملت في مراكز العمليات الأمنية وركزت على الأمان الداخلي للشبكات الحكومية والشركات.

أحد الأشياء الرائعة في دراسة مجموعات الخطر الصينية هو القدرة على تتبعهم على مدى فترات طويلة من الزمن. من المثير للاهتمام جداً أن أتمكن من إجراء بحث عن المجموعات التي أتذكرها منذ 10 سنوات مضت ومشاهدة تطورها مع مرور الوقت.

جودي نغ

مثل سارة، أنا أيضاً أحد كبار محللي المخاطر وأستفيد من التحليل الجغرافي السياسي بالإضافة إلى تحليل المخاطر عبر الإنترنت. تابعت ممثلين مقيمين في الصين من وجهات نظر مختلفة على مدار الخمسة عشر عاماً الماضية من مسيرتي المهنية - بما في ذلك الأدوار الداعمة للحكومة الأمريكية، ومناصب الشركات الناشئة، وأماكن مختلفة في الشركات الأمريكية، وبالطبع في Microsoft، حيث كنت منذ عام 2020.

بدأت بالتركيز على الصين لأنني كنت دائماً مهتمة بها. في وقت مبكر من مسيرتي المهنية، ساعدني هذا الاهتمام في توفير السياق الذي استعصى عليه زملائي الذين ربما لم يفهموا بعض الفروق الدقيقة في اللغة أو الثقافة الصينية.

أعتقد أن أحد أسئلتي الأولى كان: "جودي، ما نطق لحم الدجاج؟" ماذا يعني "لحم الدجاج" باللغة الصينية؟

وكان الجواب "البوتنت." "لحم الدجاج" هو المصطلح الصيني العامي الذي كان يستخدمه ممثلو المخاطر في المنتديات عبر الإنترنت لوصف الروالبوتنت الزومبي

جودي نغ

في هذا العمل، لا تؤدي الشيء نفسه كل يوم. إنه مبهج. يمكنك الاستفادة من جميع الإشارات القوية التي تحصل عليها Microsoft، والسماح لتلك البيانات بإرشادك.

لن تشعر بالملل أبداً من مجموعة البيانات هنا. لن تقول أبداً: "أوه، لا يوجد شيء يمكن تتبعه". سيكون هناك دائماً شيء مثير للاهتمام، ومن المفيد أن يكون معظم زملائنا في الفريق الصيني مجرد مجموعة فضولية.

سواء أكان الأمر يتعلق بالتتبع الموجه ذاتياً أو بجهد جماعي للنظر إلى موضوع ما، فمن الرائع أننا جميعاً فضوليون ويمكننا السير في طرق مختلفة.

سارة جونز

يجب أن أتفق مع جودي. كل يوم هو مجموعة مشاكل جديدة ومختلفة. أتعلم كل يوم عن تقنية جديدة أو برنامج جديد يحاول أحد الممثلين استغلاله. يجب أن أعود بعد ذلك وأقرأ الوثائق إذا كانت تقنية أو برنامجاً لم أسمع به من قبل. في بعض الأحيان، يتعين علي قراءة RFC (طلب التعليقات) لأحد البروتوكولات لأن ممثلي الأخطار يتلاعبون أو يسيئون استخدام بعض جوانبه، وهذا يتطلب العودة إلى الوثائق الأصلية وقراءتها.

هذه الأمور مثيرة حقاً بالنسبة لي، وأعمل عليها كل يوم. كل يوم أتعرف على جانب جديد من الإنترنت لم أسمع به من قبل، ثم أتسابق للحاق بممثلي المخاطر حتى أتمكن من أن أصبح خبيراً في الشيء الذي قرروا استغلاله.

سارة جونز

بسبب فيروس كورونا، شهدنا الكثير من التغيرات. بالنسبة للعملاء، تغير العالم. بين عشية وضحاها، عاد الجميع إلى منازلهم وحاولوا الاستمرار في أداء عملهم. رأينا الكثير من الشركات مضطرة إلى إعادة تشكيل شبكاتها بالكامل ورأينا الموظفين يغيرون طريقة عملهم، وبالطبع رأينا الممثلون في مجال المخاطر تستجيب لكل ذلك.

على سبيل المثال، عندما طُرحت نُهج العمل من المنزل لأول مرة، تعين على العديد من المؤسسات تمكين الوصول من العديد من المواقع المختلفة إلى بعض الأنظمة والموارد الحساسة للغاية التي لم تكن متاحة عادةً خارج مكاتب الشركة. شهدنا بعد ذلك ممثلي مخاطر يحاولون بعد ذلك الاندماج مع الضوضاء، والتظاهر بأنها عاملة عن بعد، والوصول إلى هذه الموارد.

عندما وقع فيروس كورونا لأول مرة، كان لا بد من وضع نُهج الوصول إلى بيئات المؤسسة بسرعة، وفي بعض الأحيان تم تنفيذها دون وقت للبحث ومراجعة أفضل الممارسات. نظراً لأن العديد من المؤسسات لم تعد النظر في تلك السياسات منذ الطرح الأولي، فإننا نرى اليوم ممثلين يحاولون اكتشاف التكوينات الخاطئة ونقاط الضعف واستغلالها.

لم يعد وضع البرامج الضارة على أجهزة الكمبيوتر المكتبية ذا قيمة بعد الآن. يتعلق الأمر الآن بالحصول على كلمات المرور والرموز المميزة التي تتيح الوصول إلى الأنظمة الحساسة بنفس الطريقة التي يفعلها العاملون عن بعد.

جودي نغ

لا أعرف ما إذا كان على الممثلين في مجال المخاطر العمل من المنزل لكن لدينا بيانات توفر بعض الأفكار حول كيفية تأثير عمليات الإغلاق بسبب فيروس كورونا على نشاطهم في المدن التي يعيشون فيها. بغض النظر عن مكان أداء بعملهم، فقد تأثرت حياتهم-تماماً مثل حياة الجميع.

في بعض الأحيان يمكننا أن نرى تأثير عمليات الإغلاق على مستوى المدينة بسبب قلة النشاط على أجهزة الكمبيوتر الخاصة بهم. كان من المثير للاهتمام رؤية تأثير جميع عمليات الإغلاق المستمرة على مستوى المنطقة في بياناتنا.

جودي نغ

لدي مثال رائع – أحد ممثلي المخاطر التي نتعقبهم، Nylon Typhoon. اتخذت Microsoft إجراءات ضد هذه المجموعة في ديسمبر 2021 وعطلت البنية التحتية المستخدمة لاستهداف أوروبا وأمريكا اللاتينية وأمريكا الوسطى.

في تقييمنا، من المحتمل أن بعض أنشطة الضحايا تضمنت عمليات جمع معلومات استخباراتية تهدف إلى تقديم نظرة ثاقبة للشركاء المشاركين في مبادرة الحزام والطريق الصينية (BRI) لمشاريع البنية التحتية التي تديرها الحكومة الصينية في جميع أنحاء العالم. نعلم أن ممثلو المخاطر الذين ترعاهم الدولة الصينية يتجسسون بالطريقة التقليدية والاقتصادية، وتقييمنا هو أن هذا النشاط من المحتمل أن يمتد إلى كلا الأمرين.

لسنا متأكدين بنسبة 100% لأنه ليس لدينا دليل دامغ. بعد 15 عاماً، أستطيع أن أخبرك أن العثور على الدليل القاطع أمر صعب حقاً. مع ذلك، ما يمكننا فعله هو تحليل المعلومات، ووضعها في سياقها، والقول: "إننا نقيم بمستوى الثقة هذا الذي نعتقد أنه محتمل لهذا السبب."

سارة جونز

يتضمن أحد أكبر الاتجاهات تحويل التركيز من نقاط النهاية الخاصة بالمستخدم والبرامج الضارة المخصصة إلى الممثلين الذين يعيشون فعلياً متوترين- مع تركيز الموارد على استغلال الأجهزة الطرفية ومواصلة المثابرة. هذه الأجهزة مثيرة للاهتمام، لأنه إذا تمكن شخص ما من الوصول إليها، فمن الممكن أن يقيم هناك لفترة طويلة جداً.

تعمقت بعض المجموعات بطريقة مثير للإعجاب في هذه الأجهزة. يعرفون كيف تعمل البرامج الثابتة الخاصة بهم. إنهم يعرفون الثغرات الأمنية في كل جهاز، ويعلمون أن العديد من الأجهزة لا تدعم برامج مكافحة الفيروسات أو التسجيل الدقيق.

بالطبع، يعلم الممثلون أن الأجهزة مثل الشبكات الافتراضية الخاصة أصبحت الآن بمثابة مفاتيح للمملكة. مع إضافة المؤسسات طبقات من الأمان مثل الرموز المميزة والمصادقة متعددة العوامل (MFA) ونُهج الوصول، أصبح الممثلون أكثر ذكاءً فيما يتعلق بالتحايل والتسلل عبر الدفاعات.

أعتقد أن الكثير من الممثلين قد أدركوا أنهم إذا كانوا قادرين على الحفاظ على استمرارها على المدى الطويل من خلال جهاز مثل VPN، فلن يحتاجون حقاً إلى نشر البرامج الضارة في أي مكان. يمكنهم فقط منح أنفسهم حق الوصول الذي يتيح لهم تسجيل الدخول كأي مستخدم.

إنهم يمنحون أنفسهم بشكل أساسي "وضع السيادة" على الشبكة من خلال تعريض هذه الأجهزة المتطورة للخطر.

نرى أيضاً اتجاهاً حيث يستخدم الممثلون Shodan أو Fofa أو أي نوع من قواعد البيانات التي تفحص الإنترنت وتفهرس الأجهزة وتحدد مستويات التصحيح المختلفة.

نرى أيضاً ممثلين يجرون عمليات فحص خاصة بها لمساحات كبيرة من الإنترنت - أحياناً من قوائم الأهداف الموجودة مسبقاً - بحثاً عن الأشياء التي يمكن استغلالها. عندما يعثرون على شيء ما، سيجرون فحصاً آخر لاستغلال الجهاز فعلياً ثم يعودون لاحقاً للوصول إلى الشبكة.

سارة جونز

الاثنان. يعتمد الأمر على الممثل. بعض الممثلين مسؤولون عن بلد معين. هذه هي المجموعة المستهدفة، لذا كل ما يهمهم هو الأجهزة الموجودة في ذلك البلد. لكن الممثلون الآخرون لديها مجموعات أهداف وظيفية ــ لذا فإنها ستركز على قطاعات محددة مثل التمويل، أو الطاقة، أو التصنيع. سيكونون قائمة مستهدفة على مدار عدة سنوات للشركات التي يهتمون بها، ويعرف هؤلاء الممثلون بالضبط ما هي الأجهزة والبرامج التي تعمل عليها أهدافهم. لذلك، نلاحظ أن بعض الممثلين يفحصون قائمة أهداف محددة مسبقاً لمعرفة ما إذا كانت الأهداف قد صححت ثغرة أمنية معينة.

جودي نغ

يمكن أن يكون الممثلون مستهدفين للغاية ومنهجيين ودقيقين، لكنهم أيضًا يحالفهم الحظ في بعض الأحيان. علينا التذكر أنهم بشر. عندما يجرون عمليات المسح الخاصة بهم أو يحصلون على البيانات باستخدام منتج تجاري، في بعض الأحيان يكونون محظوظين ويحصلون على المجموعة الصحيحة من المعلومات منذ البداية، للمساعدة في بدء عملهم.

سارة جونز

هذا بالتأكيد ما عليه الأمر. لكن الدفاع الصحيح هو أكثر من مجرد التصحيح. الحل الأكثر فعالية يبدو بسيطاً لكنه صعب للغاية في الممارسة العملية. يتعين على المنظمات فهم أجهزتها المعرضة للإنترنت وجردها. يجب عليهم أن يعرفوا كيف تبدو محيطات شبكتهم، ونعلم أنه من الصعب تنفيذ ذلك بشكل خاص في البيئات المختلطة مع كل من الأجهزة السحابية والمحلية.

إن إدارة الأجهزة ليست سهلة، ولا أريد أن أتظاهر بذلك، ولكن معرفة الأجهزة الموجودة على شبكتك - ومستويات التصحيح لكل منها - هي الخطوة الأولى التي يمكنك اتخاذها.

بمجرد أن تعرف ما لديك، يمكنك زيادة إمكانية التسجيل والقياس عن بعد من تلك الأجهزة. نسعى جاهدين للحصول على التفاصيل في السجلات. من الصعب الدفاع عن هذه الأجهزة. أفضل رهان لمدافع الشبكة للدفاع عن هذه الأجهزة هو التسجيل والبحث عن الحالات الشاذة

جودي نغ

أتمنى لو كان لدي كرة بلورية لمعرفة ما هي خطط الحكومة الصينية. لسوء الحظ، ليس لدي. لكن ما يمكننا رؤيته ربما هو الرغبة في الوصول إلى المعلومات.

لكل أمة غايتها.

نحب معلوماتنا كذلك. نحب بياناتنا.

سارة جونز

جودي هي خبيرة مبادرة الحزام والطريق (BRI) والخبيرة الجغرافية السياسية. نعتمد على نتائج تحليلات عندما ننظر إلى الاتجاهات، وخاصة في الاستهداف. في بعض الأحيان سنرى هدفاً جديداً يظهر، وهذا ليس له أي معنى حقاً. إنه لا يتناسب مع ما فعلوه سابقاً، ولذا سننقل الحديث إلى جودي، التي ستخبرنا، "أوه، هناك اجتماع اقتصادي مهم يعقد في هذا البلد، أو هناك مفاوضات حول بناء مصنع جديد في هذا الموقع."

تقدم لنا جودي سياقاً قيماً – سياقاً أساسياً – حول سبب فعل ممثلي المخاطر ذلك. نعلم جميعاً كيفية استخدام Bing Translate، ونعرف كيفية البحث عن القصص الإخبارية، ولكن عندما لا يكون هناك معنى لشيء ما، يمكن لجودي أن تخبرنا، "حسناً، هذه الترجمة تعني هذا بالفعل،" ويمكن أن يكون هذا هو كل ما في الاختلاف.

يتطلب تتبع ممثلي المخاطر الصينيين معرفة ثقافية حول كيفية هيكلة حكومتهم وكيفية عمل شركاتهم ومؤسساتهم. يساعد عمل جودي في فك تشابك هيكل هذه المنظمات ويتيح لنا معرفة كيفية عملها، وكيف تجني المال وتتفاعل مع الحكومة الصينية.

جودي نغ

كما قالت سارة، إنه الاتصال. نحن دائماً متاحون على دردشة Teams. نشارك دائماً الأفكار التي ربما رأيناها من القياس عن بعد والتي ساعدتنا في العمل على التوصل إلى نتيجة محتملة.

جودي نغ

ما حيلتي؟ قضاء الكثير من الوقت على الإنترنت والقراءة. على محمل الجد، أعتقد أن أحد الأشياء الأكثر قيمة هو ببساطة معرفة كيفية استخدام محركات البحث المختلفة.

أنا مرتاحة في استخدام Bing، ولكن أيضاً في استخدام Baidu وYandex.

وذلك لأن محركات البحث المختلفة تقدم نتائج متنوعة. لا أؤدي أي شيء خاص لكن أعلم أنني أبحث عن نتائج مختلفة من مصادر مختلفة حتى أتمكن من تحليل البيانات من هناك.

الجميع في الفريق على دراية كبيرة. كل شخص لديه قوى خارقة، كل ما في الأمر هو معرفة من يجب أن يسأل. ومن الرائع أن نعمل ضمن فريق حيث يشعر الجميع بالراحة في طرح الأسئلة على بعضهم بعضاً، أليس كذلك؟ نقول دائماً أنه لا توجد أسئلة سخيفة.

سارة جونز

يعتمد هذا المكان على الأسئلة السخيفة.

سارة جونز

الآن هو الوقت المثالي للدخول في مجال أمان تكنولوجيا المعلومات. عندما بدأت لأول مرة، لم يكن هناك الكثير من الفصول أو الموارد أو طرق الاستكشاف. الآن هناك برامج البكالوريوس والماجستير! الآن هناك طرق عديدة للانضمام إلى هذه المهنة. نعم، هناك مسارات يمكن أن تكلف الكثير من المال لكن هناك مسارات أقل تكلفة ومجانية أيضاً.

طُورت أحد موارد التدريب الأمني ​​المجانية بواسطة Simeon Kakpovi وGreg Schloemer، زملائنا في التحليل الذكي للمخاطر من Microsoft. هذه الأداة، التي تسمى KC7، تجعل الدخول في مجال أمن تكنولوجيا المعلومات، وفهم الشبكة والأحداث المضيفة، والبحث عن الممثلين في متناول أي شخص.

أصبح من الممكن الآن التعرف على جميع أنواع المواضيع المختلفة أيضاً. عندما بدأت لأول مرة، كنت بحاجة إلى العمل في شركة تبلغ ميزانيتها عدة ملايين من الدولارات لشراء هذه الأدوات. بالنسبة للكثيرين، كان ذلك عائقاً أمام الدخول. ولكن الآن، يمكن لأي شخص تحليل عينات البرامج الضارة. كان من الصعب العثور على عينات البرامج الضارة والتقاط الحزم. لكن تلك الحواجز تنخفض باستمرار. يوجد اليوم العديد من الأدوات والموارد المجانية والمتاحة عبر الإنترنت حيث يمكنك التعلم بنفسك وبالسرعة التي تناسبك.

نصيحتي هي اكتشاف المجال الذي يثير اهتمامك. ما أهمية البحث العلمي للبرامج الضارة؟ التحليلات الرقمية؟ التحليل الذكي للمخاطر؟ ركز على موضوعاتك المفضلة واستفد من الموارد المتاحة للعامة وتعلم قدر المستطاع باستخدامها.

جودي نغ

الشيء الأكثر أهمية هو أن تتمتع بالفضول، أليس كذلك؟ جنباً إلى جنب مع الفضول، عليك أن تعمل بشكل جيد مع الآخرين. عليك أن تتذكر أن هذه رياضة جماعية، ولا يستطيع أحد ضمان الأمان عبر الإنترنت بمفرده.

من المهم التمكن من العمل في فريق. من المهم التمتع بالفضول وحب التعلم. يجب أن تكون مرتاحاً لطرح الأسئلة وإيجاد طرق للعمل مع زملائك في الفريق.

سارة جونز

ذلك بالتأكيد بالتأكيد صحيح. أود التأكيد على أن التحليل الذكي للمخاطر من Microsoft يعمل مع الكثير من الفرق الشريكة في Microsoft. نعتمد بشكل كبير على خبرة زملائنا لمساعدتنا في فهم ما يفعله الممثلون ولماذا يفعلون ذلك. لم نتمكن من أداء عملنا بدونهم.

المقالات ذات الصلة

استكشف هجمات Volt Typhoon الإلكترونية على البنية التحتية الحيوية للولايات المتحدة باستخدام تقنيات التخفي خلف الأساليب الشرعية

لوحظ أن ممثل التهديد الصيني الذي ترعاه الدولة، Volt Typhoon، تستخدم تقنيات التخفي لاستهداف البنية التحتية الحيوية للولايات المتحدة، وممارسة التجسس، والسكن في بيئات معرضة للخطر.

وضع التحليل الذكي لمخاطر الإنترنت في السياق الجغرافي السياسي

تشرح فانتا أور، خبيرة التحليل الذكي للمخاطر كيف يكشف التحليل الذكي للمخاطر "السبب" وراء نشاط المخاطر عبر الإنترنت ويساعد على حماية العملاء الذين قد يكونون أهدافاً معرضة للخطر بشكل أفضل.

النظافة الإلكترونية الأساسية التي تمنع 98% من الهجمات

تظل النظافة الإلكترونية الأساسية هي أفضل طريقة للدفاع عن هويات المؤسسة وأجهزتها وبياناتها وتطبيقاتها وبنيتها التحتية وشبكاتها ضد 98% من جميع التهديدات الإلكترونية. اكتشف النصائح العملية في الدليل الشامل.

متابعة الأمان من Microsoft