دراسة: الأجسام المشبوهة مجهولة المصدر تنطوي على خطر في معظم الحالات

الاقتصاد

أمن المعلومات
أمن المعلومات


أظهر تحليل أجراه الباحثين في شركة كاسبرسكاي حول احصاء البيانات مجهولة المصدر المجمّعة من طلبات واردة إلى بوابة كاسبرسكي لمعلومات التهديدات "Kaspersky Threat Intelligence Portal"، وهي خدمة ويب تتيح الوصول إلى أحجام هائلة من المعلومات الأمنية العالمية التي يجري تحديثها لحظة بلحظة تقريبًا. 

وأظهر التحليل أن طلب الباحثين الأمنيين تفاصيل إضافية عن جسم إلكتروني مشبوه ما، يكشف عن كونه جسمًا خبيثًا في 72%  من الحالات، وأن بوسعهفي هذه الحالات تعريض أمن الشركات للخطر إذا لم يتم التحقيق فيه والاستجابة لوجوده.

وفي المتوسط، لا يجري التحقيق في 44% من التنبيهات الأمنية التي تواجهها الشركات. وربما يكمن السبب في الحجم الهائل لتلك التنبيهات الواردة التي تسعى الفرق الأمنية جاهدة للتعامل معها بشكل كامل. ولذلك، يتعيّن على المحللين أن ينتبهوا بعناية للتنبيهات التي عليهم التحقيق فيها، والتفريق بينها وبين تلك التي لا تستحق اهتمامهم. لذلك سيكون من المفيد أن يكون لديهم إطار يساعدهم في اتخاذ القرار بهذا الشأن.

وأظهرت الإحصاءات، سواء مجهولة الهوية أو المجمعة من بوابة"Kaspersky Threat Intelligence Portal" أنه يثبت في معظم الحالات أن الدعوة الأولية للتحقق في تنبيه ما تكون مبرّرة في الغالب،فسبعة من كل عشرة طلبات للتحليل جرى تقديمها عبر الخدمة كشفت عن كون الجسم المشبوه خبيثًا. وترتفع هذه النسبة في الأجسام المشبوهة ذات الصلة بالويب؛فتصل إلى 86% في أسماء النطاق، و75% في عناوين بروتوكول الإنترنت، و73% في عناوين مواقع الويب، في حين تقلّ النسبة قليلاً في الملفات التي يتبيّن بعد التحقيق فيها أن 61%منها فقط تنطوي على خطر. 

وتشير النتائج الإحصائية هذه إلى صعوبة تمييز الباحثين بين الملفات السليمة وتلك الخبيثة دون استشارة مصدر مناسب من مصادر المعلومات المتعلقة بالتهديدات.

ويهتم الباحثون عمومًا بمعرفة المصادر التي تتواصل معها النقاط الطرفية في شبكاتهم، إذ تندرج 41% من إجمالي الطلبات تحت هذه الفئة. ويمكن لفرق الأمن،من خلال المعلومات المتعلقة بسمعة عناوين بروتوكول الإنترنت والمواقع والملفات المرتبطة بها على الإنترنت، اتخاذ قرار بشأن ما إذا كان ينبغي لها رفض الوصول إلى هذا المصدر أو حظر أي اتصال به. وعلاوة على ذلك كان ثلث الطلبات (31%) يتعلّق بفئة تجزئة الملفات،بمعنى اهتمام المحللين في تحقيقاتهمبأية معلومات إضافية حول الملف (مثل التوزيع الجغرافي والشهرة وعلاقاتهبأية أجسام أخرى).

وقال أنتولي سيموننكو مدير المجموعة لإدارة منتجات حلول التقنية لدى كاسبرسكي، إن الإحصاءات تُظهر أن اشتباه محللي الأمن في الشركات في جسم ما وفق تنبيه أمني "غالبًا ما يكون في محلّه" وأن الجسم المشتبه "غالبًا ما يتبيّن أنه يمثل خطرًا على الأمن وقد يحتاج إلى مزيد من التحقيق"، وأضاف: "لا يتعلق الأمر فقط بالتحقق من الفرضيات،فالمحللون بحاجة إلىرؤية صورة التهديد الشاملة بسرعة،ليصبحوا قادرين على تسريع الاستجابة للحوادث وتعزيز قدرات التحليل الجنائي، وهو تمامًا ما يتيحه الوصول إلى معلومات التهديدات، الأمر الذي يوفّر كثيرًا من الوقت والجهد لفرق الأمن التي عادة ما تعاني نقصًا في الموظفين".