لم يستغرق الأمر وقتًا طويلاً حتى جاء عام 2025 ليقدم تذكيرًا بأهمية أمن الهوية، حيث وزارة الخزانة الأمريكية إخطار الكونجرس بأن جهة تهديد "ترعاها دولة صينية" قد تمكنت من الوصول إلى أنظمتها من خلال استغلال نقاط الضعف (CVE-2024-12356 و CVE-2024-12686) في أنظمة BeyondTrust.
وبينما CISA تشير التقارير إلى أن وزارة الخزانة كانت الوكالة الفيدرالية الوحيدة التي تأثرت بهذا الاختراق، ولا تزال القصة تتكشف. أكثر من 13,000 حالة من الخدمات المتأثرة لا تزال متصلة بالإنترنت وقد تكون عرضة للاختراق، بحسب التقارير سينسيس. منذ الكشف الأولي لوزارة الخزانة، أضافت وكالة CISA CVE-2024-12686 إلى كتالوج الثغرات المعروفة المستغلة, التي تتطلب من الوكالات الفيدرالية "تأمين شبكاتها ضد الهجمات المستمرة التي تستهدف الخلل."
ليس من المفيد أبدًا أن نلعب دور الظهير الرباعي صباح يوم الاثنين، وهذا هو الحال بشكل خاص في مثل هذه المواقف عندما لا تزال التفاصيل حول الاختراق تتكشف. بدلاً من ذلك، نعتقد أنه من المفيد أن نلقي نظرة على الحقائق حول اختراق وزارة الخزانة ونوضح ما نعتقد أن هذه الحقائق تعنيه لبرامج الأمن السيبراني للمؤسسات في المستقبل.
في تقرير على الاختراق، تشير شركة BeyondTrust إلى أن "تحليل السبب الجذري لمشكلة الدعم عن بُعد SaaS قد حدد أن مفتاح واجهة برمجة التطبيقات للدعم عن بُعد SaaS قد تم اختراقه." يشير التقرير إلى أن مفتاح واجهة برمجة التطبيقات للدعم عن بُعد SaaS المخترق "سمح بإعادة تعيين كلمة المرور لحسابات التطبيقات المحلية."
اتخذت شركة BeyondTrust الإجراء المناسب لإلغاء مفتاح واجهة برمجة التطبيقات على الفور، ومن المحتمل أن تبدأ إعادة تعيين كلمة المرور. ولكن يجب أن يكون تأمين واجهات برمجة التطبيقات جزءًا من نهج أوسع بكثير: يجب على المؤسسات تأمين دورة حياة بيانات الاعتماد بأكملها. وهذه مشكلة أكبر من مجرد المصادقة. تحتاج المؤسسات إلى حساب عمليات التزويد والتسجيل وإعادة تعيين الحسابات البشرية والآلية.
كما يجب عليهم التأكد من أن ما التي يصادق عليها المستخدمون لا تزال ذات صلة. يجب أن أكون قادراً فقط على الوصول إلى الموارد التي أحتاجها لغرض محدد. أي وصول إضافي - أي وصول إضافي - أي وصول أمتلكه ولا أحتاجه يديم المخاطر.
يجب على المؤسسات توسيع نطاق ذلك ليشمل واجهات برمجة التطبيقات أيضاً. يميل المستخدمون البشريون والأجهزة البشرية إلى الحصول على كل التركيز الأمني، مع تجاهل حسابات الخدمات وواجهات برمجة التطبيقات. تحتاج المؤسسات إلى معرفة ما يمكن لهذه الخدمات الوصول إليه والقيام بهذا الوصول. كما أنها تحتاج أيضًا إلى إنشاء وإدارة واجهات برمجة التطبيقات بشكل مستقل لكل مستأجر - فوجود مفاتيح مكررة لواجهة برمجة التطبيقات أمر محفوف بالمخاطر وسيء مثل مشاركة كلمات المرور.
في رسالتها إلى الكونغرس، أشارت وزارة الخزانة إلى أن "جهة التهديد قد تمكنت من الوصول إلى مفتاح يستخدمه البائع لتأمين خدمة قائمة على السحابة تُستخدم لتوفير الدعم الفني عن بُعد للمستخدمين النهائيين في مكاتب وزارة الخزانة (DO)".
من الصعب تحليل ما يعنيه ذلك بالتحديد في هذه الحالة، ولكن هناك عناصر تذكرني بهجمات 2023 التي كلفت منتجعات إم جي إم ريزورتس و مجموعة سيزارز إنترتينمنت جروب مئات الملايين من الدولارات
في كلٍ من هجمات الفدية الخبيثة في لاس فيجاس والاختراق الأخير لوزارة الخزانة، استخدم المهاجمون مزيجًا من مكاتب الدعم وواجهات برمجة التطبيقات الخاصة بالمؤسسات. والفرق الرئيسي هو أنه في حالة هجمات لاس فيغاس، استخدم المهاجمون الهندسة الاجتماعية لخداع مكتب مساعدة تكنولوجيا المعلومات لإعادة تعيين كلمة المرور.
تحتاج المؤسسات إلى فهم المخاطر التي يمكن أن تشكلها مكاتب المساعدة الخاصة بها. تاريخيًا، تظاهرت الجهات التخريبية تاريخيًا بأنها مكاتب مساعدة تكنولوجيا المعلومات لهندسة أهدافها اجتماعيًا، ويبدو أن هذا التكتيك هو ما حدث في هجوم وزارة الخزانة.
تقع هذه المكاتب تحت ضغط كبير، ولديها قدر كبير من حرية التصرف، وقد لا تكون عملياتها أو إجراءاتها موثقة بالكامل.
قد يكون موظفو مكتب المساعدة قادرين على إعادة تعيين كلمات المرور أو إزالة المصادقة المصغرة أو إنشاء حسابات جديدة تمامًا. وعلاوة على ذلك، يمكن الضغط على مكاتب المساعدة للتصرف قبل النظر في الحالة أو توثيق إجراءاتها.
ولمكافحة ذلك، تحتاج القيادة إلى التعبير عن أن الأمن أمر بالغ الأهمية، ويجب على المؤسسات توثيق عمليات إدارة التغيير واستخدامها، ويجب أن تتطلب الحالات عالية الخطورة إجراء اتصالات خارج النطاق للتحقق من أن الشخص الذي يطلب المساعدة هو من يدعي أنه هو. شاهد ندوة عبر الإنترنت عند الطلب لمعرفة كيف يمكن للمؤسسات المساعدة في حماية مكاتب المساعدة الخاصة بها من هجمات التصيد الاحتيالي.
لا يزال من السابق لأوانه معرفة جميع العوامل التي أدت إلى اختراق بيانات BeyondTrust. كل ما يعرفه الباحثون حتى الآن هو الثغرتين اللتين كشفت عنهما الشركة. كل شيء آخر - بما في ذلك ما إذا كانت الثغرات قد استُغلت "كأيام صفر للوصول إلى أنظمة BeyondTrust أو كجزء من سلسلة الهجوم للوصول إلى العملاء"، وفقًا كمبيوتر نائم, وما إذا كان مكتب الدعم الخاص بها قد تعرض للخداع، وما إذا كان مكتب الدعم الخاص بها قد تعرض للخداع، وكيفية تأمين واجهات برمجة التطبيقات الخاصة بها لا تزال كلها تكهنات. قد تكون هناك عوامل أخرى سيكشف عنها الباحثون في الوقت المناسب.
وهذا هو بيت القصيد. هناك العديد من المراحل والمكونات في الحزمة التقنية لأي مؤسسة والتي يمكن أن تتعطل أو يتم تجاهلها أو تكون غير آمنة أو يساء استخدامها. بينما يجب على المؤسسات أن تسعى جاهدة لتأمينها جميعًا كل على حدة، يجب عليها أيضًا تنفيذ إطار عمل أوسع نطاقاً للثقة الصفرية.
لا تفرط في توفير إمكانية الوصول، وأعطِ الأولوية للتأمين الافتراضي والتأمين حسب التصميم، ودرب المستخدمين، وأزل أي ثقة ضمنية في المستخدمين والأنظمة والبيانات. انظر إلى عملياتك التجارية الشاملة ومجموعات التكنولوجيا الخاصة بك معًا بحثًا عن نقاط الضعف ولا تدع الكمال عدو الخير: أي تحسينات يمكنك إجراؤها في وضعك الأمني - أو أي ثقة ضمنية يمكنك إزالتها من بيئتك - ستقطع شوطًا طويلاً في منع الاختراق أو الحد منه.
